Com anúncios no Google, hackers roubam R$ 160 milhões em Bitcoin

A Talos, unidade de pesquisa de segurança da Cisco, divulgou detalhes técnicos sobre a atividade de uma gangue de hackers que teria roubado um total de US$ 50 milhões (aproximadamente R$ 160 milhões) em moeda virtual Bitcoin desde 2015. Batizado de "Coinhoarder" ("acumulador de moedas"), o grupo chegava até as vítimas por meio de anúncios maliciosos veiculados no Google Adwords, a plataforma de publicidade do Google.

Para potencializar os ganhos, o Coinhoarder usava os recursos de direcionamento da plataforma de anúncios do Google, mirando principalmente em internautas de perfil e localidade predeterminados. De acordo com o Talos, os principais alvos eram internautas africanos e em outros países em que o acesso a serviços bancários é difícil ou onde as moedas oficiais são instáveis, já que essas pessoas podem estar mais interessadas no Bitcoin.

O Google foi procurado pela coluna Segurança Digital nesta segunda-feira (19), mas não se pronunciou até a publicação da reportagem.

As páginas divulgadas nos anúncios eram clones do site Blockchain, onde usuários podem criar e gerenciar uma carteira de Bitcoin. Em um caso apresentado pelo Talos, o grupo criou uma página clonada do site legítimo Blockchain.info no endereço "blockcharin.info". Outros nomes usados foram "blokchein.info" e "block-clain.info".

Os hackers ainda tiraram proveito de um recurso que permite usar caracteres especiais nos endereços para usar um nome ainda mais parecido: "blockchaín.info" ("i" com acento agudo).
Site clonado do site Blockchain.info em endereço diferente do original (Blockcharin.info) e 'HTTPS', com o cadeado de segurança. De acordo com a Talos, o idioma do site se adaptava de acordo com o visitante. (Foto: Reprodução)
Além do visual e do nome parecido no site, as páginas falsas também usavam certificação de segurança. Ou seja, elas eram exibidas com "HTTPS" e com o "cadeado" pelo navegador. Como esses recursos de segurança só indicam que uma página é legítima quando o endereço é exatamente idêntico ao original, nada impede que um site de nome levemente diferente exiba o "cadeado", mesmo que a diferença seja apenas o acento agudo em uma letra.

Com essa impressão de segurança, as vítimas digitavam suas senhas na página clonada, entregando seus fundos aos criminosos.

De acordo com o Talos, as páginas maliciosas apareciam em primeiro lugar na página de resultados de busca -- como é típico de anúncios -- para pesquisas como "carteira de bitcoin" e "Blockchain". Uma das páginas monitoradas pelo Talos chegou a receber pelo menos 200 mil visitas em uma só hora.

Desde que esse ataque começou, outras gangues também adotaram o mesmo método de fraude, criando páginas clonadas e envenenando resultados de busca para outras moedas e serviços.

Abrigo na Ucrânia

A equipe de segurança da Cisco colaborou com a polícia da Ucrânia para derrubar o servidor que abrigava as páginas clonadas. Os hackers contrataram um serviço de "bulletproof hosting" -- tipo de hospedagem que ignora denúncias de abuso de rede e mantém páginas criminosas no ar.

As informações obtidas pela polícia ucraniana levaram os especialistas da Cisco até um dos endereços de Bitcoin usados pela gangue, permitindo estimar o lucro da operação criminosa. Só entre setembro e dezembro de 2017, os criminosos obtiveram US$ 10 milhões (aproximadamente R$ 30 milhões).

Embora o servidor usado pelos bandidos tenha sido retirado do ar, não foram feitas prisões.

Por

Publicado originalmente em G1

Comentários

Publicidade

Mais vistas da semana

BC cria grupo de estudo sobre emissão de moeda digital

Blockchain, muito além do bitcoin

Bitcoin será superado por Ethereum segundo Roger Ver

Cripto híbrida e fundo imobiliário ganham permissão do governamental na Alemanha

Especialistas defendem uso da tecnologia BlockChain para reduzir fraudes com dinheiro público