Hackers exigem $1 Milhão para não divulgarem informações de clientes

05/06/2018 mindsecblog LGPD & PRIVACY, Notícias 1

Hackers exigem $1 Milhão para não divulgarem informações de clientes. Os hackers ameaçaram divulgar informações pessoais de quase 100 mil clientes de dois bancos canadenses, a menos que os credores paguem um resgate de US $ 1 milhão por seu retorno seguro. Na segunda-feira, 25 de maio, o Bank of Montreal e o banco on-line Simplii Financial – de propriedade da CIBC – revelaram que souberam no fim de semana que as informações pessoais de identificação de 90 mil diferentes correntistas dos dois bancos foram roubadas.

Os hackers exigiram um resgate de 1 milhão de dólares canadenses (US $ 770.000), pagos no sistema de troca de criptomoedas XRP da Ripple, de cada um dos dois bancos afetados segundo a emissora canadense CBC News.

O pedido de resgate feito ao Bank of Montreal, operando como BMO Financial Group, e a Simplii Financial, uma subsidiária bancária do Canadian Imperial Bank of Commerce, que na semana passada haviam sido avisados de que alguns dos dados de seus clientes poderiam ter sido expostos em dias anteriores. A notícia do Information Security Media Group afirma que nenhum dos dois bancos comentou sobre como eles souberam da suposta violação de dados, mas ambos dizem estar investigando.

Segundo a Media Group, a BMO é o quarto maior banco do Canadá em ativos e pode ter detalhes 50.000 clientes expostos. O CIBC é o quinto maior banco do país e pode ter detalhes de 40.000 clientes expostos.

Um e-mail dos supostos ladrões, informou a CBC que “Advertimos à BMO e à Simplii que compartilharíamos as informações de seus clientes se não cooperassem“, a CBC diz que o email é de origem russa e que os hackers afirmam que usaram um algoritmo para gerar números de conta autênticos, o que permitiu que se apresentassem como legítimos detentores de conta e iniciassem um processo de legitimo de “perda de senha” que permitiu o reset das perguntas de confiança e ganhassem acesso ás contas.

Como eles fizeram

O e-mail também forneceu uma breve explicação de como eles dizem que hackearam as contas. Os hackers afirmam que conseguiram obter acesso parcial às contas usando um algoritmo matemático comum projetado para validar rapidamente sequências numéricas relativamente curtas, como números de cartão de crédito e números de seguro social. Os hackers dizem que usaram o algoritmo para obter números de contas, o que lhes permitiu representar como titulares de contas autênticos que simplesmente esqueceram suas senhas. Eles dizem que aparentemente foi o suficiente para permitir que eles redefinissem as perguntas e respostas de segurança do backup, dando-lhes acesso à conta. “Eles davam muita permissão para uma conta parcialmente autenticada que nos permitia obter todas essas informações“, disse o email, acrescentando que o banco “não estava verificando se uma senha era válida até que a pergunta de segurança fosse inserida corretamente“.

Segundo a CBC o e-mail exigiu um resgate de US $ 1 milhão em uma criptocorrente conhecida como Ripple, caso contrário as informações seriam divulgadas. “Esses … perfis serão vazados no fórum de fraudes e na comunidade de fraudes, assim como os 90 mil restantes, se não recebermos o pagamento antes de 28 de maio de 2018, às 23h59“, disse o e-mail. Esse prazo já passou. A carteira de criptomoedas, onde os hackers pediram o pagamento do dinheiro, só foi aberta no mês passado, mas já tem o equivalente a quase US $ 5 milhões.

A CBC News procurou os dois bancos para confirmar se algum resgate havia sido pago. “Nossa prática não é fazer pagamentos a fraudadores“, disse o Bank of Montreal, e completou “Estamos focados em proteger e ajudar nossos clientes“. O Simplii disse que “continuamos a trabalhar com especialistas em segurança cibernética, com agentes do governos e outros para proteger os dados e interesses de nossos clientes Simplii“. Para respaldar a veracidade de suas reivindicações, os ladrões compartilharam informações de identificação sobre dois canadenses – cada um deles um cliente de cada banco. A CBC News contatou esses dois indivíduos e ambos confirmaram a veracidade das informações que os ladrões enviaram.

Recomendação: Nunca Pague

Os especialistas em segurança e segurança da informação há muito recomendam as organizações a nunca pagar resgates, pois financia os criminosos diretamente, incentiva os agressores a continuar, atrai novos operadores criminosos e também paga pela pesquisa e desenvolvimento contínuos. Especialistas dizem que as organizações que pagam um resgate fazem uma marca fácil, seja para a mesma gangue criminosa voltar pedindo mais, ou para outros que espiam um alvo fácil. Ao mesmo tempo, as autoridades dos EUA e do Reino Unido, pelo menos, têm sido claras: a escolha de pagar ou não cabe às empresas.

Mas a prevalência contínua desses tipos de ataques sugere que um número suficiente de vítimas paga para que valha a pena para os invasores. De fato, o FBI diz que esses tipos de resgates são um dos dois principais esquemas de cibercrime que estão sendo vistos hoje. “A principal coisa que continua batendo é o ransomware e a extorsão“, disse o agente especial Efrene G. Sakilayan, assistente adjunto do FBI no Reino Unido, na “Conferência Internacional sobre Big Data em Segurança Cibernética“, em Edimburgo, Escócia. “Esse é o nome do jogo, é por isso que há um bilhão de dólares de bitcoins hoje.”

Bitcoins e outras criptomoedas, como bitcoin, dash, ethereum, litecoin, monero e zcash, proporcionam aos ladrões uma maneira mais fácil de monetizar seus resgates de extorsão, dando às vítimas uma maneira de enviar pagamentos remotamente. Do ponto de vista da lavagem de dinheiro, o uso de carteiras de criptomoedas – incluindo técnicas de “tumbling” ou “mistura” que dividem criptomoedas em quantidades menores e o colocam entre carteiras – também dificulta que as autoridades “sigam o dinheiro“, quando as vítimas pagam. Nada disso seria possível – ou necessário – se mais organizações tivessem melhores práticas de segurança da informação

Matéria publicada aqui no Blog Minuto da Segurança mostra que Menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta, por isto pagar uma demanda de resgate é uma ótima maneira de acabar perdendo seu dinheiro e seus arquivos. De acordo com um estudo da empresa de segurança CyberEdge, a melhor aposta para recuperar-se de um ataque de ransomware provavelmente é apenas restaurar a partir de um backup. A pesquisa, baseada em uma consulta à profissionais de segurança da informação, descobriu que menos de metade daqueles que pagam uma demanda de resgate acabam recebendo seus dados de volta.