Como ataques hackers direcionados a bancos causam prejuízos milionários
De pouquinho em pouquinho, cibercriminosos deram um jeito de roubar no mínimo US$ 15 milhões do sistema bancário mexicano em meados 2018. O caso expôs o tamanho do problema que as redes bancárias podem trazer se empresas, governos e órgãos reguladores não tiverem as ferramentas de segurança robustas e constantemente atualizadas para proteção contra ataques de hackers.
Josu Loza, um "hacker do bem", investigou como isso aconteceu e apresentou suas descobertas na RSA Conference 2019, um evento de segurança cibernética realizado na última semana em San Francisco. Segundo a análise dele, registrada pela "Wired", o buraco explorado pelos criminosos foi no sistema de pagamentos internos do México, conhecido como SPEI. É uma infraestrutura semelhante à gerida pela brasileira CIP (Câmara Interbancária de Pagamentos), com atuação focada em processos tipo as transferências TED, DOC e o processamento de boletos.
Segundo Fabio Assolini, analista sênior de segurança da Kaspersky Lab, o procedimento foi feito por agentes locais que tiveram uma atuação dispersa, que não deu certo em todas tentativas, mas resultou em um enorme rombo. Eles exploraram uma vulnerabilidade do SPEI e foram forjando requisições de transferências dentro do sistema direto para contas que não existiam. "Foi um ataque bastante genioso", afirma Assolini.
O resultado foi o roubo de milhões de dólares, que, para o analista, não pode ser dado com exatidão porque nem todos os bancos revelam o valor da fraude sofrida.
"Houve diversas tentativas, alguns bancos detectaram solicitações, transferências estranhas e bloquearam o acesso disso. Já outros não, por isso a fraude realmente ocorreu. Quanto dinheiro foi roubado? Não sabemos. Vai de banco a banco o relato", explica.
Segundo o relato de Loza, as transferências eram em grande número e em montantes pequenos, dificultando a identificação de uma movimentação irregular. Assim que chegava nas contas fraudulentas o dinheiro era sacado sem que o banco percebesse a anormalidade. As perdas para os bancos foram enormes, mas esse ataque foi pontual.
Ameaça internacional
Outro ataque, este ao "BNDES mexicano" é o tipo que causa mais preocupação mundo afora. Realizado em janeiro de 2018, ele foi obra de um grupo conhecido como Lazarus, especializado em investidas contra a Swift (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais). Os criminosos tentaram movimentar US$ 110 milhões do Bancomext, mas foram contidos antes de concluir a ação.
Existem evidências técnicas que dão pistas que esse grupo é originado, ou patrocinado, por algo ou alguém da Coreia do Norte
Fabio Assolini
Eles estão atividade desde 2015, mas se destacaram a partir de um assalto virtual ao banco central de Bangladesh em 2016. Foi uma tentativa de roubar US$ 1 bilhão, originárias de 35 transferências por meio da rede Swift. 30 foram bloqueadas, mas as cinco que deram certo corresponderam a US$ 101 milhões, montante que foi parcialmente recuperado posteriormente.
O Lazarus expandiu suas atividades para outros territórios, atingindo diversas localidades na América Latina a partir de 2016. O Banco del Austro, do Equador, perdeu US$ 12 milhões em 2016.
"Em vez de atacar o usuário final, eles vão direto na fonte. Atacam o banco. Conhecem a estrutura, conhecem os meandros dela e fazem rombos astronômicos através da rede Swift, que movimenta milhões todo dia - não é assustador ver uma transferência de 50 milhões de dólares, é por onde esse dinheiro trafega", afirma o analista da Kaspersky Lab.
Na vizinhança do Brasil, Costa Rica, Chile, Uruguai e o próprio equador sofreram com investidas do grupo, que adotou técnicas diversionistas para enganar equipes de segurança enquanto fazia o trabalho sujo. Em um caso de 2018, Assolini recorda que computadores de toda rede do Banco de Chile foram afetados por um malware, que formatou máquinas e servidores, além de impedir saques e transferências.
Em paralelo a isso, os cibercriminosos direcionaram 10 milhões de dólares, por meio do Swift, para contas em Hong Kong.
Avanços na segurança - e diversificação de golpes
O avanço do Lazarus forçou a Swift, além dos bancos que trabalham com ela, a aprimorar seus procedimentos. Uma das medidas foi uma melhora no sistema de autenticação, que, em conjunto a outras iniciativas, reduziu a efetividade das tentativas de fraude.
Para continuar fazendo seu dinheirinho, o grupo criminoso diversificou seus alvos para empresas como corretoras de criptomoedas e casas de câmbio - sempre no setor financeiro.
Apesar dessa versatilidade e da proximidade dos ataques, o Brasil passou ileso do Lazarus e de variações regionais de cibercriminosos. E não é por acaso: segundo a Febraban (Federação Brasileira de Bancos), os bancos brasileiros investem cerca de R$ 2 bilhões em sistemas de tecnologia da informação voltados para segurança.
Não há registro de invasão a partir dos sistemas internos dos bancos do país
Febraban
A solidez do sistema brasileiro é consequência de muita experiência para lidar com fraudes. "Desde o ano 2000, os bancos brasileiros aprenderam a lidar com fraudes em volumes monstruosos", diz Assolini.
O analista destaca que o país está entre os mais modernos do mundo nesse quesito, especialmente com relação aos clientes. Ele apontou três tecnologias em que o Brasil esteve entre os pioneiros: o plugin bancário para navegadores, o cartão com chip e a biometria em caixas eletrônicos.
Criminosos até conseguem inventar novas formas de aplicar golpes, como vírus que modificam boletos impressos depois de baixados no computador, mas o sistema brasileiro costuma se ajustar rápido ou até estar um passo à frente. O brasileiro ainda é um dos mais afetados mundialmente por fraudes no internet banking, mas não por problema do sistemas e sim pela habilidade dos criminosos na forma de enganar os usuários - o país é o número um em ataques de phishing.
"É necessário ter pessoas técnicas especializadas na área, que acompanhem as fraudes, a compra de tecnologias novas de proteção, monitoramento das ações do banco. Tudo isso demanda investimento e os bancos brasileiros têm feito isso, investido em inteligência para estarem protegidos. O fraudador está sempre tentando buscar um buraquinho para causar um prejuízo", conclui o analista da Kaspersky Lab.
Se os bancos estão tão de olho nessas manobras, se mantendo seguros de ameaças internacionais, a conscientização do brasileiro significaria um sistema ainda mais tranquilidade a todos. Chegou aquele email, ou mensagem de celular, bom demais para ser verdade? Não clique no link. Grandes chances de ser algum criminoso tentando ganhar acesso ao que não devia.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.