Opinião: Fraudes de banking em Portugal

28 dez 2012 17:16

Este artigo tem mais de 11 anos

Os ataques para roubar dados e dinheiro aos utilizadores de serviços de Internet banking continuam na ordem dos dia. David Sopas, especialista em segurança, escreve sobre o tema, os pontos fracos dos utilizadores e as estratégias dos atacantes.

Fraudes de banking em Portugal

David Sopas *

Cada vez existem mais vítimas de fraudes de banking em Portugal. Claro que esta situação coincide com o número crescente de utilizadores de Internet no nosso País e o aumento destes ataques.

A informação para desenvolver este tipo de esquemas também está ao alcance de qualquer um (em fóruns, chats, blogs). Inclusive existem pacotes já com as páginas devidamente alteradas para se assemelharem aos bancos (portugueses) e com malware FUD (Fully Undetected) já incluído. Tudo ao alcance de um simples clique.

Os ataques mais conhecidos são via email. Tentam enganar o utilizador, com algumas técnicas de "engenharia social"**, levando-o a fornecer dados bancários para posterior utilização por parte dos utilizadores maliciosos.

Recentemente, e segundo o relatório da empresa de segurança Check Point, uma fraude intitulada de Eurograbber conseguiu roubar cerca de 36 milhões de euros de empresas e clientes particulares na Europa. Os responsáveis por este ataque propagavam o malware infetando PCs e dispositivos móveis. O Eurograbber utilizava malware direcionado a estes dispositivos e conectava-os a um servidor de comando e controlo (C&C). A utilização do kit do trojan Zeus auxiliava a monitorização das teclas pressionadas pela vítima.

[caption] David Sopas [/caption]

Após infectar o PC da vítima, o Eurograbber infectava o dispositivo móvel (Android e Blackberry) para que desta forma pudesse intercetar as SMS recebidas para ultrapassar o processo de autenticação de dois fatores. Depois de obter o número de autenticação de transação, os criminosos executavam transferências de fundos para contas mulas dispersas pela Europa.

Este é um caso que demonstra que ataques a entidades bancárias tornaram-se mais sofisticados e criativos, no entanto continuam a focar-se no elo mais fraco - os utilizadores.
Este tipo de esquemas terá sempre uma taxa de sucesso apelativa para os criminosos. Parte desse sucesso é causado pela falta de formação das vítimas.

As entidades bancárias também deverão ter o papel ativo de informar e formar constantemente os seus clientes sobre a segurança das suas contas e os atuais esquemas fraudulentos que circulam. Desta forma, muitos clientes que tenham recebido algum email de phishing podem rapidamente identificar se é uma fraude, e alertar a entidade bancária para uma rápida resolução.

Claro que os bancos também deverão controlar possíveis falhas web nos seus sistemas. Por exemplo, falhas XSS (Cross-Site Scripting) em sites bancários podem levar à criação de formulários dentro da página do banco. Claro que o envio dos dados será para um site malicioso, preparado para receber a informação submetida. É uma prioridade a correção deste tipo de falhas, tal como outras, que sendo corrigidas aumentam a confiança por parte da vítima e tornam mais dificil a interceção de informação.

A utilização de falhas privadas (não divulgadas aos vendors) ou a utilização de falhas que ainda não estão devidamente corrigidas podem fornecer aos scammers a possibilidade de obtenção de informação confidencial. Posteriormente essa informação pode ser utilizada para roubo de identidade e ganhos monetários.

Nenhuma entidade bancária requer dados via email nem qualquer confirmação de conta, muito menos envia ficheiros para download para os clientes.
Toda a comunicação cliente -> entidade bancária é feita por ligação segura, por isso verifique sempre se os links do suposto email do seu banco começam por https://dominio_do_seu_banco.pt e clique no respetivo certificado de segurança.

Se foi vítima de phishing ou se suspeita de algum ataque desta natureza, reporte a situação às entidades competentes. O seu alerta pode ajudar outros utilizadores.
Tal como outros métodos de ataque, os utilizadores maliciosos continuam a aperfeiçoar técnicas para ultrapassar todas as barreiras de segurança. Convém estar sempre atento e jogar pelo seguro.

Aspetos que o utilizador deve ter em conta nos ataques bancários:

Dar preferência às aplicações de mobile banking oficiais disponibilizados gratuitamente pelo banco;
Nunca efetuar operações via mobile banking ligado a uma rede wireless pública;
Nunca clique em links enviados por supostos e-mails do seu banco, em caso de dúvida, é preferível inserir o endereço oficial no seu browser;
Não usar o Google para procurar a página do banco, pois os criminosos utilizam links patrocinados ou técnicas de blackhat SEO para aparecerem no topo da página;
Mantenha o seu software atualizado. Um browser adequado ou software antivírus possuem recursos como a navegação segura, capaz de bloquear o acesso a sites de phishing.

** Engenharia social - De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças, quando são pequenas, na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado.
Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas ações sem o seu consentimento.

*Editor do WebSegura.net