Ascending the Ranks: The Brazilian Cybercriminal Underground in
Transcrição
Ascending the Ranks: The Brazilian Cybercriminal Underground in
Subindo na Hierarquia O Submundo Cibercriminoso Brasileiro em 2015 Equipe de Pesquisa de Ameaças Futuras (FTR) Um Estudo do TrendLabsSM AVISO LEGAL DA TREND MICRO As informações fornecidas aqui são apenas para fins gerais e educacionais. Não se destinam e não devem ser Índice interpretadas de forma a constituir um aconselhamento jurídico. As informações aqui contidas podem não se aplicar a todas as situações nem refletir a situação mais 4 atual. Nada aqui contido deve ser invocado ou posto em prática sem o benefício da assistência jurídica com base nos fatos e circunstâncias específicos apresentados e nada aqui deve ser interpretado de outra forma. A Trend Micro se reserva o direito de modificar o conteúdo desse Participantes do submundo documento a qualquer momento sem aviso prévio. Traduções de qualquer material para outras línguas são apenas uma conveniência. A precisão da tradução não é garantida nem implícita. Se surgirem quaisquer dúvidas relacionadas à precisão da tradução, consulte a versão oficial do documento na língua original. Quaisquer discrepâncias ou diferenças criadas na tradução não 8 são vinculativas e não têm efeito legal para efeitos de cumprimento ou imposição. Apesar da Trend Micro fazer um esforço razoável para incluir informações precisas e atualizadas aqui, a Trend Ofertas no submundo brasileiro Micro não dá nenhuma garantia ou representação de qualquer tipo para sua precisão, atualidade ou integridade. Você concorda que o acesso e uso e a confiança neste documento e ao seu conteúdo é por sua conta e risco. A Trend Micro se isenta de todas as garantias de qualquer tipo, expressas ou implícitas. Nem a Trend Micro nem qualquer parte envolvida na criação, produção e entrega desse documento é responsável por qualquer consequência, perda ou dano incluindo diretos, indiretos, especiais, consequentes, perda de lucros comerciais ou danos especiais, por danos decorrentes de acesso, uso ou incapacidade de uso, ou em conexão com o uso deste documento, ou quaisquer erros ou omissões no seu conteúdo. O uso dessas informações constitui uma aceitação para o uso em uma condição “como é”. 28 Desafios à frente O caminho mais rápido para o estrelato cibercriminoso pode ser encontrado na América Latina, principalmente no Brasil. Qualquer aspirante a criminoso pode ficar famoso da noite para o dia apenas com um pouco de audácia e com as ferramentas e treinamento certos, que existem em abundância no submundo indomado do país. Neste último ano, observamos um afluxo de novos participantes na cena. A maioria deles são indivíduos jovens e ousados sem nenhum respeito pela lei. Ao contrário de seus colegas estrangeiros, eles não dependem tanto da Deep Web para suas transações. Eles exibem um desrespeito absoluto pela lei ao usar a “Surface Web”, especialmente os sites de mídia social populares como Facebook™ e outros fóruns e aplicativos públicos. Usando pseudônimos online nesses sites, eles se exibem abertamente sobre suas próprias minioperações. Apesar de compartilhar o que sabem com seus colegas, a maioria trabalha de forma independente, tentando superar a concorrência e subir na hierarquia, se tornando os principais participantes nos campos escolhidos por eles. Transações bancárias online são seu maior alvo, tornando predominante o malware bancário e respectivos tutoriais. Essa tendência continua consistente com o que relatamos dois anos atrás1. Porém, desde então, também surgiram novas ofertas, inclusive tipos de ransomware regionais e serviços de consulta de informações pessoalmente identificáveis (de Personally Identifiable Information ou PII). Mercadorias ilegais que só eram comercializadas clandestinamente nas ruas do Brasil também passaram para o submundo. Qualquer pessoa agora pode comprar dinheiro falsificado e certificados de conclusão de curso (diplomas) falsos online. O atrevimento das operações cibercriminosas não deveria surpreender. As agências policiais brasileiras já têm muito trabalho; criminosos surgindo online são apenas mais um item na sua lista de desafios. Mesmo começando a investir na luta contra esse problema crescente, seus esforços serão suficientes para diminuir o seu ritmo? SEÇÃO 1 Participantes do submundo Participantes do submundo Os cibercriminosos brasileiros operam sozinhos ou em grupos, apesar de geralmente preferirem trabalhar individualmente. Eles podem ser classificados em duas categorias – desenvolvedores e operadores. Os desenvolvedores são indivíduos instruídos que transformaram o cibercrime em um trabalho lucrativo. Eles ajudam seus colegas cibercriminosos fornecendo malware que eles mesmos criaram. Ao contrário de cibercriminosos de outras regiões, eles não usam tanto a Deep Web. Como já foi dito, os cibercriminosos brasileiros têm pouca ou nenhuma consideração pela polícia. Sua audácia permite levar suas operações para a “Surface Web” – a parte da Internet que, ao contrário da Deep Web, é indexada pelos sites de busca. Eles usam as plataformas de redes sociais como Facebook™, Twitter™, YouTube™, Skype™ e WhatsApp™, além de Internet Relay Chat (IRC), TorChat e fóruns para transações de negócios. Já os operadores adquirem ferramentas maliciosas dos desenvolvedores e buscam o lucro usando-as contra determinados alvos. Desenvolvedores Os desenvolvedores típicos são jovens e têm um conhecimento prático de criação de software. Na maioria das vezes, são estudantes que adquiriram suas habilidades na escola. Facilidade de acesso a ferramentas e treinamentos de malware, além de suas circunstâncias financeiras, poderiam ser alguns dos fatores que os levaram a começar a se aventurar no submundo. A fragilidade das leis do Brasil contra o cibercrime também os tornam ousados o bastante para anunciar publicamente seu sucesso. Um desses desenvolvedores é o famoso Lordfenix², de 20 anos, de quem falamos em junho de 2015. Esse estudante de ciência da computação conseguiu criar mais de 100 cavalos de Troia bancários que podem contornar as medidas de segurança dos bancos brasileiros. Isso fez com que ele ficasse famoso como um dos principais criadores de malware bancário do país. Supõe-se que ele começou a desenvolver seu próprio malware quando ainda estava no ensino médio. 5 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 1: Lordfenix contando a seus amigos do Facebook que tinha que estudar para o Exame Nacional do Ensino Médio (ENEM) Figura 2: Mensagem com o assunto, “Aviso: As férias acabaram”, que Lordfenix enviou aos operadores de seu malware; poderia significar que ele então teria mais tempo para trabalhar em suas criações maliciosas Figura 3: Postagem de Lordfenix se gabando do lucro gerado por seus cavalos de Troia 6 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Nós investigamos outro desenvolvedor profissional conhecido como “Anntrax” que publicou um vídeo anunciando um cavalo de Troia bancário de sua autoria. Ele continua sendo um participante ativo no submundo até hoje. Uma captura de tela de seu computador mostra que ele usa partições de disco. Especialmente interessante foi sua partição TRABALHO, que continha vários diretórios de criações maliciosas como keyloggers, crypters e exploit kits. Figura 4: Diferentes diretórios na partição TRABALHO do Anntrax (Note que que isso foi tirado de um vídeo acessível publicamente.) Operadores Diferente dos desenvolvedores, que vendem suas criações para colegas cibercriminosos, os operadores interagem com as vítimas reais. Eles compram malware dos desenvolvedores ou alugam a infraestrutura de cibercriminosos através do modelo de negócios Crime-Como-um-Serviço (de Crime-as-a Service ou CaaS). Seu modus operandi varia, dependendo de como eles usam as mercadorias que compram. O cibercriminoso por trás do FighterPoS³ é um operador. As agências policiais podem apreender com mais facilidade os operadores, mas têm mais trabalho para rastrear os desenvolvedores de malware. Em agosto de 2015, a Polícia Civil do Estado de Goiás prendeu 20 pessoas envolvidas em clonagem de cartões bancários e outros tipos de fraude4. Esses presos supostamente roubaram um total de US$ 200.000 dólares. 7 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 SEÇÃO 2 Ofertas no submundo brasileiro Ofertas no submundo brasileiro O submundo brasileiro está lotado de malware bancário, o que pode ser em grande parte atribuído à contínua popularidade do banco online5 no país. Há também algumas novidades, como o ransomware multiplataforma e regional (feito no Brasil e em português), aplicativos Android™ modificados e serviços relacionados a informações pessoalmente identificáveis. Os tutoriais continuam populares pois ajudam os novatos do cibercrime a aprender truques importantes do negócio. Alguns instrutores podem também usar esses cursos para recrutar membros para suas gangues. O modus operandi criminoso típico das ruas do Brasil se tornou digital e está atualmente agitando o mercado do submundo no país. Nós vimos, por exemplo, diplomas escolares falsos e dinheiro falsificado à venda. Exemplos recentes no mercado Ransomware O enorme sucesso do ransomware e sua prevalência global o torna uma ferramenta muito importante no arsenal de qualquer cibercriminoso. Era apenas uma questão de tempo até que os cibercriminosos brasileiros criassem suas próprias versões deste malware. Por US$ 3.000 dólares ou 9 bitcoins, os cibercriminosos podem usar um número ilimitado de ransomware multiplataforma no prazo de uma semana. Essas ameaças são executadas no Windows®, Linux®, Android, iOS™ e dispositivos OS X™. Eles criptografam arquivos JPG, .PNG, .GIF, .PDF, .TXT, .SQL, .DOC, .XLS, .HTML, .HTM, .XHTML, .BMP e .PHP usando criptografia com padrões 3DES (Triple Data Encryption Standard), Advanced Encryption Standard (AES), DES ou Rivest Cipher 4 (RC4). 9 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 5: Por 9 BTC por semana, os cibercriminosos podem usar o ransomware de sua escolha para realizar ataques Em um anúncio, o vendedor até observou que o ransomware FileCrypter inclui um painel completo mostrando o número de dispositivos infectados, detalhes sobre os usuários que pagaram o resgate e a quantia total recebida como pagamento até agora. O pagamento do resgate não garante que os que desistiram não serão visados novamente, pois os cibercriminosos sabem que eles têm condições de pagar. O fato de pedirem que as vítimas paguem em bitcoins (BTC) também sugere a crescente popularidade da criptomoeda no país. Aplicativos Android modificados Apps para Android modificados também apareceram recentemente no submundo brasileiro. Eles foram configurados para pagar por créditos pré-pagos com credenciais roubadas de cartões de crédito. Melhor ainda, nem exigem que os usuários digitem informações adicionais, incluindo o número de Código de Verificação de Cartão (CVC) e endereço de cobrança para completar as transações. Esses pacotes de aplicativos Android modificados (APKs) podem ser obtidos em fóruns do submundo. Figura 6: Postagem anunciando apps Android modificados para que os usuários comprassem créditos pré-pagos com credencias de cartões de crédito roubados 10 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Esse surgimento de ofertas no submundo pode ser atribuído à grande taxa de penetração dos dispositivos móveis no Brasil (142% até abril de 2015)7. A maioria dos brasileiros até acessava a web através de dispositivos móveis ao invés de computadores. Mesmo as empresas e organizações incentivam os clientes a usar dispositivos móveis para todos os tipos de transações de negócios. Serviços de consulta de informações pessoalmente identificáveis Os cibercriminosos brasileiros também já começaram a oferecer serviços que envolvem o roubo de informações pessoalmente identificáveis de vítimas que eles podem então vender para outras pessoas por 0,015 BTC (US$ 6,81*). Alguns cibercriminosos até declararam ter acesso às bases de dados de registro de placas de veículo. As informações pessoalmente identificáveis roubadas podem ser hackeadas ou vir de bases de dados comprometidas como o CadSUS (Cadastro do Sistema Único de Saúde brasileiro). Em alguns casos, os funcionários do governo foram considerados culpados de vender acesso à base de dados nacionais. Figura 7: Anúncio promovendo a venda de informações pessoalmente identificáveis roubadas Compradores de informações pessoalmente identificáveis roubadas podem facilmente registrar domínios e enviar spam com várias finalidades maliciosas. _________ * A taxa de câmbio de 16 de dezembro de 2015 foi usada em todo esse estudo (1 BTC = US$ 461,26) 11 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Itens básicos do submundo brasileiro Malware Os cavalos de Troia continuam tendo uma presença importante no submundo brasileiro. A maioria dos malware bancários vistos atualmente continua a ter ligações com o Brasil (muitas vezes feitos ou distribuídos por locais ou residentes). Vários fatores podem ter levado a isso, como a grande taxa de adoção de banco online no país. Mais de 40% da população do Brasil realizou operações bancárias online em 2014. Os brasileiros preferem usar seus computadores ou smartphones para verificar seus extratos online ao invés de ir aos bancos ou ligar para o atendimento telefônico8. Japão 12% Vietnã 9% EUA 9% Índia 6% Brasil 5% Turquia 4% China 4% Reino Unido 4% Filipinas 4% Tailândia 3% Outros 40% Figura 8: O Brasil foi responsável por 5% do número total de detecções de malware para banco online no terceiro trimestre de 20159 Com base em nossa pesquisa, alguns malware bancários conseguiram bloquear as telas de computador ou dispositivo móvel depois de verificações de segurança terem sido feitas enquanto os agressores transferiam dinheiro ilegalmente em segundo plano. Esse recurso deu muito trabalho para as agências policiais ao rastrear os cibercriminosos responsáveis. Malware KAISER O malware KAISER pode contornar o sistema de token baseado em tempo do Sicredi, entre outros. Eles também podem colocar em grande risco clientes do Banco do Brasil, Itaú, HSBC, Santander e Bradesco. Os operadores normalmente enviam spam para infectar usuários com o KAISER. Sempre que o usuário de um sistema infectado visita o site de um dos bancos alvos, o KAISER registra as teclas digitadas. Os cibercriminosos, então, ganham acesso aos números da conta bancária. 12 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 O KAISER também abria uma janela (em cima das verdadeiras) para que os cibercriminosos pudessem obter os tokens das vítimas. Quando analisamos uma amostra do KAISER, descobrimos uma janela falsa (com um formulário falso) que pedia que as vítimas inserissem seus tokens quando o Sicredi (supostamente) os solicitava. Ao preencher esse formulário, o token é enviado para o operador do KAISER que então congela o computador ou o dispositivo móvel da vítima enquanto transfere o máximo de dinheiro possível para suas próprias contas. Figura 9: Formulário falso que aparece nos sistemas infectados pelo KAISER quando o token do cliente do Sicredi é solicitado. Keyloggers Proxy Os Keyloggers Proxy são conhecidos por direcionar o navegador das vítimas para páginas de phishing todas as vezes que acessam os sites oficiais dos bancos alvos em computadores infectados. Eles têm um recurso de acesso remoto de desktop que permite aos cibercriminosos acessar ou controlar as telas das vítimas. Certas variantes tinham scripts PAC (Proxy Auto Configuration) que permitiam escolher quais servidores proxy usar (de preferência os que não podiam ser rastreados de volta para os operadores). Encontramos uma postagem vendendo uma variante Proxy que tinha um recurso de acesso remoto e vinha com um crypter personalizável por R$ 5.000. Os compradores podem registrar as teclas digitadas de até 15 sites, inclusive os do PayPal e do HSBC. Eles até têm acesso a serviços de suporte 24 horas. 13 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 10: Postagem promovendo keyloggers Proxy Keyloggers Remotos Os keyloggers remotos têm a capacidade de falsificar todos os tipos de janelas de navegador, sempre que os usuários acessam os sites do banco alvo usando os computadores infectados. E por R$ 2.000, os operadores obtêm suporte total e atualizações a cada semana. Figura 11: Recursos dos keyloggers remotos Alteradores de DNS Códigos de fonte completos para alteradores de Sistemas de Nome de Domínios (DNS) são vendidos por R$ 5.000 no submundo brasileiro. Os preços podem variar dependendo do nível de conhecimento do vendedor, linguagem de programação usada e rotinas de infecção. Ofertas como essas chegam em um arquivo .ZIP com instruções detalhadas de uso e amostras de malware, quando compradas. 14 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 12: Exemplo de pacote de alterador de DNS vendido no submundo Os alteradores de DNS redirecionam vítimas para páginas de phishing todas as vezes que elas acessam o site alvo. Isso permite que os cibercriminosos roubem credenciais do site das vítimas (nomes de usuários, senhas, etc.). Os alteradores de DNS podem não só afetar os computadores mas, como vimos, também infectar roteadores domésticos10, como aconteceu em maio de 2015. A maioria dos alteradores de DNS desenvolvidos no Brasil são escritos em JavaScript, apesar de versões compiladas também terem sido encontradas no submundo. Figura 13: Exemplos de conteúdo de pacotes compilados de malware DNS vendidos no submundo 15 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Treinamento de cibercrime Carding Encontramos um anúncio para um treinamento de carding de três meses de duração no submundo brasileiro. O curso inclui aulas para criar malware, configurar botnets e obter dados de cartões de crédito das vítimas, entre outros. No primeiro mês, os alunos são ensinados a obter acesso a uma base de dados e roubar credenciais de cartão de crédito. Depois, aprendem o que fazer quando uma compra feita com um cartão de crédito roubado é aprovada, e como proceder caso sua “mula” de dinheiro falhar. No segundo mês, os “estudantes” aprendem a clonar cartões (fisicamente) e a criar cavalos de Troia (variantes Proxy e remotos, juntamente com cavalos de Troia bancários com recursos de conexão reversa). No último mês, eles descobrem como criar crypters usando AutoIt, Visual Basic® 6.0 e Visual Basic .NET, e também a configurar uma botnet ZeuS ou Solar, entre outras coisas. Por R$ 300, pagos via PagSeguro, os aspirantes a cibercriminosos e os novatos podem aprender a criar suas próprias variantes de malware e páginas de phishing para roubar suas vítimas com a ajuda de ‘mulas’ de dinheiro locais. A venda de tutoriais sobre cibercrime deve ser lucrativa, pois essa é a segunda vez que vemos este instrutor em particular oferecendo treinamento de carding usando módulos atualizados. Figura 14: Site onde os aspirantes a cibercriminosos podem se beneficiar de um treinamento de carding Além disso, o instrutor dá acesso a hosts de VPS (servidor virtual privado), ferramentas e tutoriais coletados em fóruns clandestinos. 16 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Programação de crypter Por apenas R$ 200, os cibercriminosos já podem ter um treinamento de programação de crypter com suporte online via Skype. Eles também ensinam os alunos a tornarem seus crypters totalmente indetectáveis (FUD) usando o Visual Basic 6.0. Os alunos também recebem um vídeo de 1 hora e meia como material suplementar, juntamente com acesso grátis a vídeos atualizados. Figura 15: Postagem anunciando ofertas de um curso de modificação de crypter Mercadorias relacionadas a cartão de crédito Acesso a painel de administrador de loja online O acesso a painéis de administradores de loja online também pode ser comprado no submundo brasileiro. Esses painéis fornecem acesso aos dados de cartão de crédito de clientes da loja. Eles ainda podem roubar de 40 a 170 conjuntos de credenciais de cartão de crédito por dia. Os compradores são cobrados dependendo de quantos conjuntos de credenciais eles desejam ter acesso. 17 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 16: Postagem anunciando acesso a painéis de administração de loja online comprometidos Conseguimos entrar em contato com um vendedor desse serviço que vendia acesso a painéis comprometidos que dava 40 credenciais de cartão de crédito por dia por R$ 300, durante 21 dias (três semanas). Para ter acesso a 70 conjuntos de credenciais de cartão de crédito por dia, os compradores precisariam desembolsar R$ 500 por 14 dias (duas semanas). O vendedor até oferecia acesso a 170 credenciais por dia durante 20 dias a um preço especial de R$ 1.000. Figura 17: Conversa com um vendedor de acesso a painéis de administração de loja online comprometidos 18 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Credenciais de cartão de crédito roubadas Os cibercriminosos obtêm credenciais de cartão de crédito através de phishing, sites comprometidos de bancos ou outros sites de pagamento, distribuindo cavalos de Troia bancários. Eles também podem obter essas informações de skimmers em PDVs modificados que são instalados em estabelecimentos empresariais legítimos. Oferta Preço 10 conjuntos de credenciais de cartão de crédito R$ 200 20 conjuntos de credenciais de cartão de crédito R$ 400 50 conjuntos de credenciais de cartão de crédito R$ 700 Tabela 1: Ofertas e preços de credenciais de cartão de crédito Figura 18: Postagem anunciando credenciais de cartão de crédito à venda 19 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Geradores de números de cartão de crédito Apesar dos resultados dos geradores de cartão de crédito não serem 100% confiáveis, mesmo assim são vendidos no submundo. Os geradores de números de cartão de crédito usam algoritmos específicos que permitem gerar números possíveis de cartão de crédito. Seus preços dependem de quantos números eles conseguem produzir. De novo, os resultados finais não são 100% confiáveis e, assim, podem não ser efetivamente usados para fazer compras online. Oferta Preço Geradores de cartão que dão 50 números R$ 100 Geradores de cartão que dão 100 números R$ 200 Geradores de cartão que dão 150 números R$ 300 Tabela 2: Geradores de números de cartão de crédito vendidos no submundo Figura 19: Postagem anunciando credenciais de cartão de crédito à venda (note que os números não vêm de bases de dados de cartões de crédito roubados). 20 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Skimmers de PDVs Como no submundo chinês, os cibercriminosos no Brasil também vendem skimmers para PDVs. Eles são usualmente baseados em máquinas Verifone VX 680 e custam R$ 8.000. Os cibercriminosos modificavam os terminais PDV para poder roubar as informações armazenadas na tarja magnética de todos os cartões de crédito passados neles. Nós vimos até o gripper12 (um cibercriminoso) vender skimmers em massa para PDVs e caixas eletrônicos em 2014. Figura 20: Postagem anunciando skimmers PDV à venda Figura 21: Skimmers PDV à venda Esse modelo em particular vendido (VX 680) tem um leitor de cartão de tarja magnética triple-track, leitor de smart card (com chip e senha) e um teclado de senha. Ele também tem vários recursos de comunicação (via Bluetooth®, Wi-Fi ou 3G). Dependendo da técnica usada para modificar o terminal PDV (através de modificação de firmware ou hardware), os vigaristas cibernéticos conseguem receber os dados roubados do cartão de crédito via Bluetooth ou com um acesso físico às máquinas. Fraudes através de terminais PDV modificados precisam da ajuda de alguém de dentro para instalá-los no lugar dos dispositivos legítimos. A pessoa infiltrada também ajuda os cibercriminosos a recuperar os dados roubados dos terminais modificados. Os dados roubados do cartão de crédito podem então ser usados em cartões clonados. 21 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Gravadores e leitores de smart card Leitores modificados de cartões13 Europay, MasterCard e Visa (EMV) também são comumente vendidos no submundo brasileiro. Em uma investigação em novembro de 2014, policiais brasileiros prenderam 10 pessoas envolvidas em casos de fraude que custaram mais de R$ 3,5 milhões às vítimas14. Parte do modus operandi era convencer garçons de restaurantes a usarem terminais PDV modificados para pagamentos de cartão de crédito. Esses garçons recebiam R$ 1.000 para agir como cúmplices. Os terminais modificados tinham transmissores Bluetooth que os cibercriminosos acessavam mais tarde para obter os dados roubados. Naquele mesmo mês, vários cartões de crédito de chip e senha de cidadãos dos EUA foram clonados e usados em compras fraudulentas depois de terem viajado para o Brasil, nos levando a pensar que os carders brasileiros são bons em sua área de conhecimento. Treinamento e serviços de aprovação de transações de cartão de crédito A fraude de cartão de crédito não para no roubo de dados. Depois de conseguirem as credenciais roubadas, os cibercriminosos precisam trabalhar com colegas que são especialistas em fazer as transações feitas com esses cartões de crédito roubados serem aprovadas. Alguns dos fornecedores desses serviços ajudam os clientes a usarem as credenciais dos cartões roubados para comprarem mercadorias online. Até fornecem endereços físicos para os clientes onde podem receber seus produtos comprados. Alguns vendem mercadorias para clientes desconhecidos por apenas 30% dos preços normais. Qualquer cibercriminoso disposto a pagar R$ 1.300 pode aproveitar os serviços de aprovação, que geralmente incluem suporte técnico via WhatsApp ou Skype. Figura 22: Anúncio de produtos comprados com cartões de crédito roubados à venda Além dos serviços reais, treinamentos para ajudar outros cibercriminosos a conseguir a aprovação de compras adquiridas com cartões de créditos fraudulentas também estão disponíveis. Os alunos aprendem como roubar credenciais de cartões de crédito e até a monetizar seu saque. 22 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 23: Anúncio de treinamento de aprovação de transações com cartões de crédito fraudulentos Os alunos aprendem a roubar números de cartões de crédito, aprovar compras fraudulentas (nos sites Pontofrio, Apple® Store, Amazon™, eBay®, Dell e MercadoLivre), consultar bases de dados, mascarar seus endereços IP quando usam credenciais roubadas para suas compras online, determinar os extratos disponíveis dos cartões roubados, monetizar dados do cartão roubado (comprar passagens de avião para revender) e gerar dados infocc. Além disso, descobrem o que são bins e o que é InfoBanker, além de identificar em quais lojas eles podem comprar produtos com seus cartões roubados. Documentos falsos e dinheiro falsificado Crimes de rua, como vender documentos falsos e dinheiro falsificado, migraram para a web. Essa tendência pode ser atribuída a fatores socioeconômicos como pobreza e analfabetismo no país. Até outubro passado, a taxa de inflação no Brasil era de 9,93%16. 23 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 24: Produtos de criadores de RGs falsos vendidos no submundo Certificados de conclusão de curso falsos O sistema educacional atual do Brasil17, de certa forma, contribui para a falta de profissionais no país. Apesar do analfabetismo no país ter diminuído, pelo menos 38% dos estudantes universitários ainda são considerados “analfabetos funcionais”. Portanto, não é surpresa que certificados de conclusão de cursos secundários (provavelmente para fins de emprego) agora apareçam no submundo. Eles são vendidos por R$ 300 cada, incluindo a taxa de envio. Alguns vendedores de dinheiro falsificado até oferecem envio gratuito para compras de mais de 200 notas. 24 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 25: Certificados de conclusão de curso (diplomas) falsos vendidos no submundo Dinheiro falso Notas falsificadas de R$ 10, R$ 20 e R$ 50 são vendidas no submundo brasileiro. Oferta Preço Notas falsas no valor de R$ 750 R$ 100 Notas falsas no valor de R$ 1.500 R$ 200 Tabela 3: Preços de dinheiro falsificado vendido no submundo Figura 26: Postagem anunciando dinheiro falso à venda 25 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 27: Dinheiro falso com o nome do vendedor publicado online Os cibercriminosos no Brasil são bem ousados. Eles não se importam que as agências policiais vejam seus nomes publicados online, ligados a atividades ilegais. Outras ofertas ilícitas Serviços de acesso à Internet e TV a cabo Os cibercriminosos que têm acesso a redes de provedores de serviço de Internet (ISPs) e operadoras de TV a cabo, por exemplo, vendem serviços para clientes que querem aumentar sua velocidade de acesso ou privilégios. Por R$ 150, eles podem aumentar a velocidade de seu acesso à Internet ou assistir a mais programas na TV a cabo por um preço menor do que os normalmente cobrados pelos provedores. Figura 28: Postagem anunciando serviços de melhoria de Internet 26 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Figura 29: Conversa com um cibercriminoso oferecendo um serviço de melhoria da Velox que custa R$ 150 por um período de pelo menos seis meses a mais do que o período máximo de um provedor Crypters Como quase todos os fornecedores de segurança detectam a maioria dos malware bancários e outros arquivos maliciosos, os crypters se tornaram básicos para o cibercrime. A maior parte dos crypters são criados por meio da junção de códigos, modificação de ponto de entrada (entry point ou EP), arquivo executável obrigatório ou modificação de arquivo geral. Como em 2013, os crypters ainda podem ser comprados no submundo por R$ 70. Alguns vendedores fazem uma promoção de apenas R$ 40 no final do ano. Figura 30: Postagem oferecendo um crypter totalmente indetectável 27 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 SEÇÃO 3 Desafios à frente Desafios à frente O cenário socioeconômico do Brasil tornou o país um terreno fértil para os cibercriminosos. O lucro rápido prometido por uma vida de crimes se tornou atraente o bastante para vários indivíduos. As ferramentas e o treinamento que eles precisam estão todos à disposição. Só é preciso ter coragem e know-how para qualquer novato se dar bem. E como as atividades cibercriminosas não têm penas pesadas no Brasil, como em outras regiões como a América do Norte, os criminosos promovem publicamente suas operações. Isso, por sua vez, atrai mais pessoas querendo seguir seu exemplo. Apesar do cibercrime brasileiro prosperar na Surface Web – novamente, em grande parte, devido ao desrespeito dos cibercriminosos pela polícia – prevemos uma grande mudança para a Deep Web no futuro. Os desenvolvedores e operadores que usam mulas de dinheiro e contas bancárias para retirar seus lucros ainda têm uma grande chance de serem pegos. Usar bitcoins e negociar em darknets diminuiriam esse risco. As agências legais brasileiras têm uma tarefa árdua à frente se quiserem derrubar o cibercrime local. Em 2015, eles se esforçaram mais para combatê-lo. Os agentes da lei fizeram parcerias com fornecedores de segurança, como a Trend Micro, para treinamentos sobre o cibercrime e até colaboraram em algumas investigações. Mas esses exercícios não foram suficientes para derrubar o cibercrime no Brasil. Órgãos legislativos terão que ser mais rigorosos com sanções para desencorajar os cibercriminosos individuais, desenvolvedores e operadores. O governo nacional precisa investir mais recursos nas investigações, principalmente quando o cibercrime brasileiro migrar para o território da Deep Web. Essas tarefas podem ser difíceis agora devido aos desafios de imposição da lei mais urgentes atualmente no país. Iremos monitorar continuamente as atividades, tendências e ofertas do submundo brasileiro. Acompanharemos a adoção de criptomoedas, especialmente agora que o ransomware regional está surgindo. Porém, como isso irá mudar a dinâmica atual do mercado, ainda teremos que descobrir. 29 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Referências 1. Fernando Mercês. (2014). Trend Micro Security Intelligence. “O Submundo do Crime Digital Brasileiro: Um Mercado de Aspirantes a Cibercriminosos?” Último acesso em 14 de dezembro de 2015, http://www.trendmicro. com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf. 2. Trend Micro. (28 de junho de 2015). Trend Micro Simplesmente Segurança. “Hacker brasileiro chama atenção mundial lucrando com malware bancário”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro. com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario. 3. Trend Micro. (13 de abril de 2015). Trend Micro Simplesmente Segurança. “FighterPOS – Combatendo uma Nova Família de Malware PDV”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.com.br/fighterposcombatendo-uma-nova-familia-de-malware-pdv. 4. Vanessa Martins. (27 de agosto de 2015). globo.com. “Polícia prende 20 suspeitos de clonar cartões e realizar fraudes bancárias”. Último acesso em 15 de dezembro de 2015, http://g1.globo.com/goias/noticia/2015/08/ policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html. 5. allpago. (2015). allpago.com. “The Spread of Internet Banking in LATAM”. Último acesso em 15 de dezembro de 2015, http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/. 6. Trend Micro. (2015). TrendLabs Security Intelligence Blog. “Ransomware (Resultados de Busca)”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware. 7. Sam S. Adkins. (Maio de 2015). Ambient Insight Research. “The 2014–2019 Brazil Mobile Learning Market”. Último acesso em 15 de dezembro de 2015, http://www.ambientinsight.com/Resources/Documents/AmbientInsight2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf. 8. eMarketer Inc. (25 de julho de 2014). eMarketer. “Brazil’s Bankers Get Digital, Both Online and via Mobile”. Último acesso em 15 de dezembro de 2015, http://www.emarketer.com/Article/Brazils-Bankers-Digital-BothOnline-via-Mobile/1011051. 9. TrendLabs. (Outubro de 2015). Trend Micro Security Intelligence. “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”. Último acesso em 15 de dezembro de 2015, http://www.trendmicro.com/cloud-content/us/ pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf. 10. Fernando Mercês. (12 de junho de 2015). Trend Micro Simplesmente Segurança. “Malware DNS Changer de olho nos roteadores domésticos”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/ malware-dns-changer-de-olho-nos-roteadores-domesticos/. 11. Lion Gu. (2015). Trend Micro Security Intelligence. “Prototype Nation: The Chinese Cybercriminal Underground in 2015”. Último acesso em 18 de dezembro de 2015, https://www.trendmicro.com/cloud-content/us/pdfs/ security-intelligence/white-papers/wp-prototype-nation.pdf. 12. Trend Micro. (21 de março de 2014). TrendLabs Security Intelligence Blog. “Mass-Produced ATM Skimmers, Rogue PoS Terminals via 3D Printing?” Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com/ trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/. 30 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 13. Equipe Trend Micro FTR. (Abril de 2015). Trend Micro Security Intelligence. “FighterPOS: Anatomia e Operação de um novo Malware PDV”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/wpcontent/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf. 14. Globo Comunicação e Participações SA. (16 de novembro de 2014). globo.com. “Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões”. Último acesso em 18 de dezembro de 2015, http://g1.globo.com/ fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html. 15. Brain Krebs. (27 de outubro de 2014). Krebs on Security. “‘Replay’ Attacks Spoof Chip Card Charges”. Último acesso em 16 de dezembro de 2015, http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-cardcharges/. 16. Trading Economics. (2015). Trading Economics. “Brazil Inflation Rate”. Último acesso em 16 de dezembro de 2015, http://www.tradingeconomics.com/brazil/inflation-cpi. 17. Cynthia Fujikawa Nes. (12 de agosto de 2015). The Brazil Business. “The Brazilian Educational System”. Último acesso em 16 de dezembro de 2015, http://thebrazilbusiness.com/article/the-brazilian-educational-system. 31 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015 Criado por: Suporte Técnico Global e Centro de Pesquisa e Desenvolvimento da TREND MICRO TREND MICROTM A Trend Micro Incorporated, líder global de segurança em nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções de segurança de conteúdo da Internet e soluções de gerenciamento de ameaças para empresas e consumidores. Pioneira em segurança de servidores com mais de 20 anos de experiência, fornecemos segurança avançada para clientes, servidores e ambientes em nuvem. Nossas soluções se adequam às necessidades de nossos clientes e parceiros; bloqueiam novas ameaças mais rapidamente; e protegem dados em ambientes físicos, virtualizados e em nuvem. Com a infraestrutura da Trend Micro™ Smart Protection Network™, nossas tecnologias, serviços e produtos líderes em segurança bloqueiam ameaças onde surgem – na Internet – e são mantidos por mais de 1.000 especialistas em inteligência de ameaças em todo o mundo. Para mais informações, acesse www.trendmicro.com.br. ©2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são denominações comerciais ou marcas registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas são denominações comerciais ou marcas registradas de seus respectivos titulares.
Documentos relacionados
O Submundo do Crime Digital Brasileiro
jurídico. As informações aqui contidas podem não se aplicar a todas as situações e podem não refletir a situação mais atual. Nada aqui contido deve ser invocado ou posto em prática sem o benefício ...
Leia mais