Como os hackers invadiram as operações online de um banco no Brasil

O Brasil já passou por vários escândalos nos últimos anos. O Mensalão em 2015 revelou que várias empresas de construção estavam envolvidas em corrupção política, junto à empresa estatal de petróleo, Petrobras.

A Operação Lava Jato pôs mais lenha na fogueira, revelando um esquema de lavagem de dinheiro alcançando mais de R$ 42,8 bilhões e trazendo a prisão de vários políticos, inclusive o ex-presidente Fernando Collor de Mello.

Mas até mesmo esses casos não são nada se comparados com o ataque às operações bancárias brasileiras que ocorreu em Outubro de 2016.

Assim que um cartão de crédito ou débito é roubado, os bandidos têm um limite de tempo curto para que façam uma compra no cartão ou façam uma lavagem total dos fundos da vítima antes que sejam pegos ou antes que o cartão ou a conta bancária sejam suspensos. Embora isso, um grupo de hackers conseguiu coordenar um ataque a um banco brasileiro desconhecido de 2016 a 2017, e fizeram isso com um nível inigualável de estratégia, manipulação, e sucesso; tornando-se um exemplo macabro de como tudo online pode se tornar perigoso ao cair nas mãos erradas.

Domínio do desastre

Em Outubro de 2016, um grupo de hackers fez o impossível: sequestrou por inteiro as operações online de um banco brasileiro. O ataque ocorreu na tarde de um Sábado, uma rotina da semana pouco movimentada para o site. Os hackers conseguiram alterar os registros de DNS (Sistema de Nomes de Domínio) das 36 propriedades online do banco, inclusive os seus sites de operações bancárias para computador e dispositivos móveis.

De acordo com a firma de cibersegurança profissional Kaspersky, os clientes acabaram sendo redirecionados a sites fraudulentos, semelhantes ao site verdadeiro do banco, até possuindo um ícone de HTTPS legítimo na barra de endereços.

Os hackers conseguiram simular os certificados SSL em seus próprios sites graças a um certificado autoritário sem fins lucrativos conhecido como Let’s Encrypt, que foi criado para convencer mais empresas a adotarem o protocolo.

Os hackers foram capazes de invadir e alterar os sites do banco para que fossem redirecionados aos servidores que eles possuíam no Google Cloud. Quando os proprietários das contas digitaram os seus usuários e as suas senhas nos sites fraudulentos, eles entregaram aos hackers todos os seus dados de segurança. De acordo com os peritos da área, os hackers executaram o golpe por cerca de 5 a 6 horas, infectando os usuários que visitavam os seus sites maliciosos e que acabou levando à repetição do mesmo golpe em 8 a 9 bancos internacionais. O vírus infectou as credenciais de e-mail e as listas de contato no Exchange e no Outlook., e também desativou os programas de proteção contra vírus.

Os clientes do banco poderiam ter evitado os golpes e o vírus ao usar uma rede virtual privada (VPN). Adotar este sistema de segurança é recomendável quando se digita dados pessoais ou financeiros, já que serão encriptados e enviados a um servidor remoto, onde serão desencriptados e enviados à Internet através de um novo endereço IP. Embora os seus dados pessoais ainda possam ser comprometidos se forem enviados a sites fraudulentos, os usuários de uma VPN ainda poderiam minimizar o problema. Várias VPNs comerciais dão prioridade máxima à segurança, como a Private VPN, que possui um nível de encriptação de 2048-bits, uma política contra o registro de históricos de navegação, e uma chave de proteção automática. Se você está buscando por algo mais a nível de principiante, experimente o Trust.Zone, que é uma VPN bem intuitiva, com uma interface simples e que vai aliviar as suas preocupações. O SaferVPN também cumpre o que promete com o seu suporte à encriptação PPTP, L2TP/IPSec, IKEV2, e OpenVPN.

Como evitar estes erros

Como você pode evitar que as operações do seu site sejam vítimas do mesmo caso do banco brasileiro? Lhe daremos três dicas indispensáveis para que você proteja a sua empresa contra os hackers que querem tomar posse dos seus sistemas.

1. Identifique e tome providências contra responsáveis externos que possam ameaçar a integridade do seu sistema.

   Em teoria, um banco online deve possuir segurança máxima de nível mundial, já que ele cuida das duas coisas mais importantes da vida de um cliente: os seus dados pessoais e o seu dinheiro. Ainda assim, uma corrente de aço pode se quebrar facilmente com uma simples rachadura, já que o banco não contava com a péssima segurança da empresa que registrou o seu DNS. Em 2013, em meio ao alto movimento das compras de Natal, houve um vazamento de dados de cartões de crédito de milhares de clientes da loja de varejos americana, Target. E quem foi o culpado? Um vendedor externo responsável pelo fornecimento de máquinas de refrigeração de alimentos. Um hacker roubou as credenciais do vendedor e descobriu que as suas faturas estavam armazenadas no mesmo servidor que os registros financeiros da loja.

2. Altere as suas senhas com bastante frequência.

   Isso vale tanto para contas pessoais quanto para contas de empresa. Se a sua organização ainda não tomou essa providência, é altamente recomendável que você migre para a autenticação de dois fatores (2FA), que pode reduzir drasticamente as chances do ataque de um hacker.

3. Solicite, quando possível, certificados de validação de empresa (OV) e de validação estendida (EV).

   O site Let’s Encrypt que forneceu ao site dos hackers um certificado de validação de domínio (DV) foi só parte do problema, assim como foi a empresa de registro de DNS que não pediu por nenhuma verificação adicional. Essas medidas adicionais de segurança poderiam ter protegido o banco e ter entrado em contato imediatamente para solicitar provas sobre as alterações de DNS não-autorizadas.