Pesquisadores da Trend Micro divulgaram nesta terça-feira a descoberta de uma forma bem sofisticada usada por cibercriminosos para burlar a segurança em sites de bancos. Envolvendo de phishing a interceptação de SMS, a técnica já atingiu clientes que usavam sites de dezesseis bancos suíços, seis austríacos, sete suecos e cinco japoneses, segundo o The New York Times.

O processo todo, descoberto durante a Operação Emmental – nome que faz referência ao queijo furado – visa burlar o método de autenticação em dois fatores que depende de mensagens. O sistema consiste em uma segunda senha, que é utilizável apenas uma vez e enviada por SMS aos clientes que tentam acessar suas contas. De certa forma, é similar aos tokens adotados por alguns bancos no Brasil para prevenir fraudes e invasões. Mas é mais suscetível a falhas, aparentemente.

Conforme escreveu o especialista David Sancho em texto no blog da Trend Micro, os criminosos começam a tentativa de roubo seguindo táticas de phishing já conhecidas. Um e-mail aparentemente autêntico é enviado a eventuais vítimas, que baixam um arquivo anexado ou clicam em um link e acabam com o computador infectado. O malware, no entanto, só faz algumas mudanças sutis na máquina e depois desaparece, o que acaba com as chances de ser encontrado em uma varredura posterior feita com algum antivírus.

Não parece sério, mas as pequenas alterações fazem diferença, já que acontecem no DNS – a máquina passa a “apontar para um servidor estrangeiro controlado pelos cibercriminososs”, segundo Sancho. Um certificado SSL falso também é instalado pelo malware, completando o cenário ao fazer com que páginas com HTTPS sejam identificadas como legítimas e não despertem desconfiança.

Então, sempre que a vítima tenta acessar o site de seu banco pelo computador modificado, é redirecionado para uma página igual, mas falsa. “Assim que os usuários informam suas credenciais, são instruídos a instalar um aplicativo em seus smartphones”, escreve o especialista da Trend. E o app para Android é a parte mais interessante disso tudo: ele vem de fora da loja oficial, a Google Play, e se disfarça de um gerador de senhas, que deveria substituir o velho sistema de SMS.

Com exceção da tradução relativamente tosca, o programa parece legítimo, e há até versões distintas para bancos diferentes. Mas tudo o que ele faz é interceptar as mensagens de verdade que o banco enviaria. Elas são redirecionadas aos servidores ou mesmo smartphones dos criminosos, que conseguem acessar as contas das vítimas com os dados infomados e as senhas de uso único.

Prevenção – Por ora, os ataques, realizados provavelmente por russos, foram detectados no Japão e em países europeus. De acordo com o New York Times, vítimas já contataram seis sites de bancos na Áustria, sete na Suécia, dezesseis na Suíça e cinco em terras japonesas. Mas ainda assim é melhor saber como fugir dos golpes, que poderiam ser aplicados mesmo em contas de outros serviços – há vários deles que usam autenticação em dois passos assim.

O primeiro passo é ignorar e-mails vindos de bancos, especialmente os que trazem arquivos anexos. Várias instituições deixam claro que não enviam mensagens assim aos clientes. Também vale a pena conferir endereços de páginas antes de digitar dados sensíveis, já que uma letra diferente na URL indica que o site é falso e não confiável. Por fim, cheque as permissões solicitadas por um aplicativo antes de baixá-lo e evite instalar programas vindos de fora das lojas oficiais. Há mais algumas dicas aqui e aqui, caso queira complementar.