Em ataque ainda não publicizado no Brasil, um grande banco brasileiro teve seus sites copiados e todos os clientes que acessaram a página no dia 22 de outubro de 2016 foram redirecionados aos sites falsos, sem saber que estavam fornecendo seus dados bancários para hackers. Quem divulga a informação é Dmitry Bestuzhev, diretor do Kaspersky Lab, empresa russa de segurança online. O caso foi apresentado durante um encontro organizado pela empresa na ilha de São Martinho, no Caribe, que aconteceu entre os dias 2 e 6 de abril de 2017.
Segundo a empresa, os criminosos tomaram conta das operações online do banco e interceptaram as atividades de online banking, caixas eletrônicos, transações de investimentos e até vendas realizadas em lojas. Os hackers invadiram 36 domínios do banco, incluindo o e-mail interno e servidores. Desta forma, o banco ficou de mãos atadas para se comunicar com os clientes, ficando impossibilitado de enviar mensagens de alerta por e-mail. O ataque durou cerca de cinco horas.
Apesar de não ter sido identificado, o banco seria, de acordo com a Kaspersky Lab, presente em países como Argentina, EUA e Ilhas Caimã, com 5 milhões de clientes. Pesquisadores estimam que milhares de clientes de 300 cidades do mundo todo possam ter sido vítimas do ataque.
Além de terem fornecido seus dados bancários, as vítimas também receberam alerta para atualizar um plug-in de segurança do banco, que na verdade era um malware para ter acesso à lista de contatos de e-mails dos clientes e outras informações, além de desativar os antivírus dos computadores das vítimas. Por isso, as consequências do ataque não foram pontuais, e ainda podem estar afetando quem fez download do plug-in. Essas informações foram enviadas a um servidor hospedado no Canadá, mas o malware continha palavras em português, o que indica que os hackers sejam brasileiros.
Bestezhev diz que os hackers conseguiram criar páginas falsas para enganar os clientes ao comprometer o Domain Name Service (DNS) do provedor Registro.br. Os sites falsos até tinham certificado de HTTPS em nome do banco, emitidos pelo Let’s Encrypt. Assim, o cliente visualizava o cadeado verde e o nome do banco no topo do site, como se aquele fosse um site seguro. Isso mostra que o ataque foi planejado com meses de antecedência, pois esses certificados foram emitidos no mês de abril de 2016.
Depois de cinco horas de ataque, segundo pesquisadores do Kaspersky, o banco conseguiu recuperar o controle sobre seus domínios. [Wired, Dark Reading, Security Affairs, Kaspersky]