Como hackers sequestraram a operação online de um banco brasileiro
Os roubos a banco no Brasil costumam causar mais estragos quando são realizados de forma digital: fraudes eletrônicas resultaram em perdas de R$ 1,8 bilhão em um ano, segundo a Febraban (Federação Brasileira dos Bancos).
Recentemente, uma instituição financeira do Brasil sofreu um ataque bastante ousado: um grupo de hackers redirecionou todos os clientes online do banco para um site falsificado e perfeitamente reconstruído, com o intuito de roubar senhas.
Pesquisadores da empresa de segurança Kaspersky descrevem um caso sem precedentes, que basicamente sequestrou a presença online de um banco inteiro. Segundo eles, hackers alteraram os registros de DNS de todas as 36 propriedades online do banco, incluindo o site para desktop e a versão móvel, e redirecionaram os usuários para um site de phishing.
Pior: o navegador web não podia alertar os usuários de que estavam sendo enganados. “Meses antes, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque”, explica a Kaspersky. Com um certificado legítimo e a conexão criptografada, o navegador dizia que o usuário estava seguro.
Quando o usuário acessava o site falso, recebia um aviso para instalar um “plug-in de segurança” que na verdade era um malware para coletar informações de login do banco, credenciais de e-mail e listas de contatos do Outlook e do Exchange. De quebra, ele ainda eliminava o plug-in de segurança real instalado no computador da vítima, para evitar detecção.
Os sites do banco foram sequestrados por aproximadamente cinco horas, e a empresa não conseguia sequer enviar e-mail para alertar os clientes.
Foi o Banrisul?
OK, mas que banco é esse? A Kaspersky não revela, mas diz à Wired que se trata de “uma grande empresa financeira brasileira com centenas de agências, operações nos EUA e nas Ilhas Cayman, 5 milhões de clientes e mais de US$ 27 bilhões em ativos”.
Segundo a Kaspersky, o ataque ocorreu em 22 de outubro de 2016. No mesmo dia, o site do Banrisul (Banco do Estado do Rio Grande do Sul) estava sendo redirecionado para uma página de phishing, com um link para baixar um ladrão de senhas bancárias.
Em nota ao Tecnoblog, o Banrisul diz:
O Banrisul desconhece se os fatos recentemente noticiados referem-se ao banco, pois muitos dados e informações divulgados, em especial os relativos à extensão dos danos, domínios e canais afetados e profundidade do ataque, não conferem com o incidente efetivamente enfrentado por nossa instituição no ano passado. Conforme anteriormente divulgado, o Banrisul passou por um incidente em seu domínio de internet, cuja origem foi externa à sua infraestrutura, que foi imediatamente tratada por seus técnicos, e que, devido ao alto grau de segurança de seus canais, não provocou prejuízos a seus clientes.
O banco diz que a descrição da Kaspersky não bate com a “extensão dos danos, domínios e canais afetados e profundidade do ataque” sofrido em outubro de 2016.
Frederico Neves, diretor de tecnologia do NIC.br, também discorda de alguns detalhes — especificamente, de que 36 domínios do banco foram sequestrados. “Posso garantir que os números que a Kaspersky está divulgando são especulações”, diz ele à Wired. O NIC.br comanda o Registro.br, responsável pelo registro e manutenção dos domínios .br, e que também gerencia o DNS de alguns sites.
Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o caso, diz à Wired que metade dos 20 maiores bancos não gerenciam seu próprio DNS, confiando em terceiros que podem ser hackeados. E o interesse a roubos virtuais a banco é enorme: em 2015, cerca de 95% dos ataques ocorridos no Brasil tinham como alvo as instituições financeiras no país.