Ascending the Ranks: The Brazilian Cybercriminal Underground in

Transcrição

Subindo na Hierarquia
O Submundo Cibercriminoso Brasileiro em 2015
Equipe de Pesquisa de Ameaças Futuras (FTR)
Um Estudo do TrendLabsSM
AVISO LEGAL DA TREND MICRO
As informações fornecidas aqui são apenas para fins
gerais e educacionais. Não se destinam e não devem ser
Índice
interpretadas de forma a constituir um aconselhamento
jurídico. As informações aqui contidas podem não se
aplicar a todas as situações nem refletir a situação mais
4
atual. Nada aqui contido deve ser invocado ou posto em
prática sem o benefício da assistência jurídica com base
nos fatos e circunstâncias específicos apresentados e
nada aqui deve ser interpretado de outra forma. A Trend
Micro se reserva o direito de modificar o conteúdo desse
Participantes do
submundo
documento a qualquer momento sem aviso prévio.
Traduções de qualquer material para outras línguas são
apenas uma conveniência. A precisão da tradução não é
garantida nem implícita. Se surgirem quaisquer dúvidas
relacionadas à precisão da tradução, consulte a versão
oficial do documento na língua original. Quaisquer
discrepâncias ou diferenças criadas na tradução não
8
são vinculativas e não têm efeito legal para efeitos de
cumprimento ou imposição.
Apesar da Trend Micro fazer um esforço razoável para
incluir informações precisas e atualizadas aqui, a Trend
Ofertas no submundo
brasileiro
Micro não dá nenhuma garantia ou representação de
qualquer tipo para sua precisão, atualidade ou integridade.
Você concorda que o acesso e uso e a confiança
neste documento e ao seu conteúdo é por sua conta e
risco. A Trend Micro se isenta de todas as garantias de
qualquer tipo, expressas ou implícitas. Nem a Trend Micro
nem qualquer parte envolvida na criação, produção e
entrega desse documento é responsável por qualquer
consequência, perda ou dano incluindo diretos, indiretos,
especiais, consequentes, perda de lucros comerciais ou
danos especiais, por danos decorrentes de acesso, uso
ou incapacidade de uso, ou em conexão com o uso
deste documento, ou quaisquer erros ou omissões no
seu conteúdo. O uso dessas informações constitui uma
aceitação para o uso em uma condição “como é”.
28
Desafios à frente
O caminho mais rápido para o estrelato cibercriminoso pode ser encontrado
na América Latina, principalmente no Brasil. Qualquer aspirante a criminoso
pode ficar famoso da noite para o dia apenas com um pouco de audácia e
com as ferramentas e treinamento certos, que existem em abundância no
submundo indomado do país.
Neste último ano, observamos um afluxo de novos participantes na cena. A
maioria deles são indivíduos jovens e ousados sem nenhum respeito pela
lei. Ao contrário de seus colegas estrangeiros, eles não dependem tanto
da Deep Web para suas transações. Eles exibem um desrespeito absoluto
pela lei ao usar a “Surface Web”, especialmente os sites de mídia social
populares como Facebook™ e outros fóruns e aplicativos públicos. Usando
pseudônimos online nesses sites, eles se exibem abertamente sobre suas
próprias minioperações. Apesar de compartilhar o que sabem com seus
colegas, a maioria trabalha de forma independente, tentando superar a
concorrência e subir na hierarquia, se tornando os principais participantes
nos campos escolhidos por eles.
Transações bancárias online são seu maior alvo, tornando predominante
o malware bancário e respectivos tutoriais. Essa tendência continua
consistente com o que relatamos dois anos atrás1. Porém, desde então,
também surgiram novas ofertas, inclusive tipos de ransomware regionais
e serviços de consulta de informações pessoalmente identificáveis (de
Personally Identifiable Information ou PII). Mercadorias ilegais que só eram
comercializadas clandestinamente nas ruas do Brasil também passaram
para o submundo. Qualquer pessoa agora pode comprar dinheiro falsificado
e certificados de conclusão de curso (diplomas) falsos online.
O atrevimento das operações cibercriminosas não deveria surpreender. As
agências policiais brasileiras já têm muito trabalho; criminosos surgindo
online são apenas mais um item na sua lista de desafios. Mesmo começando
a investir na luta contra esse problema crescente, seus esforços serão
suficientes para diminuir o seu ritmo?
SEÇÃO 1
Participantes do submundo
Participantes do submundo
Os cibercriminosos brasileiros operam sozinhos ou em grupos, apesar de geralmente preferirem trabalhar
individualmente. Eles podem ser classificados em duas categorias – desenvolvedores e operadores.
Os desenvolvedores são indivíduos instruídos que transformaram o cibercrime em um trabalho lucrativo.
Eles ajudam seus colegas cibercriminosos fornecendo malware que eles mesmos criaram. Ao contrário de
cibercriminosos de outras regiões, eles não usam tanto a Deep Web. Como já foi dito, os cibercriminosos
brasileiros têm pouca ou nenhuma consideração pela polícia. Sua audácia permite levar suas operações
para a “Surface Web” – a parte da Internet que, ao contrário da Deep Web, é indexada pelos sites de
busca. Eles usam as plataformas de redes sociais como Facebook™, Twitter™, YouTube™, Skype™ e
WhatsApp™, além de Internet Relay Chat (IRC), TorChat e fóruns para transações de negócios.
Já os operadores adquirem ferramentas maliciosas dos desenvolvedores e buscam o lucro usando-as
contra determinados alvos.
Desenvolvedores
Os desenvolvedores típicos são jovens e têm um conhecimento prático de criação de software. Na
maioria das vezes, são estudantes que adquiriram suas habilidades na escola. Facilidade de acesso a
ferramentas e treinamentos de malware, além de suas circunstâncias financeiras, poderiam ser alguns
dos fatores que os levaram a começar a se aventurar no submundo. A fragilidade das leis do Brasil contra
o cibercrime também os tornam ousados o bastante para anunciar publicamente seu sucesso.
Um desses desenvolvedores é o famoso Lordfenix², de 20 anos, de quem falamos em junho de 2015. Esse
estudante de ciência da computação conseguiu criar mais de 100 cavalos de Troia bancários que podem
contornar as medidas de segurança dos bancos brasileiros. Isso fez com que ele ficasse famoso como
um dos principais criadores de malware bancário do país. Supõe-se que ele começou a desenvolver seu
próprio malware quando ainda estava no ensino médio.
5 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015
Figura 1: Lordfenix contando a seus amigos do Facebook que
tinha que estudar para o Exame Nacional do Ensino Médio (ENEM)
Figura 2: Mensagem com o assunto, “Aviso: As férias acabaram”, que Lordfenix enviou aos operadores de seu
malware; poderia significar que ele então teria mais tempo para trabalhar em suas criações maliciosas
Figura 3: Postagem de Lordfenix se gabando do lucro gerado por seus cavalos de Troia
Nós investigamos outro desenvolvedor profissional conhecido como “Anntrax” que publicou um vídeo
anunciando um cavalo de Troia bancário de sua autoria. Ele continua sendo um participante ativo no
submundo até hoje. Uma captura de tela de seu computador mostra que ele usa partições de disco.
Especialmente interessante foi sua partição TRABALHO, que continha vários diretórios de criações
maliciosas como keyloggers, crypters e exploit kits.
Figura 4: Diferentes diretórios na partição TRABALHO do Anntrax
(Note que que isso foi tirado de um vídeo acessível publicamente.)
Operadores
Diferente dos desenvolvedores, que vendem suas criações para colegas cibercriminosos, os operadores
interagem com as vítimas reais. Eles compram malware dos desenvolvedores ou alugam a infraestrutura
de cibercriminosos através do modelo de negócios Crime-Como-um-Serviço (de Crime-as-a Service ou
CaaS). Seu modus operandi varia, dependendo de como eles usam as mercadorias que compram. O
cibercriminoso por trás do FighterPoS³ é um operador. As agências policiais podem apreender com mais
facilidade os operadores, mas têm mais trabalho para rastrear os desenvolvedores de malware.
Em agosto de 2015, a Polícia Civil do Estado de Goiás prendeu 20 pessoas envolvidas em clonagem
de cartões bancários e outros tipos de fraude4. Esses presos supostamente roubaram um total de US$
200.000 dólares.
SEÇÃO 2
Ofertas no submundo
brasileiro
Ofertas no submundo
brasileiro
O submundo brasileiro está lotado de malware bancário, o que pode ser em grande parte atribuído à
contínua popularidade do banco online5 no país. Há também algumas novidades, como o ransomware
multiplataforma e regional (feito no Brasil e em português), aplicativos Android™ modificados e serviços
relacionados a informações pessoalmente identificáveis. Os tutoriais continuam populares pois ajudam
os novatos do cibercrime a aprender truques importantes do negócio. Alguns instrutores podem também
usar esses cursos para recrutar membros para suas gangues.
O modus operandi criminoso típico das ruas do Brasil se tornou digital e está atualmente agitando o
mercado do submundo no país. Nós vimos, por exemplo, diplomas escolares falsos e dinheiro falsificado
à venda.
Exemplos recentes no mercado
Ransomware
O enorme sucesso do ransomware e sua prevalência global o torna uma ferramenta muito importante
no arsenal de qualquer cibercriminoso. Era apenas uma questão de tempo até que os cibercriminosos
brasileiros criassem suas próprias versões deste malware.
Por US$ 3.000 dólares ou 9 bitcoins, os cibercriminosos podem usar um número ilimitado de ransomware
multiplataforma no prazo de uma semana. Essas ameaças são executadas no Windows®, Linux®, Android,
iOS™ e dispositivos OS X™. Eles criptografam arquivos JPG, .PNG, .GIF, .PDF, .TXT, .SQL, .DOC, .XLS,
.HTML, .HTM, .XHTML, .BMP e .PHP usando criptografia com padrões 3DES (Triple Data Encryption
Standard), Advanced Encryption Standard (AES), DES ou Rivest Cipher 4 (RC4).
Figura 5: Por 9 BTC por semana, os cibercriminosos podem usar o ransomware
de sua escolha para realizar ataques
Em um anúncio, o vendedor até observou que o ransomware FileCrypter inclui um painel completo
mostrando o número de dispositivos infectados, detalhes sobre os usuários que pagaram o resgate
e a quantia total recebida como pagamento até agora. O pagamento do resgate não garante que os
que desistiram não serão visados novamente, pois os cibercriminosos sabem que eles têm condições
de pagar. O fato de pedirem que as vítimas paguem em bitcoins (BTC) também sugere a crescente
popularidade da criptomoeda no país.
Aplicativos Android modificados
Apps para Android modificados também apareceram recentemente no submundo brasileiro. Eles foram
configurados para pagar por créditos pré-pagos com credenciais roubadas de cartões de crédito. Melhor
ainda, nem exigem que os usuários digitem informações adicionais, incluindo o número de Código de
Verificação de Cartão (CVC) e endereço de cobrança para completar as transações. Esses pacotes de
aplicativos Android modificados (APKs) podem ser obtidos em fóruns do submundo.
Figura 6: Postagem anunciando apps Android modificados para que os usuários comprassem créditos
pré-pagos com credencias de cartões de crédito roubados
Esse surgimento de ofertas no submundo pode ser atribuído à grande taxa de penetração dos dispositivos
móveis no Brasil (142% até abril de 2015)7. A maioria dos brasileiros até acessava a web através de
dispositivos móveis ao invés de computadores. Mesmo as empresas e organizações incentivam os
clientes a usar dispositivos móveis para todos os tipos de transações de negócios.
Serviços de consulta de informações pessoalmente identificáveis
Os cibercriminosos brasileiros também já começaram a oferecer serviços que envolvem o roubo de
informações pessoalmente identificáveis de vítimas que eles podem então vender para outras pessoas por
0,015 BTC (US$ 6,81*). Alguns cibercriminosos até declararam ter acesso às bases de dados de registro
de placas de veículo. As informações pessoalmente identificáveis roubadas podem ser hackeadas ou vir
de bases de dados comprometidas como o CadSUS (Cadastro do Sistema Único de Saúde brasileiro).
Em alguns casos, os funcionários do governo foram considerados culpados de vender acesso à base de
dados nacionais.
Figura 7: Anúncio promovendo a venda de informações pessoalmente identificáveis roubadas
Compradores de informações pessoalmente identificáveis roubadas podem facilmente registrar domínios
e enviar spam com várias finalidades maliciosas.
_________
* A taxa de câmbio de 16 de dezembro de 2015 foi usada em todo esse estudo (1 BTC = US$ 461,26)
Itens básicos do submundo brasileiro
Malware
Os cavalos de Troia continuam tendo uma presença importante no submundo brasileiro. A maioria
dos malware bancários vistos atualmente continua a ter ligações com o Brasil (muitas vezes feitos ou
distribuídos por locais ou residentes). Vários fatores podem ter levado a isso, como a grande taxa de
adoção de banco online no país. Mais de 40% da população do Brasil realizou operações bancárias
online em 2014. Os brasileiros preferem usar seus computadores ou smartphones para verificar seus
extratos online ao invés de ir aos bancos ou ligar para o atendimento telefônico8.
Japão
12%
Vietnã
9%
EUA
9%
Índia
6%
Brasil
5%
Turquia
4%
China
4%
Reino Unido
4%
Filipinas
4%
Tailândia
3%
Outros
40%
Figura 8: O Brasil foi responsável por 5% do número total de detecções de malware para banco online
no terceiro trimestre de 20159
Com base em nossa pesquisa, alguns malware bancários conseguiram bloquear as telas de computador
ou dispositivo móvel depois de verificações de segurança terem sido feitas enquanto os agressores
transferiam dinheiro ilegalmente em segundo plano. Esse recurso deu muito trabalho para as agências
policiais ao rastrear os cibercriminosos responsáveis.
Malware KAISER
O malware KAISER pode contornar o sistema de token baseado em tempo do Sicredi, entre outros. Eles
também podem colocar em grande risco clientes do Banco do Brasil, Itaú, HSBC, Santander e Bradesco.
Os operadores normalmente enviam spam para infectar usuários com o KAISER. Sempre que o usuário
de um sistema infectado visita o site de um dos bancos alvos, o KAISER registra as teclas digitadas. Os
cibercriminosos, então, ganham acesso aos números da conta bancária.
O KAISER também abria uma janela (em cima das verdadeiras) para que os cibercriminosos pudessem
obter os tokens das vítimas. Quando analisamos uma amostra do KAISER, descobrimos uma janela
falsa (com um formulário falso) que pedia que as vítimas inserissem seus tokens quando o Sicredi
(supostamente) os solicitava. Ao preencher esse formulário, o token é enviado para o operador do
KAISER que então congela o computador ou o dispositivo móvel da vítima enquanto transfere o máximo
de dinheiro possível para suas próprias contas.
Figura 9: Formulário falso que aparece nos sistemas infectados
pelo KAISER quando o token do cliente do Sicredi é solicitado.
Keyloggers Proxy
Os Keyloggers Proxy são conhecidos por direcionar o navegador das vítimas para páginas de phishing
todas as vezes que acessam os sites oficiais dos bancos alvos em computadores infectados. Eles têm
um recurso de acesso remoto de desktop que permite aos cibercriminosos acessar ou controlar as telas
das vítimas. Certas variantes tinham scripts PAC (Proxy Auto Configuration) que permitiam escolher quais
servidores proxy usar (de preferência os que não podiam ser rastreados de volta para os operadores).
Encontramos uma postagem vendendo uma variante Proxy que tinha um recurso de acesso remoto e
vinha com um crypter personalizável por R$ 5.000. Os compradores podem registrar as teclas digitadas
de até 15 sites, inclusive os do PayPal e do HSBC. Eles até têm acesso a serviços de suporte 24 horas.
Figura 10: Postagem promovendo keyloggers Proxy
Keyloggers Remotos
Os keyloggers remotos têm a capacidade de falsificar todos os tipos de janelas de navegador, sempre
que os usuários acessam os sites do banco alvo usando os computadores infectados. E por R$ 2.000,
os operadores obtêm suporte total e atualizações a cada semana.
Figura 11: Recursos dos keyloggers remotos
Alteradores de DNS
Códigos de fonte completos para alteradores de Sistemas de Nome de Domínios (DNS) são vendidos
por R$ 5.000 no submundo brasileiro. Os preços podem variar dependendo do nível de conhecimento do
vendedor, linguagem de programação usada e rotinas de infecção. Ofertas como essas chegam em um
arquivo .ZIP com instruções detalhadas de uso e amostras de malware, quando compradas.
Figura 12: Exemplo de pacote de alterador de DNS vendido no submundo
Os alteradores de DNS redirecionam vítimas para páginas de phishing todas as vezes que elas acessam o
site alvo. Isso permite que os cibercriminosos roubem credenciais do site das vítimas (nomes de usuários,
senhas, etc.). Os alteradores de DNS podem não só afetar os computadores mas, como vimos, também
infectar roteadores domésticos10, como aconteceu em maio de 2015. A maioria dos alteradores de DNS
desenvolvidos no Brasil são escritos em JavaScript, apesar de versões compiladas também terem sido
encontradas no submundo.
Figura 13: Exemplos de conteúdo de pacotes compilados de malware DNS vendidos no submundo
Treinamento de cibercrime
Carding
Encontramos um anúncio para um treinamento de carding de três meses de duração no submundo
brasileiro. O curso inclui aulas para criar malware, configurar botnets e obter dados de cartões de crédito
das vítimas, entre outros. No primeiro mês, os alunos são ensinados a obter acesso a uma base de
dados e roubar credenciais de cartão de crédito. Depois, aprendem o que fazer quando uma compra
feita com um cartão de crédito roubado é aprovada, e como proceder caso sua “mula” de dinheiro
falhar. No segundo mês, os “estudantes” aprendem a clonar cartões (fisicamente) e a criar cavalos de
Troia (variantes Proxy e remotos, juntamente com cavalos de Troia bancários com recursos de conexão
reversa). No último mês, eles descobrem como criar crypters usando AutoIt, Visual Basic® 6.0 e Visual
Basic .NET, e também a configurar uma botnet ZeuS ou Solar, entre outras coisas. Por R$ 300, pagos via
PagSeguro, os aspirantes a cibercriminosos e os novatos podem aprender a criar suas próprias variantes
de malware e páginas de phishing para roubar suas vítimas com a ajuda de ‘mulas’ de dinheiro locais.
A venda de tutoriais sobre cibercrime deve ser lucrativa, pois essa é a segunda vez que vemos este
instrutor em particular oferecendo treinamento de carding usando módulos atualizados.
Figura 14: Site onde os aspirantes a cibercriminosos podem
se beneficiar de um treinamento de carding
Além disso, o instrutor dá acesso a hosts de VPS (servidor virtual privado), ferramentas e tutoriais
coletados em fóruns clandestinos.
Programação de crypter
Por apenas R$ 200, os cibercriminosos já podem ter um treinamento de programação de crypter
com suporte online via Skype. Eles também ensinam os alunos a tornarem seus crypters totalmente
indetectáveis (FUD) usando o Visual Basic 6.0. Os alunos também recebem um vídeo de 1 hora e meia
como material suplementar, juntamente com acesso grátis a vídeos atualizados.
Figura 15: Postagem anunciando ofertas de um curso de modificação de crypter
Mercadorias relacionadas a cartão de crédito
Acesso a painel de administrador de loja online
O acesso a painéis de administradores de loja online também pode ser comprado no submundo brasileiro.
Esses painéis fornecem acesso aos dados de cartão de crédito de clientes da loja. Eles ainda podem
roubar de 40 a 170 conjuntos de credenciais de cartão de crédito por dia. Os compradores são cobrados
dependendo de quantos conjuntos de credenciais eles desejam ter acesso.
Figura 16: Postagem anunciando acesso a painéis de administração de loja online comprometidos
Conseguimos entrar em contato com um vendedor desse serviço que vendia acesso a painéis
comprometidos que dava 40 credenciais de cartão de crédito por dia por R$ 300, durante 21 dias (três
semanas). Para ter acesso a 70 conjuntos de credenciais de cartão de crédito por dia, os compradores
precisariam desembolsar R$ 500 por 14 dias (duas semanas). O vendedor até oferecia acesso a 170
credenciais por dia durante 20 dias a um preço especial de R$ 1.000.
Figura 17: Conversa com um vendedor de acesso a painéis
de administração de loja online comprometidos
Credenciais de cartão de crédito roubadas
Os cibercriminosos obtêm credenciais de cartão de crédito através de phishing, sites comprometidos
de bancos ou outros sites de pagamento, distribuindo cavalos de Troia bancários. Eles também podem
obter essas informações de skimmers em PDVs modificados que são instalados em estabelecimentos
empresariais legítimos.
Oferta
Preço
10 conjuntos de credenciais de cartão de crédito
R$ 200
R$ 400
R$ 700
Tabela 1: Ofertas e preços de credenciais de cartão de crédito
Figura 18: Postagem anunciando credenciais de cartão de crédito à venda
Geradores de números de cartão de crédito
Apesar dos resultados dos geradores de cartão de crédito não serem 100% confiáveis, mesmo assim são
vendidos no submundo. Os geradores de números de cartão de crédito usam algoritmos específicos que
permitem gerar números possíveis de cartão de crédito. Seus preços dependem de quantos números
eles conseguem produzir. De novo, os resultados finais não são 100% confiáveis e, assim, podem não
ser efetivamente usados para fazer compras online.
Oferta
Preço
Geradores de cartão que dão 50 números
R$ 100
R$ 200
R$ 300
Tabela 2: Geradores de números de cartão de crédito vendidos no submundo
Figura 19: Postagem anunciando credenciais de cartão de crédito à venda (note que os números
não vêm de bases de dados de cartões de crédito roubados).
Skimmers de PDVs
Como no submundo chinês, os cibercriminosos no Brasil também vendem skimmers para PDVs. Eles são
usualmente baseados em máquinas Verifone VX 680 e custam R$ 8.000. Os cibercriminosos modificavam
os terminais PDV para poder roubar as informações armazenadas na tarja magnética de todos os cartões
de crédito passados neles. Nós vimos até o gripper12 (um cibercriminoso) vender skimmers em massa
para PDVs e caixas eletrônicos em 2014.
Figura 20: Postagem anunciando skimmers PDV à venda
Figura 21: Skimmers PDV à venda
Esse modelo em particular vendido (VX 680) tem um leitor de cartão de tarja magnética triple-track,
leitor de smart card (com chip e senha) e um teclado de senha. Ele também tem vários recursos de
comunicação (via Bluetooth®, Wi-Fi ou 3G). Dependendo da técnica usada para modificar o terminal
PDV (através de modificação de firmware ou hardware), os vigaristas cibernéticos conseguem receber os
dados roubados do cartão de crédito via Bluetooth ou com um acesso físico às máquinas.
Fraudes através de terminais PDV modificados precisam da ajuda de alguém de dentro para instalá-los
no lugar dos dispositivos legítimos. A pessoa infiltrada também ajuda os cibercriminosos a recuperar os
dados roubados dos terminais modificados. Os dados roubados do cartão de crédito podem então ser
usados em cartões clonados.
Gravadores e leitores de smart card
Leitores modificados de cartões13 Europay, MasterCard e Visa (EMV) também são comumente vendidos
no submundo brasileiro. Em uma investigação em novembro de 2014, policiais brasileiros prenderam
10 pessoas envolvidas em casos de fraude que custaram mais de R$ 3,5 milhões às vítimas14. Parte
do modus operandi era convencer garçons de restaurantes a usarem terminais PDV modificados para
pagamentos de cartão de crédito. Esses garçons recebiam R$ 1.000 para agir como cúmplices. Os
terminais modificados tinham transmissores Bluetooth que os cibercriminosos acessavam mais tarde
para obter os dados roubados. Naquele mesmo mês, vários cartões de crédito de chip e senha de
cidadãos dos EUA foram clonados e usados em compras fraudulentas depois de terem viajado para
o Brasil, nos levando a pensar que os carders brasileiros são bons em sua área de conhecimento.
Treinamento e serviços de aprovação de transações de cartão de crédito
A fraude de cartão de crédito não para no roubo de dados. Depois de conseguirem as credenciais
roubadas, os cibercriminosos precisam trabalhar com colegas que são especialistas em fazer as
transações feitas com esses cartões de crédito roubados serem aprovadas. Alguns dos fornecedores
desses serviços ajudam os clientes a usarem as credenciais dos cartões roubados para comprarem
mercadorias online. Até fornecem endereços físicos para os clientes onde podem receber seus produtos
comprados. Alguns vendem mercadorias para clientes desconhecidos por apenas 30% dos preços
normais. Qualquer cibercriminoso disposto a pagar R$ 1.300 pode aproveitar os serviços de aprovação,
que geralmente incluem suporte técnico via WhatsApp ou Skype.
Figura 22: Anúncio de produtos comprados com cartões de crédito roubados à venda
Além dos serviços reais, treinamentos para ajudar outros cibercriminosos a conseguir a aprovação de
compras adquiridas com cartões de créditos fraudulentas também estão disponíveis. Os alunos aprendem
como roubar credenciais de cartões de crédito e até a monetizar seu saque.
Figura 23: Anúncio de treinamento de aprovação de transações com cartões de crédito fraudulentos
Os alunos aprendem a roubar números de cartões de crédito, aprovar compras fraudulentas (nos sites
Pontofrio, Apple® Store, Amazon™, eBay®, Dell e MercadoLivre), consultar bases de dados, mascarar
seus endereços IP quando usam credenciais roubadas para suas compras online, determinar os extratos
disponíveis dos cartões roubados, monetizar dados do cartão roubado (comprar passagens de avião
para revender) e gerar dados infocc. Além disso, descobrem o que são bins e o que é InfoBanker, além
de identificar em quais lojas eles podem comprar produtos com seus cartões roubados.
Documentos falsos e dinheiro falsificado
Crimes de rua, como vender documentos falsos e dinheiro falsificado, migraram para a web. Essa
tendência pode ser atribuída a fatores socioeconômicos como pobreza e analfabetismo no país. Até
outubro passado, a taxa de inflação no Brasil era de 9,93%16.
Figura 24: Produtos de criadores de RGs falsos vendidos no submundo
Certificados de conclusão de curso falsos
O sistema educacional atual do Brasil17, de certa forma, contribui para a falta de profissionais no país.
Apesar do analfabetismo no país ter diminuído, pelo menos 38% dos estudantes universitários ainda são
considerados “analfabetos funcionais”. Portanto, não é surpresa que certificados de conclusão de cursos
secundários (provavelmente para fins de emprego) agora apareçam no submundo. Eles são vendidos por
R$ 300 cada, incluindo a taxa de envio. Alguns vendedores de dinheiro falsificado até oferecem envio
gratuito para compras de mais de 200 notas.
Figura 25: Certificados de conclusão de curso (diplomas) falsos vendidos no submundo
Dinheiro falso
Notas falsificadas de R$ 10, R$ 20 e R$ 50 são vendidas no submundo brasileiro.
Oferta
Preço
Notas falsas no valor de R$ 750
R$ 100
Notas falsas no valor de R$ 1.500
R$ 200
Tabela 3: Preços de dinheiro falsificado vendido no submundo
Figura 26: Postagem anunciando dinheiro falso à venda
Figura 27: Dinheiro falso com o nome do vendedor publicado online
Os cibercriminosos no Brasil são bem ousados. Eles não se importam que as agências policiais vejam
seus nomes publicados online, ligados a atividades ilegais.
Outras ofertas ilícitas
Serviços de acesso à Internet e TV a cabo
Os cibercriminosos que têm acesso a redes de provedores de serviço de Internet (ISPs) e operadoras de
TV a cabo, por exemplo, vendem serviços para clientes que querem aumentar sua velocidade de acesso
ou privilégios. Por R$ 150, eles podem aumentar a velocidade de seu acesso à Internet ou assistir a mais
programas na TV a cabo por um preço menor do que os normalmente cobrados pelos provedores.
Figura 28: Postagem anunciando serviços de melhoria de Internet
Figura 29: Conversa com um cibercriminoso oferecendo um serviço de melhoria da Velox que custa
R$ 150 por um período de pelo menos seis meses a mais do que o período máximo de um provedor
Crypters
Como quase todos os fornecedores de segurança detectam a maioria dos malware bancários e outros
arquivos maliciosos, os crypters se tornaram básicos para o cibercrime. A maior parte dos crypters são
criados por meio da junção de códigos, modificação de ponto de entrada (entry point ou EP), arquivo
executável obrigatório ou modificação de arquivo geral. Como em 2013, os crypters ainda podem ser
comprados no submundo por R$ 70. Alguns vendedores fazem uma promoção de apenas R$ 40 no final
do ano.
Figura 30: Postagem oferecendo um crypter totalmente indetectável
SEÇÃO 3
Desafios à frente
Desafios à frente
O cenário socioeconômico do Brasil tornou o país um terreno fértil para os cibercriminosos. O lucro rápido
prometido por uma vida de crimes se tornou atraente o bastante para vários indivíduos. As ferramentas
e o treinamento que eles precisam estão todos à disposição. Só é preciso ter coragem e know-how
para qualquer novato se dar bem. E como as atividades cibercriminosas não têm penas pesadas no
Brasil, como em outras regiões como a América do Norte, os criminosos promovem publicamente suas
operações. Isso, por sua vez, atrai mais pessoas querendo seguir seu exemplo.
Apesar do cibercrime brasileiro prosperar na Surface Web – novamente, em grande parte, devido ao
desrespeito dos cibercriminosos pela polícia – prevemos uma grande mudança para a Deep Web no
futuro. Os desenvolvedores e operadores que usam mulas de dinheiro e contas bancárias para retirar seus
lucros ainda têm uma grande chance de serem pegos. Usar bitcoins e negociar em darknets diminuiriam
esse risco.
As agências legais brasileiras têm uma tarefa árdua à frente se quiserem derrubar o cibercrime local. Em
2015, eles se esforçaram mais para combatê-lo. Os agentes da lei fizeram parcerias com fornecedores
de segurança, como a Trend Micro, para treinamentos sobre o cibercrime e até colaboraram em algumas
investigações. Mas esses exercícios não foram suficientes para derrubar o cibercrime no Brasil. Órgãos
legislativos terão que ser mais rigorosos com sanções para desencorajar os cibercriminosos individuais,
desenvolvedores e operadores. O governo nacional precisa investir mais recursos nas investigações,
principalmente quando o cibercrime brasileiro migrar para o território da Deep Web. Essas tarefas podem
ser difíceis agora devido aos desafios de imposição da lei mais urgentes atualmente no país.
Iremos monitorar continuamente as atividades, tendências e ofertas do submundo brasileiro.
Acompanharemos a adoção de criptomoedas, especialmente agora que o ransomware regional está
surgindo. Porém, como isso irá mudar a dinâmica atual do mercado, ainda teremos que descobrir.
Referências
1. Fernando Mercês. (2014). Trend Micro Security Intelligence. “O Submundo do Crime Digital Brasileiro: Um
Mercado de Aspirantes a Cibercriminosos?” Último acesso em 14 de dezembro de 2015, http://www.trendmicro.
com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf.
2. Trend Micro. (28 de junho de 2015). Trend Micro Simplesmente Segurança. “Hacker brasileiro chama atenção
mundial lucrando com malware bancário”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.
com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario.
3. Trend Micro. (13 de abril de 2015). Trend Micro Simplesmente Segurança. “FighterPOS – Combatendo uma Nova
Família de Malware PDV”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.com.br/fighterposcombatendo-uma-nova-familia-de-malware-pdv.
4. Vanessa Martins. (27 de agosto de 2015). globo.com. “Polícia prende 20 suspeitos de clonar cartões e realizar
fraudes bancárias”. Último acesso em 15 de dezembro de 2015, http://g1.globo.com/goias/noticia/2015/08/
policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html.
5. allpago. (2015). allpago.com. “The Spread of Internet Banking in LATAM”. Último acesso em 15 de dezembro de
2015, http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/.
6. Trend Micro. (2015). TrendLabs Security Intelligence Blog. “Ransomware (Resultados de Busca)”. Último acesso
em 15 de dezembro de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware.
7. Sam S. Adkins. (Maio de 2015). Ambient Insight Research. “The 2014–2019 Brazil Mobile Learning Market”. Último
acesso em 15 de dezembro de 2015, http://www.ambientinsight.com/Resources/Documents/AmbientInsight2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf.
8. eMarketer Inc. (25 de julho de 2014). eMarketer. “Brazil’s Bankers Get Digital, Both Online and via Mobile”.
Último acesso em 15 de dezembro de 2015, http://www.emarketer.com/Article/Brazils-Bankers-Digital-BothOnline-via-Mobile/1011051.
9. TrendLabs. (Outubro de 2015). Trend Micro Security Intelligence. “Hazards Ahead: Current Vulnerabilities Prelude
Impending Attacks”. Último acesso em 15 de dezembro de 2015, http://www.trendmicro.com/cloud-content/us/
pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf.
10. Fernando Mercês. (12 de junho de 2015). Trend Micro Simplesmente Segurança. “Malware DNS Changer de
olho nos roteadores domésticos”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/
malware-dns-changer-de-olho-nos-roteadores-domesticos/.
11. Lion Gu. (2015). Trend Micro Security Intelligence. “Prototype Nation: The Chinese Cybercriminal Underground
in 2015”. Último acesso em 18 de dezembro de 2015, https://www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-prototype-nation.pdf.
12. Trend Micro. (21 de março de 2014). TrendLabs Security Intelligence Blog. “Mass-Produced ATM Skimmers,
Rogue PoS Terminals via 3D Printing?” Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com/
trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/.
13. Equipe Trend Micro FTR. (Abril de 2015). Trend Micro Security Intelligence. “FighterPOS: Anatomia e Operação
de um novo Malware PDV”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/wpcontent/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf.
14. Globo Comunicação e Participações SA. (16 de novembro de 2014). globo.com. “Quadrilha usa bluetooth para
clonar cartões de chip e movimenta milhões”. Último acesso em 18 de dezembro de 2015, http://g1.globo.com/
fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html.
15. Brain Krebs. (27 de outubro de 2014). Krebs on Security. “‘Replay’ Attacks Spoof Chip Card Charges”. Último
acesso em 16 de dezembro de 2015, http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-cardcharges/.
16. Trading Economics. (2015). Trading Economics. “Brazil Inflation Rate”. Último acesso em 16 de dezembro de
2015, http://www.tradingeconomics.com/brazil/inflation-cpi.
17. Cynthia Fujikawa Nes. (12 de agosto de 2015). The Brazil Business. “The Brazilian Educational System”. Último
acesso em 16 de dezembro de 2015, http://thebrazilbusiness.com/article/the-brazilian-educational-system.
Criado por:
Suporte Técnico Global e Centro de Pesquisa e Desenvolvimento da TREND MICRO
TREND MICROTM
A Trend Micro Incorporated, líder global de segurança em nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções de
segurança de conteúdo da Internet e soluções de gerenciamento de ameaças para empresas e consumidores. Pioneira em segurança de servidores com
mais de 20 anos de experiência, fornecemos segurança avançada para clientes, servidores e ambientes em nuvem. Nossas soluções se adequam às
necessidades de nossos clientes e parceiros; bloqueiam novas ameaças mais rapidamente; e protegem dados em ambientes físicos, virtualizados e em
nuvem. Com a infraestrutura da Trend Micro™ Smart Protection Network™, nossas tecnologias, serviços e produtos líderes em segurança bloqueiam
ameaças onde surgem – na Internet – e são mantidos por mais de 1.000 especialistas em inteligência de ameaças em todo o mundo. Para mais
informações, acesse www.trendmicro.com.br.
©2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são denominações comerciais ou marcas
registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas são denominações comerciais ou marcas registradas de seus
respectivos titulares.

Ascending the Ranks: The Brazilian Cybercriminal Underground in

Transcrição

Documentos relacionados

O Submundo do Crime Digital Brasileiro

the amazing spider man 2 ps3

autorização de débito em cartão de crédito

AUTORIZAÇÃO DE DÉBITO EM CARTÃO DE CRÉDITO Conforme

Autorização de Débito Intercambio Global Master e Dinners

AUTORIZAÇÃO DE DÉBITO - SERVIÇOS DE

Identification Requirements in Portuguese

americanexpress.ca minha conta

release fazer

AUTORIZAÇÃO DE DÉBITO – SERVIÇOS DE VIAGEM