Malwares bancários brasileiros são sofisticados e o tipo favorito dos nossos cibercriminosos
O Brasil é muito diferente dos outros países da América Latina. Esta frase foi repetida algumas vezes durante o 4º Foro ESET de Seguridad Informática, realizado na semana passada, na Costa Rica. E as nossas particularidades não estão apenas no idioma ou nos hábitos; até o nosso cibercrime tem suas características exclusivas. Prova disso é o tipo de ataque preferido por aqui: malwares bancários.
• A brecha que simula sites e dribla o HTTPS é bem perigosa – e consegue enganar o Firefox
• Aplicativos de lanterna escondiam malware bancário na Google Play Store
O motivo? Além da rentabilidade, Cassius Puodzius, pesquisador de segurança da ESET, aponta que a taxa de bancarização por aqui vem em uma crescente que é atraente para os atacantes. De acordo com dados da FEBRABAN (Federação Brasileira de Bancos) 90,40% dos cidadãos possuem conta em banco. A estatística leva em consideração o população acima dos 16 anos e os CPFs únicos de pessoas com mais de 15 anos que estão ativos no Banco Central do Brasil.
A mesma pesquisa mostra que o número de transações (consultas e movimentação financeira entram na mesma estatística) por canais digitais tem crescimento sólido. Só no mobile banking, por exemplo, o uso quadruplicou em três anos. Prato cheio para hackers maliciosos, e a Visa tem um dado que dá uma dimensão bem palatável desse mercado: a cada US$ 100 transacionados no mundo, US$ 0,06 são perdidos com fraudes.
Cassius Puodzius, pesquisador de segurança da ESET, explica atuação do cibercrime no Brasil
De acordo com a detecção da ESET, um a cada cinco malwares no Brasil é bancário. Os ataques ainda acontecem no computador, geralmente com o malware se instalando a partir de um arquivo malicioso que chega por email. Os ataques de phishing, a propósito, estão cada vez mais sofisticados. Mas, é questão de tempo até que os ataques cheguem nos celulares. Na verdade, já está acontecendo, apesar de não existirem casos expressivos no Brasil.
“No futuro veremos mais APKs maliciosos, haverá uma migração do cibercrime para o mobile banking”, comentou Cassius durante o evento. Entre os incidentes de fraude mais reportados ao CERT.BR (Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil) em 2016, as páginas falsas representavam 91%, enquanto que os malwares apenas 5%. Mas esse dado é distorcido, como aponta o pesquisador. Segundo ele, apesar das páginas falsas serem, sim, maioria, elas são mais fáceis de ser reportadas.
Técnicas avançadas
O cibercrime brasileiro tem aprimorado largamente suas técnicas. Um dos exemplos mais expressivos é o malware Client Maximus, desenvolvido especificamente para atacar bancos brasileiros. O método de infecção é bem sofisticado: tudo começa com uma campanha de phishing que hospeda um link malicioso, protegido por uma URL encurtada. O primeiro arquivo com um downloader (de extensão .LNK) se vale de engenharia social, tentando convencer a vítima a instalar um programa para conferir os seus rendimentos na Nota Fiscal Paulistana, por exemplo. O primeiro arquivo em si parece inofensivo, mas baixa outro arquivo que é instalado sozinho (sob certas condições, como idioma configurado no computador, por exemplo). Quando este segundo arquivo é executado, os arquivos que fazem o trabalho duro de ataque são baixados e executados na máquina.
Essas execuções secundárias são possíveis porque os hackers conseguem utilizar infraestruturas confiáveis. Um script roda uma requisição de download para o CDN do Facebook, por exemplo. Assim, soluções de segurança não conseguem bloquear a ação. Esse tipo de ação já é conhecida, mas difícil de conter.
Uma vez instalado, o atacante consegue monitorar a navegação web da vítima, interromper a sessão bancária quando quiser e iniciar uma transação fraudulenta, utilizando técnicas de engenharia social para convencer a vítima a autorizá-la. O malware pode, por exemplo, substituir a página legítima do banco por uma versão clonada e, portanto, utilizar dados sensíveis em tempo real, logando na página do banco em seu computador e copiando senhas e tokens de segurança.
Tudo isso só é possível com uma campanha de phishing bem feita. Em setembro, o pessoal da ESET monitorou alguns padrões de ataque e percebeu que essas campanhas têm sido muito efetivas: no dia 2 de setembro, um email que se passava por uma Nota Fiscal Paulista contendo um link para, aparentemente, realizar o download da nota, recebeu mais de 200 mil cliques, em menos de 24 horas – número muito efetivo.
O jeito de evitar esses ataques é seguir os conselhos básicos de segurança: preste bastante atenção nos links que recebe por email ou aplicativos de mensagem e lembre-se que é raríssimo que um banco te envie uma mensagem contendo um link para atualização de dados. No celular, verifique se o aparelho está configurado para não permitir downloads que não sejam de fontes confiáveis.
O jornalista viajou para a Costa Rica a convite da ESET
Imagem do topo: CyberHades/Flickr