Total de visualizações de página

sexta-feira, 10 de julho de 2020

Hackers da Coreia do Norte estão atacando lojas on-line para roubar dados de pagamento, diz empresa

= =---____------- ===  ------                                    --________::_____   _____= =..= = =..= =..= = =____   _____::________--------- ====  --                                ---------____---= =


Grupo é notório pelo interesse em ganho financeiro. Ações foram associadas a atividades mapeadas por outros especialistas.  
= =---____------- ===  ----                                            -----________::_____   _____= =..= = =..= =..= = =____   _____::________                       --------- ====  -----------____---= =
Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
10/07/2020 09h00 Atualizado há 5 horas
Postado em 10 de julho de 2020 às 14h00m

  * Post.N. -\- 3.789 *  
 Criminosos modificam páginas de pagamentos para capturar informações digitais por clientes de lojas on-line. — Foto: Alfred Muller/PixabayCriminosos modificam páginas de pagamentos para capturar informações digitais por clientes de lojas on-line. — Foto: Alfred Muller/Pixabay

A empresa de segurança Sansec identificou diversos elos entre os ataques que desviam dados de cartões de crédito no processo de pagamento em lojas on-line, que são monitorados pela companhia, e operações que outros especialistas atribuíram a hackers norte-coreanos.

A fraude nas lojas, conhecida como "web skimming" ou "javascript skimming", é realizada com a adulteração da página de pagamentos de lojas on-line. Quando modificada, a página passa a capturar os dados do consumidor e enviá-los a outro site que pertence aos criminosos.
A compra ainda ocorre na página oficial, sem sofrer qualquer interferência, mas os dados estarão na mão de criminosos.

O golpe também é conhecido pelo nome de "Magecart", em alusão ao próprio código responsável por extraviar a informação, e possivelmente ao software de e-commece Magento, que é frequentemente atacado nessas fraudes. Segundo especialistas, vários grupos de hackers distintos estariam envolvidos na atividade criminosa.
A Sansec diz que encontra de 30 a 100 lojas infectadas com esse código por dia. Só uma parcela desses ataques seria de responsabilidade dos hackers norte-coreanos.

O elo foi estabelecido com base nos endereços web usados para abrigar as ferramentas de ataque e dados roubados da operação criminosa. Alguns desses endereços são os mesmos que já foram atribuídos a operações de um grupo de hackers conhecido como Lazarus ou "Hidden Cobra".

O Lazarus é conhecido por atacar o sistema bancário no mundo todo, além de realizar fraudes com criptomoedas e espionar alvos sul-coreanos. Especialistas consideram que o grupo seja patrocinado pelo governo norte-coreano e tenha a finalidade de obter recursos para o regime.

Segundo a Sansec, os hackers norte-coreanos podem ter começado a utilizar a técnica em maio de 2019.

Isso significa que os norte-coreanos não estavam envolvidos nas primeiras fraudes desse tipo, que começaram em 2017 e se intensificaram em 2018 com a adulteração de sites como o da fabricante de celulares OnePlus e da companhia aérea British Airways. A consultoria Gemini Advisory informou que um grupo conhecido como Keeper, que atua com ataques de Magecart desde 2017, já adulterou pelo menos 570 lojas.

Elo de infraestrutura

O rastreamento de ataques cibernéticos raramente é uma ciência exata. Especialistas procuram indícios em arquivos para determinar o horário de atividade dos invasores e a configuração do sistema usado, mas esses detalhes podem ser forjados para criar uma operação de "bandeira falsa", em que um país tenta incriminar outro.

Por essa razão, especialistas procuram associar a infraestrutura das ações. Quando um grupo de hackers realiza uma invasão mais simples de ser atribuída – pelos detalhes técnicos nos arquivos ou pelas características do alvo -, outros ataques que utilizam a mesma infraestrutura digital podem ser mapeados e relacionados.

Esse foi o caminho usado pela Sansec. A empresa descobriu que ações contra certas lojas usaram as mesmas infraestruturas de ataque expostas em relatórios das empresas de segurança Rewterz, EST Security, Fortinet e Netlab360. Cada uma dessas empresas detalhou ataques diferentes, mas todas apontaram semelhanças técnicas com ações anteriormente atribuídas ao Lazarus.

Grupo tentou desviar US$ 1 bilhão e criou o WannaCry

Hackers patrocinados por governos normalmente têm interesses políticos e, por isso, focam em espionagem. O Lazarus, da Coreia do Norte, é conhecido por seu interesse financeiro, semelhante a gangues criminosas comuns.

O governo dos Estados Unidos, que se refere ao grupo pelo nome de "Hidden Cobra", alertou que esses invasores realizaram saques em pelo menos 30 países depois de conseguirem acesso a sistemas responsáveis por intermediar a comunicação entre os caixas eletrônicos e o banco, dispensando a verificação de saldo.


Em 2016, o grupo teria sido o responsável por uma tentativa de desviar US$ 1 bilhão de uma conta mantida pelo Banco Central de Bangladesh no Federal Reserve em Nova York. A movimentação aconteceria em 35 transferências, mas ao menos 30 delas foram bloqueadas após um erro de digitação levantar suspeitas nos operadores em Nova York e no Deutsche Bank, que atuava como intermediário.
Mesmo assim, os invasores conseguiram transferir US$ 81 milhões a um banco nas Filipinas, onde o montante foi sacado antes da conta ser congelada.

O Departamento de Justiça dos Estados Unidos, por meio do FBI, acusou o programador norte-coreano Park Jin Hyok de envolvimento no roubo. O mesmo programador, segundo a autoridade policial americana, teria sido responsável pelo vírus de resgate WannaCry.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

Nenhum comentário:

Postar um comentário