Hipótese 2: falha técnica, análise do aCCESS Security Lab
Pela descrição do incidente, o analista de cibersegurança e fundador da aCCESS Security Lab, Deivison Pinheiro Franco, está convencido de que o que ocorreu foi a exploração de uma vulnerabilidade conhecida como IDOR (Insecure Direct Object Reference – Referência Insegura Direta a Objetos) ou BOLA (Broken Object Level Authorization – Autorização Quebrada em Nível de Objeto). Na verdade a mesma hipótese dos especialistas da Elytron.
Segundo ele, “essa referência está relacionada ao controle de acesso do aplicativo e pode ser explorada através da manipulação dos parâmetros que são enviados ao servidor. Ou seja, ela ocorre quando uma aplicação fornece acesso direto a objetos com base em informações fornecidas por qualquer pessoa”. Com essa falha, explica o especialista, é possível modificar o valor de um parâmetro que se refere diretamente a um objeto do sistema por outro ao qual o usuário autenticado não deveria ter acesso. “Ou seja, um atacante pode acessar recursos diretamente, sem a necessidade de se autenticar”, acrescenta. De posse dessa informação, ele conclui que existe o seguinte modus operandi da fraude:
- O fraudador conseguiu as informações de Agência, Conta e Senha do cliente através de phishing (muito possivelmente por SMS ou smishing);
- Com essas informações, pode ter acessado o Internet Banking utilizando as credenciais obtidas (Agência, Conta
e Senha) e criou um usuário válido/autorizado (“skull”), por meio da funcionalidade “Primeiro acesso”; - Acessou o Mobile Banking com essas credenciais do usuário criado por ele (“skull”);
- Fez algumas transações com valores irrisórios (de R$1,00 e R$2,00) para testar a vulnerabilidade
descoberta; - Confirmando a presença da vulnerabilidade, iniciou as transações fraudulentas modificando suas informações de origem/destino e valores;
- Transitou dinheiro tanto entre contas internas do Banco quanto para contas de outros Bancos e realizou
pagamentos de Boletos/Código de barra; - Uma vez concentrado o dinheiro, o distribuiu em diversas transações.