Início » Antivírus e Segurança » Surge o primeiro trojan brasileiro com certificado digital

Surge o primeiro trojan brasileiro com certificado digital

Avatar Por

A Kaspersky, empresa de software de segurança, divulgou hoje a descoberta de um trojan bancário único. Segundo Fábio Assolini, especialista da Kaspersky que divulgou o trojan, esse é o primeiro vírus bancário assinado digitalmente e criado por crimonosos brasileiros. A técnica é usada bastante lá fora mas essa é a primeira vez que é vista dentro das fronteiras brasileiras e atacando especificamente bancos do país.

Como o nome já sugere, um trojan bancário é um tipo de vírus criado especificamente para se passar por uma ferramenta de banco, sendo distribuído através de emails falsos para, assim, capturar dados do usuário. Um certificado digital nesse tipo de trojan passa uma confiança maior e por isso há uma grande chance do usuário cair no golpe.

Certificado usado no trojan | Crédito: Kaspersky

Segundo Fábio, o certificado foi revogado em 13 de junho, 15 dias após sua emissão. Isso foi tempo o suficiente para os criminosos criarem um email falso de um banco e tentarem infectar usuários, algo que o especialista diz que infelizmente aconteceu. A primeira detecção desse trojan pela Kaspersky foi no dia 6 de julho, mas apenas agora sua existência foi divulgada. Ao conversar por telefone com Fábio, ele não quis revelar qual banco foi usado no golpe, já que não faz diferença para o usuário.

A responsável por emitir o certificado é uma CA, ou autoridade certificadora. Enquanto algumas CAs verificam a autenticidade da empresa para a qual está emitindo o certificado ligando para um telefone, nem todas fazem isso. Nesse caso, o certificado foi emitido pela COMODO, uma CA que já teve seu nome envolvido em problemas de segurança - no ano passado uma das suas afiliadas teve seus servidores invadidos e usados para emitir nove certificados falsos.

Também existe a possibilidade da CA ter sido enganada pelo domínio falso registrado pelo autor do trojan, que é bem parecido com o de outra empresa de software conhecida. Ainda assim, é uma falha de segurança séria por parte da Comodo. A Kaspersky diz que os dados do domínio usado para a emissão do certificado são todos falsos - incluindo o endereço em Vitória e o telefone de Pernambuco.

Para evitar cair nesse tipo de golpe, Fábio aconselha o uso do desconfiômetro: não acredite em emails enviados por bancos. O segundo conselho é manter os plugins e navegadores atualizados, no caso do Java (que teve problemas de segurança recente), ele vai até além e aconselha desativá-lo quando não estiver em uso. E por fim, o uso de um anti-virus atualizado é extremamente recomendado.

Atualizado às 11:03, do dia 4/09 | A versão anterior desse texto citava que a CA que foi invadida era subsidiária da Comodo, mas trata-se de uma entidade certificadora afiliada. Essa parte foi corrigida.

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Ozorio Pelegrini
Recebo todos os dias mensagens do Santander e b.brasil pedindo atualizações. Nem tenho conta nestes bancos....
@LBKatan
Eu tinha entendido, na matéria, que não fazia diferença, já que eles poderiam fazer isso com qualquer banco, ou não, aí fiquei confuso hahaha
Turdin
Saber qual banco está sendo alvo das falhas de segurança, se meu banco foi comprometido ou não. Isso pra mim pelo menos é bem relevante.
@LBKatan
Por quê?
@LBKatan
Incrível, né, como ainda tem gente que não nasceu na era da informática! Incrível como ainda tem gente APRENDENDO a usar um computador! Imagina! Cara, e se eu te falar que até IDOSOS usam computador hoje em dia? Nossa, mano. A cada momento fico mais surpreso. Além disso tudo, o mais incrível é que ainda tem gente que não tem o mesmo tipo de instrução que nós!!! Que mundo é esse que essas pessoas vivem?! Como isso é possível?! Não acredito que eles não tenham um filho inteligente e prestativo como nós para protegê-los desses ataques. Pelo jeito, teremos que esperar que o Super Guia da Internet os ajude!


::srcsm::
Alice
Rafael,

O processo de validação é algo muito crítico nos dias de hoje, e ocorre de diferentes formas dependendo do tipo de empresa.

No caso do Brasil, existem apenas 2 Autoridades Certificadoras que emitem certificados digitais assinados por elas, validados e auditados por elas e por um terceiro ainda, sendo a Certisign e a Trustsign, todas as demais são revendas ou autoridades registradoras, as quais possuem níveis de validação diferentes e em geral não fornecem as empresas que compram delas o respaldo financeiro, jurídico e técnico necessário.

Existem outras autoridades certificadoras no Brasil, como Serasa, Correios, etc, porém, são autoridades certificadoras ICP Brasil, ou seja, as que validam e emitem certificados e-CPF e e-CNPJ, basicamente.

A Comodo Brasil, por exemplo, é um parceiro da Comodo "oficial", não se trata da empresa em si, mas de um parceiro que utiliza o nome dela aqui no Brasil, o que também ocorre em alguns outros casos, e que acaba por ludibriar empresas e consumidores.

O grande problema, na maioria das vezes, é que as empresas brasileiras optam, como já dito por várias pessoas acima, em pagar barato por um certificado, comprando de um parceiro ou nos EUA, porém, não se atentam que dessa forma, não estarão cobertos no caso de problemas com o certificado, afinal, as legislações são totalmente diferentes, fora a questão de suporte em outro idioma, fuso horário, etc.

Quando se fala em segurança da informação, isso também é um tema bastante complicado, um outro exemplo é o de empresas que revendem soluções de segurança no Brasil, e colocam no website que são clientes deles 1.000 empresas diferentes, porém, na verdade eles se utilizando da carteira de clientes que usam a solução em um outro país, e não tem NADA a ver com eles.

Em resumo, vários aspectos deveriam ser vistos pelas empresas que adquirem soluções, e elas deveriam ao menos solicitar referencias concretas ou pegar o nome de três clientes exibidos no website e pedir o telefone e nome da pessoa, para que ela possa ligar e pegar referencias. Nesse processo, tenho certeza de que ficaria claro a falta de seriedade e intenção de crescer ludibriando os "consumidores".

Finalizando, na parte da matéria que vc cita que a Comodo já teve seu nome envolvido em problemas de segurança tbém não confere, pois, a empresa a que vc se refere chama-se Diginotar e não tem NADA a ver com a Comodo.

As empresas que tiveram problemas de segurança com seus certficados nos últimos meses foram Globalsign, Verisign e Diginotar, das quais apenas Diginotar teve suas operações impactadas e fechou as portas.
Rafael Silva
Alice,

Errei em usar 'subsidiária' e ao citar a Comodo, trata-se de uma autoridade afiliada a ela. O texto foi corrigido e uma nota adicionada ao final.

Sobre o resto do seu comentário, gostaria de dizer que não, realmente não conheço os processos de validação de CAs justamente porque não consegui encontrar nenhum registro de como ele acontece. Mas se você quiser usar esse espaço para esclarecer não só para mim mas para todos os demais leitores interessados, ficaria bastante grato. :)
Alice
Rafael,

Acho que você deveria se informar um pouco melhor e tentar traduzir o texto ao pé da letra. Ao utilizar frases como a "Comodo não tem o melhor registro de confiança", fica claro que vc não conhece os processos de validação das autoridades certificadoras.

Existem normatizações para que toda AC siga procedimentos específicos, e assim como a Verisign teve problemas ano passado, qualquer outra CA pode ter, ainda mais quando se fala em segurança da informação.

Para informação a todos que seguem o blog também, a citada subsidiária que teve seus registros invadidos, mais conhecida como Diginotar, NÃO era uma subsidiária Comodo.

A Comodo é uma das maiores empresas de certificação digital do mundo, e como várias outras AC's, possui parceiros que devem seguir suas normas, porém, é quase impossível que vc force todos a fazerem o que devem, pois, existe algo chamado ética, que se aplica aos seres humanos.

Infelizmente algumas vezes, pos situações diversas, alguns são corrompidos e colocam um negócio ou uma empresa em risco simplesmente por um ganho financeiro, não pensando nas famílias que dependem da empresa onde ele trabalha, e que serão afetadas diretamente caso a empresa sofra danos a imagem, financeiros e outros.

O que é fato aqui é que quando uma empresa compra de uma empresa brasileira, essa deve possuir condições de arcar com todos os prejuízos decorrentes, por isso comprar de revendas ou empresas pouco conhecidas nunca é bom, mas novamente, a questão aqui não foi Comodo.

Quanto as soluções delas, se sinceramente vocês acham que um incidente causado por uma terceira deve comprometer a credibilidade da empresa, vale pensar um pouco mais e de repente voltar a atenção para a corrupção no Brasil e twittar todos os dias sobre isso, pois, anti-vírus hoje é commoditie e a eficácia para ataques direcionados, é quase nula!
Rodrigo Moura
Achei que demorou pra chegar por aqui. :P
UgOw
lolllllllllll
Regina
Quem merece os parabéns a àrea de compras do Banco que economizou uns R$2.000,00 com a aquisição de um certificado mais barato. Sem validação da identidade do comprador do certificado o SSL não tem nenhum valor. Parabéns aos economizadores!!!
Petter
Realmente não sei qual é a noia da Comodo, mas os cara só se dão mal, imagine que utiliza o produto de segurança deles.
Petter
Realmente tudo indica que seja o BB mesmo, aliás já notaram que boa parte dos malwares deste tipo sempre ataca o BB?
Turdin
"ele não quis revelar qual banco foi usado no golpe, já que não faz diferença para o usuário."

Eu acho que faz sim, e muita.
Vitor
Ah, é! Tudo o que eu queria era um vírus bem desenvolvido e criado no Brasil. Quando descobrirem que foi, vai ganhar o 1° lugar no 'O Maior Brasileiro de Todos os Tempos'.
Gus Fune
Comodo é uma das CAs que vende SSL a 10 dólares. E agora ajudando o crime organizado. QUEEEEE beleza.
@tiagosantana
Aquele momento que você vê que sua suite de proteção é da COMODO.
Max
É que as mesmas pessoas que caem no golpe do Çantander são as mesmas que respondem o e-mail automático com "oq estar acontecendo na minha conta?" Estar... ai ai
Antonio
Olhando as imagens, imagino que tenha sido do BB, visto que um plugin de segurança deles que produzido por uma empresa chama GAS Tecnologia. O criador do trojan deve ter "pego emprestado" o nome.
Rayzer
É capixaba?! Quanto orgulho! :D
Ramon Melo
Olha aí, gente, Brasil virando país de primeiro mundo! OH GLÓRIA! \o/
Mauricio
E ainda tem quem caia nesse tipo de golpe?

Sinceramente, tem gente que só aprende apanhando mesmo.
YanGM
Era do Banco do Braziu ou do Çantander? Sério, se querem pegar alguém, escrever direito já ajuda.