Blue Coat Photos

Como hackers sequestraram um banco brasileiro

Em um ataque direto, invasores utilizaram a própria infraestrutura bancária para fazer um ataque de phishing de grandes proporções.

|
13 Abril 2017, 2:30pm

Blue Coat Photos

Na internet você não compra de quem não confia. O mesmo se aplica a nossa relação com bancos: só digitamos nossos dados se confiamos no site e no computador em que estamos. É como deve ser. Confiança é o que nos faz mover nossas moedas e, não à toa, é a palavra-chave de toda propaganda alegrinha de banco. Confiança, confiança, confiança.

Mas e se o seu banco não for exatamente quem ele diz ser?

Foi esse o problema que os usuários de um banco brasileiro (evidências apontam para o Banrisul, do Rio Grande do Sul, muito embora ninguém confirme) encararam no último dia 22 de outubro, em um dos ciberataques mais engenhosos que se tem notícia no Brasil. Segundo informações da empresa de segurança Kaspersky, o ataque tomou controle de boa parte da infraestrutura online do banco.

Os invasores conseguiram, com estranha facilidade, tomar controle dos registros DNS (Domain Name System) do banco — serviço que vincula o endereço de IP do servidor a seu nome em texto que aparece na barra de endereço do navegador. De acordo com a Kaspersky, foram 36 domínios comprometidos. Eles foram usados para direcionar o tráfego do banco para servidores hospedados na nuvem sob controle dos atacantes.

Qualquer usuário que tenha acessado a página do banco naquele sábado provavelmente não notou nada de estranho. Mesmo os mais atentos com questões de segurança estavam vulneráveis. Foi uma falsificação silenciosa. Os navegadores não emitiram nenhum tipo de alerta ao acessar página do banco a partir de um servidor diferente. Segundo a Kaspersky, isso rolou porque os hackers planejaram o ataque muito tempo antes. "Meses antes do incidente, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque", afirmou a empresa, em nota.

O protocolo SSL (Secure Socket Layer) é uma camada de segurança que protege a transferência de dados online por meio da criptografia. Entre estes dados está, claro, a troca de emails. No caso do ataque sofrido pelo banco, os hackers obtiveram a certificação gratuitamente por meio da certificadora Let's Encrypt, mantida pela Linux Foundation. Segundo o fundador do projeto falou a Wired, uma vez que os hackers tiveram controle sobre o domínio, foi possível receber um certificado totalmente legítimo.

Sem essa primeira linha de defesa, os usuários foram encaminhados exatamente para onde os hackers queriam: uma página da igualzinha à do banco e totalmente sob o controle deles. Todas as informações inseridas na página pelos usuários, de links clicados a login e senha, seriam encaminhadas para os servidores controlados pelos atacantes. Um golpe de mestre.

E não foi tudo. Além do domínio sob o tráfego, os hackers também utilizaram o site para distribuir um programa malicioso sob pretexto de atualizar um plug-in de segurança. "O malware foi projetado para, depois de instalado, roubar, entre outras coisas, informações de login de bancos on-line e em dispositivos móveis, listas de contatos do Outlook e do Exchange, assim como credenciais de e-mail e FTP", segundo informou a empresa.

Mesmo que o usuários tivessem um bom antivírus instalado no aparelho, isso não seria suficiente para protegê-los. Junto do malware, os hackers distribuíram um programa utilizado para remover rootkits, o Avenger, configurado para fazer a remoção de programas antivirus. O ataque utilizando o anti-rootkit foi classificado como um exemplo de "fogo amigo" em postagem publicada na mesma noite do ataque no blog SecureList, mantido pela empresa de segurança.

Lista de remoção de antivírus pelo malware. Crédito: Kaspersky

Apesar do nome do banco não ter sido divulgado, no próprio dia do ataque pesquisadores da Kaspersky tentaram alertar, em suas contas do Twitter, que o site do Banrisul havia sido comprometido, como apontou o G1. Ainda no dia 22 de outubro, usuários da lista de discussões do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), organização responsável pelo Registro.br, também notaram que o site do banco estava hospedado em um servidor diferente e que a atualização de plug-in fornecida na verdade se tratava de um programa malicioso.

Conforme observou Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky Lab na América Latina, uma das características mais marcantes deste hacking foi a exploração de vulnerabilidades no provedor de serviços de DNS.

Segundo ele, a maioria dos bancos da América Latina não utiliza servidores próprios. "Na verdade, pelo menos metade dos 20 principais bancos do mundo utiliza DNSs gerenciados parcial ou integralmente por terceiros", disse. "A segurança da rede de terceiros está fora do controle dos agentes do banco, e isso é negligenciado pelos bancos. Porém, como vimos nesse caso, não pelos criminosos virtuais."

Consultado sobre o caso, o diretor de Serviços e Tecnologia do NIC.br, Frederico Neves, confirmou que em 22 de outubro um banco brasileiro teve seus domínios hackeados. Segundo explicou, embora os endereços tenham sido comprometidos, os servidores do Registro.br não foram afetados.

Com acesso à conta de e-mail, o hacker teve acesso à conta do Registro.br por meio de uma recuperação de senha. "Nós mandamos um código criptográfico para o e-mail do usuário. Uma vez com acesso ao e-mail, a pessoa tem o acesso àquele código e entra com uma senha nova", explicou Neves.

Com esse nível de acesso, a alteração de domínio acontece de forma inteiramente legítima, pois teoricamente é o próprio dono da conta que a está fazendo.
Perguntado sobre a extensão do ataque, Neves confirmou que a situação foi normalizada após cinco horas sob domínio dos hackers, porém contesta o número de domínios comprometidos. Para ele o número indicado pela Kaspersky é exagerado, e, embora não especifique o número exato, declarou: "foram menos de uma dezena."

Sem fornecer maiores detalhes sobre o ataque, o Banrisul também minimizou o alcance dos danos. Em nota, afirmou que desconhece se os fatos recentemente noticiados pois estes "não conferem com o incidente efetivamente enfrentado pela instituição no ano passado". E reforçou que não houve prejuízo aos clientes do banco.