O Submundo do Crime Digital Brasileiro

Um Relatório de Pesquisa da Trend Micro
Série sobre a Economia do Submundo do Cibercrime
O Submundo do Crime Digital Brasileiro
Um Mercado de Aspirantes a Cibercriminosos?
Fernando Mercês
Forward-Looking Threat Research Team
Trend Micro | O Submundo do Crime Digital Brasileiro
Índice
Série sobre Economia....................................................................................................................3
Introdução......................................................................................................................................4
O Cenário do Mercado do Submundo............................................................................................6
Ofertas de Produtos...................................................................................................................6
Cavalos de Troia Bancários................................................................................................6
Credenciais de Conta de Aplicação Empresarial...............................................................7
Credenciais de Cartão de Crédito......................................................................................8
Verificadores de Número de Cartão de Crédito..................................................................8
Geradores de Número de Cartão de Crédito.....................................................................9
Encriptadores....................................................................................................................10
Seguidores de Mídia Social..............................................................................................11
Verificadores de Credencial de Conta de Serviço Online................................................. 11
Páginas de Phishing.........................................................................................................11
Listas de Números de Telefone........................................................................................12
Software de Envio de Spam por SMS..............................................................................13
Ofertas de Serviço....................................................................................................................15
Serviços de Verificação de Malware Contra Software de Segurança..............................15
Serviços de Envio de Spam por SMS...............................................................................15
Serviços de Treinamento..................................................................................................15
Treinamento de Programação de Codificação.................................................................15
Treinamento em Fraude...................................................................................................16
Conclusão....................................................................................................................................17
Referências..................................................................................................................................18
NOTA LEGAL
As informações fornecidas aqui são apenas para fins gerais e educacionais. Não se destinam e não devem ser interpretadas de forma a constituir um aconselhamento
jurídico. As informações aqui contidas podem não se aplicar a todas as situações e podem não refletir a situação mais atual. Nada aqui contido deve ser invocado
ou posto em prática sem o benefício da assistência jurídica com base nos fatos e circunstâncias específicos apresentados, e nada aqui deve ser interpretado de
outra forma. A Trend Micro se reserva o direito de modificar o conteúdo deste documento a qualquer momento sem aviso prévio.
Traduções de qualquer material para outras línguas são apenas uma conveniência. A precisão da tradução não é garantida nem implícita. Se surgirem quaisquer
dúvidas relacionadas à precisão da tradução, consulte a versão oficial do documento na língua original. Quaisquer discrepâncias ou diferenças criadas na tradução
não são vinculativas e não têm efeito legal para efeitos de cumprimento ou imposição.
Apesar da Trend Micro fazer um esforço razoável para incluir informações precisas e atualizadas aqui, a Trend Micro não dá nenhuma garantia ou representação
de qualquer tipo para sua precisão, atualidade ou integridade. Você concorda que o acesso e uso e a confiança neste documento e ao seu conteúdo é por sua
conta e risco. A Trend Micro se isenta de todas as garantias de qualquer tipo, expressas ou implícitas. Nem a Trend Micro nem qualquer parte envolvida na criação,
produção e entrega deste documento é responsável por qualquer consequência, perda ou dano, sejam eles diretos, indiretos, especiais, consequentes, perda de
lucros comerciais ou danos especiais, por danos decorrentes de acesso, uso ou incapacidade de uso, ou em conexão com o uso deste documento, ou quaisquer
erros ou omissões no seu conteúdo. O uso dessas informações constitui uma aceitação para o uso em uma condição “como é”.
Trend Micro | O Submundo do Crime Digital Brasileiro
SÉRIE SOBRE A ECONOMIA DO
SUBMUNDO DO CIBERCRIME
Existem lugares na Internet onde os
cibercriminosos convergem para vender e
comprar diferentes produtos e serviços. Ao
invés de criar suas próprias ferramentas de
ataque a partir do zero, eles podem comprar
o que precisam de colegas que oferecem
preços competitivos. Como em qualquer outro
mercado, as leis de oferta e procura ditam
os preços e apresentam ofertas. Mas o mais
interessante de se notar é que recentemente
os preços têm baixado.
Ao longo dos anos, temos observado os
grandes desenvolvimentos no submundo
do cibercrime em um esforço para
permanecermos fieis à nossa missão:
tornar o mundo mais seguro para a troca
de informações digitais. Um constante
monitoramento das atividades cibercriminosas
durante anos nos permitiu juntar informações
para caracterizar os mercados mais
avançados que temos visto até agora e reunir
listas abrangentes de suas “ofertas”.
Em 2012, nós publicamos o estudo “Russian
Underground 101 [1]”, que mostrava o que
o mercado do submundo do cibercrime
russo tinha a oferecer. Naquele mesmo
ano, trabalhamos com o Instituto de Conflito
Global e Cooperação da Universidade da
Califórnia para publicar o estudo “Investigating
China’s Online Underground Economy [2]”
(Investigando a Economia do Submundo
Online da China). No ano passado,
revisitamos o submundo chinês e publicamos
“Beyond Online Gaming: Revisiting the
Chinese Underground Market [3]” (Além dos
Jogos Online: Revisitando o Mercado do
Submundo Chinês). Aprendemos, então, que
o mercado do submundo de cada país ou
região tem características distintas. Portanto,
este ano acrescentamos outro mercado à
nossa crescente lista: o do Brasil.
As barreiras para o desenvolvimento de
atividades cibercriminosas diminuíram. Os
“toolkits” estão ficando mais acessíveis e
baratos; alguns são oferecidos até de graça.
Os preços estão menores e os recursos
melhores. Fóruns do submundo estão
prosperando em todo o mundo, especialmente
na Rússia, China e Brasil. Eles se tornaram
meios populares para vender produtos
e serviços para cibercriminosos nesses
países. Os cibercriminosos também estão
usando a Deep Web para vender produtos e
serviços fora da World Wide Web indexada e
pesquisável, tornando suas “lojas” online mais
difíceis de serem encontradas e removidas
pelas autoridades responsáveis.
Todos esses desenvolvimentos significam que
os usuários da computação estão, mais do
que nunca, correndo o risco de se tornarem
vítimas e devem reconsiderar totalmente
a importância da segurança em seu
comportamento diário na computação.
3
Trend Micro | O Submundo do Crime Digital Brasileiro
INTRODUÇÃO
O crime cibernético no Brasil continua a
amadurecer apesar da falta de grandes
desenvolvimentos de ferramentas e táticas.
Isso pode ser atribuído ao fato de que as
operações bancárias online responderam por
41% do número total de transações, e das
operações bancárias em dispositivos móveis
terem registrado uma taxa de crescimento
médio exponencial de 270% ao ano, entre
2009 e 2013 [4]. As operações bancárias em
dispositivos móveis foram responsáveis por
6% do número total de transações em 2013.
Como os mercados do submundo chinês e
russo, o Brasil também tem suas próprias
características exclusivas. Enquanto os
cibercriminosos russos e os chineses se
escondem nos recessos profundos da Web e
usam ferramentas que usuários comuns não
usam, como os canais Internet Relay Chat
(IRC), os bandidos cibernéticos brasileiros
usam meios mais populares para cometer
fraudes. Apesar das plataformas usadas
por eles, como o Facebook, YouTube,
Twitter, Skype e WhatsApp parecerem mais
rastreáveis, elas são muito eficazes. Seus
proprietários valorizam a privacidade e assim
não sucumbem tão facilmente às pressões
externas, tornando mais difícil a tarefa dos
investigadores que estão indo atrás dos
cibercriminosos.
Exemplo de publicações e contatos no
YouTube, Facebook e Skype relacionados
ao mercado do submundo
4
Trend Micro | O Submundo do Crime Digital Brasileiro
O uso de gírias e termos locais, como os que
listamos a seguir, também ajudam na evasão
dos criminosos, especialmente porque a
maioria dos clientes são do mercado local.
• au3: AutoIt [5] v3 – uma linguagem
de código do tipo BASIC feita para
automatizar a interface de usuário gráfica
do Windows (GUI) e o código geral.
• Bankers: Cavalos de Troia Bancários ou
seus criadores.
• Boleto: Guia de pagamento.
• Carders: Cibercriminosos envolvidos em
fraude relacionada a cartão de crédito.
• CPF: Número de identidade oficial atribuído
a cada cidadão brasileiro.
• Droppers: Pessoas pagas pelos
cibercriminosos para receber ilegalmente
os bens comprados. Eles agem como
intermediários entre os vendedores e os
compradores reais.
• InfoCC: Informações de cartão de crédito.
• InfoCC completa: Informações de cartão
de crédito validadas com códigos de
segurança.
• InfoCC geradas: Informações de cartão de
crédito sem códigos de segurança.
• KL: Keylogger.
• Testador: Uma aplicação usada para
validar números de cartão de crédito.
O submundo brasileiro tem agentes que
vendem geradores de números e verificadores
ou testadores para mais do que simplesmente
cartões de crédito. Eles também oferecem
ferramentas criadas especificamente para
ataques contra produtos e serviços só
disponíveis no Brasil. O submundo brasileiro
também é o único mercado que oferece
serviços de treinamento para quem quer se
tornar um cibercriminoso.
5
Trend Micro | O Submundo do Crime Digital Brasileiro
O CENÁRIO DO MERCADO DO SUBMUNDO
Ofertas de Produtos
CAVALOS DE TROIA BANCÁRIOS
Por vários anos, o Brasil tem sido conhecido
pelos cavalos de troia bancários [6]. Muitas
dessas ameaças foram criados no Brasil ou
por brasileiros, visando clientes de bancos
locais. Eles usam várias técnicas para roubar
credenciais das vítimas, tais como:
•Uso de Bolware: A Federação Brasileira
de Bancos (FEBRABAN) permite o uso dos
chamados boletos [7] para pagamentos.
Esses boletos usam código de barras para
acompanhar os pagamentos feitos, que
os cibercriminosos começaram a explorar
com ameaças conhecidas como “bolware”.
Bolware se refere ao malware que muda
os códigos de barra nos boletos para
que os pagamentos acabem nas mãos
dos agressores ao invés das mãos dos
vendedores legítimos.
•Adulteração do Sistema de Nome de
Domínio (DNS): Mudança de registros de
DNS para redirecionar os usuários para
sites maliciosos.
•Uso de falsa janela no navegador: Uso
de janelas maliciosas no navegador que
aparecem em cima das legítimas para
roubar informações nelas inseridas.
Exemplo de janela falsa no navegador para um
banco brasileiro encontrado em um código fonte
de cavalo de troia
•Uso de extensão maliciosa no
navegador [8]: Algumas extensões de
navegador, quando instaladas, capturam
dados pessoais que depois são enviados
para os agressores.
•Uso de proxy malicioso, inclusive
código proxy de autoconfiguração (PAC)
[9]: Definição das configurações proxy do
navegador das vítimas para redirecioná-las
para sites maliciosos.
Programas que criam cavalos de troia
bancários para roubar credenciais de contas
dos cinco maiores bancos brasileiros custam
R$ 1.000 (US$ 386)1. Por sua vez, kits de
bolware ou toolkits usados para criar bolware
custam por volta de R$ 400 (US$ 155). Ambos
têm painéis de controle para monitorar e
gerenciar infecções e atividades maliciosas.
1
Todos os preços em dólar americano dos produtos e
serviços apresentados nesse artigo são baseados nas
taxas de câmbio de 10 de novembro de 2014.
6
Trend Micro | O Submundo do Crime Digital Brasileiro
Trecho de um código fonte que monitora os
principais eventos para roubar credenciais
bancárias online.
Além dos toolkits, códigos fonte de cavalos
de troia bancários também são vendidos
por cerca de R$ 1.000 (US$ 386) cada. Eles
são mais caros do que os criadores, mas
permitem que os cibercriminosos modifiquem
mais livremente seu malware. Eles podem
ofuscar sequências, selecionar os melhores
“packers” para seus arquivos executáveis
maliciosos e encontrar os melhores
encriptadores ou programas que escondem a
natureza maliciosa dos arquivos – tudo para
evitar melhor a detecção e remoção.
Exemplo de código fonte cavalo de troia bancário
escrito em Delphi usando o formato de arquivo do
Painel de Controle (.CPL) [10]
O Brasil ficou em segundo lugar no mundo
em termos de contagem de infecção por
malware bancário online no terceiro trimestre
de 2014. O país foi responsável por quase 9%
do número total de sistemas infectados por
malware bancário online em todo o mundo.
O Brasil foi responsável por quase 9% do número
total de sistemas infectados por malware bancário
online em todo o mundo
Exemplo de código fonte no qual um algoritmo
ROT foi usado para ofuscar as sequências
Exemplo de módulo de cavalo de troia bancário
atualizado automaticamente que usa linguagens
Delphi e PHP para funcionar
CREDENCIAIS DE CONTA DE APLICAÇÃO
EMPRESARIAL
Como em qualquer mercado do submundo,
dados confidenciais são uma commodity
valiosa no Brasil. Mas, ao contrário de
outros mercados, os cibercriminosos no
Brasil vendem credenciais para serviços de
aplicação empresarial populares fornecidos
pelas organizações Unitfour [11] e Serasa
Experian [12].
A Unitfour oferece um serviço de marketing
online chamado “InTouch [13]” que permite
que os usuários fiquem facilmente em
contato com seus clientes, mantendo
suas informações em um único aplicativo.
7
Trend Micro | O Submundo do Crime Digital Brasileiro
Os usuários do InTouch podem manter e
acessar os nomes completos, endereços,
números de identidade, números de telefone
e outros dados de seus clientes potenciais
ou atuais. A quantidade de informações de
identificação pessoal (PII) a que o InTouch
tem acesso provavelmente atraiu a atenção
de cibercriminosos, dada a disponibilidade
das contas do InTouch que permitem 2.000
consultas no submundo por R$ 400 (US$
155) cada. Obter tais informações permite que
os compradores usem contas que são mais
difíceis de serem rastreadas de volta para
eles. Eles podem usar essas contas difíceis
de rastrear para registrar domínios maliciosos,
distribuir malware, contratar hackers, enviar
spam para vítimas, comprar ferramentas e se
envolver em outras atividades fraudulentas.
Os cibercriminosos também roubam e vendem
contas do Serasa Experian por R$ 500 (US$
193) cada para colegas do submundo. Os
clientes usam essas contas para controlar os
que lhes devem dinheiro tanto por produtos
como por serviços. Similar ao InTouch, o
Serasa Experian mantém muitos PII que
os cibercriminosos podem usar para fins
perversos.
CREDENCIAIS DE CARTÃO DE CRÉDITO
Os cibercriminosos brasileiros cobram em
média R$ 80 (US$ 31) por cada número de
cartão de crédito válido. Foram descobertos
centenas de números de cartão de crédito
válidos à venda. O preço depende do limite
de crédito. Também foram vistos pacotes
especiais, tais como 20 números de cartão de
crédito válidos, com limites variando entre R$
1.000 (US$ 386) a R$ 2.500 (US$ 966), por
R$ 700 (US$ 270).
Trecho de um código fonte que envia credenciais
de cartão de crédito roubadas para cibercriminosos
VERIFICADORES DE NÚMERO DE CARTÃO
DE CRÉDITO
Apesar de a maioria das lojas online no Brasil
exigirem que os clientes insiram informações
adicionais, como seu endereço e número de CPF
[14] para completar as compras, algumas não
exigem. Sabendo disso, os “carders” começaram
a criar e vender verificadores ou testadores de
número de cartão de crédito. Esses programas
exigem que uma lista de número de cartão de
crédito seja inserida e tentam debitar pequenas
quantias (R$ 1,00 a 10,00 ou US$ 0,39 a 4,00)
dos cartões para ver se funciona. Os números
dos cartões de crédito que passam no teste
são considerados “válidos”, armazenados em
um arquivo .TXT, vendidos a compradores do
submundo interessados e usados em transações
ilegais.
Exemplo de interface de usuário (UI) do verificador
de número de cartão de crédito
8
Trend Micro | O Submundo do Crime Digital Brasileiro
Os verificadores ou testadores de número
de cartão de crédito podem vir com outros
recursos interessantes, como:
•Autenticação de Internet: Serviço
adicional que os usuários pagantes podem
obter. Os verificadores de número de
cartão de crédito requerem autenticação
que os usuários podem obter dos
servidores dos criadores do programa.
•Atualização automática: Usuários de
verificadores ou testadores de número de
cartão de crédito recebem atualizações
automaticamente para desfrutar das
mais recentes versões do software com
melhorias e novos recursos.
A maioria dos verificadores de cartão de
crédito estavam disponíveis gratuitamente
no submundo. O exemplo analisado parece
roubar de usuários criminosos. Os criadores
do programa registram resultados de teste
e usam os números do cartão validado para
seu próprio ganho antes de enviar uma cópia
para seus clientes. Talvez seja por isso que
os verificadores de cartão de crédito possam
oferecer seus programas gratuitamente;
eles usam os números de cartão validados
para seu próprio ganho antes dos clientes o
usarem.
Exemplo de programa que gera conjuntos de
números de cartão de crédito
Esses programas podem gerar
aproximadamente 1.000 números de cartão
de crédito por execução seguindo o formato
que a maioria dos emissores de cartão usa.
Os arquivos de texto que resultam da geração
de números listam até os números de 16
dígitos do cartão de crédito, com seu mês e
ano de expiração correspondentes.
GERADORES DE NÚMERO DE CARTÃO DE
CRÉDITO
Cibercriminosos experientes conhecem os
algoritmos que empresas como a Visa ou a
American Express usam para gerar números
de cartão de crédito. De fato, eles incorporam
tais algoritmos em programas grátis de
computador e comumente disponíveis para
criarem uma reputação no submundo.
Exemplo de resultado de arquivo .TXT de um
gerador de número de cartão de crédito
Note que, mesmo que os números de cartão
de crédito sejam matematicamente válidos,
nem sempre podem ser usados para compras
em lojas online. De fato, estatisticamente, a
maioria será inválida. Mas, como algumas
lojas online no Brasil permitem a compra
de bens com cartões de crédito sem exigir
códigos de segurança, os geradores de
cartão de crédito funcionam para seus
propósitos. Uma lista de 38 lojas online que
9
Trend Micro | O Submundo do Crime Digital Brasileiro
permitem compras com cartão de crédito
sem a necessidade de códigos de segurança
também foi descoberta recentemente em um
fórum do submundo.
Exemplo de lista com 38 lojas online no Brasil que
aceitam pagamentos com cartão de crédito sem
exigir códigos de segurança
ENCRIPTADORES
Mecanismos heurísticos de soluções de
segurança podem detectar a maioria dos
cavalos de troia, botnets e malware em geral.
Os cibercriminosos sabem disso e investem
um esforço significativo para desenvolver e
usar encriptadores para que seus malware
escapem da detecção. Os encriptadores que
conseguem impedir que todos os produtos
de segurança detectem o malware são
considerados “100% indetectáveis (FUD)”. Se
só conseguem escapar de várias soluções de
segurança, são vendidos como encriptadores
“parciais”.
•Modificação de arquivo geral: Realizar
mudanças pequenas no nível do byte,
adições de seção, mudanças no cabeçalho
e outras para alterar os hashes do arquivo.
Exemplo de codificador vendido no submundo
Os encriptadores são feitos para manter
intacta a funcionalidade do malware, apesar
das mudanças feitas no arquivo executável,
para que ele possa escapar da detecção.
Uma licença de codificador FUD custa apenas
R$ 50 (US$ 19) por mês. Encriptadores
FUD com recursos adicionais também estão
disponíveis por R$ 75 a 100 (US$ 29 a 39)
para licenças de um mês. Quanto mais
recursos tiverem, mais caros eles serão.
Encriptadores parciais são geralmente
vendidos pela metade do preço dos
encriptadores FUD (R$ 25 ou US$ 10).
Os encriptadores usam várias técnicas para
escapar da detecção, tais como:
•Separação de código: Mover algumas
instruções no final do ponto de entrada
(EP) do código executável para outra
posição.
•Modificação de EP: Mudar um EP do
arquivo executável de um local para outro
para que o código seja lido a partir de um
novo local.
•Vinculação do executável: Anexar um
arquivo executável no fim de um outro
arquivo executável.
Exemplo de anúncio de encriptadores
no mercado do submundo
10
Trend Micro | O Submundo do Crime Digital Brasileiro
SEGUIDORES DE MÍDA SOCIAL
A mídia social tem um grande papel não
apenas no submundo cibercriminoso
brasileiro, mas também na vida online
de praticamente todas as pessoas.
Provavelmente por isso é que os vendedores
do mercado do submundo oferecem
seguidores grátis por R$ 20 a 125 (US$ 8 a
49) a quem estiver interessado.
Para usar esses verificadores ou testadores,
os cibercriminosos precisam primeiro obter
informações para login através de campanhas
de phishing.
PÁGINAS DE PHISHING
Cibercriminosos que sabem como usar
linguagens de programação da Web, como
PHP, oferecem aos colegas versões de
páginas web das empresas Cielo, Banco
do Brasil, Itaú Unibanco, Caixa Econômica
Federal e outras instituições financeiras.
Exemplo de anúncio de seguidores grátis
para o Instagram e YouTube
VERIFICADORES DE CREDENCIAL DE
CONTA DE SERVIÇO ONLINE
Além dos verificadores ou testadores de
número de cartão de crédito, ferramentas que
podem validar números de contas de outros
serviços online também estão disponíveis no
submundo por R$ 50 (US$ 19) cada.
Essas ferramentas usam as mesmas técnicas
dos verificadores ou testadores de número
de cartão de crédito. Um exemplo disso é
um verificador ou testador de conta para o
PagSeguro [15] — um serviço do tipo do
PayPal no Brasil.
Exemplo de página falsa da Cielo
Páginas de phishing vendidas por volta de
R$ 100 (US$ 39) cada no submundo podem
realizar estas e outras funções:
•Roubar dados pessoais como CPF, CNPJ
[16] e números de cartão de crédito
•Mostrar mensagens de erro e redirecionar
para seus homólogos legítimos
•Enviar informações roubadas via email
Criar páginas de phishing é simples: os
cibercriminosos apenas copiam toda a página
legítima e mudam o destino dos dados
coletados para, geralmente, uma conta de
email sob seu comando. As vítimas são então
redirecionadas para os sites legítimos sem
notar o artifício.
A seguinte tabela lista os 10 principais sites do
Brasil que são alvos de phishing.
Exemplo de verificador ou testador
de conta PagSeguro
11
Trend Micro | O Submundo do Crime Digital Brasileiro
10 Principais Sites Alvos de Phishing
Instituição Alvo
Participação
Banco do Brasil
31%
Banco Bradesco
24%
Itaú Unibanco
18%
Santander
11%
Cielo
6%
Caixa
2%
HSBC
1%
MasterCard
1%
TAM Airlines
1%
Casas Bahia
1%
Outros
4%
Um único servidor pode hospedar várias
páginas de phishing para diferentes produtos
e serviços. Um único agente pode comprar
várias páginas, inclusive páginas de sites de
mídia social, bancos e varejistas.
Exemplo de pasta de “phishers” com
várias páginas de phishing
Os cibercriminosos criam versões falsas de
qualquer página que possa ajudá-los a roubar
credenciais de conta ou dinheiro. Até mesmo sites
de instituições de caridade não estão a salvo.
Versão falsa de uma página de uma
instituição popular de caridade no Brasil,
o Criança Esperança
LISTAS DE NÚMEROS DE TELEFONE
Os cibercriminosos que normalmente vendem
software e hardware para envio de spam também
oferecem listas de números de telefone por cidade.
Uma lista de números de celulares de uma cidade
pequena pode ser comprada por R$ 750 (US$
290) e de uma cidade grande, como São Paulo,
pode custar até R$ 3.200 (US$ 1.236).
12
Trend Micro | O Submundo do Crime Digital Brasileiro
agosto de 2014 e com licença vitalícia, foi vendida
por R$ 499 (US$ 193). Ela pode ser usada para
enviar um número ilimitado de spam via SMS, mas
requer um modem 3G que pode ser enviado para
seu endereço postal preferido por R$ 130 (US$
50).
Exemplo de lista de números de
celulares vendida no submundo
Listas de telefones domésticos usadas para golpes
por telefone e formulários online preenchidos
com dados roubados também estão disponíveis a
preços variando de R$ 820 (US$ 317) a R$ 5.000
(US$ 1.931).
SOFTWARE PARA ENVIAR SPAM POR
SMS
Vários tipos de software de envio de spam por
SMS são vendidos no submundo, dependendo da
linguagem usada para os escrever. Uma aplicação
escrita em Microsoft™ Visual Basic®, com suporte
para as últimas versões Windows® desde 14 de
Exemplo de software de spam por SMS
A tabela seguinte mostra os vários produtos
vendidos no mercado do submundo brasileiro com
seus respectivos preços.
Ofertas de Produtos no Mercado do Submundo Brasileiro
Produto
Detalhes
Preços
Cavalos de Troia
• Criador
• Código fonte
• R$ 1.000 (US$ 386)
• R$ 1.000 (US$ 386)
Kits de bolware
Contêm bolware malicioso para
várias instituições que aceitam
boletos como forma de pagamento
R$ 400 (US$ 155)
Credenciais de conta de aplicação
empresarial
• In Touch da Unitfour
• Serasa Experian
• R$ 400 (US$ 155)
• R$ 500 (US$ 193)
Credenciais de cartão de crédito
Limite de crédito:
• R$ 1.000 (US$ 399)
• R$ 2.000 (US$ 798)
• R$ 3.000 (US$ 1.197)
• R$ 3.001 a 8.000 (US$1.198 a
3.192)
• + de R$ 8.001 (+ de US$ 3.193)
Por conjunto de credenciais:
• R$ 90 (US$ 35)
• R$ 100 (US$ 39)
• R$ 130 (US$ 50)
• R$ 150(US$ 58)
• + de R$ 350 (+ de US$ 135)
13
Trend Micro | O Submundo do Crime Digital Brasileiro
Ofertas de Produtos no Mercado do Submundo Brasileiro
Produto
Detalhes
Preços
Geradores de número de cartão de
crédito
Geram 1.000 números por
execução, com mês e ano de
expiração
Grátis
Encriptadores
• Parcial
• FUD
• FUD com recursos de retardo e
alterador de ícone
• FUD com recursos de retardo,
alterador de ícone e vinculadores
• R$ 25 (US$ 10)
• R$ 50 (US$ 19)
• R$ 75 (US$ 29)
Credenciais de conta de serviço
online
• PagSeguro
• MercadoLivre
• eBay
• R$ 50 (US$ 19)
• R$ 50(US$ 19)
• R$ 50 (US$ 19)
Páginas de phishing
Para bancos populares e outros
provedores de serviço financeiro
R$ 100 (US$ 39)
Listas de número de telefone
Celulares
• Cidade pequena
• Cidade grande
Residência (telefone fixo)
• Cidade pequena
• Cidade grande
Seguidores/visualizações/curtidas
Modem 3G para envio de spam via
SMS
Facebook
• 1.000 curtidas
• 2.000 curtidas
• 5.000 curtidas
• 10.000 curtidas
Instagram
• 5.000 seguidores
Twitter
• 1.000 seguidores
YouTube
• 200 assinantes
• 1.000 visualizações
• 5.000 visualizações
• 10.000 visualizações
Inclui frete grátis
• R$ 100 (US$ 39)
• R$ 750 (US$ 290)
• R$ 3.200 (US$ 1.236)
• R$ 820 (US$ 317)
• R$ 5.000 (US$ 1.931)
• R$ 24,90 (US$ 9)
• R$ 39,90 (US$ 16)
• R$ 99,90 (US$ 39)
• R$ 159,90 (US$ 62)
• R$ 90 (US$ 35)
• R$ 20 (US$ 8)
• R$ 20 (US$ 8)
• R$ 20 (US$ 8)
• R$ 60 (US$ 23)
• R$ 125 (US$ 49)
R$ 130 (US$ 50)
Software de envio de spam por SMS Escrito em Visual Basic e
R$ 499 (US$ 193)
funcionando em todas as versões do
Windows
A lista de produtos na tabela acima não é de forma alguma completa. Vários outros produtos são
vendidos no mercado do submundo brasileiro.
14
Trend Micro | O Submundo do Crime Digital Brasileiro
Ofertas de Serviço
SERVIÇOS DE VERIFICAÇÃO DE
MALWARE CONTRA SOFTWARE DE
SEGURANÇA
O crime cibernético não vive apenas de criar
malware. Os cibercriminosos também precisam
garantir que suas criações maliciosas não serão
detectadas pelas soluções de segurança quando
forem usadas.
dos serviços de treinamento e se tornar um
cibercriminoso. Vídeos de instrução e fóruns onde
podem trocar informações com colegas abundam
na Internet. Vários instrutores também oferecem
seus serviços, alguns inclusive com suporte após o
fim do treinamento.
Além dos vídeos de instrução, alguns especialistas
em cibercrime do Brasil oferecem treinamento
prático também na Deep Web.
Fraudadores experientes raramente usam
verificadores de arquivos publicamente porque
esses normalmente enviam arquivos escaneados
para empresas de segurança para detecção.
Exemplo de serviços de verificação de
malware oferecidos no submundo
Os cibercriminosos oferecem serviços de
verificação de malware a R$ 30 (US$ 12) por um
mês e também a R$ 150 (US$ 58) por seis meses.
SERVIÇOS DE ENVIO DE SPAM POR SMS
Alguns remetentes terceirizam o envio de spam a
preços que variam de R$ 400 (US$ 155) por 5.000
mensagens de texto a R$ 3.000 (US$ 1.159) por
100.000 mensagens.
Exemplo de cursos de treinamento
disponíveis na Deep Web
Treinamento de Programação de Codificação
Por uma pequena soma de R$ 120 (US$ 46),
um provedor de serviço diz que pode treinar os
clientes a criar ferramentas de acesso remoto
FUD (RATs) do tipo do njrat [16] ou SpyGate [17]
RAT. Esse provedor em especial também oferece
suporte e atualizações vitalícias e pode ser
contatado via Skype.
SERVIÇOS DE TREINAMENTO
O que diferencia o submundo brasileiro dos
outros é o fato de também oferecer serviços
de treinamento para quem quer ser um
cibercriminoso. Os cibercriminosos brasileiros
oferecem principalmente programação de
codificador FUD e treinamento em fraude,
vendendo vídeos de instrução e fornecendo
serviços de suporte via Skype. Qualquer pessoa
experiente em Internet e que tenha conhecimentos
e habilidades básicas de computação pode dispor
Exemplo de anúncio de treinamento de
programação de criptografia FUD
15
Trend Micro | O Submundo do Crime Digital Brasileiro
Treinamento de Fraude
Provavelmente o curso mais popular entre os
aspirantes a cibercriminoso é o relacionado a
fraude bancária. Os iniciantes primeiro aprendem
o fluxo do trabalho da fraude. Depois, aprendem
como obter as ferramentas necessárias e mais
tudo o que precisam saber para começar a roubar,
por R$ 1.499 (US$ 579).
Outro curso de treinamento em fraude tem 10
módulos sobre praticamente tudo o que os
criminosos precisam saber para começar sua
carreira de fraude digital, inclusive com o auxílio
de guias interativos e exercícios práticos (isto é,
simulação de ataques), também é oferecido por R$
1.200 (US$ 468).
Exemplo de anúncio de treinamento de fraude
A tabela seguinte mostra os vários produtos
oferecidos no mercado do submundo brasileiro
com seus respectivos preços.
Ofertas de Serviços no Mercado do Submundo Brasileiro
Serviço
Detalhes
Preços
Verificação de malware contra os
serviços de software de segurança
Duração:
• 1 mês
• 2 meses
• 3 meses
• 4 meses
• 5 meses
• 6 meses
• R$ 30 (US$ 12)
• R$ 50 (US$ 19)
• R$ 70 (US$ 27)
• R$ 90 (US$ 35)
• R$ 120 (US$ 46)
• R$ 150 (US$ 58)
Serviços de envio de spam por SMS
Número de mensagens de texto:
• 5.000
• 10.000
• 20.000
• 40.000
• 50.000
• 100.000
• R$ 400(US$ 155)
• R$ 750(US$ 290)
• R$ 1.200(US$ 464)
• R$ 2.000(US$ 773)
• R$ 2.250 (US$ 869)
• R$ 3.000 (US$ 1.159)
Serviços de treinamento
• Programação de codificação FUD
• R$ 120 (US$ 46)
• Fraude (10 módulos, guia interativo • R$ 1.200 (US$ 468)
e exercícios práticos)
• Fraude (com suporte)
• R$ 1.499 (US$ 579)
A lista de serviços na tabela acima não é de forma alguma completa. Vários outros serviços são
oferecidos no mercado do submundo brasileiro.
16
Trend Micro | O Submundo do Crime Digital Brasileiro
CONCLUSÃO
Os cibercriminosos brasileiros sempre foram
conhecidos por fraudes bancárias. Apesar
disso ainda hoje ser verdade, eles também
se aventuraram em outras formas de crime.
Eles adicionaram os smartphones à sua lista
de dispositivos alvo, conforme evidenciado
pela disponibilidade de software e serviços de
envio de spam por SMS.
Como foi observado, tanto nos mercados
do submundo chinês e russo, os preços do
crimeware no Brasil também diminuíram
desde 2011. Um gerador de número de cartão
de crédito, por exemplo, que custava R$ 400
(US$ 160) em 2011, agora pode ser obtido
de graça. O mesmo pode ser dito sobre as
ofertas de serviços.
Os cibercriminosos, independentemente
do país em que operam ou de seu alvo
pretendido, estão a par dos desenvolvimentos
da tecnologia para garantir o sucesso de seu
negócio. O mercado do submundo brasileiro
oferece os mesmos produtos e serviços e até
mais em comparação com suas contrapartes
chinesas e russas. Eles também competem
com outros mercados em termos de preço.
E, mais importante, eles constantemente
encontram maneiras de ficar longe dos
pesquisadores de segurança e agentes da lei.
17
Trend Micro | O Submundo do Crime Digital Brasileiro
REFERÊNCIAS
[1]
Max Goncharov. (2012). Trend Micro Security
Intelligence. “Russian Underground 101”.
Último acesso em 5 de novembro, 2014, http://
www.trendmicro.tw/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-russianunderground-101.pdf.
[2]
Zhuge Jianwei, Gu Liang e Duan Haixin. (Julho,
2012). IGCC. “Investigating China’s Online
Underground Economy”. Último acesso em 5 de
novembro, 2014, http://igcc.ucsd.edu/publications/
igcc-in-the-news/news_20120731.htm.
[3]
Lion Gu. (2013). Trend Micro Security Intelligence.
“Beyond Online Gaming Cybercrime: Revisiting the
Chinese Underground Market“. Último acesso em
5 de novembro, 2014, http://www.trendmicro.com/
cloud-content/us/pdfs/security-intelligence/whitepapers/wp-beyond-online-gaming-cybercrime.pdf.
[4]
[5]
[6]
FEBRABAN. (2013). FEBRABAN.
“Pesquisa Febraban de Tecnologia
Bancária 2013.” Último acesso em 5 de
novembro, 2014, http://www.febraban.org.
br/7Rof7SWg6qmyvwJcFwF7I0aSDf9jyV/
sitefebraban/Pesquisa%20FEBRABAN%20de%20
Tecnologia%20Banc%E1ria_2013.pdf.
Jonathan Bennett e AutoIt Consulting Ltd.
(1999‒2014). AutoIt. “Home.” Último acesso em 29
de outubro, 2014, https://www.autoitscript.com/site/
autoit/.
Trend Micro Incorporated. (2013). Trend Micro
Security Intelligence. “Brasil: Desafios de
Segurança Cibernética Enfrentados por uma
Economia em Rápido Crescimento”. Último acesso
em 27 de outubro, 2014, http://www.trendmicro.
com.br/cloud-content/br/pdfs/home/wp-brasil-final.
pdf.
[7]
Wikimedia Foundation Inc. (10 de julho, 2014).
Wikipedia. “Boleto.” Último acesso em 27 de
outubro, 2014, http://en.wikipedia.org/wiki/Boleto.
[8]
Fernando Mercês. (10 de setembro, 2014).
TrendLabs Security Intelligence Blog. “Uncovering
Malicious Browser Extensions in Chrome Web
Store”. Último acesso em 21 de outubro, 2014,
http://blog.trendmicro.com/trendlabs-securityintelligence/uncovering-malicious-browserextensions-in-chrome-web-store/.
[9]
Wikimedia Foundation Inc. (21 de março, 2014).
Wikipedia. “Proxy Auto-Config.” Último acesso em
27 de outubro, 2014, http://en.wikipedia.org/wiki/
Proxy_auto-config.
[10] Fernando Mercês. (2014). Trend Micro Security
Intelligence. “Malware em CPL: Itens de Painel
de Controle Maliciosos”. Último acesso em 7 de
novembro, 2014, http://www.trendmicro.com.
br/cloud-content/br/pdfs/business/datasheets/
relatorio_malwarecpl.pdf.
[11] Soluções de Marketing Unitfour. (2014). Unitfour.
“O Que Fazemos”. Último acesso em 24 de
outubro, 2014, http://institucional.unitfour.com.br/
Home/OQueFazemos.
[12] Serasa Experian. (2014). Serasa Experian. “Sobre
Nós”. Último acesso em 24 de outubro, 2014,
http://www.serasaexperian.com.br/quemsomos/.
[13] Soluções de Marketing Unitfour. (2014). Unitfour.
“InTouch.” Último acesso em 24 de outubro, 2014,
http://intouch.unitfour.com.br/Login.aspx.
[14] Wikimedia Foundation Inc. (10 de julho, 2014).
Wikipedia. “Cadastro de Pessoas Físicas.”
Último acesso em 27 de outubro, 2014,
http://en.wikipedia.org/wiki/Cadastro_de_
Pessoas_F%C3%ADsicas.
[15] Universo Online. (1996‒2014). PagSeguro. Último
acesso em 28 de outubro, 2014, https://pagseguro.
uol.com.br/?cmpid=pagpagseguro_2semmidimprad.
[16] Wikimedia Foundation Inc. (4 de julho, 2014).
Wikipedia. “CNPJ.” Último acesso em 28 de
outubro, 2014, http://en.wikipedia.org/wiki/CNPJ.
[17] Brian Krebs. (1º de julho, 2014). Krebs on Security.
“Microsoft Darkens 4MM Sites in Malware Fight”.
Último acesso em 29 de outubro, 2014, http://
krebsonsecurity.com/tag/njrat/.
[18] Symantec Corporation. (1995‒2014). Symantec.
“System Infected: Spygate RAT Activity”. Último
acesso em 29 de outubro, 2014, http://www.
symantec.com/security_response/attacksignatures/
detail.jsp?asid=27950.
18
A Trend Micro Incorporated, líder global em software de segurança, se esforça
para tornar o mundo seguro para a troca de informações digitais. Nossas soluções
inovadoras para uso pessoal, empresas e governos fornecem segurança de conteúdo
em camadas para proteger informações em dispositivos móveis, endpoints, gateways,
servidores e nuvem. Todas as nossas soluções utilizam a tecnologia de inteligência
global de ameaças na nuvem, a Trend Micro™ Smart Protection Network™ e são
apoiadas por mais de 1.200 especialistas em ameaças em todo o mundo. Para mais
informações, visite www.trendmicro.com.br.
©2014, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo
Trend Micro t-ball são denominações comerciais ou marcas registradas da Trend Micro
Incorporated. Todos os outros nomes de produtos ou empresas são denominações
comerciais ou marcas registradas de seus respectivos titulares.