Artigo20/09/2017 às 11h54

Como evitar o overlay attack?

Giovanni Verhaeghe, da Vasco Data Security

É crescente o número de ataques em que o usuário é direcionado para um site falso, muito parecido com o original, e tem seus dados confidenciais roubados. Trata-se do overlay attack.

A autenticação através de dois fatores foi por muito tempo vista como a mais efetiva forma de enfrentar os criminosos que usam a Internet para explorar as fraquezas técnicas ou humanas do acesso móvel aos bancos e demais instituições financeiras. Porém, uma nova forma de ataque tem sido usada com frequência cada vez maior, combinando elementos da já clássica engenharia social com a exploração das brechas de segurança inerentes aos próprios aplicativos dos bancos.
No chamado overlay attack o programa criminoso detecta quando o usuário abre a aplicação do banco, minimiza o aplicativo e apresenta um ambiente que é praticamente idêntico ao real. Qualquer dado que o usuário insira, como senhas e códigos, é roubado e os dados da transação são alterados de modo que o usuário inadvertidamente envie a sua operação para os criminosos que estão por trás desse ataque. Na maioria dos casos, esse malware toma a forma de um cavalo de Tróia, uma aplicação aparentemente legítima baixada de um site confiável ou de uma loja conhecida de aplicativos.

O crescimento dessa modalidade de ataque tem aumentado a necessidade de proteção em múltiplas camadas, uma vez que mesmo o robusto fator de autenticação dupla não pode mais proteger os dispositivos que rodam Android. Aqui é onde a responsabilidade das instituições que fornecem os aplicativos deve ser cobrada. A própria aplicação bancária deve conter uma forma de segurança que detecte se ela está sendo manipulada. A reação padrão deveria ser bloquear qualquer dado inserido pelo usuário e eliminar o surgimento da página falsa.

Novos ataques aparecem o tempo todo e uma segurança efetiva deve garantir que a exploração de uma fraqueza específica não seja suficiente para comprometer o usuário. O fator duplo de autenticação permanece como uma parte vital da defesa dos usuários. Criminosos que buscam roubar credenciais ou mesmo detalhes de cartões de crédito terão pouco uso para o fruto do seu furto se eles necessitam também de terem um dispositivo físico ou uma chave criptográfica. Isso pode assumir tanto a forma de um token baseado em hardware ou em software que gera um código alterado de tempo em tempo cada vez que o usuário deseja executar uma operação potencialmente sensível. Roubar, por exemplo, uma senha ou um número de acesso não é mais suficiente para que os criminosos tenham êxito.

Para o novo cenário, a tecnologia RASP (Runtime Application Self-Protection) disponibiliza uma múltipla camada de segurança ao integrar a função de proteção diretamente no aplicativo móvel. Ao invés de ter que quebrar apenas uma camada de segurança para comprometer o dispositivo, um hacker agora tem que penetrar através de múltiplas camadas difíceis de serem transpostas. Por outro lado, essa tecnologia detecta prioritariamente um comportamento estranho mais do que um código específico, o que permite que ela interrompa um overlay attack antes que ele tenha sucesso.

A tecnologia RASP também inclui mecanismos específicos de defesa contra essa modalidade de ataque, impedindo qualquer aplicativo de mostrar ao usuário uma página falsa. Isso é feito independentemente de uma específica forma de malware que se introduziu no sistema. A combinação da autenticação através de dois fatores com a tecnologia RASP fornece às instituições financeiras as ferramentas necessárias para a proteção de seus clientes. E essa é uma responsabilidade da qual os bancos não podem se eximir.

Giovanni Verhaeghe é diretor de marketing e de estratégia de produto da Vasco Data Security