BR +55 11 3069 3925 | USA +1 469 620 7643

Kaspersky apresenta incidente envolvendo banco brasileiro e deixa um alerta para proteção de serviços de DNS

por | abr 19, 2017 | Blog

Recentemente no evento Security Analist Summit, a Kaspersky apresentou um incidente envolvendo roubo de dados de acesso dos clientes de um banco brasileiro e instalação de Malware em suas máquinas para captura de suas informações pessoais.

O ataque inicialmente foi realizado contra a conta DNS do banco, que por sua vez não estava protegida por um sistema de dupla autenticação. Os atacantes também obtiveram um certificado HTTPS legítimo.

Com o controle dos serviços de DNS e certificados HTTPS legítimos eles fizeram a transferência de todos os domínios do banco para sites falsos que usavam esses certificados, dessa forma, quando os clientes fizeram o acesso às suas contas, eles eram direcionados para um site que solicitava a instalação de um plugin de segurança, que na verdade se tratava de um Malware. Este por sua vez roubava lista de contatos de e-mail, dados de acesso a serviços FTP, além de desativar o software anti-malware da máquina da vítima para evitar que fosse detectado.

Além disso, o próprio site falso do banco já fazia a coleta de dados de Login do cliente, sendo os dados direcionados para um servidor de comando e controle no Canadá.

Vale ressaltar que este não foi mais um simples ataque de um hacker comum, mas sim de um grupo bastante experiente pois o certificado SSL foi guardado por um bom tempo para que fosse usado na hora certa. Por outro lado, não podemos descartar que o não uso de um duplo fator de autenticação facilitou o acesso a conta DNS do banco.

Como foi realizado o ataque?

O DNS é um protocolo que faz a tradução de endereços de sites (www.banco.com.br, por exemplo), para os endereços de IP. Ele segue um fluxo onde o cliente pergunta para o servidor DNS quem é www.[nomedosite].com.br, e o servidor DNS responde com o IP, ele faz a tradução direcionando o cliente para o endereço correto do site.

Ocorre que se os atacantes obtiveram controle sobre o serviço de DNS, poderiam direcionar os clientes para o endereço que desejassem, e o destino foi um site falso com certificado legítimo HTTPS que impedia que qualquer cliente suspeitasse do site.

“Foram comprometidos 36 domínios do banco incluindo o e-mail interno e os servidores FTP.”

O fato de disponibilizarem o e-mail interno do banco impediu que as áreas de apoio atuassem em conjunto para notificarem os clientes sobre o incidente.

De acordo com Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky Lab, “Este tipo de ataque nunca aconteceu antes em uma escala tão grande”. Isso porque a operação começou cerca de 5 meses antes do incidente.

Também não está claro como os atacantes comprometeram o serviço de DNS, apesar da falta do duplo fator de autenticação. Talvez eles (os atacantes) conseguiram explorar alguma vulnerabilidade ou fizeram o uso de e-mails de phishing para os funcionários do Registro.br, para que obtivessem credenciais de acesso. Porém, deixaram claro que: “Nós não sabemos exatamente como originalmente eles comprometeram o serviço DNS”.

Após 5 horas o banco conseguiu restabelecer o controle sob sua infraestrutura, porém este incidente mostra claramente como é importante ter um controle mais firme sobre todos os serviços que envolvem os sistemas da empresa.

Como se proteger?

Em sua apresentação Bestuzhev afirmou que este incidente serve de aviso para verificar a segurança de seu DNS, pois como foi mostrado neste ataque, tendo o controle do serviço DNS, os Hackers basicamente se tornaram o banco.

Ele nos deixou um dado muito interessante, onde pelo menos metade dos 20 maiores bancos do mundo não gerenciam seus serviços de DNS, deixando a terceiros essa tarefa. Isso torna as empresas que prestam esse serviço de DNS uma vítima em potencial a sofrer um ataque parecido, mas ressalta que algumas medidas simples de segurança que são oferecidas, como o bloqueio de registro e o duplo fator de autenticação podem ser mais importantes do que a criptografia do site e bloqueio, pois estes dois últimos não vão ajudar quando seus clientes estão sendo direcionados a outro site com outra infraestrutura.

Ataques persistentes, planejados com grande antecedência e com ampla área de ataque são um grande desafio para as equipes de segurança.

O isolamento do ambiente, com acesso a partir de uma plataforma única de gestão de acesso privilegiado pode evitar esse tipo de ataque e muitos outros.

Controle seus acessos aos ambientes e servidores críticos pelo senhasegura.

Alta disponibilidade: tecnologia que garante produtividade e credibilidade

Neste artigo, explicamos mais detalhes sobre o assunto. Nosso texto está dividido por tópicos para facilitar sua compreensão. São eles: O que é alta disponibilidade? O que é um cluster de alta disponibilidade? Qual é a importância da alta disponibilidade para as...

Múltiplo Fator de Autenticação: como se beneficiar dessa estratégia de segurança

O múltiplo fator de autenticação é uma solução inteligente que proporciona proteção de ataques cibernéticos a pessoas físicas e jurídicas.  Essa estratégia é especialmente importante nos dias atuais, considerando o aumento expressivo de tentativas de invasão. Uma...

Gestão de Acesso Privilegiado

A implementação do gerenciamento de acesso privilegiado em uma empresa é fundamental para garantir que não haja roubos de informação e outros problemas de segurança. Os chamados ciberataques são os responsáveis, por exemplo, pelo roubo e sequestro de informações em...

Gerenciamento de Credenciais

Com o aumento significativo no número de malwares e ransomwares por todo o mundo, garantir a segurança das credenciais privilegiadas da sua empresa tornou-se uma prática fundamental para se proteger de ameaças internas, vazamentos de dados e perdas financeiras...

Como evitar ataques DDoS na sua empresa?

Existem diversos métodos por meio dos quais agentes mal-intencionados atacam websites e desestabilizam serviços e recursos em rede. Uma das técnicas mais comumente utilizadas é o ataque DDoS, da sigla em inglês distributed denial-of-service ou “negativa distribuída de...
Copy link
Powered by Social Snap