Ciberataques: como alguns cliques fazem bancos perder bilhões

Analistas sugerem que uma única invasão a um servidor que armazena dados na nuvem possa custar entre US$ 50 e US$ 120 bilhões de dólares de prejuízos 

Allan Gavioli

Publicidade

SÃO PAULO – O banco americano Capital One anunciou na última segunda-feira (29) que havia sido alvo de um ataque cibernético. Mais de 100 milhões de clientes tiveram seus dados pessoais vazados. Os hackers obtiveram acesso a todo tipo de informação, desde data de nascimento e endereço ao balanço da conta, históricos de pagamento e números dos cartões de credito.

O banco afirmou em nota que reconhece o ataque e está fazendo de tudo para auxiliar os afetados e ofereceu um monitoramento dos cartões de credito gratuitamente para os vitimados pelo ataque. A companhia não pode dizer com certeza se os dados vazados foram usados para fraude, mas disse que é improvável. 

Agentes federais prenderam uma mulher em Seattle chamada Paige Thompson por invadir servidores de computação em nuvem alugados pela Capital One, segundo relatou o Business Insider. Investigadores dizem que Thompson trabalhou anteriormente na Amazon e tinha facilidade com sistemas de dados nas nuvens.

Os riscos de um ataque cibernético

Vivemos uma época de ouro para assaltos a bancos e a maior parte desses criminosos não invadem agências altamente armados, fazem reféns ou explodem cofres. Eles se adaptaram rapidamente ao ambiente de alta e constante mudança tecnológica.

Os assaltantes de hoje em dia monitoram constantemente as vulnerabilidades dos sistemas bancários e conseguem explorá-las muito mais rápido do que os serviços de segurança bancária podem instalar atualizações. Isso tudo sem dar um tiro, sequestrar alguém ou explodir um cofre.

Analistas sugerem que uma unica invasão a um servidor que armazena dados na nuvem possa custar entre US$ 50 e US$ 120 bilhões de dólares de prejuízos econômicos, direta e indiretamente. Isso é o equivalente aos danos causado pelo Furacão Katrina, em 2005.

Continua depois da publicidade

Os ciberataques são vistos pela comunidade dos grandes nomes do mundo dos negócios da America do Norte como o risco mais provável de se intensificar no futuro, de acordo com a pesquisa de percepção de risco que sustenta o Global Risks Report 2017, organizado anualmente pelo Fórum Econômico Mundial.

Como ocorrem as invasões aos sistemas bancários

As frentes de ataques são amplas, já que em muitos casos o acesso aos sistemas que armazenam a base de dados pode gerar mais receita do que uma fraude contra o banco si. Para roubar o dinheiro ou os dados, os criminosos precisam penetrar na infraestrutura de segurança do banco, que geralmente é bem protegida.

Os invasores escolhem o alvo do ataque em grande parte com base em seu
conhecimento técnico, ferramentas disponíveis e conhecimento dos processos bancários internos. Quanto mais fragilizado o sistema for, mais interessante para eles.

Continua depois da publicidade

Invista seu dinheiro com segurança. Abra sua conta na XP Investimentos – é grátis

Cada ataque é único: os hackers podem agir de forma diferente na parte de retirar o dinheiro ou na hora de vender dados, por exemplo. No entanto, existem recursos em comum para todos os roubos.

De acordo com o estudo da Positive Technologies, companhia de soluções de segurança empresarial para gerenciamento de vulnerabilidade online, os hackers operam de acordo com uma metodologia que consiste em cinco principais estágios. São os seguintes:

Continua depois da publicidade

1. Pesquisa de campo e apuração

É a parte que exige mais dedicação e tempo. Hackers se deparam com a tarefa de reunir o máximo de informações possíveis sobre o alvo para conseguir violar os sistemas de segurança.

Como o uso de recursos externos pode ser detectado pelos sistemas de segurança, a fim de não serem pegos durante esse estágio inicial, os criminosos recorrem a métodos passivos de obtenção de informações: por exemplo, identificar nomes de domínio e endereços pertencentes ao banco.

No estágio de pesquisa, funcionários bancários corruptos também são coagidos a participar do esquema. Esses insiders estão preparados para divulgar informações por uma taxa do montante a ser roubado.

Continua depois da publicidade

2. Garantir acesso à rede interna

Hoje, os bancos de grande e médio porte prestam muita atenção na proteção do perímetro da rede. Por isso, é difícil e arriscado organizar ataques diretos a servidores.

O método mais comum e eficaz de penetrar na infraestrutura do banco é enviar e-mails de phishing para funcionários em endereços de trabalho ou pessoais.

Phishing é uma técnica que os cibercriminosos usam para enganar alguém e forçar a pessoa a revelar informações pessoais, ou, nesse caso, senhas de acesso e permissões ao sistema interno. Eles fazem isso enviando e-mails falsos, se passando por funcionários de áreas de recursos humanos ou direcionando o alvo a sites que vão acessar essas informações.

Continua depois da publicidade

Outra forma de conseguir esse acesso à rede interna é, primeiramente, infectando um website em que os funcionários acessam bastante com um software malicioso de difícil identificação. Assim, garantem o acesso privilegiado à rede privada do sistema do banco em questão.

Fonte: Positive Technologies Study: Bank Attacks

3. Posição privilegiada na rede

Uma vez dentro da rede interna, os criminosos precisam obter os privilégios de administrador nos computadores dos funcionários e no servidor geral. O sucesso dessa parte do esquema criminosa é, em grande parte, por conta de sistemas de proteção ultrapassados e insuficientes contra ataques internos.

Depois de obter o máximo de privilégios de administrador, os criminosos podem acessar a memória do sistema operacional para aprender as credenciais de todos os usuários conectados (nomes de usuário e senhas, por exemplo). Esses dados serão usados para conectar outros computadores na rede, permitindo, no futuro, um ataque em massa.

Ao conseguir logar com a credencial de administrador, os criminosos podem navegar livremente pela rede interna e acessar os computadores de cada funcionário, além de se estabelecer na infraestrutura central do banco de dados da companhia, por exemplo.

Após conseguir esses privilégios, é muito fácil ganhar acesso aos sistema do software bancário. Tudo acontece remotamente.

Fonte: Positive Technologies Study: Bank Attacks

4. Comprometendo os sistemas bancários 

Depois de se instalar na rede, os criminosos precisam entender em quais hosts os sistemas bancários de destino estão localizados e encontrar as formas mais convenientes de acessá-los.

Criminosos examinam as estações de trabalho dos usuários em busca de arquivos indicando que uma determinada estação de trabalho trabalhou com aplicativos bancários.

Para armazenar senhas de sistemas críticos em redes corporativas, geralmente é usado software especializado em quebrar as senhas de acesso, porém, um invasor com privilégios de administrador pode copiar o arquivo de memória desse processo sem problemas.

Logo, é possível extrair senhas para acessar todos os bancos de dados do sistema e obter acesso a todos os aplicativos críticos do banco. O que inclui o sistema bancário principal, as estações de trabalho de gerenciamento de caixas eletrônicos, os dados de cartões e contas e até mesmo o sistema de segurança interna.

Fonte: Positive Technologies Study: Bank Attacks

Os criminosos podem se esconder na infraestrutura de um banco por meses ou até anos, permanecendo furtivos à medida que coletam informações sobre a infraestrutura e os processos internos do sistema, examinam vagarosamente as vulnerabilidades e observam as ações dos funcionários, esperando o melhor momento para realizar o ataque final.

5. Ocultar e apagar os rastros do roubo

Para impedir a investigação, tanto da polícia quanto da equipe de TI do banco, os criminosos devem esconder seus rastros. Embora muitos invasores usem malwares para ocultar seus passos na rede, os sinais de sua presença no sistema ainda permanecem.

Portanto, alguns invasores preferem ter uma abordagem menos cirúrgica, e um pouco mais brusca. Apagando registros de inicialização manualmente e tabelas de partição de disco rígido em hosts de rede, desabilitando-os completamente. Em alguns casos, realizam até a completa destruição das maquinas e discos rígidos por meio da força bruta.

Atualmente, os arsenais dos hackers incluem modificações de vírus que podem se espalhar para as estações da rede e criptografar os dados de acesso do banco ao seu próprio sistema, travando a permissão de acesso e os históricos de uso da rede.

Como geralmente não é possível recuperar os dados criptografados, o banco fica sem alternativa e sofre muitos danos, principalmente causados pelo tempo de inatividade forçado pelos invasores, o que pode realmente exceder as perdas causadas pelo roubo de fundos em si.

Como, neste ponto do ataque, os criminosos provavelmente têm os maiores privilégios e conhecimento profundo do sistema, impedi-los nesse estágio é quase impossível. E capturar, mais ainda. Assim que o banco deu conta da falha de segurança, é bem provável que os criminoso já estejam em rota de fuga.

Allan Gavioli

Estagiário de finanças do InfoMoney, totalmente apaixonado por tecnologia, inovação e comunicação.