Hackers roubam mil milhões de dólares a 100 instituições financeiras

INTERPOL, Europol e Kaspersky. Estes mais umas quantas autoridades de diferentes países descobriram uma campanha cibercriminosa que existia por detrás de um roubo sem precedentes, anunciou a Kaspersky na Security Analyst Summit 2015 que decorre até quarta-feira em Cancun, México. Mais de mil milhões de dólares foram roubados durante dois anos, procedentes de instituições financeiras de todo o mundo. Ao que tudo indica, a responsabilidade do roubo é de um gangue multinacional de cibercriminosos que inclui Rússia, Ucrânia e outros países da Europa, assim como da China. Portugal não está entre os lesados.

Denominado Carbanak, o grupo criminoso usou um esquema que muito provavelmente marca o início de uma nova etapa na evolução da atividade cibercriminosa: os hackers roubam dinheiro diretamente dos bancos, evitando chegar aos utilizadores finais.

Desde 2013, estes cibercriminosos tentaram atacar até 100 bancos, sistemas de pagamento e outras instituições financeiras em cerca de 30 países. E mais: a Kaspersky garante que os ataques continuam ativos. Segundo os dados desta empresa de segurança russa, os alvos do Carbanak incluem organismos financeiros na Rússia, EUA, Alemanha, China, Ucrânia, Canadá, Hong Kong, Taiwan, Roménia, França, Espanha, Noruega, Índia, Reino Unido, Polónia, Paquistão, Nepal, Marrocos, Islândia, Irlanda, República Checa, Suíça, Brasil, Bulgária e Austrália.

Estima-se que as maiores somas de dinheiro foram obtidas junto de bancos, tendo esta campanha conseguido roubar até dez milhões de dólares em cada incursão. Em média, cada roubo de um banco demorou entre dois e quatro meses, desde que é infetado o primeiro equipamento da rede do banco até ao desvio efetivo do dinheiro.

Basicamente, os cibercriminosos começavam por aceder a um computador de um funcionário através de “spear phishing”, uma burla realizada por correio eletrónico cujo único propósito é obter acesso não autorizado a dados confidenciais, infetando a vítima com o malware Carbanak. Conseguiram violar a rede interna e localizar os computadores dos administradores para os vigiar através de vídeo. Isto permitiu-lhes ver e gravar tudo o que se passava nos ecrãs dos computadores do pessoal que lidava com os sistemas de transferência de dinheiro vivo.

Desta maneira, os cibercriminosos conseguiam conhecer até ao último detalhe o trabalho dos funcionários bancários e foram capazes de imitar a atividade do pessoal a fim de transferir dinheiro efetivo.

Mas afinal, como era roubado o dinheiro? Segundo um comunicado que a Kaspersky divulgou na altura em que aqui em Cancun o anúncio era igualmente feito, quando chegou o momento de tirar proveito das suas atividades, os cibercriminosos utilizaram sistemas de pagamento internacionais de banca online para transferir dinheiro das contas dos bancos para as suas. Em alguns casos, também se depositava o dinheiro roubado em bancos na China ou na América. Os peritos em segurança não descartam a possibilidade de outros bancos de outros países terem sido utilizados como recetores.

Os cibercriminosos penetraram diretamente no coração dos sistemas de contabilidade, aumentando os saldos em contas antes de embolsar os fundos adicionais através de uma transação fraudulenta. Por exemplo: se uma conta tinha mil dólares, os cibercriminosos alteravam o seu valor para 10 mil dólares e logo em seguida transferiam 9 mil para a sua conta. Até faz a coisa parecer fácil. O titular da conta não suspeitava do problema porque os mil dólares originais ainda ali estavam.

Além disso, tomaram o controlo dos caixas automáticos dos bancos e ordenaram-lhes que dispensassem dinheiro vivo durante um tempo predeterminado. Quando o pagamento era feito, um membro do gangue estava à espera junto do ATM para recolher o dinheiro. Este foi precisamente um vídeo mostrado aqui em Cancun. Pacientemente o membro estava junto ao ATM que ia dispensando dinheiro de “x” em “x” tempo, bastando ao infrator abrir o saco… e guardar o dinheiro.

Em Cancun, Sergey Golovanov, analista principal de segurança da Kaspersky Lab, Sergey Lozhkin da Kaspersky e Peter Zinn, da National Hi-Tech Crime Unit britânica, explicaram em palco que estes ataques voltam a provar que os criminosos exploram qualquer vulnerabilidade em qualquer sistema e que nenhum sector se pode considerar imune aos ataques e deve analisar constantemente os seus procedimentos de segurança.