Muitos navegadores gentilmente oferecem para salvar seus dados: credenciais de acesso, dados de cartão de crédito em lojas online, endereços de faturamento, número de passaporte para sites de viagens, etc. É prático porque evita que você tenha que preencher os mesmos campos mais de uma vez e diminui a preocupação sobre lembrar todas as senhas. No entanto, existe um problema: os criminosos podem obter essas informações salvas se o seu computador estiver infectado por um stealer (malware que rouba informações, incluindo a dos navegadores).
Esses programas são cada vez mais populares em golpes online. Somente no primeiro semestre deste ano, os produtos de segurança da Kaspersky detectaram mais de 940 mil ataques com stealer, aumento de um terço em relação ao mesmo período de 2018.
Estritamente falando, os stealers não apenas se concentram em dados de preenchimento automático em navegadores, mas também buscam carteiras de criptomoedas e dados de jogos e roubam arquivos do desktop (esperamos que você não guarde informações valiosas lá, como uma lista de senhas).
No entanto, os navegadores são usados tanto para o trabalho, quanto para o lazer (o que inclui fazer compras e consultas bancárias), então eles tendem a ser uma fonte de informações muito mais confidenciais se comparados a outros programas. Vamos ver como os stealers obtêm informações dos navegadores.
Os desenvolvedores de navegadores procuram proteger as informações que lhes são confiadas e, para isso, as criptografam de modo que só possam ser descriptografadas no mesmo dispositivo e conta onde foram armazenadas. Se alguém roubar um arquivo com dados de preenchimento automático, não poderá usá-lo porque tudo está protegido por criptografia.
Infelizmente, há uma brecha. Por padrão, os desenvolvedores de navegador presumem que tanto seu dispositivo e conta estão bem protegidos, ou seja, qualquer programa executado a partir de sua conta de computador atua em seu nome e, portanto, deve ser capaz de extrair e descriptografar informações armazenadas. Infelizmente, isso também inclui malware invasores, executados em sua conta.
O único navegador que oferece proteção extra para informações armazenadas contra terceiros é o Firefox, que permite criar uma senha mestra que deve ser inserida quando precisar descriptografar informações a serem usadas em um campo de preenchimento automático. No entanto, esta opção está desativada por padrão.
Como o malware rouba informações do Chrome
O Google Chrome e outros navegadores que dependem do mecanismo Chromium (como o Opera e o Yandex.Browser) sempre armazenam os dados do usuário no mesmo local, portanto, os stealers não terão problemas em encontrá-los. Vale ressaltar que teoricamente essas informações estão criptografadas. No entanto, se o malware já estiver no sistema, ele poderá operar em seu nome.
Portanto, o malware só faz uma singela solicitação à ferramenta de criptografia do navegador para descriptografar as informações armazenadas em seu computador. Como parece que o usuário solicitou, a operação é considerada por padrão segura e o stealer obtém todas as suas senhas e dados de cartão de crédito.
Como o malware rouba informações do Firefox
O Firefox funciona de uma maneira um pouco diferente. Com intuito de esconder os bancos de dados, especialmente, de estranhos, o navegador cria um perfil com um nome aleatório para que o malware não saiba, no começo, onde procurar. No entanto, o nome do arquivo com as informações armazenadas não é alterado -não há nada que impeça o stealer de pesquisar todos os perfis (as pastas que os contêm são armazenadas no mesmo local) e identificar o arquivo desejado.
Depois disso, o malware novamente solicita ao módulo do navegador relevante que descriptografe os arquivos e obtém êxito, pois o mesmo acredita que a operação foi feita pelo usuário.
Como o malware rouba informações do Internet Explorer e do Edge
Os navegadores nativos do Windows usam armazenamento especial para suas informações. O método e o tipo de armazenamento precisos dependem da versão do aplicativo, mas, em qualquer caso, a confiabilidade deixa muito a desejar. Neste caso, suas senhas e informações de cartão bancário podem ser obtidas de maneira simples, basta realizar a solicitação porque, aparentemente, ela virá de você.
O problema é que a solicitação de malware para descriptografar as informações parece vir do usuário, portanto, o navegador não tem motivos para recusá-la.
Uma vez que o malware tenha conseguido os dados de preenchimento automático em texto simples, tudo é enviado aos cibercriminosos e duas situações podem ocorrer: os responsáveis pelo ataque podem usá-los ou, certamente, vendê-los a terceiros no mercado paralelo, um lugar onde esse tipo de produto geralmente tem alto valor.
Em qualquer uma das situações, se os logins e senhas estiverem entre as informações armazenadas, os criminosos podem acabar roubando algumas contas e tentar obter dinheiro de seus amigos. Se você salvou as informações do cartão bancário no navegador, as perdas poderiam ser mais diretas, pois poderiam gastar ou transferir seu dinheiro.
As contas roubadas também podem ser usadas para muitas outras finalidades, desde spam e promoção de sites e aplicativos, até para o envio de vírus e lavagem de dinheiro roubado de outras pessoas (e se a polícia se envolver, eles podem bater à sua porta).
Como você pode ver, se o malware invadir seu computador, as informações armazenadas no seu navegador estarão em perigo e, com isso, suas finanças e reputação. Para evitar essa situação:
Fonte: Kaspersky