Fraude as a Service

“FaaS - Fraude as a Service… o.O”

Problemática

Durante uma validação de segurança na API de um aplicativo mobile, foi identificada uma falha considerada crítica pelo time de segurança. Apesar da mesma ter sido reportada para que os times responsáveis pudessem corrigir, não houve a mesma preocupação dos times. Foi então que surgiu a ideia do Fraude as a Service. Uma vez que explorada essa vulnerabilidade era possível obter dados de qualquer pessoa que tivesse uma chave PIX cadastrada no BACEN e até mesmo realizar pagamentos PIX (caso a senha de transação estivesse em poder do fraudador).

Ideia

Para melhor demonstrar o impacto dessa vulnerabilidade foi criado um bot no telegram. Se tratando de um setor financeiro, nada melhor que utilizar os fraudadores e seus M.O. (Modus Operandi). Para criação do bot foi explorado uma série de outras fragilidades para que fosse possível fazer com que o bot do telegram tivesse acesso a API vulnerável, uma vez que o sistema estava sendo executado em um aplicativo mobile.

Resultado

Uma vez que os times responsáveis tiveram acesso ao vídeo demonstrando o que poderia acontecer com o sistema deles, o impacto foi muito maior fazendo com que a devida atenção realmente fosse dada ao problema. Agora todos sabiam que além da vulnerabilidade na API, existia uma série de outras fragilidades que deveriam ser melhoradas para evitar explorações futuras.

PoC

Abaixo deixei registrado uma prova de conceito de como funcionava o bot, no exemplo abaixo estava programado para puxar somente os dados do meu usuário, mas poderia ser feito o mesmo processo com qualquer chave PIX válida.

• Video PoC

Observação

Esse bot não existe mais, foi utilizado somente como prova de conceito e demonstração de impacto. O impacto é muito mais valioso do que a vulnerabilidade em si.🤓