Esta época do ano é a temporada dos ataques e fraudes envolvendo contas bancárias de brasileiros. Mas, existem boas práticas que podem proteger qualquer pessoa contra técnicas de engenharia social e malwares financeiros. Nesse post, você encontrará orientações para não cair nas armadilhas das quadrilhas cibernéticas.
O Brasil é um país marcado pela presença de diversos malwares bancários e táticas de engenharia social, que são mais comuns nesta época do ano.
Cibercriminosos se apoiam em mensagens SMS, e-mails e portais falsos para obter credenciais bancárias de usuários desavisados. Seguindo a mesma linha, criam malwares que imitam aplicativos legítimos de bancos para roubar dados e desviar fundos das contas de seus alvos.
Engenharia Social – Phishing
A barreira de entrada para enganar um alvo é muito menor quando comparada à complexidade de desenvolvimento de um malware. Por esse motivo, muitos dos golpes corriqueiros não envolvem softwares maliciosos. Em vez disso, buscam enganar a vítima para que ela forneça as informações necessárias para que outros acessem sua conta. Essa prática recebe o nome técnico de phishing. A seguir detalharemos como evitar esses golpes de acordo com o vetor utilizado (mensagem SMS, mensagens de e-mail, portais falsos).
Mensagens SMS
Embora em desuso para comunicação interpessoal, as mensagens de texto ainda são muito utilizadas para fins legítimos. Instituições financeiras, por exemplo, encaminham por SMS avisos sobre compras suspeitas, saldo e pagamentos de contas. Como o acesso a esse recurso é viável para qualquer aparelho celular, é o vetor mais simples de ataque para criminosos. Como as pessoas já estão acostumadas a receberem mensagens legítimas do banco por esse meio, não estranham quando se deparam com mensagens forjadas. O exemplo a seguir fornece algumas dicas sobre aspectos que denunciam uma mensagem falsa.
Considere esta mensagem:
O primeiro ponto de atenção na imagem acima é o remetente: trata-se de um número de celular pessoal, inclusive com código de área (62). Confira as mensagens que seu banco manda. O remetente não é um número de telefone, e sim uma sequência de 4 ou 5 dígitos aleatórios acompanhada do código do país (+55 para Brasil).
Vejamos o conteúdo em si. Trata-se de uma mensagem que busca um sentimento de alarme no leitor. Esse é um ponto comum entre todos os tipos de contato fraudulento, independente do meio: a ideia é se valer da sensação de urgência para que a vítima não tenha tempo para raciocinar se algo na comunicação é suspeito.
Não haja de maneira desesperada. Em caso de compras suspeitas, o comportamento padrão do banco é bloquear a transação se nenhuma confirmação vier do cliente. Em uma situação normal, a cobrança de 599,90 não seria autorizada só porque você não acessou um link.
O link em si é a próxima dica. Nunca clique em links enviados para você por instituições bancárias, mesmo em comunicações legítimas. O risco de clicar é sempre maior do que o tempo perdido por adotar um método de checagem alternativo (como conferir manualmente a informação no seu aplicativo, site ou via ligação telefônica, por exemplo).
Atenção especial para URLs encurtadas, como bit.ly ou t.co. Elas são utilizadas porque mensagens de texto possuem um limite de caracteres. Também possuem o bônus de disfarçar a URL real, que em muitos casos nada tem a ver com o site legítimo de uma instituição. Caso você possua uma curiosidade mórbida, utilize o Virus Total ou o Any Run para acessar o conteúdo, mas nunca preencha seus dados nesses endereços.
Mensagens de e-mail e sites
Uma mensagem de e-mail possui diversos campos que podem ser esmiuçados para definir se a correspondência é legítima ou não. Essa prática é técnica, logo está além do alcance da população em geral – por esse motivo, mensagens de phishing são tão eficazes em suas tentativas de roubo de dados.
Em vez de adotar uma abordagem investigativa, recomendamos adotar uma postura de confiança zero. Não acesse conteúdo fornecido por e-mail, não importa o quão legítimo ele pareça. Isso vale tantos para links como para anexos. Para as equipes de segurança, ferramentas como MX Toolbox fornecem uma interface que torna a inspeção de headers de e-mails mais legível e amigável.
E-mails que buscam comprometer as contas bancárias não se apoiam apenas em malware; é comum também o emprego de páginas falsas. O exemplo a seguir foi colhido do portal PhishTank, que concentra URLs denunciadas por phishing.
A complexidade do portal falso é baixa: trata-se de um formulário simples para preenchimento de dados do cartão da vítima. Por baixo dos panos, uma rotina Javascript envia as informações preenchidas para um destino controlado pelo cibercriminoso.
Evitando phishing
O roteiro para lidar com técnicas de engenharia social, independente de seu vetor, é conferir o mínimo de confiança possível, sempre. Isso é exemplificado nos seguintes passos:
- Nunca acesse qualquer conteúdo contido na comunicação – links ou anexos, por exemplo;
- Nunca responda comunicações de mensageria, sejam elas via e-mail ou SMS;
- Nunca forneça seus dados por qualquer canal, especialmente se não foi você quem iniciou a comunicação. Te ligaram do banco pedindo seu CPF? Desligue o telefone e ligue você mesmo para a Central de Atendimento;
- Caso seja necessário conferir uma compra indevida ou bloqueada, utilize o app de seu banco ou ligue para a Central de Atendimento.
Evitando malwares bancários
Devido à adoção em massa de smartphones, o brasileiro costuma interagir com as atividades financeiras por meio de aplicativos. Há um app para acessar o banco, um app para fazer compras na loja digital favorita etc. A abordagem de criminosos para atacar esses canais é similar ao phishing, na medida em que se baseia na arte de enganar o alvo – nesse caso específico, difundindo aplicativos falsos. Um exemplo recente abordado pelo portal Hacker News detalha um aplicativo falso do banco Itaú descoberto no fim deste mês (dezembro/2021). Cibercriminosos criam uma aplicação cujo único objetivo é acessar os dados de apps legítimos no telefone e exfiltrá-los. O primeiro passo, assim como para as mensagens de phishing, é criar algo que se passe por legítimo.
O exemplo acima busca (embora de maneira pobre) imitar um app legítimo do banco Itaú. A segunda tela demonstra como a aplicação maliciosa funciona: ela depende da concessão de permissões por parte do usuário para acessar dados sensíveis de outros apps. Aqui também aconselhamos a adoção de uma postura de confiança zero: seja criterioso com as permissões concedidas. Não sabe por que um app precisa de acesso a determinada funcionalidade? Negue a permissão. Não sabe o que determinada funcionalidade significa (no exemplo do Hacker News, o app malicioso pediu acesso às funções de acessibilidade do Android)? Negue a permissão.
A nossa recomendação geral é sempre tender à desconfiança. Isso também é estendido à fonte dos aplicativos que você instala. Evite side-loading, nome técnico para instalar apps por fora das lojas Play Store e App Store. Se você foi remetido a um site para instalar uma aplicação, busque por ela na loja de aplicativos de seu celular ao invés de baixá-la no domínio em questão. Encontrou um arquivo .apk como meio de instalá-la? Ignore e busque-a na loja de aplicativos.
Conclusão
O meio que menos exige conhecimento técnico para golpes financeiros é a engenharia social. Mesmo em casos em que há a criação de softwares maliciosos, é comum que eles se disfarcem de aplicativos legítimos e requeiram a permissão expressa do usuário para atuar de modo malicioso. A exploração de vulnerabilidades mobile do tipo 0 day (dia zero) é a seara de atuação de grupos sofisticados e empresas de espionagem a nível nacional; não é comum encontrar ataques dessa natureza contra a população geral e com um objetivo básico como roubo de dados bancários, clonagem de cartão de crédito e realização de compras indevidas. Nosso tom geral para este relatório é um conselho para diversos tipos de engenharia social e softwares maliciosos: desconfie, compartilhe o mínimo de informação possível e cheque qualquer informação passada por canais alternativos.
Se seu próprio julgamento falhar, um software antivírus pode servir como salvaguarda. O celular é uma parte grande de nosso dia a dia, protegê-lo como fazemos com computadores pessoais faz todo o sentido.
IoC – Indicadores de Comprometimento
_lTAU_SINC/sincronizador
Nome do pacote: com.app.pacotesinkinstall
SHA256: 3500c50910c94c7f9bc7b39a7b194bac6137cef586281ee22f5439bb2d140480
Professional, responsive аnd eager to provide hіgh topp quality
goods