As informações do seu cartão de crédito ou débito podem estar em risco: a empresa de pesquisa de segurança Tempest
encontrou um conjunto de malwares focados em “Points of Sale” (POS) –
sistemas de caixa registradora em comércios, como caixas de
supermercados – que extraía as informações dos consumidores. E o número
de cartões afetados é expressivo, pelo menos 1,4 milhão de dados
roubados entre 2015 e 2017.
Os pesquisadores da Tempest batizaram o ataque de HydraPOS, já que
possuía diversas “cabeças”. Segundo eles, no início a ideia era acumular
dados de cartões de sistemas de supermercados, mas os atacantes
passaram a olhar também para coleta de dados bancários e credenciais de
acesso de e-commerce.
Em entrevista à Folha de S. Paulo,
Ricardo Ulisses, líder de análise de ameaças da Tempest, disse que eles
não identificaram as empresas afetadas porque o foco era a compreensão
do ataque em si. Neste momento, os usuários precisam estar atentos aos
extratos de seus cartões para identificar se não foram efetuadas compras
desconhecidas.
Como o HydraPOS obtia acesso aos computadores
Em uma publicação em seu canal de comunicação oficial,
a Tempest explica que o esquema de fraude mantinha dezenas de
ferramentas e centenas de malwares em seu arsenal, incluindo opções de
de terceiros como o conhecido malware Kaptoxa — usado no ataque contra o
grande varejista Target em 2014 – e também códigos maliciosos próprios,
até então não identificados ou publicados pela indústria.
Para infectar os estabelecimento, o HydraPOS se vale de um processo
complexo que pode envolver o serviço de banda larga das teles nacionais.
Uma forma de entrada, por exemplo, era através de uma ferramenta
chamada VNC-Scanner, que busca máquinas com o serviço Virtual Network
Computing (VNC) vulnerável e explora vulnerabilidades. Na real, boa
parte das entradas se dava a partir de sistemas que utilizam algum tipo
de software de acesso remoto (VNC, RDP, Radmin e SSH) que estivessem
configurados incorretamente ou que estavam desatualizados. Uma vez que
eles conseguiam tomar o alvo, utilizavam ataques de força bruta para a
obtenção das senhas de acesso ou exploravam outras vulnerabilidades.
Posteriormente, os hackers começaram a utilizar também técnicas de
phishing para infectar as vítimas.
Após conseguir acesso aos computadores, os hackers podiam instalar
outros malwares, extrair dados e se manterem no ambiente. Como se
tratava de um acesso remoto, em algumas redes era muito fácil realizar
novas operações, dependendo do privilégio de acesso obtido.
Guardando informações dos cartões
As informações de transações de cartões de crédito e débito são
criptografadas, mas os hackers conseguiam os dados ao extraí-los somente
quando eram decifrados pelos sistemas de caixa registradoras no
processo de autorização da compra. Isso é feito a partir de malwares
memory-scraper, que identificam quais espaços na memória serão alocados
com uma informação de interesse. Eles também utilizavam uma série de
malwares com a função de keylogger – que registra o que é digitado na
máquina.
Malwares do tipo memory-scraper, como o Kaptoxa, são preparados para
identificar quais espaços na memória serão alocados com uma informação
de interesse do atacante. Dessa forma, esses malwares aguardam o espaço
ser preenchido com a informação de interesse e guardam esses dados em
arquivos a serem posteriormente enviados para um servidor de comando e
controle.
Depois de obter esses dados, o código malicioso enviava as
informações para um servidor de comando e controle. De acordo com os
pesquisadores, foram identificados sete servidores em uso pelos
criminosos e assim foi possível constatar o armazenamento de 1.454.291
dados de cartões. As evidências apontam que esses registros valem desde
2015, mas foram encontrados indícios que sugerem que os operadores do
HydraPOS estão em atividade, pelo menos, desde 2013. Ou seja, esse
número pode ser ainda mais assustador.
Nesses servidores analisados pela Tempest, foram encontrados ainda
ferramentas de uso legítimo (como as usadas para administração remota),
mecanismos para ataques de força bruta e para a coleta de endereços de
e-mail. Além disso, os hackers tinham ferramentas para lidar com grandes
quantidades de informações e classificar os dados, para detectar quais
eram os cartões mais valiosos e com maiores limites, como os platinum.
E agora? Como se proteger
Neste momento, os consumidores não têm muito o que fazer. O lance é
ficar atento ao extrato do cartão, dar uma conferida nas faturas
anteriores para ver se não há nenhuma compra desconhecida.
Para os lojistas, é preciso manter os sistemas atualizados e utilizar
softwares de acesso remoto seguros, que permitam gerenciar de forma
centralizada as permissões de acesso. Além disso, utilizar autenticação
em dois fatores é sempre recomendável.
Fonte: Uol