Ataques contra boletos bancários: roubando dinheiro de usuários desconectados

Ataques contra boletos bancários: roubando dinheiro de usuários desconectados

sonegação

 

José é uma pessoa muito desconfiada. Ele nunca usa serviços de internet banking ou de compras on-line com cartão de crédito. Aliás, ele nem tem cartão de crédito. Ele não confia nessas tecnologias modernas para nada. Ele é ciente dos riscos que existem, por isso José prefere viver sua vida offline. No entanto, nem mesmo esse comportamento “desconectado” o salvou dos cibercriminosos brasileiros. Ele perdeu mais de 2.000 reais em único dia: José foi roubado por uma folha de papel impressa com um código de barras. José foi mais uma vítima da “gangue do boleto”.

Cibercriminosos brasileiros criaram um jeito único de roubar dinheiro dos incautos, mesmo dessas pessoas desconectadas da internet e das coisas on-line. Através dos ataques aos boletos bancários, método de pagamento bastante popular no país, a “gang do boleto” tem afetado a vida de muitas empresas, empresários, consumidores, e dado muita dor de cabeça para todos.

Numa série de ataques envolvendo falhas em dispositivos de redes – especialmente modems ADLS e roteadores domésticos – além do uso massivo de servidores DNS maliciosos, falsos boletos, injeção de código nos navegadores no estilo do SpyEye, uso de extensões e plugins maliciosos e muita, muita criatividade; tudo isso permitiu ao cibercriminoso brasileiro roubar muito dinheiro, mesmo de pessoas que não possuem cartão de crédito ou uma conta de internet banking. Essa é a nova preocupação dos bancos e das instituições financeiras desse país.

Esse artigo destrincha em detalhes os ataques aos boletos bancários no Brasil, mostraremos as técnicas mais comuns de ataques e como se prevenir deles.

Boleto bancário: o sistema brasileiro de pagamentos

Boletos são uma forma muito popular de comprar produtos e serviços pela internet ou em qualquer outro negócio. Basta imprimi-los e pagá-los. De acordo com o Banco Central, em 2011 cerca de 21% de todos os pagamentos registrados no pais foram feitos usando boletos.

Meio predileto de pagamento em 21% dos casos, excluindo o dinheiro

De acordo com a e-bit, 18% de todas as transações do comércio eletrônico em 2012 foram pagas com boletos:

O boleto é um método de pagamento típico do Brasil, poucos países no mundo possuem algo similar. Esse fato faz com que empresas estrangeiras, ao se estabelecerem no país tenham que se adequar aos costumes locais – se quiserem vender por aqui, tem que adotar o boleto como opção de pagamento. Foi o que fez a Apple, a Dell, Microsoft, Skype, Alibaba, DX.com, mesmo a FIFA na Copa do Mundo em 2014 vendeu os ingressos através de boletos bancários.

Vai comprar créditos Skype? O boleto é uma forma possivel de pagamento

Essa é a estrutura básica de um boleto bancário:

De todos esses campos é importante entender a linha digitável e o código de barras – eles são essenciais para completar a transação e enviar o dinheiro para a conta correta da empresa/pessoa que emitiu o boleto.

Estrutura da linha digitável de um boleto bancário

O que pode dar errado? Bem, se algo ou alguém mudar o código de barras ou a linha digitável, o que acontece? Essa simples mudança pode encaminhar o pagamento para outra conta. É exatamente o que os cibercriminosos brasileiros estão fazendo, e a maneira mais fácil, efetiva e rápida de fazê-lo é usando trojans.

O virus que ataca os boletos

Um boleto pode ser gerado e impresso por você, ao fazer uma compra on-line, ou alguém pode fazê-lo por você. Sistemas modernos de ERP e vendas oferecem a opção de gerar esses boletos através de navegadores web, já preparados para renderizar as páginas HTML rapidamente, em formato imprimível. Afinal, todo computador possui um navegador já instalado.

Tal é a demanda pela emissão de boletos no comércio brasileiro que programadores e fornecedores de softwares comerciais já estão preparados para oferecer essa opção a qualquer empresa que o pedir. Isso fez com que aparecessem diversos projetos open-source de livrarias e códigos que permitem a rápida implementação, sem a necessidade de criar a solução do zero. Existem inclusive códigos já preparados para linguagens web, como é o caso do BoletoPHP:

A extensa documentação e a farta distribuição de tal software open source facilita a vida dos desenvolvedores de software, e também dos cibercriminosos, que criaram trojans capazes de alterar um boleto bancário em tempo real, no momento em que o mesmo é aberto no navegador. Esses trojans foram encontrados e notíciados pela Linha Defensiva em Abril de 2013, porem existem relatos de que os primeiros ataques foram encontrados em Dezembro de 2012, e ainda hoje esse é um grande problema nacional. Atualmente muitos dos cibercriminosos que até então trabalhavam apenas com trojans bancários estão migrando seus esforços para criar trojans que ataquem e alterem boletos bancários, usando a mesma infraestrutura.

A primeira geração desses trojans tentava alterar o código de barras e a linha digitável do boleto:

Outras versões desses trojans usavam Javascript para injetar os dados no boleto, no momento em que o mesmo é gerado no browser:

Uma nova versão do Trojan apareceu depois, ao invés de tentar alterar o código de barras, ela alterava apenas a linha digitável:

Essas novas versões ainda adicionavam um elemento HTML chamado e assim adicionar uma linha em branco no código de barras, tornando-o ilegível para qualquer leitor ótico, forçando a digitação dos números durante o pagamento:

Página HTML alterada pelo Trojan, adicionando espaços em branco para invalidar o código de barras

Como a mairia dos boletos são gerados no navegador, o trojan se instala no Internet Explorer através de um BHO, preparado para se comunicar com um C&C (Central de Controle e Comando) e assim passa a monitorar o trafego, buscando palavras como “boleto” ou “pagamento”, escolhendo o momento exato de injetar o código e substituir os números da linha digitável na renderização do HTML, recebendo essa informação em tempo real, vindo do C&C. Trata-se da mesma técnica de injeção de código usada pelo famoso trojan bancário SpyEye.

Dados injetados no browser

Inicialmente a maioria desses BHO possuiam uma detecção bastante baixa, por se tratar de pragas com distribuição bastante localizada (ex. MD5s 23d418f0c23dc877df3f08f26f255bb5 e f089bf60aac48e24cd019edb4360d30d).

Este é um exemplo de um trafego feito por um BHO injetado no Internet Explorer

Request: http://141.105.65.5/11111.11111%2011111.111111%2011111.111111%201%201111111111

Response: 03399.62086.86000.000009 00008.601049 7 00000000000000
Tudo o que o Trojan necessita é a sequência numérica a ser injetada, nada mais. Tais scripts podem ser hospedados mesmo em sites legítimos que foram comprometidos:

Alguns desses sites, além de oferecerem a nova linha digitável também estão preparados para imprimir qualquer código de barras, substituindo o verdadeiro:

As primeiras pragas mudavam o valor do boleto, porém os cibercriminosos perceberam que isso é fácil de ser visto pela vítima; por isso novas as versões desses trojans estão preparadas para não alterar o valor do boleto, focando-se apenas na linha digitável.

Para controlar o roubo e ter idéia de quantos boletos foram alterados, cibercriminosos criaram painéis com informação detalhada dos computadores infectados:

Alguns desses painéis são bastante detalhados, trazem a data e hora da alteração, a linha digitável verdadeira do boleto, a nova linha digitável injetada pelo trojan, o valor e a origem do boleto (se ele foi gerado em um website ou localmente).

De fato é muito fácil encontrar cibercriminosos brasileiros oferecendo o tal “kit boleto” a venda para qualquer um que queira compra-lo, disponivel a partir de 500 reais. A oferta é feita por perfis dentro do Facebook:

Parceira com Zeus Gameover – payloads cifrados

As campanhas de distribuição do malware de boleto tem usado diversos truques para infectar os usuários e tornar o ataque permanente nos computadores infectados. Umas dessas técnicas é o uso de payloads cifrados com XOR e uma chave de 32 bits, comprimidos com ZLIB. Esses payloads usam extensões como .BCK, .JMP, .MOD, e outras.

Arquivo .JMP cifrado

Não coincidentemente essa mesma técnica foi usada pelo trojan ZeuS GameOver recentemente. Temos evidencias que indicam uma forte cooperação entre cibercriminosos brasileiros e seus pares no leste Europeu, região onde nasceu os trojans Zeus, SpyeEye e outros. Não é incomum encontrar brasileiros nos fórums underground de lingua russa/ucraniana, buscando novos trojans, crimeware e kits de ataques contra ATM e PoS. O primeiro resultado dessa cooperação se dá em trojans mais avançados como esse que ataca boletos bancários.

Usando payloads cifrados permite ao cibercriminoso burlar efetivamente proteções como firewall, NIDs (network intrusion detection) e muitas outras defesas existentes em redes corporativas. Por não se tratarem de arquivos executáveis, esses payloads também não são detectados pelos programas antivirus.

Arquivo .JMP decifrado: agora sim um executável normal

Interceptando conexões SSL

Outro detalhe interessante que esses trojans adotaram é o uso do Fiddler, uma ferramenta de web debugging usada geralmente para análise de trafego web, através de um proxy, possibilitando um “Man-in-the-middle”. O trojan usa o Fiddler para interceptar trafego SSL na máquina infectada, possibilitando alterar boletos gerados em páginas HTTPS.

Encontramos tal funcionalidade no Trojan.Win32.Badur.imwt:

O Trojan instala os certificados digitais do FiddlerCore na máquina infectada:

Ataques contra dispositivos de redes

Investigando os vetores de ataques usados pela “gang do boleto” foi possivel encontrar as diferentes técnicas usadas nas infecções. A velha e conhecida engenharia social através de campanhas de e-mail ainda são efetivas e bastante usadas, porém a técnica mais agressiva são os ataques explorando a execução remota de código (RCE) em dispositivos de redes, especialmente modems e roteadores domésticos. Tais ataques foram massivos em 2011/2012, onde mais de 4 milhões de dispositivos foram atacados no Brasil, onde as configurações de DNS foram alteradas pelos cibercriminosos. Essa técnica ainda é usada até hoje, porém em menor escala.

Ao ter seu dispositivo de rede alterado, será solicitado a vítima para que instale supostas atualizações do Flash Player, oferecidas ao visitar sites populares. Na verdade, ao baixar e instalar tal arquivo, a vítima estará instalando o trojan que altera boletos.

O Google está hospedando um instalador do Flash? Não, é o DNS configurado no modem

Outra técnica interessante encontrada recentemente são os ataques baseados na web, onde páginas alteradas atacam roteadores domésticos, numa tentativa de alterar o DNS do equipamento. Tais ataques são chamados de “drive-by-pharming”. Usando sites legítimos, inserindo scripts maliciosos nele é o suficiente para disseminar o ataque:

Site do Estadão comprometido: o script pede a senha do seu roteador

Os scripts maliciosos tentam advinhar a senha do roteador doméstico. Caso ele tenha sucesso, um novo servidor de DNS será configurado e o cibercriminoso irá controlar todo o tráfego web da vítima. Se não sucedido, o script irá abrir uma caixa, pedindo ao visitando do site para que informe a senha do roteador. Usuários que possuem dispositivos de rede com senhas padrão, ou sem senha alguma serão atacados sem ao menos perceber.

A senha do seu roteador é gvt12345?

Recentemente encontramos mais de 30 servidores DNS maliciosos usados nesses ataques. O que fará o servidor DNS nesses dispositivos? Redirecionará o usuário para páginas falsas de banco, onde boletos fraudulentos serão gerados, entre outras ações possíveis.

Combinando esse ataque com supostos anúncios comerciais oferecem ao cibercriminoso o poder de comprometer sites populares, potencialmente atingindo milhões de pessoas através de sites legítimos que exibem tais anúncios:

Qual a maneira mais rapida de atacar um roteador? Usando anúncios em vários sites

Se um cibercriminoso não pode atacar um dispositivo de rede, ele irá mirar seus ataques contra um provedor de internet. Uma série de ataques contra a Net Virtua foi registrada pelo pesquisador Rodrigo Fonseca. O objetivo do ataque era de direcionar milhares de clientes da Net para um site falso do Banco do Brasil, onde a página de emissão de boletos estava preparada para emitir boletos fraudulentos:

Página falsa servida para clientes NET no dia 27 de Agosto de 2014

Apesar de todos esses ataques a coisa piorou bastante quando os cibercriminosos decidiram migrar os ataques para um jeito mais on-line.

Websites falsos, extensões maliciosas e boletos fraudulentos

Alguns criminosos decidiram ir além dos trojans. Eles querem resultados mais rápidos e mudaram suas estratégias para algo mais rápido – ataques online. Isso significa que eles investem em campanhas de links patrocinados em sites de busca, sites falsos que oferecem susposto recálculo de boletos vencidos ou a emissão de segunda-via, ou até mesmo o uso de extensões maliciosas para o Google Chrome ou Mozilla Firefox.

Extensões maliciosas do Chrome, na loja oficial

O ataque começa com um e-mail malicioso oferecendo 100 minutos de crédito no Skype:

Porque distribuir um Trojan sendo mais fácil enganar as vítimas, fazendo-as instalar uma extensão maliciosa no navegador que irá controlar o tráfego e alterar boletos? É exatamente isso que os criminosos fizeram, usando para isso a loja oficial de extensões, a Chrome Web Store, onde hospedaram a extensão maliciosa:

Trojan-Banker.JS.Banker.bv

Mas ela não foi a única, houveram outras:

Trojan-Banker.JS.BanExt.a, encontrada em Junho de 2014, quase duas mil vítimas a instalaram

E uma mais, que parece legítima, mas não é:

Trojan-Banker.JS.Banker.bx, mais de 3,800 instalações

As extensões estão preparadas para fazer o mesmo que um BHO no Internet Explorer: monitorar e aguardar o momento em que um boleto é gerado, se comunicando com o C&C:

Trojan-Banker.JS.Banker.bw

…e no momento certo receber a nova linha digitável, injetando-a no boleto ou invalidando o código de barras. O C&C tem essa aparência:

Para atrapalhar qualquer tentativa de análise da extensão, o criminoso cifra o arquivo .JS principal no pacote .CRX (extensão do Chrome):

Arquivo Javascript obfuscado

Ao remover a obfuscação se vê o real objetivo da extensão maliciosa:

Na lista de bancos afetados no ataque podemos encontrar não somente as grandes instituições, mas as pequenas também. Sites de vendas como Americanas.com e de pagamento como o PagSeguro também são afetados – ninguém escapa do ataque:

O grande número de extensões maliciosas forçou o Google a decidir em Maio de 2014 que usuários poderiam instalar somente as extensões presentes na loja oficial. Isso não tem sido empecilho para os criminosos, que podem criar e hospedar suas extensões livremente, com as bençãos da loja oficial.

Forçando o “modo desenvolvedor”

É o que faz o Trojan-Banker.Win32.ClearWind.a ao tentar instalar uma extensão maliciosa no Google Chrome – ele força o modo desenvolvedor, onde qualquer extensão pode ser instalada, mesmo as que não estão na loja oficial:

“Developer mode” ativado no Chrome. Um trojan fez isso

Esse trojan infectou muita gente, em pouco tempo. A extensão que ele instala, claro, irá alterar boletos. Mais de 8.000 vítimas:

Addon malicioso para Firefox

Usuários de Firefox também não escapam: vários trojans forçam a instalação de um addon preparado para alterar todo e qualquer boleto gerado no Firefox:

Para conveniência do criminoso, o addon está hospedado no Google Storage:

Trojan-Banker.JS.Banker.cd pronto para ser instalado e mudar seus boletos no Firefox

Links patrocinados

Outra faceta explorada pelos cibercriminosos é enganar as pessoas que queiram gerar uma segunda via de um boleto, ou até mesmo recalcular o valor de um boleto vencido.

Muita gente se lembra do site “Reboleto”, que legitimamente oferecia a opção de recalcular o valor de um boleto vencido, possibilitando seu pagamento. Porém devido a diversas fraudes, o site foi obrigado a sair do ar. Porém tal necessidade ainda existe, o que levou os bancos a criarem em seus sites o recalculo e emissão de segunda-via. É essa janela de oportunidade que os criminosos querem aproveitar.

Os criminosos começaram a comprar campanhas de links patrocinados nos principais buscadores de internet. Uma busca com os termos “calcular boleto vencido” ou “segunda via boleto” apontavam para sites criados pelos criminosos:

O Google não foi o único. Uma busca no Yahoo também mostra sites maliciosos:

E no Ask.com

Não esquecendo do Bing.com:

Alguns desses sites que supostamente oferecem o serviço de reemissão de boletos possuem um design bastante profissinoal, tudo para enganar a vítima:

Tudo o que você tem que fazer é escolher o banco, digitar os dados e pronto…

Claro que o boleto gerado trará o novo valor recalculado, mas a linha digitável não será a mesma…

Por via das dúvidas o criminoso informa que seu boleto foi registrado. Você deve pagá-lo hoje mesmo.

Portanto não são apenas trojans que a ‘gang do boleto’ está produzindo, muitas outras possibilidades de ataque existem, estão disseminadas e já afetam muitas vítimas.

Vitimas, muitas vítimas

Esses ataques possuem uma característica notória: podem afetar mesmo os que vivem offline, roubando de pessoas que não acessam o internet banking ou nem mesmo possuem um computador. Diversos computadores de empresas em muitos estabelecimentos pelo país foram infectados e começaram a gerar boletos fraudulentos para seus lientes. Uma vez impressos e pagos, o dinheiro será enviado para a conta do criminoso.

Vivemos atualmente uma verdadeira avalanche desses trojans, todos usando a mesma técnica. Muitas empresas foram afetadas – sabemos de casos onde os prejuízos se acercam a mais de 150 mil reais. Vimos Associação de Lojistas e até mesmo o prórpio Governo emitir alertas para consumidores sobre os boletos fraudulentos alterados por esses trojans (ex. 1, 2, 3, 4)

Porém alguns casos chama a atenção, como o caso da empresária de Campo Grande, cuja empresa foi fraudada em R$ 183 mil reais:

Dinheiro roubado em 3 dias…

A Polícia Civil de Minas Gerais emitiu um alerta aos cidadãos, informando que os prejuízos já se acercam de 25.000 reais nos 12 casos registrados:

Para ter uma idéia do tamanho do problema fizemos o sinkholing de um C&C e o monitoramos durante 3 dias. Nos logs de acesso verificamos mais de 612.000 requests por novas linhas digitáveis. Cada request pode significar um novo boleto que está sendo alterado no computador das vítimas:

C&C mostrava até 612.000 novas linhas geradas em 3 dias

Olhando para esses números nos perguntamos: quantas pessoas foram infectadas? Quanto dinheiro foi roubado? Tentar responder essas perguntas dependo muito do quanto se conhece do modus operandi do cibercrime brasileiro.

8 bilhões?

Em Julho passado diversos sites de notícias, entre eles o The New York Times destacaram uma pesquisa da empresa norte-americana RSA. A primeira sentença dessa pesquisa é chocante: possívelmente foram roubados no Brasil US$3.75 bilhões de dólares, R$ 8.6 bilhão de reais pela ‘gang do boleto’. Para compararmos como esse número é grande, basta ver que o lucro do Banco do Brasil gira anualmente em torno de US$ 6.6 bilhão de dólares. Portanto, os criminosos “roubaram” meio Banco do Brasil? Será?…

A RSA encontrou em suas investigações 495.793 boletos alterados e 192.227 vítimas. Uma vez dentro do C&C do malware do boleto, eles encontraram o valor dos boletos alterados pelo virus e somaram tudo, chegando nesse valor absurdo. Um C&C do trojan do boleto registra tudo – boletos que não foram pagos e boletos cujo pagamento foi bloqueado pelo banco, assim que a fraude foi detectada. Um C&C também inclui valores de testes feitos por pesquisadores de empresas antivirus, na tentativa de entender o comportamento dos trojans, ou mesmo valores de testes inseridos pelos próprios cibercriminosos, para testar a validade do trojan. Tudo isso aparece nesses painéis, inclusive valores duplicados de vítimas que emitiram o mesmo boleto mais de uma vez.

Um C&C mostrando valores de testes e entradas duplicadas

Contando cada linha em um C&C resultou nesse valor absurdo de mais de R$ 8 bilhões de reais, o que dá uma média de R$ 16,000 por boleto! Esses valores são irreais e incorretos – o valor médio dos boletos emitidos no país está bem abaixo disso. Eles também estimaram o número de 192,227, contando os IPs únicos, sem levar em consideração que no Brasil os IPs de uso domésticos são dinâmicos. Portanto esqueça essa cifra “superfaturada”…

Então quanto foi roubado? A verdade é que ninguém sabe exatamente, apenas os Bancos, e cada um vê apenas os seus casos de fraudes, e não o todo. A FEBRABAN anuncia anualmente o valor perdido com fraudes, somado de todos os Bancos. O último número foi de R$ 1.5 bilhão de reais, mas isso envolve cartões de crédito, roubo a internet banking, fraudes por telefone, etc. Quanto disso foi boleto, não sabemos.

Uma coisa é certa: cibercriminosos que atuavam com trojans bancários estão migrando para o roubo de boletos. Eles não fariam isso se tal prática não fosse lucrativa e não estivesse lhes rendendo um bom dinheiro…

Como se proteger?

Muita gente tem se perguntado: o que fazer. Vamos dar dicas preciosas de como identificar boletos alterados e como se proteger efetivamente:

Empresas

Mantenha um bom programa antivirus atualizado nos computadores/servidores envolvidos no gerenciamento financeiro ou emissão de boletos.
Quanto aos serviços on-line onde clientes podem gerar boletos de pagamento é sugerido que sejam gerados no formato PDF e server side, ao invés de HTML. Por enquanto os trojans não podem alterar arquivos PDF.
Os computadores onde os boletos são gerados devem ter uma boa proteção antivirus e estar dedicado a operações financeiras como emissão de notas fiscais, boletos, etc. Não devem ser usado para outro fim. Use um controle de aplicativos para impedir a instalação de software desconhecido.
Se for possivel adote o meio de pagamento DDA para compras/vendas de valores maiores.
O boleto registrado permite uma maior rastreabilidade ao banco, para compras/vendas de valores maiores é bom adotá-lo.
Verifique em todo boleto impresso se o número do banco (3 primeiros digitos da linha digitavel) corresponde ao banco emissor do boleto. Veja essa tabela.
Confira o campo “Nosso numero” na parte direita do boleto, ele deve estar presente na linha digitável, caso contrário é provavel que o boleto tenha sido adulterado.
Usuários domésticos:

Escolha um programa antivirus que tenha uma proteção dedicada de acesso ao internet banking e um navegador que permita a emissão de boletos seguros. O Safe Money da Kaspersky faz isso.
Mantenha seus dispositivos de rede protegidos com senhas; especialmente roteadores domésticos. Não use a senha padrão do fabricante.
Jamais digite a senha de acesso ao seu roteador doméstico caso uma página web venha pedir-la. Cuide do DNS configurado do seu roteador, verifique-o com regularidade.
Jamais instale extensões/ addons desconhecidos em seu navegador.
Se precisar reemitir um boleto bancário ou recalcula-lo, use o site do Banco, jamais use um site desconhecido.
Verifique em todo boleto impresso se o número do banco (3 primeiros digitos da linha digitavel) corresponde ao banco emissor do boleto. Veja essa tabela.
Confira o campo “Nosso número” no boleto, ele deve estar presente na linha digitável, caso contrário é provavel que o boleto foi adulterado
Caso o código de barras esteja ilegível na hora do pagamento, desconfie do boleto e NÃO PAGUE, busque certificar-se de que o mesmo não tenha sido alterado.
Os clientes da Kaspersky Lab estão protegidos contra esses ataques – a tecnologia Safe Money presente em nossos produtos pode bloquear inteiramente o ataque, oferecendo a opção de abrir páginas em modo seguro, onde nenhum código malicioso pode injetar dados. Isso garante a emissão e impressão de um boleto de maneira segura.

A plataforma Kaspersky Fraud Prevention também previne contra esses ataques, inclusive contra trojans preparados para capturar trafego HTTPS através de Man-in-the-middle. O KFP compara o certificado digital abre no navegador com o certificado real e compara ambos na nuvem. Assim o ataque usa o Fiddler pode ser totalmente bloqueado.

Kaspersky Fraud Prevention em ação, bloqueando uma conexão SSL não confiável

Conclusão

Os ataques aos boletos tem dado muita dor de cabeça aos Bancos, as empresas, aos clientes. Quando um cliente sofre uma fraude dessas e o dinheiro é desviado, o transtorno de saber de quem é a culpa é grande.

Para completar o cenário os cibercriminosos brasileiros se especializaram no roubo de identidades, onde geralmente eles abrem contas bancárias em nomes de laranjas ou pessoas mortas, possibilitando a movimentação do dinheiro roubado e dificultado o rastreamento e a investigação do banco ou da polícia. Por isso nesses casos a preocupação maior deve ser do cliente/usuário do sistema bancário, para que não seja vítima.

Os boletos são um meio de pagamento bastante local, muitos paises não possuem um sistema similar. Infelizmente muitas companhias de segurança não monitoram as atividades maliciosas no Brasil e perdem a oportunidade de detectar corretamente as ameaças locais. Cibercriminosos brasileiros sabem disso e limitam o acesso aos trojans/ páginas falsas somente a IPs brasileiros, rodando em computadores configurados com o idioma Portugues Brasileiro.

Cibercriminosos brasileiros estão seguindo os mesmos passos de seus parceiros localizados na Russia e China, desenvolvendo um cenário bastante especializado e localizado. Para entender e investigar tais ataques é necessário um profundo conhecimento das realidades locais. Para piorar a situação, a extensa cooperação com cibercriminosos do Leste Europeu possibilitou que os brasileiros adotassem diversas novas técnicas em seus trojans, exportando novas táticas de ataque como essa usada nos boletos bancários.

Stevens Tagliate Fraga

Fraga – Contabilidade – Vitoria- ES

Compartilhe esse post

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments
Nós utilizamos cookies: Armazenamos dados temporariamente para melhorar a sua experiência de navegação. Ao utilizar nossos serviços, você concorda com tal monitoramento.