1. ENTENDENDO A AMEAÇA
MAN-IN-THE-BROWSER (MITB)
Análise e mitigação de ameaças para
instituições financeiras
White Paper
Contexto
Os criminosos cibernéticos estão usando métodos cada vez mais novos e avançados para
atingir usuários on-line. Uma das ameaças de crescimento mais rápido hoje em dia é a do
cavalo de Troia MITB (Man-In-The-Browser). As ameaças man-in-the-browser fazem parte
da evolução natural dos crimes cibernéticos, resultado da segurança on-line reforçada e
da maior conscientização do consumidor. A propagação das ameaças man-in-the-browser
está sendo auxiliada por ataques de spear phishing, pela popularidade dos sites de
redes sociais e pelo aumento de drive-by downloads. No último ano, houve um aumento
exponencial no número destas ameaças contra instituições financeiras, inclusive contra
o mercado de bancos de varejo europeus e o de bancos corporativos norte-americanos.
Introdução às ameaças Man-In-The-Browser
A ameaça man-in-the-browser foi criada para interceptar dados enquanto eles passam
por uma comunicação segura entre um usuário e um aplicativo on-line. Um cavalo de
Troia se incorpora a um aplicativo de navegação do usuário e pode ser programado para
ser acionado quando o usuário acessar sites on-line específicos, como o site de um
banco on-line. Depois de ativado, o cavalo de Troia man-in-the-browser pode interceptar
e manipular quaisquer informações enviadas on-line pelo usuário em tempo real. Várias
famílias de cavalos de Troia são usadas para realizar ameaças MITB, inclusive Zeus/SpyEye,
URLzone, Silent Banker, Sinowal e Gozi. Alguns cavalos de Troia MITB são tão avançados
que simplificaram o processo de cometer fraudes, programados com recursos que
automatizam totalmente o processo, desde a infecção até a retirada do dinheiro. Entre
os recursos adicionais oferecidos pelos desenvolvedores de cavalos de Troia MITB estão:
• Injeção de HTML para exibir páginas criadas por engenharia social (ou seja, injeção de
um campo em uma página solicitando o número do cartão de débito e do código PIN do
usuário, bem como o nome de usuário e a senha).
• Pop-ups HTML ou JavaScript para comunicar-se com a vítima em tempo real (ou seja,
solicitações para a vítima digitar uma senha válida de uso único ou revelar respostas
para suas perguntas secretas).
• Interação em tempo real dos cavalos de Troia com os bancos de dados das contas de
laranjas para ajudar na transferência de fundos.
2. PÁGINA 2
O fluxo básico de uma ameaça MITB é o seguinte1
:
1. Um usuário é infectado por um cavalo de Troia MITB.
2. Após o início de uma sessão bancária on-line, o cavalo de Troia é posto em ação e
inicializa os recursos do MITB.
3. O usuário passa por todos os estágios de autenticação, inclusive autenticação de dois
fatores quando necessário. O cavalo de Troia aguarda silenciosamente o log-in bem-
sucedido e/ou o usuário iniciar uma transferência de dinheiro.
4. O cavalo de Troia manipula os detalhes da transação, como o nome do beneficiário e o
valor da transferência. O beneficiário legítimo é substituído pela conta de um laranja.
5. O cavalo de Troia mantém uma face aparentemente legítima da transação ao usar
técnicas de engenharia social. Ele exibe páginas HTML falsas para o usuário, que
mostram os detalhes da transação legítima2
. Se for necessária autenticação adicional
para concluir a transação, o usuário prosseguirá para aprovar a transação usando
qualquer método de autenticação exigido pela instituição financeira.
O que torna as ameaças MITB difíceis de detectar no lado do servidor do banco é que
qualquer atividade realizada parece estar sendo originada pelo navegador do usuário
legítimo. Características como o idioma do Windows e o endereço IP parecerão iguais às
dos dados reais do usuário. Isso cria um desafio para distinguir entre as transações
genuínas e as mal-intencionadas.
Taxa de infecção exponencial
Atualmente, o crescimento drástico no número de ameaças man-in-the-browser (e da
disseminação de malware de modo geral) está sendo auxiliado por vários vetores,
inclusive spear phishing, o aumento de sites de redes sociais e drive-by downloads3
.
O spear phishing contribui imensamente para a disseminação das ameaças man-in-the-
browser. Usando esquemas bem elaborados de engenharia social, os criminosos estão
lançando campanhas sofisticadas de spear phishing para atingir clientes de bancos
corporativos e indivíduos de alto rendimento líquido. A disponibilidade de dados de
indivíduos na Internet, inclusive em sites como Facebook e LinkedIn, permite que
criminosos coletem informações confiáveis suficientes sobre seus alvos para enviar
e-mails extremamente verossímeis e com grande probabilidade de obter respostas. O
spear phishing não só visa consumidores, como também vai atrás de funcionários de
empresas. Quarenta e cinco por cento dos funcionários indicam que recebeu um e-mail
de phishing no trabalho4
.
A enorme popularidade dos sites de redes sociais e o número de usuários que se
envolvem em atividades nessas redes também contribuíram para a disseminação de
cavalos de Troia e malware. O pesado tráfego e o alcance global destes sites os
transformaram no principal alvo de exploração dos criminosos. Atualmente, 40% dos
usuários de sites de redes sociais já enfrentaram alguma forma de ataque de malware5
.
1 Esta é uma descrição geral das ameaças MITB. Pode haver outros casos e cenários de uso, mas estas medidas
são comuns para a maioria das ameaças MITB testemunhadas pela RSA. Neste documento, nós nos
concentramos nos cavalos de Troia que são totalmente automáticos, manipulando os dados de uma transação
gerada por um usuário legítimo.
2 Alguns cavalos de Troia são programados para substituir o campo de saldo no extrato da conta do usuário,
mostrando o saldo da conta como ele deveria aparecer após a transação legítima.
3 Um programa que é baixado automaticamente para o computador do usuário sem seu consentimento ou
conhecimento. O download pode ocorrer ao simplesmente se visitar um site ou visualizar um e-mail.
4 RSA 2011 Workplace Security Report (Relatório de segurança do espaço de trabalho RSA 2011)
5 Sophos Security Threat Report 2011 (Relatório de ameaças à segurança Sophos 2011)
Para os criminosos, o
processo de retirar dinheiro
por meio de laranjas se
tornou automatizado.
Algumas versões do cavalo
de Troia Zeus/SpyEye,
por exemplo, são criadas
com scripts que interagem
com as ferramentas de
gerenciamento de laranjas.
Cada vez que é tentada uma
transação MITB por meio
de uma máquina infectada,
o cavalo de Troia acessa a
ferramenta de gerenciamento
de laranjas e puxa o primeiro
registro disponível de uma
conta laranja para receber os
fundos roubados.
3. PÁGINA 3
Finalmente, os drive-by downloads também têm um papel importante no aumento das
ameaças MITB. Um drive-by download é iniciado quando um usuário é redirecionado
para um site que foi criado por criminosos especificamente para infectar usuários – na
maioria das vezes após clicar em um link de um e-mail. Em outros casos, os criminosos
são capazes de tirar partido das vulnerabilidades de sites legítimos para fornecer
códigos mal-intencionados ao redirecionar o tráfego para pontos de infecção sem o
usuário ter qualquer conhecimento de estar sendo infectado por esse conteúdo.
Atualmente, cerca de duas em cada 1.000 páginas exibidas para os usuários nos
resultados dos mecanismos de pesquisa contêm um drive-by download6
.
O resultado final é um aumento exponencial no número de usuários infectados por
alguma forma de malware. O cavalo de Troia bancário mais predominante é o Zeus/
SpyEye, responsável por mais de 80% de todos os ataques de cavalos de Troia dirigidos
às instituições financeiras no primeiro trimestre de 20117
. Esta família de malware não é
somente a mais amplamente disseminada; ela também é conhecida por ter os mais
sofisticados recursos e funcionalidades de MITB disponíveis para venda no submundo
do crime.
Recursos e funcionalidades do MITB
Os recursos man-in-the-browser são os itens mais desejados pela maioria dos
criminosos atualmente. Após a implementação bem-sucedida dos recursos de MITB do
Zeus, outros cavalos de Troia seguiram seu exemplo: Bugat, Clod, Gozi (v2, 2010), Lamp,
Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron e URLZone. Todos estes cavalos
de Troia têm alguma forma de funcionalidade MITB para automatizar transações
fraudulentas por meio de scripts personalizados. A lista a seguir resume exemplos de
algumas funcionalidades MITB comuns a várias famílias de cavalos de Troia ativas
atualmente:
Zeus/SpyEye
O Zeus/SpyEye tem a capacidade de identificar e interceptar diferentes tipos de tráfego
de Internet em tempo real e é explorado principalmente para realizar ataques
automatizados, tais como usar um conjunto de identificadores pessoais e de dispositivos
da vítima. O Zeus/SpyEye também pode facilitar o sequestro manual de uma sessão
on-line ativa da vítima. Para ter sucesso neste caso, o criminoso precisa que a vítima
esteja presente e pronta a fornecer uma senha de uso único válida quando solicitada.
Para entrar em uma sessão em andamento, o criminoso precisa fazer uma imitação
quase perfeita da vítima. Por exemplo, o criminoso precisa ter acesso aos cookies da
vítima. Os cookies HTTP têm uma assinatura digital anexada a eles para mantê-los sob
uso exclusivo da pessoa a quem se destinam. Não é possível forjar um cookie, por isso
os criminosos precisam roubá-lo e depois apresentar o cookie ao servidor do banco para
obter acesso a uma sessão bancária on-line legítima.
Interceptar uma sessão bancária em andamento nem sempre é algo que se possa fazer
secretamente; para desviar a atenção do usuário, o Zeus/SpyEye oferece injeção de
código HTML para apresentar mensagens pop-up falsas, como mensagens de
manutenção que avisam o usuário que a sessão foi temporariamente suspensa.
Usando uma variante do SpyEye, o criminoso consegue sobrepor a solicitação de log-off
do usuário e continuar a transação em segundo plano. Assim que o usuário envia suas
credenciais, o cavalo de Troia puxa uma página de aviso falsa informando
enganosamente ao usuário que suas configurações de segurança foram verificadas. A
Figura 1 mostra a mensagem falsa exibida para o usuário solicitando que ele não feche
nem recarregue a página, uma vez que o criminoso está na verdade ainda conectado
àquela mesma sessão e realizando a transferência fraudulenta de dinheiro.
A RSA realizou uma ampla
pesquisa para examinar a
ameaça MITB e a rede de
“laranjas” que a apoia. Algumas
informações úteis que reunimos
ao estudar as operações de
gerenciamento de laranjas
incluem:
• Idade média de um laranja: 31
• Duração média da conta
de um laranja: 3 dias (isso
reflete a média entre o
primeiro uso e o último uso,
não de quando o laranja foi
realmente recrutado)
• Número médio de tentativas
de fraude feitas por conta de
laranja: 18
• Montante médio transferido
por um laranja: US$ 3.980
para bancos de varejo
6 Relatório de Inteligência da Microsoft, Volume 9: 100
7 Relatório Trimestral RSA FraudAction sobre Cavalos de Troia, abril de 2011
4. PÁGINA 4
SilentBanker
O cavalo de Troia SilentBanker oferece vários recursos avançados de MITB, inclusive:
• Scripts MITB que interceptam dados enviados pela vítima para o banco
• Um capturador de senhas de uso único (OTP grabber) que pode interceptar e roubar
códigos SMS, números TAN e outros códigos de senha de uso único utilizados pelos
bancos para autenticar a transferência de dinheiro do usuário
• Injeções de HTML locais para imitar o design dos sites das instituições financeiras
visadas; o SilentBanker usa injeções de HTML perfeitas principalmente para obter
senhas de uso único.
Em geral, o SilentBanker espera que a vítima faça log-in bem-sucedido no site genuíno
do banco, momento em que ele ‘injeta’ conteúdo HTML inteiramente novo na página. Os
campos recém-injetados solicitam que as vítimas divulguem dados confidenciais
raramente solicitados pelo seu provedor de serviços, como o número do cartão de débito
e o código PIN.
URLzone
O URLzone tem a capacidade de injetar códigos em uma página da Web que é carregada
no navegador do usuário para inicializar as ameaças MITB. O URLzone usa o tradicional
sequestro de sessão para roubar os códigos de senha de uso único dos clientes para
concluir transações não autorizadas. O URLzone conta com uma variedade de esquemas
de engenharia social para realizar uma ameaça MITB bem-sucedida. Na maioria das
vezes, isso é realizado por meio de outra injeção de código que cria uma página com
uma falsa mensagem de erro – depois de o usuário já ter fornecido a senha de uso único
válida (ou seja, “Não foi possível concluir sua transação nesse momento. Tente
novamente mais tarde”).
Gozi
Uma variante recente do Gozi está programada para roubar vários tipos de dados
diferentes; o Gozi tem injeções que já conseguiram roubar tokencodes SMS e TANs, bem
como scripts que raspam8
informações adicionais, como limites diários de transferência
e saldos de contas correntes, contas de poupança e contas de cartão de crédito.
Registros do cavalo de Troia Gozi contendo procedimentos automatizados da transação
mostram claramente que o Gozi é pré-programado para determinar a porcentagem que
pode ser transferida do saldo da conta por vez. Para determinar o valor a transferir, o
Gozi primeiro recupera o saldo atual da conta. A Figura 2 exibe um registro criado pelo
Gozi ao realizar transferências automatizadas de dinheiro. O registro do cavalo de Troia
mostra que o Gozi apanha o saldo da conta e o limite diário de transferência e, em
seguida, usa o TAN para concluir a transferência.
8 A raspagem de dados é utilizada pelos cavalos de Troia para acessar o código-fonte da
página, localizar dados pertinentes nela e enviá-los ao criminoso.
Figura 1: Um exemplo de página falsa
que pode ser apresentada a usuários
infectados durante uma ameaça
man-in-the-browser
5. PÁGINA 5
A mitigação exige segurança em camadas
Como resultado da ampla investigação sobre cavalos de Troia e malware, e especificamente
ameaças man-in-the-browser, podemos tirar várias conclusões:
1. A proteção de log-in não é suficiente para impedir ameaças MITB. Mesmo que o
usuário genuíno faça log-in na conta, os cavalos de Troia são capazes de realizar
transferências de dinheiro da conta durante a sessão bancária legítima do usuário.
2. As ameaças MITB são difíceis de detectar sem monitoramento e proteção da transação.
Um cavalo de Troia MITB pode sequestrar o dispositivo do usuário para que quaisquer
transações mal-intencionadas realizadas ainda pareçam ter sido originadas pelo
usuário legítimo. Além do rastreamento do dispositivo ou do IP, potentes recursos de
definição de perfis comportamentais são cruciais para a detecção de MITB
3. Devido ao fato de alguns cavalos de Troia usarem injeções de HTML para solicitar
credenciais para autenticação adicional, a autenticação de banda externa tem mais
capacidade para resistir ao MITB, pois ela contorna o canal on-line
4. Investigações manuais não são suficientes. Os cavalos de Troia podem ser totalmente
automatizados para realizar o processo inteiro – desde a infecção até a retirada do
dinheiro – em tempo real. Quanto mais rápida for a janela que permite que os fundos
sejam transferidos, menos tempo haverá para investigar os casos manualmente.
Nesses casos, é necessário utilizar a autenticação adicional (preferivelmente a
verdadeira autenticação de banda externa)
5. Os serviços de inteligência são uma parte importante da mitigação. Contas de laranjas,
por exemplo, representam um grande papel no processo de retirada de dinheiro. Ter
acesso à inteligência por trás de crimes cibernéticos é essencial para desenvolver uma
solução completa.
Uma abordagem de segurança em camadas que combine monitoramento de transações
baseado em riscos, detecção de cavalos de Troia, desligamento e serviços de inteligência,
bem como recursos de banda externa, proporciona uma sólida defesa para mitigar a
ameaça de ataques man-in-the-browser. As soluções RSA a seguir ajudam as instituições
financeiras a lidar com o desafio representado pelas ameaças man-in-the-browser:
• Monitoramento da transação: O RSA®
Transaction Monitoring examina as atividades
realizadas após o log-in para detectar comportamentos fora do comum que possam
indicar tentativas de fraude ou atividades de cavalo de Troia. Ele funciona com qualquer
solução existente de autenticação sólida e pode ser implantado de modo a ficar
totalmente invisível para o usuário final. Além disso, o RSA Transaction Monitoring
oferece recursos avançados para identificar comportamentos de cavalos de Troia, como a
capacidade de detectar sequestro manual de sessão, contas laranja e injeção de HTML.
Figura 2: Registro do cavalo de Troia
Gozi mostrando uma transferência
automática de dinheiro com MITB
6. PÁGINA 6
• Detecção de cavalos de Troia, Desligamento e Serviços de Inteligência: O serviço RSA®
FraudAction™
Anti-Trojan trabalha para reduzir o impacto dos cavalos de Troia por meio
de identificação e desligamento de pontos de infecção conhecidos, e bloqueio dos
recursos que os cavalos de Troia usam para se comunicar (ou seja, servidores drop,
servidores de Comando e Controle). Além disso, o serviço tenta extrair informações e
credenciais roubadas das contas laranja que estão preparadas para receber
transferências de dinheiro fraudulentas.
• RSA eFraudNetwork: O RSA®
Adaptive Authentication e o RSA Transaction Monitoring
utilizam as informações sobre os padrões de fraude contidas no repositório de dados da
RSA®
eFraudNetwork™
. A eFraudNetwork recebe feeds de dados de fraudes fornecidos
por uma vasta rede de clientes, usuários finais, ISPs e outros. Contribuições frequentes
sobre a inteligência por trás de crimes cibernéticos também são fornecidas
regularmente por analistas do Anti-Fraud Command Center da RSA.
• Autenticação de banda externa: A RSA oferece autenticação telefônica de banda externa
que permite que os usuários digitem uma senha de uso único no teclado de seu
telefone. A autenticação de banda externa oferece uma potente defesa contra ameaças
man-in-the-browser, pois ela separa o processo de autenticação do canal da Web,
tornando mais difícil expor-se ao perigo.
Monitoramento da transação
Embora seja essencial proteger o log-in, os fraudadores desenvolveram uma tecnologia
capaz de manipular transações após o log-in. A proteção da transação se refere à capacidade
da organização de monitorar e identificar atividades suspeitas após o log-in – um recurso
geralmente fornecido por uma solução de monitoramento de fraudes baseada em riscos.
As transações, em geral, exigem exames mais minuciosos e apresentam mais riscos do
que apenas o ato de fazer log-in em uma conta. Por exemplo, um usuário não autorizado
pode conseguir acesso ao log-in de uma conta, mas o risco maior será depois que for
tentada uma transação, como a transferência de dinheiro de uma conta. Uma solução de
proteção de transação alertará as equipes de investigação de fraude ou questionará os
usuários de forma apropriada nesses casos.
O RSA Transaction Monitoring é acionado pelo mecanismo de autoaprendizagem RSA Risk
Engine, que realiza nos bastidores a avaliação de riscos de todos os usuários. Ele pode
trabalhar com qualquer solução existente de autenticação e pode ser totalmente invisível
para o usuário final. Quando um usuário tenta uma transação, uma pontuação de risco
exclusivo é atribuída a cada atividade. Quando a pontuação de risco ultrapassa determinado
limite aceitável (definido pela organização implantadora) ou quando uma política
organizacional é violada, é aberto um caso na ferramenta RSA Case Manager. O Case Manager
permite o gerenciamento completo de casos e investigações, com foco apenas nas transações
de risco mais alto. Em casos de risco extremo ou quando não houver tempo suficiente para
analisar manualmente um caso, o usuário poderá ser questionado em tempo real com uma
chamada telefônica de banda externa antes que a transação possa prosseguir.
O RSA Transaction Monitoring também é capaz de detectar possíveis atividades de
cavalos de Troia ao realizar análises comportamentais avançadas. Os padrões normais
de comportamento de cada usuário individual são observados, e, quando ocorrer algum
comportamento que se desvie desse padrão, provavelmente haverá um aumento da
pontuação de risco desse usuário. A análise do comportamento do usuário, especialmente
comportamento como atividades de pagamento iniciadas por um usuário final, é
essencial no nível de transação. Isso é especialmente verdadeiro para um cavalo de Troia
man-in-the-browser, pois ele aguarda que o usuário genuíno faça log-in antes de ser acionado.
Durante a própria sessão, alguns padrões podem indicar comportamento fora do comum,
como a atividade de acrescentar um novo beneficiário seguido de uma transação de
pagamento imediata para esse beneficiário - uma atividade que não pode ser detectada
no log-in. Além disso, o RSA Transaction Monitoring oferece recursos mais avançados de
detecção de cavalos de Troia, como detecção de sequestro manual de sessão, análise de
padrões de comportamento de cavalo de Troia, detecção de conta laranja e detecção de
injeção de HTML.
7. PÁGINA 7
O Transaction Monitoring também tem o suporte da RSA eFraudNetwork, um repositório
de padrões de fraude de várias organizações compilados pela ampla rede de clientes da
RSA, por ISPs e outros colaboradores do mundo inteiro. Quando uma atividade é
identificada como sendo de alto risco, o perfil da transação, o endereço IP e as
impressões digitais do dispositivo são movidos para um repositório de dados
compartilhado.
A eFraudNetwork envia diretamente feeds sobre dados de fraude para o sistema RSA
Transaction Monitoring e é uma das muitas fontes usadas para atribuir a pontuação de
risco. Isso inclui dados de contas de laranjas oferecidos pelo serviço RSA FraudAction
Anti-Trojan.
Detecção de cavalos de Troia, desligamento e inteligência
O serviço RSA FraudAction Anti-Trojan, uma parte central do RSA FraudAction, está
centrado em minimizar o impacto dos ataques de cavalos de Troia. O man-in-the-browser
é uma das ameaças que a RSA tem se dedicado a analisar, e esse serviço de inteligência
foi incorporado ao serviço RSA FraudAction Anti-Trojan.
Detecção precoce, bloqueio e desligamento são essenciais para minimizar o impacto que
um cavalo de Troia pode ter e reduzir a quantidade de danos que ele pode causar.
Entretanto, desligar ou bloquear acesso aos pontos de infecção, pontos de atualização,
drop sites e drop e-mails do cavalo de Troia é mais complicado do que parece. Além
disso, os cavalos de Troia são uma ameaça mais complexa de enfrentar devido ao
número sem precedente de variantes de malware que existem.
Ao trabalhar com as mais importantes instituições financeiras do mundo e monitorar
várias ameaças, a RSA criou relacionamentos contínuos com alguns dos principais ISPs e
arquivos de registro do mundo. O RSA Anti-Fraud Command Center tira partido desses
relacionamentos para iniciar o processo suspender-e-desistir (cease-and-desist) durante
24 horas por dia, 7 dias por semana.
Os serviços e pontos fortes da RSA são realçados pelo RSA FraudAction Research Lab,
uma equipe de pesquisadores de primeira linha dedicada à pesquisa contínua das
tecnologias, ferramentas e táticas mais recentes que estão sendo utilizadas pelos
criminosos cibernéticos. Esta equipe tem como objetivo enfrentar novas ameaças, como
o man-in-the-browser, e criar ferramentas e processos que permitam o desligamento
mais rápido possível.
Recursos de banda externa
Os métodos de comunicação OOB (Out-Of-Band, banda externa) são uma arma poderosa
contra ameaças avançadas, pois eles contornam o canal de comunicação usado mais
frequentemente pelos fraudadores – o canal on-line. Isso é especialmente verdadeiro no
caso do man-in-the browser, quando um cavalo de Troia é instalado diretamente no
navegador do usuário. Os métodos de comunicação de banda externa podem incluir
correio postal comum, telefone ou mensagem de texto (também chamada de SMS, Short
Message Service).
O módulo RSA Adaptive Authentication Out-of-band Phone fornece aos usuários um
passcode de uso único que aparece no navegador da Web. O sistema então pede ao
usuário para selecionar um dos números de telefone previamente registrados durante o
cadastro para receber a chamada telefônica e um telefonema automático é gerado. A
chamada analisa detalhes da transação e pede ao usuário que digite, no teclado de seu
aparelho telefônico, o passcode de uso único que é exibido no navegador. Depois de o
número ser digitado no telefone e ser confirmado que é o número correto, a transação
prosseguirá sem interrupção.
Isto é apelidado de autenticação de banda externa “verdadeira” porque o passcode é na
verdade digitado no telefone, em vez de ser digitado novamente no computador
infectado do usuário (como normalmente ocorre quando recebemos um passcode via
e-mail ou SMS).