Recentemente vimos a notícia de
um grupo ciber criminoso que roubou 81 milhões de dólares do Banco de Bangladesh. A notícia pode ter passada desapercebida por algumas pessoas, principalmente porque foi divulgado que
o banco tinha uma infraestrutura muito precária de segurança: em vez de Firewall, eles utilizavam switches baratinhos de segunda mão para conectar a rede deles com a rede SWIFT. Ou seja, aos olhos de muitos, ele "pediu para ser atacado".
Mas, na verdade, este é apenas a ponta do iceberg. Primeiro, porque o banco conseguiu bloquear US$ 870 milhões em transferências que seriam feitas por este grupo (ou seja, o prejuízo poderia ter sido astronomicamente maior).
Aparentemente, eles não conseguiram realizar as demais transações por um erro de digitação.
No caso do Banco de Bangladesh, os atacantes
conseguiram realizar 5 transferências de fundos via a rede SWIFT, de um total de 30 tentativas, o que representaria um total de quase 1 bilhão de dólares em fraude.
Mas, o principal e mais assustador problema é que por trás do ataque ao Banco de Bangladesh estava um
malware customizado, direcionado para a atacar a
rede SWIFT, que processa transações interbancárias em tempo real, interligando mais de 9 mil bancos em todo o mundo.
Pior ainda, estas transfer6encias costumam ser irreversíveis.
Uma vez instalado no servidor do banco, o malware manipula o client da rede SWIFT (chamado de Aliance Access), o malware acessa o arquivo de configuração do software de mensagens, insere novas ordens de transferência, e oculta seu funcionamento alterando o banco de dados que rastreia as transações e interceptando as mensagens de confirmação, para que os operadores não percebam nenhuma anomalia.
Veja mais detalhes sobre o malware aqui.
Após estas notícias, começaram a surgir comentários de que
a rede SWIFT está constantemente sobre ataque, principalmente através dos computadores das instituições financeiras que estão conectados a rede da SWIFT. Recentemente, surgiu a notícia de que
um segundo banco no Vietnan foi atacado por um malware semelhante ao de Bangladesh, mas o banco em questão, o
TP Bank, conseguiu evitar o roubo de 1,36 milhões de dólares. A SWIFT,
por sua vez, avisou os bancos e lançou uma atualização de seu software. Os riscos existem não apenas em vulnerabilidades do software, mas também no roubo de credenciais dos funcionários que operam as transferências e na falta de controles de seguraça no acesso entre a rede da instituição financeira e a rede SWIFT.
Segundo a SWIFT, em ambos os ataques, os fraudadores agiram da seguinte forma:
- Os atacantes comprometem o ambiente do banco;
- Os atacantes obtem as credenciais dos operadores, que têm a autoridade para criar, aprovar e submeter mensagens SWIFT a partir do back-office dos clientes ou de seus acessos locais para a rede SWIFT;
- São enviadas mensagens fraudulentas personificando os operadores que tiveram as suas credenciais roubadas;
- O malware oculta provas, removendo alguns dos traços das mensagens relacionadas as transações fraudulentas.
Os ataques a rede SWIFT são preocupantes, pois os ciber criminosos estão tentando atacar o coração do sistema financeiro: o sistema que processa transações interbancária sem todo o mundo. Esqueça do Internet Banking, isso é pouco comparado com o que os fraudadores podem conseguir com um acesso a rede SWIFT. Por causa do poder potencial que o acesso a rede SWIFT oferece aos atacantes, eles podem facilmente movimentar o dinheiro da conta de uma vítima para outra que eles controlam, mesmo através das fronteiras entre países.
Nota adicionada em 25/06: Este artigo fala um pouco mais sobre alguns casos conhecidos de ataques a rede SWIFT desde 2013.
Nota (adicionada em 30/06): Também foi identificado um roubo de 10 milhões de bancos através da rede SWIFT
em um banco na Ucrânia.
