Operações bancárias online oferecem uma maneira prática para realizar transações sem ter que ir pessoalmente aos bancos. As plataformas de banco online se tornaram tão fáceis que até mesmo as instituições tradicionais no uso de documentos em papel adotaram esse método de gestão de dinheiro.
Porém, de acordo com a Trend Micro – especializada na defesa de ameaças digitais e segurança na era da nuvem – o banco online tem os seus riscos. Por mais que ofereçam facilidade e conveniência, fraudadores e cibercriminosos criaram muitos outros caminhos para roubar usuários desavisados. O uso de malware bancário atinge alarmantes níveis de sofisticação.
Durante os últimos anos, hackers aprimoraram suas ferramentas e expandiram seus alvos em termos de escala e alcance. Para realizar uma operação de roubo bancário, cibercriminosos precisam de um malware específico ou kits que podem ajudá-los a chegar a seus alvos.
Abaixo alguns dos mais famosos cavalos de Troia que os agressores usaram e ainda estão usando:
2006 – ZBOT (também conhecido como Zeus)
Reconhecido como o mais famoso cavalo de Troia, é um toolkit que permite que um cibercriminoso crie um cavalo de Troia ou um malware disfarçado. O Zbot é usado para roubo de dados ou informações de contas. Monitora hábitos de navegação do usuário usando títulos da janela do navegador ou URLs da barra de endereços como acionadores de seus ataques. As variantes inserem um código JavaScript em páginas de sites bancários legítimos e coletam informações através de HTTP POST para URLs remotas.
Em 2011, um código fonte de Zbot foi vazado em um site de compartilhamento de arquivos e rapidamente se espalhou em fóruns do submundo.
2007 -GOZI
O cavalo de Troia Gozi é um spyware que monitora o tráfego. Com suas funções de captura de tela e keylogging pode obter credenciais de login armazenadas em navegadores e aplicações de email. O Gozy usa um componente rootkit para ocultar os processos, arquivos e informações de registro relacionados.
2009 – CARBERP
O CARBERP registra as teclas digitadas, parodia sites e deliberadamente deixa uma cópia de si mesmo em locais que não exigem privilégios de administrador. Ele é caracterizado como um malware dependente de um plugin pois depende de módulos baixados/incorporados para completar suas rotinas.
Recentemente retornou com versões aprimoradas dispendiosas e variantes para aplicativos móveis disponíveis no mundo real. Baixa novos plug-ins para complementar suas rotinas de roubo de informações que ajudam um possível agressor a acessar remotamente um sistema infectado usado para monitorar sistemas de banco por Internet.
2009 – SPYEYE
SPYEYE é famoso por roubar informações do usuário relacionadas a sites financeiros e bancários. Suas variantes podem ser baixadas sem o conhecimento dos usuários ao visitarem sites maliciosos, podendo também chegar através de spam.
O SPYEYE tem recursos de rootkit que permite que ele esconda os processos e arquivos dos usuários. Em 2011, um cibercriminoso na Rússia usou o SPYEYE para roubar mais de $3,2 milhões de dólares de várias organizações nos Estados Unidos.
2010 – SHYLOCK
SHYLOCK é um spyware que tenta substituir os números de contato de determinados bancos por números que são controlados pelos agressores – levando os usuários infectados a divulgar informações bancárias e pessoais aos agressores. Os usuários podem ficar infectados visitando sites maliciosos. Em 2014, a Agência Nacional do Crime anunciou a derrubada dos servidores comando-e-controle (C&C) do SHYLOCK.
2010 – CITADEL
O toolkit do CITADEL permite que os agressores personalizem o cavalo de Troia segundo suas necessidades e infraestrutura de C&C. Em 2013, o CITADEL voltou, visando usuários do Japão e também serviços de email, como Gmail, Yahoo!, Japan mail e Hotmail.
2011 – TINBA
Os usuários são infectados através do exploit kit Blackhole, usando webinjects, ele rouba informações de logins de sites. O TINBA também foi vinculado a outras atividades, como money mules, sites pornográficos, hospedagem obscura na web e outros malware ladrões de informações.
2013 – KINS
O KINS baixa um arquivo de configuração que tem uma lista de bancos visados, sites de drop zone e arquivos webinject. Rouba informações bancárias online, tais como credenciais do usuário injetando um código específico no navegador dos usuários quando acessam determinadas URLs em tempo real. O KINS então mostra popups que parecem legítimos, solicitando credenciais bancárias e outras informações, como números de seguro social.
2013 – VAWTRAK
VAWTRAK chegou como um arquivo ZIP anexo em golpes de engenharia social, especialmente emails de spam disfarçados como notificações de entrega de encomendas. Ele rouba informações armazenadas em clientes FTP, inclusive credenciais de login. Em 2015 ocorreramataques a instituições financeiras e bancárias nos Estados Unidos e Canadá.
2014 – EMOTET
O malware chega como um anexo em mensagens de grayware ou como um arquivo baixado sem saber pelos usuários, quando visitam sites maliciosos. Uma vez no sistema, o malware baixa arquivos de componentes, inclusive um arquivo de configuração que contém informações de outros bancos visados. Em 2014, a atividade do EMOTET cessou mas reapareceu rapidamente em janeiro de 2015.
DYRE
O DYRE chamou a atenção do setor de segurança devido a sua capacidade de evitar o SSL, uma medida de segurança para sites de banco onlineDepois que o malware é instalado no sistema, ele pode monitorar e fazer capturas de tela das atividades do navegador, realizar ataques “man-in-the-middle” através de injeções no navegador, roubar certificados de segurança pessoais, roubar credenciais bancárias online e rastrear a localização da vítima através de STUN (Session Traversal Utilities for NAT).
E como se proteger?
- – Conheça a política de seu banco. Se receber uma notificação de banco online suspeita, verifique com seu banco antes de responder a qualquer email.
- – Livre-se de emails que trazem links e/ou anexos. Eles provavelmente são emails maliciosos que podem baixar um cavalo de Troia de banco online no seu sistema.
- – Se você suspeitar de atividade de malware, mude suas senhas de banco online e outras credenciais imediatamente e informe seu banco sobre quaisquer transações fraudulentas. Faça o mesmo para qualquer conta que você possa ter acessado usando seu sistema infectado.
- – Instale uma solução de segurança que cubra email no seu escopo de proteção.
- – Fique longe de postagens ou anúncios na mídia social relacionadas a notificações bancárias ou financeiras. Os cibercriminosos se aproveitam da natureza onipresente das plataformas de mídia social e atacam usuários desavisados
Para saber mais, leia: http://blog.trendmicro.com.br/cavalos-de-troia-de-banco-online/#.Ve8PrBHBzGd