Tudo perdido em questão de horas. É dessa forma que a Kaspersky Lab classifica um “sequestro relâmpago” aplicado por hackers na rede digital de um banco brasileiro, que teve os serviços bancários on-line e móveis da organização afetados por horas.
Os analistas detectaram o ataque em tempo real e conseguiram observar os movimentos do criminoso virtual durante o período de cinco horas, período em que a rede digital da organização ficou sob o controle dos invasores. Estima-se que o roubo tenha afetado centenas de milhares ou até milhões de clientes em mais de 300 cidades ao redor do mundo.
O ataque ocorreu em outubro de 2016, durante um fim de semana, quando, para acessar a rede digital do banco, os invasores comprometeram a infraestrutura do provedor de serviços de DNS. Depois de assumir o controle, redirecionaram as operações do banco para um conhecido provedor de nuvem.
Meses antes do incidente, os hackers haviam gerado um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque. Ao visitar o site sequestrado, as vítimas não receberam nenhum aviso do navegador da web – na verdade, a conexão aparecia como sendo segura, pois o certificado usado era legítimo e a conexão com o site era criptografada.
Por um período de cerca de cinco horas, os invasores controlaram as transações de centenas de milhares ou até milhões de clientes que tentaram acessar os serviços bancários on-line ou no celular, usando um malware com instalação automática disfarçado como se fosse o plug-in de um conhecido software de segurança para bancos. O malware foi projetado para, depois de instalado, roubar, entre outras coisas, informações de login de bancos on-line e em dispositivos móveis, listas de contatos do Outlook e do Exchange, assim como credenciais de e-mail e FTP.
Além disso, os criminosos virtuais eliminaram o software de segurança instalado nos dispositivos das vítimas com o uso de ferramentas anti-rootkit legítimas para impedir sua detecção. Nesse período, também foi realizada uma campanha de phishing voltada a determinados clientes para roubar informações de cartão de crédito. No total, foram comprometidos mais de 30 domínios pertencentes ao banco – dentre eles, serviços de cartões de débito e crédito, terminais de PDV e outras operações financeiras.
