Brasileiro promove ataque sofisticado a banco on-line

Ataques a usuários de bancos on-line estão entre os preferidos dos cibercriminosos brasileiros porque rendem dinheiro rápido.

Para obter acesso indevido às contas das vítimas, eles tentam convencê-las a clicar em um link que leva a uma réplica falsa do site de seu banco ou usam cavalos-de-troia que direcionam o correntista a um site fraudulento mesmo quando ele digita o endereço correto na barra do navegador.

De acordo com a comScore, 25% dos usuários de internet da América Latina utilizaram serviços de banco on-line em 2011.

Desenvolvido no Brasil, um cavalo-de-troia bancário descoberto recentemente conseguiu aumentar sua eficácia e reduzir a detecção por programas antivírus por meio de uma sofisticada fraude.

Quando o malware era executado no computador, exibia um certificado digital válido, obtido de forma irregular -a prática, comum em outros países, era inédita na América Latina.

O certificado digital é um mecanismo para comprovar a autenticidade de um programa -é ele que surge quando você tenta instalar no Windows um software do Google ou da Microsoft, por exemplo.

Para obter o registro para seu malware, os criminosos brasileiros enganaram uma entidade certificadora dos EUA registrando uma empresa falsa com nome similar ao de uma companhia existente.

Com sede em um prédio em Vitória (ES) e telefone de contato com DDD 81, de Pernambuco, a empresa falsa teve seu certificado revogado 15 dias depois do registro.

"No mundo dos ataques virtuais, isso equivale a um ano. Dá para infectar e roubar muita gente em 15 dias", afirmou à Folha Fabio Assolini, analista de malware da Kaspersky Lab, que identificou a ameaça.

Criminosos brasileiros também começam a mirar os usuários de internet banking em dispositivos móveis -foram 3,3 milhões em 2011, segundo a Febraban (Federação Brasileira de Bancos).

Em um golpe detectado e desmantelado em junho, uma mensagem de e-mail formatada para smartphones levava a uma página falsa do Banco do Brasil, também otimizada para as telas pequenas dos aparelhos.

Esse tipo de ataque é interessante para os criminosos porque, em geral, os aplicativos dos bancos para telefones celulares e tablets não contam com os mesmos mecanismos de proteção adotados nas soluções de internet banking para computadores tradicionais.

Nos dispositivos móveis, é preciso digitar menos senhas, e não se exigem plugins (programas complementares) nem chaves de segurança.

"Por que os bancos têm menos proteção móvel? Porque ainda há pouca gente usando e, por isso, menos ataques. Só que já estão começando a atacar!", diz Assolini.