Um dia no profundo mundo do cibercrime

Susana Marvão, em Israel,

O mercado do cibercrime é muito maduro. Muito mais do que eventualmente podemos imaginar. Aliás, arriscamo-nos a dizer que é um mercado altamente “regulado”. Exatamente: regulado. Digamos que é um marketplace onde se pode encontrar tudo o que se precisa, para qualquer tipo de crime. Podemos encontrar dados de cartões de crédito, identidades digitais e, se quisermos, até armas. Tudo!

Spionage

Em Israel, uma equipa da RSA, a divisão de segurança da EMC, levou-nos a este perturbador submundo onde a confiança e confidencialidade são os maiores trunfos a ter na manga.

Vamos primeiro dar uma visão geral. Uma olhadela no panorama. As ameaças por internet e as táticas de fraude continuam a crescer, não só em número mas em sofisticação, ao passo que o lucro do cibercrime continua a transformar a natureza deste perigoso “jogo”. Em 2013, só o phishing digital – que para se perceber melhor podemos comparar a um ato de um carteirista, que nos rouba a bolsa – representou 5,9 mil milhões e dólares em perdas para as organizações globais. Mais: três em cada quatro violações de dados foram atribuídas a motivos financeiros ou fraude. A verdade é que os cibercriminosos se tornaram mais organizados e adaptados e continuam a desenvolver modelos de fraude-como-um-serviço, o que acabou por tornar algumas das mais inovadoras e avançadas fraudes e ameaças disponíveis a uma base muito maior de potenciais utilizadores.

 Uma forma digital de “carteirismo”

Vamos-lhe chamar “carteirismo“ digital. O tal “phishing” digital. O mercado mais forte neste tipo de cibercrime é a América do Norte, nomeadamente Estados Unidos e Canadá. Depois, logo a seguir, temos o Reino Unido. Este mercado, para além de ser bastante organizado, é sazonal. Em novembro os ataques começam a subir, atividade que começa a reduzir em dezembro, por altura do Natal. A explicação é simples: os dados já foram roubados, agora há que ir às compras. Daniel Cohen, um dos responsáveis por esta área de segurança da EMC, explicou-nos que os ataques voltam a sofrer um novo incremento em abril, por altura do pagamento dos impostos nos Estados Unidos e, claro, em agosto para que as férias sejam em grande.

A complexidade deste mercado não se fica obviamente por aqui. Muitas vezes, os “phiser”, os cibercriminosos que roubam os dados, não sabem fazer nada com eles, pelo que os vendem a especialistas em usá-los e transformá-los em dinheiro real. “É preciso saber fazer compras sem deixar rasto no mundo digital”, explica Daniel Cohen. Aliás, é um mercado tão “regulado” que há verdadeiras “lojas online” onde são vendidos os dados dos cartões de crédito. E até oferecem garantias. Se o cartão de crédito estiver expirado ou já tiver sido cancelado pelo utilizador a loja ou devolve o dinheiro ou substitui o cartão.

Mais: estas lojas têm linhas de serviço de apoio ao cliente para ajudar os utilizadores dos cartões fraudulentos a, por exemplo, ligar para o banco para alterar a morada. Imagine que compra um cartão neste submundo. E quer mudar a morada. Obviamente que o banco iria desconfiar se, por exemplo, o cartão fosse do Texas e o seu sotaque fosse da Carolina do Norte. Ou de Inglaterra. Pois um dos serviços que eles fornecessem é precisamente ter pessoas, homens e mulheres, com diferentes sotaques para que possam ligar ao banco por si. É apenas mais um serviço que fornecessem…

Neste submundo há ainda moedas próprias. Seja “Perfect Money”, “Less pay”, “Bitcoin” e agora a “MUSD”, uma das mais recentes moedas criadas neste submundo. Os tão badalados Bitcoin simplesmente não ofereciam o nível de anonimato que este tipo de transações requer. A moeda MUSD, vista pela primeira vez em novembro de 2013 é bastante corrente no submundo da Rússia e da Ucrânia, havendo mesmo em fóruns quem anuncie que “no escritório de Kiev se troca MUSD por moeda real”. Daniel Cohen vai contanto esta “história” que mais parece tirada de um filme de espionagem de uma forma que quase nos envolve no processo: “Repare que é um mercado tão maduro que já tem a sua própria moeda. As suas próprias regras. É um mercado orientado ao cliente, ao serviço, como se de qualquer outro mercado se tratasse”.

 Trojan para que te quero

Mas como é que nos são roubados os dados? De muitas formas, nomeadamente através dos Trojan – em português cavalos de Troia. Um pequeno programa que tem associado um pacote de vírus que é usado geralmente para obter informações ou executar instruções em um determinado computador. É mais comum do que pensamos e podem ser transportados em arquivos de música, mensagens de e-mail, escondidos em downloads e sites maliciosos, aproveitando as vulnerabilidades do navegador utilizado para se instalarem no computador sem que nos apercebamos.

E porque datam do início da Internet há já uma história, uma linha cronológica dos cavalos de Troia. Desde a era comercial, com trojans como Zeus, SpyZeus, IceIX, Citadel ou GoZ até à era que Daniel Cohen gosta de apelidar de Teenage Mutant Ninja Trojans. Porque é uma era onde os trojan são bastante adolescentes, não conseguindo muitas vezes realmente roubar informação.

 Uma engenharia social

E obviamente que a mobilidade veio tornar isto tudo muito mais “interessante”, nomeadamente o sistema Android que parece fazer as delícias dos malfeitores. E não é que haja malware Android. O que há é uma rebuscada engenharia social que faz com que as pessoas, os utilizadores, não estejam protegidas, criando enormes brechas nos sistemas. “Apenas são usadas engenharias social como por exemplo aplicações de onde saem caixas de textos com várias informações do género: esta aplicação precisa de autorização para aceder à internet, enviar mensagens, etc. Ninguém fica a ler até ao fim e simplesmente carrega no ok porque quer ver é a aplicação instalada no computador. Ou seja, não é propriamente malware mas utiliza o utilizador para aceder”.

Há uma mensagem bastante “clássica”: aparecer um alerta a insistir que estivemos a assistir a pornografia infantil e, por isso, é necessário o pagamento de uma multa. “São mensagens altamente sofisticadas. Conseguimos assistir a um exemplo em que efetivamente é aberta uma caixa com um vídeo e é usada a nossa câmara para nos tirar a foto a olhar para o telemóvel. Muitas pessoas ficam assustadas e acabam por pagar”.

Mas onde é que esta divisão da EMC atua? Atua para os seus clientes, nomeadamente do ramo financeiro, infiltra-se neste submundo e tenta perceber onde estão os crimes a serem cometidos. Ou seja, a RSA atua na deteção de ameaças e inteligência no cibercrime, protegendo organizações globais. Nós fomos realmente ver como tudo funciona.

 Um novo mundo do crime

A sala, embora obviamente mais pequena, assemelha-se à do lançamento de uma nave espacial. No topo, numa parte mais alta, está a chefia, normalmente três pessoas. Num patamar inferior estão técnicos que vão monitorizando onde os ataques vão sendo realizados. Em gigantes painéis eletrónicos onde se vê o mapa do mundo, pequenos “pins” vermelhos vão aparecendo de forma dinâmica, ilustrando onde os ataques estão a ser mais fortes. Em baixo, vão aparecendo números de cartões de crédito que vão sendo roubados. Só aparecem três dígitos e o primeiro e último nome da pessoa titular. Nesta sala, o objetivo é que seja descoberto onde está albergado o programa malicioso que anda a roubar os dados. Isto porque, na maioria das vezes, os sites que albergam estes malfadados programas… não sabem que o albergam. Há que ligar para o proprietário do espaço, explicar-lhes o que está a acontecer e garantir que ele o encerra. “Às vezes é muito complicado porque as pessoas nem sequer sabem como fazer isso. Muitas vezes são sites pequenos, dos mais variados idiomas, temos de ter apoio de tradutores para nos ajudarem”.

Depois passamos a uma outra sala onde tudo realmente acontece. É nesta sala, bastante pequena, onde os especialistas da RSA se infiltram no verdadeiro submundo do cibercrime e monitorizam quem anda a vender os dados que foram entretanto roubados. São imensos os fóruns, quer na internet “normal” quer na “deep web” – o verdadeiro lado negro na net, um mundo não acessível ao comum dos cibernautas – onde são transacionados estes dados. E, garantimos, é impressionante. É quase como se estivemos a ver um leilão de um outro produto qualquer. Uma negociação de uma qualquer mercadoria normal. Estes especialistas, para se conseguirem entrosar bem neste mundo, acabam mesmo por “comprar” cartões roubados dos seus clientes para dar ainda mais cobertura ao seu disfarce. “Obviamente que o dinheiro que gastamos é muito pouco porque não queremos, de forma alguma, alimentar este mercado. Mas é verdade que, amiúde, os nossos clientes nos disponibilizam um budget para gastarmos nestas transações para garantir a cobertura da nossa identidade”.

Nos ecrãs vão surgindo em tons garridos – amarelo florescente, cor-de-rosa, vermelho vivo – os anúncios. “Tenho cartões de crédito para venda. 25 dólares cada, com número de segurança social”. É digno de um filme. Os especialistas vão-nos explicando que, aqui, neste mundo paralelo, a confiança é determinante e os fóruns têm altos níveis de segurança sendo que em alguns é necessário pagar 8,10 ou mesmo 20 mil dólares para entrar. “E são precisas referências. Por exemplo, eu só entro se outros quatro utilizadores me referenciarem. E se eu tiver um comportamento menos correto e for expulso do grupo, todos os que me referenciaram também são.”

A grande questão, dizem todos estes especialistas, é que simplesmente não fazemos ideia… do que não sabemos.