A empresa de segurança digital Kaspersky Lab revelou ter rastreado, em outubro do ano passado, um ataque hacker a um banco brasileiro que durou cerca de cinco horas. Durante o período, hackers assumiram o controle de todo o DNS da instituição, que não teve seu nome revelado, e puderam colher nomes e senhas de potencialmente milhões de clientes.

• Hackers podem usar ondas sonoras para controlar o seu smartphone
• Pesquisadores descobriram como invadir qualquer conta do WhatsApp

A invasão ocorreu em 22 de outubro do ano passado, quando, durante cinco horas, hackers alteraram os registros de domínios de 36 propriedades online do banco, redirecionando clientes da instituição financeira para sites de phishing. A Kaspersky acredita que os criminosos comprometeram a conta do banco no registro.br, ou seja, tiveram acesso aos domínios do banco, redirecionando-os para servidores preparados para o ataque.

Com isso, qualquer um que visitasse as versões desktop e mobile da instituição financeira ia parar em sites idênticos. Com certificados HTTPS válidos emitidos em nome do banco, os navegadores dos usuários exibiam o cadeado de segurança, conferindo uma aparência ainda mais legítima para a fraude.

Durante cinco ou seis horas, os hackers foram alimentados com dados como os nomes e as senhas dos clientes do banco que fizessem login durante o período. Os invasores teriam também tomado conta dos servidores de email da instituição, impedindo que ela entrasse em contato com os clientes. Caixas eletrônicos e transações de e-commerce também não fugiram do escopo do ataque. “Realmente não sabemos qual foi o maior dano: o malware, o phishing, as transações ou os caixas eletrônicos”, disse Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o ataque em tempo real.

Apesar de a Kaspersky Lab não revelar o nome do banco, a empresa revelou que se tratava de uma instituição financeira com centenas de filiais, cinco milhões de clientes, operações nos Estados Unidos e nas Ilhas Cayman e mais de US$ 27 bilhões em ativos. O pessoal do Adrenaline relembrou uma publicação do G1, em 24 de outubro, dois dias após o ataque, que relatava um ataque ao Banrisul em 22 de outubro como o descrito acima pela Kaspersky Lab. Segundo a Wired, os certificados de segurança para o ataque foram conseguidos seis meses antes pelos hackers, que tiveram controle do DNS por todo esse tempo e esperaram para agir meticulosamente.

Os sites afetados, além do phishing, infectaram os dispositivos de suas vítimas com um malware disfarçado de atualização de um plug-in de segurança oferecido pelo banco, podendo colher também credenciais de email e FTP, além de listas de contato do Outlook e do Exchange. Esse vírus ainda incluía uma função para desabilitar o software de antivírus dos clientes afetados, o que significa que, em alguns casos, a extensão do ataque nos dispositivos pessoais dos usuários pode ter durado muito mais do que as cinco horas em que o domínio do banco esteve sob controle.

[Wired, Adrenaline]

Imagem do topo: Getty Images