Criminosos utilizam o Facebook para espalhar malwares bancários
Especialistas dão dicas de como evitar golpes financeiros pela internet
Tecnologia e Ciência|Filipe Siqueira, do R7
Em 2 de setembro, uma campanha fraudulenta massiva enviou e-mails que simulavam uma mensagem real do Governo de São Paulo, com um link para baixar o extrato pessoal da Nota Fiscal Paulista. Segundo pesquisadores, a taxa de cliques nos links da campanha de phishing chegou a 200 mil em menos de 24 horas, um valor considerado muito acima do comum.
A engenhosidade de ataques cada vez mais sofisticados como esse, empreendidos por cibercriminosos brasileiros, chama atenção crescente de especialistas internacionais.
Tal sofisticação é fruto do aumento da taxa de bancarização da população brasileira, que levou os criminosos do país a se especializarem em um tipo específico de ataque, que os diferencia dos hackers de outros países da América Latina: os malwares bancários.
O ponto principal que chamou a atenção dos pesquisadores foi a técnica utilizada pelos criminosos para espalhar o programas maliciosos. Os hackers enviam arquivos para redes de distribuição de conteúdo do Facebook, as chamadas CDN.
Para entender a gravidade desse tipo de utilização, é necessário saber que CDN é uma rede de servidores em vários países que propaga o conteúdo de grandes sites pelo mundo. Do calibre do Google, Netflix, Facebook, o que evita o uso indiscriminado de banda. Se o Netlix, por exemplo, percebe que uma série está sendo muito baixada na América Latina e ela está hospedada em um servidor nos Estados Unidos, a CDN da empresa cria uma cópia dos arquivos da série em servidores mais próximos geograficamente do Brasil, para diminuir o consumo da infraestrutura global da internet.
— Na perspectiva de um criminoso, utilizar uma CDN é um processo bastante simples: basta fazer o upload do arquivo malicioso que deseja difundir em algum serviço do Facebook, como Messenger, timeline ou grupo, copiar a URL de hospedagem e utilizá-la na campanha maliciosa — descreve Camillo Di Jorge, gerente da ESET no Brasil, e especialista em segurança digital há 20 anos, em entrevista ao R7.
Criminosos estão abusando das CDN — principalmente as que possuem alguma possibilidade de interação, como Facebook e Google Docs — para burlar programas de segurança e facilitar o download de partes do malware sem interferência de programas antivírus.
O malware é baixado no computador da vítima em partes, para dificultar a detecção. O primeiro arquivo baixado após a vítima clicar em um link criminoso, tem a extensão .LNK, um downloader que baixa um pequeno programa que aí sim realiza o download dos arquivos que compõe o malware bancário.
O programa invasor é capaz de monitorar atividades de rede e interromper sessões bancárias. Segundo pesquisadores da ESET, os banloads (nome técnico para os tais malwares bancários) são capazes de clonar páginas reais de bancos e substituir no momento de acesso, capturando dados de login e realizando transações no futuro sem que os clientes saibam.
Bruno Prado, especialista em segurança e presidente da UPX Technologies, afirma que esses ataques mostram a sofisticação cada vez maior dos cibercriminosos brasileiros.
— Criminosos brasileiros são muito criativos e capazes de desenvolver artifícios próprios para surpreender autoridades. A falta de legislação e credibilidade dos órgãos competentes também motivam o avanço das práticas ilícitas no país — afirma Prado ao R7.
O simples artifício de utilizar uma CDN de grande empresa dificulta bastante o trabalho de pesquisadores de segurança, uma vez que é necessário bloquear cada URL individualmente para diminuir o alcance da campanha uma vez que ela é identificada.
Parte da culpa é dos próprios administradores de CDN, segundo Fernando Mercês, pesquisador sênior da empresa de segurança Trend Micro. Para ele, são esses profissionais que poderiam dar um tempo de resposta mais ágil e impedir a proliferação dessas brechas de segurança.
— Caso o provedor da CDN tenha uma equipe de segurança dedicada e um bom tempo de resposta, é possível que o ataque seja retirado de operação mais rapidamente — pontua Mercês.
Smartphones também ameaçados
Apesar dessa ameaça ser mais complexa e perigosa em computadores, o sistema Android já começa a ser ameaçado pelos primeiros malware bancários que infestam smartphones em todo o mundo.
O mais recente deles é o BankBot, um vírus escondido em apps de lanterna e jogos tipo Paciência, especializado em interferir nas operações de apps de bancos internacionais como WellsFargo e Citibank. Esse tipo de ameaça não chegou ao Brasil com força ainda, mas parece ser questão de tempo quando cibercriminosos nacionais começarão a criar coisas similares — ou adaptá-las.
Tal possibilidade é de preocupação extrema para bancos e pesquisadores de segurança, uma vez que um smartphone infectado é muito mais difícil de ser analisado.
— Considero smartphones um problema ainda maior para a segurança. Todos os dados do banco estão na palma da mão. Basta um ladrão levar seu celular com algum problema de configuração de segurança, ou [o dono do aparelho] entrar em uma rede Wi-Fi comprometida para as informações de acesso estarem em risco — descreve Camillo Di Jorge, da ESET.
Infelizmente a vida não é fácil para o usuário quando o assunto é segurança. Não basta apenas ficar de olho na veracidade do app da moda ou checar sem parar as configurações de segurança do seu aparelho. Às vezes o problema está ao lado.
Bancos investem anualmente R%24 2 bilhões em segurança para garantir a tranquilidade de seus clientes.
— Além de apps falsos que fingem ser bancos brasileiros, há outro elemento da cadeia de ataque que oferece mais risco, como o roteador ADSL (o “modem”) da vítima, capaz de afetar todos os dispositivos conectados — pontua o pesquisador Fernando Mercês.
É preciso ficar atento ao tipo de app que se está baixando, pois a sensação de segurança oferecida pela Play Store não é totalmente verdadeira.
Um estudo conjunto da ESET, Avast e SfyLabs revelou o funcionamento de uma rede de apps que escondiam dentro de si perigosas versões de malware específicos para atacar bancos.
Para conseguir a aprovação do app pelo sistema de segurança automatizado do Google, os criminosos camuflavam o código do BankBot em servidores externos. O app em si tinha apenas linhas de comando para ativar o download após a instalação, que se disfarçava para usuários como uma atualização comum da Play Store.
O malware então esperava um login em algum banco para roubar credenciais de acesso e realizar operações financeiras com elas.
No Brasil, esse problema é ainda maior, por quadrilhas contarem com o apoio de funcionários corruptos de bancos que repassam a ela dados sigilosos sobre o fluxo financeiro da instituição.
— Dadas as condições sociais e financeiras do país, recrutar essa “mão-de-obra” fica mais fácil, além de tornar o ataque muito mais sofisticado e aumentar suas chances de sucesso, dificulta as investigações policiais — afirma Fernando Mercês.
Há ainda uma preocupação maior pela proliferação cada vez maior de um mercado paralelo de venda de malwares. Pesquisadores descrevem como “assustadora” a possibilidade cada vez maior de malwares estrangeiros serem vendidos e adaptados para o mercado nacional.
Existem diversos sites e fóruns que facilitam a venda desses vírus, basta ao atacante comprar um deles e adaptar para suas necessidades com um conhecimento mínimo de programação e ciberataques.
— Percebemos que mesmo pessoas sem muito conhecimento técnico conseguem realizar um ataque do tipo — observa Di Jorge.
"Os bancos estão preparados"
Os pesquisadores foram unânimes ao afirmar que os bancos brasileiros possuem estrutura suficiente para lidar com muitos desses ataques, mas reiteraram a sofisticação cada vez maior dos criminosos. Mais uma vez, grande parte da responsabilidade cai na educação dos usuários para conseguir prever fraudes e phishing.
— O nível de segurança dos bancos brasileiros é bem alto, mas a sofisticação das ameaças também. Ambos estão preparados e entendem bem como as fraudes funcionam. Quando um usuário cai em uma armadilha, é muito difícil que a instituição bancária identifique quando uma transferência é fraudulenta, já que todo o processo é feito com os dados corretos e o dispositivo do alvo — diz Fernando Mercês.
Os bancos brasileiros, através da Febraban (Federação Brasileira de Bancos), destacam em comunicado enviado ao R7 que “investem anualmente cerca de R$ 2 bilhões em sistemas de TI voltados para segurança. O objetivo é garantir a tranquilidade de seus clientes e colaboradores”.
Além disso, informam que “o comportamento do cliente é crucial para amenizar os riscos de perdas” e recomendam a todos que possuem contas em banco que acessem a cartilha da federação sobre segurança e engenharia social.
Para se proteger, é necessário educação da parte do usuário. Não apenas conhecer um tipo de golpe específico, mas cuidados da forma mais ampla possível.
— A educação para não cair em golpes do tipo vai muito além do online. Muitas pessoas acham que com ela nada vai acontecer. Por isso tornam públicas informações sensíveis, por acharem que ninguém vai usá-las. Essa falsa sensação de segurança pode trazer prejuízos sérios na vida de muita gente — ressalta Camillo Di Jorge.