A cena que vem à mente mais facilmente quando pensamos em um “assalto a banco” é a de criminosos mascarados, armados com fuzis, invadindo uma agência, gritando e ameaçando os clientes. No entanto, a Kaspersky divulgou hoje, em um evento de cibersegurança na Ilha de São Martinho, uma história bem diferente de assalto a banco.

De acordo com a empresa, todo o sistema de transações de um banco inteiro ficou, por cinco horas, nas mãos de cibercriminosos em outubro de 2016. Embora o crime tenha ocorrido no ano passado, a empresa só pôde divulgar agora mais informações sobre ele. Ela conseguiu identificar em tempo real os invasores e acompanhar seus passos, e graças a isso os clientes do banco não foram afetados. Ao todo, o ocorrido poderia prejudicar milhões de pessoas em mais de 300 cidades do mundo – em apenas cinco horas.

No cochilo do porteiro

O ataque aconteceu em um fim de semana, quando a equipe de TI costuma estar menos ativa. E, curiosamente, ele não começou pela infraestrutura de TI do próprio banco, mas do seu provedor de serviços de DNS.

publicidade

O DNS é o que direciona as pessoas que tentam acessar um site ao site adequado – em outras palavras, ele é o servidor que indica ao seu computador que o site www.facebook.com (por exemplo) é aquela página da rede social. Como o servidor DNS do banco foi prejudicado, os criminosos conseguiram fazer com que ele direcionasse os clientes para uma réplica falsa do site do banco, controlada por eles, em um serviço de nuvem.

Era uma réplica muito bem feita. Isso porque meses antes do incidente os hackers tinham gerado um certificado SSL legítimo em nome do banco, e usaram-no durante o ataque. Assim, os clientes que acessavam o site da instituição financeira viam até mesmo o ícone de cadeado no navegador.

Limpando o cofre

Com isso, os criminosos conseguiram controlar totalmente as centenas de milhares (ou até milhões) de transações que aconteciam no site. Mas não foi só isso: eles também usaram um malware de instalação automática que roubava informações dos clientes. Dados como informações de login do banco, credenciais de e-mail e FTP e até mesmo listas de contatos dos usuários do Outlook poderiam ter caído nas mãos dos invasores.

Ao mesmo tempo, esses dados eram usados para realizar campanhas de phishing – tentativa de roubo de dados por e-mail. Disfarçando-se de contatos do Outlook do cliente e enviando informações corretas, os ladrões tentaram convencer outras pessoas a responder a e-mails informando seus dados bancários. No total, mais de 30 domínios do banco foram comprometidos.

Vindo para o Brasil

O caso, como citado no começo, não acarretou prejuízo para os bancos. No entanto, a meta dos invasores não era parar por ali. O malware instalado no dispositivo das vítimas afetadas, de acordo com a Kaspersky, foi projetado para roubar dinheiro em uma lista de bancos do mundo todo.

Os outros alvos dos criminosos incluíam instituições financeiras no Reino Unido, Japão, Portugal, Itália, França, Argentina e Estados Unidos. Mas, segundo a empresa, a maioria dos bancos visados pelos hackers estão no Brasil. Ao que parece, porém, não vai ser dessa vez que eles vão chegar aqui.