Recentemente, duas reportagens do G1 trouxeram um a boa visão de como é o mercado de trabalho em segurança - o lado bom (salário alto) e o ruim (burnout). Nas palavras deles, a nossa área é considerada a que tem o maior déficit de talentos no mundo dentro da tecnologia da informação (TI) e uma das mais bem pagas - com altos salários e crescimento acelerado na carreira.
A área de cibersegurança explodiu nos últimos anos - fruto da grande digitalização das empresas, e da sociedade como um todo, e do crescimento do cibercrime (desde fraudes contra pessoas até mesmo os ransomwares que assolam grandes organizações globais). Qualquer empresa, de qualquer setor, tem a necessidade de possuir profissionais de cibersegurança - dependendo da área de atuação e do risco, essa necessidade pode ser maior ou menor. Os segmentos que lideram as contratações em Segurança são o mercado financeiro; telecomunicações; e-commerce (varejo) e o mercado de saúde / farmacêutico.
Mas o crescimento da área não foi acompanhada pelo aumento de profissionais, e a cada ano essa demanda cresce e o problema fica mais crítico. Segundo levantamento do Google for Startups citado pela reportagem do G1, a área apresenta o maior déficit global de talentos. Há anos a ISC2 aponta para essa falta de profissionais em seus estudos sobre o mercado de segurança.
Em poucas palavras: há mais vagas do que profissionais disponíveis para preenchê-las. Eu chamo isso de "taxa de desemprego zero".
O trabalho em segurança da informação e cibersegurança é bem especializado, o que torna a quantidade de profissionais disponíveis mais escassa e dificulta a entrada de novos profissionais. Com isso, existe uma dificuldade muito grande em encontrar e reter talentos, e a rotatividade de quem já trabalha no setor é alta. A alta nos salários acompanha essa crise de talentos.
A reportagem do G1 aponta quais as principais faixas salariais dos profissionais de segurança, que são valores bem realistas (mas é uma média - tem muita gente que ganha abaixo e um punhado que ganha muito acima desses valores):
Analista de segurança da informação júnior: entre R$ 4 mil e R$ 8 mil por mês
Analista de Governança, risco e compliance (GRC): entre R$ 11.850 e R$ 18.150
Especialista de Governança, risco e compliance (GRC): entre R$ 17.750 e R$ 22.600
Pentester: entre R$ 13.400 e R$ 18.400
Analista de DevSecOps: entre R$ 14.650 e R$ 24.500
Coordenador de cibersegurança: entre R$ 17.350 e R$ 23.750
Gerente de cibersegurança: entre R$ 23.100 e R$ 38.700
A reportagem não cita isso, mas o salário de um CISO pode chegar e facilmente ultrapassar a casa dos R$ 50 mil mensais.
Mas nem tudo são flores, num momento que falamos muito sobre stress e burnout dos profissionais de segurança.
A reportagem do G1, publicada em 18/08, denuncia o stress e burnout presente no dia-a-dia dos profissionais de segurança. A reportagem aponta quais seriam os principais motivadores para esse cenário de alta pressão sofrido pelos profissionais da área:
prazos extremamente curtos para projetos;
acúmulo de demandas e funções;
responsabilidade extrema em garantir a segurança de empresas e dados sensíveis protegidos;
promoção informal de trabalhadores iniciantes a cargos seniores;
lideranças tóxicas.
Além disso, como a área é bem pequena, muitos profissionais têm medo de expor seus problemas uma vez que a saúde mental é um assunto considerado tabu, e pouco discutido. Os gestores também sofrem muita pressão e não estão livres do burnout. Segundo um estudo do Gartner citado pelo G1, até 2025 espera-se que 25% dos líderes de cibersegurança irão mudar de emprego devido ao estresse no local de trabalho.
Diversos estudos e estatísticas mostram que o trabalho está estressante e o burnout ronda os profissionais de segurança. Segundo um estudo da ISSA, os profissionais da área consideram que o trabalho está ficando mais difícil e desafiador com o passar do tempo.
A falta de profissionais acaba ajudando a piorar a situação de todos. Os funcionários existentes ficam sobrecarregados, pois seus times acabam sendo menores do que deveriam pela dificuldade de contratar novos recursos ou repor a saída de um colega. Como destaca a reportagem do G1, a escassez de talentos tem estimulado empresas a promover ou contratar trabalhadores menos qualificados para cargos maiores mesmo sem a experiência necessária para um cargo alto. Apesar disso provocar um rápido crescimento na carreira e no salário, o profissional passa a ser cobrado por entregas além de sua capacidade, sem prazos e recursos necessários, o que aumenta seu stress.
Esse é um um filme-manifesto pelo aumento da presença feminina no universo da tecnologia, e seu impacto no desenvolvimento social, econômico e cultural. O filme busca inspirar e criar um cenário favorável para meninas e mulheres de todo o Brasil, incentivando a chegada de novos talentos femininos no setor de tecnologia. Ele traz vários depoimentos de mulheres que trabalham com tecnologia.
Olha que interessante a frase que estão usando para promover o filme: "Tecnologia é substantivo feminino".
O filme foi lançado em março deste ano, com algumas exibições pontuais.. Agora, ele chega ao grande público graças a plataforma de streaming.
Atualmente as mulheres ocupam menos de 40% das posições no setor de tecnologia, de acordo com uma pesquisa da Brasscom. Portanto, ainda temos muito o que melhorar. É preciso conquistar espaços de respeito, já que o mercado de tecnologia ainda é predominantemente machista, além de promover a igualdade de oportunidades, equalizando salários e dando às mulheres oportunidade de acesso a posições de liderança.
Em um artigo recente em seu blog corporativo, a Checkpoint descreveu (superficialmente) o que ela chamou de....
Web DDoS Tsunami Attack
Segundo o artigo, houve um aumento "massivo" de ataques DDoS no primeiro semestre de 2023, principalmente nos ataques DDoS em Web. "Um ataque Web DDoS Tsunami é um tipo de ataque de DDoS de Flood de HTTP que "é mais sofisticado, agressivo e difícil de detectar e mitigar", nas palavras da Checkpoint.
O artigo limita-se a dizer, na prática (isto é, tirando o blá blá blá), que esses ataques exploram a camada de aplicação (camada 7) via os protocolos HTTP e HTTPS para enviar uma quantidade grande de requisições e sobrecarregar os servidores. As ferramentas utilizadas possuem recursos de evasão como o uso de IPs dinâmicos e randomização dos cabeçalhos (headers). Juntando esse artigo com um outro PDF deles, esse ataque teria as seguintes características:
Ataque na camada de aplicação (camada 7) via os protocolos HTTP e HTTPS
Alto número de requisições por segundo (RPS) ("vários milhões de RPS")
Várias ondas de ataques, que duram várias horas e se extendem por dias;
As requisições são randomizadas: métodos, cabeçalhos (headers) e cookies HTTP;
O Brasil registrou 603 mil tentativas de ataques de ransomware no decorrer dos últimos 12 meses, o que coloca o país na liderança com folga entre os mais atacados na América Latina e na quarta posição do ranking global, segundo o último relatório da Kaspersky. Os dados, compilados a partir das tentativas de ataques bloqueadas pelo sistema de telemetria da Kaspersky, mostram que o país respondeu por aproximadamente 52% das 1.152.784 tentativas de ataques de ransomware na região. Atrás do Brasil, aparecem o Equador (212 mil tentativas de ataques), México (102 mil), Colômbia (80 mil) e Chile (46 mil).
A Check Point Research (CPR) divulga o Relatório de Cibersegurança referente ao primeiro semestre de 2023, segundo o qual as atividades criminosas continuaram a aumentar no primeiro semestre do ano, com um crescimento de 8%. No primeiro semestre de 2023, 48 grupos de ransomware violaram mais de 2.200 vítimas no mundo, sendo o Lockbit3 o mais ativo. Grupos veteranos como Lockbit, Alphv e Cl0p juntaram-se a grupos mais novos como Royal, Play, BianLian e BlackBasta. O Brasil desponta na oitava posição com 2% das vítimas de ransomware, com o registro de 1.595 ataques de ransomware no período.
Ou seja, segundo a Kaspersky, o Brasil sofreu 603 mil ataques de ransomware nos últimos 12 meses, uma média de 50.250 ataques por mês. Já a Checkpoint tem um número absurdamente mais baixo: 1.600 ataques no primeiro semestre desse ano - uma média de 266 ataques por mês. Uma diferença de 188 vezes!!!
Isso escancara uma realidade que eu sempre tive certo para mim, mas nem sempre tive facilidade de compartilhar: as estatísticas não são confiáveis e sempre devem ser analisadas com cuidado.
E porque essa discrepância? Consigo imaginar vários motivos...
Antes de mais nada, todo fabricante tem interesse em divulgar estatísticas para manter o mercado assustado - e as vendas aquecidas. Ou seja, por trás da estatística, há um interesse além da notícia. Note que, mesmo quando a estatística aponta para um dado desfavorável, eles tentam minimizar isso ou dar destaque para o lado ruim. Veja, por exemplo, essa frase na reportagem da CISO Advisor: "Já quanto considerados malwares em geral, aí incluídos ransomware, a queda pode ser considerada marginal." Ou seja, a frase poderia ser reescrita como "Ignore o fato de que nossa estatística mostra uma queda na quantidade de ataques";
As vezes as estatísticas mostram um recorte do cenário, e não necessariamente o todo. Há um parábola muito comum para ilustrar isso: imagina que você coloca uma mão no forno e outra no congelador, na média você está bem. Por isso, é muito importante avaliar como foi realizada a pesquisa para entender o que ela realmente está representando. O principal aspecto a considerar: qual foi a amostragem utilizada? Essa amostragem realmente representa o mercado que você quer avaliar?
É muito comum, no nosso mercado, ver estatísticas distorcidas pelo simples fato de que as empresas consideram dados de seus próprios clientes, ou de sua região geográfica. Ou seja, se a empresa não tem participação muito forte em um determinado país, a sua visibilidade sobre ele vai ser baixa. Óbvio, mas isso é ignorado na maioria dos casos;
Isso acontece com muita frequência em estudos realizados por empresas americanas que usam os dados de seu próprio país e divulgam como se representassem o cenário mundial;
No Brasil, é comum ver estatísticas distorcidas se a empresa não tem presença local. Ainda mais no cenário de cibersegurança, pois muito das atividades maliciosas são realizadas por atores locais, contra vítimas brasileiras. Esses casos não são visíveis por empresas de fora;
Nesses casos acima, a Ka
Cuidado com as visões limitadas ao próprio umbigo. Quando um fabricante lança uma estatística baseado em seus clientes, na "telemetria de suas soluções", por exemplo, significa que ele tem uma visão limitada a apenas seus clientes, o que pode não representar uma amostragem confiável para aquele estudo. Isso vai ser impactado pela presença, ou não, daquele fabricante no mercado e da representatividade dele no cenário total;
Vale sempre refletir: Será que os dados parecem factíveis? Por exemplo, será que a economia brasileira não teria sido impactada se tivéssemos 50 mil ataques de ransomware por mês? Se isso fosse verdade, provavelmente você conheceria algum comércio próximo que já foi atacado. Seriam tantas notícias sobre o caso que teria uma edição do jornal só sobre isso. Por exemplo, segundo a Kaspersky tivemos cerca de 300 mil ataques de ransomware no primeiro semestre. Em contrapartida, nesse período 400 mil empresas fecharam no país, fruto dos problemas econômicos e da própria dinâmica de mercado. Por isso, vale a pena refletir se a estatística aparenta refletir a realidade que ela tenta mostrar.
Nesse caso específico, essa grande discrepância entre as estatísticas da Kaspersky e CheckPoint pode se justificar se considerarmos algumas variáveis:
Por ser uma empresa de antivírus, a Kaspersky tem grande penetração nas empresas e nos usuários finais, o mercado de varejo. A Checkpoint, por outro lado, por ser focada no mercado corporativo, tem uma participação muito menor - e, portanto, uma visibilidade menor, em termo de quantidade de clientes. Se a Kaspersky considerou os usuários finais em suas estatísticas, é natural que eles tenham algumas centenas de milhares de clientes e tenham visibilidade sobre uma quantidade de ataques muito maior do que a Checkpoint. Essa diferença entre as empresas, por si só, poderia justificar a discrepância nas estatísticas;
É altamente possível que a Kaspersky esteja considerando ataques de ransomware a empresas e usuários finais. Apesar dos ataques às empresas atraírem mais a atenção da imprensa, os ataques à usuários finais, criptografando computadores pessoais, tem uma escala (quantidade) muito maior;
Também é possível que a estatística da Kaspersky trate de tentativas de ataques identificados pelas suas ferramentas, independente de terem sucesso ou não. Certamente a quantidade de tentativas de ataques é enorme, inchando a estatística.
Ou seja, possivelmente a CheckPoint considerou os ataques de ransomwares a empresas, enquanto a Kaspersky contabilizou as tentativas de ataques (com ou sem sucesso) à empresas e usuários finais.
Na prática, o que acontece é que o mercado de segurança é sedento por estatísticas e cases que mostrem um cenário caótico, para ajudar a promover o discurso de FUD (sigla em inglês para Fear, Uncertainty and Doubt). Essa é uma arma utilizada pelas empresas do setor para alavancar seu discurso e promover as vendas. Quanto mais assustador for a estatística, mais ela será aceita e compartilhada pelo mercado.
A Andrea Thomé, líder e fundadora do capítulo brasileiro da Womcy (LATAM Women in Cybersecurity), recentemente anunciou a Ana Cerqueira como sua sucessora. Na liderança do capítulo local da Womcy desde setembro de 2019, a Andrea construiu um baita legado, um grande projeto que tem apoiado as mulheres a entrarem (e permanecerem!) no mercado de segurança.
A Ana vai assumir uma comunidade muito ativa e unida, apaixonada pela sua missão, e que está sempre presente em eventos. A Andréa continua na Womcy, no papel de Head do Conselho no Brasil.
Recentemente os cibercriminosos criaram três novas táticas para ampliar a pressão sobre as vítimas de ransomware e forçá-las a ceder a extorsão:
Expor os dados da vítima em um site público na Internet, na "surface web". Até então, era comum que o anúncio das vítimas de ransomware e a exposição de seus dados fossem realizados em sites na Deep Web. Entretanto, recentemente o grupo Cl0p começou a vazar os dados das vítimas em sites comuns, na própria internet, acessível por qualquer pessoa. Isso amplifica a exposição da vítima e facilita o acesso aos dados vazados por terceiros;
Vazamento de dados via Torrent: Outra técnica adotada pelo grupo Cl0p para facilitar, em muito, o acesso aos dados roubados de suas vítimas;
Oferecer acesso aos dados vazados via API. A gangue de ransomware BlackCat/ALPHV começou a usar essa artimanha para aumentar a pressão sobre as vítimas de seus ataques. Eles começaram a oferecer o acesso aos dados roubados via API, disponível em seu site de vazamento. Isso acaba dando maior visibilidade aos ataques.
Essas duas táticas se somam ao arsenal dos criminosos que, segundo meu acompanhamento aqui no blog, já chegam a 13 táticas diferentes:
O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
Realizar ataques de DDoS contra a empresa;
Call centers que ligam para a empresa atacada pelo ransomware;
Outro fato curioso é que há pouco tempo atrás foi divulgado que o Exmatter, um conhecido malware de exfiltração de dados usado pelo grupo de ransomware BlackMatter, começou a usar uma nova tática, o que pode significar uma mudança no modus operandi nos ataques de ransomware. O malware foi atualizado com a funcionalidade de corrupção de dados, em vez do uso de criptografia: os arquivos recebem um segmento de tamanho aleatório, corrompendo-o.
Atingi a marca de 120 artigos em rascunho aqui no Blog, desde 2011 e resolvi fazer uma pequena limpeza - e consegui diminuir para "apenas" 100. Sim, tenho alguns rascunhos de artigos desde 2011 (1 artigo), 2014 (2), 2015 (1) e 7 artigos que comecei a escrever em 2016. Pretendo um dia finalizá-los e publicar aqui.
O Nic.br possui, em seu canal no YouTube, uma playlist de vídeos curtos com dicas e orientações de segurança para o público em geral. Batizados de Cidadão na Rede, a maioria desses 96 vídeos tem apenas 16 segundos de duração. Eles são uma ótima ferramenta para ajudar na conscientização dos usuários.
Ciber segurança é destaque no Fórum Econômico Mundial (acabei de descobrir que tinha rascunhado posts sobre esse assunto nos últimos 3 anos!!!):
Esse artigo abaixo é bem legal, conta a história e a atração pelos crachás da Defcon. O que eu mais gostei é que, por uma feliz coincidência, o primeiro crachá eletrônico da Defcon foi lançado na Defcon 14, em 2006 - o primeiro ano que eu fui no evento! <3
No finalzinho de 2020, o pessoal da Eskive e da Flipside divulgou os resultados de sua 5ª Pesquisa Nacional sobre Conscientização em Segurança da Informação, que mapeia as iniciativas e estratégias de conscientização de usuários em segurança no mercado nacional. A equipe da Eskive destaca que, para a construção de um programa de conscientização eficaz, é necessário o apoio da alta direção, além de uma visão de longo prazo, uma equipe dedicada e orçamento. Os resultados foram apresentados em um Webinar, veja o vídeo abaixo:
Bons hackers são bons cidadãos? Nessa palestra no TED, a Catherine Bracy, cofundadora da TechEquity Collaborative e ex-ativista no governo Barack Obama, traz uma nova noção para o conceito de hacking, o hacking cívico, confiante de que os hackers e desenvolvedores podem provocar uma mudança social para melhor. Ela apresentou alguns exemplos de como hackers puderam contribuir com a comunidade em Honolulu, Oakland e Cidade do México.
"Hackear é, na verdade, apenas qualquer inovação amadora em um sistema já existente, e é uma atividade profundamente democrática. Trata-se de pensamento crítico. Trata-se de questionar modos existentes de se fazer as coisas. É a ideia de que se você vê um problema, você trabalha para resolvê-lo, e não fica apenas reclamando sobre ele."
Desde o final do ano passado (principalmente entre novembro e dezembro), os bancos brasileiros começaram a identificar uma nova onda de malwares bancários atuando ativamente no Brasil, especializados em fraudar transações via PIX, o meio de pagamento instantâneo tão popular entre os brasileiros. Segundo a Febraban, o Pix encerrou 2022 com mais de 24 bilhões de transações, média de 66 milhões de operações diárias, consolidando-se como meio de pagamento mais popular do Brasil. As transações do Pix superam as de cartão de débito, boleto, TED, DOC e cheques no Brasil, as quais, juntas, totalizaram 20,9 bilhões.
Essa popularidade também se aplica aos cibercriminosos: o PIX é a melhor forma de roubar rapidamente todos os fundos de uma conta que foi invadida. Os criminosos costumam enviar o dinheiro para uma (ou mais) contas laranja e distribuir entre várias outras, para impossibilitar o rastreio e a recuperação do dinheiro. Segundo o Banco Central, foram registrados mais de 739.145 crimes envolvendo o PIX entre janeiro e junho de 2022, alta de 2.818% em comparação ao mesmo período de 2021.
As redes sociais possuem diversos relatos de brasileiros afirmando que, ao realizarem transferências bancárias, são surpreendidos no final da transação pois o montante transferido foi direcionado para a conta de outra pessoa.
OBS: Embora esses malwares ataquem diversas instituições financeiras, é incrível ver como a imprensa e as redes sociais dão grande destaque quando a vítima é cliente do Nubank!!!!
Hoje, existem pelo menos seis famílias de malware que visam usuários do PIX:
PixStealer e MalRhino
BrazKing
PixPirate
BrasDex
GoatRAT
PixBankBot
Isso sem falar os malwares de acesso remoto (RAT) para celulares, que permitem ao criminoso tomar controle total do aparelho e, inclusive, acessar os apps bancários da vítima. Esses RATs já existem há alguns anos e foram popularizados pela Kaspersky com o nome de "Golpe da Mão Fantasma". Desde 2020 a Kaspersky lançou relatórios sobre os m
Os primeiros dois malwares comprometendo transações Pix a ser identificado por empresas de segurança foram o PixStealer e sua variante MalRhino em setembro de 2021, reportados pela Checkpoint. O PixPirate e o BrasDex foram descobertos no final de 2022 pela Cleafy e pela Threat Fabric, respectivamente. O PixBankBot foi reportado pela Cyble no final de Maio de 2023.
Além do diagrama acima, que tirei do report da Cyble, também preparei uma linha do tempo com os principais malwares direcionados a manipular transações financeiras com o PIX:
Setembro / 2021 - A Checkpoint descobre o PixStealer e o MalRhino
Novembro / 2021 - IBM Trusteer anuncia uma nova versão do BrazKing
Dezembro / 2022 - PixPirate descoberto pela Cleafy
Dezembro / 2022 - BrasDex descoberto pela Threat Fabric
Março / 2023 - Cyble publica relatório sobre o GoatRAT
Maio / 2023 - Cyble anuncia a descoberta do PixBankBot
Esses códigos maliciosos foram desenvolvidos especificamente para atacar transações via Pix realizada em aplicativos bancários em celulares Android. Eles conseguem desviar dinheiro da conta da vítima após interagir com o aplicativo bancário de forma a manipular as transações realizadas no próprio celular da vítima.
Normalmente esses malwares tem como alvo diversas instituições financeiras no Brasil, nas quais conseguem efetuar fraudes alterando os parâmetros de transação quando o cliente tenta realizar transferências e pagamentos via PIX. Os malwares são direcionados para usuários Android e utilizam o recurso de acessibilidade do Android para interceptar a comunicação do app com o usuário, e assim capturar as informações digitadas pelo usuário, sobrepor telas e interagir diretamente com o app bancário.
Os malwares direcionados ao PIX utilizam duas técnicas distintas:
Acesso Remoto (RAT): O malware permite acesso remoto ao celular da vítima, e assim, o criminoso consegue acessar qualquer coisa - em especial, os apps bancários. Esse tipo de trojan exige que o criminoso esteja online no momento em que a vítima acessa seu app bancário, pois neste caso o trojan sobrepõe uma tela falsa no celular (técnica chamada de "overlay") , enquanto o criminoso acessa seu aplicativo bancário e realiza as transações;
Automated System Transfer (ATS) para automatizar o processo de ataque e injeção de comandos necessários para realizar as transferências fraudulentas., como no caso do PixPirate e BrasDex. Neste caso, os malwares são adaptados para aplicativos bancários específicos. Eles identificam o momento em que o usuário se loga no app, e ao tentar fazer uma transação via Pix, o trojan coloca uma tela fake no celular (uma mensagem de espera, por exemplo), e por trás o trojan retorna para a tela anterior e faz uma nova transação, desta vez mandando todo o dinheiro da vítima para uma conta laranja. O trojan tira a tela fake e o app volta para a tela de confirmação, e o usuário acaba digitando sua senha para confirmar a transação fraudulenta, e não a original.
A infecção normalmente acontece graças a engenharia social, com o fraudador entrando em contato com a vítima (por phishing ou diretamente) e convencendo-a a instalar um aplicativo malicioso em seu celular. No caso mais comum, o fraudador se identifica como um funcionário do banco, fala para a vítima que ela sofreu uma tentativa de fraude em sua conta (para assustar a vítima) e pede que ela instale um aplicativo, com a desculpa de que seria um módulo de segurança ou uma nova versão do app. Esse aplicativo na verdade é o trojan bancário.
"Nada mais é do que o golpe do Acesso Remoto, que ficou conhecido popularmente como o golpe da Mão Fantasma. O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou ainda manda e-mails, links e mensagens em aplicativos. Usa várias abordagens para enganar o cliente: informa que a conta foi invadida, clonada, que há movimentações suspeitas, entre outras artimanhas."
Esses vírus esperam a vítima fazer o login em seu aplicativo bancário para iniciar sua operação, que inclui capturar a informação sobre saldo disponível na tela inicial e, posteriormente, sobrepor telas falsas para distrair a vítima enquanto executam os passos necessários para realizar as transações que irão transferir todo o dinheiro da vítima para contas de laranja. Isso é possível pois, graças ao serviço de acessibilidade do Android, os malwares são capazes de reconhecer os elementos da tela e os dados digitados pelo usuário. Em seguida, eles interceptam a interação da vítima com o aplicativo bancário e identificam quando ela tenta solicitar uma transferência via PIX. Neste momento, o malware irá sobrepor uma tela enquanto realiza os passos necessários para fazer uma transação para contas de terceiros.
Veja alguns detalhes sobre eles:
O PixStealer, descoberto pela Checkpoint em setembro de 2021, consistia em duas variantes diferentes de malware bancário, chamados PixStealer e MalRhino, distribuídos por meio de dois aplicativos maliciosos separados na Play Store do Google. Ambos os aplicativos maliciosos foram projetados para roubar dinheiro de clientes por meio do serviço de acessibilidade, intervindo na interação do usuário com o aplicativo bancário. O PixStealer sobrepunha uma falsa tela de sincronização enquanto realizava os comandos para fazer transferência de valores via PIX. A Checkpoint destaca que o PixStealer era um malware bem enxuto, que sequer utilizava uma C&C para evitar detecção. Enquanto o PixStealer era direcionado ao PagBank, o MalRhino atacava clientes dos bancos Inter, Original, PagBank, Next, Nubank e Santander;
O BrazKing é um malware que existe desde 2018, mas em 2021 a IBM Trusteer descobriu uma versão com características de permitir o acesso remoto (RAT) e técnicas mais avançadas de manipulação do dispositivo infectado. O vetor de infecção inicial é uma mensagem de phishing que afirma que o dispositivo está prestes a ser bloqueado devido a uma suposta falta de segurança, e solicita que o usuário ‘atualize’ o sistema operacional. O BrazKing não automatiza fraudes em dispositivos infectados, pois suas atividades são controladas remotamente pelo servidor C&C. Assim, os operadores do malware podem adaptar o ataque para cada banco com relativa facilidade. O BrazKing obtém o controle do dispositivo infectado explorando os serviços de acessibilidade, o que lhe permite obter informações do aparelho, fazer keylogging, ler mensagens de SMS, capturar a tela, etc. A sobreposição de telas é feita pelo recurso de webview. O servidor de controle (C&C) pode enviar um comando para o malware mostrar uma mensagem na tela e atrair o usuário para abrir o aplicativo bancário, ou para o próprio malware abrir o app bancário. Com o app aberto, o malware pode registrar as teclas digitadas, extrir a senha, assumir o controle, iniciar uma transação e obter as informações de autorização necessárias para concluir a transação (se for enviado senha por SMS). O BrazKing também é capaz de bloquear a tela do telefone e apresentar ao usuário uma tela de atraso;
O BrasDex foi descoberto no final de 2022 pela Threat Fabric, direcionado a 10 instituições financeiras do país (Banco do Brasil, Bradesco, Binance, Caixa, Inter, Itaú, Nubank, Original, PicPay e Santander). Até então, o malware já estava ativo há cerca de um ano, mas atacava apenas o banco Santander. Quando o correntista programa uma transação via PIX, direcionanda para um de seus contatos, uma nova tela aparece com a mensagem de carregamento ou espera, mas que se trata de uma máscara sobre a tela original. Por trás o malware está alterando valores e destinatários (como se a vítima desse o comando de retornar para a tela anterior e redigitasse os dados da conta de destino). Em seguida, o usuário recebe a tela para confirmar a transação, digitando sua senha. A vítima irá perceber o golpe somente quando a transferência for realizada e o comprovante for emitido;
O PixPirate é um trojan bancário direcionado às instituições financeiras do Brasil, focado em manipular transações via o Pix. O trojan para o Android usa API de serviços de acessibilidade para interceptar mensagens, desabilita o Google Play Protect, interceptar SMS e roubar senhas, entre outros. Ele é compartilhado disfarçado de aplicativo autenticador;
O GoatRAT, que ganhou uma nova versão batizada de FantasyMW, é um trojan bancário brasileiro para sistemas Android que utiliza a técnica de ATS para realizar transferências PIX automaticamente. Inicialmente, seus alvos eram clientes do Nubank, Banco Inter ou PagBank. Ele é comercializado em um canal no Telegram, por valores de R$ 5 mil por semana;
O PixBankBot, descoberto em maio de 2023 pela Cyble, é direcionado a roubar dinheiro através de PIX de clientes de 6 bancos brasileiros: C6 Bank, Itaú, Mercado Pago, Nubank, PagBank e PicPay. O malware se disfarça como um aplicativo PDF genuíno para atrair e infectar suas vítimas. Ele utiliza a técnica de ATS para manipular o app da vítima e, para isso, solicita que o usuário habilite o Serviço de Acessibilidade. O PixBankBot cria uma janela falsa sobrepondo a tela do app bancário para ocultar suas ações maliciosas que ocorrem em segundo plano. O malware obtém a chave PIX da conta de destino a partir de uma página no Pastebin e realiza uma transação PIX no valor total referente ao saldo da vítima. Para autenticar a transação, mesmo se ela exigir biometria, o PixBankBot apresenta uma tela falsa sob o pretexto de que precisa autenticar o usuário para finalizar uma atualização. Para evitar detecção, o malware se remove automaticamente ao executar a transferência ou se o saldo da conta cair abaixo de R$ 500,00.
O fato é que, graças a popularização do PIX e, principalmente, a agilidade na movimentação do dinheiro, esses malwares bancários vieram para ficar e vão evoluir cada vez mais. O fato de explorarem o recurso nativo de acessibilidade dos celulares, que é uma funcionalidade muito importante, torna mais difícil a sua mitigação pelos bancos.
Também tem alguns links sobre o "golpe da mão fantasma", ou seja, malwares de acesso remoto (RAT) que também são usados para controlar o smartphone das vítimas, acessar o app bancário e transferir todo o dinheiro (normalmente via PIX):
Eu separei também alguns reports sobre as três famílias de malwares RAT para Android que a Kaspersky identificou nos últimos anos e deram origem ao termo "golpe da mão fantasma":
Eles produziram muito conteúdo legal e bem caprichado sobre os 11 tipos de golpes mais populares e as dicas básicas para não se tornar uma vítima deles. Eles fizeram até mesmo um Quiz e uma FAQ!
Segundo o site, mais de 8 milhões de brasileiros foram vítimas de golpes financeiros. Só no início de 2023, houve um aumento de 92% nas tentativas de ações fraudulentas.
Eles estão usando a hashtag #TemCaraDeGolpe para divulgar a campanha nas redes sociais.
Essa iniciativa é tão legal que, sim, merece um post aqui no blog!
O Fernando Fonseca doou praticamente 2 horas de seu tempo e fez uma live gratuita para explicar os conceitos essenciais de cibersegurança. O vídeo está disponível no YouTube: Curso Gratuito: SEC 110 - Cybersecurity Essentials
O Fernando tem uma didática espetacular. E está de parabéns pela iniciativa!
