Cibercrime faz bancos perderem R$ 1;8 bilhão

Para driblar estratégia de segurança de instituições financeiras e investigações policiais, criminosos brasileiros especializados em roubo de informações pela internet apostam em cooperação internacional e novas modalidades de ataques

PUBLICIDADE

Por Claudia Tozzeto
Atualização:

NILTON FUKUDA/ESTADÃO

 Foto: Estadão

PUBLICIDADE

Acessar a conta bancária por meio da internet e, mais recentemente, através de aplicativos para smartphone é um hábito cada vez mais comum entre os brasileiros. Só no primeiro semestre de 2015, 58,5% das transações bancárias realizadas no País foram feitas por meio desses canais de atendimento, de acordo com a Federação Brasileira dos Bancos (Febraban). Ao mesmo tempo em que a facilidade de uso atrai os clientes, esses canais também chamam a atenção de cibercriminosos. Especializados em roubar dados para fazer transações financeiras ilícitas, eles têm causado dor de cabeça aos bancos: só em 2015, segundo dados divulgados na última semana pela Febraban, os bancos brasileiros registraram perdas de R$ 1,8 bilhão, com fraudes eletrônicas.

Leia também:Investigação sobre cibercrime ainda é lentaSites ajudam pessoas a dividir as refeições

Quando um consumidor tenta fazer uma transferência ou pagar uma conta pela internet e, de alguma forma, tem suas informações interceptadas, o resultado só é percebido na hora de conferir o extrato. A transação indevida é informada para o banco, que é quem paga a conta pelo ataque: além de ressarcir o cliente, a instituição financeira tem dificuldades em recuperar o dinheiro, que na maioria das vezes já foi parar na mão dos criminosos. “Entre os ataques mais comuns que os nossos clientes sofrem, estão as fraudes pela internet e a clonagem de cartões. Hoje perdemos mais com fraudes do que com clonagem, mas isso varia”, diz o gerente-geral da unidade de risco operacional do Banco do Brasil, Carlos Renato Bonetti.

No caso das fraudes pela internet, o Brasil é considerado pelas empresas de segurança como o “rei dos trojans bancários”. Com esses programas, os cibercriminosos conseguem interceptar tanto as credenciais de acesso ao banco como dados informados ao fazer compras em sites de comércio eletrônico. Ao se instalar no computador, o trojan também abre caminho para outros programas que permitem monitorar as atividades das pessoas na web. Na maioria das vezes, ele passa despercebido.

Esta, porém, não é a única estratégia para conseguir os dados dos usuários: é frequente o uso de páginas falsas, praticamente idênticas à original, prática conhecida como phishing. “Por mais que os bancos invistam em segurança, ainda há pessoas que caem nesse golpe”, diz o especialista em segurança da informação da Symantec no Brasil, André Carrareto.

Cerca de 95% dos ataques virtuais que ocorrem no Brasil tem o objetivo de roubar instituições financeiras locais. “O Brasil é um dos países que mais produzem malware em todo o mundo”, diz o analista sênior de segurança da Kaspersky, Fábio Assolini, que se refere ao apelido dado à categoria de softwares criados para finalidades ilegais. Pesquisador em segurança, Assolini é o responsável por um novo estudo que revela o submundo do cibercrime no Brasil. O relatório é resultado de cinco anos de pesquisas no País sobre como os grupos especializados se organizam para cometer tais crimes.

Publicidade

Ostentação. Uma das principais constatações do estudo é a de que, enquanto os bancos se preocupam com a segurança dos clientes, cibercriminosos usam a internet para arquitetar ataques, criar um mercado paralelo de compra e venda de código malicioso e exibir o lucro obtido com os ataques em sites de relacionamento. “Eles se comparam a Robin Hood. Dizem que roubam dos ricos, como bancos, para distribuir entre os pobres, isto é, eles próprios”, diz Assolini. Os cibercriminosos ostentam maços de dinheiro e garrafas de bebida em fotos publicadas nas redes sociais. Em vídeos publicados no YouTube, eles reproduzem letras de rap sobre a atividade criminosa.

Mas não e só dos ataques a bancos que o cibercrime vive no Brasil. A parcela mais experiente desse grupo criou uma espécie de comércio paralelo. Em conversas por meio de ferramentas de troca de mensagens baseadas na tecnologia Internet Relay Chat (IRC) – anteriores a serviços como o ICQ e o MSN Messenger – eles vendem arquivos com dados pessoais obtidos em ataques, contratam uns aos outros para crimes específicos e os novatos podem comprar códigos maliciosos prontos. Um programa para copiar os dados digitados no teclado do PC, por exemplo, custa R$ 900; um código para disseminar um vírus no Facebook pode ser encontrado por R$ 70.

Eles criaram até mesmo sites de comércio eletrônico para vender cursos de desenvolvimento de vírus para smartphones e outras técnicas. No site Hacker Xadrez, é possível comprar um curso de clonagem de cartões de crédito por R$ 499 ou aprender a derrubar um site por meio de ataques de negação de serviço (DDoS) por R$ 199. “Nos fóruns, já encontrei um banco de dados de reputação, que indica quem são os criminosos que dão calote. É como o cadastro do SPC”, diz o analista da Kaspersky.

Gato e rato. Os bancos dedicam investimentos tão grandes quanto seus prejuízos para combater o cibercrime. De acordo com a Febraban, o valor total investido pelos bancos, em conjunto, chegou a R$ 2 bilhões no último ano – em 2010, a quantia era de R$ 1,6 bilhão. No Banco do Brasil, o valor investido é usado no desenvolvimento de software para monitorar ataques a clientes. “Temos também um trabalho de pesquisa nas redes para antecipar os movimentos dos cibercriminosos”, diz Bonetti. A equipe do banco só recebe bônus anual se o número de fraudes não ultrapassar as metas da instituição.

CONTiNUA APÓS PUBLICIDADE

Por meio de nota, a Caixa Econômica Federal informou que investe na “aquisição e atualização de soluções tecnológicas de detecção e reação aos ataques cibernéticos, além de possuir equipes de segurança dedicadas ao monitoramento de seu parque tecnológico e a proteção das informações de seus clientes”. Procurados pelo Estado, Bradesco, Itaú, Santander e a Febraban declinaram dos pedidos de entrevista.

Novos ataques. Desenvolver tecnologia capaz de parar os cibercriminosos tende a ficar cada vez mais difícil. Segundo Assolini, eles estão começando a vencer as barreiras da língua para cooperar com cibercriminosos de outros países, em especial do Leste Europeu. “Começamos a perceber que os brasileiros estão usando infraestrutura de cibercriminosos russos, com o objetivo de dificultar a retirada de sites falsos do ar”, diz o analista da Kaspersky.

Além disso, eles têm desenvolvido novas ameaças para dispositivos móveis, dado o aumento da popularidade desses dispositivos para uso de aplicações, inclusive bancárias. De acordo com a Kaspersky, a lista de trojans bancários mais perigosos do mundo passou a incluir, pela primeira vez neste ano, um tipo específico para atacar smartphones com sistema operacional Android.

Publicidade

Cartão virtual oferece segurança para compras online

Além de monitorar o acesso dos clientes por meio de softwares de segurança instalados no computador, que funcionam como se fossem uma espécie de “guardião”, o Banco do Brasil têm investido em proteções e outras soluções que possam aumentar a segurança dos clientes e, por fim, reduzir as perdas dos bancos com fraudes eletrônicas.

Em altaLink
Loading...Loading...
Loading...Loading...
Loading...Loading...

Há pouco mais de um ano, a companhia lançou uma versão virtual de seu cartão de crédito para ser usada em compras que são realizadas por meio de sites de comércio eletrônico. O cartão, que existe para ser usado uma única vez, permite que o usuário informe os dados por meio da loja virtual com a segurança necessária. Caso os dados sejam interceptados, os cibercriminosos não conseguem usá-lo para fazer novas compras.

Até o momento, os clientes do Banco do Brasil já fizeram mais de 700 mil transações com o uso do cartão de crédito virtual, de acordo com a companhia. “Essas transações movimentaram R$ 130 milhões de reais durante este período”, diz Bonetti. A empresa também investe parte do orçamento de segurança – que corresponde a 25% do total investido em TI – em novas tecnologias, como a autenticação biométrica. Em smartphones com leitor de digitais, já é possível acessar a conta sem precisar digitar a senha do banco.

Outra tecnologia, que está presente no aplicativo, é o uso de um código dinâmico para validar transações. Ele substitui o antigo token em formato de chaveiro, que os clientes precisavam carregar. Segundo Bonetti, a adoção da tecnologia permitiu que o banco reduzisse o número de fraudes em transações bancárias feitas por meio do internet banking.

Tudo Sobre
Comentários

Os comentários são exclusivos para assinantes do Estadão.