Conheça a nova técnica usada para #fraudes #bancárias pela #internet

Usuário é redirecionamento para site falso do banco.
Ataque foi chamado de ‘Boy in the Browser’.

Altieres Rohr Especial para o G1*

Criminosos brasileiros não precisam mais de um vírus capturando cada tecla ou clique para roubar as senhas dos correntistas. Os golpes mais atuais colocam o correntista infectado em um site inteiramente falso, capaz de roubar as credenciais de acesso, como senha e número da conta, sem complicações para o golpista.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Fraudes bancárias pela internet estão usando uma técnica própria no Brasil (Foto: Eylem Culculoglu)Fraudes bancárias pela internet estão usando uma
técnica própria no Brasil (Foto: Eylem Culculoglu)

O golpe faz uso de um servidor proxy malicioso. Um proxy é um computador que fica no meio de duas conexões, como uma ponte.

Empresas usam proxies para facilitar o gerenciamento das conexões. Com um computador de intermediário, é fácil saber quais sites foram acessados, por quem e quando, além de otimizar o acesso (se dois funcionários estão baixando o mesmo arquivo, ele precisa ser baixado da internet uma só vez e depois a distribuição ocorre pela rede interna).

O objetivo dos criminosos, porém, é ficar no meio da conexão para roubar todos os dados que o usuário enviar.

Como funciona
Um código malicioso simples precisa ser executado no computador da vítima. Esse código irá alterar as configurações do navegador de internet para usar o proxy definido pelo golpista. O proxy é configurado para entrar em ação somente nos sites dos bancos – sites comuns não passam pelo intermediário, garantindo o acesso normal à web.

Quando um site bancário é acessado, porém, o proxy toma conta. Em vez de direcionar o usuário ao site verdadeiro, ele envia uma página falsa ao navegador. Qualquer informação enviada ao site malicioso é repassada aos criminosos, que poderão realizar a fraude com os dados da vítima.

Como não existe a necessidade de um código malicioso permanecer em execução no computador o tempo todo, não existe queda de desempenho perceptível. Em muitos casos, o código é executado a partir de applets Java colocados em sites legítimos. O usuário, que não desconfia do problema, aceita e a configuração é trocada com um único clique.

Página verdadeira do banco Santander, após digitar uma conta inválida (Foto: Reprodução)Página verdadeira do banco Santander, após digitar uma conta inválida (Foto: Reprodução)
Página falsa do Santander, acessada pelo proxy, via domínio do Banespa (Foto: Reprodução)Página falsa do Santander, acessada pelo proxy, via domínio do Banespa (Foto: Reprodução)

O Santander, citado meramente como ilustração da coluna – já que todos os principais bancos estão sendo atacados – esclarece que “orienta os clientes a não clicar em links ou abrir arquivos anexados em e-mails desconhecidos ou não confiáveis”. O banco também disse que “não solicita senhas, informações cadastrais ou credenciais de acesso por e-mail ou em ligações realizadas a seus clientes”. “Como forma de proteger o acesso dos clientes, o banco ainda disponibiliza o Módulo de Proteção Santander (MPS) que evita a ação de trojans, vírus e outros programas maliciosos”, explicou o banco em comunicado.

‘Boy in the Browser’
A companhia de segurança Imperva deu o nome de “Boy in the Browser” (“menino no navegador”) aos ataques. O nome é derivado da técnica conhecida como “homem no meio”, em que o hacker fica de intermediário entre as duas conexões. O “homem” virou “menino” porque o ataque, apesar de eficaz, é simples e direcionado para um objetivo específico.

Configuração de proxy usando arquivo PAC no Internet Explorer (Foto: Reprodução)Configuração de proxy usando arquivo PAC
no Internet Explorer (Foto: Reprodução)

Os golpes ainda podem ter diversas melhorias. Um ataque bastante sofisticado poderia ser multiplataforma – atacando Windows, Mac e Linux – e criando cópias perfeitas das páginas dos bancos. Até o momento, um ataque desse nível ainda não aconteceu.

Como o código malicioso no computador da vítima precisa apenas ajustar o proxy, ele é pequeno e fácil de criar. Os criminosos não precisam mais se preocupar em fazer extensos testes em seus programas maliciosos, nem com os antivírus que poderiam incomodar a atividade do ladrão de senhas.

A única solução, para os programas de segurança, é verificar e alterar o proxy do navegador. Os programas antivírus despreparados vão remover o vírus sem alterar a configuração, mantendo o internauta vulnerável.

A configuração de proxy no navegador se dá por meio do uso de um arquivo PAC (Proxy Automatic Configuration). Esse arquivo permite que o criminoso defina apenas alguns sites para usar o proxy e qual proxy será usado – inclusive proxies diferentes para cada site, se ele assim desejar. O Firefox e o Internet Explorer (bem como o Chrome, que “puxa” o proxy do IE) são alvo dos ataques.

Dicas
Como o golpe depende de uma alteração na configuração do navegador, ele precisa de um vírus que faça isso. Ou seja, se evitar os vírus, é possível evitar ser vítima desse golpe.

Criminosos disseminam os códigos maliciosos usando applets Java em sites legítimos. São poucos os sites que realmente precisam de Java hoje. É mais seguro navegar com ele desativado e ativar quando necessário. Para desativar o Java:

Janela de permissão para rodar o vírus via Java em sites na internet (Foto: Reprodução)Janela de permissão para rodar o vírus via Java
em sites na internet (Foto: Reprodução)

Internet Explorer: Entre em Ferramentas > Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Clique nele e então no botão Desabilitar.

Firefox: O uso do plugin NoScript ajuda muito a proteger o internauta durante a navegação. Em Ferramentas, Complementos, Plugins, basta clicar em todos os itens sobre Java na lista e então em “Desativar”.

Chrome: É preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativar. Nessa mesma tela é possível ativar o leitor embutido de PDFs do Chrome.

Também é importante manter o navegador web e o sistema atualizados, mantendo todos os recursos de atualização automática – principalmente o Windows Update – ativados.

Manter um antivírus funcionando e não abrir e-mails suspeitos também é importante. Confira exemplos de fraudes no Catálogo de Fraudes do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Pesquisa (CAIS/RNP).

Embora a maioria dos ataques atuais não tenha o “cadeado de segurança” nas páginas falsas, eles podem ter no futuro. Portanto, o cadeado de segurança não é garantia de que sua conexão está na página verdadeira.

É importante lembrar que os criminosos também fazem uso de sites clonados dos bancos – chamados de phishing – que não dependem da instalação de nenhum vírus no PC. Nunca acesse links para bancos recebidos em mensagens de e-mail.

A coluna Segurança Digital fica por aqui, mas volta na quarta-feira (2) com o pacotão de respostas. Se você tem alguma dúvida, deixe-a na área de comentários para ser respondida aqui no G1. Até a próxima!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

 

Fonte de Pesquisa

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s