A Talos, unidade de pesquisa de segurança da Cisco, divulgou detalhes técnicos sobre a atividade de uma gangue de hackers que teria roubado um total de US$ 50 milhões (aproximadamente R$ 160 milhões) em moeda virtual Bitcoin desde 2015. Batizado de "Coinhoarder" ("acumulador de moedas"), o grupo chegava até as vítimas por meio de anúncios maliciosos veiculados no Google Adwords, a plataforma de publicidade do Google.
Para potencializar os ganhos, o Coinhoarder usava os recursos de direcionamento da plataforma de anúncios do Google, mirando principalmente em internautas de perfil e localidade predeterminados. De acordo com o Talos, os principais alvos eram internautas africanos e em outros países em que o acesso a serviços bancários é difícil ou onde as moedas oficiais são instáveis, já que essas pessoas podem estar mais interessadas no Bitcoin.
O Google foi procurado pela coluna Segurança Digital nesta segunda-feira (19), mas não se pronunciou até a publicação da reportagem.
As páginas divulgadas nos anúncios eram clones do site Blockchain, onde usuários podem criar e gerenciar uma carteira de Bitcoin. Em um caso apresentado pelo Talos, o grupo criou uma página clonada do site legítimo Blockchain.info no endereço "blockcharin.info". Outros nomes usados foram "blokchein.info" e "block-clain.info".
Os hackers ainda tiraram proveito de um recurso que permite usar caracteres especiais nos endereços para usar um nome ainda mais parecido: "blockchaín.info" ("i" com acento agudo).
Para potencializar os ganhos, o Coinhoarder usava os recursos de direcionamento da plataforma de anúncios do Google, mirando principalmente em internautas de perfil e localidade predeterminados. De acordo com o Talos, os principais alvos eram internautas africanos e em outros países em que o acesso a serviços bancários é difícil ou onde as moedas oficiais são instáveis, já que essas pessoas podem estar mais interessadas no Bitcoin.
O Google foi procurado pela coluna Segurança Digital nesta segunda-feira (19), mas não se pronunciou até a publicação da reportagem.
As páginas divulgadas nos anúncios eram clones do site Blockchain, onde usuários podem criar e gerenciar uma carteira de Bitcoin. Em um caso apresentado pelo Talos, o grupo criou uma página clonada do site legítimo Blockchain.info no endereço "blockcharin.info". Outros nomes usados foram "blokchein.info" e "block-clain.info".
Os hackers ainda tiraram proveito de um recurso que permite usar caracteres especiais nos endereços para usar um nome ainda mais parecido: "blockchaín.info" ("i" com acento agudo).
Além do visual e do nome parecido no site, as páginas falsas também usavam certificação de segurança. Ou seja, elas eram exibidas com "HTTPS" e com o "cadeado" pelo navegador. Como esses recursos de segurança só indicam que uma página é legítima quando o endereço é exatamente idêntico ao original, nada impede que um site de nome levemente diferente exiba o "cadeado", mesmo que a diferença seja apenas o acento agudo em uma letra.
Com essa impressão de segurança, as vítimas digitavam suas senhas na página clonada, entregando seus fundos aos criminosos.
De acordo com o Talos, as páginas maliciosas apareciam em primeiro lugar na página de resultados de busca -- como é típico de anúncios -- para pesquisas como "carteira de bitcoin" e "Blockchain". Uma das páginas monitoradas pelo Talos chegou a receber pelo menos 200 mil visitas em uma só hora.
Desde que esse ataque começou, outras gangues também adotaram o mesmo método de fraude, criando páginas clonadas e envenenando resultados de busca para outras moedas e serviços.
Abrigo na Ucrânia
A equipe de segurança da Cisco colaborou com a polícia da Ucrânia para derrubar o servidor que abrigava as páginas clonadas. Os hackers contrataram um serviço de "bulletproof hosting" -- tipo de hospedagem que ignora denúncias de abuso de rede e mantém páginas criminosas no ar.
As informações obtidas pela polícia ucraniana levaram os especialistas da Cisco até um dos endereços de Bitcoin usados pela gangue, permitindo estimar o lucro da operação criminosa. Só entre setembro e dezembro de 2017, os criminosos obtiveram US$ 10 milhões (aproximadamente R$ 30 milhões).
Com essa impressão de segurança, as vítimas digitavam suas senhas na página clonada, entregando seus fundos aos criminosos.
De acordo com o Talos, as páginas maliciosas apareciam em primeiro lugar na página de resultados de busca -- como é típico de anúncios -- para pesquisas como "carteira de bitcoin" e "Blockchain". Uma das páginas monitoradas pelo Talos chegou a receber pelo menos 200 mil visitas em uma só hora.
Desde que esse ataque começou, outras gangues também adotaram o mesmo método de fraude, criando páginas clonadas e envenenando resultados de busca para outras moedas e serviços.
Abrigo na Ucrânia
A equipe de segurança da Cisco colaborou com a polícia da Ucrânia para derrubar o servidor que abrigava as páginas clonadas. Os hackers contrataram um serviço de "bulletproof hosting" -- tipo de hospedagem que ignora denúncias de abuso de rede e mantém páginas criminosas no ar.
As informações obtidas pela polícia ucraniana levaram os especialistas da Cisco até um dos endereços de Bitcoin usados pela gangue, permitindo estimar o lucro da operação criminosa. Só entre setembro e dezembro de 2017, os criminosos obtiveram US$ 10 milhões (aproximadamente R$ 30 milhões).
Embora o servidor usado pelos bandidos tenha sido retirado do ar, não foram feitas prisões.
Por
Publicado originalmente em G1
Comentários
Postar um comentário