Como funcionam os boletos bancários fraudulentos (e como se defender?)
O Boleto bancário ainda é uma das formas de
pagamento mais populares utilizadas pelos brasileiros para realizar compras
online. Com os passar dos anos, tornou-se alvo de uma série de malwares que
desejam tirar proveito de possíveis fragilidades dessa modalidade, um exemplo é
o caso de 2013.
Para entender melhor o comportamento destes
malwares, primeiramente é necessário compreender o funcionamento do boleto
bancário.
O que é o
Boleto bancário?
O Boleto é um título de cobrança, regulado pela
Federação Brasileira de Bancos (FEBRABAN), que pode ser pago em qualquer instituição ou
estabelecimento conveniado. Alguns tipos trazem orientações para que o portador
do título possa pagá-lo mesmo após a data estabelecida como prazo, indicando
acréscimos como juros, multas e outras condições.
Cada Boleto tem o nome do banco emissor, o valor
devido, a data de vencimento, um número de identificação único e um código de
barras nele.
O número de identificação e o código de barras
contendo todas as informações de pagamento relevantes, tornando o Boleto mais
fácil de pagar. Também é possível fazer o pagamento utilizando o número de
identificação ou digitalizando o código de barras.
Abaixo segue uma imagem (meramente ilustrativa) com as informações do boleto:
Abaixo segue uma imagem (meramente ilustrativa) com as informações do boleto:
De todos os campos do Boleto, os que precisamos
entender melhor são: a “linha digitável” e o código de barras. Eles são
imprescindíveis para completar a transação e encaminhar o dinheiro para a conta
correta da pessoa físico - jurídica que emitiu o boleto.
Posição
|
Tamanho
|
Conteúdo
|
01 – 01
|
1
|
Identificação do Produto
|
02 – 02
|
1
|
Identificação do Segmento
|
03 – 03
|
1
|
Identificação do valor real ou referência
|
04 – 04
|
1
|
Dígito verificador geral (módulo 10 ou
11)
|
05 – 15
|
11
|
Valor
|
16 – 19
|
4
|
Identificação da Empresa/Órgão
|
20 – 44
|
25
|
Campo livre de utilização da
Empresa/Órgão
|
16 – 23
|
8
|
CNPJ / MF
|
24 – 44
|
21
|
Campo livre de utilização da
Empresa/Órgão
|
Como são “fraudados”?
Sabendo destas informações, foi possível que
indivíduos mal intencionados trabalhassem na criação de trojans que atacam e alterem boletos bancários.
Alguns trojans alteravam o código de barras e a
linha digitável do boleto:
A linha digitável alterada pelo trojan não
modifica o valor nem o vencimento do boleto. Não há alteração nos outros dados
do boleto, ou seja, as informações apresentadas de forma escrita no boleto não
conferem com a linha digitável manipulada. O trojan também não modifica o logo
do banco no documento.
Atualmente existem três principais tipos de
malwares de boleto registrados:
Embora existam algumas diferenças entre eles, o
seu principal objetivo é interceptar e manipular Boletos legítimos para que o
pagamento seja enviado para os atacantes, em vez de o destinatário original.
Estes malwares podem chegar a um computador
comprometido de diversas formas, por exemplo, através de e-mails spam ou
através de DNS hijacking.
Os malwares “domingo”, “boleteiro” e “eupuds”
são todos capazes de sequestrar o browser da vítima e detectar se um boleto
está sendo exibido.
Uma vez que um Boleto for detectado, o malware
irá alterar o número de identificação ou código de barras. Esta técnica pode
ser usada em conjunto com a manipulação do código de barras.
Às vezes, o malware irá substituir o código de
barras com aquele que corresponde ao número de identificação fornecido pelo
invasor e, em outros casos, fará com que o código de barras fique ilegível, ou
seja, a vítima deve fazer o pagamento através da introdução do número de
identificação fornecido pelo invasor.
Para uma explicação mais especifica, segue o
processo de funcionamento do malware Infostealer.Domingo:
Infostealer.Domingo é um ladrão de Boleto que usa o shdocvw.dll, um controlador de navegador
web, para interagir com o controler do Internet Explorer. Ele possui a seguinte
CLSID:
•
9BA05972-F6A8-11CF-A442-00A0C90A8F39
O Infostealer.Domingo
verifica o conteúdo de páginas Web no Internet Explorer e arquivos no
sistema que substituem os números do boleto por valores fornecidos pelo
atacante. O malware não tem componentes incorporando camadas de embalagem, ou
criptografia e quando é executado verifica a seguinte sub-chave de registro:
• KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Avadaquevadra
O Infostealer.Domingo
apresentará um relatório ao servidor de controle se esta sub-chave não existir.
Ele envia uma solicitação ao servidor de controle para baixar um modelo do número de Boleto.
Se o servidor de controle não estiver
disponível, um modelo "hard-coded" do número de Boleto é usado.
Durante a análise, o modelo de número remoto do Boleto será idêntica ao valor
codificado:
• 03399,65295
62300,000007 00044,201028 0 00000000000000
Isso ocorreu porque o modelo do número do boleto
não inicializou os seguintes campos:
• soma de verificação geral
• Data de Vencimento
• Valor
O Infostealer.Domingo pode operar em modo
online e offline
1. Online - manipula os Boletos apresentados
durante a navegação na Web no Internet Explorer
2. Offline - manipula os Boletos no sistema de
arquivo (.htm/.html em unidades B: - Z:)
O objetivo deste é redirecionar pagamentos por
boleto legítimos para uma conta controlada pelo invasor.
Existem outros tipos de fraudes relacionadas ao
Boleto Bancário, por exemplo, utilizando técnicas para “burlar” o valor total
pago em pedidos efetuados e, consequentemente, pagando um valor menor do que a
quantia total do pedido.
Esta técnica consiste em alterar manualmente (no
momento do pagamento no caixa eletrônico ou internet banking) os valores finais
do código de barras.
Usualmente, em um processo de “baixa” do pedido
efetuado em boleto, não é enviado, pela próprio banco, o valor pago pelo
cliente, poucas lojas virtuais adotam essa “verificação”. Isso permite que um
atacante consiga alterar o valor do pagamento.
É possível também que vulnerabilidades - como
ataques de Cross-site scripting (XSS) e manipulação na URL onde o boleto está
sendo disponibilizado - gerem alterações das informações ou mesmo vazamento de
informações confidenciais.
Referência:
0 comentários: