2020/12/17

Atacantes recorrem a emuladores Android para roubar milhões de euros de serviços bancários

Atacantes recorrem a milhares de dispositivos Android emulados para ultrapassar sistemas de segurança e limpar milhões de euros de contas bancárias.

Investigadores da IBM detectaram uma campanha de ataque bastante sofisticada, que recorreu a algumas dezenas de emuladores para simularem mais de 16 mil smartphones pertencentes às vítimas, e realizarem operações bancárias em seu nome. Num dos casos, foram detectados mais de 8100 supostos smartphones que na realidade eram originários de um só emulador.

Estes emuladores permitem aos atacantes replicarem os smartphones das vítimas, incluindo não só o tipo de hardware (marca, modelo, tipo de CPU, RAM, etc.) como também localizações GPS falsas, por forma a ludibriarem os sistemas de segurança dos serviços bancários, que habitualmente poderiam bloquear o acesso no caso de se tratar de um acesso a partir de um novo equipamento numa localização desconhecida.

Estes ataques estão dependentes dos atacantes já terem conseguido aceder aos smarthones das vítimas para extraírem informação sobre os equipamentos, assim como o de lhes dar acesso aos SMS no caso das operações validadas com sistemas 2-factor.

Os processos de ataques estavam automatizados, permitindo desencadear estas operações com eficiência, e permitiram roubar milhões de euros de contas bancárias numa questão de poucos dias.

Os investigadores aproveitaram também a oportunidade para relembrar que os SMS já não podem / devem ser aceites como método de autenticação 2FA seguro (algo que já tem sido dito há anos!) e que os serviços bancários deveriam utilizar métodos verdadeiramente seguros.

8 comentários:

  1. Fui só eu que descobri como é que a NOS fez o logo? 😀

    ResponderEliminar
  2. Impressionante.

    Isto passou-se onde Carlos? Na Europa ou nos Estados Unidos?

    ResponderEliminar
  3. "os serviços bancários deveriam utilizar métodos verdadeiramente seguros"

    Sim, CGD, estamos a falar de ti!

    ResponderEliminar
  4. O único verdadeiramente seguro que conheço é o SQRL (https://www.grc.com/sqrl/sqrl.htm), e ainda assim teria de ser usado num dispositivo dedicado. Mesmo assim os web sites teriam de utilizar a funcionalidade "ASK" que basicamente envia a pergunta e as duas possíveis repostas para o utilizador, que depois recorrendo ao tal aparelho dedicado com o SQRL poderiam ler a pergunta e dar uma resposta ou simplesmente cancelar como se não tivessem recebido nada. Aqui realmente nenhum atacante conseguiria ultrapassar a segurança sem enganar o utilizador com alguma engenharia social (tipo: que aquilo é um teste, e desculpas similares, já usadas com sucesso para outros ataques, ou tentar bloquear o dispositivo ou web site de alguma forma até que a pessoa autorize a transação... enfim a imaginação é o limite).

    ResponderEliminar
  5. Já seria tempo de um sistema de partilha aqui no aadm para outras plataformas que não o Facebook; notícias com esta interessaria a muita gente noutras plataformas (desculpem, mas não gosto do FB).
    Não só dava visibilidade ao blog, como seria uma serviço útil a prestar a amigos e conhecidos.

    Aproveito para dizer que a minha mulher tem recebido de forma consecutiva SMS a dizer que deve uma quantia a um banco. Siga um link para regularizar a sua situação. Isso enquadra-se em que tempo de 'campanha' de roubo de dados?

    ResponderEliminar
    Respostas
    1. "tipo de campanha". Imagino que seja muito perigoso responder ou seguir esses links!

      Eliminar
    2. Tens no final de cada artigo um widget de partilha genérico para múltiplas plataformas. Infelizmente o destaque dado ao FB continua a ser um "mal necessário", já que é o mais usado.

      Eliminar