Os bancos responderam à ameaça dos banker Trojans melhorando a segurança online e os procedimentos de autenticação dos seus clientes. Consequentemente, as técnicas utilizadas por este tipo de malware para furtar informação têm vindo a tornar-se cada vez mais sofisticadas. O desenvolvimento dos teclados virtuais para autenticação dos utilizadores foi um passo importante para tornar estas páginas Web mais seguras, impedindo os keyloggers de registarem os dados introduzidos pelos utilizadores através dos seus teclados físicos. Algumas variantes de malware, como a família BankoLimb, possum uma lista de URLs dos mais variados bancos. Quando os utilizadores infectados com o BankoLimb acedem a uma página Web presente nessa lista, o Trojan é activado injectando código HTML na página do banco. Como resultado, é solicitado aos utilizadores que forneçam mais informação do que a habitual para se autenticarem na página. Na realidade, o utilizador encontra-se na página Web legítima, apesar desta se encontrar ligeiramente modificada. Por isso, os utilizadores devem estar atentos para alterações na página Web do seu banco, pois qualquer informação adicional que seja fornecida poderá ser capturada. Noutros casos, os Trojans podem sobrepôr uma falsa página Web à original, ou simplesmente redireccionar os utilizadores para um falso website idêntico ao legítimo. Após a captura da informação, as vítimas poderão deparar-se com uma mensagem de erro, mas outras vezes são encaminhadas de volta para o website genuíno do banco.
Algumas variantes da família Sinowal são altamente sofisticadas, e são capazes de modificar dados em tempo real. Por exemplo, se um utilizador estiver a realizar uma transferência bancária na página Web do seu banco, estas variantes podem alterar os dados do destinatário pretendido para essa transferência após confirmada a ordem para a transacção. O resultado da operação que é mostrado ao utilizador inclui os dados originais, evitando assim qualquer suspeita. Outras variantes consultam um servidor para verificar se devem tomar qualquer acção, dependendo das páginas Web que o utilizador está a visitar. Isto significa que o código malicioso não depende de um ficheiro de configuração e que o seu criador consegue actualizar a lista de websites a partir dos quais podem roubar informação ou injectar código malicioso, entre outros. Após roubada, a informação é normalmente transmitida via e-mail ou publicada num servidor FTP.
Como forma de evitar tornarem-se vítimas deste tipo de esquemas, a Panda Security aconselha os utilizadores a verificarem sempre se os links em que necessitam de clicar, apontam realmente para o website a que devem corresponder, bastando passar o cursor do rato por cima do link para visualizar o URL que será aberto. Muitas vezes os links são camuflados, apontando na realidade para endereços de páginas maliciosas que transferem estes banker Trojans e outro tipo de malware para o seu computador. Nem sempre se trata, por isso, de infecção directa por parte dos criminosos das páginas legítimas.
É também muito importante manter os sistemas operativos actualizados com as mais recentes correcções de vulnerabilidades, e possuir uma solução de segurança actualizada e com tecnologias proactivas, tal como as fornecidas nas soluções Panda, que analisam os processos em tempo real baseando-se em padrões comportamentais, e dessa forma detectam e bloqueiam acções maliciosas provocadas por novas ameaças ainda não identificadas. Estas ameaças são enviadas para o laboratório PandaLabs para análise, classificação e processamento de uma “vacina” que permitirá identificá-la em situações futuras.
Algumas variantes da família Sinowal são altamente sofisticadas, e são capazes de modificar dados em tempo real. Por exemplo, se um utilizador estiver a realizar uma transferência bancária na página Web do seu banco, estas variantes podem alterar os dados do destinatário pretendido para essa transferência após confirmada a ordem para a transacção. O resultado da operação que é mostrado ao utilizador inclui os dados originais, evitando assim qualquer suspeita. Outras variantes consultam um servidor para verificar se devem tomar qualquer acção, dependendo das páginas Web que o utilizador está a visitar. Isto significa que o código malicioso não depende de um ficheiro de configuração e que o seu criador consegue actualizar a lista de websites a partir dos quais podem roubar informação ou injectar código malicioso, entre outros. Após roubada, a informação é normalmente transmitida via e-mail ou publicada num servidor FTP.
Como forma de evitar tornarem-se vítimas deste tipo de esquemas, a Panda Security aconselha os utilizadores a verificarem sempre se os links em que necessitam de clicar, apontam realmente para o website a que devem corresponder, bastando passar o cursor do rato por cima do link para visualizar o URL que será aberto. Muitas vezes os links são camuflados, apontando na realidade para endereços de páginas maliciosas que transferem estes banker Trojans e outro tipo de malware para o seu computador. Nem sempre se trata, por isso, de infecção directa por parte dos criminosos das páginas legítimas.
É também muito importante manter os sistemas operativos actualizados com as mais recentes correcções de vulnerabilidades, e possuir uma solução de segurança actualizada e com tecnologias proactivas, tal como as fornecidas nas soluções Panda, que analisam os processos em tempo real baseando-se em padrões comportamentais, e dessa forma detectam e bloqueiam acções maliciosas provocadas por novas ameaças ainda não identificadas. Estas ameaças são enviadas para o laboratório PandaLabs para análise, classificação e processamento de uma “vacina” que permitirá identificá-la em situações futuras.
Autor : Rui Lopes, Director do Departamento de Consultoria da Panda Security{mosgoogle}
