SlideShare a Scribd company logo

11568 mitb wp_0611_brazil

Hai Nguyen
Hai Nguyen
1 of 8
Download to read offline
ENTENDENDO A AMEAÇA MAN-IN-THE-BROWSER (MITB) Análise e mitigação de ameaças para instituições financeiras White Paper Contexto Os criminosos cibernéticos estão usando métodos cada vez mais novos e avançados para atingir usuários on-line. Uma das ameaças de crescimento mais rápido hoje em dia é a do cavalo de Troia MITB (Man-In-The-Browser). As ameaças man-in-the-browser fazem parte da evolução natural dos crimes cibernéticos, resultado da segurança on-line reforçada e da maior conscientização do consumidor. A propagação das ameaças man-in-the-browser está sendo auxiliada por ataques de spear phishing, pela popularidade dos sites de redes sociais e pelo aumento de drive-by downloads. No último ano, houve um aumento exponencial no número destas ameaças contra instituições financeiras, inclusive contra o mercado de bancos de varejo europeus e o de bancos corporativos norte-americanos. Introdução às ameaças Man-In-The-Browser A ameaça man-in-the-browser foi criada para interceptar dados enquanto eles passam por uma comunicação segura entre um usuário e um aplicativo on-line. Um cavalo de Troia se incorpora a um aplicativo de navegação do usuário e pode ser programado para ser acionado quando o usuário acessar sites on-line específicos, como o site de um banco on-line. Depois de ativado, o cavalo de Troia man-in-the-browser pode interceptar e manipular quaisquer informações enviadas on-line pelo usuário em tempo real. Várias famílias de cavalos de Troia são usadas para realizar ameaças MITB, inclusive Zeus/SpyEye, URLzone, Silent Banker, Sinowal e Gozi. Alguns cavalos de Troia MITB são tão avançados que simplificaram o processo de cometer fraudes, programados com recursos que automatizam totalmente o processo, desde a infecção até a retirada do dinheiro. Entre os recursos adicionais oferecidos pelos desenvolvedores de cavalos de Troia MITB estão: • Injeção de HTML para exibir páginas criadas por engenharia social (ou seja, injeção de um campo em uma página solicitando o número do cartão de débito e do código PIN do usuário, bem como o nome de usuário e a senha). • Pop-ups HTML ou JavaScript para comunicar-se com a vítima em tempo real (ou seja, solicitações para a vítima digitar uma senha válida de uso único ou revelar respostas para suas perguntas secretas). • Interação em tempo real dos cavalos de Troia com os bancos de dados das contas de laranjas para ajudar na transferência de fundos.
PÁGINA 2 O fluxo básico de uma ameaça MITB é o seguinte1 : 1. Um usuário é infectado por um cavalo de Troia MITB. 2. Após o início de uma sessão bancária on-line, o cavalo de Troia é posto em ação e inicializa os recursos do MITB. 3. O usuário passa por todos os estágios de autenticação, inclusive autenticação de dois fatores quando necessário. O cavalo de Troia aguarda silenciosamente o log-in bem- sucedido e/ou o usuário iniciar uma transferência de dinheiro. 4. O cavalo de Troia manipula os detalhes da transação, como o nome do beneficiário e o valor da transferência. O beneficiário legítimo é substituído pela conta de um laranja. 5. O cavalo de Troia mantém uma face aparentemente legítima da transação ao usar técnicas de engenharia social. Ele exibe páginas HTML falsas para o usuário, que mostram os detalhes da transação legítima2 . Se for necessária autenticação adicional para concluir a transação, o usuário prosseguirá para aprovar a transação usando qualquer método de autenticação exigido pela instituição financeira. O que torna as ameaças MITB difíceis de detectar no lado do servidor do banco é que qualquer atividade realizada parece estar sendo originada pelo navegador do usuário legítimo. Características como o idioma do Windows e o endereço IP parecerão iguais às dos dados reais do usuário. Isso cria um desafio para distinguir entre as transações genuínas e as mal-intencionadas. Taxa de infecção exponencial Atualmente, o crescimento drástico no número de ameaças man-in-the-browser (e da disseminação de malware de modo geral) está sendo auxiliado por vários vetores, inclusive spear phishing, o aumento de sites de redes sociais e drive-by downloads3 . O spear phishing contribui imensamente para a disseminação das ameaças man-in-the- browser. Usando esquemas bem elaborados de engenharia social, os criminosos estão lançando campanhas sofisticadas de spear phishing para atingir clientes de bancos corporativos e indivíduos de alto rendimento líquido. A disponibilidade de dados de indivíduos na Internet, inclusive em sites como Facebook e LinkedIn, permite que criminosos coletem informações confiáveis suficientes sobre seus alvos para enviar e-mails extremamente verossímeis e com grande probabilidade de obter respostas. O spear phishing não só visa consumidores, como também vai atrás de funcionários de empresas. Quarenta e cinco por cento dos funcionários indicam que recebeu um e-mail de phishing no trabalho4 . A enorme popularidade dos sites de redes sociais e o número de usuários que se envolvem em atividades nessas redes também contribuíram para a disseminação de cavalos de Troia e malware. O pesado tráfego e o alcance global destes sites os transformaram no principal alvo de exploração dos criminosos. Atualmente, 40% dos usuários de sites de redes sociais já enfrentaram alguma forma de ataque de malware5 . 1 Esta é uma descrição geral das ameaças MITB. Pode haver outros casos e cenários de uso, mas estas medidas são comuns para a maioria das ameaças MITB testemunhadas pela RSA. Neste documento, nós nos concentramos nos cavalos de Troia que são totalmente automáticos, manipulando os dados de uma transação gerada por um usuário legítimo. 2 Alguns cavalos de Troia são programados para substituir o campo de saldo no extrato da conta do usuário, mostrando o saldo da conta como ele deveria aparecer após a transação legítima. 3 Um programa que é baixado automaticamente para o computador do usuário sem seu consentimento ou conhecimento. O download pode ocorrer ao simplesmente se visitar um site ou visualizar um e-mail. 4 RSA 2011 Workplace Security Report (Relatório de segurança do espaço de trabalho RSA 2011) 5 Sophos Security Threat Report 2011 (Relatório de ameaças à segurança Sophos 2011) Para os criminosos, o processo de retirar dinheiro por meio de laranjas se tornou automatizado. Algumas versões do cavalo de Troia Zeus/SpyEye, por exemplo, são criadas com scripts que interagem com as ferramentas de gerenciamento de laranjas. Cada vez que é tentada uma transação MITB por meio de uma máquina infectada, o cavalo de Troia acessa a ferramenta de gerenciamento de laranjas e puxa o primeiro registro disponível de uma conta laranja para receber os fundos roubados.
PÁGINA 3 Finalmente, os drive-by downloads também têm um papel importante no aumento das ameaças MITB. Um drive-by download é iniciado quando um usuário é redirecionado para um site que foi criado por criminosos especificamente para infectar usuários – na maioria das vezes após clicar em um link de um e-mail. Em outros casos, os criminosos são capazes de tirar partido das vulnerabilidades de sites legítimos para fornecer códigos mal-intencionados ao redirecionar o tráfego para pontos de infecção sem o usuário ter qualquer conhecimento de estar sendo infectado por esse conteúdo. Atualmente, cerca de duas em cada 1.000 páginas exibidas para os usuários nos resultados dos mecanismos de pesquisa contêm um drive-by download6 . O resultado final é um aumento exponencial no número de usuários infectados por alguma forma de malware. O cavalo de Troia bancário mais predominante é o Zeus/ SpyEye, responsável por mais de 80% de todos os ataques de cavalos de Troia dirigidos às instituições financeiras no primeiro trimestre de 20117 . Esta família de malware não é somente a mais amplamente disseminada; ela também é conhecida por ter os mais sofisticados recursos e funcionalidades de MITB disponíveis para venda no submundo do crime. Recursos e funcionalidades do MITB Os recursos man-in-the-browser são os itens mais desejados pela maioria dos criminosos atualmente. Após a implementação bem-sucedida dos recursos de MITB do Zeus, outros cavalos de Troia seguiram seu exemplo: Bugat, Clod, Gozi (v2, 2010), Lamp, Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron e URLZone. Todos estes cavalos de Troia têm alguma forma de funcionalidade MITB para automatizar transações fraudulentas por meio de scripts personalizados. A lista a seguir resume exemplos de algumas funcionalidades MITB comuns a várias famílias de cavalos de Troia ativas atualmente: Zeus/SpyEye O Zeus/SpyEye tem a capacidade de identificar e interceptar diferentes tipos de tráfego de Internet em tempo real e é explorado principalmente para realizar ataques automatizados, tais como usar um conjunto de identificadores pessoais e de dispositivos da vítima. O Zeus/SpyEye também pode facilitar o sequestro manual de uma sessão on-line ativa da vítima. Para ter sucesso neste caso, o criminoso precisa que a vítima esteja presente e pronta a fornecer uma senha de uso único válida quando solicitada. Para entrar em uma sessão em andamento, o criminoso precisa fazer uma imitação quase perfeita da vítima. Por exemplo, o criminoso precisa ter acesso aos cookies da vítima. Os cookies HTTP têm uma assinatura digital anexada a eles para mantê-los sob uso exclusivo da pessoa a quem se destinam. Não é possível forjar um cookie, por isso os criminosos precisam roubá-lo e depois apresentar o cookie ao servidor do banco para obter acesso a uma sessão bancária on-line legítima. Interceptar uma sessão bancária em andamento nem sempre é algo que se possa fazer secretamente; para desviar a atenção do usuário, o Zeus/SpyEye oferece injeção de código HTML para apresentar mensagens pop-up falsas, como mensagens de manutenção que avisam o usuário que a sessão foi temporariamente suspensa. Usando uma variante do SpyEye, o criminoso consegue sobrepor a solicitação de log-off do usuário e continuar a transação em segundo plano. Assim que o usuário envia suas credenciais, o cavalo de Troia puxa uma página de aviso falsa informando enganosamente ao usuário que suas configurações de segurança foram verificadas. A Figura 1 mostra a mensagem falsa exibida para o usuário solicitando que ele não feche nem recarregue a página, uma vez que o criminoso está na verdade ainda conectado àquela mesma sessão e realizando a transferência fraudulenta de dinheiro. A RSA realizou uma ampla pesquisa para examinar a ameaça MITB e a rede de “laranjas” que a apoia. Algumas informações úteis que reunimos ao estudar as operações de gerenciamento de laranjas incluem: • Idade média de um laranja: 31 • Duração média da conta de um laranja: 3 dias (isso reflete a média entre o primeiro uso e o último uso, não de quando o laranja foi realmente recrutado) • Número médio de tentativas de fraude feitas por conta de laranja: 18 • Montante médio transferido por um laranja: US$ 3.980 para bancos de varejo 6 Relatório de Inteligência da Microsoft, Volume 9: 100 7 Relatório Trimestral RSA FraudAction sobre Cavalos de Troia, abril de 2011
PÁGINA 4 SilentBanker O cavalo de Troia SilentBanker oferece vários recursos avançados de MITB, inclusive: • Scripts MITB que interceptam dados enviados pela vítima para o banco • Um capturador de senhas de uso único (OTP grabber) que pode interceptar e roubar códigos SMS, números TAN e outros códigos de senha de uso único utilizados pelos bancos para autenticar a transferência de dinheiro do usuário • Injeções de HTML locais para imitar o design dos sites das instituições financeiras visadas; o SilentBanker usa injeções de HTML perfeitas principalmente para obter senhas de uso único. Em geral, o SilentBanker espera que a vítima faça log-in bem-sucedido no site genuíno do banco, momento em que ele ‘injeta’ conteúdo HTML inteiramente novo na página. Os campos recém-injetados solicitam que as vítimas divulguem dados confidenciais raramente solicitados pelo seu provedor de serviços, como o número do cartão de débito e o código PIN. URLzone O URLzone tem a capacidade de injetar códigos em uma página da Web que é carregada no navegador do usuário para inicializar as ameaças MITB. O URLzone usa o tradicional sequestro de sessão para roubar os códigos de senha de uso único dos clientes para concluir transações não autorizadas. O URLzone conta com uma variedade de esquemas de engenharia social para realizar uma ameaça MITB bem-sucedida. Na maioria das vezes, isso é realizado por meio de outra injeção de código que cria uma página com uma falsa mensagem de erro – depois de o usuário já ter fornecido a senha de uso único válida (ou seja, “Não foi possível concluir sua transação nesse momento. Tente novamente mais tarde”). Gozi Uma variante recente do Gozi está programada para roubar vários tipos de dados diferentes; o Gozi tem injeções que já conseguiram roubar tokencodes SMS e TANs, bem como scripts que raspam8 informações adicionais, como limites diários de transferência e saldos de contas correntes, contas de poupança e contas de cartão de crédito. Registros do cavalo de Troia Gozi contendo procedimentos automatizados da transação mostram claramente que o Gozi é pré-programado para determinar a porcentagem que pode ser transferida do saldo da conta por vez. Para determinar o valor a transferir, o Gozi primeiro recupera o saldo atual da conta. A Figura 2 exibe um registro criado pelo Gozi ao realizar transferências automatizadas de dinheiro. O registro do cavalo de Troia mostra que o Gozi apanha o saldo da conta e o limite diário de transferência e, em seguida, usa o TAN para concluir a transferência. 8 A raspagem de dados é utilizada pelos cavalos de Troia para acessar o código-fonte da página, localizar dados pertinentes nela e enviá-los ao criminoso. Figura 1: Um exemplo de página falsa que pode ser apresentada a usuários infectados durante uma ameaça man-in-the-browser
PÁGINA 5 A mitigação exige segurança em camadas Como resultado da ampla investigação sobre cavalos de Troia e malware, e especificamente ameaças man-in-the-browser, podemos tirar várias conclusões: 1. A proteção de log-in não é suficiente para impedir ameaças MITB. Mesmo que o usuário genuíno faça log-in na conta, os cavalos de Troia são capazes de realizar transferências de dinheiro da conta durante a sessão bancária legítima do usuário. 2. As ameaças MITB são difíceis de detectar sem monitoramento e proteção da transação. Um cavalo de Troia MITB pode sequestrar o dispositivo do usuário para que quaisquer transações mal-intencionadas realizadas ainda pareçam ter sido originadas pelo usuário legítimo. Além do rastreamento do dispositivo ou do IP, potentes recursos de definição de perfis comportamentais são cruciais para a detecção de MITB 3. Devido ao fato de alguns cavalos de Troia usarem injeções de HTML para solicitar credenciais para autenticação adicional, a autenticação de banda externa tem mais capacidade para resistir ao MITB, pois ela contorna o canal on-line 4. Investigações manuais não são suficientes. Os cavalos de Troia podem ser totalmente automatizados para realizar o processo inteiro – desde a infecção até a retirada do dinheiro – em tempo real. Quanto mais rápida for a janela que permite que os fundos sejam transferidos, menos tempo haverá para investigar os casos manualmente. Nesses casos, é necessário utilizar a autenticação adicional (preferivelmente a verdadeira autenticação de banda externa) 5. Os serviços de inteligência são uma parte importante da mitigação. Contas de laranjas, por exemplo, representam um grande papel no processo de retirada de dinheiro. Ter acesso à inteligência por trás de crimes cibernéticos é essencial para desenvolver uma solução completa. Uma abordagem de segurança em camadas que combine monitoramento de transações baseado em riscos, detecção de cavalos de Troia, desligamento e serviços de inteligência, bem como recursos de banda externa, proporciona uma sólida defesa para mitigar a ameaça de ataques man-in-the-browser. As soluções RSA a seguir ajudam as instituições financeiras a lidar com o desafio representado pelas ameaças man-in-the-browser: • Monitoramento da transação: O RSA® Transaction Monitoring examina as atividades realizadas após o log-in para detectar comportamentos fora do comum que possam indicar tentativas de fraude ou atividades de cavalo de Troia. Ele funciona com qualquer solução existente de autenticação sólida e pode ser implantado de modo a ficar totalmente invisível para o usuário final. Além disso, o RSA Transaction Monitoring oferece recursos avançados para identificar comportamentos de cavalos de Troia, como a capacidade de detectar sequestro manual de sessão, contas laranja e injeção de HTML. Figura 2: Registro do cavalo de Troia Gozi mostrando uma transferência automática de dinheiro com MITB
PÁGINA 6 • Detecção de cavalos de Troia, Desligamento e Serviços de Inteligência: O serviço RSA® FraudAction™ Anti-Trojan trabalha para reduzir o impacto dos cavalos de Troia por meio de identificação e desligamento de pontos de infecção conhecidos, e bloqueio dos recursos que os cavalos de Troia usam para se comunicar (ou seja, servidores drop, servidores de Comando e Controle). Além disso, o serviço tenta extrair informações e credenciais roubadas das contas laranja que estão preparadas para receber transferências de dinheiro fraudulentas. • RSA eFraudNetwork: O RSA® Adaptive Authentication e o RSA Transaction Monitoring utilizam as informações sobre os padrões de fraude contidas no repositório de dados da RSA® eFraudNetwork™ . A eFraudNetwork recebe feeds de dados de fraudes fornecidos por uma vasta rede de clientes, usuários finais, ISPs e outros. Contribuições frequentes sobre a inteligência por trás de crimes cibernéticos também são fornecidas regularmente por analistas do Anti-Fraud Command Center da RSA. • Autenticação de banda externa: A RSA oferece autenticação telefônica de banda externa que permite que os usuários digitem uma senha de uso único no teclado de seu telefone. A autenticação de banda externa oferece uma potente defesa contra ameaças man-in-the-browser, pois ela separa o processo de autenticação do canal da Web, tornando mais difícil expor-se ao perigo. Monitoramento da transação Embora seja essencial proteger o log-in, os fraudadores desenvolveram uma tecnologia capaz de manipular transações após o log-in. A proteção da transação se refere à capacidade da organização de monitorar e identificar atividades suspeitas após o log-in – um recurso geralmente fornecido por uma solução de monitoramento de fraudes baseada em riscos. As transações, em geral, exigem exames mais minuciosos e apresentam mais riscos do que apenas o ato de fazer log-in em uma conta. Por exemplo, um usuário não autorizado pode conseguir acesso ao log-in de uma conta, mas o risco maior será depois que for tentada uma transação, como a transferência de dinheiro de uma conta. Uma solução de proteção de transação alertará as equipes de investigação de fraude ou questionará os usuários de forma apropriada nesses casos. O RSA Transaction Monitoring é acionado pelo mecanismo de autoaprendizagem RSA Risk Engine, que realiza nos bastidores a avaliação de riscos de todos os usuários. Ele pode trabalhar com qualquer solução existente de autenticação e pode ser totalmente invisível para o usuário final. Quando um usuário tenta uma transação, uma pontuação de risco exclusivo é atribuída a cada atividade. Quando a pontuação de risco ultrapassa determinado limite aceitável (definido pela organização implantadora) ou quando uma política organizacional é violada, é aberto um caso na ferramenta RSA Case Manager. O Case Manager permite o gerenciamento completo de casos e investigações, com foco apenas nas transações de risco mais alto. Em casos de risco extremo ou quando não houver tempo suficiente para analisar manualmente um caso, o usuário poderá ser questionado em tempo real com uma chamada telefônica de banda externa antes que a transação possa prosseguir. O RSA Transaction Monitoring também é capaz de detectar possíveis atividades de cavalos de Troia ao realizar análises comportamentais avançadas. Os padrões normais de comportamento de cada usuário individual são observados, e, quando ocorrer algum comportamento que se desvie desse padrão, provavelmente haverá um aumento da pontuação de risco desse usuário. A análise do comportamento do usuário, especialmente comportamento como atividades de pagamento iniciadas por um usuário final, é essencial no nível de transação. Isso é especialmente verdadeiro para um cavalo de Troia man-in-the-browser, pois ele aguarda que o usuário genuíno faça log-in antes de ser acionado. Durante a própria sessão, alguns padrões podem indicar comportamento fora do comum, como a atividade de acrescentar um novo beneficiário seguido de uma transação de pagamento imediata para esse beneficiário - uma atividade que não pode ser detectada no log-in. Além disso, o RSA Transaction Monitoring oferece recursos mais avançados de detecção de cavalos de Troia, como detecção de sequestro manual de sessão, análise de padrões de comportamento de cavalo de Troia, detecção de conta laranja e detecção de injeção de HTML.
PÁGINA 7 O Transaction Monitoring também tem o suporte da RSA eFraudNetwork, um repositório de padrões de fraude de várias organizações compilados pela ampla rede de clientes da RSA, por ISPs e outros colaboradores do mundo inteiro. Quando uma atividade é identificada como sendo de alto risco, o perfil da transação, o endereço IP e as impressões digitais do dispositivo são movidos para um repositório de dados compartilhado. A eFraudNetwork envia diretamente feeds sobre dados de fraude para o sistema RSA Transaction Monitoring e é uma das muitas fontes usadas para atribuir a pontuação de risco. Isso inclui dados de contas de laranjas oferecidos pelo serviço RSA FraudAction Anti-Trojan. Detecção de cavalos de Troia, desligamento e inteligência O serviço RSA FraudAction Anti-Trojan, uma parte central do RSA FraudAction, está centrado em minimizar o impacto dos ataques de cavalos de Troia. O man-in-the-browser é uma das ameaças que a RSA tem se dedicado a analisar, e esse serviço de inteligência foi incorporado ao serviço RSA FraudAction Anti-Trojan. Detecção precoce, bloqueio e desligamento são essenciais para minimizar o impacto que um cavalo de Troia pode ter e reduzir a quantidade de danos que ele pode causar. Entretanto, desligar ou bloquear acesso aos pontos de infecção, pontos de atualização, drop sites e drop e-mails do cavalo de Troia é mais complicado do que parece. Além disso, os cavalos de Troia são uma ameaça mais complexa de enfrentar devido ao número sem precedente de variantes de malware que existem. Ao trabalhar com as mais importantes instituições financeiras do mundo e monitorar várias ameaças, a RSA criou relacionamentos contínuos com alguns dos principais ISPs e arquivos de registro do mundo. O RSA Anti-Fraud Command Center tira partido desses relacionamentos para iniciar o processo suspender-e-desistir (cease-and-desist) durante 24 horas por dia, 7 dias por semana. Os serviços e pontos fortes da RSA são realçados pelo RSA FraudAction Research Lab, uma equipe de pesquisadores de primeira linha dedicada à pesquisa contínua das tecnologias, ferramentas e táticas mais recentes que estão sendo utilizadas pelos criminosos cibernéticos. Esta equipe tem como objetivo enfrentar novas ameaças, como o man-in-the-browser, e criar ferramentas e processos que permitam o desligamento mais rápido possível. Recursos de banda externa Os métodos de comunicação OOB (Out-Of-Band, banda externa) são uma arma poderosa contra ameaças avançadas, pois eles contornam o canal de comunicação usado mais frequentemente pelos fraudadores – o canal on-line. Isso é especialmente verdadeiro no caso do man-in-the browser, quando um cavalo de Troia é instalado diretamente no navegador do usuário. Os métodos de comunicação de banda externa podem incluir correio postal comum, telefone ou mensagem de texto (também chamada de SMS, Short Message Service). O módulo RSA Adaptive Authentication Out-of-band Phone fornece aos usuários um passcode de uso único que aparece no navegador da Web. O sistema então pede ao usuário para selecionar um dos números de telefone previamente registrados durante o cadastro para receber a chamada telefônica e um telefonema automático é gerado. A chamada analisa detalhes da transação e pede ao usuário que digite, no teclado de seu aparelho telefônico, o passcode de uso único que é exibido no navegador. Depois de o número ser digitado no telefone e ser confirmado que é o número correto, a transação prosseguirá sem interrupção. Isto é apelidado de autenticação de banda externa “verdadeira” porque o passcode é na verdade digitado no telefone, em vez de ser digitado novamente no computador infectado do usuário (como normalmente ocorre quando recebemos um passcode via e-mail ou SMS).
RSA, o logotipo da RSA, EMC2 , EMC e where information lives são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todas as outras marcas comerciais aqui utilizadas pertencem a seus respectivos proprietários. ©2011 EMC Corporation. Todos os direitos reservados. Publicado no Brasil. MITB WP 0611 Sobre a RSA A RSA é o principal fornecedor de soluções de segurança, risco e conformidade, ajudando no sucesso das maiores empresas do mundo ao resolver seus desafios de segurança mais complexos e confidenciais. Estes desafios incluem gerenciar o risco organizacional, proteger o acesso e a colaboração móveis, garantir a conformidade e proteger ambientes virtuais e de nuvem. Combinando controles essenciais aos negócios em garantia de identidade, prevenção contra perda de dados, criptografia e tokenization, proteção contra fraudes e SIEM com recursos eGRC líderes do setor, bem como serviços de consultoria, a RSA proporciona confiança e visibilidade para milhões de identidades de usuário, para as transações que eles realizam e os dados que são gerados. brazil.rsa.com Conclusão Os criminosos cibernéticos estão desenvolvendo constantemente suas ferramentas e táticas para contornar as defesas estabelecidas até mesmo pelas instituições financeiras mais preocupadas com segurança. As ameaças man-in-the-browser são uma das mais avançadas dirigidas a usuários e estão afetando instituições financeiras em todas as regiões do mundo atualmente. A proteção de log-in simplesmente não é suficiente para impedi-las. As instituições financeiras precisam combinar o uso de monitoramento de transações baseado em risco, detecção de cavalos de Troia, desligamento e serviços de inteligência, bem como recursos de banda externa de real segurança em camadas, para mitigar o impacto das ameaças man-in-the-browser.

Recommended

Fasciculo internet-banking
Fasciculo internet-bankingFasciculo internet-banking
Fasciculo internet-bankingDavid de Assis
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemasWesley Gimenes
 
Ataques maliciosos
Ataques maliciososAtaques maliciosos
Ataques maliciososJéssica Góis Scala
 
11577 mitb wp_0611_fr
11577 mitb wp_0611_fr11577 mitb wp_0611_fr
11577 mitb wp_0611_frHai Nguyen
 
Secure client
Secure clientSecure client
Secure clientHai Nguyen
 
תפריט ארועים קדמה צהרים 2013
תפריט ארועים קדמה צהרים 2013תפריט ארועים קדמה צהרים 2013
תפריט ארועים קדמה צהרים 2013weiss2001
 
הסדנא הרוחנית של ערכים 1 1
הסדנא הרוחנית של ערכים 1 1הסדנא הרוחנית של ערכים 1 1
הסדנא הרוחנית של ערכים 1 1weiss2001
 
תפריט ארועים קדמה ערב 2013
תפריט ארועים קדמה ערב 2013תפריט ארועים קדמה ערב 2013
תפריט ארועים קדמה ערב 2013weiss2001
 

Recommended

Fasciculo internet-banking
Fasciculo internet-bankingFasciculo internet-banking
Fasciculo internet-bankingDavid de Assis
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemasWesley Gimenes
 
Ataques maliciosos
Ataques maliciososAtaques maliciosos
Ataques maliciososJéssica Góis Scala
 
11577 mitb wp_0611_fr
11577 mitb wp_0611_fr11577 mitb wp_0611_fr
11577 mitb wp_0611_frHai Nguyen
 
Secure client
Secure clientSecure client
Secure clientHai Nguyen
 
תפריט ארועים קדמה צהרים 2013
תפריט ארועים קדמה צהרים 2013תפריט ארועים קדמה צהרים 2013
תפריט ארועים קדמה צהרים 2013weiss2001
 
הסדנא הרוחנית של ערכים 1 1
הסדנא הרוחנית של ערכים 1 1הסדנא הרוחנית של ערכים 1 1
הסדנא הרוחנית של ערכים 1 1weiss2001
 
תפריט ארועים קדמה ערב 2013
תפריט ארועים קדמה ערב 2013תפריט ארועים קדמה ערב 2013
תפריט ארועים קדמה ערב 2013weiss2001
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Fraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -pptFraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -pptCarlos Melo
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1diogomendes99
 
Botnets - Apresentação
Botnets - ApresentaçãoBotnets - Apresentação
Botnets - ApresentaçãoMaria José Rodrigues
 
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfCartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfDiogoSam1
 
Task5
Task5Task5
Task5Welber Morais
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
 
Apresentação - Symantec
Apresentação - SymantecApresentação - Symantec
Apresentação - SymantecAntonio Balochini
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantectechsoupbrasil
 
Tcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informáticaTcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informáticaMarco Gomes
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoVinicius Dantas Dos Santos
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosFernando Battistini
 
Palestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaPalestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaMatheus Buskievicz Todd
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança DigitalAdão José Oliveira Elias
 
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?Douglas Martins
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internetsi03grupo1
 
Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideHai Nguyen
 
Sms based otp
Sms based otpSms based otp
Sms based otpHai Nguyen
 

More Related Content

Similar to 11568 mitb wp_0611_brazil

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Fraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -pptFraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -pptCarlos Melo
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1diogomendes99
 
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfCartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfDiogoSam1
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantectechsoupbrasil
 
Tcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informáticaTcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informáticaMarco Gomes
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoVinicius Dantas Dos Santos
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosFernando Battistini
 
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?Douglas Martins
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Security
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internetsi03grupo1
 

Similar to 11568 mitb wp_0611_brazil (20)

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Fraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -pptFraudes eletrônicas segurança de redes -ppt
Fraudes eletrônicas segurança de redes -ppt
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1
 
Botnets - Apresentação
Botnets - ApresentaçãoBotnets - Apresentação
Botnets - Apresentação
 
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdfCartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
Cartilha-CyberTech-Brasil-de-Conscientizacao-em-Seguranca.pdf
 
Task5
Task5Task5
Task5
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojans
 
Apresentação - Symantec
Apresentação - SymantecApresentação - Symantec
Apresentação - Symantec
 
Seminário Web Symantec
Seminário Web SymantecSeminário Web Symantec
Seminário Web Symantec
 
Tcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informáticaTcvb2 marco gomes_segurança informática
Tcvb2 marco gomes_segurança informática
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
SITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de CréditoSITI- Cibercrime - Fraudes com o Cartão de Crédito
SITI- Cibercrime - Fraudes com o Cartão de Crédito
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdf
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negócios
 
Palestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaPalestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da Tecnologia
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
Como uma sociedade mais conectada se torna mais vulnerável em momentos de crise?
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
Trabalho de Sistemas para internet
Trabalho de Sistemas para internetTrabalho de Sistemas para internet
Trabalho de Sistemas para internet
 

More from Hai Nguyen

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideHai Nguyen
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailarHai Nguyen
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_faHai Nguyen
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheetHai Nguyen
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthenticationHai Nguyen
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Hai Nguyen
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_briefHai Nguyen
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 enHai Nguyen
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationHai Nguyen
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseHai Nguyen
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authenticationHai Nguyen
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Hai Nguyen
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheetHai Nguyen
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheetHai Nguyen
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationHai Nguyen
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationxHai Nguyen
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingHai Nguyen
 

More from Hai Nguyen (20)

Sp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guideSp 29 two_factor_auth_guide
Sp 29 two_factor_auth_guide
 
Sms based otp
Sms based otpSms based otp
Sms based otp
 
Session 7 e_raja_kailar
Session 7 e_raja_kailarSession 7 e_raja_kailar
Session 7 e_raja_kailar
 
Securing corporate assets_with_2_fa
Securing corporate assets_with_2_faSecuring corporate assets_with_2_fa
Securing corporate assets_with_2_fa
 
Scc soft token datasheet
Scc soft token datasheetScc soft token datasheet
Scc soft token datasheet
 
Rsa two factorauthentication
Rsa two factorauthenticationRsa two factorauthentication
Rsa two factorauthentication
 
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
Quest defender provides_secure__affordable_two-factor_authentication_for_okla...
 
Pg 2 fa_tech_brief
Pg 2 fa_tech_briefPg 2 fa_tech_brief
Pg 2 fa_tech_brief
 
Ouch 201211 en
Ouch 201211 enOuch 201211 en
Ouch 201211 en
 
N ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authenticationN ye c-rfp-two-factor-authentication
N ye c-rfp-two-factor-authentication
 
Multiple credentials-in-the-enterprise
Multiple credentials-in-the-enterpriseMultiple credentials-in-the-enterprise
Multiple credentials-in-the-enterprise
 
Mobile authentication
Mobile authenticationMobile authentication
Mobile authentication
 
Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462Ijcsi 9-4-2-457-462
Ijcsi 9-4-2-457-462
 
Identity cues two factor data sheet
Identity cues two factor data sheetIdentity cues two factor data sheet
Identity cues two factor data sheet
 
Hotpin datasheet
Hotpin datasheetHotpin datasheet
Hotpin datasheet
 
Gambling
GamblingGambling
Gambling
 
Ds netsuite-two-factor-authentication
Ds netsuite-two-factor-authenticationDs netsuite-two-factor-authentication
Ds netsuite-two-factor-authentication
 
Datasheet two factor-authenticationx
Datasheet two factor-authenticationxDatasheet two factor-authenticationx
Datasheet two factor-authenticationx
 
Csd6059
Csd6059Csd6059
Csd6059
 
Cryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for bankingCryptomathic white paper 2fa for banking
Cryptomathic white paper 2fa for banking
 

11568 mitb wp_0611_brazil

  • 1. ENTENDENDO A AMEAÇA MAN-IN-THE-BROWSER (MITB) Análise e mitigação de ameaças para instituições financeiras White Paper Contexto Os criminosos cibernéticos estão usando métodos cada vez mais novos e avançados para atingir usuários on-line. Uma das ameaças de crescimento mais rápido hoje em dia é a do cavalo de Troia MITB (Man-In-The-Browser). As ameaças man-in-the-browser fazem parte da evolução natural dos crimes cibernéticos, resultado da segurança on-line reforçada e da maior conscientização do consumidor. A propagação das ameaças man-in-the-browser está sendo auxiliada por ataques de spear phishing, pela popularidade dos sites de redes sociais e pelo aumento de drive-by downloads. No último ano, houve um aumento exponencial no número destas ameaças contra instituições financeiras, inclusive contra o mercado de bancos de varejo europeus e o de bancos corporativos norte-americanos. Introdução às ameaças Man-In-The-Browser A ameaça man-in-the-browser foi criada para interceptar dados enquanto eles passam por uma comunicação segura entre um usuário e um aplicativo on-line. Um cavalo de Troia se incorpora a um aplicativo de navegação do usuário e pode ser programado para ser acionado quando o usuário acessar sites on-line específicos, como o site de um banco on-line. Depois de ativado, o cavalo de Troia man-in-the-browser pode interceptar e manipular quaisquer informações enviadas on-line pelo usuário em tempo real. Várias famílias de cavalos de Troia são usadas para realizar ameaças MITB, inclusive Zeus/SpyEye, URLzone, Silent Banker, Sinowal e Gozi. Alguns cavalos de Troia MITB são tão avançados que simplificaram o processo de cometer fraudes, programados com recursos que automatizam totalmente o processo, desde a infecção até a retirada do dinheiro. Entre os recursos adicionais oferecidos pelos desenvolvedores de cavalos de Troia MITB estão: • Injeção de HTML para exibir páginas criadas por engenharia social (ou seja, injeção de um campo em uma página solicitando o número do cartão de débito e do código PIN do usuário, bem como o nome de usuário e a senha). • Pop-ups HTML ou JavaScript para comunicar-se com a vítima em tempo real (ou seja, solicitações para a vítima digitar uma senha válida de uso único ou revelar respostas para suas perguntas secretas). • Interação em tempo real dos cavalos de Troia com os bancos de dados das contas de laranjas para ajudar na transferência de fundos.
  • 2. PÁGINA 2 O fluxo básico de uma ameaça MITB é o seguinte1 : 1. Um usuário é infectado por um cavalo de Troia MITB. 2. Após o início de uma sessão bancária on-line, o cavalo de Troia é posto em ação e inicializa os recursos do MITB. 3. O usuário passa por todos os estágios de autenticação, inclusive autenticação de dois fatores quando necessário. O cavalo de Troia aguarda silenciosamente o log-in bem- sucedido e/ou o usuário iniciar uma transferência de dinheiro. 4. O cavalo de Troia manipula os detalhes da transação, como o nome do beneficiário e o valor da transferência. O beneficiário legítimo é substituído pela conta de um laranja. 5. O cavalo de Troia mantém uma face aparentemente legítima da transação ao usar técnicas de engenharia social. Ele exibe páginas HTML falsas para o usuário, que mostram os detalhes da transação legítima2 . Se for necessária autenticação adicional para concluir a transação, o usuário prosseguirá para aprovar a transação usando qualquer método de autenticação exigido pela instituição financeira. O que torna as ameaças MITB difíceis de detectar no lado do servidor do banco é que qualquer atividade realizada parece estar sendo originada pelo navegador do usuário legítimo. Características como o idioma do Windows e o endereço IP parecerão iguais às dos dados reais do usuário. Isso cria um desafio para distinguir entre as transações genuínas e as mal-intencionadas. Taxa de infecção exponencial Atualmente, o crescimento drástico no número de ameaças man-in-the-browser (e da disseminação de malware de modo geral) está sendo auxiliado por vários vetores, inclusive spear phishing, o aumento de sites de redes sociais e drive-by downloads3 . O spear phishing contribui imensamente para a disseminação das ameaças man-in-the- browser. Usando esquemas bem elaborados de engenharia social, os criminosos estão lançando campanhas sofisticadas de spear phishing para atingir clientes de bancos corporativos e indivíduos de alto rendimento líquido. A disponibilidade de dados de indivíduos na Internet, inclusive em sites como Facebook e LinkedIn, permite que criminosos coletem informações confiáveis suficientes sobre seus alvos para enviar e-mails extremamente verossímeis e com grande probabilidade de obter respostas. O spear phishing não só visa consumidores, como também vai atrás de funcionários de empresas. Quarenta e cinco por cento dos funcionários indicam que recebeu um e-mail de phishing no trabalho4 . A enorme popularidade dos sites de redes sociais e o número de usuários que se envolvem em atividades nessas redes também contribuíram para a disseminação de cavalos de Troia e malware. O pesado tráfego e o alcance global destes sites os transformaram no principal alvo de exploração dos criminosos. Atualmente, 40% dos usuários de sites de redes sociais já enfrentaram alguma forma de ataque de malware5 . 1 Esta é uma descrição geral das ameaças MITB. Pode haver outros casos e cenários de uso, mas estas medidas são comuns para a maioria das ameaças MITB testemunhadas pela RSA. Neste documento, nós nos concentramos nos cavalos de Troia que são totalmente automáticos, manipulando os dados de uma transação gerada por um usuário legítimo. 2 Alguns cavalos de Troia são programados para substituir o campo de saldo no extrato da conta do usuário, mostrando o saldo da conta como ele deveria aparecer após a transação legítima. 3 Um programa que é baixado automaticamente para o computador do usuário sem seu consentimento ou conhecimento. O download pode ocorrer ao simplesmente se visitar um site ou visualizar um e-mail. 4 RSA 2011 Workplace Security Report (Relatório de segurança do espaço de trabalho RSA 2011) 5 Sophos Security Threat Report 2011 (Relatório de ameaças à segurança Sophos 2011) Para os criminosos, o processo de retirar dinheiro por meio de laranjas se tornou automatizado. Algumas versões do cavalo de Troia Zeus/SpyEye, por exemplo, são criadas com scripts que interagem com as ferramentas de gerenciamento de laranjas. Cada vez que é tentada uma transação MITB por meio de uma máquina infectada, o cavalo de Troia acessa a ferramenta de gerenciamento de laranjas e puxa o primeiro registro disponível de uma conta laranja para receber os fundos roubados.
  • 3. PÁGINA 3 Finalmente, os drive-by downloads também têm um papel importante no aumento das ameaças MITB. Um drive-by download é iniciado quando um usuário é redirecionado para um site que foi criado por criminosos especificamente para infectar usuários – na maioria das vezes após clicar em um link de um e-mail. Em outros casos, os criminosos são capazes de tirar partido das vulnerabilidades de sites legítimos para fornecer códigos mal-intencionados ao redirecionar o tráfego para pontos de infecção sem o usuário ter qualquer conhecimento de estar sendo infectado por esse conteúdo. Atualmente, cerca de duas em cada 1.000 páginas exibidas para os usuários nos resultados dos mecanismos de pesquisa contêm um drive-by download6 . O resultado final é um aumento exponencial no número de usuários infectados por alguma forma de malware. O cavalo de Troia bancário mais predominante é o Zeus/ SpyEye, responsável por mais de 80% de todos os ataques de cavalos de Troia dirigidos às instituições financeiras no primeiro trimestre de 20117 . Esta família de malware não é somente a mais amplamente disseminada; ela também é conhecida por ter os mais sofisticados recursos e funcionalidades de MITB disponíveis para venda no submundo do crime. Recursos e funcionalidades do MITB Os recursos man-in-the-browser são os itens mais desejados pela maioria dos criminosos atualmente. Após a implementação bem-sucedida dos recursos de MITB do Zeus, outros cavalos de Troia seguiram seu exemplo: Bugat, Clod, Gozi (v2, 2010), Lamp, Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron e URLZone. Todos estes cavalos de Troia têm alguma forma de funcionalidade MITB para automatizar transações fraudulentas por meio de scripts personalizados. A lista a seguir resume exemplos de algumas funcionalidades MITB comuns a várias famílias de cavalos de Troia ativas atualmente: Zeus/SpyEye O Zeus/SpyEye tem a capacidade de identificar e interceptar diferentes tipos de tráfego de Internet em tempo real e é explorado principalmente para realizar ataques automatizados, tais como usar um conjunto de identificadores pessoais e de dispositivos da vítima. O Zeus/SpyEye também pode facilitar o sequestro manual de uma sessão on-line ativa da vítima. Para ter sucesso neste caso, o criminoso precisa que a vítima esteja presente e pronta a fornecer uma senha de uso único válida quando solicitada. Para entrar em uma sessão em andamento, o criminoso precisa fazer uma imitação quase perfeita da vítima. Por exemplo, o criminoso precisa ter acesso aos cookies da vítima. Os cookies HTTP têm uma assinatura digital anexada a eles para mantê-los sob uso exclusivo da pessoa a quem se destinam. Não é possível forjar um cookie, por isso os criminosos precisam roubá-lo e depois apresentar o cookie ao servidor do banco para obter acesso a uma sessão bancária on-line legítima. Interceptar uma sessão bancária em andamento nem sempre é algo que se possa fazer secretamente; para desviar a atenção do usuário, o Zeus/SpyEye oferece injeção de código HTML para apresentar mensagens pop-up falsas, como mensagens de manutenção que avisam o usuário que a sessão foi temporariamente suspensa. Usando uma variante do SpyEye, o criminoso consegue sobrepor a solicitação de log-off do usuário e continuar a transação em segundo plano. Assim que o usuário envia suas credenciais, o cavalo de Troia puxa uma página de aviso falsa informando enganosamente ao usuário que suas configurações de segurança foram verificadas. A Figura 1 mostra a mensagem falsa exibida para o usuário solicitando que ele não feche nem recarregue a página, uma vez que o criminoso está na verdade ainda conectado àquela mesma sessão e realizando a transferência fraudulenta de dinheiro. A RSA realizou uma ampla pesquisa para examinar a ameaça MITB e a rede de “laranjas” que a apoia. Algumas informações úteis que reunimos ao estudar as operações de gerenciamento de laranjas incluem: • Idade média de um laranja: 31 • Duração média da conta de um laranja: 3 dias (isso reflete a média entre o primeiro uso e o último uso, não de quando o laranja foi realmente recrutado) • Número médio de tentativas de fraude feitas por conta de laranja: 18 • Montante médio transferido por um laranja: US$ 3.980 para bancos de varejo 6 Relatório de Inteligência da Microsoft, Volume 9: 100 7 Relatório Trimestral RSA FraudAction sobre Cavalos de Troia, abril de 2011
  • 4. PÁGINA 4 SilentBanker O cavalo de Troia SilentBanker oferece vários recursos avançados de MITB, inclusive: • Scripts MITB que interceptam dados enviados pela vítima para o banco • Um capturador de senhas de uso único (OTP grabber) que pode interceptar e roubar códigos SMS, números TAN e outros códigos de senha de uso único utilizados pelos bancos para autenticar a transferência de dinheiro do usuário • Injeções de HTML locais para imitar o design dos sites das instituições financeiras visadas; o SilentBanker usa injeções de HTML perfeitas principalmente para obter senhas de uso único. Em geral, o SilentBanker espera que a vítima faça log-in bem-sucedido no site genuíno do banco, momento em que ele ‘injeta’ conteúdo HTML inteiramente novo na página. Os campos recém-injetados solicitam que as vítimas divulguem dados confidenciais raramente solicitados pelo seu provedor de serviços, como o número do cartão de débito e o código PIN. URLzone O URLzone tem a capacidade de injetar códigos em uma página da Web que é carregada no navegador do usuário para inicializar as ameaças MITB. O URLzone usa o tradicional sequestro de sessão para roubar os códigos de senha de uso único dos clientes para concluir transações não autorizadas. O URLzone conta com uma variedade de esquemas de engenharia social para realizar uma ameaça MITB bem-sucedida. Na maioria das vezes, isso é realizado por meio de outra injeção de código que cria uma página com uma falsa mensagem de erro – depois de o usuário já ter fornecido a senha de uso único válida (ou seja, “Não foi possível concluir sua transação nesse momento. Tente novamente mais tarde”). Gozi Uma variante recente do Gozi está programada para roubar vários tipos de dados diferentes; o Gozi tem injeções que já conseguiram roubar tokencodes SMS e TANs, bem como scripts que raspam8 informações adicionais, como limites diários de transferência e saldos de contas correntes, contas de poupança e contas de cartão de crédito. Registros do cavalo de Troia Gozi contendo procedimentos automatizados da transação mostram claramente que o Gozi é pré-programado para determinar a porcentagem que pode ser transferida do saldo da conta por vez. Para determinar o valor a transferir, o Gozi primeiro recupera o saldo atual da conta. A Figura 2 exibe um registro criado pelo Gozi ao realizar transferências automatizadas de dinheiro. O registro do cavalo de Troia mostra que o Gozi apanha o saldo da conta e o limite diário de transferência e, em seguida, usa o TAN para concluir a transferência. 8 A raspagem de dados é utilizada pelos cavalos de Troia para acessar o código-fonte da página, localizar dados pertinentes nela e enviá-los ao criminoso. Figura 1: Um exemplo de página falsa que pode ser apresentada a usuários infectados durante uma ameaça man-in-the-browser
  • 5. PÁGINA 5 A mitigação exige segurança em camadas Como resultado da ampla investigação sobre cavalos de Troia e malware, e especificamente ameaças man-in-the-browser, podemos tirar várias conclusões: 1. A proteção de log-in não é suficiente para impedir ameaças MITB. Mesmo que o usuário genuíno faça log-in na conta, os cavalos de Troia são capazes de realizar transferências de dinheiro da conta durante a sessão bancária legítima do usuário. 2. As ameaças MITB são difíceis de detectar sem monitoramento e proteção da transação. Um cavalo de Troia MITB pode sequestrar o dispositivo do usuário para que quaisquer transações mal-intencionadas realizadas ainda pareçam ter sido originadas pelo usuário legítimo. Além do rastreamento do dispositivo ou do IP, potentes recursos de definição de perfis comportamentais são cruciais para a detecção de MITB 3. Devido ao fato de alguns cavalos de Troia usarem injeções de HTML para solicitar credenciais para autenticação adicional, a autenticação de banda externa tem mais capacidade para resistir ao MITB, pois ela contorna o canal on-line 4. Investigações manuais não são suficientes. Os cavalos de Troia podem ser totalmente automatizados para realizar o processo inteiro – desde a infecção até a retirada do dinheiro – em tempo real. Quanto mais rápida for a janela que permite que os fundos sejam transferidos, menos tempo haverá para investigar os casos manualmente. Nesses casos, é necessário utilizar a autenticação adicional (preferivelmente a verdadeira autenticação de banda externa) 5. Os serviços de inteligência são uma parte importante da mitigação. Contas de laranjas, por exemplo, representam um grande papel no processo de retirada de dinheiro. Ter acesso à inteligência por trás de crimes cibernéticos é essencial para desenvolver uma solução completa. Uma abordagem de segurança em camadas que combine monitoramento de transações baseado em riscos, detecção de cavalos de Troia, desligamento e serviços de inteligência, bem como recursos de banda externa, proporciona uma sólida defesa para mitigar a ameaça de ataques man-in-the-browser. As soluções RSA a seguir ajudam as instituições financeiras a lidar com o desafio representado pelas ameaças man-in-the-browser: • Monitoramento da transação: O RSA® Transaction Monitoring examina as atividades realizadas após o log-in para detectar comportamentos fora do comum que possam indicar tentativas de fraude ou atividades de cavalo de Troia. Ele funciona com qualquer solução existente de autenticação sólida e pode ser implantado de modo a ficar totalmente invisível para o usuário final. Além disso, o RSA Transaction Monitoring oferece recursos avançados para identificar comportamentos de cavalos de Troia, como a capacidade de detectar sequestro manual de sessão, contas laranja e injeção de HTML. Figura 2: Registro do cavalo de Troia Gozi mostrando uma transferência automática de dinheiro com MITB
  • 6. PÁGINA 6 • Detecção de cavalos de Troia, Desligamento e Serviços de Inteligência: O serviço RSA® FraudAction™ Anti-Trojan trabalha para reduzir o impacto dos cavalos de Troia por meio de identificação e desligamento de pontos de infecção conhecidos, e bloqueio dos recursos que os cavalos de Troia usam para se comunicar (ou seja, servidores drop, servidores de Comando e Controle). Além disso, o serviço tenta extrair informações e credenciais roubadas das contas laranja que estão preparadas para receber transferências de dinheiro fraudulentas. • RSA eFraudNetwork: O RSA® Adaptive Authentication e o RSA Transaction Monitoring utilizam as informações sobre os padrões de fraude contidas no repositório de dados da RSA® eFraudNetwork™ . A eFraudNetwork recebe feeds de dados de fraudes fornecidos por uma vasta rede de clientes, usuários finais, ISPs e outros. Contribuições frequentes sobre a inteligência por trás de crimes cibernéticos também são fornecidas regularmente por analistas do Anti-Fraud Command Center da RSA. • Autenticação de banda externa: A RSA oferece autenticação telefônica de banda externa que permite que os usuários digitem uma senha de uso único no teclado de seu telefone. A autenticação de banda externa oferece uma potente defesa contra ameaças man-in-the-browser, pois ela separa o processo de autenticação do canal da Web, tornando mais difícil expor-se ao perigo. Monitoramento da transação Embora seja essencial proteger o log-in, os fraudadores desenvolveram uma tecnologia capaz de manipular transações após o log-in. A proteção da transação se refere à capacidade da organização de monitorar e identificar atividades suspeitas após o log-in – um recurso geralmente fornecido por uma solução de monitoramento de fraudes baseada em riscos. As transações, em geral, exigem exames mais minuciosos e apresentam mais riscos do que apenas o ato de fazer log-in em uma conta. Por exemplo, um usuário não autorizado pode conseguir acesso ao log-in de uma conta, mas o risco maior será depois que for tentada uma transação, como a transferência de dinheiro de uma conta. Uma solução de proteção de transação alertará as equipes de investigação de fraude ou questionará os usuários de forma apropriada nesses casos. O RSA Transaction Monitoring é acionado pelo mecanismo de autoaprendizagem RSA Risk Engine, que realiza nos bastidores a avaliação de riscos de todos os usuários. Ele pode trabalhar com qualquer solução existente de autenticação e pode ser totalmente invisível para o usuário final. Quando um usuário tenta uma transação, uma pontuação de risco exclusivo é atribuída a cada atividade. Quando a pontuação de risco ultrapassa determinado limite aceitável (definido pela organização implantadora) ou quando uma política organizacional é violada, é aberto um caso na ferramenta RSA Case Manager. O Case Manager permite o gerenciamento completo de casos e investigações, com foco apenas nas transações de risco mais alto. Em casos de risco extremo ou quando não houver tempo suficiente para analisar manualmente um caso, o usuário poderá ser questionado em tempo real com uma chamada telefônica de banda externa antes que a transação possa prosseguir. O RSA Transaction Monitoring também é capaz de detectar possíveis atividades de cavalos de Troia ao realizar análises comportamentais avançadas. Os padrões normais de comportamento de cada usuário individual são observados, e, quando ocorrer algum comportamento que se desvie desse padrão, provavelmente haverá um aumento da pontuação de risco desse usuário. A análise do comportamento do usuário, especialmente comportamento como atividades de pagamento iniciadas por um usuário final, é essencial no nível de transação. Isso é especialmente verdadeiro para um cavalo de Troia man-in-the-browser, pois ele aguarda que o usuário genuíno faça log-in antes de ser acionado. Durante a própria sessão, alguns padrões podem indicar comportamento fora do comum, como a atividade de acrescentar um novo beneficiário seguido de uma transação de pagamento imediata para esse beneficiário - uma atividade que não pode ser detectada no log-in. Além disso, o RSA Transaction Monitoring oferece recursos mais avançados de detecção de cavalos de Troia, como detecção de sequestro manual de sessão, análise de padrões de comportamento de cavalo de Troia, detecção de conta laranja e detecção de injeção de HTML.
  • 7. PÁGINA 7 O Transaction Monitoring também tem o suporte da RSA eFraudNetwork, um repositório de padrões de fraude de várias organizações compilados pela ampla rede de clientes da RSA, por ISPs e outros colaboradores do mundo inteiro. Quando uma atividade é identificada como sendo de alto risco, o perfil da transação, o endereço IP e as impressões digitais do dispositivo são movidos para um repositório de dados compartilhado. A eFraudNetwork envia diretamente feeds sobre dados de fraude para o sistema RSA Transaction Monitoring e é uma das muitas fontes usadas para atribuir a pontuação de risco. Isso inclui dados de contas de laranjas oferecidos pelo serviço RSA FraudAction Anti-Trojan. Detecção de cavalos de Troia, desligamento e inteligência O serviço RSA FraudAction Anti-Trojan, uma parte central do RSA FraudAction, está centrado em minimizar o impacto dos ataques de cavalos de Troia. O man-in-the-browser é uma das ameaças que a RSA tem se dedicado a analisar, e esse serviço de inteligência foi incorporado ao serviço RSA FraudAction Anti-Trojan. Detecção precoce, bloqueio e desligamento são essenciais para minimizar o impacto que um cavalo de Troia pode ter e reduzir a quantidade de danos que ele pode causar. Entretanto, desligar ou bloquear acesso aos pontos de infecção, pontos de atualização, drop sites e drop e-mails do cavalo de Troia é mais complicado do que parece. Além disso, os cavalos de Troia são uma ameaça mais complexa de enfrentar devido ao número sem precedente de variantes de malware que existem. Ao trabalhar com as mais importantes instituições financeiras do mundo e monitorar várias ameaças, a RSA criou relacionamentos contínuos com alguns dos principais ISPs e arquivos de registro do mundo. O RSA Anti-Fraud Command Center tira partido desses relacionamentos para iniciar o processo suspender-e-desistir (cease-and-desist) durante 24 horas por dia, 7 dias por semana. Os serviços e pontos fortes da RSA são realçados pelo RSA FraudAction Research Lab, uma equipe de pesquisadores de primeira linha dedicada à pesquisa contínua das tecnologias, ferramentas e táticas mais recentes que estão sendo utilizadas pelos criminosos cibernéticos. Esta equipe tem como objetivo enfrentar novas ameaças, como o man-in-the-browser, e criar ferramentas e processos que permitam o desligamento mais rápido possível. Recursos de banda externa Os métodos de comunicação OOB (Out-Of-Band, banda externa) são uma arma poderosa contra ameaças avançadas, pois eles contornam o canal de comunicação usado mais frequentemente pelos fraudadores – o canal on-line. Isso é especialmente verdadeiro no caso do man-in-the browser, quando um cavalo de Troia é instalado diretamente no navegador do usuário. Os métodos de comunicação de banda externa podem incluir correio postal comum, telefone ou mensagem de texto (também chamada de SMS, Short Message Service). O módulo RSA Adaptive Authentication Out-of-band Phone fornece aos usuários um passcode de uso único que aparece no navegador da Web. O sistema então pede ao usuário para selecionar um dos números de telefone previamente registrados durante o cadastro para receber a chamada telefônica e um telefonema automático é gerado. A chamada analisa detalhes da transação e pede ao usuário que digite, no teclado de seu aparelho telefônico, o passcode de uso único que é exibido no navegador. Depois de o número ser digitado no telefone e ser confirmado que é o número correto, a transação prosseguirá sem interrupção. Isto é apelidado de autenticação de banda externa “verdadeira” porque o passcode é na verdade digitado no telefone, em vez de ser digitado novamente no computador infectado do usuário (como normalmente ocorre quando recebemos um passcode via e-mail ou SMS).
  • 8. RSA, o logotipo da RSA, EMC2 , EMC e where information lives são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todas as outras marcas comerciais aqui utilizadas pertencem a seus respectivos proprietários. ©2011 EMC Corporation. Todos os direitos reservados. Publicado no Brasil. MITB WP 0611 Sobre a RSA A RSA é o principal fornecedor de soluções de segurança, risco e conformidade, ajudando no sucesso das maiores empresas do mundo ao resolver seus desafios de segurança mais complexos e confidenciais. Estes desafios incluem gerenciar o risco organizacional, proteger o acesso e a colaboração móveis, garantir a conformidade e proteger ambientes virtuais e de nuvem. Combinando controles essenciais aos negócios em garantia de identidade, prevenção contra perda de dados, criptografia e tokenization, proteção contra fraudes e SIEM com recursos eGRC líderes do setor, bem como serviços de consultoria, a RSA proporciona confiança e visibilidade para milhões de identidades de usuário, para as transações que eles realizam e os dados que são gerados. brazil.rsa.com Conclusão Os criminosos cibernéticos estão desenvolvendo constantemente suas ferramentas e táticas para contornar as defesas estabelecidas até mesmo pelas instituições financeiras mais preocupadas com segurança. As ameaças man-in-the-browser são uma das mais avançadas dirigidas a usuários e estão afetando instituições financeiras em todas as regiões do mundo atualmente. A proteção de log-in simplesmente não é suficiente para impedi-las. As instituições financeiras precisam combinar o uso de monitoramento de transações baseado em risco, detecção de cavalos de Troia, desligamento e serviços de inteligência, bem como recursos de banda externa de real segurança em camadas, para mitigar o impacto das ameaças man-in-the-browser.