Siga-me

Espaço do leitor

Por Alexandre Cagnoni, diretor de Tecnologia da BRToken

Ataques a contas bancárias não é notícia que cause espanto. Todos os dias algo no gênero é divulgado. Mas os valores nunca foram tão grandiosos: uma onda de ataques a bancos norte-americanos em transferências para a China causa prejuízos de US$ 11 milhões em apenas dois meses e acelera recomendações contra ataques cibernéticos. E a responsabilidade é creditada a Zeus, um trojan que, em 2010, somou prejuízo de US$ 1 milhão no Reino Unido para clientes que utilizavam tokens comuns.

Nos EUA, em cumplicidade com outros trojans, Zeus elevou esses valores a níveis estratosféricos – ou serão dignos do Olimpo? – causando o prejuízo milionário. Eis um mito sobre como o avanço da tecnologia possibilita o surgimento do minotauro da atualidade: trojans e criminosos cibernéticos.

Tudo começou em 30 de dezembro de 2010; quando parcela significativa da população mundial se preparava para o Reveillon. Enquanto pernis eram temperados e malas, preparadas, alguém do norte-americano National Credit Union Administration (NCUA) cometeu um equívoco oficialmente confirmado apenas agora: publicou versão não aprovada de recomendações para aprimorar a segurança nas transações eletrônicas para instituições financeiras em elaboração pelo Federal Financial Institutions Examination Council (FFIEC) como resposta aos ataques surgidos nos últimos anos. Em meio a festividades, rojões e espumantes, alguns mantiveram-se fiéis à internet, promovendo cerca de 1.100 downloads durante os quatro ou cinco dias que demoraram para a falha ser notada e o documento voltar para o local de onde não deveria ter saído.

Apesar do volume de downloads, poucas empresas tiveram acesso ao documento, mas foi o suficiente para gerar burburinho no mercado, tanto para fornecedores na área de segurança eletrônica, como para os bancos norte-americanos.

O objetivo do documento, resumidamente, é o de atualizar a versão vigente (de 2005), Recomenda, dependendo dos riscos da operação, o uso de dispositivos de autenticação forte nas transações em Internet Banking. Apesar de ainda não aprovado, orienta as instituições na forma de tratar e de responder aos ataques cibernéticos, incluindo man-in-the-middle (MiM) e man-in-the-browser (MiB), q ue têm crescido assustadoramente nos últimos anos. Esses crimes controlam a sessão do usuário, adulteram os valores da transação, incluindo a conta destino e o valor da transação, e são facilitados pelo uso de tokens de senhas dinâmicas, pois usam a própria senha do token que o usuário digita para confirmar a transação.

Coincidência ou não, quatro meses após esse pequeno escândalo, em 26 de abril, o FBI, em conjunto com o FS-ISAC e o IC3, publica documento informando a ocorrência, durante março e abril, de uma onda de tentativas e de transferências de valores a partir de contas de Pessoa Jurídica dos EUA para outras na China. Variando de US$ 50 mil a US$ 985 mil, as tentativas atingiram montante de US$ 20 milhões, com os US$ 11 milhões citados sendo transferidos com sucesso.

A dedução natural é a de que os fraudadores, pressentindo que os bancos começariam a investir fortemente contra esse tipo de crimes, resolveram aproveitar o momento e disparar ataques massivos. Especula-se, inclusive que, com a morte de Osama Bin Laden, novas invasões sejam geradas, minando os bancos norte-americanos e municiando grupos ligados à Al-Qaeda.

Tudo leva a crer que será acelerada a publicação do documento do FFIEC, com ganhos para todos, com especialistas e fornecedores sendo envolvidos em ampla discussão para fortalecimento do processo de maturação da segurança para transações financeiras. Expõe, também, a facilidade na concretização de transferências internacionais em países como os EUA, um complicador: repatriar o dinheiro é muito mais complexo.

Enquanto não acontece a publicação das recomendações do FFIEC, alguns bancos norte-americanos antecipam-se e ampliam os investimentos em tecnologia para tentar conter e prevenir novos ataques. E terão de agir rápido, muito rápido.

Fica, contudo, um alerta, pois casos como esses são – e serão - facilmente replicados no mundo todo: a importância de ferramentas para tentar detectar e conter as fraudes e, principalmente, garantir a integridade dos valores das transações que estão sendo efetuadas.