Os códigos maliciosos mais comuns da internet brasileira são os ?bankers? ? pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking. A palavra ?banker? é uma variação dos termos ?cracker? e ?hacker?: assim como o ?phreaker? é especializado no sistema telefônico e o ?carder? em cartões de crédito, o ?banker? se especializa em bancos. Como funciona o ataque de um ?banker?, da infecção do sistema até o roubo das informações bancárias? Esse é o assunto da coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Disseminação
A maioria dos bankers pode ser considerada um ?cavalo de troia?, ou seja, eles não se espalham sozinhos. Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem exceções: alguns desses vírus conseguem se espalhar por Orkut e MSN, por exemplo.
Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail, como a coluna mostrou anteriormente.
O vírus acima será chamado de ?banker telegrama? por causa da isca utilizada pelos fraudadores. Essa tela de confirmação de download aparece assim que o internauta tenta acessar o link oferecido no e-mail malicioso. Nesse caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com ?telegrama?, mas o nome do arquivo, sim.
Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das operadoras Vivo e Oi e com o time de futebol São Paulo FC.
Em entrevista ao G1, um especialista da empresa antivírus Kaspersky informou que o conhecimento dos hackers brasileiros era de ?nível técnico?. Os meios de infecção mostrados acima são realmente muito simples.
Um ataque avançado poderia ter contaminado o computador de teste usado pela coluna sem a necessidade de autorizar o download, porque o sistema estava desatualizado e com diversas brechas de segurança passíveis de exploração. Mais adiante será possível ver outros deslizes técnicos dos golpistas.
A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas bem mais sofisticadas, mas não são muito comuns.
No caso do Banker Telegrama, o vírus se instala numa pasta chamada ?Adobe? em ?Arquivos de Programas? com o nome ?AcroRd32.scr?, numa clara tentativa de se passar pelo Adobe Reader (que tem exatamente o mesmo nome, mas com extensão ?.exe? e fica em outra pasta).
Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus).
Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta ?system?, dentro da pasta Windows. O nome de arquivo utilizado foi ?wuaucldt.exe? ? um "d" a mais do que o arquivo legítimo do Windows "wuauclt.exe", responsável pelas atualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operacional.
Roubo de dados
Depois que o vírus está alojado no PC, ele precisa roubar os dados do internauta de alguma forma. As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados.
Hoje, as técnicas mais comuns são o monitoramento da janela e o redirecionamento malicioso. Cada praga analisada pela coluna usou uma delas.
No caso do redirecionamento, o que ocorre é uma alteração no arquivo "hosts" do Windows. A função desse arquivo já foi explicada pela coluna. Ele permite que o usuário defina um endereço que será acessado quando um site for solicitado. O que a praga faz é associar endereços falsos aos sites de instituições financeiras.
Quando um endereço de um banco é acessado, a vítima cai em uma página clonada. Esse acesso é visto e controlado pelos criminosos. Se o usuário realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.
Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de ?página não encontrada?. A reportagem usa como exemplo a página clone do Banco do Brasil, mas esse vírus redireciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.
Participe de nossa comunidade no WhatsApp, clicando nesse link
Entre em nosso canal do Telegram, clique neste link
Baixe nosso app no Android, clique neste link
Baixe nosso app no Iphone, clique neste link