Os roubos a banco no Brasil costumam causar mais estragos quando são realizados de forma digital: fraudes eletrônicas resultaram em perdas de R$ 1,8 bilhão em um ano, segundo a Febraban (Federação Brasileira dos Bancos).

Recentemente, uma instituição financeira do Brasil sofreu um ataque bastante ousado: um grupo de hackers redirecionou todos os clientes online do banco para um site falsificado e perfeitamente reconstruído, com o intuito de roubar senhas.

Foto por Kris/Pixabay

Pesquisadores da empresa de segurança Kaspersky descrevem um caso sem precedentes, que basicamente sequestrou a presença online de um banco inteiro. Segundo eles, hackers alteraram os registros de DNS de todas as 36 propriedades online do banco, incluindo o site para desktop e a versão móvel, e redirecionaram os usuários para um site de phishing.

Pior: o navegador web não podia alertar os usuários de que estavam sendo enganados. “Meses antes, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque”, explica a Kaspersky. Com um certificado legítimo e a conexão criptografada, o navegador dizia que o usuário estava seguro.

Quando o usuário acessava o site falso, recebia um aviso para instalar um “plug-in de segurança” que na verdade era um malware para coletar informações de login do banco, credenciais de e-mail e listas de contatos do Outlook e do Exchange. De quebra, ele ainda eliminava o plug-in de segurança real instalado no computador da vítima, para evitar detecção.

Os sites do banco foram sequestrados por aproximadamente cinco horas, e a empresa não conseguia sequer enviar e-mail para alertar os clientes.

Foi o Banrisul?

OK, mas que banco é esse? A Kaspersky não revela, mas diz à Wired que se trata de “uma grande empresa financeira brasileira com centenas de agências, operações nos EUA e nas Ilhas Cayman, 5 milhões de clientes e mais de US$ 27 bilhões em ativos”.

Segundo a Kaspersky, o ataque ocorreu em 22 de outubro de 2016. No mesmo dia, o site do Banrisul (Banco do Estado do Rio Grande do Sul) estava sendo redirecionado para uma página de phishing, com um link para baixar um ladrão de senhas bancárias.

Página falsa do Banrisul que recomendava instalar um arquivo malicioso em outubro de 2016.

Em nota ao Tecnoblog, o Banrisul diz:

O Banrisul desconhece se os fatos recentemente noticiados referem-se ao banco, pois muitos dados e informações divulgados, em especial os relativos à extensão dos danos, domínios e canais afetados e profundidade do ataque, não conferem com o incidente efetivamente enfrentado por nossa instituição no ano passado. Conforme anteriormente divulgado, o Banrisul passou por um incidente em seu domínio de internet, cuja origem foi externa à sua infraestrutura, que foi imediatamente tratada por seus técnicos, e que, devido ao alto grau de segurança de seus canais, não provocou prejuízos a seus clientes.

O banco diz que a descrição da Kaspersky não bate com a “extensão dos danos, domínios e canais afetados e profundidade do ataque” sofrido em outubro de 2016.

Frederico Neves, diretor de tecnologia do NIC.br, também discorda de alguns detalhes — especificamente, de que 36 domínios do banco foram sequestrados. “Posso garantir que os números que a Kaspersky está divulgando são especulações”, diz ele à Wired. O NIC.br comanda o Registro.br, responsável pelo registro e manutenção dos domínios .br, e que também gerencia o DNS de alguns sites.

Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o caso, diz à Wired que metade dos 20 maiores bancos não gerenciam seu próprio DNS, confiando em terceiros que podem ser hackeados. E o interesse a roubos virtuais a banco é enorme: em 2015, cerca de 95% dos ataques ocorridos no Brasil tinham como alvo as instituições financeiras no país.

Com informações: Kaspersky, Wired.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

??????? ??????
Bradesco
Steinnorff Bourustinrher
No teu teu caso, Bruno, é um caso particular. O que acontece é que recebo muitos emails de crackers. Alguns falam que minha conta será fechada por inatividade, outros falam sobre segurança... O comum é que todos incitam que eu clique nos links. Quando coloco o mouse encima do link as vezes aparece não o domínio, mas um IP que aponta para fora seguido de um diretório todo mal feito. Algumas vezes quando se clica o site já força o download. Não sei dessa história que banco manda email oficial informando procedimentos de segurança. Nunca vi isso acontecer. Só vejo mesmo emails de crackers com fins maliciosos.
Felipe Silva
Atualmente qq transação financeira exige o cartão com a leitora usb, mesmo que seja de 1 centavo, e faz tempo isso. Sem o cartão tu somente consegue fazer consultas ao sistema.
Felipe Silva
Qual banco que não usa um plugin de segurança?
Felipe Silva
Se foi o Banrisul não teriam, pq pode ter sido quando bagunçaram o banco de dados deles e zeraram um monte de conta, isso aconteceu em 2015, e o banco levou dias pra restaurar o saldo de todo mundo. Bem que na época eu achei que o caso tinha cara de cornina de fumaça para encobrir alguma outra ação, já que só bagunçaram o banco de dados, sem aparentemente roubar nada.
Alex Juchem
Esse Banrisul ... banco público é uma m*** https://ww7.banrisul.com.br/brb/link/Brbw4Ahw_Vero.aspx
ochateador
NuBank não é banco..
Samuel Cesar
HSBC Do BR foi comprado pelo Bradesco e todos seus clientes desde do ano passado fazem parte do banco brasileiro.
Gustavo
Se for pra apostar em algum entre HSBC e Banrisul, eu apostaria no Banrisul. O HSBC é um banco global (6º maior) com presença em mais de 80 países. É de se imaginar que os sistemas do banco sejam muitíssimo seguros. Obviamente não sei os detalhes de como o site do banco funciona, mas parece que é um sistema compartilhado em todos os países onde o banco atua. Seria um estrago e-e-no-nor-me-me se esse banco for o HSBC (e claro, se o sistema for o mesmo globalmente).
brunossn
Essa semana o site do Itaú estava redirecionando para um falso, ficou uns 20 minutos assim e depois voltou ao normal. O app do banco simplesmente dava erro e não conectava.
dv47
UPDATE: Agora que vi que o Banrisul também pode ser já que tem em média a mesma quantidade de clientes e também agência em Cayman Fontes: https://www.banrisul.com.br/bob/link/bobw02hn_conteudo_detalhe2.aspx?secao_id=996 http://exame.abril.com.br/revista-exame/os-10-bancos-com-mais-correntistas-no-brasil/
dv47
Eu acho que é a HSBC por seguintes motivos: 1 - Aqui informa que tem 5 milhões de clientes: https://www2.senado.leg.br/bdsf/bitstream/handle/id/513992/noticia.html?sequence=1 2 - Aqui informa sobre a agência em Cayman `(o HSBC Brasil sediada nas Ilhas Cayman (“HSBC Cayman”)` https://www.hsbc.com.br/1/PA_esf-ca-app-content/content/hbbr-pws-gip16/portugues/personal/comum/pdf/resultados-financeiros-hsbc-bank-junho-2014.pdf Procurei por histórico de DNS se teve alguma mudança na data mostrada na reportagem, mas não achei, acho que só falta isso para confirmar se é ou não HSBC
Bruno Vieira
O Itaú sempre envia e-mail avisando dessas coisas mesmo, com informativos de segurança, "não pedimos seus dados por e-mails", etc etc
Noslen Azevedo Junior
Não me espanta que seja o Banrisul. O que dizer de uma instituição que usa um plugin de segurança, por si só um alvo perfeito para phishing, sendo que o original ainda por cima é escrito em JAVA.
Everton Massucatto
Sim, como no caso o sequestro relatado foi somente do domínio, é só redirecionar para outro servidor e emitir o certificado válido. Para evitar a emissão desse certificado o ISP tem vetar o uso da conta de e-mail administrator@ como dito pelo Gustavo no comentário acima. Segue link do post mostrando um caso real: https://disq.us/url?url=https%3A%2F%2Fraymii.org%2Fs%2Fblog%2FHow_I_got_a_valid_SSL_certificate_for_my_ISPs_main_website.html%3Ab5c7y37RM0qRgUaxfVb3qI5BzZc&cuid=3124152
Exibir mais comentários
https://tecnoblog.net/?post_type=post&p=404942