Um banco brasileiro de médio porte sofreu um ataque cibernético sem precedentes em 22 de outubro do ano passado: durante cinco horas de um sábado, um grupo de hackers tomou conta de todos os domínios de internet da instituição, incluindo o site de internet banking.
O ataque foi detectado pela empresa de segurança digital Kaspersky, que apresentou o caso em seu congresso anual esta semana.
“Até onde sabemos, esse tipo de ataque nunca aconteceu antes numa escala tão grande”, disse Dmitry Bestuzhev, diretor de análise da Kaspersky para a América Latina.
Ele não revelou o nome do alvo do ataque, mas todas as pistas apontam para o Banrisul, que admite ter sido vítima de um incidente no dia 22 de outubro, ainda que minimize a magnitude do ataque.
A Kaspersky disse que o banco atacado era ‘uma instituição de médio porte com cerca de US$ 25 bilhões em ativos, mais de 500 agências e presença no Brasil, Argentina, Estados Unidos, e Ilhas Cayman’. A descrição bate com a instituição gaúcha.
Naquele dia, o site oficial do banco foi replicado por invasores, que recomendavam a instalação de um arquivo ‘para segurança’. Na verdade, tratava-se de um ladrão de senhas bancárias, que tentava também remover diversos programas antivírus para que o código não fosse identificado.
Na ocasião, um analista da Kaspersky chegou a publicar uma imagem do golpe em sua conta do Twitter, alertando para a fraude, segundo Altieres Rohr, fundador e editor do site Linha Defensiva.
O assunto — e a tese da Kaspersky sobre as dimensões do evento — voltam à tona agora com a apresentação que a empresa fez sobre o caso (ainda que ela nunca tenha citado nominalmente o Banrisul). Até a WIRED (revista/bíblia de tecnologia) se interessou pelo assunto.
Para a Kaspersky, o problema foi muito mais amplo e comprometedor do que apenas o download de um arquivo fraudulento.
À 1 da tarde do dia 22/10, os hackers mudaram os registros DNS de todos os 36 domínios do banco. O DNS é o protocolo que associa o nome do domínio a uma sequência de números, o famoso IP.
Com isso, os hackers conseguiram acessar TODOS os canais digitais oficiais do banco, mostrando aos clientes os certificados digitais, aquele cadeadinho no pé da página que garante que a operação é segura.
Para conseguir esse feito, os criminosos conseguiram acesso à conta usada para registrar o domínio do Banrisul no site Registro.br, a entidade que controla nomes de domínios no Brasil
Quem acessava a conta era redirecionado para servidores replicados pelos criminosos numa plataforma em nuvem do Google – o que, na prática, significa que todos os dados de transações feitas no período podem ter sido capturados. O ataque foi tão grande que o banco não conseguia nem mesmo mandar emails para alertar os clientes.
A Kaspersky disse que não sabe quantos clientes foram afetados pelo problema – a instituição em questão não compartilhou com ela essas informações. Mas, potencialmente, os dados de ‘centenas de milhares’ de clientes podem ter sido roubados.
Procurado, o Banrisul disse que “desconhece se os fatos recentemente noticiados referem-se ao banco, pois muitos dados e informações divulgados, em especial os relativos à extensão dos danos, domínios e canais afetados e profundidade do ataque, não conferem com o incidente efetivamente enfrentado por nossa instituição no ano passado”.
E acrescentou: “Conforme anteriormente divulgado, o Banrisul passou por um incidente em seu domínio de internet, cuja origem foi externa à sua infraestrutura, que foi imediatamente tratada por seus técnicos, e que, devido ao alto grau de segurança de seus canais, não provocou prejuízos a seus clientes.”
Os ataques a bancos estão cada vez mais ousados. Há dois meses, vários bancos poloneses reportaram infecção por malware. A porta de entrada dos hackers: os servidores do próprio regulador do sistema bancário.
