No primeiro ataque, o Gozi Trojan é utilizado para roubar números IMEI (International Mobile Equipment Identity) de titulares de conta, quando estes entram no sistema para checar a sua aplicação bancária online. Principalmente por causa desses esquemas fraudulentos, o banco está usando um sistema de OTP para autorizar transações de grande porte.
Cibercriminosos Estão Sofisticando as Fraudes Bancárias On-line
Depois de terem adquirido o número IMEI, os bankers entram em contato com o provedor de serviços móveis da vítima, relatando que o dispositivo móvel teria sido perdido ou roubado, e solicita um novo cartão SIM. Com este novo SIM Card, todos os OTPs destinados para o telefone da vítima são enviados para o dispositivo controlado pelo fraudador. Com essa prática ilegal, os bankers também desempenham um papel de phreakers, mesmo que indiretamente.
Injeção de Malware, IMEI e Ataque Man-in-the-Browser
No arquivo de configuração do Gozi Trojan, que foi obtido pela Trusteer, o malware utiliza uma injeção em página da Web que solicita que a vítima digite seu número IMEI, antes mesmo que ela que possa acessar sua conta bancária online. A injeção fraudulenta explica como recuperar o número de IMEI, que pode ser encontrado na própria bateria do telefone ou mesmo digitando *#06# no teclado do dispositivo.
O segundo tipo de ataque, combina o esquema de fraude on-line e física para atingir o mesmo objetivo. A Trusteer descobriu esse esquema em um forum underground. Primeiro, o fraudador usa um ataque Man-in-the-Browser (MITB) ou ataque de phishing para "capturar" a vítima, detalhes de contas bancárias de seu alvo, incluindo credenciais, nome, número de telefone, e outras informações úteis para seu esquema ilícito.
Na sequência dessas atividades, o criminoso vai para o departamento de polícia local para relatar o fato (fazendo o papel de vítima), dizendo que o telemóvel foi perdido ou roubado. O autor da façanha se faz passar por vítima, usando as informações pessoais roubadas (por exemplo, nome, endereço, telefone, etc.) Isso permite que o fraudador adquira um relatório policial, que lista o dispositivo móvel como perdido ou roubado.
A partir dessa etapa, o criminoso, então, faz uma chamada para a vítima, para notificá-la que seu serviço de telefonia móvel será interrompido nas próximas 12 horas; nesse ínterim, ele apresenta o relatório da polícia em um dos pontos de venda do provedor de serviços sem fio. O cartão SIM reportado como perdido ou roubado, será desativado pelo operador da rede móvel, e o criminoso ganha um novo cartão SIM que recebe todas as chamadas recebidas e OTPs enviadas à vítima. Isso permite que o fraudador autorize as transações fraudulentas que ele/ela estiver executando.
Uma vez que as contas protegidas por sistemas de OTP normalmente têm limites mais altos de transferência e são examinadas com menor frequência, elas passam a ser muito mais lucrativas. Isso explica por quê os criminosos estão dispostos a ir mais longe para obter acesso a eles.
A característica comum em ambos os esquemas, é que eles apresentam a grande possibilidade de comprometer o navegador Web com um ataque MITB para roubar as vítimas e as suas credenciais. Ao combinar informações de identificação pessoal roubadas com inteligentes técnicas de engenharia social, os criminosos utilizam esses ataques sem precisar enganar os usuários, para verificar transações fraudulentas. Eles são capazes de contornar os mecanismos de autenticação out-of-band, como SMS-received OTPs, autorizando esse tipo de transação.
Links de Interesse:
-New Online Banking Fraud Scheme