Compras, transferências de dinheiro e serviços bancários on-line são tecnologias que nos fazem economizar muito tempo e, por isso, tornam a nossa vida mais fácil. No entanto, elas também tornam a vida mais fácil para os cibercriminosos, porque oferecem novas e simples formas de roubar o nosso dinheiro ao usar dados de pagamento roubados para obter lucro rápido. Embora os bancos tentem proteger os seus clientes, os ataques contra usuários individuais ainda são bastante comuns. Hackear um banco é mais demorado e caro, sem contar o alto risco do cibercriminoso ser pego, do que as contas de clientes individuais que usam computadores com inúmeras vulnerabilidades. Ao roubar uma quantidade relativamente pequena de cada conta bancária online seqüestrada, o cibercriminoso tem uma boa chance de passar despercebido. Além disso, os ataques contra clientes individuais são amplamente automatizados e exigem quase nenhum envolvimento do operador.
Armas de infecção em massa
Os trojans bancários, há anos, têm sido muito populares no mercado criminal. O grande número de vítimas em potencial (que não mantém programa de segurança em seus computadores) dá enormes oportunidades para a atuação dos cibercriminosos. O trojan infecta uma estação de trabalho e coleta, de forma independente, as informações de pagamento, alguns são até mesmo capazes de realizar transações financeiras em nome dos usuários. Por exemplo, o trojan bancário ZeuS injeta sua própria forma de entrada de dados em uma página da web, o que permite obter detalhes de pagamento do usuário (número do cartão, CVC2/CVV2 , nome completo, endereço de cobrança etc.).
Depois de injetar seu código no navegador, Carberp, um programa malicioso que é generalizado no ciberespaço russo, salva os dados de cartão bancário (número) a partir da página principal do sistema bancário on-line e, em seguida, solicita ao usuário informações adicionais (CVV2 , dados pessoais etc ). Além da injeção web, os trojans usam outras técnicas para obter informações de pagamento. Por exemplo, as últimas variantes do malware Carberp mencionado acima podem modificar o código de iBank 2, um sistema bancário on-line popular, que permite a eles para interceptar dados de pagamento.
Passando a segunda barreira
Alguns bancos tornam a vida mais difícil para os cibercriminosos com o auxílio de sofisticados fatores de autenticação, como tokens, que são pequenos dispositivos USB que contém uma chave de usuário que é solicitada cada vez que se realiza uma operação de pagamento. Os desenvolvedores do trojano Lurk encontraram um engenhoso método de iludir esta proteção e valorizar as trasações de pagamento:
- Um usuário inicia uma transação de pagamento online no sistema do banco e entra detalhes importantes.
- O trojano intercepta os detalhes de pagamento e espera a reação do token.
- O sistema de banco online incentiva o usuário a utilizar o token, que pode fazer conectando o token USB em uma porta hardware.
- O trojano intercepta este usuário a ver uma “tela azul da morte”, que informa ao usuário que um despejo de memória está sendo criado para posterior análise.
- Enquanto o usuário está esperando que a operação se complete, os cibercriminosos, que agora têm acesso à conta do usuário, completam sua transação de pagamento transferindo o dinheiro do usuários às suas contas.
Sistema de segurança das transações financeiras
Depois que um malware bancário abre caminho para um computador, é necessário encontrar a maneira de interceptar os dados de pagamento. Os trojanos utilizam as seguintes técnicas para conseguir isso:
- Injeção Web (modifica o conteúdo das páginas web antes de mostrá-las ao usuário)
- Sequestra uma sessão HTTP/HTTPS (um exemplo clássico de ataque do tipo “man-in-the-middle”)
- Imita uma forma deautenticação ou redireciona a uma página de phishing
- Realiza capturas da tela do computador
Entendendo esta lista de ameaças pode-se criar um cenário seguro de pagamento:
- O usuário abre o banco online no navegador.
- A solução antivírus detecta a ameaça e analiza o sistema operacional para as vulnerabilidades críticas. Um exemplo é a solução “Caixa de Segurança”, desenhada para proteger os dados de pagamento e que desenvolve plenamente este conceito utilizando uma base de conhecimento incorporado no produto antivírus.
- Ao mesmo tempo, o módulo anti-phishing comprova a URL em uma base de datos de recursos de confiança. A solução software, que protege a informação de pagamento, solicita como informação o nome de domínio sobre uma base já conhecida.
- A solução antivírus comprova o certificado utilizado para estabelecer a conexão segura.
- Se o certificado é encontrado na base de dados de confiança, a solução antivírus coloca em ação o processo de exploração e estabelece uma conexão HTTPS segura com a URL solicitada. O processo do navegador é contralado pelo software antivírus, protegido de ser manipulado por outras aplicações.
- O usuário entra nos detalhes da transação de pagamento (número do cartão, CVV2/CVC2, dados pessoais, etc) com uma entrada de teclado seguro, que garantiza que o código de exploração de cada tecla pulsada seja transferida de forma segura ao navegador.
À bala de prata
Bancos e sistemas de pagamento protegem ativamente seus usuários. Eles requerem autenticação múltiplos fatores: o uso de dispositivos adicionais (tokens, chipTANs, etc), vários avisos de uma possível fraude. Tudo isso para proteger o dinheiro do cliente. No entanto, os cibercriminosos continuam aparecendo com novas e igualmente sofisticadas formas de roubar informações de pagamento e códigos de autorização de transações adicionais.
É por isso que é muito importante implementar a proteção de 360 graus para o cliente, assegurando o computador, o canal de comunicação do usuário e garantindo que se conecte ao servidor direito. Este, é exatamente o princípio usado em nossa tecnologia “Safe Money” (Dinheiro Seguro em português) dentro do Kaspersky Internet Security. Ele fornece uma solução abrangente para o problema de roubo de dinheiro online, oferecendo proteção à prova de balas contra qualquer atividade maliciosa de malware bancário.
Dicas