Como funcionam os boletos bancários fraudulentos (e como se defender?)

08:50 Leandro Narezi Tonello 0 Comentarios



O Boleto bancário ainda é uma das formas de pagamento mais populares utilizadas pelos brasileiros para realizar compras online. Com os passar dos anos, tornou-se alvo de uma série de malwares que desejam tirar proveito de possíveis fragilidades dessa modalidade, um exemplo é o caso de 2013.
Para entender melhor o comportamento destes malwares, primeiramente é necessário compreender o funcionamento do boleto bancário.

O que é o Boleto bancário?
O Boleto é um título de cobrança, regulado pela Federação Brasileira de Bancos (FEBRABAN), que pode ser pago em qualquer instituição ou estabelecimento conveniado. Alguns tipos trazem orientações para que o portador do título possa pagá-lo mesmo após a data estabelecida como prazo, indicando acréscimos como juros, multas e outras condições.
Cada Boleto tem o nome do banco emissor, o valor devido, a data de vencimento, um número de identificação único e um código de barras nele.
O número de identificação e o código de barras contendo todas as informações de pagamento relevantes, tornando o Boleto mais fácil de pagar. Também é possível fazer o pagamento utilizando o número de identificação ou digitalizando o código de barras.

Abaixo segue uma imagem (meramente ilustrativa) com as informações do boleto:

De todos os campos do Boleto, os que precisamos entender melhor são: a “linha digitável” e o código de barras. Eles são imprescindíveis para completar a transação e encaminhar o dinheiro para a conta correta da pessoa físico - jurídica que emitiu o boleto.


Posição
Tamanho
Conteúdo
01 – 01
1
Identificação do Produto
02 – 02
1
Identificação do Segmento
03 – 03
1
Identificação do valor real ou referência
04 – 04
1
Dígito verificador geral (módulo 10 ou 11)
05 – 15
11
Valor
16 – 19
4
Identificação da Empresa/Órgão
20 – 44
25
Campo livre de utilização da Empresa/Órgão
16 – 23
8
CNPJ / MF
24 – 44
21
Campo livre de utilização da Empresa/Órgão


Como são “fraudados”?
Sabendo destas informações, foi possível que indivíduos mal intencionados trabalhassem na criação de trojans  que atacam e alterem boletos bancários.
Alguns trojans alteravam o código de barras e a linha digitável do boleto:


A linha digitável alterada pelo trojan não modifica o valor nem o vencimento do boleto. Não há alteração nos outros dados do boleto, ou seja, as informações apresentadas de forma escrita no boleto não conferem com a linha digitável manipulada. O trojan também não modifica o logo do banco no documento.
Atualmente existem três principais tipos de malwares de boleto registrados:

     Trojan.Eupuds
     Infostealer.Domingo

Embora existam algumas diferenças entre eles, o seu principal objetivo é interceptar e manipular Boletos legítimos para que o pagamento seja enviado para os atacantes, em vez de o destinatário original.
Estes malwares podem chegar a um computador comprometido de diversas formas, por exemplo, através de e-mails spam ou através de DNS hijacking.
Os malwares “domingo”, “boleteiro” e “eupuds” são todos capazes de sequestrar o browser da vítima e detectar se um boleto está sendo exibido.
Uma vez que um Boleto for detectado, o malware irá alterar o número de identificação ou código de barras. Esta técnica pode ser usada em conjunto com a manipulação do código de barras.
Às vezes, o malware irá substituir o código de barras com aquele que corresponde ao número de identificação fornecido pelo invasor e, em outros casos, fará com que o código de barras fique ilegível, ou seja, a vítima deve fazer o pagamento através da introdução do número de identificação fornecido pelo invasor.

Para uma explicação mais especifica, segue o processo de funcionamento do malware Infostealer.Domingo:

Infostealer.Domingo é um ladrão de Boleto que usa o shdocvw.dll, um controlador de navegador web, para interagir com o controler do Internet Explorer. Ele possui a seguinte CLSID:

• 9BA05972-F6A8-11CF-A442-00A0C90A8F39

O Infostealer.Domingo verifica o conteúdo de páginas Web no Internet Explorer e arquivos no sistema que substituem os números do boleto por valores fornecidos pelo atacante. O malware não tem componentes incorporando camadas de embalagem, ou criptografia e quando é executado verifica a seguinte sub-chave de registro:

• KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Avadaquevadra

O Infostealer.Domingo apresentará um relatório ao servidor de controle se esta sub-chave não existir. Ele envia uma solicitação ao servidor de controle  para baixar um modelo do número de Boleto.
Se o servidor de controle não estiver disponível, um modelo "hard-coded" do número de Boleto é usado. Durante a análise, o modelo de número remoto do Boleto será idêntica ao valor codificado:

• 03399,65295 62300,000007 00044,201028 0 00000000000000

Isso ocorreu porque o modelo do número do boleto não inicializou os seguintes campos:

• soma de verificação geral
• Data de Vencimento
• Valor

O Infostealer.Domingo pode operar em modo online e offline

1. Online - manipula os Boletos apresentados durante a navegação na Web no Internet Explorer

2. Offline - manipula os Boletos no sistema de arquivo (.htm/.html em unidades B: - Z:)

O objetivo deste é redirecionar pagamentos por boleto legítimos para uma conta controlada pelo invasor.

Existem outros tipos de fraudes relacionadas ao Boleto Bancário, por exemplo, utilizando técnicas para “burlar” o valor total pago em pedidos efetuados e, consequentemente, pagando um valor menor do que a quantia total do pedido.
Esta técnica consiste em alterar manualmente (no momento do pagamento no caixa eletrônico ou internet banking) os valores finais do código de barras.
Usualmente, em um processo de “baixa” do pedido efetuado em boleto, não é enviado, pela próprio banco, o valor pago pelo cliente, poucas lojas virtuais adotam essa “verificação”. Isso permite que um atacante consiga alterar o valor do pagamento.
É possível também que vulnerabilidades - como ataques de Cross-site scripting (XSS) e manipulação na URL onde o boleto está sendo disponibilizado - gerem alterações das informações ou mesmo vazamento de informações confidenciais.

Referência:

0 comentários: