28/09/09-09h43 - Atualizado em 28/09/09-12h34 Colunista explica bankers, da infecção até roubo de dados bancários. Seção de comentários está aberta para dúvidas sobre segurança. Altieres Rohr* Especial para o G1 Os códigos maliciosos mais comuns da internet brasileira são os bankers pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking. A palavra banker é uma variação dos termos cracker e hacker : assim como o phreaker é especializado no sistema telefônico e o carder em cartões de crédito, o banker se especializa em bancos. Como funciona o ataque de um banker, da infecção do sistema até o roubo das informações bancárias? Esse é o assunto da coluna Segurança para o PC de hoje. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras. Disseminação A maioria dos bankers pode ser considerada um cavalo de troia, ou seja, eles não se espalham sozinhos. Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem exceções: alguns desses vírus conseguem se espalhar por Orkut e MSN, por exemplo. Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail, como a coluna mostrou anteriormente. Leia mais: Confira gafes que podem denunciar criminosos virtuais
Depois de abrir o e-mail infectado, internauta será convidado a baixar o vírus. (Foto: Reprodução ) O vírus acima será chamado de banker telegrama por causa da isca utilizada pelos fraudadores. Essa tela de confirmação de download aparece assim que o internauta tenta acessar o link oferecido no e-mail malicioso. Nesse caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com telegrama, mas o nome do arquivo, sim. Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das operadoras Vivo e Oi e com o time de futebol São Paulo FC. Neste final de semana, foi a vez do site da fabricante de bebidas AmBev sofrer um ataque. Quem visitou o site correu o risco de ver a mensagem na foto abaixo e, se clicasse em run, ser infectado. Essa praga será referida mais adiante como banker applet devido à técnica de contaminação usada a janela intitulada Security Warning ( Aviso de Segurança ) pede a confirmação da execução de do que se chama de applet no jargão técnico, mas que é na verdade um programa quase normal. Run significa rodar ou executar. Ao dar um único clique em run, o internauta está efetivamente executando um software no PC que, nesse caso, é um vírus. Procurada pelo G1, a empresa se pronunciou via assessoria de imprensa. A AmBev informa que a segurança de seus sites e servidores é constantemente monitorada e reforçada. Tão logo detectamos a ocorrência tomamos as medidas necessárias para solucioná-la, sem quaisquer outros desdobramentos." Sites legítimos, como o da Ambev, podem ser usados como meios de infecção. (Foto: Reprodução) Em entrevista ao G1, um especialista da empresa antivírus Kaspersky informou que o conhecimento dos hackers brasileiros era de nível técnico. Os meios de infecção mostrados acima são realmente muito simples. Um ataque avançado poderia ter contaminado o computador de teste usado pela coluna sem a necessidade de autorizar o download, porque o sistema estava desatualizado e com diversas brechas de segurança passíveis de exploração. Mais adiante será possível ver outros deslizes técnicos dos golpistas. Infecção A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas
bem mais sofisticadas, mas não são muito comuns. No caso do Banker Telegrama, o vírus se instala numa pasta chamada Adobe em Arquivos de Programas com o nome AcroRd32.scr, numa clara tentativa de se passar pelo Adobe Reader (que tem exatamente o mesmo nome, mas com extensão.exe e fica em outra pasta). Arquivo tenta se disfarçar de programa da Adobe, mas não esconde o amadorismo: nem o ícone é foi falsificado. (Foto: Reprodução ) Banker se instalou dentro da pasta de sistema, usando nome de arquivo parecido com o do sistema operacional. (Foto: Reprodução ) Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus). Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta system, dentro da pasta Windows. O nome de arquivo utilizado foi wuaucldt.exe um 'd' a mais do que o arquivo legítimo do Windows 'wuauclt.exe', responsável pelas atualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operacional. Roubo de dados Depois que o vírus está alojado no PC, ele precisa roubar os dados do internauta de alguma forma. As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados. Hoje, as técnicas mais comuns são o monitoramento da janela e o redirecionamento malicioso. Cada praga analisada pela coluna usou uma delas. No caso do redirecionamento, o que ocorre é uma alteração no arquivo 'hosts' do Windows. A função desse arquivo já foi explicada pela coluna. Ele permite que o usuário defina um endereço que será acessado quando um site for solicitado. O que a praga faz é associar endereços falsos aos sites de instituições financeiras. Quando um endereço de um banco é acessado, a vítima cai em uma página clonada. Esse acesso é visto e controlado pelos criminosos. Se o usuário realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores. Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de página não encontrada. A reportagem usa como exemplo a página clone do Banco do Brasil, mas esse vírus redireciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.
Página inicial não é idêntica à do banco e vários links levam para erros 404 ( Página não encontrada ) (Foto: Reprodução) Endereços são diferentes no site falso, que também não possui certificado SSL (o cadeado ). (Foto: Reprodução) O site falso também não possui certificado SSL, portanto não apresentou o cadeado de segurança que tanto é divulgado nas campanhas de segurança das instituições financeiras. Os criminosos poderiam ter incluído um cadeado falso sem grande dificuldade o fato que não o fizeram mostra ou que são incompetentes ou que os usuários que caem nesses golpes não tomam as mínimas precauções contra fraudes on-line. Por outro lado, o vírus bloqueia também com o arquivo hosts sites técnicos e úteis, como o virustotal.com, usado para realizar exames antivírus, e o Linha Defensiva página mantida por este colunista do G1. Vírus brasileiro bloqueia site de segurança mantido por colunista do G1 para impedir que internauta obtenha ajuda. (Foto: Reprodução) O banker do telegrama, por sua vez, silenciosamente monitora o acesso ao internet banking, capturando as informações e as enviando aos seus criadores. Em alguns casos, ele pode alterar as páginas dos bancos para solicitar informações que vão além do que normalmente é necessário para o acesso. Esse tipo de praga é mais complexo: o vírus tem 3,2 megabytes, contra apenas pouco mais de 400 KB do banker do Applet. Apesar do tamanho reduzido, o número de alvos é maior. A simplicidade dos roubos por meio de redirecionamento é atraente para os golpistas, que tem utilizado a técnica com uma frequência cada vez maior. Alguns especialistas em segurança se referem a esse tipo de ataque como banhost. Os termos 'Qhost' e 'pharming' também são usados. Outros métodos Os criminosos têm à sua disposição outras maneiras de roubar dados financeiros, como por exemplo a criação de páginas clonadas que apresentam formulários solicitando diretamente as informações do correntista. Esse tipo de
golpe é muito comum no mundo todo, mas nem tanto no Brasil, onde muitas pragas digitais são desenvolvidas apenas para a realização de fraudes bancárias. A coluna de hoje buscou explicar apenas um tipo de golpe o dos cavalos de troia. E por hoje é isso. A coluna volta na quarta-feira (30) com o pacotão de segurança, trazendo respostas de dúvidas deixadas por leitores da coluna como você. Se você tem alguma dúvida ou sugestão de pauta, deixe-a na seção de comentários, logo abaixo. Até a próxima * Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança para o PC, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com /g1seguranca. Leia mais colunas sobre segurança para o PC Leia mais notícias de Tecnologia