Como criminosos virtuais lucram com o roubo e a venda de dados

• 0

A vida do russo Roman Valerevich Selezne poderia ser um filme dirigido por Martin Scorsese e com Leonardo DiCaprio no papel principal. Nascido em uma comunidade pobre no extremo leste de seu país, ainda na infância, ele foi torturado por horas durante um assalto. Aos 17, viu sua mãe morrer devido ao abuso de álcool. Já adulto, em 2011, ao tentar reencontrar o pai em Marrocos, teve parte do crânio arrebentado por uma bomba em um ataque terrorista em Marrakesh – 20 pessoas morreram. Nos intervalos das tragédias de sua vida, juntou milhões de dólares roubando, usando e vendendo dados de cartão de crédito em ataques virtuais, capturando essas informações por sites falsos que criava. Ele criou um dos mais proeminentes sites para esse tipo de transação ilegal, movimentando cifras bilionárias. Um detalhe, ele começou fazer tudo isso já aos 10 anos. Aos 30 anos, em 2014, finalmente foi preso, mas não sem antes deixar uma perigosa legião de fãs.

J.R. é um deles. O hacker, que prefere ser identificado apenas pelas iniciais, é um às em ataques semelhantes ao de Selezne, o phishing. Morador da “região de Curitiba”, ele sequer frequentou uma universidade de ciências da computação. Aprendeu a programar em casa e é de lá que dispara mensagens em busca de desavisados que forneçam dados pessoais valiosos, entre eles seu número de cartão de crédito. Parece que não. Mas dá certo. “Você consegue uma lista de e-mails e dispara automaticamente uma mensagem. Tem que ter volume, porque é pequeno o número de pessoas que vai cair. Mas disparar é de graça”, ironiza. A partir daí, essas informações entram em uma teia obscura onde o objetivo é monetizar o máximo possível. E os valores podem ser absurdos. J.R., porém, prefere guardar esse segredo.

Ataques sem precedentes estão mais comuns

Em maio deste ano, um vírus chamado WannaCry causou um caos mundial. O malware se infiltrava nos dispositivos ligados à internet e os bloqueava. Para liberar, o criminoso exigia um resgate de alguns milhares de reais. Na Europa, foi um furacão. No Brasil, paralisou órgãos como o Ministério Público do Estado de São Paulo e o INSS. Era um “ataque sem precedentes”, cravaram os especialistas. No mês seguinte, já havia o Petrwrap, uma variação tão perigosa quanto a anterior. Não é coincidência. Os ataques estão mais comuns. “Quanto maior a quantidade de usuários de tecnologia, maior o porcentual natural da ocorrência de vírus. Acontece que aumenta o número de usuários, aumenta o número de aparelhos, de novas tecnologias, mas a nossa educação não muda. Temos um grande problema de educação digital”, afirma Fernando Peres, advogado especialista em direito digital e crimes cibernéticos.

“Quando se fala de proteção, não falamos somente de antivírus. Não seguimos nem mesmo os pequenos conselhos. Podemos ter o antivírus mais potente do mundo que ele não vai identificar a quantidade absurda de vírus criados nos últimos dias. E por mais que existisse um antivírus capaz de bloquear qualquer malware existente, a gente continua clicando em links errados, continuamos baixando software pirata, continuamos não atualizando nossos programas e sistemas operacionais, continuamos oferecendo informações pessoais para qualquer site”, diz o especialista.

E os ataques acontecem porque são rentáveis e, na maior parte das vezes, dificílimos de rastrear. Ziv Mador, vice-presidente de Segurança da Trustwave, uma companhia global de segurança, apontou para o “Business Insider” que um hacker pode faturar 900 mil dólares no ano com uma certa facilidade. Os valores são difíceis de calcular ao certo porque, obviamente, cibercriminosos não declaram o dinheiro sujo no imposto de renda. Mas a estimativa tem como base o preço das negociações em sites obscuros. A Trustwave diz que mesmo um hacker mediano é capaz de faturar 80 mil dólares por mês com o roubo e venda de dados ou sequestro de informações, como no caso do Wannacry (o nome técnico deste ataque é ransonware).

É um mercado atrativo para os mal intencionados. “Pode ser um criminoso solitário, fazendo isso da casa dele. Mas também podem ser quadrilhas. Já me deparei com a ação de grandes grupos, inclusive no Brasil. Eles estão se profissionalizando. Não é história quando ouvimos de verdadeiras empresas de crime virtual, um grupo de pessoas com computadores de alta capacidade promovendo ataques por aí”, destaca Peres. “É bem verdade que a maioria são ofensores amadores. Mas, para mudar de status, ir de amador a profissional, você não precisa ter um conhecimento acadêmico. Das pessoas que são presas, a maioria não tem uma faculdade de tecnologia. Mas são experientes com tecnologia. Existem também muitos criminosos que migraram do crime tradicional para a internet. O cara pensa: ‘eu não vou mais correr risco aqui, assaltando à mão armada’”, diz.

Mas, se há uma diferença do crime off-line para o on-line é que, no ambiente virtual, os infratores têm formado uma “categoria” bem mais unida.

Sucesso do crime virtual está no anonimato

O sucesso do crime virtual está centrado no anonimato. “Os phishings são os crimes mais comuns porque são eficazes. O criminoso vai enviar 10 milhões de e-mails falsos para o mundo todo. Qualquer um de nós consegue baixar uma lista com esses 10 milhões de endereços. Vamos imaginar que 1% destes e-mails sejam válidos; já são 100 mil e-mails nesse universo. Vamos imaginar que destes 1%, 0,01 das pessoas impactadas clicou na isca. Isso são mil e-mails. E se metade deles forneceu alguma informação, como dados de cartão de crédito, temos 500 vítimas. Então é muito vantajoso financeiramente”, explica Fernando Peres.

É mais fácil do que a segunda modalidade mais em voga atualmente, o ransonware (bloqueio de um aparelho). Os ataques deste tipo podem ter levantado quase US$ 1 bilhão em 2016, segundo o FBI. Faz sentido: as empresas pagam entre US$ 10 mil e US$ 50 mil para terem seus aparelhos desbloqueados e o acesso a dados e pastas importantes liberados, calculou o jornal The Guardian. A TrendMicro, empresa de segurança cibernética, apontou que esta modalidade triplicou entre 2015 e 2016.

Em ambos o casos, os criminosos têm como aliado os fóruns on-line em sites geralmente não indexados em grande buscadores – via de regra, acessados apenas por navegadores específicos. Esse conjunto de endereços ganhou o sugestivo nome de deep web. “No mercado negro há informações chamadas de ‘zero days’. São informações sobre falhas em sites, softwares, aparelhos eletrônicos. São falhas que são conhecidas pelos criminosos, mas não pelos fabricantes. Alguém vai no mercado e vende essa informação por 10 mil, 20 mil, 30 mil dólares.”, conta o advogado.

Às vítimas, cabe o prejuízo. No caso do ransonware, os criminosos pedem pagamento em moeda virtual, que são difíceis de rastrear – uma carteira virtual de bitcoins exige quase nenhum dado pessoal. “Mantendo o anonimato da conexão, da origem do criminoso e da transação financeira, você inviabiliza a investigação. Não é impossível identificar porque tudo deixa rastro. E tem muito amadores que deixam ainda mais rastros”, aponta Fernando Peres. “Não é absurdamente difícil um criminoso mascarar a sua identificação. Ou seja, o cara está em Curitiba, mas a identificação da conexão dele é da Tailândia. Existem tecnologias para achar a conexão real. Mas é muito difícil de fazer isso, pois, mesmo se a investigação prosseguisse, não quer dizer que a fonte esteja lá. Ele pode fazer uma teia de aranha. Aliado a isso, há a falta de tratados internacionais. Se houver uma vítima aqui no Brasil, acaba se tornando inviável entrar com uma ação para quebra de sigilo em outro país. É impossível? Tecnicamente e juridicamente, não. Mas, na prática, é”.

Vendedores de dados

Nem sempre, o dinheiro é o objetivo dos ataques. Às vezes, são os dados. “Minha pesquisa e a de vários outros cientistas da informação demonstram que os dados roubados geralmente são vendidos para outros hackers na deep web. Os vendedores normalmente usam sua proeza técnica para coletar informações desejáveis. Os compradores querem usar as informações roubadas para obter a máxima vantagem financeira, incluindo comprar bens com números de cartões de crédito ou fazer transferências de dinheiro [para contas de laranjas] para resgatá-lo”, explicou Thomas Holt, professor de Justiça Criminal na Universidade de Michigan (EUA), ao site americano The Conversation.

Os sites clandestinos de dados são muito semelhantes aos sites on-line legais, como um Mercado Livre, por exemplo. Eles diferem somente na forma como são apresentados ou escondidos do público em geral, na proficiência técnica dos operadores e nas formas de pagamento. A maioria opera na web tradicional, mas há um número pequeno na deep web. “Descobrimos que os vendedores de dados em 320 transações podem ter ganho entre 1 milhão e 2 milhões de dólares. Existe uma clara demanda por informações pessoais que podem ser usadas para facilitar o cibercrime e um fornecimento robusto de fontes”, definiu Holt.

É um jogo relativamente fácil de ganhar para os criminosos, na medida em que pouca gente parece realmente preocupada com a facilidade com que dados são roubados – pense em todos os acessos que você permite a aplicativos desconhecidos em seu smartphone. “O Wanncry virou notícia e afetou milhares de computadores aqui no Paraná. Mas não temos educação digital. Então, nada impede que vá ocorrer de novo daqui a alguns dias um ataque semelhante. Talvez com o mesmo princípio”, diz Fernando Peres.

Enquanto isso, uma imensidão de candidatos a novo Selezne continuam agindo na escuridão, criando malwares que tomam conta dos noticiários e sonhando com uma vida de dinheiro facílimo. “Estamos seguindo o fluxo”, diz J.R.