Fraude ou falha? 4 análises sobre o roubo de R$ 30 milhões

Paulo Brito
07/05/2020

Hipótese 2: falha técnica, análise do aCCESS Security Lab

Pela descrição do incidente, o analista de cibersegurança e fundador da aCCESS Security Lab, Deivison Pinheiro Franco, está convencido de que o que ocorreu foi a exploração de uma vulnerabilidade conhecida como IDOR (Insecure Direct Object Reference – Referência Insegura Direta a Objetos) ou BOLA (Broken Object Level Authorization – Autorização Quebrada em Nível de Objeto). Na verdade a mesma hipótese dos especialistas da Elytron.

Segundo ele, “essa referência está relacionada ao controle de acesso do aplicativo e pode ser explorada através da manipulação dos parâmetros que são enviados ao servidor. Ou seja, ela ocorre quando uma aplicação fornece acesso direto a objetos com base em informações fornecidas por qualquer pessoa”. Com essa falha, explica o especialista, é possível modificar o valor de um parâmetro que se refere diretamente a um objeto do sistema por outro ao qual o usuário autenticado não deveria ter acesso. “Ou seja, um atacante pode acessar recursos diretamente, sem a necessidade de se autenticar”, acrescenta. De posse dessa informação, ele conclui que existe o seguinte modus operandi da fraude:

  1. O fraudador conseguiu as informações de Agência, Conta e Senha do cliente através de phishing (muito possivelmente por SMS ou smishing);
  2. Com essas informações, pode ter acessado o Internet Banking utilizando as credenciais obtidas (Agência, Conta
    e Senha) e criou um usuário válido/autorizado (“skull”), por meio da funcionalidade “Primeiro acesso”;
  3. Acessou o Mobile Banking com essas credenciais do usuário criado por ele (“skull”);
  4. Fez algumas transações com valores irrisórios (de R$1,00 e R$2,00) para testar a vulnerabilidade
    descoberta;
  5. Confirmando a presença da vulnerabilidade, iniciou as transações fraudulentas modificando suas informações de origem/destino e valores;
  6. Transitou dinheiro tanto entre contas internas do Banco quanto para contas de outros Bancos e realizou
    pagamentos de Boletos/Código de barra;
  7. Uma vez concentrado o dinheiro, o distribuiu em diversas transações.

Compartilhar: