Como hackers conseguiram sequestrar toda operação on-line de um Banco Brasileiro

Como hackers conseguiram sequestrar toda operação on-line de um Banco Brasileiro

By Benson Toti - min. de leitura
Atualizado 04 junho 2020

O modelo tradicional de hackear um banco não é tão diferente do método antiquado de roubar um. Ladrões entram, pegam os bens e saem. Visando um banco brasileiro, um grupo empreendedor de hackers parecem ter adotado uma abordagem mais abrangente e desonesta: uma tarde de fim de semana, eles reencaminharam todos os clientes on-line do banco para falsificações perfeitamente reconstruídas das propriedades do banco, onde as marcas obedientemente entregaram sua conta em formação.

Pesquisadores da empresa de segurança Kaspersky na terça-feira descreveram um caso sem precedentes de fraude bancária por ataque hacker, que basicamente seqüestrou toda a operação online de um banco inteiro. Em 13 de outubro do ano passado, os pesquisadores disseram que os hackers alteraram os registros do Domain Name System (DNS) de todas as 36 propriedades online do banco, comandando os domínios web e do site móvel do banco, levando os usuários a sites de phishing. Na prática, isso significava que os hackers poderiam roubar as credenciais de login em sites hospedados nos endereços legítimos do banco. Pesquisadores da Kaspersky acreditam que os hackers podem ter redirecionado simultaneamente todas as transações em caixas eletrônicos ou sistemas de ponto de venda para seus próprios servidores, coletando os detalhes do cartão de crédito de qualquer pessoa que usou seu cartão na tarde de sábado.

“Absolutamente todas as operações on-line do banco estavam sob o controle dos atacantes por cinco a seis horas”, diz Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisou o ataque em tempo real depois de ver o malware infectar os clientes do que parecia ser o banco totalmente Domínio válido. Do ponto de vista dos hackers, como Bestuzhev coloca, o ataque DNS significou que “você se torna o banco. Tudo pertence a você agora.

Estresse de DNS

A Kaspersky não liberou o nome do banco que foi alvo no ataque redirecionar de DNS. Mas a empresa diz que é uma grande empresa financeira brasileira com centenas de agências, operações nos EUA e nas Ilhas Cayman, 5 milhões de clientes e mais de US$ 27 bilhões em ativos. E embora a Kaspersky diga que não conhece toda a extensão dos danos causados ​​pela aquisição, ela deve servir como um aviso aos bancos em todos os lugares para considerar como a insegurança de seu DNS pode permitir uma pesadelo perda de controle de seus principais ativos digitais. “Esta é uma ameaça conhecida para a internet”, diz Bestuzhev. “Mas nunca o vimos explorado de uma forma tão feroz e em tão grande escala.”

O Domain Name System, ou DNS, serve como um protocolo crucial rodando sob o capô da internet: Ele traduz nomes de domínio em caracteres alfanuméricos (como Google.com) para endereços IP (como 74.125.236.195) que representam os locais reais de computadores que hospedam websites ou outros serviços nessas máquinas. Mas atacar esses registros podem derrubar sites ou, pior, redirecioná-los para um destino de escolha do hacker.

Em 2013, por exemplo, o grupo de hackers do Exército Eletrônico Sírio alterou o registro DNS do The New York Times para redirecionar os visitantes para uma página com seu logotipo. Mais recentemente, o ataque botnet de Mirai no provedor DNS derrubou um grande pedaço da web offline, incluindo Amazon, Twitter e Reddit.

Mas os agressores bancários brasileiros exploraram o DNS da vítima de uma forma mais focada e lucrativa. A Kaspersky acredita que os atacantes comprometeram a conta do banco no site Registro.br. Esse é o serviço de registro de domínio do NIC.br, o registrador de sites que terminam no domínio brasileiro de nível superior .br, que dizem também gerenciado o DNS para o banco. Com esse acesso, acreditam os pesquisadores, os atacantes conseguiram alterar o registro simultaneamente para todos os domínios do banco, redirecionando-os para servidores que os atacantes haviam configurado na plataforma Cloud do Google.

Com esse seqüestro de domínio no lugar, qualquer pessoa que visite os URLs do site do banco foi redirecionada para sites parecidos. E esses sites ainda tinham certificados HTTPS válidos emitidos em nome do “banco, de modo que os navegadores dos visitantes iriam mostrar um a barra de endereço verde, o nome do banco, tal como fariam com os sites reais. A Kaspersky descobriu que os certificados tinham sido emitidos seis meses antes pela Let’s Encrypt, a autoridade de certificação sem fins lucrativos que facilitou a obtenção de um certificado HTTPS gratuito na esperança de aumentar a adoção do HTTPS.

Continua…

Quer saber mais dessa história? Leia no artigo completo (em inglês) da Wired.

Não prolongamos com o texto justamente com o objetivo de mostrar aqui sobre a vulnerabilidade dos bancos e a comparação com a tecnologia Bitcoin, que tem quase 0 chances de serem adulteradas ou sofrer um ataque hacker diretamente. Bom, mas isso é um assunto muito vasto e você pode acompanhar aqui em varias matérias no Guia do Bitcoin.

Via: Wired
Adaptação/Tradução: Guia do Bitcoin