Os sistemas de acesso remoto à banca contam com uma defesa integrada, com cujo funcionamento os utilizadores estão bem familiarizados e também os cibercriminosos. O uso de passwords, ficheiros chave, chaves de hardware e a limitação de acesso por endereço IP dá aos utilizadores uma falsa sensação de segurança absoluta. Mas todas estas medidas, quer separadamente quer no seu conjunto, não aumentam a segurança se o equipamento em que são executadas estiver comprometido. A password pode ser interceptada, o ficheiro chave pode ser copiado e, se os criminosos criarem um ambiente de trabalho oculto, podem inclusivamente usar o endereço IP original e a chave do software.
Como afecta e como actuar após um ataque
De acordo com os analistas da Kaspersky Lab, se o programa malicioso já tiver sido executado, o computador está infectado, já que muitas vezes o primeiro ficheiro é apenas um descarregador. Os principais programas maliciosos que descarregam o primeiro ficheiro são constantemente renovados, para evitar que os antivírus os detectem. Descarregam programas legais configurados pelos cibercriminosos para que se liguem aos seus servidores, fazendo com que estes fujam a qualquer detecção.
Os prejuízos causados por um descuido como este podem ser críticos. Se for detectado um programa malicioso num computador que contenha informações sensíveis e confidenciais, há que tomar medidas imediatas de reacção. As empresas afectadas costumam tomar medidas de emergência após sofrerem as piores consequências de um ataque: perdas financeiras ou de acesso a serviços críticos. Na maioria dos casos, as medidas que tomam para reagir a estes incidentes são ineficazes e muitas vezes chegam mesmo a complicar a investigação.
Como as variantes dos ataques podem ser muitas, não existem métodos universais e garantidamente eficazes para reagir a incidentes de segurança. Por exemplo, em alguns casos, apagar de imediato o computador permite conservar os dados que o programa malicioso poderia apagar definitivamente depois de algum tempo. No entanto, noutras situações, apagar o computador pode fazer com que se percam da memória operativa do computador dados imprescindíveis à investigação. Só um especialista em investigação de incidentes pode tomar a decisão correcta.
Em qualquer caso, ao surgir o primeiro indício de ataque, é necessário desligar da Internet e da rede da empresa os equipamentos que se suspeitem que estejam comprometidos e recorrer aos serviços de especialistas em investigação a incidentes virais. Só se podem eliminar as consequências do incidente depois de uma investigação minuciosa.
Quando é utilizado software legal sem adulterações, a única solução será o sistema de segurança notificar obrigatoriamente sempre que um programa potencialmente indesejável for executado. Os utilizadores, sobretudo os que trabalham com documentos financeiros e outros documentos importantes, devem lembrar-se que nenhum sistema de segurança é capaz de dar uma protecção absoluta. Deve-se, também, dar atenção às notificações do sistema e ao comportamento anormal do computador e avisar o serviço de segurança sobre todos os acontecimentos suspeitos.
O ideal seria usar o modo de proibição predefinida de software de terceiros que não esteja na lista branca em todos os computadores usados para realizar pagamentos no sistema de banca online. O mesmo se aplica aos computadores em que os utilizadores profissionais trabalham com informação crítica.
Peculiaridades dos ataques bancários
1. Os criminosos usam truque de engenharia social para forçar os utilizadores a abrir o ficheiro malicioso: o pessoal que tem acesso à informação comercial importante e às finanças da empresa necessita, por isso, de formação sobre segurança informática. Na empresa, devem ser implementadas políticas de segurança que reduzam ao mínimo o risco de infecção da rede empresarial provocada por uma simples negligência dos seus empregados.
2. Nos ataques selectivos contra alvos importantes podem ser usadas novas exploits para vulnerabilidades ainda não publicadas. Nestes casos, os métodos comuns de detecção de ataques, por exemplo o IDS, podem ser insuficientes. Mas as exploits zero day são demasiado caras para serem usadas em ataques contra empresas vulgares. Geralmente, nestes casos são usadas exploits para vulnerabilidades já conhecidas. Em situações similares a defesa pode consistir na actualização atempada do software (sobretudo MS Office e Java) e na utilização de uma solução de protecção de boa qualidade, com tecnologias modernas de defesa contra exploits.
3. Uso de software legal: esta tendência está a ser activamente desenvolvida e, em muitos ataques, os cibercriminosos usam aplicações legítimas para obter acesso remoto, descarregar e iniciar ficheiros maliciosos, etc. Os programas antivírus não detectam estes programas legais e a única tarefa dos criminosos ao usá-los para os seus objectivos é fazer com que funcionem de forma camuflada. Num ataque deste tipo, analisado pela Kaspersky Lab, esta tarefa foi realizada através da modificação do ficheiro executável do programa Remote Manipulator System, o que nos permitiu adicionar a assinatura do ficheiro alterado às bases antivírus. |