Especialistas consultados pelo CISO Advisor formulam hipóteses para o furto de R$ 30 milhões da conta da Gerdau, por meio de TEDs que foram programadas e enviadas por outro cliente
Apesar das poucas informações disponíveis sobre o furto ocorrido numa conta da Gerdau no banco Santander, conforme noticiado pelo Portal do Bitcoin, os especialistas em cibersegurança já conseguem elaborar algumas hipóteses sobre o que pode ter acontecido. Segundo informações da Secretaria de Segurança do Rio Grande do Sul, o incidente está sendo investigado pelo Ministério Público do Estado.
Entre as hipóteses agora formuladas, a de um pesquisador de segurança de São Paulo é de que houve fraude e não uma falha técnica. Pela descrição, o analista de cibersegurança e fundador da aCCESS Security Lab, Deivison Pinheiro Franco, está convencido de que o que ocorreu foi a exploração de uma vulnerabilidade conhecida como IDOR (Insecure Direct Object Reference – Referência Insegura Direta a Objetos) ou BOLA (Broken Object Level Authorization – Autorização Quebrada em Nível de Objeto).
Segundo ele, “essa referência está relacionada ao controle de acesso do aplicativo e pode ser explorada através da manipulação dos parâmetros que são enviados ao servidor. Ou seja, ela ocorre quando uma aplicação fornece acesso direto a objetos com base em informações fornecidas por qualquer pessoa”. Com essa falha, explica o especialista, é possível modificar o valor de um parâmetro que se refere diretamente a um objeto do sistema por outro ao qual o usuário autenticado não deveria ter acesso. “Ou seja, um atacante pode acessar recursos diretamente, sem a necessidade de se autenticar”, acrescenta. De posse dessa informação, ele conclui que existe o seguinte modus operandi da fraude:
- O fraudador conseguiu as informações de Agência, Conta e Senha do cliente através de phishing (muito possivelmente por SMS ou smishing);
- Com essas informações, pode ter acessado o Internet Banking utilizando as credenciais obtidas (Agência, Conta
e Senha) e criou um usuário válido/autorizado (“skull”), por meio da funcionalidade “Primeiro acesso”; - Acessou o Mobile Banking com essas credenciais do usuário criado por ele (“skull”);
- Fez algumas transações com valores irrisórios (de R$1,00 e R$2,00) para testar a vulnerabilidade
descoberta; - Confirmando a presença da vulnerabilidade, iniciou as transações fraudulentas modificando suas informações de origem/destino e valores;
- Transitou dinheiro tanto entre contas internas do Banco quanto para contas de outros Bancos e realizou
pagamentos de Boletos/Código de barra; - Uma vez concentrado o dinheiro, o distribuiu em diversas transações.
Veja isso
Acesso sem credenciais leva R$ 30 milhões de conta da Gerdau
Roubo da Gerdau: por que compra de bitcoins foi bloqueada
Maurício Corrêa, Chief Technology Officer da empresa brasileira XLabs, especializada em segurança da informação, coloca também como hipótese um XSS, ou cross site scripting (script cruzado de website). “Isso é uma possibilidade: que alguém tenha encontrado e explorado uma falha no website do Santander, e enviado por meio de um link encurtado para alguém dentro da Gerdau”, explica o especialista. Na hipótese dele, “algum campo do website do Santander podia estar vulnerável à injeção de códigos HTML e Javascript, dando a possibilidade de atacantes injetarem códigos maliciosos e utilizado de links encurtados que são enviados por email ou até mesmo mensagens”.
O que é cross site scripting
O cross site scripting é a exploração de uma vulnerabilidade principalmente em formulários. Ao ser disponibilidado num site na Internet, um formulário tem a finalidade de receber dados sob a forma de texto, em geral para a comunicação entre o público e o gestor do site. Ali existem campos para endereço, nome, telefone, e-mail e outros, conforme o desenvolvedor os estabeleça. No entanto, se não forem tomados os devidos cuidados (a ‘higienização’ dos dados de entrada), um hacker pode inserir no campo, por exemplo, um script que capture dados. Pode inserir também um endereço de web onde irá ler os dados capturados. Entre esses dados poderão estar logins, senhas, cookies, tokens e muito mais coisas. Os scrips podem até mesmo reescrever o conteúdo de uma página HTML, segundo os especialistas da OWASP (Open Web Application Security Project).
Apesar disso, outras possibilidades não estão descartadas.
