Os riscos dos smartphones nas instituições bancárias

ESET-Phone

A ESET avança que as características avançadas dos dispositivos móveis podem representar riscos acrescidos em determinados locais. Neste campo as instituições bancárias estão no topo da lista.

Os utilizadores mal-intencionados estão sempre à espera de uma oportunidade. Deste modo, a primeira coisa que um cibercriminoso pode tentar fazer é verificar se existe alguma forma de se ligar a uma rede Wi-Fi identificada como sendo do banco.

Não é incomum encontrarem-se várias redes numa instituição, em que pelo menos uma é facilmente identificável como pertencendo à organização e mais exclusiva para empregados.

Quando isto sucede e apesar de normalmente ser necessário introduzir-se uma palavra-passe, pode existir uma má configuração que leve o cibercriminoso a conseguir entrar.

Em paralelo, se a rede não estiver tão isolada como deveria, o atacante pode conseguir analisar as medidas de segurança dos sistemas internos do banco e ligar-se a eles caso estas não sejam realmente eficazes.

Um dos “modus operandi” mais comuns passa pelo facto do cibercriminoso utilizar a câmara do smartphone para tirar fotos e vídeos de tudo o que lhe possa interessar: o software utilizado pelos empregados, as portas usadas nos computadores do banco, entradas de rede acessíveis, placas de identificação e até registar quando os seguranças mudam de turno. Isto será extremamente útil num futuro ataque a um banco.

Se o smartphone do cibercriminoso tiver a funcionalidade NFC poderá ser utilizado para capturar os dados de um cartão de identificação de um empregado, dando-lhe acesso a áreas restritas do banco.

O atacante pode também usar um dispositivo como o “Wi-Fi Pineapple” para criar um ponto de acesso falso e esperar que um empregado se ligue a ele, capturando as credenciais necessárias para aceder aos sistemas internos do banco.

Nos ataques acima descritos existe um ponto fraco para os cibercriminosos e que passa pelo facto de os atacantes terem de estar fisicamente presentes no banco que querem atacar.

Neste caso, as câmaras de segurança podem ser usadas contra eles se as gravações forem analisadas depois de se descobrir o ataque e, por essa razão, os ataques que conseguem infiltrar-se em bancos e outras empresas costumam ser executados remotamente.

Via ESET, WhiteHat.