Banco brasileiro é sequestrado por hackers durante 5 horas. - Pagamento.me
Connect with us

Notícias de Pagamento

Banco brasileiro é sequestrado por hackers durante 5 horas.

Redação Pagamento.me

Published

on

Artigo publicado oficialmente na Wired com data de ontem. Traduzido pela equipe Pagamento.me

O modelo tradicional de roubar um banco via internet (hackear) não é tão diferente do método tradicional. Ladrões entram, subtraem e vão embora. Mas um grupo de hackers atacou um banco brasileiro e parecem ter tomado uma forma mais abrangente e tortuosa de hacking: num fim da tarde, eles redirecionaram todos os clientes on-line do banco, falsificando perfeitamente as propriedades dele.

Pesquisadores da empresa de segurança Kaspersky, descreveram na terça-feira, um caso sem precedentes de fraude num banco, que fora sequestrado através de sua operação on-line. Às 13:00 em 22 de outubro do ano passado, dizem os pesquisadores, hackers alterara os registros DNS (Domain Name System) de todas os 36 de propriedades online do banco, comandando domínios e apps mobiles do banco para levar os usuários a sites de phishing. Na prática, isso significa que os hackers puderam roubar credenciais de login em sites hospedados em endereços da web legítimas do banco. Os pesquisadores da Kaspersky acreditam que os hackers podem ter conseguido (simultaneamente) redirecionar todas as transações em caixas eletrônicos ou sistemas de POS para seus próprios servidores, coletando os detalhes do cartão de crédito de qualquer um que usou seu cartão naquele simples sábado à tarde.

“Absolutamente, todas as operações online do banco estavam sob controle dos atacantes durante cinco a seis horas”, diz Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o ataque em tempo real, depois de ver o malware infectar os clientes (do que parecia ser o banco de totalmente domínio válido). Do ponto de vista dos hackers, como Bestuzhev colocou, o ataque DNS significa que “você se torna o banco. Tudo pertence a você agora.”

DNS stress

A Kaspersky não citou o nome do banco que foi alvo do ataque de redirecionamento de DNS. Mas a empresa diz que é uma grande empresa financeira brasileira com centenas de filiais, operações nos EUA e as Ilhas Cayman, 5 milhões de clientes, e mais de US$ 27 bilhões em ativos. E embora Kaspersky diz que não sabe a extensão dos danos causados ​​pela fraude, deve servir como um alerta para que os bancos de todos os lugares considerem que a incerteza da segurança do seu DNS, pode permitir a perda (e o pesadelo) do controle de seus ativos digitais fundamentais. “Esta é uma ameaça bem conhecida na internet”, diz Bestuzhev. “Mas nós nunca vimos algo sendo explorado nessa natureza e em grande escala.”

O Domain Name System, ou DNS, serve como um protocolo fundamental, que funciona sob a cobertura da internet: Ele traduz nomes de domínio em caracteres alfanuméricos (como Google.com) para endereços IP (como 74.125.236.195) que representam os locais reais da computadores, hospedagem de sites ou outros serviços nessas máquinas. Mas atacar esses registros podem derrubar sites ou pior, redirecioná-los para um destino de escolha do hacker.

Em 2013, por exemplo, o grupo de hackers do Exército Eletrônico Sírio alterou o registro de DNS do The New York Times redirecionando os visitantes para uma página com seu logotipo. Mais recentemente, o ataque botnet Mirai sobre o provedor de DNS Dyn colocou uma grande fatia da web no modo off-line, incluindo Amazon, Twitter, e Reddit.

Mas os hackers que atacaram a rede bancária brasileira, explorando o DNS do banco, criaram sua vítima de forma mais focada e com fins lucrativos. A Kaspersky acredita que os atacantes comprometeram o banco através do Registro.br (o serviço de registro de domínio do NIC.br), o registrador de sites que terminam com o domínio que termina com o “.br”, que também gerenciava o DNS do banco. Com esse acesso, os pesquisadores acredita que os hackers foram capazes de alterar o registro simultâneo de todos os domínios do banco, redirecionando-as para os servidores que eles tinham montado no Google Cloud.

Com essa seqüestro de domínio, quem visitou a URL do site do banco, foram redirecionados para sites semelhantes (clones). E esses sites ainda tiveram certificados HTTPS válidos emitidos em nome do banco, para que os navegadores dos visitantes mostrassem o “cadeado verde” e o nome do banco, como fariam os sites reais. A Kaspersky descobriu que os certificados haviam sido emitidos seis meses antes no Let’s Encrypt, autoridade de certificação sem fins lucrativos onde é feita a obtenção de um certificado HTTPS mais simples, na esperança de aumentar a adoção HTTPS.

“Se uma entidade ganhou o controle do DNS, e assim, ganhou o controle efetivo sobre um domínio, pode ser possível para essa entidade para obter um certificado nosso”, diz o fundador da Let’s Encrypt, Josh Aas. “Tal emissão não constitui falsa emissão da nossa parte, porque a entidade que recebe o certificado foi capaz de demonstrar adequadamente o controle sobre o domínio.”

Em última análise, o sequestro foi tão completo, que o banco não foi capaz de enviar um e-mail informando os clientes.

“Eles não podiam se comunicar com os clientes para lhes enviar um alerta”, diz Bestuzhev. “Se o seu DNS está sob o controle dos cibercriminosos, basicamente você está ferrado.”

Além de mero phishing, sites falsos também infectaram vítimas com um download de malware que se disfarça de atualização para o plug-in de segurança do navegador Trusteer, que o banco brasileiro oferecia aos clientes. Segundo a análise da Kaspersky, as colheitas de malware não apenas apostaram nos logins dos bancos brasileiros, mas também em oito outros métodos, como e-mails, credenciais de FTP, listas de contatos do Outlook e Exchange, todos esses nos quais foram para uma central de controle hospedada no Canadá. O vírus também incluia uma função destinada a desativar o software antivírus dos clientes. Para as vítimas infectadas, o problema pode ter durado muito além da janela de cinco horas quando o ataque ocorreu. E o malware incluía pedaços de língua portuguesa, dando a entender que os atacantes podem ter sido brasileiros também.

Takeover total

Somente após cinco horas (aproximadamente), os pesquisadores da Kaspersky acreditam, que o banco recuperou o controle de seus domínios, provavelmente chamando o NIC.br e convencendo-o a corrigir os registros de DNS. Mas como que muitos dos milhões do banco de clientes foram apanhados no ataque DNS, isso sim, permanece um mistério. Kaspersky diz que o banco não compartilhou essa informação com a empresa de segurança, nem divulgou publicamente o ataque. Mas a empresa diz que é possível que os atacantes poderiam ter colhido centenas de milhares ou milhões de detalhes da conta dos clientes, não só no esquema de phishing e malware, mas também de redirecionando ATMs e operações de POS para a infra-estrutura que eles controlavam.

“Nós realmente não sabemos o que foi o maior dano: malware, phishing, POS ou ATMs”, diz Bestuzhev.

E como a instituição NIC.br perdeu o controle de domínios do banco tão catastroficamente, em primeiro lugar?

A Kaspersky aponta para uma postagem no blog janeiro de NIC.br que admitia uma vulnerabilidade em seu site e que teria mudanças em algumas instâncias permitidas nas configurações dos clientes. A NIC.br observou em seu post, que ele não tinha provas de que o ataque tinha sido usado. O post também refere-se vagamente a “recentes episódios de grande repercussão envolvendo alterações do servidor DNS”, e referem-se a eles como a “ataques de engenharia social.”

  • Facebook
  • Twitter
  • LinkedIn

Foto: Reprodução Registro.br

Em um telefonema, o diretor de tecnologia do NIC.br, Frederico Neves, contestou a alegação da Kaspersky que todos 36 de domínios do banco tinha sido sequestrado. “Posso garantir que os números que Kaspersky divulgou é especulação”, disse Neves. Ele negou que NIC.br tinha sido “hackeada”. Mas ele admitiu, que as contas podem ter sido alterados devido ao phishing ou via e-mail comprometido dos clientes, acrescentando que ‘qualquer registrador do nosso tamanho tem o compromisso de controlar de usuários regularmente.’ 1

Bestuzhev da Kaspersky, argumenta que, para os bancos, o incidente deve servir como um aviso claro para verificar a segurança do seu DNS. Ele observa que metade dos 20 maiores bancos classificados pelo total de ativos, não gerenciam seu próprio DNS, em vez disso, deixam nas mãos de um terceiro, potencialmente vulnerável a hackers. E, independentemente de quem controla o DNS de um banco, eles podem tomar precauções especiais para evitar que os seus registos DNS sejam alteradas sem verificações de segurança, como um “bloqueio de registro”, onde alguns registradores fornecem a autenticação de dois fatores, que torna muito mais difícil para hackers alterá-los .

Sem essas precauções simples, a fraude brasileira mostra quão rapidamente um interruptor de domínio pode minar praticamente todas as outras medidas de segurança que uma empresa pode implementar. Sua rede criptografada e seu site protegido não ajudam, quando seus clientes são silenciosamente encaminhados para uma versão bizarra do seu próprio domínio, onde são engolidos pela deep web.

1 Atualizado 2017/04/04 03:00 EST para incluir uma resposta do NIC.br.

2 Corrigido 2017/04/04 20:00 EST, para esclarecer que o Kaspersky acredita que a conta do banco em NIC.br foi comprometida, mas não necessariamente em si, a do NIC.br.

O site Pagamento.me é um canal independente de notícias e tendências do mercado de meios de pagamento.

Banco

Banco checo introduz biometria de voz para autenticação de clientes em call center

Redação Pagamento.me

Published

on

O maior banco da República Tcheca, Česká spořitelna, lançou a tecnologia de biometria de voz da Nuance Communications, permitindo que os clientes se identifiquem simplesmente falando.

A tecnologia significa que os clientes da Česká, propriedade do Erste Bank, não precisam mais lembrar de respostas para questões de segurança, PINs ou senhas. 

Em vez disso, eles são autenticados por meio de conversas naturais com um agente de call center, com a tecnologia da Nuance trabalhando em segundo plano para medir as características físicas e comportamentais das vozes dos chamadores, combinando-as com gravações de voz exclusivas gravadas. 

“A tecnologia elimina a inconveniência da autenticação. Ela será mais rápida, mais segura e mais fácil para os clientes do que ter muitas senhas diferentes. Isso também significa que nossos colegas podem se concentrar em ajudar os clientes com suas necessidades bancárias em vez de lidar com senhas”, diz Bohuslav Hruša, especialista em infra-estrutura digital, Česká.
Continue Reading

Notícias de Pagamento

Pagamentos com cartão do Reino Unido superam o dinheiro

Redação Pagamento.me

Published

on

A UK Finance divulgou um relatório mostrando que os pagamentos com cartão de débito ultrapassaram o uso de dinheiro pela primeira vez.

Em 2017, os pagamentos com cartão de débito aumentaram em 14%, totalizando 13,2 bilhões de transações, superando os 13,1 bilhões de pagamentos em dinheiro realizados, com o uso de notas e moedas caindo em 15%.

Estima-se que 3,4 milhões de consumidores britânicos quase não usaram dinheiro em 2017.

O relatório anual sobre a forma como os consumidores fazem pagamentos revelou que o Reino Unido é uma nação de gastadores espontâneos. Apenas 15% dos 38,8 bilhões de pagamentos feitos no Reino Unido em 2017 foram para contas e compromissos regulares.

Continue Reading

Inovação

1 milhão de pessoas testam o serviço de pagamentos do WhatsApp na Índia

Redação Pagamento.me

Published

on

O WhatsApp anunciou que quase um milhão de pessoas na Índia estão testando o serviço de pagamentos do WhatsApp.

A empresa está trabalhando com o governo da Índia, NPCI e vários bancos para expandir o recurso para mais usuários, de acordo com funcionários da empresa citados pela Moneycontrol.

O serviço de pagamento WhatsApp está em testes beta nos últimos meses de 2018. A empresa, que pertence ao Facebook, ainda não anunciou uma data de lançamento, mas os observadores da indústria esperam que isso aconteça em breve, como afirma a publicação on-line.

O WhatsApp recebeu permissão da NPCI para associar-se a bancos para facilitar transações financeiras via UPI (Unified Payments Interface). O Banco da Reserva da Índia obrigou todos os operadores de sistemas de pagamento a garantir que os dados relacionados aos pagamentos sejam armazenados apenas na Índia, dando às empresas seis meses para cumpri-las.

Continue Reading
Advertisement A maior conferência do segmento financeiro

featured

Copyright © 2015 ~ 2018 Pagamento.me.