Connect with us

Risco & Fraude

Banco brasileiro é sequestrado por hackers durante 5 horas.

Published

on

Artigo publicado oficialmente na Wired com data de ontem. Traduzido pela equipe Pagamento.me

O modelo tradicional de roubar um banco via internet (hackear) não é tão diferente do método tradicional. Ladrões entram, subtraem e vão embora. Mas um grupo de hackers atacou um banco brasileiro e parecem ter tomado uma forma mais abrangente e tortuosa de hacking: num fim da tarde, eles redirecionaram todos os clientes on-line do banco, falsificando perfeitamente as propriedades dele.

Pesquisadores da empresa de segurança Kaspersky, descreveram na terça-feira, um caso sem precedentes de fraude num banco, que fora sequestrado através de sua operação on-line. Às 13:00 em 22 de outubro do ano passado, dizem os pesquisadores, hackers alterara os registros DNS (Domain Name System) de todas os 36 de propriedades online do banco, comandando domínios e apps mobiles do banco para levar os usuários a sites de phishing. Na prática, isso significa que os hackers puderam roubar credenciais de login em sites hospedados em endereços da web legítimas do banco. Os pesquisadores da Kaspersky acreditam que os hackers podem ter conseguido (simultaneamente) redirecionar todas as transações em caixas eletrônicos ou sistemas de POS para seus próprios servidores, coletando os detalhes do cartão de crédito de qualquer um que usou seu cartão naquele simples sábado à tarde.

“Absolutamente, todas as operações online do banco estavam sob controle dos atacantes durante cinco a seis horas”, diz Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o ataque em tempo real, depois de ver o malware infectar os clientes (do que parecia ser o banco de totalmente domínio válido). Do ponto de vista dos hackers, como Bestuzhev colocou, o ataque DNS significa que “você se torna o banco. Tudo pertence a você agora.”

DNS stress

A Kaspersky não citou o nome do banco que foi alvo do ataque de redirecionamento de DNS. Mas a empresa diz que é uma grande empresa financeira brasileira com centenas de filiais, operações nos EUA e as Ilhas Cayman, 5 milhões de clientes, e mais de US$ 27 bilhões em ativos. E embora Kaspersky diz que não sabe a extensão dos danos causados ​​pela fraude, deve servir como um alerta para que os bancos de todos os lugares considerem que a incerteza da segurança do seu DNS, pode permitir a perda (e o pesadelo) do controle de seus ativos digitais fundamentais. “Esta é uma ameaça bem conhecida na internet”, diz Bestuzhev. “Mas nós nunca vimos algo sendo explorado nessa natureza e em grande escala.”

O Domain Name System, ou DNS, serve como um protocolo fundamental, que funciona sob a cobertura da internet: Ele traduz nomes de domínio em caracteres alfanuméricos (como Google.com) para endereços IP (como 74.125.236.195) que representam os locais reais da computadores, hospedagem de sites ou outros serviços nessas máquinas. Mas atacar esses registros podem derrubar sites ou pior, redirecioná-los para um destino de escolha do hacker.

Em 2013, por exemplo, o grupo de hackers do Exército Eletrônico Sírio alterou o registro de DNS do The New York Times redirecionando os visitantes para uma página com seu logotipo. Mais recentemente, o ataque botnet Mirai sobre o provedor de DNS Dyn colocou uma grande fatia da web no modo off-line, incluindo Amazon, Twitter, e Reddit.

Mas os hackers que atacaram a rede bancária brasileira, explorando o DNS do banco, criaram sua vítima de forma mais focada e com fins lucrativos. A Kaspersky acredita que os atacantes comprometeram o banco através do Registro.br (o serviço de registro de domínio do NIC.br), o registrador de sites que terminam com o domínio que termina com o “.br”, que também gerenciava o DNS do banco. Com esse acesso, os pesquisadores acredita que os hackers foram capazes de alterar o registro simultâneo de todos os domínios do banco, redirecionando-as para os servidores que eles tinham montado no Google Cloud.

Com essa seqüestro de domínio, quem visitou a URL do site do banco, foram redirecionados para sites semelhantes (clones). E esses sites ainda tiveram certificados HTTPS válidos emitidos em nome do banco, para que os navegadores dos visitantes mostrassem o “cadeado verde” e o nome do banco, como fariam os sites reais. A Kaspersky descobriu que os certificados haviam sido emitidos seis meses antes no Let’s Encrypt, autoridade de certificação sem fins lucrativos onde é feita a obtenção de um certificado HTTPS mais simples, na esperança de aumentar a adoção HTTPS.

“Se uma entidade ganhou o controle do DNS, e assim, ganhou o controle efetivo sobre um domínio, pode ser possível para essa entidade para obter um certificado nosso”, diz o fundador da Let’s Encrypt, Josh Aas. “Tal emissão não constitui falsa emissão da nossa parte, porque a entidade que recebe o certificado foi capaz de demonstrar adequadamente o controle sobre o domínio.”

Em última análise, o sequestro foi tão completo, que o banco não foi capaz de enviar um e-mail informando os clientes.

“Eles não podiam se comunicar com os clientes para lhes enviar um alerta”, diz Bestuzhev. “Se o seu DNS está sob o controle dos cibercriminosos, basicamente você está ferrado.”

Além de mero phishing, sites falsos também infectaram vítimas com um download de malware que se disfarça de atualização para o plug-in de segurança do navegador Trusteer, que o banco brasileiro oferecia aos clientes. Segundo a análise da Kaspersky, as colheitas de malware não apenas apostaram nos logins dos bancos brasileiros, mas também em oito outros métodos, como e-mails, credenciais de FTP, listas de contatos do Outlook e Exchange, todos esses nos quais foram para uma central de controle hospedada no Canadá. O vírus também incluia uma função destinada a desativar o software antivírus dos clientes. Para as vítimas infectadas, o problema pode ter durado muito além da janela de cinco horas quando o ataque ocorreu. E o malware incluía pedaços de língua portuguesa, dando a entender que os atacantes podem ter sido brasileiros também.

Takeover total

Somente após cinco horas (aproximadamente), os pesquisadores da Kaspersky acreditam, que o banco recuperou o controle de seus domínios, provavelmente chamando o NIC.br e convencendo-o a corrigir os registros de DNS. Mas como que muitos dos milhões do banco de clientes foram apanhados no ataque DNS, isso sim, permanece um mistério. Kaspersky diz que o banco não compartilhou essa informação com a empresa de segurança, nem divulgou publicamente o ataque. Mas a empresa diz que é possível que os atacantes poderiam ter colhido centenas de milhares ou milhões de detalhes da conta dos clientes, não só no esquema de phishing e malware, mas também de redirecionando ATMs e operações de POS para a infra-estrutura que eles controlavam.

“Nós realmente não sabemos o que foi o maior dano: malware, phishing, POS ou ATMs”, diz Bestuzhev.

E como a instituição NIC.br perdeu o controle de domínios do banco tão catastroficamente, em primeiro lugar?

A Kaspersky aponta para uma postagem no blog janeiro de NIC.br que admitia uma vulnerabilidade em seu site e que teria mudanças em algumas instâncias permitidas nas configurações dos clientes. A NIC.br observou em seu post, que ele não tinha provas de que o ataque tinha sido usado. O post também refere-se vagamente a “recentes episódios de grande repercussão envolvendo alterações do servidor DNS”, e referem-se a eles como a “ataques de engenharia social.”

Foto: Reprodução Registro.br

Em um telefonema, o diretor de tecnologia do NIC.br, Frederico Neves, contestou a alegação da Kaspersky que todos 36 de domínios do banco tinha sido sequestrado. “Posso garantir que os números que Kaspersky divulgou é especulação”, disse Neves. Ele negou que NIC.br tinha sido “hackeada”. Mas ele admitiu, que as contas podem ter sido alterados devido ao phishing ou via e-mail comprometido dos clientes, acrescentando que ‘qualquer registrador do nosso tamanho tem o compromisso de controlar de usuários regularmente.’ 1

Bestuzhev da Kaspersky, argumenta que, para os bancos, o incidente deve servir como um aviso claro para verificar a segurança do seu DNS. Ele observa que metade dos 20 maiores bancos classificados pelo total de ativos, não gerenciam seu próprio DNS, em vez disso, deixam nas mãos de um terceiro, potencialmente vulnerável a hackers. E, independentemente de quem controla o DNS de um banco, eles podem tomar precauções especiais para evitar que os seus registos DNS sejam alteradas sem verificações de segurança, como um “bloqueio de registro”, onde alguns registradores fornecem a autenticação de dois fatores, que torna muito mais difícil para hackers alterá-los .

Sem essas precauções simples, a fraude brasileira mostra quão rapidamente um interruptor de domínio pode minar praticamente todas as outras medidas de segurança que uma empresa pode implementar. Sua rede criptografada e seu site protegido não ajudam, quando seus clientes são silenciosamente encaminhados para uma versão bizarra do seu próprio domínio, onde são engolidos pela deep web.

1 Atualizado 2017/04/04 03:00 EST para incluir uma resposta do NIC.br.

2 Corrigido 2017/04/04 20:00 EST, para esclarecer que o Kaspersky acredita que a conta do banco em NIC.br foi comprometida, mas não necessariamente em si, a do NIC.br.

Advertisement
Click to comment

Risco & Fraude

Emailage coloca um Fórmula 1 no evento Money20/20

Published

on

rapidrisk emailage

A Emailage levou um F1 no maior evento fintech do mundo, o Money20/20.

Líder global em prevenção de fraudes on-line e avaliação de risco de e-mails, a Emailage lançou sua avançada solução de detecção de fraudes, o RapidRisk Score, em pleno Money20/20 em Las Vegas, no último mês.

Sobre o RapidRisk

A solução cria análises de risco em velocidade relâmpago para processadores de pagamento, emissoras de cartão e comerciantes, em todas as transações.

Viabilizado pelos avanços em inteligência artificial e suportado pela rede de inteligência global da Emailage, o RapidRisk é uma iniciativa inteligente em prevenção de fraudes, oferecendo tempos de resposta para avaliação de risco de fraude 20 vezes mais rápido do que as alternativas padrão.

O presidente-executivo da Emailage, Reinaldo Carvalho, explicou:

“Como empresa, percebemos a necessidade de focarmos em análises de risco de transações que, devido a SLAs, requerem precisão e velocidade. Os regulamentos globais – como GDPR e PSD2 na Europa – geram mais questões sobre segregação de dados e mudanças em responsabilidades. Nosso diálogo contínuo com os clientes revelou uma necessidade de disponibilizar no mercado, ferramentas de avaliação de risco de fraudes mais precisas, confiáveis e, acima de tudo, mais rápidas”.

Assista ao vídeo de lançamento (abaixo) e conheça a ferramenta aqui.

Um F1 no mercado.

Continue Reading

Risco & Fraude

Ambev, ConectCar e Elo7 recorrem à inteligência artificial da Konduto para combater fraudes

Published

on

konduto

A Konduto, fundada em 2014, é uma empresa que combate fraude de uma forma diferente dos players do mercado.

Nessa Black Friday, a startup (com pouco mais de 40 pessoas) se prepara para bater um recorde histórico como uma das principais aliadas na fraude online. Ano passado, nesse mesmo período, analisaram 736 mil compras no dia do evento e a expectativa é grande para esse ano.

As fraudes estão cada vez mais sofisticadas e ter uma solução baseada apenas em bureaus, virou coisa dos anos 2000.

antifraude

Parte da equipe da empresa animada com a Black Friday. Foto: Konduto

Algoritmos e robôs na Ambev, ConectCar e Elo7

Com inteligência artificial, machine learning (aprendizado de máquina) e até comportamento de navegação de sites, a startup planeja uma atuação estratégica em 2019 – com um investimento forte no aperfeiçoamento da solução e na cobertura da América Latina – a empresa já tem clientes México e na Argentina.

Ambev, ConectCar, Elo7, Livraria Cultura, Decathlon, ClickBus e outros cases também entregaram à Konduto, a responsabilidade de combater um dos principais monstros do e-commerce, o fraudador. Recentemente a empresa fez um estudo, o “Raio X da Fraude” – clique aqui para baixar, que virou um dos melhores conteúdos para quem vende na internet.

Na Konduto, são necessários apenas 0,09 segundo (noventa milissegundos), para analisar uma fraude.

Impressionante.

 

Continue Reading

Risco & Fraude

IDwall e a cara dos novos negócios financeiros no país.

Published

on

idwall

<

Continue Reading

featured