Quem está no mercado à procura de dados roubados ou de ferramentas para ganhar dinheiro de forma ilícita está cheio de sorte. É que graças à nova geração de mercados negros é mais fácil do que nunca iniciar-se no crime informático.
Um mercado negro digital é um site que permite a compra e venda de produtos ilegais, normalmente numa sub-parte da Internet que não aparece no Google ou Bing, mas até acaba por ser ainda mais fácil de encontrar. Este artigo ilustra até que ponto esses mercados “evoluíram” nos últimos anos, tornando o crime informático mais fácil do que nunca.
É que com o desenvolvimento desses mercados, os aspirantes a criminosos podem agora evitar o risco de fazer acordos com pessoas estranhas em lugares obscuros do ciberespaço. Os mercados negros da atualidade até têm classificações de estrelas, avaliações de clientes, garantias e avaliações de compradores. As ofertas de produtos estão listadas em sistemas digitais fáceis de navegar, o que torna fácil encontrar exatamente o que está à procura. Na prática é algo semelhante à Amazon ou eBay para criminosos.
Mas porque razão falar aqui desses mercados escondidos?
Na realidade existem vários motivos. Primeiro, uma parte importante do meu trabalho é garantir que as empresas, os consumidores e os governos entendam o quão sério o problema do cibercrime se tornou. Eu percebi que mostrar às pessoas os sites onde os dados roubados e as ferramentas são compradas e vendidas ajuda a passar a mensagem, particularmente quando vêem o quão “profissional” e “sério” estas páginas parecem. Aqui está um exemplo para que você possa compreender ao que me refiro:
Os itens à venda incluem códigos maliciosos para crimes como roubo de informações e criptomoedas, registo ilícito de palavras-passe digitadas e criação furtiva de criptomoeda. Também é possível observar-se que produtos de ransomware e que permitem ataques DDOS também fazem parte da oferta.
Importa salientar que os fornecedores são classificados, assim como os produtos. Os compradores pagam em criptomoedas difíceis de seguir, como o Bitcoin. Os pagamentos geralmente são mantidos em stand by até que o comprador confirme que a transação foi satisfatória. Em praticamente todas as páginas há botões de Ajuda, perguntas detalhadas e opções de suporte; muitos têm inclusivamente um chat. Aqui está outro mercado em que pesquisei por coleções de dados de cartões de crédito roubados que são agregados para venda:
Importa salientar que existem quase 7.000 resultados e assim – como qualquer mercado digital completamente moderno – há muitas formas de restringir a pesquisa e aplicar filtros.
Observe também que, enquanto o mercado visto acima tem quase 60.000 listagens no segmento “Digital Goods”, encontra-se ainda uma secção “Drugs”. De facto, alguns mercados negros vendem drogas, enquanto outros traficam de tudo, desde pílulas a haxixe até cartões de pagamento roubados e pornografia. Até há armas de fogo.
As lojas especializadas na venda de dados de cartões de crédito roubados evoluíram muito desde os tradicionais fóruns.
Existe muita publicidade a estas lojas. A maioria utiliza imagens de gangsters e até fotografias de celebridades. Aqui estão mais alguns exemplos – Conseguem ver a personalidade de TV, junto ao presidente Trump?
Como pode ver, há muito mais nestes mercados para além dos cartões de crédito. Também vendem contas do eBay e do PayPal comprometidas e – embora não seja óbvio na imagem – também disponibilizam contas da Amazon.
Mas no que consiste a próxima geração dos mercados negros?
Neste ponto, os mais habituados à Internet podem referir que não há nada de novo acerca do tráfico on-line de dados de cartões de pagamento roubados e outros itens ilegais. Em parte estão certos. Mas o que há de diferente hoje é que os mercados negros adotam as mesmas tecnologias e técnicas de negócios on-line legítimos. O branding é uma preocupação, assim como as campanhas de marketing e milhentas promoções.
Na minha opinião, esta abordagem generalizada do cibercrime entre no campo da “próxima geração” porque transformou uma atividade de nicho num modelo de negócios acessível. O que estamos a observar é um novo setor da indústria, que parece estar a prosperar, apesar de ser fundamentalmente anti-ético e representar uma séria ameaça ao progresso humano.
Existe um aspeto fundamental que importa abordar. Quando alguém entra no mundo do cibercrime tem a sensação que está a adotar uma proposta de negócios legítima. De facto, até que os governos do mundo façam mais para resolver esta situação, há poucas razões para se pensar que os esforços para reduzir o impacto negativo do cibercrime na sociedade terão sucesso.
Para ser mais claro, houve alguns esforços de aplicação da lei bem sucedidos no passado. Um dos exemplos foi uma operação realizada pelo FBI sob o nome de Operation Card Shop; começou em 2010 e resultou em 26 prisões. Os agentes criaram um fórum falso de venda de cartões chamado CarderProfit para “identificar utilizadores que estavam a comprar e vender contas de cartão de crédito roubadas e bens comprados com contas roubadas” (Krebs on Security). Então, em 2013, uma operação conjunta do FBI e das finanças derrubou um perigoso mercado negro chamado “Silk Road”. Este site vendia drogas e armas, bem como dados de malware e cartões de crédito; o criador está agora a cumprir prisão perpétua.
Embora sentenças fortes possam dissuadir alguns possíveis criminosos, muitos deles vão continuar nesta atividade por acharem que a probabilidade de serem apanhados são pequenas. A forma de aumentar estas hipóteses é apanhar muitos mais criminosos e formular as acusações mais rapidamente. A justiça rápida é um impedimento muito melhor do que as sentenças duras.
Não visite essas páginas
Comecei por dizer que tinha boas razões para mostrar às pessoas os mercados negros. O primeiro foi o de aumentar a consciencialização acerca da escala do problema do cibercrime. A segunda é poupar às pessoas o trabalho de entrarem nesses mercados.
Depois da revelação de uma grande violação de dados – como a da semana passada no Marriott – muitas pessoas ficaram a pensar: o que acontece com os dados roubados? A resposta curta é que, em muitos casos, acaba por ser vendida nos mercados negros. Devido a este facto algumas pessoas têm vontade de entrar nos mercados escuros para verem o que lá há.
As instruções para chegar a estes mercados estão facilmente disponíveis na Internet e através do motor de busca consegue lá chegar. No entanto, é mais seguro que alguém lhe mostre imagens do que vai poder encontrar, em vez de ir até lá sozinho. Como regra geral, quanto mais se afasta dos sites tradicionais na Internet, maior o risco de que algo desagradável aconteça. E nem são só os perigos de acabar com código maliciosos. Quando se trata de navegar por sites que vendem produtos ilegais, tem o risco adicional de ser vigiado por forças da lei, para as quais a frase “Eu estava apenas a ver” pode não ter muito peso.
Os Mercados negros como infraestrutura de cibercrime
Como mencionei anteriormente, apesar dos mercados negros da atualidade estarem mais acessíveis e evoluídos, a atividade subjacente que representam tem vindo a acontecer durante a maior parte deste século de uma forma ou de outra.
Costumo usar esste diagrama para ilustrar como esta atividade “organizada” se estabeleceu.
Realizar a maioria das funções que vê neste diagrama requer o acesso a habilidades computacionais. Assim, vou terminar este artigo com um exemplo do que poderíamos chamar de “infraestrutura de crime cibernético” – ou seja, servidores roubados. Na captura de ecrã que revelamos em seguida, pode ver um site onde os criminosos se dirigem quando necessitam de um computador descartável. Suponha que na sua operação de cibercrime necessita de um servidor para hospedar alguns dados roubados que está a vender. Por exemplo, uma máquina a correr o Windows Server 2012 RS, com uma ligação rápida à internet. Aqui pode ver alguns exemplos listados “à venda” num mercado negro.
O que está a comprar aqui é o acesso remoto a um sistema que pertence a outra pessoa. Por outras palavras, um acesso não autorizado, muito provavelmente obtido de forma ilegal.
Como pode observar, o site permite que seja muito específico nas suas vontades, dependendo do que necessita. Neste caso, o cliente está à procura acesso administrativo às máquinas com um endereço de Internet fixo (IP).
Os operadores deste mercado isentam-se de qualquer responsabilidade que advenha do que fizer com as suas compras; no entanto, é claro que este mercado está lotado de vendedores que hackearam as credenciais de acesso remoto dos sistemas das suas vítimas. Como o site refere nas páginas de ajuda, essas máquinas podem ser úteis para criar contas em bancos, lojas, sistemas de pagamento e assim por diante. Também podem ser utilizadas para enviar spam e configurar páginas de destino para os e-mails de phishing.
Se forem configurados adequadamente, os sistemas roubados podem ser utilizados para executar programas que dão acesso a palavras-passe e mineração de criptomoeda. Para além disso podem também ser utilizada para roubar qualquer informação útil que se encontre na máquina à qual vai aceder, ou encriptá-la utilizando ransomware.
Na realidade, as máquinas comprometidas que executam o RDP tornaram-se num vetor de ataque sério para os fornecedores de ransomware.
Ponto final
Neste artigo, analisamos apenas pequenas partes do negócio próspero que é o cibercrime na atualidade. Uma vez que não há grandes reações à atividade criminosa no ciberespaço, é provável que ele continue a prosperar durante algum tempo. Assim, isto significa que os nossos esforços para proteger sistemas e dados contra ataques criminosos também devem continuar. Boas práticas de segurança, incluindo a “higiene informática”, devem-se tornar universais.
Deste modo, os fabricantes segurança devem continuar a melhor as suas soluções.