SAS 2014: O golpe do boleto no Brasil

21 fev 2014

PUNTA CANA – O segundo dia da Conferência de Segurança da Kaspersky Lab foi marcado por três momentos.

sas2

O dia começou com a palestra “Depois do Malware Bancário Zeus” que abordava o futuro do malware bancário, ministrada por Sergey Golovanov, especialista em malwares e integrante do grupo de Pesquisa e Análise da equipe Global da Kaspersky. Por anos, o Trojan Zeus tem sido o galinha dos ovos de ouro entre os malwares bancários e, em muitos aspectos, ainda é. Com certeza, houve outras ameaças, mas cada uma tem pouca relevância em comparação ao Zeus em termos de longevidade, distribuição e eficácia. No entanto, Golovanov afirmou que isto está prestes a mudar: os cibercriminosos estão desenvolvendo novas maneiras de roubar dados bancários dos usuários com trojans como Carberp 2.0, Neverquest e Siz, que podem destronar o Zeus.

Na sala ao lado, Charlie Miller, do Twitter, e Chris Valasek, da IOActive, apresentaram sua bem conhecida apresentação sobre o hacking de carros. Foi, como sempre, um briefing maravilhoso. Já falamos disso em outras ocasiões. O único elemento realmente novo foi a sugestão de que a detecção de antivírus pode pegar anomalias da comunicação de rede entre computadores. Os pesquisadores afirmaram que o tráfego ao longo dessas redes é realmente muito previsível. Na verdade, a fim de que seus carros hackeados não façam absolutamente nada, os pesquisadores tiveram que inundá-los com mais pacotes de dados do que qualquer carro normal mandaria. Assim, pegando as variações da norma, eles puderam fornecer uma forte defesa contra tentativas de roubo de carros no futuro. Para mais informações, você pode ouvir este breve podcast com Miller e Valasek ou ler este artigo mais completo postado pelos nossos amigos do Threatpost (ambos em inglês).

Os especialistas em segurança da Kaspersky Lab, Fabio Assolini e Santiago Pontiroli, falaram durante a conferência sobre um esquema bancário tão transcendente que rouba dinheiro dos usuários offline. A dupla explicou que uma das formas mais populares para as empresas e indivíduos pagarrm contas no Brasil é com “boletos”. São documentos de fatura especiais, emitidos por bancos e empresas, que são usados ​​não só para pagar as contas, mas também o pagamento de bens e serviços.

Com um pouco de hacking e um monte de engenharia social, os cibercriminosos brasileiros estão encontrando maneiras de imitar os códigos de barras e outros identificadores de um boleto. Uma vez que eles têm esses códigos, podem simplesmente imprimir ou transferir dinheiro das contas de suas vítimas para as suas. Na realidade, este tipo de ataque é muito semelhante aos ataques de falsificação de anos atrás, não é exclusivo de um roubo moderno online.

O diretor de pesquisa de vulnerabilidades e ameaças da Qualys, Billy Rios, demonstrou que poderia injetar código e imitar a saída de informações por alguns dos sistemas de segurança mais emblemáticos do aeroporto, utilizando os sistema da Agência de Segurança dos Transportes e outros protetores para detectar itens proibidos. Ele descreveu as façanhas de uma maneira embaraçosamente simples. Em breve, teremos o relatório completo sobre esta pesquisa e vamos fornecer um link assim que for publicado.

O especialista Sergey Golovanov retornou ao palco juntamente com um analista de vírus da Kaspersky Lab, Kirill Kruglov, para demonstrar como os caixas eletrônicos e terminais de ponto de venda são vulneráveis ​​a ataques. O problema central com esses dispositivos, segundo explicou os especialistas, é que, além de que o Plastic Casing e os PINs pads serem antigos e estejam fora de moda, muitas vezes eles não funcionam em alguns sistemas operacionais. O principal culpado é, como sempre, o Windows XP, para o qual há um incontável número de vulnerabilidades conhecidas e exploradas​​. Tillman Werner, do CrowdStroke, levou isso para o próximo nível em sua palestra, dizendo que os invasores viram no roubo de ATM um negócio de milhões de dólares, com uma combinação de malwares especialmente criados para esta finalidade.

O diretor Billy Rios junto com o seu colega Terry McCorkle apresentaram a palestra “Possuir Edifícios para diversão e lucro”, que abordava a infraestrutura crítica de (in)segurança, demonstrando exatamente como as vulnerabilidades digitais podem ser exploradas para causar danos reais. Mais especificamente, os pesquisadores do Qualys demonstraram que os sistemas de segurança de construção física e outras endpoint machines podem ser possuídos e usados para manipular sistemas de controle de vigilância por vídeo e acesso (leia-se: fechaduras de portas) e até mesmo causar danos à equipe industrial.

 

Traduções: Berenice Taboada Díaz