• Alemanha: Trojan Bancário, Ataques Man-in-the-Browser e Roubo de Dinheiro

    Publicado em 22-05-2012 18:00
    3 Comentários Comentários
    Os usuários alemães andam assustados devido a mais uma façanha dos bankers, que agora estão utilizando fortemente um trojan bancário para roubar dinheiro da conta de suas potenciais vítimas. Foi dessa forma que a expert em segurança Trusteer, deparou com um novo esquema complexo no âmbito cibercriminal, envolvendo o cavalo de tróia "Tatanga", que conduz um ataque Man-in-the-Browser (MITB) para contornar a autorização da transação baseada em SMS. Tudo isso com a intenção de cometer fraude bancária online.

    O esquema criminoso tem como alvo, clientes de serviços bancários on-line de vários bancos alemães. Quando a vítima fizer logon no aplicativo bancário online, Tatanga usa um webinject MITB que alega que o banco está realizando uma verificação de segurança em seu computador. Nessa suposta transação, é avisado à vítima que existe a possibilidade de receber um número de autorização de transação (TAN) em seu dispositivo móvel. No fundo, Tatanga inicia uma transferência de dinheiro de forma fraudulenta para uma conta de um "laranja".



    Ataques Man-in-the-Browser Ganharam Força Contra Contas Bancárias na Alemanha


    O trojan ainda verifica o equilíbrio da conta da vítima, e irá transferir fundos da conta com o maior saldo, se houver mais de um para escolher. A partir daí, a vítima é convidada a entrar no TAN SMS que recebe do banco (envolvendo um formulário falso), como uma maneira para completar este processo de segurança. Ao entrar no TAN na página HTML injetada, a vítima é, de fato, que aprova a transação fraudulenta originada por Tatanga contra a sua conta.

    Mesmo que a vítima fique ciente sobre a quantidade de transferência de fundos e as informações da conta de destino na mensagem de SMS que contém o TAN, a página HTML injetada, afirma que o processo usa dados experimentais, e que nenhum dinheiro vai sair da sua conta. Uma vez que a vítima entra no TAN na forma falsa, os fundos são transferidos para a conta do fraudador.

    Enquanto isso, Tatanga modifica os relatórios de balanço da aplicação bancária on-line, para esconder a operação fraudulenta. "Este é um ataque muito sofisticado e multi-facetado", disse o CTO da Trusteer, Amit Klein. "Ao combinar um ataque de engenharia social e MITB, Tatanga é capaz de evitar a out-of-band de autenticação usada por muitos bancos. Em seguida, ele vai a um passo além, ocultando evidências da transação fraudulenta da vítima utilizando um mecanismo de ataque pós-transação. "Felizmente, o texto na página HTML injetado está repleto de erros gramaticais e de ortografia, e não parece ter sido escrito por um alemão. Isso pode torná-lo menos eficaz".

    Claramente, a gramática parece fácil para que os fraudadores possam melhorá-la. Entretanto, o fato de que eles estejam misturando vários métodos de ataque em um esquema de fraude único, não são uma boa notícia. No entanto, eles ainda precisam se comprometer a um ponto de extremidade onde haja um envolvimento de malware, o que pode ser evitado.


    Saiba Mais:

    [1] Help Net Security - Malware News http://www.net-security.org/malware_news.php?id=2118
    Comentários 3 Comentários
    1. Avatar de leleobhz
      leleobhz - 23-05-2012, 00:17
      O problema é que pra arrumar isso teria que ter uma solução no navegador (O que em muita coisa já tem) para autenticar o código enviado pelo servidor, mas também precisa proteger o navegador contra MITM nesta autenticação e no SSL genérico, o que também já tem mas o povo usa Windows e Kerneis/Ambientes não hardened ou pelo menos sem recursos amados por exploiits como proteção contra execução em áreas regravais, etc, etc, etc. De uma forma é até fácil afirmar que enquanto Windows for do jeito que é, vai ser fácil acertar uma roleta russa.
    1. Avatar de lemke
      lemke - 23-05-2012, 03:16
      Concordo com tuas colocações. O MITB é apenas um agravante se aproveitando de uma falha que, de uma certa forma, já abre portas para que o cibercrime possa agir. Já o Man-in-the-Middle eu acho um tipo de ataque um pouco mais complexo, mas a partir do momento em que é praticado, as coisas vão clareando pro lado deles.

      O cibercrime, por mais sofisticadas que sejam as suas técnicas implantadas, sempre deixa muitos rastros. Assim como usuários desatentos se tornam presas fáceis pra ele (cibercriminosos), os próprios se tornam presas mais fáceis ainda para as autoridades competentes.

      Esses erros de ortografia, falta de pontuação e um modo de escrever menos rebuscado peculiar a eles, é a senha pra colocá-los no meio do campo de batalha. É justamente nessa hora, que as autoridades de segurança tem a oportunidade de agir.


      Sds,
    1. Avatar de leleobhz
      leleobhz - 23-05-2012, 06:10
      Não dá para ser bom em tudo: Enquanto os crackers são "bons" no que fazem, não sabem escrever e de quebra tem gente estúpida que não verifica isso. Se fossem erros de "detalhe" (Como alguma crase perdida por ai) até passa desapercebido mas procurando por ai o que você acha de erro grosseiro não está no gibi. A parte técnica não tem nem muito o que comentar mais.
    + Enviar Comentário