Hackers estão conseguindo “enganar” dispositivos de segurança bancária on-line como “tokens”.

Fraude TokenUma investigação feita pela BBC detalhou possíveis deficiências na segurança extra proporcionada por dispositivos bancários de autenticação (tokens), tais como “PINSentry” do Barclays e “SecureKey” do HSBC, ambas com atuação no Reino Unido.
Usar esses dispositivos de autenticação de dois fatores significa que, caso os consumidores entreguem aos hackers suas senhas de login do banco, ainda assim os criminosos não conseguirão invadir suas contas bancárias online.
Mas, apesar de ataques simples de phishing falharem, pode ainda ser possível aos hackers monitorarem e alterarem a comunicação do usuário com o site do banco utilizando malware.
Hackers poderiam criar um site bancário falso e quando os usuários estiverem no “prompt” tentando fazer “logon” em sua conta, eles conseguiriam obter suas credenciais de “login” online e, por exemplo, seu código “PINSentry”, um número pseudoaleatório que muda mais ou menos a cada.
Esta informação permitiria a cibercriminosos realizar “login” no site bancário real, se fazendo passar pelo cliente, podendo autorizar transferências fraudulentas ou outros pagamentos.
Esta variante do clássico ataque “man in the middle” é conhecida nos círculos de segurança como um ataque “man in the browser”.
“Man in the browser” é um ataque de segurança, onde o autor instala um Cavalo de Tróia no computador de uma vítima passando a ser capaz de modificar transações realizadas na “Web” na medida em que são realizadas.
O ataque “man in the browser” é muito mais difícil de ser prevenido e de ser neutralizado, porque em vez de ocorrer numa troca pública de informações, a troca de dados é realizada entre o usuário e os mecanismos de segurança no navegador daquele.
Incidentes isolados deste tipo de fraude surgiram nos últimos anos, o que faz com que este tipo de ataque não seja novo.
Os “phishers” têm aplicado golpes em dispositivos de autenticação de dois fatores, desde 2006, se não muito antes, muito embora clientes de bancos como Citibank e instituições financeiras nórdicas têm sofrido inúmeros ataques ao longo dos anos.
Fato é que este tipo de golpe é perfeitamente assimilado por profissionais de segurança, mas o problema maior está relacionado a ausência de conhecimento deste tipo de fraude por consumidores, justamente o que incentivou a realização da investigação por parte da BBC.
A investigação realizada pela emissora britânica, não destacou novos casos de fraude e nem individualizou vítimas, deixando absolutamente claro que este tipo de golpe não está relacionado a nenhuma tecnologia fornecida por qualquer banco em particular.
Este cenário ilustra muito bem a importância de ser mantida a segurança do computador em dia, bem como utilizar qualquer tipo de segurança adicional que as instituições financeiras possam oferecer.
No que tange a ressarcimento de prejuízos, é importante notar que as disputas sobre saques indevidos estão longe de serem pacíficas e unânimes.
Consumidores provavelmente serão reembolsados por transferências fraudulentas autorizadas usando dispositivos de autenticação de dois fatores, muito embora seja uma tarefa extremamente árdua convencer a instituição financeira sobre a ausência de responsabilidade por parte do cliente.
Muito embora o uso de dispositivos de autenticação bancária não seja uma maneira infalível de se manter em segurança enquanto se está online no internet banking, eles ainda sim devem ser utilizados, uma vez que o malware comum, frequentemente encontrado nos computadores domésticos, não está equipado para lidar com a autenticação adicional necessária para a utilização desses dispositivos.
Também é fato que atacantes avançados têm encontrado maneiras de contornar as medidas de segurança adicionais, infectando o navegador do usuário e monitorando e alterando a comunicação do usuário com o site bancário.
No entanto, o malware precisa trabalhar de forma muito mais difícil, porque o usuário precisa para ser levado a revelar códigos adicionais de “token”, levando-o a agir rapidamente, antes que expirem, geralmente após 60 segundos.
É importante destacar-se que manter o navegador atualizado pode repelir inicialmente infecções, pois os atacantes costumam usar vulnerabilidades conhecidas do browser como método de entrada para o computador, segundo alertaram especialistas.
Os bancos que implantaram a autenticação de dois fatores alegam que foram beneficiados por uma queda substancial nos níveis de fraude, muito embora não estejam disponíveis números concretos sobre este tipo de alegação.
Especialistas em segurança afirmam que os bancos devem contar com várias medidas de segurança para reduzir a possibilidade de fraude, utilizando uma combinação de técnicas, as quais uma complemente a outra.
Qualquer abordagem para combater ataques contra internet banking deve incluir a atualização e implantação de rigorosos projetos de controle de processos antifraude, monitoramento de qualquer transação de clientes e acompanhamento de padrões de navegação que possam indicar um ataque.

Deixe uma resposta