Please enable JS

Blog

Hackers da Coreia do Norte estão atacando lojas on-line para roubar dados de pagamento, diz empresa

14 de julho de 2020 / Tecnologia / por Comunicação Krypton BPO

Grupo é notório pelo interesse em ganho financeiro. Ações foram associadas a atividades mapeadas por outros especialistas.

A empresa de segurança Sansec identificou diversos elos entre os ataques que desviam dados de cartões de crédito no processo de pagamento em lojas on-line, que são monitorados pela companhia, e operações que outros especialistas atribuíram a hackers norte-coreanos.

A fraude nas lojas, conhecida como “web skimming” ou “javascript skimming”, é realizada com a adulteração da página de pagamentos de lojas on-line. Quando modificada, a página passa a capturar os dados do consumidor e enviá-los a outro site que pertence aos criminosos.

O golpe também é conhecido pelo nome de “Magecart”, em alusão ao próprio código responsável por extraviar a informação, e possivelmente ao software de e-commece Magento, que é frequentemente atacado nessas fraudes. Segundo especialistas, vários grupos de hackers distintos estariam envolvidos na atividade criminosa.

A Sansec diz que encontra de 30 a 100 lojas infectadas com esse código por dia. Só uma parcela desses ataques seria de responsabilidade dos hackers norte-coreanos.

O elo foi estabelecido com base nos endereços web usados para abrigar as ferramentas de ataque e dados roubados da operação criminosa. Alguns desses endereços são os mesmos que já foram atribuídos a operações de um grupo de hackers conhecido como Lazarus ou “Hidden Cobra”.

O Lazarus é conhecido por atacar o sistema bancário no mundo todo, além de realizar fraudes com criptomoedas e espionar alvos sul-coreanos. Especialistas consideram que o grupo seja patrocinado pelo governo norte-coreano e tenha a finalidade de obter recursos para o regime.

Segundo a Sansec, os hackers norte-coreanos podem ter começado a utilizar a técnica em maio de 2019.

Isso significa que os norte-coreanos não estavam envolvidos nas primeiras fraudes desse tipo, que começaram em 2017 e se intensificaram em 2018 com a adulteração de sites como o da fabricante de celulares OnePlus e da companhia aérea British Airways. A consultoria Gemini Advisory informou que um grupo conhecido como Keeper, que atua com ataques de Magecart desde 2017, já adulterou pelo menos 570 lojas.

Elo de infraestrutura

O rastreamento de ataques cibernéticos raramente é uma ciência exata. Especialistas procuram indícios em arquivos para determinar o horário de atividade dos invasores e a configuração do sistema usado, mas esses detalhes podem ser forjados para criar uma operação de “bandeira falsa”, em que um país tenta incriminar outro.

Por essa razão, especialistas procuram associar a infraestrutura das ações. Quando um grupo de hackers realiza uma invasão mais simples de ser atribuída – pelos detalhes técnicos nos arquivos ou pelas características do alvo -, outros ataques que utilizam a mesma infraestrutura digital podem ser mapeados e relacionados.

Esse foi o caminho usado pela Sansec. A empresa descobriu que ações contra certas lojas usaram as mesmas infraestruturas de ataque expostas em relatórios das empresas de segurança Rewterz, EST Security, Fortinet e Netlab360. Cada uma dessas empresas detalhou ataques diferentes, mas todas apontaram semelhanças técnicas com ações anteriormente atribuídas ao Lazarus.

Grupo tentou desviar US$ 1 bilhão e criou o WannaCry

Hackers patrocinados por governos normalmente têm interesses políticos e, por isso, focam em espionagem. O Lazarus, da Coreia do Norte, é conhecido por seu interesse financeiro, semelhante a gangues criminosas comuns.

O governo dos Estados Unidos, que se refere ao grupo pelo nome de “Hidden Cobra”, alertou que esses invasores realizaram saques em pelo menos 30 países depois de conseguirem acesso a sistemas responsáveis por intermediar a comunicação entre os caixas eletrônicos e o banco, dispensando a verificação de saldo. Com isso, o golpe “FASTcash” causou um prejuízo de milhões de dólares com saques de contas falsas praticamente zeradas.

Em 2016, o grupo teria sido o responsável por uma tentativa de desviar US$ 1 bilhão de uma conta mantida pelo Banco Central de Bangladesh no Federal Reserve em Nova York. A movimentação aconteceria em 35 transferências, mas ao menos 30 delas foram bloqueadas após um erro de digitação levantar suspeitas nos operadores em Nova York e no Deutsche Bank, que atuava como intermediário.

Mesmo assim, os invasores conseguiram transferir US$ 81 milhões a um banco nas Filipinas, onde o montante foi sacado antes da conta ser congelada.

O Departamento de Justiça dos Estados Unidos, por meio do FBI, acusou o programador norte-coreano Park Jin Hyok de envolvimento no roubo. O mesmo programador, segundo a autoridade policial americana, teria sido responsável pelo vírus de resgate WannaCry.

Fonte: G1

Imagem: Soumil Kumar from Pexels

 

Posts relacionados

Mais de 30% dos brasileiros se acham “comuns” demais para serem hackeados

6 de agosto de 2020 / Tecnologia / por Comunicação Krypton BPO

LGPD: Qual o papel do DPO, além do jurídico?

4 de agosto de 2020 / Tecnologia / por Comunicação Krypton BPO

O que fazer para facilitar a adequação à LGPD?

3 de agosto de 2020 / Tecnologia / por Comunicação Krypton BPO

Golpes bancários crescem em 2020 e atingem mais de dez milhões no Brasil

31 de julho de 2020 / Tecnologia / por Comunicação Krypton BPO

Ataque cibernético ‘misterioso’ está destruindo bancos de dados expostos na web

30 de julho de 2020 / Tecnologia / por Comunicação Krypton BPO

Nove fatos que você precisa saber antes de comprar um SSD

29 de julho de 2020 / Tecnologia / por Comunicação Krypton BPO

abc