Badacz z Kaspersky Lab, Fabio Assolini, zaprezentował podczas konferencji Virus Bulletin swoje badanie dotyczące zagrożenia związanego z systemem płatności Boletos – szeroko rozpowszechnionej kampanii oszustw finansowych, których celem są Brazylijczycy. Niektórzy użytkownicy dawno już zdecydowali, że z powodu szkodliwego oprogramowania finansowego wykorzystywanie jakichkolwiek serwisów płatności online jest zbyt niebezpieczne.
Jednak czy to niezwykle ostrożne podejście pozwala im czuć się naprawdę bezpiecznie? Według Fabio Assoliniego – nie, szczególnie w jego ojczyźnie, Brazylii, w której Boletos stanowi powszechny sposób regulowania rachunków online oraz offline.
Boletos to jeden z najpopularniejszych sposobów płacenia rachunków i kupowania towarów w Brazylii – wykorzystują go nawet instytucje rządowe – który stanowi unikatową cechę rynku brazylijskiego. Boleto to specjalny dokument papierowy z kodem paskowym oraz 44-cyfrowym kodem identyfikacyjnym. Gdy użytkownicy płacą za produkty czy usługi przy użyciu Boletos, drukują dokument i idą do banku, bankomatu lub logują się do konta bankowego online. Następnie procedura wymaga zeskanowania kodu kreskowego lub wprowadzenia kodu identyfikacyjnego. Ostatecznie klient dokonuje transakcji przy pomocy gotówki lub płatności elektronicznej. Kod kreskowy oraz 44-cyfrowy identyfikator jest niepowtarzalny dla każdego druku Boleto, który z kolei jest powiązany z określonym zakupem w celu ograniczenia ryzyka, że coś pójdzie nie tak.
Badanie firmy Kaspersky Lab pokazało, że brazylijscy przestępcy zmieniają dane uwierzytelniające płatności w Boletos – dokumenty płatności wygenerowane na komputerach ofiar. Wykorzystują do tego celu różne techniki – od szkodliwego oprogramowania typu SpyEye, po zaszyfrowane szkodliwe funkcje oraz szkodliwe rozszerzenia dla przeglądarek rozprzestrzeniane za pośrednictwem oficjalnego sklepu z aplikacjami. Szkody poniesione do tej pory w wyniku oszustw Boletos mogą przekraczać miliony dolarów.
Oszustwo
Większość serwisów online tworzy druki Boleto automatycznie – dokument oraz wszystkie dane uwierzytelniające są generowane w przeglądarce urządzenia użytkownika. W tym momencie wkraczają przestępcy. Przy użyciu różnych technik ukradkowo zmieniają dane uwierzytelniające płatności. W szczególności modyfikują kod kreskowy oraz kod identyfikacyjny w celu przekierowania płatności do innego konta bankowego. Większość osób zauważa takie zmiany, gdy jest już za późno. Na tym polega oszustwo: ofiary nieświadomie przelewają pieniądze na konto bankowe oszusta, myśląc, że płacą za legalną transakcję.
Szkodliwe techniki
Brazylijscy przestępcy stosują szereg różnych technik w celu “złapania” swoich ofiar. W pierwszym tego typu incydencie, zidentyfikowanym w kwietniu 2013 r., wykorzystywano trojany w celu wstrzykiwania szkodliwego kodu do przeglądarki – podobnie jak miało to miejsce w przypadku niesławnego trojana bankowego SpyEye.
Cyberprzestępcy zdołali nawet zaatakować serwisy generowania druków Boleto wykorzystujące szyfrowanie SSL. Jeden ze szkodników analizowanych przez ekspertów z Kaspersky Lab wykorzystywał Fiddlera – sieciowe narzędzie do szukania błędów w oprogramowaniu. Niektóre szkodniki Boleto wykorzystują to narzędzie do przechwytywania ruchu SSL lub przeprowadzania ataków typu Man in the Middle, próbując zmienić druki płatności, nawet gdy są generowane na stronach HTTPS.
W innym przypadku brazylijscy oszuści zapożyczyli technikę dostarczania zaszyfrowanych szkodliwych funkcji, wykorzystaną początkowo przez osoby stojące za szkodnikiem ZeuS/Gameover. Wykorzystanie zaszyfrowanych szkodliwych funkcji pomaga przestępcom znaleźć skuteczny sposób na obejście zapór sieciowych, filtrów stron WWW, systemów wykrywania włamań do sieci oraz innych mechanizmów obrony. W technice tej niewielki trojan pobiera takie zaszyfrowane pliki i odszyfrowuje je w celu dokończenia infekcji.
Ponadto cyberprzestępcy wykorzystywali również szkodliwe rozszerzenia dla przeglądarki Chrome, które były skutecznie rozprzestrzeniane za pośrednictwem oficjalnego sklepu Chrome Web Store, oraz rozszerzenia dla przeglądarki Firefox.
Siła rażenia
Według publicznie dostępnych informacji ataki wymierzone w użytkowników usługi Boletos – zarówno osoby fizyczne, jak i firmy – przynoszą rzeczywiste straty finansowe rzędu milionów dolarów rocznie. Eksperci z Kaspersky Lab nie odkryli żadnego dowodu potwierdzającego te szacunki. Przeprowadzone badania pozwoliły jednak na zidentyfikowanie kilku ofiar. Tylko na jednym z cyberprzestępczych serwerów kontroli zarejestrowano ponad 612 000 żądań w ciągu zaledwie trzech dni. Każde z nich próbowało wstrzyknąć oszukańcze pole identyfikatora do druków Boleto wygenerowanych na zainfekowanym komputerze.