BR +55 11 3069 3925  |  USA +1 855 726 4878

Kaspersky apresenta incidente envolvendo banco brasileiro e deixa um alerta para proteção de serviços de DNS

por | abr 19, 2017 | Blog

Recentemente no evento Security Analist Summit, a Kaspersky apresentou um incidente envolvendo roubo de dados de acesso dos clientes de um banco brasileiro e instalação de Malware em suas máquinas para captura de suas informações pessoais.

O ataque inicialmente foi realizado contra a conta DNS do banco, que por sua vez não estava protegida por um sistema de dupla autenticação. Os atacantes também obtiveram um certificado HTTPS legítimo.

Com o controle dos serviços de DNS e certificados HTTPS legítimos eles fizeram a transferência de todos os domínios do banco para sites falsos que usavam esses certificados, dessa forma, quando os clientes fizeram o acesso às suas contas, eles eram direcionados para um site que solicitava a instalação de um plugin de segurança, que na verdade se tratava de um Malware. Este por sua vez roubava lista de contatos de e-mail, dados de acesso a serviços FTP, além de desativar o software anti-malware da máquina da vítima para evitar que fosse detectado.

Além disso, o próprio site falso do banco já fazia a coleta de dados de Login do cliente, sendo os dados direcionados para um servidor de comando e controle no Canadá.

Vale ressaltar que este não foi mais um simples ataque de um hacker comum, mas sim de um grupo bastante experiente pois o certificado SSL foi guardado por um bom tempo para que fosse usado na hora certa. Por outro lado, não podemos descartar que o não uso de um duplo fator de autenticação facilitou o acesso a conta DNS do banco.

Como foi realizado o ataque?

O DNS é um protocolo que faz a tradução de endereços de sites (www.banco.com.br, por exemplo), para os endereços de IP. Ele segue um fluxo onde o cliente pergunta para o servidor DNS quem é www.[nomedosite].com.br, e o servidor DNS responde com o IP, ele faz a tradução direcionando o cliente para o endereço correto do site.

Ocorre que se os atacantes obtiveram controle sobre o serviço de DNS, poderiam direcionar os clientes para o endereço que desejassem, e o destino foi um site falso com certificado legítimo HTTPS que impedia que qualquer cliente suspeitasse do site.

“Foram comprometidos 36 domínios do banco incluindo o e-mail interno e os servidores FTP.”

O fato de disponibilizarem o e-mail interno do banco impediu que as áreas de apoio atuassem em conjunto para notificarem os clientes sobre o incidente.

De acordo com Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky Lab, “Este tipo de ataque nunca aconteceu antes em uma escala tão grande”. Isso porque a operação começou cerca de 5 meses antes do incidente.

Também não está claro como os atacantes comprometeram o serviço de DNS, apesar da falta do duplo fator de autenticação. Talvez eles (os atacantes) conseguiram explorar alguma vulnerabilidade ou fizeram o uso de e-mails de phishing para os funcionários do Registro.br, para que obtivessem credenciais de acesso. Porém, deixaram claro que: “Nós não sabemos exatamente como originalmente eles comprometeram o serviço DNS”.

Após 5 horas o banco conseguiu restabelecer o controle sob sua infraestrutura, porém este incidente mostra claramente como é importante ter um controle mais firme sobre todos os serviços que envolvem os sistemas da empresa.

Como se proteger?

Em sua apresentação Bestuzhev afirmou que este incidente serve de aviso para verificar a segurança de seu DNS, pois como foi mostrado neste ataque, tendo o controle do serviço DNS, os Hackers basicamente se tornaram o banco.

Ele nos deixou um dado muito interessante, onde pelo menos metade dos 20 maiores bancos do mundo não gerenciam seus serviços de DNS, deixando a terceiros essa tarefa. Isso torna as empresas que prestam esse serviço de DNS uma vítima em potencial a sofrer um ataque parecido, mas ressalta que algumas medidas simples de segurança que são oferecidas, como o bloqueio de registro e o duplo fator de autenticação podem ser mais importantes do que a criptografia do site e bloqueio, pois estes dois últimos não vão ajudar quando seus clientes estão sendo direcionados a outro site com outra infraestrutura.

Ataques persistentes, planejados com grande antecedência e com ampla área de ataque são um grande desafio para as equipes de segurança.

O isolamento do ambiente, com acesso a partir de uma plataforma única de gestão de acesso privilegiado pode evitar esse tipo de ataque e muitos outros.

Controle seus acessos aos ambientes e servidores críticos pelo senhasegura.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...