O nome do banco que desta vez foi alvo do ataque não foi revelado, nem se sabe se o ataque provocou danos a nível financeiro. A Swift só revelou que as técnicas usadas no ataque são idênticas às utilizadas no ataque de fevereiro, que permitiu violar um sistema considerado de elevada segurança e que está associado à transferência de milhares de milhões de euros todos os dias.
A empresa admite que os atacantes demonstraram um “conhecimento profundo e sofisticado do controlo deste tipo de operações”, o que pode indiciar a existência de ações a partir do interior das instituições financeiras.
Num e noutro caso os atacantes enviaram mensagens falsas para a rede, com o objetivo de confirmar a transferência de milhões de dólares para contas por si controladas. Em fevereiro o esquema serviu para desviar 81 milhões de dólares pertencentes ao Banco Central do Bangladesh da Reserva Federal norte-americana e enviá-los para contas de terceiros.
O plano inicial teria como objetivo desviar um valor muito superior – pensa-se que da ordem dos mil milhões de dólares – mas um erro no processo acabou por dar o alerta e permitir às entidades envolvidas perceberem que as ordens de transferência eram fraudulentas.
Na altura pensou-se que o ataque seria um caso isolado, mas a existência deste novo episódio praticamente deita por terra essa teoria, sobretudo devido às semelhanças no modus operandi. E o nível de alerta aumenta, já que o sistema Swift é usado por 11 mil instituições financeiras em todo o mundo.
Em declarações ao TeK, David Sopas considera que “devemos ter em muita conta estes exemplos de ataques aos bancos”, mais ainda porque os indícios parecem apontar que este “malware foi preparado especificamente para alvos bancários”.
No que se refere à origem dos ataques, o especialista em segurança considera que “a porta de entrada pode ser um ataque spear-phishing, onde tentam alcançar/infetar alguém na rede com malware e a partir daí aumentar os privilégios e tentar atingir os objetivos – o roubo de informação / transferências bancárias”.
David Sopas olha para os dois ataques como ações ligadas a um mesmo plano, que pode ser preparado durante meses até que os resultados fiquem visíveis e dá destaque a um ponto que a Swift já tinha frisado: o facto de quem levou a cabo o ataque demonstrar grandes conhecimentos internos da estrutura bancária.
Isso leva a crer “que há inside information, ou que alguém estudou muito bem o ambiente para assim explorar ao máximo o ataque”, destaca ainda o responsável, sublinhando que todas as transferências em questão tiveram de ser aprovadas utilizando credenciais Swift.