 |
| Bandidos usam o golpe do boleto para roubar vítimas na internet |
Luís Alberto Alves
A popularidade dos boletos no Brasil fez com que cibercriminosos
apostassem, cada vez mais, em golpes utilizando este sistema de pagamento.
Através dos ataques aos boletos bancários a “gangue do boleto” tem afetado a
vida de muitas empresas, empresários, consumidores, e dado muita dor de cabeça
para todos.
Analistas da Kaspersky Lab descobriram uma série de ataques envolvendo falhas em dispositivos de redes – especialmente modems ADLS e roteadores domésticos – além do uso massivo de servidores DNS maliciosos, falsos boletos, injeção de código nos navegadores no estilo do SpyEye, uso de extensões e plugins maliciosos e muita, muita criatividade; tudo isso permitiu ao cibercriminoso brasileiro roubar muito dinheiro, mesmo de pessoas que não possuem cartão de crédito ou uma conta de internet banking. Essa é a nova preocupação dos bancos e das instituições financeiras no país.
Leste Europeu
O malware de boleto utiliza uma técnica chamada "web injection", a mesma usada pelo trojan bancário europeu SpyEye. Além de importar a técnica do golpe, os criminosos brasileiros utilizam a infraestrutura dos cibercriminosos do Leste Europeu para hospedar o vírus de boleto e os C&C (centro de comando e controle) e uma criptografia nos arquivos descarregados (payloads), com a mesma cifragem usada pelo Trojan Zeus Gameover.
Mais evidências desta cooperação foram encontradas pelos pesquisadores da Kaspersky Lab em fórums underground de lingua russa/ucraniana, onde os criminosos buscam novos trojans, crimeware e kits de ataques contra caixas eletrônicos e dispositivos PoS. O primeiro resultado dessa cooperação se dá em trojans mais avançados como esse que ataca boletos bancários.
Rentabilidade
O golpe por meio de boletos tem se mostrado bastante rentável para os cibercrimonsos e por isso os que criavam Trojans bancários, passaram a atuar com este tipo de fraude. Além do lucro pelo dinheiro roubado das vítimas, os fraudadores brasileiros vendem o "kit boleto" (malware + painel) no Facebook por cerca de R$500.
Vivemos atualmente uma verdadeira avalanche desses trojans, todos usando a mesma técnica. Muitas empresas foram afetadas – e já existem casos aonde os prejuízos de uma única empresa chegam a mais de R$ 150 mil reais. Associação de Lojistas e até mesmo o próprio Governo já emitiram alertas para consumidores sobre os boletos fraudulentos alterados por esses trojans.
Ataques
O vírus de boleto está preparado para capturar trafego SSL e mudar os boletos mesmo que sejam gerados em paginas HTTPS. Para isso, os cibercriminosos brasileiros atacam modems ADSL e roteadores domésticos, mudando os DNS para direcionar para páginas falsas que irão gerar boletos fraudulentos.
Alguns ataques contra roteadores domésticos estão usando malvertising, ou seja, o criminoso compra uma campanha publicitaria e publica os scripts maliciosos em sites populares como o Estadão.
Recentemente encontramos mais de 30 servidores DNS maliciosos usados nesses ataques. Ao combinar esse ataque com supostos anúncios comerciais o cibercriminoso ganha o poder de comprometer sites populares, potencialmente atingindo milhões de pessoas através de sites legítimos.
Além disso, a Kaspersky Lab descobriu que diversos ataques estão distribuindo extensões maliciosas do Google Chrome que estão hospedadas na loja oficial do navegador. O vírus de boleto muda o software do navegador para que ele trabalhe no "modo desenvolvedor" que permite a instalação de qualquer extensão – sem levar em conta a sua origem.
A Kaspersky Lab fez o "sinkhole" de um domínio usado numa campanha maliciosa e, em apenas três dias, os analistas da empresa coletaram 612 mil requests ao domínio. Cada request tinha como objetivo de alterar uma linha digitável de boleto.
“A gangue do boleto está cada vez mais atrevida. Atualmente eles até compram links patrocinados no Google e em outros buscadores para divulgar sites falsos que supostamente emitem segunda via ou recalculam boletos”, alertou o analista de vírus da Kaspersky Lab para o Brasil, Fabio Assolini.
Analistas da Kaspersky Lab descobriram uma série de ataques envolvendo falhas em dispositivos de redes – especialmente modems ADLS e roteadores domésticos – além do uso massivo de servidores DNS maliciosos, falsos boletos, injeção de código nos navegadores no estilo do SpyEye, uso de extensões e plugins maliciosos e muita, muita criatividade; tudo isso permitiu ao cibercriminoso brasileiro roubar muito dinheiro, mesmo de pessoas que não possuem cartão de crédito ou uma conta de internet banking. Essa é a nova preocupação dos bancos e das instituições financeiras no país.
Leste Europeu
O malware de boleto utiliza uma técnica chamada "web injection", a mesma usada pelo trojan bancário europeu SpyEye. Além de importar a técnica do golpe, os criminosos brasileiros utilizam a infraestrutura dos cibercriminosos do Leste Europeu para hospedar o vírus de boleto e os C&C (centro de comando e controle) e uma criptografia nos arquivos descarregados (payloads), com a mesma cifragem usada pelo Trojan Zeus Gameover.
Mais evidências desta cooperação foram encontradas pelos pesquisadores da Kaspersky Lab em fórums underground de lingua russa/ucraniana, onde os criminosos buscam novos trojans, crimeware e kits de ataques contra caixas eletrônicos e dispositivos PoS. O primeiro resultado dessa cooperação se dá em trojans mais avançados como esse que ataca boletos bancários.
Rentabilidade
O golpe por meio de boletos tem se mostrado bastante rentável para os cibercrimonsos e por isso os que criavam Trojans bancários, passaram a atuar com este tipo de fraude. Além do lucro pelo dinheiro roubado das vítimas, os fraudadores brasileiros vendem o "kit boleto" (malware + painel) no Facebook por cerca de R$500.
Vivemos atualmente uma verdadeira avalanche desses trojans, todos usando a mesma técnica. Muitas empresas foram afetadas – e já existem casos aonde os prejuízos de uma única empresa chegam a mais de R$ 150 mil reais. Associação de Lojistas e até mesmo o próprio Governo já emitiram alertas para consumidores sobre os boletos fraudulentos alterados por esses trojans.
Ataques
O vírus de boleto está preparado para capturar trafego SSL e mudar os boletos mesmo que sejam gerados em paginas HTTPS. Para isso, os cibercriminosos brasileiros atacam modems ADSL e roteadores domésticos, mudando os DNS para direcionar para páginas falsas que irão gerar boletos fraudulentos.
Alguns ataques contra roteadores domésticos estão usando malvertising, ou seja, o criminoso compra uma campanha publicitaria e publica os scripts maliciosos em sites populares como o Estadão.
Recentemente encontramos mais de 30 servidores DNS maliciosos usados nesses ataques. Ao combinar esse ataque com supostos anúncios comerciais o cibercriminoso ganha o poder de comprometer sites populares, potencialmente atingindo milhões de pessoas através de sites legítimos.
Além disso, a Kaspersky Lab descobriu que diversos ataques estão distribuindo extensões maliciosas do Google Chrome que estão hospedadas na loja oficial do navegador. O vírus de boleto muda o software do navegador para que ele trabalhe no "modo desenvolvedor" que permite a instalação de qualquer extensão – sem levar em conta a sua origem.
A Kaspersky Lab fez o "sinkhole" de um domínio usado numa campanha maliciosa e, em apenas três dias, os analistas da empresa coletaram 612 mil requests ao domínio. Cada request tinha como objetivo de alterar uma linha digitável de boleto.
“A gangue do boleto está cada vez mais atrevida. Atualmente eles até compram links patrocinados no Google e em outros buscadores para divulgar sites falsos que supostamente emitem segunda via ou recalculam boletos”, alertou o analista de vírus da Kaspersky Lab para o Brasil, Fabio Assolini.
Nenhum comentário:
Postar um comentário