o submundo do crime digital brasileiro
TRANSCRIPT
Um Relatório de Pesquisa da Trend Micro
Série sobre a Economia do Submundo do Cibercrime
O Submundo do Crime Digital Brasileiro Um Mercado de Aspirantes a Cibercriminosos?
Fernando MercêsForward-Looking Threat Research Team
Trend Micro | O Submundo do Crime Digital Brasileiro
NOTA LEGAL
As informações fornecidas aqui são apenas para fins gerais e educacionais. Não se destinam e não devem ser interpretadas de forma a constituir um aconselhamento jurídico. As informações aqui contidas podem não se aplicar a todas as situações e podem não refletir a situação mais atual. Nada aqui contido deve ser invocado ou posto em prática sem o benefício da assistência jurídica com base nos fatos e circunstâncias específicos apresentados, e nada aqui deve ser interpretado de outra forma. A Trend Micro se reserva o direito de modificar o conteúdo deste documento a qualquer momento sem aviso prévio.
Traduções de qualquer material para outras línguas são apenas uma conveniência. A precisão da tradução não é garantida nem implícita. Se surgirem quaisquer dúvidas relacionadas à precisão da tradução, consulte a versão oficial do documento na língua original. Quaisquer discrepâncias ou diferenças criadas na tradução não são vinculativas e não têm efeito legal para efeitos de cumprimento ou imposição.
Apesar da Trend Micro fazer um esforço razoável para incluir informações precisas e atualizadas aqui, a Trend Micro não dá nenhuma garantia ou representação de qualquer tipo para sua precisão, atualidade ou integridade. Você concorda que o acesso e uso e a confiança neste documento e ao seu conteúdo é por sua conta e risco. A Trend Micro se isenta de todas as garantias de qualquer tipo, expressas ou implícitas. Nem a Trend Micro nem qualquer parte envolvida na criação, produção e entrega deste documento é responsável por qualquer consequência, perda ou dano, sejam eles diretos, indiretos, especiais, consequentes, perda de lucros comerciais ou danos especiais, por danos decorrentes de acesso, uso ou incapacidade de uso, ou em conexão com o uso deste documento, ou quaisquer erros ou omissões no seu conteúdo. O uso dessas informações constitui uma aceitação para o uso em uma condição “como é”.
ÍndiceSérie sobre Economia ...................................................................................................................3Introdução......................................................................................................................................4O Cenário do Mercado do Submundo ...........................................................................................6 Ofertas de Produtos ..................................................................................................................6
Cavalos de Troia Bancários ...............................................................................................6Credenciais de Conta de Aplicação Empresarial...............................................................7Credenciais de Cartão de Crédito .....................................................................................8Verificadores de Número de Cartão de Crédito .................................................................8Geradores de Número de Cartão de Crédito.....................................................................9Encriptadores ...................................................................................................................10Seguidores de Mídia Social .............................................................................................11Verificadores de Credencial de Conta de Serviço Online ................................................11Páginas de Phishing ........................................................................................................11Listas de Números de Telefone .......................................................................................12Software de Envio de Spam por SMS .............................................................................13
Ofertas de Serviço ...................................................................................................................15Serviços de Verificação de Malware Contra Software de Segurança .............................15Serviços de Envio de Spam por SMS ..............................................................................15Serviços de Treinamento .................................................................................................15Treinamento de Programação de Codificação ................................................................15Treinamento em Fraude ..................................................................................................16
Conclusão....................................................................................................................................17Referências .................................................................................................................................18
Trend Micro | O Submundo do Crime Digital Brasileiro
3
SÉRIE SOBRE A ECONOMIA DO SUBMUNDO DO CIBERCRIME
Existem lugares na Internet onde os cibercriminosos convergem para vender e comprar diferentes produtos e serviços. Ao invés de criar suas próprias ferramentas de ataque a partir do zero, eles podem comprar o que precisam de colegas que oferecem preços competitivos. Como em qualquer outro mercado, as leis de oferta e procura ditam os preços e apresentam ofertas. Mas o mais interessante de se notar é que recentemente os preços têm baixado.
Ao longo dos anos, temos observado os grandes desenvolvimentos no submundo do cibercrime em um esforço para permanecermos fieis à nossa missão: tornar o mundo mais seguro para a troca de informações digitais. Um constante monitoramento das atividades cibercriminosas durante anos nos permitiu juntar informações para caracterizar os mercados mais avançados que temos visto até agora e reunir listas abrangentes de suas “ofertas”.
Em 2012, nós publicamos o estudo “Russian Underground 101 [1]”, que mostrava o que o mercado do submundo do cibercrime russo tinha a oferecer. Naquele mesmo ano, trabalhamos com o Instituto de Conflito Global e Cooperação da Universidade da Califórnia para publicar o estudo “Investigating China’s Online Underground Economy [2]” (Investigando a Economia do Submundo Online da China). No ano passado,
revisitamos o submundo chinês e publicamos “Beyond Online Gaming: Revisiting the Chinese Underground Market [3]” (Além dos Jogos Online: Revisitando o Mercado do Submundo Chinês). Aprendemos, então, que o mercado do submundo de cada país ou região tem características distintas. Portanto, este ano acrescentamos outro mercado à nossa crescente lista: o do Brasil.
As barreiras para o desenvolvimento de atividades cibercriminosas diminuíram. Os “toolkits” estão ficando mais acessíveis e baratos; alguns são oferecidos até de graça. Os preços estão menores e os recursos melhores. Fóruns do submundo estão prosperando em todo o mundo, especialmente na Rússia, China e Brasil. Eles se tornaram meios populares para vender produtos e serviços para cibercriminosos nesses países. Os cibercriminosos também estão usando a Deep Web para vender produtos e serviços fora da World Wide Web indexada e pesquisável, tornando suas “lojas” online mais difíceis de serem encontradas e removidas pelas autoridades responsáveis.
Todos esses desenvolvimentos significam que os usuários da computação estão, mais do que nunca, correndo o risco de se tornarem vítimas e devem reconsiderar totalmente a importância da segurança em seu comportamento diário na computação.
Trend Micro | O Submundo do Crime Digital Brasileiro
4
INTRODUÇÃO
O crime cibernético no Brasil continua a amadurecer apesar da falta de grandes desenvolvimentos de ferramentas e táticas. Isso pode ser atribuído ao fato de que as operações bancárias online responderam por 41% do número total de transações, e das operações bancárias em dispositivos móveis terem registrado uma taxa de crescimento médio exponencial de 270% ao ano, entre 2009 e 2013 [4]. As operações bancárias em dispositivos móveis foram responsáveis por 6% do número total de transações em 2013.
Como os mercados do submundo chinês e russo, o Brasil também tem suas próprias características exclusivas. Enquanto os cibercriminosos russos e os chineses se escondem nos recessos profundos da Web e usam ferramentas que usuários comuns não usam, como os canais Internet Relay Chat (IRC), os bandidos cibernéticos brasileiros usam meios mais populares para cometer fraudes. Apesar das plataformas usadas por eles, como o Facebook, YouTube, Twitter, Skype e WhatsApp parecerem mais rastreáveis, elas são muito eficazes. Seus proprietários valorizam a privacidade e assim não sucumbem tão facilmente às pressões externas, tornando mais difícil a tarefa dos investigadores que estão indo atrás dos cibercriminosos.
Exemplo de publicações e contatos no YouTube, Facebook e Skype relacionados
ao mercado do submundo
Trend Micro | O Submundo do Crime Digital Brasileiro
5
O uso de gírias e termos locais, como os que listamos a seguir, também ajudam na evasão dos criminosos, especialmente porque a maioria dos clientes são do mercado local.
• au3: AutoIt [5] v3 – uma linguagem de código do tipo BASIC feita para automatizar a interface de usuário gráfica do Windows (GUI) e o código geral.
• Bankers: Cavalos de Troia Bancários ou seus criadores.
• Boleto: Guia de pagamento.
• Carders: Cibercriminosos envolvidos em fraude relacionada a cartão de crédito.
• CPF: Número de identidade oficial atribuído a cada cidadão brasileiro.
• Droppers: Pessoas pagas pelos cibercriminosos para receber ilegalmente os bens comprados. Eles agem como intermediários entre os vendedores e os compradores reais.
• InfoCC: Informações de cartão de crédito.
• InfoCC completa: Informações de cartão de crédito validadas com códigos de segurança.
• InfoCC geradas: Informações de cartão de crédito sem códigos de segurança.
• KL: Keylogger.
• Testador: Uma aplicação usada para validar números de cartão de crédito.
O submundo brasileiro tem agentes que vendem geradores de números e verificadores ou testadores para mais do que simplesmente cartões de crédito. Eles também oferecem ferramentas criadas especificamente para ataques contra produtos e serviços só disponíveis no Brasil. O submundo brasileiro também é o único mercado que oferece serviços de treinamento para quem quer se tornar um cibercriminoso.
Trend Micro | O Submundo do Crime Digital Brasileiro
6
O CENÁRIO DO MERCADO DO SUBMUNDO
Ofertas de Produtos
CAVALOS DE TROIA BANCÁRIOS
Por vários anos, o Brasil tem sido conhecido pelos cavalos de troia bancários [6]. Muitas dessas ameaças foram criados no Brasil ou por brasileiros, visando clientes de bancos locais. Eles usam várias técnicas para roubar credenciais das vítimas, tais como:
• Uso de Bolware: A Federação Brasileira de Bancos (FEBRABAN) permite o uso dos chamados boletos [7] para pagamentos. Esses boletos usam código de barras para acompanhar os pagamentos feitos, que os cibercriminosos começaram a explorar com ameaças conhecidas como “bolware”. Bolware se refere ao malware que muda os códigos de barra nos boletos para que os pagamentos acabem nas mãos dos agressores ao invés das mãos dos vendedores legítimos.
• Adulteração do Sistema de Nome de Domínio (DNS): Mudança de registros de DNS para redirecionar os usuários para sites maliciosos.
• Uso de falsa janela no navegador: Uso de janelas maliciosas no navegador que aparecem em cima das legítimas para roubar informações nelas inseridas.
Exemplo de janela falsa no navegador para um banco brasileiro encontrado em um código fonte
de cavalo de troia
• Uso de extensão maliciosa no navegador [8]: Algumas extensões de navegador, quando instaladas, capturam dados pessoais que depois são enviados para os agressores.
• Uso de proxy malicioso, inclusive código proxy de autoconfiguração (PAC) [9]: Definição das configurações proxy do navegador das vítimas para redirecioná-las para sites maliciosos.
Programas que criam cavalos de troia bancários para roubar credenciais de contas dos cinco maiores bancos brasileiros custam R$ 1.000 (US$ 386)1. Por sua vez, kits de bolware ou toolkits usados para criar bolware custam por volta de R$ 400 (US$ 155). Ambos têm painéis de controle para monitorar e gerenciar infecções e atividades maliciosas.
1 Todos os preços em dólar americano dos produtos e serviços apresentados nesse artigo são baseados nas taxas de câmbio de 10 de novembro de 2014.
Trend Micro | O Submundo do Crime Digital Brasileiro
7
Trecho de um código fonte que monitora os principais eventos para roubar credenciais
bancárias online.
Além dos toolkits, códigos fonte de cavalos de troia bancários também são vendidos por cerca de R$ 1.000 (US$ 386) cada. Eles são mais caros do que os criadores, mas permitem que os cibercriminosos modifiquem mais livremente seu malware. Eles podem ofuscar sequências, selecionar os melhores “packers” para seus arquivos executáveis maliciosos e encontrar os melhores encriptadores ou programas que escondem a natureza maliciosa dos arquivos – tudo para evitar melhor a detecção e remoção.
Exemplo de código fonte no qual um algoritmo ROT foi usado para ofuscar as sequências
Exemplo de módulo de cavalo de troia bancário atualizado automaticamente que usa linguagens
Delphi e PHP para funcionar
Exemplo de código fonte cavalo de troia bancário escrito em Delphi usando o formato de arquivo do
Painel de Controle (.CPL) [10]
O Brasil ficou em segundo lugar no mundo em termos de contagem de infecção por malware bancário online no terceiro trimestre de 2014. O país foi responsável por quase 9% do número total de sistemas infectados por malware bancário online em todo o mundo.
O Brasil foi responsável por quase 9% do número total de sistemas infectados por malware bancário
online em todo o mundo
CREDENCIAIS DE CONTA DE APLICAÇÃO EMPRESARIAL
Como em qualquer mercado do submundo, dados confidenciais são uma commodity valiosa no Brasil. Mas, ao contrário de outros mercados, os cibercriminosos no Brasil vendem credenciais para serviços de aplicação empresarial populares fornecidos pelas organizações Unitfour [11] e Serasa Experian [12].
A Unitfour oferece um serviço de marketing online chamado “InTouch [13]” que permite que os usuários fiquem facilmente em contato com seus clientes, mantendo suas informações em um único aplicativo.
Trend Micro | O Submundo do Crime Digital Brasileiro
8
Os usuários do InTouch podem manter e acessar os nomes completos, endereços, números de identidade, números de telefone e outros dados de seus clientes potenciais ou atuais. A quantidade de informações de identificação pessoal (PII) a que o InTouch tem acesso provavelmente atraiu a atenção de cibercriminosos, dada a disponibilidade das contas do InTouch que permitem 2.000 consultas no submundo por R$ 400 (US$ 155) cada. Obter tais informações permite que os compradores usem contas que são mais difíceis de serem rastreadas de volta para eles. Eles podem usar essas contas difíceis de rastrear para registrar domínios maliciosos, distribuir malware, contratar hackers, enviar spam para vítimas, comprar ferramentas e se envolver em outras atividades fraudulentas.
Os cibercriminosos também roubam e vendem contas do Serasa Experian por R$ 500 (US$ 193) cada para colegas do submundo. Os clientes usam essas contas para controlar os que lhes devem dinheiro tanto por produtos como por serviços. Similar ao InTouch, o Serasa Experian mantém muitos PII que os cibercriminosos podem usar para fins perversos.
CREDENCIAIS DE CARTÃO DE CRÉDITO
Os cibercriminosos brasileiros cobram em média R$ 80 (US$ 31) por cada número de cartão de crédito válido. Foram descobertos centenas de números de cartão de crédito válidos à venda. O preço depende do limite de crédito. Também foram vistos pacotes especiais, tais como 20 números de cartão de crédito válidos, com limites variando entre R$ 1.000 (US$ 386) a R$ 2.500 (US$ 966), por R$ 700 (US$ 270).
Trecho de um código fonte que envia credenciais de cartão de crédito roubadas para cibercriminosos
VERIFICADORES DE NÚMERO DE CARTÃO DE CRÉDITO
Apesar de a maioria das lojas online no Brasil exigirem que os clientes insiram informações adicionais, como seu endereço e número de CPF [14] para completar as compras, algumas não exigem. Sabendo disso, os “carders” começaram a criar e vender verificadores ou testadores de número de cartão de crédito. Esses programas exigem que uma lista de número de cartão de crédito seja inserida e tentam debitar pequenas quantias (R$ 1,00 a 10,00 ou US$ 0,39 a 4,00) dos cartões para ver se funciona. Os números dos cartões de crédito que passam no teste são considerados “válidos”, armazenados em um arquivo .TXT, vendidos a compradores do submundo interessados e usados em transações ilegais.
Exemplo de interface de usuário (UI) do verificador de número de cartão de crédito
Trend Micro | O Submundo do Crime Digital Brasileiro
9
Os verificadores ou testadores de número de cartão de crédito podem vir com outros recursos interessantes, como:
• Autenticação de Internet: Serviço adicional que os usuários pagantes podem obter. Os verificadores de número de cartão de crédito requerem autenticação que os usuários podem obter dos servidores dos criadores do programa.
• Atualização automática: Usuários de verificadores ou testadores de número de cartão de crédito recebem atualizações automaticamente para desfrutar das mais recentes versões do software com melhorias e novos recursos.
A maioria dos verificadores de cartão de crédito estavam disponíveis gratuitamente no submundo. O exemplo analisado parece roubar de usuários criminosos. Os criadores do programa registram resultados de teste e usam os números do cartão validado para seu próprio ganho antes de enviar uma cópia para seus clientes. Talvez seja por isso que os verificadores de cartão de crédito possam oferecer seus programas gratuitamente; eles usam os números de cartão validados para seu próprio ganho antes dos clientes o usarem.
GERADORES DE NÚMERO DE CARTÃO DE CRÉDITO
Cibercriminosos experientes conhecem os algoritmos que empresas como a Visa ou a American Express usam para gerar números de cartão de crédito. De fato, eles incorporam tais algoritmos em programas grátis de computador e comumente disponíveis para criarem uma reputação no submundo.
Exemplo de programa que gera conjuntos de números de cartão de crédito
Esses programas podem gerar aproximadamente 1.000 números de cartão de crédito por execução seguindo o formato que a maioria dos emissores de cartão usa. Os arquivos de texto que resultam da geração de números listam até os números de 16 dígitos do cartão de crédito, com seu mês e ano de expiração correspondentes.
Exemplo de resultado de arquivo .TXT de um gerador de número de cartão de crédito
Note que, mesmo que os números de cartão de crédito sejam matematicamente válidos, nem sempre podem ser usados para compras em lojas online. De fato, estatisticamente, a maioria será inválida. Mas, como algumas lojas online no Brasil permitem a compra de bens com cartões de crédito sem exigir códigos de segurança, os geradores de cartão de crédito funcionam para seus propósitos. Uma lista de 38 lojas online que
Trend Micro | O Submundo do Crime Digital Brasileiro
10
permitem compras com cartão de crédito sem a necessidade de códigos de segurança também foi descoberta recentemente em um fórum do submundo.
Exemplo de lista com 38 lojas online no Brasil que aceitam pagamentos com cartão de crédito sem
exigir códigos de segurança
ENCRIPTADORES
Mecanismos heurísticos de soluções de segurança podem detectar a maioria dos cavalos de troia, botnets e malware em geral. Os cibercriminosos sabem disso e investem um esforço significativo para desenvolver e usar encriptadores para que seus malware escapem da detecção. Os encriptadores que conseguem impedir que todos os produtos de segurança detectem o malware são considerados “100% indetectáveis (FUD)”. Se só conseguem escapar de várias soluções de segurança, são vendidos como encriptadores “parciais”.
Os encriptadores usam várias técnicas para escapar da detecção, tais como:
• Separação de código: Mover algumas instruções no final do ponto de entrada (EP) do código executável para outra posição.
• Modificação de EP: Mudar um EP do arquivo executável de um local para outro para que o código seja lido a partir de um novo local.
• Vinculação do executável: Anexar um arquivo executável no fim de um outro arquivo executável.
• Modificação de arquivo geral: Realizar mudanças pequenas no nível do byte, adições de seção, mudanças no cabeçalho e outras para alterar os hashes do arquivo.
Exemplo de codificador vendido no submundo
Os encriptadores são feitos para manter intacta a funcionalidade do malware, apesar das mudanças feitas no arquivo executável, para que ele possa escapar da detecção.
Uma licença de codificador FUD custa apenas R$ 50 (US$ 19) por mês. Encriptadores FUD com recursos adicionais também estão disponíveis por R$ 75 a 100 (US$ 29 a 39) para licenças de um mês. Quanto mais recursos tiverem, mais caros eles serão. Encriptadores parciais são geralmente vendidos pela metade do preço dos encriptadores FUD (R$ 25 ou US$ 10).
Exemplo de anúncio de encriptadores no mercado do submundo
Trend Micro | O Submundo do Crime Digital Brasileiro
11
SEGUIDORES DE MÍDA SOCIAL
A mídia social tem um grande papel não apenas no submundo cibercriminoso brasileiro, mas também na vida online de praticamente todas as pessoas. Provavelmente por isso é que os vendedores do mercado do submundo oferecem seguidores grátis por R$ 20 a 125 (US$ 8 a 49) a quem estiver interessado.
Exemplo de anúncio de seguidores grátis para o Instagram e YouTube
VERIFICADORES DE CREDENCIAL DE CONTA DE SERVIÇO ONLINE
Além dos verificadores ou testadores de número de cartão de crédito, ferramentas que podem validar números de contas de outros serviços online também estão disponíveis no submundo por R$ 50 (US$ 19) cada.
Essas ferramentas usam as mesmas técnicas dos verificadores ou testadores de número de cartão de crédito. Um exemplo disso é um verificador ou testador de conta para o PagSeguro [15] — um serviço do tipo do PayPal no Brasil.
Exemplo de verificador ou testador de conta PagSeguro
Para usar esses verificadores ou testadores, os cibercriminosos precisam primeiro obter informações para login através de campanhas de phishing.
PÁGINAS DE PHISHING
Cibercriminosos que sabem como usar linguagens de programação da Web, como PHP, oferecem aos colegas versões de páginas web das empresas Cielo, Banco do Brasil, Itaú Unibanco, Caixa Econômica Federal e outras instituições financeiras.
Exemplo de página falsa da Cielo
Páginas de phishing vendidas por volta de R$ 100 (US$ 39) cada no submundo podem realizar estas e outras funções:
• Roubar dados pessoais como CPF, CNPJ [16] e números de cartão de crédito
• Mostrar mensagens de erro e redirecionar para seus homólogos legítimos
• Enviar informações roubadas via email
Criar páginas de phishing é simples: os cibercriminosos apenas copiam toda a página legítima e mudam o destino dos dados coletados para, geralmente, uma conta de email sob seu comando. As vítimas são então redirecionadas para os sites legítimos sem notar o artifício.
A seguinte tabela lista os 10 principais sites do Brasil que são alvos de phishing.
Trend Micro | O Submundo do Crime Digital Brasileiro
12
10 Principais Sites Alvos de Phishing
Instituição Alvo ParticipaçãoBanco do Brasil 31%Banco Bradesco 24%Itaú Unibanco 18%Santander 11%Cielo 6%Caixa 2%HSBC 1%MasterCard 1%TAM Airlines 1%Casas Bahia 1%Outros 4%
Um único servidor pode hospedar várias páginas de phishing para diferentes produtos e serviços. Um único agente pode comprar várias páginas, inclusive páginas de sites de mídia social, bancos e varejistas.
Exemplo de pasta de “phishers” com várias páginas de phishing
Os cibercriminosos criam versões falsas de qualquer página que possa ajudá-los a roubar credenciais de conta ou dinheiro. Até mesmo sites de instituições de caridade não estão a salvo.
Versão falsa de uma página de uma instituição popular de caridade no Brasil,
o Criança Esperança
LISTAS DE NÚMEROS DE TELEFONE
Os cibercriminosos que normalmente vendem software e hardware para envio de spam também oferecem listas de números de telefone por cidade. Uma lista de números de celulares de uma cidade pequena pode ser comprada por R$ 750 (US$ 290) e de uma cidade grande, como São Paulo, pode custar até R$ 3.200 (US$ 1.236).
Trend Micro | O Submundo do Crime Digital Brasileiro
13
Exemplo de lista de números de celulares vendida no submundo
Listas de telefones domésticos usadas para golpes por telefone e formulários online preenchidos com dados roubados também estão disponíveis a preços variando de R$ 820 (US$ 317) a R$ 5.000 (US$ 1.931).
SOFTWARE PARA ENVIAR SPAM POR SMS
Vários tipos de software de envio de spam por SMS são vendidos no submundo, dependendo da linguagem usada para os escrever. Uma aplicação escrita em Microsoft™ Visual Basic®, com suporte para as últimas versões Windows® desde 14 de
agosto de 2014 e com licença vitalícia, foi vendida por R$ 499 (US$ 193). Ela pode ser usada para enviar um número ilimitado de spam via SMS, mas requer um modem 3G que pode ser enviado para seu endereço postal preferido por R$ 130 (US$ 50).
Exemplo de software de spam por SMS
A tabela seguinte mostra os vários produtos vendidos no mercado do submundo brasileiro com seus respectivos preços.
Ofertas de Produtos no Mercado do Submundo Brasileiro
Produto Detalhes PreçosCavalos de Troia • Criador
• Código fonte• R$ 1.000 (US$ 386) • R$ 1.000 (US$ 386)
Kits de bolware Contêm bolware malicioso para várias instituições que aceitam boletos como forma de pagamento
R$ 400 (US$ 155)
Credenciais de conta de aplicação empresarial
• In Touch da Unitfour • Serasa Experian
• R$ 400 (US$ 155) • R$ 500 (US$ 193)
Credenciais de cartão de crédito Limite de crédito: • R$ 1.000 (US$ 399) • R$ 2.000 (US$ 798) • R$ 3.000 (US$ 1.197) • R$ 3.001 a 8.000 (US$1.198 a 3.192) • + de R$ 8.001 (+ de US$ 3.193)
Por conjunto de credenciais: • R$ 90 (US$ 35) • R$ 100 (US$ 39) • R$ 130 (US$ 50) • R$ 150(US$ 58) • + de R$ 350 (+ de US$ 135)
Trend Micro | O Submundo do Crime Digital Brasileiro
14
Ofertas de Produtos no Mercado do Submundo Brasileiro
Produto Detalhes PreçosGeradores de número de cartão de crédito
Geram 1.000 números por execução, com mês e ano de expiração
Grátis
Encriptadores • Parcial • FUD • FUD com recursos de retardo e alterador de ícone • FUD com recursos de retardo, alterador de ícone e vinculadores
• R$ 25 (US$ 10) • R$ 50 (US$ 19) • R$ 75 (US$ 29) • R$ 100 (US$ 39)
Credenciais de conta de serviço online
• PagSeguro • MercadoLivre • eBay
• R$ 50 (US$ 19) • R$ 50(US$ 19) • R$ 50 (US$ 19)
Páginas de phishing Para bancos populares e outros provedores de serviço financeiro
R$ 100 (US$ 39)
Listas de número de telefone Celulares • Cidade pequena • Cidade grande Residência (telefone fixo) • Cidade pequena • Cidade grande
• R$ 750 (US$ 290) • R$ 3.200 (US$ 1.236) • R$ 820 (US$ 317) • R$ 5.000 (US$ 1.931)
Seguidores/visualizações/curtidas Facebook • 1.000 curtidas • 2.000 curtidas • 5.000 curtidas • 10.000 curtidas Instagram • 5.000 seguidores Twitter • 1.000 seguidores YouTube • 200 assinantes • 1.000 visualizações • 5.000 visualizações • 10.000 visualizações
• R$ 24,90 (US$ 9) • R$ 39,90 (US$ 16) • R$ 99,90 (US$ 39) • R$ 159,90 (US$ 62) • R$ 90 (US$ 35) • R$ 20 (US$ 8) • R$ 20 (US$ 8) • R$ 20 (US$ 8) • R$ 60 (US$ 23) • R$ 125 (US$ 49)
Modem 3G para envio de spam via SMS
Inclui frete grátis R$ 130 (US$ 50)
Software de envio de spam por SMS Escrito em Visual Basic e funcionando em todas as versões do Windows
R$ 499 (US$ 193)
A lista de produtos na tabela acima não é de forma alguma completa. Vários outros produtos são vendidos no mercado do submundo brasileiro.
Trend Micro | O Submundo do Crime Digital Brasileiro
15
Ofertas de Serviço
SERVIÇOS DE VERIFICAÇÃO DE MALWARE CONTRA SOFTWARE DE SEGURANÇA
O crime cibernético não vive apenas de criar malware. Os cibercriminosos também precisam garantir que suas criações maliciosas não serão detectadas pelas soluções de segurança quando forem usadas.
Fraudadores experientes raramente usam verificadores de arquivos publicamente porque esses normalmente enviam arquivos escaneados para empresas de segurança para detecção.
Exemplo de serviços de verificação de malware oferecidos no submundo
Os cibercriminosos oferecem serviços de verificação de malware a R$ 30 (US$ 12) por um mês e também a R$ 150 (US$ 58) por seis meses.
SERVIÇOS DE ENVIO DE SPAM POR SMS
Alguns remetentes terceirizam o envio de spam a preços que variam de R$ 400 (US$ 155) por 5.000 mensagens de texto a R$ 3.000 (US$ 1.159) por 100.000 mensagens.
SERVIÇOS DE TREINAMENTO
O que diferencia o submundo brasileiro dos outros é o fato de também oferecer serviços de treinamento para quem quer ser um cibercriminoso. Os cibercriminosos brasileiros oferecem principalmente programação de codificador FUD e treinamento em fraude, vendendo vídeos de instrução e fornecendo serviços de suporte via Skype. Qualquer pessoa experiente em Internet e que tenha conhecimentos e habilidades básicas de computação pode dispor
dos serviços de treinamento e se tornar um cibercriminoso. Vídeos de instrução e fóruns onde podem trocar informações com colegas abundam na Internet. Vários instrutores também oferecem seus serviços, alguns inclusive com suporte após o fim do treinamento.
Além dos vídeos de instrução, alguns especialistas em cibercrime do Brasil oferecem treinamento prático também na Deep Web.
Exemplo de cursos de treinamento disponíveis na Deep Web
Treinamento de Programação de Codificação
Por uma pequena soma de R$ 120 (US$ 46), um provedor de serviço diz que pode treinar os clientes a criar ferramentas de acesso remoto FUD (RATs) do tipo do njrat [16] ou SpyGate [17] RAT. Esse provedor em especial também oferece suporte e atualizações vitalícias e pode ser contatado via Skype.
Exemplo de anúncio de treinamento de programação de criptografia FUD
Trend Micro | O Submundo do Crime Digital Brasileiro
16
Treinamento de Fraude
Provavelmente o curso mais popular entre os aspirantes a cibercriminoso é o relacionado a fraude bancária. Os iniciantes primeiro aprendem o fluxo do trabalho da fraude. Depois, aprendem como obter as ferramentas necessárias e mais tudo o que precisam saber para começar a roubar, por R$ 1.499 (US$ 579).
Outro curso de treinamento em fraude tem 10 módulos sobre praticamente tudo o que os criminosos precisam saber para começar sua carreira de fraude digital, inclusive com o auxílio de guias interativos e exercícios práticos (isto é, simulação de ataques), também é oferecido por R$ 1.200 (US$ 468).
Exemplo de anúncio de treinamento de fraude
A tabela seguinte mostra os vários produtos oferecidos no mercado do submundo brasileiro com seus respectivos preços.
Ofertas de Serviços no Mercado do Submundo Brasileiro
Serviço Detalhes PreçosVerificação de malware contra os serviços de software de segurança
Duração: • 1 mês • 2 meses • 3 meses • 4 meses • 5 meses • 6 meses
• R$ 30 (US$ 12) • R$ 50 (US$ 19) • R$ 70 (US$ 27) • R$ 90 (US$ 35) • R$ 120 (US$ 46) • R$ 150 (US$ 58)
Serviços de envio de spam por SMS Número de mensagens de texto: • 5.000 • 10.000 • 20.000 • 40.000 • 50.000 • 100.000
• R$ 400(US$ 155) • R$ 750(US$ 290) • R$ 1.200(US$ 464) • R$ 2.000(US$ 773) • R$ 2.250 (US$ 869) • R$ 3.000 (US$ 1.159)
Serviços de treinamento • Programação de codificação FUD • Fraude (10 módulos, guia interativo e exercícios práticos) • Fraude (com suporte)
• R$ 120 (US$ 46) • R$ 1.200 (US$ 468) • R$ 1.499 (US$ 579)
A lista de serviços na tabela acima não é de forma alguma completa. Vários outros serviços são oferecidos no mercado do submundo brasileiro.
Trend Micro | O Submundo do Crime Digital Brasileiro
17
CONCLUSÃO
Os cibercriminosos brasileiros sempre foram conhecidos por fraudes bancárias. Apesar disso ainda hoje ser verdade, eles também se aventuraram em outras formas de crime. Eles adicionaram os smartphones à sua lista de dispositivos alvo, conforme evidenciado pela disponibilidade de software e serviços de envio de spam por SMS.
Como foi observado, tanto nos mercados do submundo chinês e russo, os preços do crimeware no Brasil também diminuíram desde 2011. Um gerador de número de cartão de crédito, por exemplo, que custava R$ 400 (US$ 160) em 2011, agora pode ser obtido
de graça. O mesmo pode ser dito sobre as ofertas de serviços.
Os cibercriminosos, independentemente do país em que operam ou de seu alvo pretendido, estão a par dos desenvolvimentos da tecnologia para garantir o sucesso de seu negócio. O mercado do submundo brasileiro oferece os mesmos produtos e serviços e até mais em comparação com suas contrapartes chinesas e russas. Eles também competem com outros mercados em termos de preço. E, mais importante, eles constantemente encontram maneiras de ficar longe dos pesquisadores de segurança e agentes da lei.
Trend Micro | O Submundo do Crime Digital Brasileiro
18
REFERÊNCIAS[1] Max Goncharov. (2012). Trend Micro Security
Intelligence. “Russian Underground 101”. Último acesso em 5 de novembro, 2014, http://www.trendmicro.tw/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf.
[2] Zhuge Jianwei, Gu Liang e Duan Haixin. (Julho, 2012). IGCC. “Investigating China’s Online Underground Economy”. Último acesso em 5 de novembro, 2014, http://igcc.ucsd.edu/publications/igcc-in-the-news/news_20120731.htm.
[3] Lion Gu. (2013). Trend Micro Security Intelligence. “Beyond Online Gaming Cybercrime: Revisiting the Chinese Underground Market“. Último acesso em 5 de novembro, 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-beyond-online-gaming-cybercrime.pdf.
[4] FEBRABAN. (2013). FEBRABAN. “Pesquisa Febraban de Tecnologia Bancária 2013.” Último acesso em 5 de novembro, 2014, http://www.febraban.org.br/7Rof7SWg6qmyvwJcFwF7I0aSDf9jyV/sitefebraban/Pesquisa%20FEBRABAN%20de%20Tecnologia%20Banc%E1ria_2013.pdf.
[5] Jonathan Bennett e AutoIt Consulting Ltd. (1999‒2014). AutoIt. “Home.” Último acesso em 29 de outubro, 2014, https://www.autoitscript.com/site/autoit/.
[6] Trend Micro Incorporated. (2013). Trend Micro Security Intelligence. “Brasil: Desafios de Segurança Cibernética Enfrentados por uma Economia em Rápido Crescimento”. Último acesso em 27 de outubro, 2014, http://www.trendmicro.com.br/cloud-content/br/pdfs/home/wp-brasil-final.pdf.
[7] Wikimedia Foundation Inc. (10 de julho, 2014). Wikipedia. “Boleto.” Último acesso em 27 de outubro, 2014, http://en.wikipedia.org/wiki/Boleto.
[8] Fernando Mercês. (10 de setembro, 2014). TrendLabs Security Intelligence Blog. “Uncovering Malicious Browser Extensions in Chrome Web Store”. Último acesso em 21 de outubro, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/uncovering-malicious-browser-extensions-in-chrome-web-store/.
[9] Wikimedia Foundation Inc. (21 de março, 2014). Wikipedia. “Proxy Auto-Config.” Último acesso em 27 de outubro, 2014, http://en.wikipedia.org/wiki/Proxy_auto-config.
[10] Fernando Mercês. (2014). Trend Micro Security Intelligence. “Malware em CPL: Itens de Painel de Controle Maliciosos”. Último acesso em 7 de novembro, 2014, http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio_malwarecpl.pdf.
[11] Soluções de Marketing Unitfour. (2014). Unitfour. “O Que Fazemos”. Último acesso em 24 de outubro, 2014, http://institucional.unitfour.com.br/Home/OQueFazemos.
[12] Serasa Experian. (2014). Serasa Experian. “Sobre Nós”. Último acesso em 24 de outubro, 2014, http://www.serasaexperian.com.br/quemsomos/.
[13] Soluções de Marketing Unitfour. (2014). Unitfour. “InTouch.” Último acesso em 24 de outubro, 2014, http://intouch.unitfour.com.br/Login.aspx.
[14] Wikimedia Foundation Inc. (10 de julho, 2014). Wikipedia. “Cadastro de Pessoas Físicas.” Último acesso em 27 de outubro, 2014, http://en.wikipedia.org/wiki/Cadastro_de_Pessoas_F%C3%ADsicas.
[15] Universo Online. (1996‒2014). PagSeguro. Último acesso em 28 de outubro, 2014, https://pagseguro.uol.com.br/?cmpid=pagpagseguro_2sem-midimprad.
[16] Wikimedia Foundation Inc. (4 de julho, 2014). Wikipedia. “CNPJ.” Último acesso em 28 de outubro, 2014, http://en.wikipedia.org/wiki/CNPJ.
[17] Brian Krebs. (1º de julho, 2014). Krebs on Security. “Microsoft Darkens 4MM Sites in Malware Fight”. Último acesso em 29 de outubro, 2014, http://krebsonsecurity.com/tag/njrat/.
[18] Symantec Corporation. (1995‒2014). Symantec. “System Infected: Spygate RAT Activity”. Último acesso em 29 de outubro, 2014, http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27950.
A Trend Micro Incorporated, líder global em software de segurança, se esforça para tornar o mundo seguro para a troca de informações digitais. Nossas soluções inovadoras para uso pessoal, empresas e governos fornecem segurança de conteúdo em camadas para proteger informações em dispositivos móveis, endpoints, gateways, servidores e nuvem. Todas as nossas soluções utilizam a tecnologia de inteligência global de ameaças na nuvem, a Trend Micro™ Smart Protection Network™ e são apoiadas por mais de 1.200 especialistas em ameaças em todo o mundo. Para mais informações, visite www.trendmicro.com.br.
©2014, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são denominações comerciais ou marcas registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas são denominações comerciais ou marcas registradas de seus respectivos titulares.