Tirar a parte da frente de caixas eletrônicos e injetá-las com malware é muito divertido, certamente, mas não tanto quando você é pego por um segurança e é jogado na cadeia. Por esse e outros motivos, muitos criminosos cibernéticos estão se voltando para uma abordagem menos direta.
Em seu último relatório de ameaça cibernética, os pesquisadores da Trend Micro destacam o crescente número de ataques baseados na rede visando caixas eletrônicos; o que a empresa de software de segurança multinacional chama de uma “mudança na paisagem malware.” Esses ataques, que podem fazer os caixas cuspirem dezenas de milhares de dólares, diferem dos skimmers, teclados falsos e malwares injetados no local, na maneira como eles não necessitam de interação física com a máquina.
Os criminosos se beneficiam ainda mais a partir de ataques remotos porque praticamente qualquer caixa eletrônico é um alvo, enquanto a adulteração física normalmente exige privacidade – acessar a máquina à noite, em um beco escuro ou esquina, em algum lugar escondido de potenciais espectadores e policiais. Um ataque remoto não precisa ser realizado no escuro da noite; um comparsa pode se aproximar de qualquer caixa eletrônico e, sem ninguém desconfiar, parecer que está usando o caixa eletrônico normalmente.
Na avaliação de como o malware evoluiu, dando aos criminosos hoje a capacidade de basicamente fabricar dinheiro quando e onde eles quiserem, a Trend Micro fez uma parceria com o Centro Europeu de Cibercriminalidade da Europol (EC3) para tentar entender algumas dessas técnicas recentes e mais furtivas. Como um exemplo claro, os pesquisadores apontaram os ataques de malware Ripper do passado, através dos quais 12,29 milhões de baht (cerca de US$ 346 mil) foram roubados de 21 caixas eletrônicos na Tailândia. Em última análise, cerca de dez mil caixas eletrônicos foram identificados enquanto vulneráveis ao vírus Ripper.
Como a Trend Micro observa, ataques baseados na rede não são tão fáceis de darem certo, já que hackear remotamente traz alguns riscos; esconder sua identidade online pode não ser tão simples como, digamos, vestir um par de luvas e uma máscara. O processo de invadir um banco também é em si bastante complexo. Empregados são um vetor comum; seres humanos são naturalmente fracos e geralmente são o elo mais fraco na segurança de qualquer empresa.
Emails de phishing contendo arquivos executáveis maliciosos são o método preferido para capturar as credenciais de um funcionário do banco. Uma vez que os hackers ganham acesso, eles podem se mover através da rede do banco para ganhar o controle sobre os caixas eletrônicos. “Algumas famílias de malware ainda têm a capacidade de se auto-excluir de forma eficaz, tirando a maioria dos traços da atividade criminosa”, observa a Trend Micro.
Outro exemplo notável é o ataque de julho de 2016 no First Commerce Bank. O equivalente a cerca de US$ 2,4 milhões de dólares foi roubado de 22 filiais em Taiwan. Os hackers nunca tocaram nas máquinas.
O ataque foi incrivelmente sofisticado: Começou na sucursal de Londres do banco. Os hackers usaram o sistema de gravação de voz do banco para roubar as credenciais do administrador de domínio; depois, usaram essas credenciais para hackear o VPN da empresa, contornando portas de firewall para obter acesso à rede da filial de Taiwan; quando entraram, localizaram o sistema para atualização do software dos caixas eletrônicos. Usando um pacote de atualização falsa, os hackers então habilitaram o serviço telnet nas máquinas, o que lhes permitiu carregar vários programas para testar os caixas e eventualmente forçar uma retirada não autorizada.
Enquanto isso, comparsas esperavam, comunicando-se com os hackers por meio de um bate-papo criptografado e comunicando os resultados dos testes. Quando as máquinas cuspiam o dinheiro, eles juntavam o montante e iam para a próxima máquina. “Enquanto isso, os hackers remotos limpavam os programas maliciosos do caixa eletrônico vítima do ataque e saíam do sistema”, disseram os pesquisadores.
Pode ser que esses grupos criminosos já tivessem acesso à rede do banco e, eventualmente, perceberam que podiam entrar na rede de caixas eletrônicos”, afirma o relatório. “O caso Ripper, no entanto, mostra que alguns desses criminosos estão procurando especificamente a rede de caixas eletrônicos como um alvo, e não esbarraram com ela por acaso. Essas quadrilhas têm a inclinação e o conhecimento técnico para atacar essas máquinas acima de quaisquer outros recursos do banco alvo.”
“Embora ataques de rede não tenha sido relatados em regiões maiores, como Estados Unidos e Canadá”, os pesquisadores acrescentam, “nós acreditamos que essa seja uma nova tendência que provavelmente vai se consolidar em 2017 e além”.
Fonte: GIZMODO