Um banco indiano que não tinha uma licença de firewall válida, não havia empregado proteção contra phishing, não tinha um sistema de detecção de intrusão e evitou o uso de qualquer sistema de prevenção de intrusão, surpreendentemente, foi comprometido por criminosos que fugiram com milhões de rúpias.
A infeliz instituição é chamada de Banco Urbano Cooperativo Andra Pradesh Mahesh. Suas 45 agências e pouco menos de US$ 400 milhões em depósitos fazem dele um dos bancos menores da Índia.
Certamente pensa pouco sobre segurança – pelo menos de acordo com a polícia da cidade de Hyderabad, que na semana passada detalhou um ataque ao banco que começou com mais de 200 e-mails de phishing sendo enviados em três dias em novembro de 2021. Pelo menos um desses e-mails conseguiu enganar a equipe , resultando na instalação de um Trojan de Acesso Remoto (RAT).
Outra tecnologia que o banco optou por não adotar foram as LANs virtuais, então, uma vez que o RAT começou a funcionar, os invasores conseguiram acesso aos sistemas do banco e puderam fazer roaming amplamente – mesmo em seu aplicativo bancário principal.
A análise da polícia de Hyderabad sobre o ataque descobriu que o Mahesh Bank permitiu descuidadamente que sua população de superusuários chegasse a dez – alguns com senhas idênticas. Os invasores comprometeram algumas dessas contas e obtiveram acesso a bancos de dados contendo informações de clientes, incluindo saldos de contas.
Os invasores também criaram novas contas bancárias e transferiram os fundos dos clientes para essas contas. Mais de US$ 1 milhão desses fundos roubados foram transferidos para centenas de outras contas no Mahesh Bank e outras instituições financeiras.
Para completar o assalto, os atacantes fizeram saques em 938 caixas eletrônicos em toda a Índia e fugiram com o dinheiro.
A polícia da cidade de Hyderabad escreveu que conseguiu identificar o ataque e congelar outros ~ $ 2 milhões em fundos antes que eles pudessem ser retirados.
O relatório da força sobre o incidente não é gentil com o Mahesh Bank, observando que não tinha “infraestrutura de rede adequada”, não tomou precauções para isolar os aplicativos da sede de suas agências, carecia de muitas ferramentas básicas de segurança, não treinava sua equipe para o eminentemente eventualidade previsível de um ataque de phishing e não possuía uma licença válida para seu firewall no momento dos ataques.
O último não é incomum porque o software corporativo geralmente tem preços de acordo com os padrões ocidentais, e os usuários em países menos prósperos que consideram o custo proibitivo jogam os dados em códigos não suportados e/ou desatualizados.
“A investigação até agora revelou os hackers, e os principais chefões estão localizados fora da Índia, provavelmente no Reino Unido e na Nigéria”, afirmou a polícia da cidade de Hyderabad. “O valor retirado é transferido para a Nigéria, provavelmente por meio de Hawala ou moedas criptográficas”.
A polícia de Hyderabad detalhou o ataque no vídeo abaixo – a maioria não está em inglês, mas apresenta diagramas nesse idioma.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
