Pesquisa de Ameaças

Nunca foi tão fácil roubar um caixa eletrônico

Lisandro Carmona de Souza, 5 Abril 2017

Grupos criminosos inovam em fraudes bancárias, criando novos desafios de segurança para os bancos.

Os ataques por fraude aos bancos se tornaram mais comuns e os bandidos começam a utilizar métodos sofisticados para roubar grandes quantidades de dinheiro. Acompanhamos nos últimos meses vários ataques de peso a caixas eletrônicos em todo o mundo: TailândiaÍndiaAmérica LatinaEuropaoutros países. Somando todas essas ocorrências, os bandidos conseguiram roubar milhões de dólares.Os ataques aos bancos são divididos em duas principais categorias: aqueles que visam os clientes e aqueles que atacam diretamente as instituições financeiras.

A primeira e mais antiga categoria é a dos ataques aos clientes e aos programas de acesso bancário pela internet. Algumas técnicas que os atacantes utilizam são:

  • Sequestro da tela de login bancário online.
  • Evitar ou bloquear os recursos de segurança, como teclados virtuais ou autenticação de dois fatores.
  • Instalar spywares personalizados como ferramentas para permitir o acesso remoto ao computador infectado. Este método, conhecido tecnicamente como RAT, Remote Access Tool) ainda é muito popular aqui na América do Sul e na Ásia.

No entanto, neste artigo, vamos nos concentrar no segundo tipo de ataques, aqueles que se direcionam contra as instituições bancárias e os seus sistemas internos, aos computadores dos bancos e às suas redes internas, o que permite aos criminosos o acesso a outras partes da a infraestrutura bancária, como os terminais de pagamento, caixas eletrônicos, transferências bancárias internacionais e a registros bancários (logs) que são críticos.

Os bandidos costumam usar ameaças persistentes avançadas (APTs), engenharia social ou ataques de phishing contra funcionários dos bancos, a fim de obter acesso a sistemas internos. Em alguns casos, os cibercriminosos conseguem atacar apenas a rede interna do caixa eletrônico e, a partir dela, atacar outros caixas eletrônicos, propagando a infecção para todas as outras máquinas na mesma rede.

Um dos ataques mais recentes deste tipo foi uma infecção maciça de caixas eletrônicos na Rússia, através da rede interna de uma instituição bancária. De acordo com informações da mídia russa, o ataque foi especialmente inovador, pois se valeu de malwares sem arquivos (fileless) que são executados diretamente na memória da máquina e resistem inclusive ao reinício do sistema operacional do caixa eletrônico (que lá é, geralmente, o Windows).

A partir dessas informações, presumimos que o malware pode ser armazenado, por exemplo, no registro de inicialização mestre do disco rígido da máquina (MBR), dentro do firmware (BIOS ou UEFI) ou como poweliks (malwares que se escondem no Registro do Windows).

Depois de digitar um código especial, o caixa eletrônico infectado soltará todo o dinheiro disponível. Este método também é chamado de "ataque jackpotting", e já foi utilizado no passado.

As infecções dos caixas eletrônicos ficaram mais frequentes e estão gradualmente substituindo os métodos de falsificar fisicamente os caixas (skimming), onde o risco de serem descobertos é maior.

Fraude bancária: o novo negócio

Vários grupos de criminosos bancários surgiram nos últimos anos: Metel, GCMAN, Carbanak, Buhtrp/Cobalt e Lazarus. Todos esses grupos são muito habilidosos e formados por profissionais com profundo conhecimento sobre tecnologia bancária, hacking e programação. Eles provavelmente estão ligados a grupos mafiosos e de lavagem de dinheiro e podem ter acesso a funcionários corruptos dentro das instituições bancárias. Todos esses grupos estão há muitos anos na lista de várias instituições policiais como o FBI e a Europol, mas seus mentores e membros ainda permanecem escondidos em algum lugar nos subterrâneos da internet.

Seu trabalho é muito demorado e a preparação de um ataque pode exigir meses de monitoramento, invasão de novos sistemas, servidores e redes, além do estudo de sistemas internos, mecanismos de verificação e outras regras e cotas de regulação. Qualquer pequeno erro que cometam pode ser fatal para eles, revelando suas atividades criminosas. Para se protegerem durante a fase final de ataque, eles limpar cuidadosamente todos os vestígios e registros de atividades ilegais.

Com cada roubo bem sucedido, os atacantes obtém recursos para financiar toda a sua infraestrutura, desenvolver malwares, pagar subornos, lavar dinheiro e corromper funcionários dos bancos.

Os sistemas bancários cibernéticos precisam aumentar a sua segurança

Embora os caixas eletrônicos sejam bem protegidos contra ataques físicos, quase todos usam o sistema operacional Windows (CE/2000/XP/7). Não sabemos se os sistemas operacionais desses equipamentos são atualizados com frequência, mas eles devem provavelmente dependem de programas de segurança instalados na rede interna.

Sabemos que uma corrente é tão segura quanto o seu elo mais fraco, portanto, uma vez que a rede interna é invadida, os caixas eletrônicos que estiverem naquela rede são alvos fáceis. Para proteger os caixas bancários desses ataques, os bancos devem aprimorar suas políticas de segurança interna e a tecnologia de segurança dos próprios caixas eletrônicos.

Os tempos mudaram e parece que nunca foi tão fácil roubar um caixa eletrônico que agora precisam não só de mais segurança física, mas também trouxe novos desafios aos bancos.