Vírus: Como são usados pra roubar senhas bancárias

Tecnologia Phishing Blog do MesquitaOs códigos maliciosos mais comuns da internet brasileira são os “bankers” – pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking. A palavra “banker” é uma variação dos termos “cracker” e “hacker“: assim como o “phreaker” é especializado no sistema telefônico e o “carder” em cartões de crédito, o “banker” se especializa em bancos. Como funciona o ataque de um “banker”, da infecção do sistema até o roubo das informações bancárias?

Disseminação
A maioria dos bankers pode ser considerada um “cavalo de troia”, ou seja, eles não se espalham sozinhos.

Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem exceções: alguns desses vírus conseguem se espalhar por Redes Sociais e MSN, por exemplo.

Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail, como a coluna mostrou anteriormente.

Confira gafes que podem denunciar criminosos virtuais

Blog do Mesquita - Tecnologia Vírus Ilustrando Notícias 01Depois de abrir o e-mail infectado, internauta será convidado a baixar o vírus.

O vírus acima será chamado de “banker telegrama” por causa da isca utilizada pelos fraudadores. Essa tela de confirmação de download aparece assim que o internauta tenta acessar o link oferecido no e-mail malicioso. Nesse caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com “telegrama”, mas o nome do arquivo, sim.

Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das diversas operadoras de telefonia e clubes de futebo.

O site da fabricante de bebidas AmBev sofreu um ataque. Quem visitou o site correu o risco de ver a mensagem na foto abaixo e, se clicasse em run, ser infectado.

Essa praga será referida mais adiante como “banker applet” devido à técnica de contaminação usada – a janela intitulada “Security Warning” (“Aviso de Segurança”) pede a confirmação da execução de do que se chama de “applet” no jargão técnico, mas que é na verdade um programa quase normal. “Run” significa “rodar”ou “executar”. Ao dar um único clique em “run”, o internauta está efetivamente executando um software no PC que, nesse caso, é um vírus.[ad name=”Retangulo – Anuncios – Direita”]

Blog do Mesquita - Tecnologia Vírus Ilustrando Notícias 03

Sites legítimos, como o da Ambev, podem ser usados como meios de infecção

Em entrevista ao G1, um especialista da empresa antivírus Kaspersky informou que o conhecimento dos hackers brasileiros era de “nível técnico”. Os meios de infecção mostrados acima são realmente muito simples.

Um ataque avançado poderia ter contaminado o computador de teste usado pela coluna sem a necessidade de autorizar o download, porque o sistema estava desatualizado e com diversas brechas de segurança passíveis de exploração. Mais adiante será possível ver outros deslizes técnicos dos golpistas.

Infecção

Blog do Mesquita - Tecnologia Ilustrando Notícias Vírus 02

Arquivo tenta se disfarçar de programa da Adobe, mas não esconde o amadorismo: nem o ícone é foi falsificado.

A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas bem mais sofisticadas, mas não são muito comuns.

No caso do Banker Telegrama, o vírus se instala numa pasta chamada “Adobe” em “Arquivos de Programas” com o nome “AcroRd32.scr”, numa clara tentativa de se passar pelo Adobe Reader (que tem exatamente o mesmo nome, mas com extensão “.exe” e fica em outra pasta).

Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus).

Tecnologia,Vírus,Informática,Hackers,Crackers,Cibercrimes,PhishingBanker se instalou dentro da pasta de sistema, usando nome de arquivo parecido com o do sistema operacional.

Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta “system”, dentro da pasta Windows. O nome de arquivo utilizado foi “wuaucldt.exe” – um ‘d’ a mais do que o arquivo legítimo do Windows ‘wuauclt.exe’, responsável pelas atualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operacional.

Roubo de dados

Depois que o vírus está alojado no PC, ele precisa roubar os dados do internauta de alguma forma. As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados.

Hoje, as técnicas mais comuns são o monitoramento da janela e o redirecionamento malicioso. Cada praga analisada pela coluna usou uma delas.

No caso do redirecionamento, o que ocorre é uma alteração no arquivo ‘hosts’ do Windows. A função desse arquivo já foi explicada pela coluna. Ele permite que o usuário defina um endereço que será acessado quando um site for solicitado. O que a praga faz é associar endereços falsos aos sites de instituições financeiras.

Quando um endereço de um banco é acessado, a vítima cai em uma página clonada. Esse acesso é visto e controlado pelos criminosos. Se o usuário realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.

Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de “página não encontrada”. A reportagem usa como exemplo a página clone do Banco do Brasil, mas esse vírus redireciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.

Blog do Mesquita - Tecnologia Vírus Ilustrando Notícias 04

Página inicial não é idêntica à do banco e vários links levam para erros 404 (“Página não encontrada”)

Blog do Mesquita - Tecnologia Vírus Ilustrando Notícias 05

Endereços são diferentes no site falso, que também não possui certificado SSL (o “cadeado”).

O site falso também não possui certificado SSL, portanto não apresentou o “cadeado de segurança” que tanto é divulgado nas campanhas de segurança das instituições financeiras. Os criminosos poderiam ter incluído um cadeado falso sem grande dificuldade – o fato que não o fizeram mostra ou que são incompetentes ou que os usuários que caem nesses golpes não tomam as mínimas precauções contra fraudes on-line.

Blog do Mesquita - Tecnologia,Vírus,Informática,Hackers,Crackers,Cibercrimes,PhishingVírus brasileiro bloqueia site de segurança mantido por colunista do G1 para impedir que internauta obtenha ajuda.

Por outro lado, o vírus bloqueia – também com o arquivo hosts – sites técnicos e úteis, como o “virustotal.com”, usado para realizar exames antivírus, e o Linha Defensiva – página mantida por este colunista do G1.

O banker do telegrama, por sua vez, silenciosamente monitora o acesso ao internet banking, capturando as informações e as enviando aos seus criadores. Em alguns casos, ele pode alterar as páginas dos bancos para solicitar informações que vão além do que normalmente é necessário para o acesso. Esse tipo de praga é mais complexo: o vírus tem 3,2 megabytes, contra apenas pouco mais de 400 KB do banker do Applet. Apesar do tamanho reduzido, o número de alvos é maior.

A simplicidade dos roubos por meio de redirecionamento é atraente para os golpistas, que tem utilizado a técnica com uma frequência cada vez maior. Alguns especialistas em segurança se referem a esse tipo de ataque como “banhost“. Os termos ‘Qhost‘ e ‘pharming’ também são usados.

Outros métodos

Os criminosos têm à sua disposição outras maneiras de roubar dados financeiros, como por exemplo a criação de páginas clonadas que apresentam formulários solicitando diretamente as informações do correntista. Esse tipo de golpe é muito comum no mundo todo, mas nem tanto no Brasil, onde muitas pragas digitais são desenvolvidas apenas para a realização de fraudes bancárias. A coluna de hoje buscou explicar apenas um tipo de golpe – o dos cavalos de troia.

* Altieres Rohr/G1 – é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Criminosos usam vírus antigo para atacar smartphones Smartphone

Aparelhos estão sendo alvos de um velho golpe

Empresas de segurança de informática anunciaram ter notado o aumento dos ataques com um tipo de vírus Cavalo de Troia, comum quando a conexão com a internet era feita principalmente por discagem, contra alguns dos mais sofisticados telefones celulares existentes no mercado.

[ad#Retangulo – Anuncios – Esquerda]Nos smartphones – telefones celulares com recursos avançados -, esses vírus estão sendo usados para conectar os telefones a linhas com tarifa mais alta, deixando as vítimas com uma enorme conta para pagar.

O criminoso cria o serviço cuja tarifa é mais alta e depois espalha o vírus por telefones, para que usem esse serviço.

Na época dos modems, os vírus usados nesses golpes, apelidados de diallers, ficavam à espreita em sites pornográficos. Quando eles identificavam as vítimas, desconectavam seu modem e faziam uma ligação de longa distância, deixando as vítimas com contas telefônicas altíssimas.

Por conta do sistema de cobrança das ligações internacionais, os criminosos recebiam parte do dinheiro pago pela ligação. Alguns diallers chegavam a desligar a caixa de som dos modems para que a vítima não percebesse a ligação internacional.

Agora, o braço de segurança da empresa de softwares CA anunciou ter notado um aumento deste tipo de vírus nos smartphones. Desta vez, em vez de fazer ligações internacionais, eles ligam para linhas com tarifa mais alta, deixando a conta com as vítimas.

Disfarces

Escrevendo no blog de segurança da CA, Akhil Menon disse que “esta vendo uma crescente tendência do uso de diallers Cavalos de Troia”. Menon descreveu um desses vírus, o Swapi.B, que manda mensagens de texto para linhas com tarifa mais alta.

“As mensagens são enviadas em um formato típico para linhas com tarifas mais altas e deixam o dono do celular com uma conta salgada, sem que ele tenha consentido, ou sequer soubesse.”

Muitos desses vírus, inclusive o Swapi.B, são contraídos em sites pornográficos, disfarçados de software, videoclipes ou programas de ajuda.

Myko Hypponen, chefe de pesquisas da F-Secure, que produz softwares de segurança para celulares, disse que viu alguns tipos diferentes de diallers nos últimos meses.

Eles são populares, diz Hypponen, porque conseguem driblar um dos maiores problemas enfrentados por qualquer um que queira ganhar dinheiro com vírus para o sistema Windows.

Malwares de PCs (softwares maliciosos, que se infiltram de forma ilícita em computadores alheios) não conseguem simplesmente roubar dinheiro de seu computador. Eles têm que passar por obstáculos como roubar o número do cartão de crédito ou enviar spam”, diz ele.

“Mas um malware de celular pode simplesmente te roubar fazendo uma ligação ou enviando mensagens para um número de alta tarifa.”

Alguns criadores dos diallers também estão trabalhando para dificultar que seus serviços telefônicos com tarifas mais altas sejam fechados.

Segundo Hypponen, muitos dos diallers ligam ou enviam mensagens para vários números diferentes, inclusive números legítimos.

“Os Cavalos de Tróia podem fazer ligações para, digamos, cem números diferentes de tarifa mais alta, e apenas um deles seria o seu”, disse ele.

“Como você pode combatê-los? Eliminando todos os números, inclusive os legítimos?”, conclui.

BBC