2014-10-21

SECURITY

Quão seguro está o seu dinheiro?

Kaspersky Lab analisa os métodos usados nos ataques à banca online

Hoje em dia, a principal motivação a mover os criminosos informáticos é o lucro. O acesso aos sistemas de banca na Internet é a chave mais directa e evidente ao dinheiro das empresas e, consequentemente, à possibilidade de lhe deitar a mão. Não surpreende que os sistemas de acesso à banca online se estejam a tornar num alvo cada vez mais popular entre os criminosos, de acordo com a Kaspersky Lab

Kaspersky Lab analisa os métodos usados nos ataques à banca online

As empresas afectadas costumam tomar medidas de emergência depois de sofrerem as consequências de um ataque: perdas financeiras ou de acesso a serviços críticos. Na maioria dos casos, as medidas que tomam para reagir a estes incidentes são pouco eficazes

Os sistemas de acesso remoto à banca contam com uma defesa integrada, com cujo funcionamento os utilizadores estão bem familiarizados e também os cibercriminosos. O uso de passwords, ficheiros chave, chaves de hardware e a limitação de acesso por endereço IP dá aos utilizadores uma falsa sensação de segurança absoluta. Mas todas estas medidas, quer separadamente quer no seu conjunto, não aumentam a segurança se o equipamento em que são executadas estiver comprometido. A password pode ser interceptada, o ficheiro chave pode ser copiado e, se os criminosos criarem um ambiente de trabalho oculto, podem inclusivamente usar o endereço IP original e a chave do software.

Como afecta e como actuar após um ataque

De acordo com os analistas da Kaspersky Lab, se o programa malicioso já tiver sido executado, o computador está infectado, já que muitas vezes o primeiro ficheiro é apenas um descarregador. Os principais programas maliciosos que descarregam o primeiro ficheiro são constantemente renovados, para evitar que os antivírus os detectem. Descarregam programas legais configurados pelos cibercriminosos para que se liguem aos seus servidores, fazendo com que estes fujam a qualquer detecção.

Os prejuízos causados por um descuido como este podem ser críticos. Se for detectado um programa malicioso num computador que contenha informações sensíveis e confidenciais, há que tomar medidas imediatas de reacção. As empresas afectadas costumam tomar medidas de emergência após sofrerem as piores consequências de um ataque: perdas financeiras ou de acesso a serviços críticos. Na maioria dos casos, as medidas que tomam para reagir a estes incidentes são ineficazes e muitas vezes chegam mesmo a complicar a investigação.

Como as variantes dos ataques podem ser muitas, não existem métodos universais e garantidamente eficazes para reagir a incidentes de segurança. Por exemplo, em alguns casos, apagar de imediato o computador permite conservar os dados que o programa malicioso poderia apagar definitivamente depois de algum tempo. No entanto, noutras situações, apagar o computador pode fazer com que se percam da memória operativa do computador dados imprescindíveis à investigação. Só um especialista em investigação de incidentes pode tomar a decisão correcta.

Em qualquer caso, ao surgir o primeiro indício de ataque, é necessário desligar da Internet e da rede da empresa os equipamentos que se suspeitem que estejam comprometidos e recorrer aos serviços de especialistas em investigação a incidentes virais. Só se podem eliminar as consequências do incidente depois de uma investigação minuciosa.

Quando é utilizado software legal sem adulterações, a única solução será o sistema de segurança notificar obrigatoriamente sempre que um programa potencialmente indesejável for executado. Os utilizadores, sobretudo os que trabalham com documentos financeiros e outros documentos importantes, devem lembrar-se que nenhum sistema de segurança é capaz de dar uma protecção absoluta. Deve-se, também, dar atenção às notificações do sistema e ao comportamento anormal do computador e avisar o serviço de segurança sobre todos os acontecimentos suspeitos.

O ideal seria usar o modo de proibição predefinida de software de terceiros que não esteja na lista branca em todos os computadores usados para realizar pagamentos no sistema de banca online. O mesmo se aplica aos computadores em que os utilizadores profissionais trabalham com informação crítica.

Peculiaridades dos ataques bancários

1. Os criminosos usam truque de engenharia social para forçar os utilizadores a abrir o ficheiro malicioso: o pessoal que tem acesso à informação comercial importante e às finanças da empresa necessita, por isso, de formação sobre segurança informática. Na empresa, devem ser implementadas políticas de segurança que reduzam ao mínimo o risco de infecção da rede empresarial provocada por uma simples negligência dos seus empregados.

2. Nos ataques selectivos contra alvos importantes podem ser usadas novas exploits para vulnerabilidades ainda não publicadas. Nestes casos, os métodos comuns de detecção de ataques, por exemplo o IDS, podem ser insuficientes. Mas as exploits zero day são demasiado caras para serem usadas em ataques contra empresas vulgares. Geralmente, nestes casos são usadas exploits para vulnerabilidades já conhecidas. Em situações similares a defesa pode consistir na actualização atempada do software (sobretudo MS Office e Java) e na utilização de uma solução de protecção de boa qualidade, com tecnologias modernas de defesa contra exploits.

3. Uso de software legal: esta tendência está a ser activamente desenvolvida e, em muitos ataques, os cibercriminosos usam aplicações legítimas para obter acesso remoto, descarregar e iniciar ficheiros maliciosos, etc. Os programas antivírus não detectam estes programas legais e a única tarefa dos criminosos ao usá-los para os seus objectivos é fazer com que funcionem de forma camuflada. Num ataque deste tipo, analisado pela Kaspersky Lab, esta tarefa foi realizada através da modificação do ficheiro executável do programa Remote Manipulator System, o que nos permitiu adicionar a assinatura do ficheiro alterado às bases antivírus.

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.