Blog do Altieres Rohr

Por Altieres Rohr

É fundador de um site especializado na defesa contra ataques cibernéticos


Criminosos modificam páginas de pagamentos para capturar informações digitais por clientes de lojas on-line. — Foto: Alfred Muller/Pixabay

A empresa de segurança Sansec identificou diversos elos entre os ataques que desviam dados de cartões de crédito no processo de pagamento em lojas on-line, que são monitorados pela companhia, e operações que outros especialistas atribuíram a hackers norte-coreanos.

A fraude nas lojas, conhecida como "web skimming" ou "javascript skimming", é realizada com a adulteração da página de pagamentos de lojas on-line. Quando modificada, a página passa a capturar os dados do consumidor e enviá-los a outro site que pertence aos criminosos.

A compra ainda ocorre na página oficial, sem sofrer qualquer interferência, mas os dados estarão na mão de criminosos.

O golpe também é conhecido pelo nome de "Magecart", em alusão ao próprio código responsável por extraviar a informação, e possivelmente ao software de e-commece Magento, que é frequentemente atacado nessas fraudes. Segundo especialistas, vários grupos de hackers distintos estariam envolvidos na atividade criminosa.

A Sansec diz que encontra de 30 a 100 lojas infectadas com esse código por dia. Só uma parcela desses ataques seria de responsabilidade dos hackers norte-coreanos.

O elo foi estabelecido com base nos endereços web usados para abrigar as ferramentas de ataque e dados roubados da operação criminosa. Alguns desses endereços são os mesmos que já foram atribuídos a operações de um grupo de hackers conhecido como Lazarus ou "Hidden Cobra".

O Lazarus é conhecido por atacar o sistema bancário no mundo todo, além de realizar fraudes com criptomoedas e espionar alvos sul-coreanos. Especialistas consideram que o grupo seja patrocinado pelo governo norte-coreano e tenha a finalidade de obter recursos para o regime.

Segundo a Sansec, os hackers norte-coreanos podem ter começado a utilizar a técnica em maio de 2019.

Isso significa que os norte-coreanos não estavam envolvidos nas primeiras fraudes desse tipo, que começaram em 2017 e se intensificaram em 2018 com a adulteração de sites como o da fabricante de celulares OnePlus e da companhia aérea British Airways. A consultoria Gemini Advisory informou que um grupo conhecido como Keeper, que atua com ataques de Magecart desde 2017, já adulterou pelo menos 570 lojas.

Elo de infraestrutura

O rastreamento de ataques cibernéticos raramente é uma ciência exata. Especialistas procuram indícios em arquivos para determinar o horário de atividade dos invasores e a configuração do sistema usado, mas esses detalhes podem ser forjados para criar uma operação de "bandeira falsa", em que um país tenta incriminar outro.

Por essa razão, especialistas procuram associar a infraestrutura das ações. Quando um grupo de hackers realiza uma invasão mais simples de ser atribuída – pelos detalhes técnicos nos arquivos ou pelas características do alvo -, outros ataques que utilizam a mesma infraestrutura digital podem ser mapeados e relacionados.

Esse foi o caminho usado pela Sansec. A empresa descobriu que ações contra certas lojas usaram as mesmas infraestruturas de ataque expostas em relatórios das empresas de segurança Rewterz, EST Security, Fortinet e Netlab360. Cada uma dessas empresas detalhou ataques diferentes, mas todas apontaram semelhanças técnicas com ações anteriormente atribuídas ao Lazarus.

Grupo tentou desviar US$ 1 bilhão e criou o WannaCry

Hackers patrocinados por governos normalmente têm interesses políticos e, por isso, focam em espionagem. O Lazarus, da Coreia do Norte, é conhecido por seu interesse financeiro, semelhante a gangues criminosas comuns.

O governo dos Estados Unidos, que se refere ao grupo pelo nome de "Hidden Cobra", alertou que esses invasores realizaram saques em pelo menos 30 países depois de conseguirem acesso a sistemas responsáveis por intermediar a comunicação entre os caixas eletrônicos e o banco, dispensando a verificação de saldo. Com isso, o golpe "FASTcash" causou um prejuízo de milhões de dólares com saques de contas falsas praticamente zeradas.

Em 2016, o grupo teria sido o responsável por uma tentativa de desviar US$ 1 bilhão de uma conta mantida pelo Banco Central de Bangladesh no Federal Reserve em Nova York. A movimentação aconteceria em 35 transferências, mas ao menos 30 delas foram bloqueadas após um erro de digitação levantar suspeitas nos operadores em Nova York e no Deutsche Bank, que atuava como intermediário.

Mesmo assim, os invasores conseguiram transferir US$ 81 milhões a um banco nas Filipinas, onde o montante foi sacado antes da conta ser congelada.

O Departamento de Justiça dos Estados Unidos, por meio do FBI, acusou o programador norte-coreano Park Jin Hyok de envolvimento no roubo. O mesmo programador, segundo a autoridade policial americana, teria sido responsável pelo vírus de resgate WannaCry.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Veja também

Mais lidas

Mais do G1
Deseja receber as notícias mais importantes em tempo real? Ative as notificações do G1!