Pplware

Bancos: Smartphones podem ser autênticos espiões

Não é novidade nenhuma que os smartphones são muito mais que simples telefones para realizar chamadas. Um smartphone tem a capacidade de se ligar a uma determinada rede Wi-Fi, tem uma câmara para que o utilizador possa fotografar e gravar tudo o que o rodeia, tem um microfone, tem memória de armazenamento, etc.

Estas características avançadas podem transformar qualquer smartphone num equipamento de espionagem.


Os dispositivos móveis tornaram-se equipamentos indispensáveis no dia-a-dia e é por esse motivo que são utilizados em praticamente todos os espaços públicos. No entanto, as suas características avançadas podem representar riscos acrescidos em determinados locais. Neste campo as instituições bancárias estão no topo da lista segundo a ESET.

As redes Wi-Fi

Os utilizadores mal-intencionados estão sempre à espera de uma oportunidade. Deste modo, a primeira coisa que um criminoso pode tentar fazer é verificar se existe alguma forma de se ligar a uma rede Wi-Fi identificada como sendo do banco. Não é incomum encontrarem-se várias redes numa instituição, em que pelo menos uma é facilmente identificável como pertencendo à organização e mais exclusiva para empregados.

Quando isto sucede e apesar de normalmente ser necessário introduzir-se uma palavra-passe, pode existir uma má configuração que leve o criminoso a conseguir entrar.

Em paralelo, se a rede não estiver tão isolada como deveria, o atacante pode conseguir analisar as medidas de segurança dos sistemas internos do banco e ligar-se a eles caso estas não sejam realmente eficazes.

Fotos e Vídeos

Um dos “modus operandi” mais comuns passa pelo facto do criminoso utilizar a câmara do smartphone para tirar fotos e vídeos de tudo o que lhe possa interessar: o software utilizado pelos empregados, as portas usadas nos computadores do banco, entradas de rede acessíveis, placas de identificação e até registar quando os seguranças mudam de turno. Isto será extremamente útil num futuro ataque a um banco.

O NFC

Se o smartphone do criminoso tiver funcionalidades NFC poderá ser utilizado para capturar os dados de um cartão de identificação de um empregado, dando-lhe acesso a áreas restritas do banco. O atacante pode também usar um dispositivo como o “Wi-Fi Pineapple” para criar um ponto de acesso falso e esperar que um empregado se ligue a ele, capturando as credenciais necessárias para aceder aos sistemas internos do banco.

O ponto fraco de alguns ataques

Nos ataques acima descritos existe um ponto fraco para os criminosos e que passa pelo facto de os atacantes terem de estar fisicamente presentes no banco que querem atacar. Neste caso, as câmaras de segurança podem ser usadas contra ele se as gravações forem analisadas depois de se descobrir o ataque e, por essa razão, os ataques que conseguem infiltrar-se em bancos e outras empresas costumam ser executados remotamente.

A resposta dos criminosos

Para não serem apanhados de surpresa, a maioria dos criminosos tentam executar remotamente os ataques. Na Rússia, tudo começou com um documento Word com macros maliciosas que foi enviado a um colaborador. Quando executado estabeleceu uma ligação a um servidor externo controlado pelos atacantes e instalou malware na máquina. Este malware foi posteriormente utilizado para controlar e espiar todas as ações efetuadas nessas estações de trabalho.

Via welivesecurity

Exit mobile version