BR +55 11 3069 3925 | USA +1 469 620 7643

Kaspersky apresenta incidente envolvendo banco brasileiro e deixa um alerta para proteção de serviços de DNS

por | abr 19, 2017 | Blog

Recentemente no evento Security Analist Summit, a Kaspersky apresentou um incidente envolvendo roubo de dados de acesso dos clientes de um banco brasileiro e instalação de Malware em suas máquinas para captura de suas informações pessoais.

O ataque inicialmente foi realizado contra a conta DNS do banco, que por sua vez não estava protegida por um sistema de dupla autenticação. Os atacantes também obtiveram um certificado HTTPS legítimo.

Com o controle dos serviços de DNS e certificados HTTPS legítimos eles fizeram a transferência de todos os domínios do banco para sites falsos que usavam esses certificados, dessa forma, quando os clientes fizeram o acesso às suas contas, eles eram direcionados para um site que solicitava a instalação de um plugin de segurança, que na verdade se tratava de um Malware. Este por sua vez roubava lista de contatos de e-mail, dados de acesso a serviços FTP, além de desativar o software anti-malware da máquina da vítima para evitar que fosse detectado.

Além disso, o próprio site falso do banco já fazia a coleta de dados de Login do cliente, sendo os dados direcionados para um servidor de comando e controle no Canadá.

Vale ressaltar que este não foi mais um simples ataque de um hacker comum, mas sim de um grupo bastante experiente pois o certificado SSL foi guardado por um bom tempo para que fosse usado na hora certa. Por outro lado, não podemos descartar que o não uso de um duplo fator de autenticação facilitou o acesso a conta DNS do banco.

Como foi realizado o ataque?

O DNS é um protocolo que faz a tradução de endereços de sites (www.banco.com.br, por exemplo), para os endereços de IP. Ele segue um fluxo onde o cliente pergunta para o servidor DNS quem é www.[nomedosite].com.br, e o servidor DNS responde com o IP, ele faz a tradução direcionando o cliente para o endereço correto do site.

Ocorre que se os atacantes obtiveram controle sobre o serviço de DNS, poderiam direcionar os clientes para o endereço que desejassem, e o destino foi um site falso com certificado legítimo HTTPS que impedia que qualquer cliente suspeitasse do site.

“Foram comprometidos 36 domínios do banco incluindo o e-mail interno e os servidores FTP.”

O fato de disponibilizarem o e-mail interno do banco impediu que as áreas de apoio atuassem em conjunto para notificarem os clientes sobre o incidente.

De acordo com Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky Lab, “Este tipo de ataque nunca aconteceu antes em uma escala tão grande”. Isso porque a operação começou cerca de 5 meses antes do incidente.

Também não está claro como os atacantes comprometeram o serviço de DNS, apesar da falta do duplo fator de autenticação. Talvez eles (os atacantes) conseguiram explorar alguma vulnerabilidade ou fizeram o uso de e-mails de phishing para os funcionários do Registro.br, para que obtivessem credenciais de acesso. Porém, deixaram claro que: “Nós não sabemos exatamente como originalmente eles comprometeram o serviço DNS”.

Após 5 horas o banco conseguiu restabelecer o controle sob sua infraestrutura, porém este incidente mostra claramente como é importante ter um controle mais firme sobre todos os serviços que envolvem os sistemas da empresa.

Como se proteger?

Em sua apresentação Bestuzhev afirmou que este incidente serve de aviso para verificar a segurança de seu DNS, pois como foi mostrado neste ataque, tendo o controle do serviço DNS, os Hackers basicamente se tornaram o banco.

Ele nos deixou um dado muito interessante, onde pelo menos metade dos 20 maiores bancos do mundo não gerenciam seus serviços de DNS, deixando a terceiros essa tarefa. Isso torna as empresas que prestam esse serviço de DNS uma vítima em potencial a sofrer um ataque parecido, mas ressalta que algumas medidas simples de segurança que são oferecidas, como o bloqueio de registro e o duplo fator de autenticação podem ser mais importantes do que a criptografia do site e bloqueio, pois estes dois últimos não vão ajudar quando seus clientes estão sendo direcionados a outro site com outra infraestrutura.

Ataques persistentes, planejados com grande antecedência e com ampla área de ataque são um grande desafio para as equipes de segurança.

O isolamento do ambiente, com acesso a partir de uma plataforma única de gestão de acesso privilegiado pode evitar esse tipo de ataque e muitos outros.

Controle seus acessos aos ambientes e servidores críticos pelo senhasegura.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link
Powered by Social Snap