Notícias

22/03/2019 - UOL Notícias

Como ataques hackers direcionados a bancos causam prejuízos milionários


Por: Rodrigo Trindade

De pouquinho em pouquinho, cibercriminosos deram um jeito de roubar no mínimo US$ 15 milhões do sistema bancário mexicano em meados 2018. O caso expôs o tamanho do problema que as redes bancárias podem trazer se empresas, governos e órgãos reguladores não tiverem as ferramentas de segurança robustas e constantemente atualizadas para proteção contra ataques de hackers.

Josu Loza, um "hacker do bem", investigou como isso aconteceu e apresentou suas descobertas na RSA Conference 2019, um evento de segurança cibernética realizado na última semana em San Francisco. Segundo a análise dele, registrada pela "Wired", o buraco explorado pelos criminosos foi no sistema de pagamentos internos do México, conhecido como SPEI. É uma infraestrutura semelhante à gerida pela brasileira CIP (Câmara Interbancária de Pagamentos), com atuação focada em processos tipo as transferências TED, DOC e o processamento de boletos.

Segundo Fabio Assolini, analista sênior de segurança da Kaspersky Lab, o procedimento foi feito por agentes locais que tiveram uma atuação dispersa, que não deu certo em todas tentativas, mas resultou em um enorme rombo. Eles exploraram uma vulnerabilidade do SPEI e foram forjando requisições de transferências dentro do sistema direto para contas que não existiam. "Foi um ataque bastante genioso", afirma Assolini.

O resultado foi o roubo de milhões de dólares, que, para o analista, não pode ser dado com exatidão porque nem todos os bancos revelam o valor da fraude sofrida.

"Houve diversas tentativas, alguns bancos detectaram solicitações, transferências estranhas e bloquearam o acesso disso. Já outros não, por isso a fraude realmente ocorreu. Quanto dinheiro foi roubado? Não sabemos. Vai de banco a banco o relato", explica.

Segundo o relato de Loza, as transferências eram em grande número e em montantes pequenos, dificultando a identificação de uma movimentação irregular. Assim que chegava nas contas fraudulentas o dinheiro era sacado sem que o banco percebesse a anormalidade. As perdas para os bancos foram enormes, mas esse ataque foi pontual.

Ameaça internacional

Outro ataque, este ao "BNDES mexicano" é o tipo que causa mais preocupação mundo afora. Realizado em janeiro de 2018, ele foi obra de um grupo conhecido como Lazarus, especializado em investidas contra a Swift (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais). Os criminosos tentaram movimentar US$ 110 milhões do Bancomext, mas foram contidos antes de concluir a ação.

Existem evidências técnicas que dão pistas que esse grupo é originado, ou patrocinado, por algo ou alguém da Coreia do Norte.

Eles estão atividade desde 2015, mas se destacaram a partir de um assalto virtual ao banco central de Bangladesh em 2016. Foi uma tentativa de roubar US$ 1 bilhão, originárias de 35 transferências por meio da rede Swift. 30 foram bloqueadas, mas as cinco que deram certo corresponderam a US$ 101 milhões, montante que foi parcialmente recuperado posteriormente.

O Lazarus expandiu suas atividades para outros territórios, atingindo diversas localidades na América Latina a partir de 2016. O Banco del Austro, do Equador, perdeu US$ 12 milhões em 2016.

"Em vez de atacar o usuário final, eles vão direto na fonte. Atacam o banco. Conhecem a estrutura, conhecem os meandros dela e fazem rombos astronômicos através da rede Swift, que movimenta milhões todo dia - não é assustador ver uma transferência de 50 milhões de dólares, é por onde esse dinheiro trafega", afirma o analista da Kaspersky Lab.

Na vizinhança do Brasil, Costa Rica, Chile, Uruguai e o próprio equador sofreram com investidas do grupo, que adotou técnicas diversionistas para enganar equipes de segurança enquanto fazia o trabalho sujo. Em um caso de 2018, Assolini recorda que computadores de toda rede do Banco de Chile foram afetados por um malware, que formatou máquinas e servidores, além de impedir saques e transferências.

Em paralelo a isso, os cibercriminosos direcionaram 10 milhões de dólares, por meio do Swift, para contas em Hong Kong.

Avanços na segurança - e diversificação de golpes

O avanço do Lazarus forçou a Swift, além dos bancos que trabalham com ela, a aprimorar seus procedimentos. Uma das medidas foi uma melhora no sistema de autenticação, que, em conjunto a outras iniciativas, reduziu a efetividade das tentativas de fraude.

Para continuar fazendo seu dinheirinho, o grupo criminoso diversificou seus alvos para empresas como corretoras de criptomoedas e casas de câmbio - sempre no setor financeiro.

Apesar dessa versatilidade e da proximidade dos ataques, o Brasil passou ileso do Lazarus e de variações regionais de cibercriminosos. E não é por acaso: segundo a Febraban (Federação Brasileira de Bancos), os bancos brasileiros investem cerca de R$ 2 bilhões em sistemas de tecnologia da informação voltados para segurança.

Não há registro de invasão a partir dos sistemas internos dos bancos do país.

A solidez do sistema brasileiro é consequência de muita experiência para lidar com fraudes. "Desde o ano 2000, os bancos brasileiros aprenderam a lidar com fraudes em volumes monstruosos", diz Assolini.

O analista destaca que o país está entre os mais modernos do mundo nesse quesito, especialmente com relação aos clientes. Ele apontou três tecnologias em que o Brasil esteve entre os pioneiros: o plugin bancário para navegadores, o cartão com chip e a biometria em caixas eletrônicos.

Criminosos até conseguem inventar novas formas de aplicar golpes, como vírus que modificam boletos impressos depois de baixados no computador, mas o sistema brasileiro costuma se ajustar rápido ou até estar um passo à frente.

O brasileiro ainda é um dos mais afetados mundialmente por fraudes no internet banking, mas não por problema do sistemas e sim pela habilidade dos criminosos na forma de enganar os usuários - o país é o número um em ataques de phishing.

"É necessário ter pessoas técnicas especializadas na área, que acompanhem as fraudes, a compra de tecnologias novas de proteção, monitoramento das ações do banco. Tudo isso demanda investimento e os bancos brasileiros têm feito isso, investido em inteligência para estarem protegidos. O fraudador está sempre tentando buscar um buraquinho para causar um prejuízo", conclui o analista da Kaspersky Lab.

Se os bancos estão tão de olho nessas manobras, se mantendo seguros de ameaças internacionais, a conscientização do brasileiro significaria um sistema ainda mais tranquilidade a todos. Chegou aquele email, ou mensagem de celular, bom demais para ser verdade? Não clique no link. Grandes chances de ser algum criminoso tentando ganhar acesso ao que não devia.



AVISO: O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. A DEALL R&I, divisão do IBRACAF Ltda., não avaliza as informações contidas neste artigo nem se responsabiliza por elas.