DNS - Porque é necessário ter seu próprio servidor de resolução de nomes
Especialistas descobrem sequestro da rede digital de um banco
Alteração do servidor DNS e criação de um certificado digital falso permitiu a instalação de malware em dispositivos de clientes, com objetivo de atingir instituições financeiras no Brasil e Argentina
De acordo com os investigadores, o ataque ocorreu em outubro de 2016, durante um fim de semana, quando a equipe de segurança normalmente está menos ativa. Para acessar a rede digital do banco, os invasores comprometeram a infraestrutura de seu provedor de serviços de DNS. Depois de assumir o controle, os criminosos virtuais redirecionaram as operações do banco para um conhecido provedor de nuvem.
Meses antes do incidente, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque. Ao visitar o site sequestrado, as vítimas não receberam nenhum aviso do navegador da Web; na verdade, a conexão aparecia como sendo segura, pois o certificado usado era legítimo e a conexão com o site era criptografada.
Por um período de cerca de cinco horas, os invasores controlaram as transações de centenas de milhares ou até milhões de clientes que tentaram acessar os serviços bancários online ou no celular, usando um malware com instalação automática disfarçado como se fosse o plug-in de um conhecido software de segurança para bancos. O malware foi projetado para, depois de instalado, roubar, entre outras coisas, informações de login de bancos on-line e em dispositivos móveis, listas de contatos do Outlook e do Exchange, assim como credenciais de e-mail e FTP. Além disso, os criminosos virtuais eliminaram o software de segurança instalado nos dispositivos das vítimas com o uso de ferramentas antirootkit legítimas para impedir sua detecção. Nesse período, também foi realizada uma campanha de phishing voltada a determinados clientes para roubar informações de cartão de crédito. No total, foram comprometidos mais de 30 domínios pertencentes ao banco. Dentre eles, serviços de cartões de débito e crédito, terminais de PDV e outras operações financeiras.
Embora apenas as operações de um banco tenham sido afetadas, o malware instalado nos dispositivos das vítimas foi projetado para roubar dinheiro de uma lista de bancos predefinidos em todo o mundo. A maioria dos bancos visados está no Brasil, mas outros alvos encontram-se no Reino Unido, Japão, Portugal, Itália, França, China, Argentina, Estados Unidos e Ilhas Cayman.
“Esse incidente nos mostrou duas coisas. Primeiro, que os criminosos virtuais insistem em buscar novas formas de atacar os bancos e estão decididos a continuar não sendo detectados. Segundo, que a segurança de um banco não é uma estratégia estática; para realmente manter a rede segura, ela precisa evoluir e se adaptar continuamente com base na inteligência de tendências, novas ameaças e as mais recentes técnicas de segurança. Esse ataque explorou uma vulnerabilidade de terceiros – o provedor de serviços de DNS do banco. A maioria dos bancos da América Latina não utiliza servidores próprios. Na verdade, pelo menos metade dos 20 principais bancos do mundo utiliza DNSs gerenciados parcial ou integralmente por terceiros. A segurança da rede de terceiros está fora do controle dos agentes do banco, e isso é negligenciado pelos bancos. Porém, como vimos nesse caso, não pelos criminosos virtuais”, disse Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky Lab na América Latina.