BLOQUEADORES POR PHISHING EM USO
Agosto de 2013
Os pesquisadores da RSA estão testemunhando cada vez mais a atividade de cavalos
de troia altamente direcionados, chamados "bloqueadores por phishing", usados por
criminosos cibernéticos para roubar credenciais. Os cavalos de troia são implementados
como um meio de apresentar aos usuários on-line uma página de phishing que é gerada
por malware, enquanto bloqueiam o desktop; por isso, o nome.
No sentido tradicional, esse tipo de malware não é definido como um cavalo de troia
bancário. Ele é um código mal-intencionado básico que pode manipular determinadas
ações em um computador infectado, mas não se trata de um rootkit nem de algo que possa
monitorar ativamente as atividades on-line, keylogs nem realizar injeções pela Web.
Os bloqueadores por phishing foram detectados atacando bancos na América Latina no
início deste ano, sendo que esses são lugares onde o pharming local é um método de
ataque muito comum. Entretanto, os bloqueadores agora estão começando a aparecer
em novas regiões, atacando um ou mais bancos de uma vez.
POR DENTRO DO LOCAL DE BLOQUEIO POR PHISHING
De um modo parecido com a maioria dos cavalos de troia bancários, os bloqueadores
por phishing são ativados por acionamento. Quando um usuário infectado faz log-in
em um site presente na lista de acionamentos do malware, o cavalo de troia é ativado.
Porém, diferentemente dos cavalos de troia bancários, os bloqueadores por phishing
não têm um arquivo de configuração clássico. A maioria das informações é codificada no
malware e, assim, não pode ser alterada dinamicamente. O malware é compatível com
todos os principais navegadores, inclusive Internet Explorer, Firefox, Chrome e Opera.
A primeira ação visível que o usuário verá é a janela do navegador sendo encerrada,
depois o botão INICIAR do desktop desaparecendo (uma ocorrência comum com
ransomware, por exemplo). Com base na URL inicialmente digitada no navegador,
o cavalo de troia exibe um formulário da Web correspondente que se parece exatamente
com uma página da Web legítima, mas que, na verdade, é uma página de phishing.
R E L AT Ó R I O S O B R E F R A U D E S
O malware do bloqueador por phishing normalmente vem com alguns formulários
da Web codificados, cada um solicitando um conjunto relevante de credenciais de
clientes bancários infectados. Normalmente, as informações solicitadas pelo malware
correspondem aos ataques de phishing que visam ao banco específico. Por exemplo,
se o banco usa SMS de banda externa para fazer a verificação de transações,
o formulário pode ter uma solicitação do número de celular do usuário.
Quando infectam máquinas de usuários, os
cavalos de troia bancários estão presentes no
dispositivo e podem registrar os pressionamentos
de tecla do usuário e roubar documentos,
certificados, cookies e outros elementos
determinados pelo botmaster. O malware bancário
envia regularmente registros de informações
roubadas para seu operador usando domínios
predefinidos como recursos de comunicação.
Por outro lado, os bloqueadores por phishing não
são desenvolvidos para realizar tais atividades
complexas e usam métodos básicos para
transmitir dados roubados, como e-mail.
Figura 1: janela pop-up de formulário
da Web de um bloqueador por
phishing solicitando as informações
do cartão de crédito
De modo a facilitar o envio de e-mails do
computador infectado, o autor do malware
o programou para usar SMTP estendido,
predefinindo um remetente e alguns destinatários
que atuarão como um mecanismo de restauração no caso de os dados serem
interceptados ou a caixa de correio ser bloqueada/fechada por algum motivo.
Contudo, outro diferencial que separa os cavalos de troia bancários de bloqueadores
por phishing é o modo de atividade. Enquanto o malware bancário rouba e monitora os
dados sempre que o navegador é aberto, o bloqueador fecha o navegador completamente
e, assim, realiza o roubo. Quando as informações dos formulários da Web do bloqueador
são enviadas, o malware permanece inativo e não realiza nenhuma outra atividade
mal‑intencionada no computador, permitindo que o usuário recupere o controle.
CONCLUSÃO
É muito interessante ver esse tipo de cavalo de troia, que é considerado muito básico
em comparação com a maioria dos cavalos de troia bancários em uso. É até mesmo mais
interessante vê-los aparecendo em regiões onde a segurança bancária é considerada
muito avançada.
Esse fenômeno pode estar vinculado com a tendência em direção à privatização de
cavalos de troia bancários. Isso criou uma barreira para muitos criminosos cibernéticos,
pois eles têm o acesso negado para compra de kits mais avançados de malware com
o objetivo de lançar os ataques. Talvez, isso possa estar forçando alguns criminosos
cibernéticos a gravar e implementar códigos mal-intencionados simples que, pelo
menos, realizarão o trabalho sujo.
página 2
59.406
49.488
50000
A RSA identificou 45.232 ataques de
phishing lançados em todo o mundo em
julho, sinalizando um aumento de 26%
no volume de ataques no último mês.
45.232
41.834
40000
35.440
Fonte: RSA Anti-Fraud Command Center
Ataques mensais de phishing
36.966 35.831
33.768
29.581 30.151
30000
27.463
24.347
26.902
20000
10000
Julho de 2013
23%
Junho de 2013
15%
Maio de 2013
8%
Abril de 2013
15%
Março de 2013
Fevereiro de 2013
9%
6%
Janeiro de 2013
14%
12%
Dezembro de 2012
9%
Novembro de 2012
Outubro de 2012
9%
14%
15%
Tipos de bancos dos EUA sob ataque
Os bancos nacionais norte-americanos
continuam sendo os mais visados pelo
phishing dentro do setor bancário dos EUA,
com 74% dos ataques de julho, enquanto
as cooperativas de crédito foram alvo de
1 em cada 10 ataques no último mês.
11%
Setembro de 2012
80
11%
Agosto de 2012
100
Julho de 2012
0
17%
15%
8%
11%
11%
15%
15%
12%
19%
13%
15%
23%
60
40
20
74%
74%
77%
77%
79%
79%
70%
69%
60%
73%
73%
76%
74%
Julho de 2012
Agosto de 2012
Setembro de 2012
Outubro de 2012
Novembro de 2012
Dezembro de 2012
Janeiro de 2013
Fevereiro de 2013
Março de 2013
Abril de 2013
Maio de 2013
Junho de 2013
Julho de 2013
0
Fonte: RSA Anti-Fraud Command Center
60000
página 3
a
Australia
South Korea
Itália China
3%
Canada
Germany
UK
África do Sul 3%
França 3%
Principais países por volume de ataque
Canadá 3%
Os EUA permaneceram como o país mais
visado para ataques de phishing em
julho, visados por 58% do volume total
de phishing. A Alemanha teve o segundo
maior volume de phishing, 9%, seguida
do Reino Unido com 8%. A Índia, a França,
o Canadá, a África do Sul e a Itália foram
visados coletivamente por 15% do volume
de phishing.
Índia 3%
Reino Unido 8%
EUA 58%
Alemanha 9%
48 outros países 10%
a
US
S Africa
China
Italy
China 4%
Canada
Netherlands
India
Brasil
Itália 4%
Principais países por marcas que sofreram
ataques
Austrália 5%
51 outros países 47%
As marcas dos EUA foram mais uma vez
as mais afetadas por phishing em julho,
visadas por 28% dos ataques de phishing.
As marcas do RU, da Índia, da Itália e da
China juntas tiveram 1/4 do volume de
ataques de phishing.
Índia 6%
Reino Unido 11%
Estados Unidos 28%
US
S Africa
França 3%
China
Italy
Holanda 4%
Canada
Netherlands
India
Reino Unido 4%
Principais países hospedeiros
Em julho, os EUA permaneceram como
o principal país hospedeiro com 45%
dos ataques de phishing globais
hospedados no país, seguidos pelo
Canadá, pela Alemanha e pelo RU.
Até o momento, a RSA trabalhou com
mais de 15.300 entidades hospedeiras
em todo o mundo para bloquear ataques
cibernéticos.
Alemanha 5%
Canadá 6%
EUA 45%
62 outros países 33%
página 4
Brasil
FALE CONOSCO
Para saber mais sobre como produtos,
serviços e soluções da RSA ajudam
a resolver seus desafios de negócios
e TI, entre em contato com seu
representante local ou revendedor
autorizado ou acesse o site
http://brazil.emc.com/rsa
http://brazil.emc.com/rsa
©2013 EMC Corporation. EMC, RSA, o logotipo da RSA e FraudAction são marcas registradas ou comerciais da
EMC Corporation nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais aqui mencionadas
pertencem a seus respectivos titulares. AUG RPT 0813