Luca Annunziata

Brasile, la banda del Boleto

Scoperta una truffa miliardaria che si insinua nel meccanismo di pagamento molto popolare in Sudamerica. Le cifre sciorinate da RSA parlano di miliardi di fondi sottratti ai legittimi proprietari

Roma - Cambiano i paesi, cambiano i tempi, ma non cambiano le cattive abitudini dei creatori di malware: a essere oggetto delle nefaste attenzioni dei malintenzionati sono in questo caso i navigatori brasiliani, colpiti sfruttando le pieghe di uno dei sistemi più popolari per il trasferimento di fondi nel loro paese. Il cosiddetto boleto bancario altro non è che un meccanismo simile a una carta prepagata, impiegato anche per fare acquisti online: attraverso le infezioni di sistemi Windows che ospitano versioni vulnerabili di alcuni browser molto popolari, alcune bande di malintenzionati sarebbero riuscite a sottrarre oltre 2,75 miliardi di euro dirottando le transazioni.


Stando a quanto riferito da RSA, i risultati della sua operazione Bolware parlano chiaro: 30 differenti plugin di altrettante banche brasiliane sarebbero stati clonati e modificati per ingannare gli utenti, così da indurli a effettuare pagamenti convinti di essere del tutto al sicuro, mentre le informazioni sulla transazione e persino le loro credenziali finivano nelle mani dei malintenzionati. I fondi trasferiti solo apparentemente finivano al destinatario prefissato: in realtà erano dirottati su un conto riferibile alla gang criminale, che pochi euro alla volta (i boleto sono erogabili anche per piccole cifre) avrebbero messo insieme una fortuna. In totale i computer infettati sarebbero circa 192mila, con non meno di 83mila set di credenziali sottratte ai legittimi proprietari. Le transazioni violate sfiorano l'incredibile cifra di 500.000 in due anni.

La truffa è stata perpetrata attraverso diversi canali: i computer sono stati infettati attraverso tecniche consolidate, ad esempio trojan horse, ingegneria sociale, oppure codice iniettato attraverso siti inconsapevoli, ma oltre a questi metodi ortodossi sono stati scovati anche delle estensioni disponibili nei marketplace ufficiali di alcuni browser molto diffusi (citati Firefox e Chrome) che avevano lo stesso scopo e funzione. In altre parole, in taluni casi potrebbero essere state le stesse vittime a scegliere di scaricare e installare gli strumenti che le gang utilizzano per sottrargli il denaro. La truffa comunque sarebbe circoscritta ai PC desktop: chi utilizza sistemi operativi differenti da Windows o altri tipi di device non dovrebbe essere stato coinvolto in questa offensiva.
Una piccola polemica si innesta sulle cifre in ballo: Brian Krebs, noto giornalista esperto di sicurezza, afferma di aver visto in prima persona un singolo pannello di controllo di una delle botnet che ruba i boletos che da solo valeva 250mila dollari in pochi mesi di attività. La cifra suggerita da RSA, 2,75 miliardi di euro, non trova invece sponda nelle cifre snocciolate dall'associazione bancaria brasiliana: in quel caso FEBRABAN parla di circa 700 milioni di dollari, circa 515 milioni di euro, spariti nel corso di truffe telematiche, segno che comunque il problema sussiste ed è reale. Quanto alla quantificazione del danno, ci sarà tempo per farla: per ora è più urgente provvedere alla bonifica dei PC infetti per salvaguardare le transazioni future.

Luca Annunziata
6 Commenti alla Notizia Brasile, la banda del Boleto
Ordina
  • Si, le gang hanno utilizzato anche estensioni di Firefox e di Chrome. Erano originariamente pensate per pagare le tasse, ma i soliti hacker hanno trovato un utilizzo alternativo.A bocca aperta
    non+autenticato
  • - Scritto da: tucumcari
    > Si, le gang hanno utilizzato anche estensioni di
    > Firefox e di Chrome. Erano originariamente
    > pensate per pagare le tasse, ma i soliti hacker
    > hanno trovato un utilizzo alternativo.
    >A bocca aperta
    la cosa curiosa e' che sta roba non c'e' nel report RSA (dove si origina il tutto) e nelle indagini di krebs... e' citata solo in un intervista, dove vien menzionata da un dirigente kaspersky... sul loro blog pero' nessuna traccia (ne di quello ne di analisi).
    Per carita', sara' verissimo, ma l'altro gg quando ho guardato NON ne ho trovato menzione (seria) alcuna...

    (l'unica, vaga, menzione forse era sul fatto che le banche nel tempo avevano fornito dei plugin per render piu sicura la transazione, ma il malware (un exe trojano) hookando routine di win e del browser, le bypassava ....)
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: tucumcari
    > Per carita', sara' verissimo, ma l'altro gg
    > quando ho guardato NON ne ho trovato menzione
    > (seria)
    > alcuna...
    >
    > (l'unica, vaga, menzione forse era sul fatto che
    > le banche nel tempo avevano fornito dei plugin
    > per render piu sicura la transazione, ma il
    > malware (un exe trojano) hookando routine di win
    > e del browser, le bypassava
    > ....)
    Meglio non indagare sui sistemi di pagamento delle tasse in Brasile, e nemmeno sugli intrecci di interessi, non tutti puliti, di Kaspersky.A bocca aperta
    non+autenticato
  • meglio indagare sui sistemi di pagamento delle tasse italiani?A bocca aperta

    credo che i cybercriminali impazzirebbero per star dietro a tutte le vaccate che i governi italiani fanno
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: bubba
    > > - Scritto da: tucumcari
    > > Per carita', sara' verissimo, ma l'altro gg
    > > quando ho guardato NON ne ho trovato menzione
    > > (seria)
    > > alcuna...
    > >
    > > (l'unica, vaga, menzione forse era sul fatto
    > che
    > > le banche nel tempo avevano fornito dei
    > plugin
    > > per render piu sicura la transazione, ma il
    > > malware (un exe trojano) hookando routine di
    > win
    > > e del browser, le bypassava
    > > ....)
    > Meglio non indagare sui sistemi di pagamento
    > delle tasse in Brasile, e nemmeno sugli intrecci
    > di interessi, non tutti puliti, di Kaspersky.
    >A bocca aperta
    considerazione interessante, ma un tantino OT... io ovviamente mi riferivo a < trojan horse blabla sono stati scovati anche delle estensioni disponibili nei marketplace ufficiali >.
    In teoria sarebbe una roba di rilievo, ma non ne ha parlato nessuno ( hint: sara' una cazzata di un PR di kaspersky?)
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: tucumcari
    > > - Scritto da: bubba
    > > > - Scritto da: tucumcari
    > considerazione interessante, ma un tantino OT...
    > io ovviamente mi riferivo a < trojan horse
    > blabla sono stati scovati anche delle estensioni
    > disponibili nei marketplace ufficiali >.
    >
    > In teoria sarebbe una roba di rilievo, ma non ne
    > ha parlato nessuno ( hint: sara' una cazzata di
    > un PR di
    > kaspersky?)
    Come in tutte queste cose, i particolari verranno fuori nei giorni prossimi. A volte capita anche che venga smentito tutto.
    Io tendo a credergli, a causa del sistema fiscale brasiliano.Occhiolino
    non+autenticato