Quanto mais o tempo passa, as atividades cybercriminosa tornam-se mais rentáveis. Como resultado, roubar informações financeiras e fazer transferência de ativos de usuários para contas controladas por cybercriminosos, é agora uma maneira altamente eficiente de ganhar dinheiro, empregada por criminosos on-line em todo o mundo. Em teoria, para os cybercriminosos que buscam roubar informações financeiras, é mais vantajoso atacar o lado do servidor de processamento de pagamentos (incluindo infra-estrutura bancária, os servidores do sistema de pagamentos, etc), uma vez que eles contém uma enorme quantidade de dados que podem ser usados para venda.
No entanto, na prática, é tão difícil de obter tal acesso como chegar em um cofre de banco físico, porque os servidores corporativos são muito bem protegidos. Por isso, os cybercriminosos preferem atacar os usuários de sistemas bancários e de pagamento - que não possuem um alto grau de proteção. Em um único ataque, os cybercriminosos podem infectar dezenas de milhares de computadores domésticos, que em larga escala, irão trazer-lhes o lucro tão almejado.
Maneiras para Roubar Dados do Usuário
Os cybercriminosos estão armados com todo um arsenal de métodos para ter acesso às informações confidenciais dos usuários. A maioria dos ataques que têm como alvo os dados financeiros, além de ter as mais audaciosas técnicas de engenharia social como seu elemento básico. Isto pode ser usado tanto para espalhar malware ou para roubar credenciais diretamente. Nessa sequência de atividades, vem o "Phishing" como um exemplo clássico do uso de engenharia social, que é bastante usado para enganar os usuários sobre suas informações financeiras.
A partir daí, um usuário pode ser enganado e seduzido para entregar informações confidenciais para os cybercriminosos. Por exemplo, uma vítima desorientada pode receber uma carta "oficial" em nome de um banco respeitável (um sistema de pagamento, loja on-line, etc), que diz que houve uma falha no servidor da organização, de modo que todos os clientes precisam fornecer urgentemente seus dados pessoais para efeitos de verificação. Os pretextos podem ser o mais variados possíveis, mas em qualquer caso, o cliente é solicitado a enviar as suas credenciais de login em um e-mail resposta, escrevê-los em um formulário Web anexado ou no site "oficial" do banco, na sequência de um link que constará no e-mail recebido. Todas as informações fornecidas pelo usuário irão chegar nas mãos dos cibercriminosos.
Para tornar o spoofing menos visível, os cybercriminosos usam endereços URL que são semelhantes aos dos sites originais. Além disso, diferentes formas de spoofing na linha da barra de endereços também são utilizados.
Os feitos dos phishers são muitas vezes, difíceis de distinguir dos locais originais. Por isso, os especialistas aconselham que os usuários acessem sites financeiros de bookmarks em seus navegadores, ao invés de seguir um link de email. Há também programas maliciosos dedicados, projetados para roubar informações financeiras; estes estão apostando nas ações dos rojans. De forma habitual, eles, automaticamente, coletam informações sobre os pagamentos feitos a partir de computadores infectados e, por vezes, realizam transações financeiras em nome de usuários.
Software Malicioso e Phishing são Peças Chave nas Investidas Cybercriminosas
Quando os clientes bancários são atacados com a ajuda de programas maliciosos, phishing e-mails também podem ser enviados em nome do banco que é envolvido na investida maliciosa. Nesses e-mails falsos, os usuários não são solicitados a enviar informações, mas é sugerido que eles abram um documento anexado, sob algum pretexto que em alguns casos, é muito convincente. O anexo, na verdade, é um arquivo malicioso. Esta enorme propagação de trojans bancários é auxiliada por exploits para tirar proveito de vulnerabilidades no Windows e em outros softwares populares.
Utilização de Exploit Packs
Sem deixar que o usuário saiba, esses exploits penetram no sistema através de vulnerabilidades de software e baixam outros programas maliciosos, que roubam informações financeiras do computador da vítima. Para tornar o ataque efetivo, os cybercriminosos usam os chamados exploit packs ou pacotes de exploits para diversas vulnerabilidades, ao invés de colocar em prática exploits individuais. Um exploit packs analisa o software instalado no computador do usuário; se encontrar uma brecha no software, ele usa um exploit com a finalidade de infectar o computador.
Exploit Packs Baixam Trojan para Comprometer Máquinas
Esses exploit packs são hospedados em servidores cybercriminosos. Links para os exploits são distribuídos por cibercriminosos através de envio massivo de spam, redes sociais, e a partir de sites legítimos que foram comprometidos; mesmo os banners e teasers de sistemas de publicidade legal podem ser usado para esta finalidade. Os exploits, por sua vez, baixam Trojans para computadores das vítimas. As infecções de sites populares são especialmente perigosas: eles são visitados por muitos usuários, e quando um link malicioso está presente, o computador de cada visitante é discretamente atacado por exploits que estão tentando anexar programas maliciosos a eles.
Vale observar que os cybercriminosos usam trojans bancários polivalentes, que são capazes de atacar os clientes de vários bancos ou sistemas de pagamento, e trojans com um único propósito destinado a atacar os clientes de bancos específicos.
Método de Ação dos Trojans
Uma vez infiltrado no computador de um usuário, os trojans bancários estabelecem uma posição no sistema, e, em seguida, começam a sua tarefa atribuída, que é roubar todos os tipos de informações financeiras do usuário.
Os programas maliciosos usam as seguintes técnicas:
- Keylogging. Trojans interceptam as teclas digitadas quando o usuário digita as informações que são de interesse para os cybercriminosos, como credenciais de login.
- Tirar screenshots para capturar informações financeiras confidenciais digitadas usando o teclado normal. Neste caso, os cybercriminosos só passam a conhecer as informações mostradas durante o type-in, mas não pode acessar o login e senha do usuário, porque os caracteres digitados são substituídos por asteriscos na tela.
- Ignorando um teclado virtual: a captura de uma imagem da área da tela ao redor do cursor no momento, em que o usuário clica no botão esquerdo do mouse. Desta forma, o cybercriminoso captura os caracteres que o usuário digita usando o teclado virtual, e, portanto, fica sabendo o login e senha do usuário.
- Modificando o hosts file. As informações armazenadas nesse arquivo, tem prioridade sobre a informação que o web-browser recebe a partir de um servidor DNS. Trojans adicionamr URLs bancários para esse arquivo, e atribuem os endereços IP dos servidores dos cybercriminosos para eles. Como resultado, os usuários que digitam essas URLs bancárias em seus navegadores são levados para sites fraudulentos, mesmo que eles ainda visualizem uma URL banco legítima em seu browser. Caso os usuários insiram suas credenciais de login em um site falso, esta informação é enviada para os cybercriminosos.
- Intrusão em um processo do navegador em execução. Com isso, um trojan pode controlar a conexão do navegador para o servidor. Desta forma, os cybercriminosos podem obter as credenciais de login que os usuários inserem no site do banco, bem como modificar o conteúdo da página da Web (através de uma injeção web), obtendo informações mais confidenciais.
Importante ressaltar que para completar a grande maioria das operações financeiras on-line, os usuários precisam de navegadores da Web. As técnicas empregadas por trojans bancários modernos são ou estão, de uma forma ou de outra, relacionadas com este software.
Injeções Web ou modificação do conteúdo de uma página HTML, são métodos populares a partir dos quais os cybercriminosos se prevalecem. Um programa malicioso adiciona campos adicionais quando a página da Web do banco é exibida no navegador, fazendo com que o usuário insira informações confidenciais. Por exemplo, o Trojan Carberp usa uma injeção Web para adicionar campos extras para a página on-line do banco que solicita que o usuário digite a sua/seu número de cartão de banco, nome do titular, data de validade, CVV, CVC e a palavra chave. Se o usuário se recusa a fazê-lo, o cavalo de Tróia exibe uma mensagem de erro e bloqueia a sessão bancária.
Considerações Executivas
Essa publicação tem base em uma análise minuciosa feita por Sergey Golovanov, Denis Makrushin e Alexey Monastyrsky, datada de setembro de 2013, para a Secure List da Kaspersky Lab.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/user-...rtual-robbers/