submundo cibercrime brasil 2015

Um Estudo do TrendLabsSM

Subindo na HierarquiaO Submundo Cibercriminoso Brasileiro em 2015

Equipe de Pesquisa de Ameaças Futuras (FTR)

AVISO LEGAL DA TREND MICRO

As informações fornecidas aqui são apenas para fins

gerais e educacionais. Não se destinam e não devem ser

interpretadas de forma a constituir um aconselhamento

jurídico. As informações aqui contidas podem não se

aplicar a todas as situações nem refletir a situação mais

atual. Nada aqui contido deve ser invocado ou posto em

prática sem o benefício da assistência jurídica com base

nos fatos e circunstâncias específicos apresentados e

nada aqui deve ser interpretado de outra forma. A Trend

Micro se reserva o direito de modificar o conteúdo desse

documento a qualquer momento sem aviso prévio.

Traduções de qualquer material para outras línguas são

apenas uma conveniência. A precisão da tradução não é

garantida nem implícita. Se surgirem quaisquer dúvidas

relacionadas à precisão da tradução, consulte a versão

oficial do documento na língua original. Quaisquer

discrepâncias ou diferenças criadas na tradução não

são vinculativas e não têm efeito legal para efeitos de

cumprimento ou imposição.

Apesar da Trend Micro fazer um esforço razoável para

incluir informações precisas e atualizadas aqui, a Trend

Micro não dá nenhuma garantia ou representação de

qualquer tipo para sua precisão, atualidade ou integridade.

Você concorda que o acesso e uso e a confiança

neste documento e ao seu conteúdo é por sua conta e

risco. A Trend Micro se isenta de todas as garantias de

qualquer tipo, expressas ou implícitas. Nem a Trend Micro

nem qualquer parte envolvida na criação, produção e

entrega desse documento é responsável por qualquer

consequência, perda ou dano incluindo diretos, indiretos,

especiais, consequentes, perda de lucros comerciais ou

danos especiais, por danos decorrentes de acesso, uso

ou incapacidade de uso, ou em conexão com o uso

deste documento, ou quaisquer erros ou omissões no

seu conteúdo. O uso dessas informações constitui uma

aceitação para o uso em uma condição “como é”.

Índice

Participantes do submundo

4

Ofertas no submundo brasileiro

8

Desafios à frente

28

O caminho mais rápido para o estrelato cibercriminoso pode ser encontrado na América Latina, principalmente no Brasil. Qualquer aspirante a criminoso pode ficar famoso da noite para o dia apenas com um pouco de audácia e com as ferramentas e treinamento certos, que existem em abundância no submundo indomado do país.

Neste último ano, observamos um afluxo de novos participantes na cena. A maioria deles são indivíduos jovens e ousados sem nenhum respeito pela lei. Ao contrário de seus colegas estrangeiros, eles não dependem tanto da Deep Web para suas transações. Eles exibem um desrespeito absoluto pela lei ao usar a “Surface Web”, especialmente os sites de mídia social populares como Facebook™ e outros fóruns e aplicativos públicos. Usando pseudônimos online nesses sites, eles se exibem abertamente sobre suas próprias minioperações. Apesar de compartilhar o que sabem com seus colegas, a maioria trabalha de forma independente, tentando superar a concorrência e subir na hierarquia, se tornando os principais participantes nos campos escolhidos por eles.

Transações bancárias online são seu maior alvo, tornando predominante o malware bancário e respectivos tutoriais. Essa tendência continua consistente com o que relatamos dois anos atrás1. Porém, desde então, também surgiram novas ofertas, inclusive tipos de ransomware regionais e serviços de consulta de informações pessoalmente identificáveis (de Personally Identifiable Information ou PII). Mercadorias ilegais que só eram comercializadas clandestinamente nas ruas do Brasil também passaram para o submundo. Qualquer pessoa agora pode comprar dinheiro falsificado e certificados de conclusão de curso (diplomas) falsos online.

O atrevimento das operações cibercriminosas não deveria surpreender. As agências policiais brasileiras já têm muito trabalho; criminosos surgindo online são apenas mais um item na sua lista de desafios. Mesmo começando a investir na luta contra esse problema crescente, seus esforços serão suficientes para diminuir o seu ritmo?

SEÇÃO 1

Participantes do submundo

5 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Participantes do submundoOs cibercriminosos brasileiros operam sozinhos ou em grupos, apesar de geralmente preferirem trabalhar

individualmente. Eles podem ser classificados em duas categorias – desenvolvedores e operadores.

Os desenvolvedores são indivíduos instruídos que transformaram o cibercrime em um trabalho lucrativo.

Eles ajudam seus colegas cibercriminosos fornecendo malware que eles mesmos criaram. Ao contrário de

cibercriminosos de outras regiões, eles não usam tanto a Deep Web. Como já foi dito, os cibercriminosos

brasileiros têm pouca ou nenhuma consideração pela polícia. Sua audácia permite levar suas operações

para a “Surface Web” – a parte da Internet que, ao contrário da Deep Web, é indexada pelos sites de

busca. Eles usam as plataformas de redes sociais como Facebook™, Twitter™, YouTube™, Skype™ e

WhatsApp™, além de Internet Relay Chat (IRC), TorChat e fóruns para transações de negócios.

Já os operadores adquirem ferramentas maliciosas dos desenvolvedores e buscam o lucro usando-as

contra determinados alvos.

Desenvolvedores

Os desenvolvedores típicos são jovens e têm um conhecimento prático de criação de software. Na

maioria das vezes, são estudantes que adquiriram suas habilidades na escola. Facilidade de acesso a

ferramentas e treinamentos de malware, além de suas circunstâncias financeiras, poderiam ser alguns

dos fatores que os levaram a começar a se aventurar no submundo. A fragilidade das leis do Brasil contra

o cibercrime também os tornam ousados o bastante para anunciar publicamente seu sucesso.

Um desses desenvolvedores é o famoso Lordfenix², de 20 anos, de quem falamos em junho de 2015. Esse

estudante de ciência da computação conseguiu criar mais de 100 cavalos de Troia bancários que podem

contornar as medidas de segurança dos bancos brasileiros. Isso fez com que ele ficasse famoso como

um dos principais criadores de malware bancário do país. Supõe-se que ele começou a desenvolver seu

próprio malware quando ainda estava no ensino médio.


Figura 1: Lordfenix contando a seus amigos do Facebook que

tinha que estudar para o Exame Nacional do Ensino Médio (ENEM)

Figura 2: Mensagem com o assunto, “Aviso: As férias acabaram”, que Lordfenix enviou aos operadores de seu

malware; poderia significar que ele então teria mais tempo para trabalhar em suas criações maliciosas

Figura 3: Postagem de Lordfenix se gabando do lucro gerado por seus cavalos de Troia


Nós investigamos outro desenvolvedor profissional conhecido como “Anntrax” que publicou um vídeo

anunciando um cavalo de Troia bancário de sua autoria. Ele continua sendo um participante ativo no

submundo até hoje. Uma captura de tela de seu computador mostra que ele usa partições de disco.

Especialmente interessante foi sua partição TRABALHO, que continha vários diretórios de criações

maliciosas como keyloggers, crypters e exploit kits.

Figura 4: Diferentes diretórios na partição TRABALHO do Anntrax

(Note que que isso foi tirado de um vídeo acessível publicamente.)

Operadores

Diferente dos desenvolvedores, que vendem suas criações para colegas cibercriminosos, os operadores

interagem com as vítimas reais. Eles compram malware dos desenvolvedores ou alugam a infraestrutura

de cibercriminosos através do modelo de negócios Crime-Como-um-Serviço (de Crime-as-a Service ou

CaaS). Seu modus operandi varia, dependendo de como eles usam as mercadorias que compram. O

cibercriminoso por trás do FighterPoS³ é um operador. As agências policiais podem apreender com mais

facilidade os operadores, mas têm mais trabalho para rastrear os desenvolvedores de malware.

Em agosto de 2015, a Polícia Civil do Estado de Goiás prendeu 20 pessoas envolvidas em clonagem

de cartões bancários e outros tipos de fraude4. Esses presos supostamente roubaram um total de US$

200.000 dólares.

SEÇÃO 2

Ofertas no submundo brasileiro


Ofertas no submundo brasileiroO submundo brasileiro está lotado de malware bancário, o que pode ser em grande parte atribuído à

contínua popularidade do banco online5 no país. Há também algumas novidades, como o ransomware

multiplataforma e regional (feito no Brasil e em português), aplicativos Android™ modificados e serviços

relacionados a informações pessoalmente identificáveis. Os tutoriais continuam populares pois ajudam

os novatos do cibercrime a aprender truques importantes do negócio. Alguns instrutores podem também

usar esses cursos para recrutar membros para suas gangues.

O modus operandi criminoso típico das ruas do Brasil se tornou digital e está atualmente agitando o

mercado do submundo no país. Nós vimos, por exemplo, diplomas escolares falsos e dinheiro falsificado

à venda.

Exemplos recentes no mercado

Ransomware

O enorme sucesso do ransomware e sua prevalência global o torna uma ferramenta muito importante

no arsenal de qualquer cibercriminoso. Era apenas uma questão de tempo até que os cibercriminosos

brasileiros criassem suas próprias versões deste malware.

Por US$ 3.000 dólares ou 9 bitcoins, os cibercriminosos podem usar um número ilimitado de ransomware

multiplataforma no prazo de uma semana. Essas ameaças são executadas no Windows®, Linux®, Android,

iOS™ e dispositivos OS X™. Eles criptografam arquivos JPG, .PNG, .GIF, .PDF, .TXT, .SQL, .DOC, .XLS,

.HTML, .HTM, .XHTML, .BMP e .PHP usando criptografia com padrões 3DES (Triple Data Encryption

Standard), Advanced Encryption Standard (AES), DES ou Rivest Cipher 4 (RC4).


Figura 5: Por 9 BTC por semana, os cibercriminosos podem usar o ransomware

de sua escolha para realizar ataques

Em um anúncio, o vendedor até observou que o ransomware FileCrypter inclui um painel completo

mostrando o número de dispositivos infectados, detalhes sobre os usuários que pagaram o resgate

e a quantia total recebida como pagamento até agora. O pagamento do resgate não garante que os

que desistiram não serão visados novamente, pois os cibercriminosos sabem que eles têm condições

de pagar. O fato de pedirem que as vítimas paguem em bitcoins (BTC) também sugere a crescente

popularidade da criptomoeda no país.

Aplicativos Android modificadosApps para Android modificados também apareceram recentemente no submundo brasileiro. Eles foram

configurados para pagar por créditos pré-pagos com credenciais roubadas de cartões de crédito. Melhor

ainda, nem exigem que os usuários digitem informações adicionais, incluindo o número de Código de

Verificação de Cartão (CVC) e endereço de cobrança para completar as transações. Esses pacotes de

aplicativos Android modificados (APKs) podem ser obtidos em fóruns do submundo.

Figura 6: Postagem anunciando apps Android modificados para que os usuários comprassem créditos

pré-pagos com credencias de cartões de crédito roubados


Esse surgimento de ofertas no submundo pode ser atribuído à grande taxa de penetração dos dispositivos

móveis no Brasil (142% até abril de 2015)7. A maioria dos brasileiros até acessava a web através de

dispositivos móveis ao invés de computadores. Mesmo as empresas e organizações incentivam os

clientes a usar dispositivos móveis para todos os tipos de transações de negócios.

Serviços de consulta de informações pessoalmente identificáveis

Os cibercriminosos brasileiros também já começaram a oferecer serviços que envolvem o roubo de

informações pessoalmente identificáveis de vítimas que eles podem então vender para outras pessoas por

0,015 BTC (US$ 6,81*). Alguns cibercriminosos até declararam ter acesso às bases de dados de registro

de placas de veículo. As informações pessoalmente identificáveis roubadas podem ser hackeadas ou vir

de bases de dados comprometidas como o CadSUS (Cadastro do Sistema Único de Saúde brasileiro).

Em alguns casos, os funcionários do governo foram considerados culpados de vender acesso à base de

dados nacionais.

Figura 7: Anúncio promovendo a venda de informações pessoalmente identificáveis roubadas

Compradores de informações pessoalmente identificáveis roubadas podem facilmente registrar domínios

e enviar spam com várias finalidades maliciosas.

_________

* A taxa de câmbio de 16 de dezembro de 2015 foi usada em todo esse estudo (1 BTC = US$ 461,26)


Itens básicos do submundo brasileiro

MalwareOs cavalos de Troia continuam tendo uma presença importante no submundo brasileiro. A maioria

dos malware bancários vistos atualmente continua a ter ligações com o Brasil (muitas vezes feitos ou

distribuídos por locais ou residentes). Vários fatores podem ter levado a isso, como a grande taxa de

adoção de banco online no país. Mais de 40% da população do Brasil realizou operações bancárias

online em 2014. Os brasileiros preferem usar seus computadores ou smartphones para verificar seus

extratos online ao invés de ir aos bancos ou ligar para o atendimento telefônico8.

Japão

Vietnã

EUA

Índia

Brasil

Turquia

China

Reino Unido

Filipinas

Tailândia

Outros

12%

9%

9%

6%

5%

4%

4%

4%

4%

3%

40%

Figura 8: O Brasil foi responsável por 5% do número total de detecções de malware para banco online

no terceiro trimestre de 20159

Com base em nossa pesquisa, alguns malware bancários conseguiram bloquear as telas de computador

ou dispositivo móvel depois de verificações de segurança terem sido feitas enquanto os agressores

transferiam dinheiro ilegalmente em segundo plano. Esse recurso deu muito trabalho para as agências

policiais ao rastrear os cibercriminosos responsáveis.

Malware KAISERO malware KAISER pode contornar o sistema de token baseado em tempo do Sicredi, entre outros. Eles

também podem colocar em grande risco clientes do Banco do Brasil, Itaú, HSBC, Santander e Bradesco.

Os operadores normalmente enviam spam para infectar usuários com o KAISER. Sempre que o usuário

de um sistema infectado visita o site de um dos bancos alvos, o KAISER registra as teclas digitadas. Os

cibercriminosos, então, ganham acesso aos números da conta bancária.


O KAISER também abria uma janela (em cima das verdadeiras) para que os cibercriminosos pudessem

obter os tokens das vítimas. Quando analisamos uma amostra do KAISER, descobrimos uma janela

falsa (com um formulário falso) que pedia que as vítimas inserissem seus tokens quando o Sicredi

(supostamente) os solicitava. Ao preencher esse formulário, o token é enviado para o operador do

KAISER que então congela o computador ou o dispositivo móvel da vítima enquanto transfere o máximo

de dinheiro possível para suas próprias contas.

Figura 9: Formulário falso que aparece nos sistemas infectados

pelo KAISER quando o token do cliente do Sicredi é solicitado.

Keyloggers Proxy

Os Keyloggers Proxy são conhecidos por direcionar o navegador das vítimas para páginas de phishing

todas as vezes que acessam os sites oficiais dos bancos alvos em computadores infectados. Eles têm

um recurso de acesso remoto de desktop que permite aos cibercriminosos acessar ou controlar as telas

das vítimas. Certas variantes tinham scripts PAC (Proxy Auto Configuration) que permitiam escolher quais

servidores proxy usar (de preferência os que não podiam ser rastreados de volta para os operadores).

Encontramos uma postagem vendendo uma variante Proxy que tinha um recurso de acesso remoto e

vinha com um crypter personalizável por R$ 5.000. Os compradores podem registrar as teclas digitadas

de até 15 sites, inclusive os do PayPal e do HSBC. Eles até têm acesso a serviços de suporte 24 horas.


Figura 10: Postagem promovendo keyloggers Proxy

Keyloggers RemotosOs keyloggers remotos têm a capacidade de falsificar todos os tipos de janelas de navegador, sempre

que os usuários acessam os sites do banco alvo usando os computadores infectados. E por R$ 2.000,

os operadores obtêm suporte total e atualizações a cada semana.

Figura 11: Recursos dos keyloggers remotos

Alteradores de DNSCódigos de fonte completos para alteradores de Sistemas de Nome de Domínios (DNS) são vendidos

por R$ 5.000 no submundo brasileiro. Os preços podem variar dependendo do nível de conhecimento do

vendedor, linguagem de programação usada e rotinas de infecção. Ofertas como essas chegam em um

arquivo .ZIP com instruções detalhadas de uso e amostras de malware, quando compradas.


Figura 12: Exemplo de pacote de alterador de DNS vendido no submundo

Os alteradores de DNS redirecionam vítimas para páginas de phishing todas as vezes que elas acessam o

site alvo. Isso permite que os cibercriminosos roubem credenciais do site das vítimas (nomes de usuários,

senhas, etc.). Os alteradores de DNS podem não só afetar os computadores mas, como vimos, também

infectar roteadores domésticos10, como aconteceu em maio de 2015. A maioria dos alteradores de DNS

desenvolvidos no Brasil são escritos em JavaScript, apesar de versões compiladas também terem sido

encontradas no submundo.

Figura 13: Exemplos de conteúdo de pacotes compilados de malware DNS vendidos no submundo


Treinamento de cibercrime

CardingEncontramos um anúncio para um treinamento de carding de três meses de duração no submundo

brasileiro. O curso inclui aulas para criar malware, configurar botnets e obter dados de cartões de crédito

das vítimas, entre outros. No primeiro mês, os alunos são ensinados a obter acesso a uma base de

dados e roubar credenciais de cartão de crédito. Depois, aprendem o que fazer quando uma compra

feita com um cartão de crédito roubado é aprovada, e como proceder caso sua “mula” de dinheiro

falhar. No segundo mês, os “estudantes” aprendem a clonar cartões (fisicamente) e a criar cavalos de

Troia (variantes Proxy e remotos, juntamente com cavalos de Troia bancários com recursos de conexão

reversa). No último mês, eles descobrem como criar crypters usando AutoIt, Visual Basic® 6.0 e Visual

Basic .NET, e também a configurar uma botnet ZeuS ou Solar, entre outras coisas. Por R$ 300, pagos via

PagSeguro, os aspirantes a cibercriminosos e os novatos podem aprender a criar suas próprias variantes

de malware e páginas de phishing para roubar suas vítimas com a ajuda de ‘mulas’ de dinheiro locais.

A venda de tutoriais sobre cibercrime deve ser lucrativa, pois essa é a segunda vez que vemos este

instrutor em particular oferecendo treinamento de carding usando módulos atualizados.

Figura 14: Site onde os aspirantes a cibercriminosos podem

se beneficiar de um treinamento de carding

Além disso, o instrutor dá acesso a hosts de VPS (servidor virtual privado), ferramentas e tutoriais

coletados em fóruns clandestinos.


Programação de crypter

Por apenas R$ 200, os cibercriminosos já podem ter um treinamento de programação de crypter

com suporte online via Skype. Eles também ensinam os alunos a tornarem seus crypters totalmente

indetectáveis (FUD) usando o Visual Basic 6.0. Os alunos também recebem um vídeo de 1 hora e meia

como material suplementar, juntamente com acesso grátis a vídeos atualizados.

Figura 15: Postagem anunciando ofertas de um curso de modificação de crypter

Mercadorias relacionadas a cartão de crédito

Acesso a painel de administrador de loja onlineO acesso a painéis de administradores de loja online também pode ser comprado no submundo brasileiro.

Esses painéis fornecem acesso aos dados de cartão de crédito de clientes da loja. Eles ainda podem

roubar de 40 a 170 conjuntos de credenciais de cartão de crédito por dia. Os compradores são cobrados

dependendo de quantos conjuntos de credenciais eles desejam ter acesso.


Figura 16: Postagem anunciando acesso a painéis de administração de loja online comprometidos

Conseguimos entrar em contato com um vendedor desse serviço que vendia acesso a painéis

comprometidos que dava 40 credenciais de cartão de crédito por dia por R$ 300, durante 21 dias (três

semanas). Para ter acesso a 70 conjuntos de credenciais de cartão de crédito por dia, os compradores

precisariam desembolsar R$ 500 por 14 dias (duas semanas). O vendedor até oferecia acesso a 170

credenciais por dia durante 20 dias a um preço especial de R$ 1.000.

Figura 17: Conversa com um vendedor de acesso a painéis

de administração de loja online comprometidos


Credenciais de cartão de crédito roubadasOs cibercriminosos obtêm credenciais de cartão de crédito através de phishing, sites comprometidos

de bancos ou outros sites de pagamento, distribuindo cavalos de Troia bancários. Eles também podem

obter essas informações de skimmers em PDVs modificados que são instalados em estabelecimentos

empresariais legítimos.

Oferta Preço

10 conjuntos de credenciais de cartão de crédito R$ 200



Tabela 1: Ofertas e preços de credenciais de cartão de crédito

Figura 18: Postagem anunciando credenciais de cartão de crédito à venda


Geradores de números de cartão de créditoApesar dos resultados dos geradores de cartão de crédito não serem 100% confiáveis, mesmo assim são

vendidos no submundo. Os geradores de números de cartão de crédito usam algoritmos específicos que

permitem gerar números possíveis de cartão de crédito. Seus preços dependem de quantos números

eles conseguem produzir. De novo, os resultados finais não são 100% confiáveis e, assim, podem não

ser efetivamente usados para fazer compras online.

Oferta Preço

Geradores de cartão que dão 50 números R$ 100



Tabela 2: Geradores de números de cartão de crédito vendidos no submundo

Figura 19: Postagem anunciando credenciais de cartão de crédito à venda (note que os números

não vêm de bases de dados de cartões de crédito roubados).


Skimmers de PDVsComo no submundo chinês, os cibercriminosos no Brasil também vendem skimmers para PDVs. Eles são

usualmente baseados em máquinas Verifone VX 680 e custam R$ 8.000. Os cibercriminosos modificavam

os terminais PDV para poder roubar as informações armazenadas na tarja magnética de todos os cartões

de crédito passados neles. Nós vimos até o gripper12 (um cibercriminoso) vender skimmers em massa

para PDVs e caixas eletrônicos em 2014.

Figura 20: Postagem anunciando skimmers PDV à venda

Figura 21: Skimmers PDV à venda

Esse modelo em particular vendido (VX 680) tem um leitor de cartão de tarja magnética triple-track,

leitor de smart card (com chip e senha) e um teclado de senha. Ele também tem vários recursos de

comunicação (via Bluetooth®, Wi-Fi ou 3G). Dependendo da técnica usada para modificar o terminal

PDV (através de modificação de firmware ou hardware), os vigaristas cibernéticos conseguem receber os

dados roubados do cartão de crédito via Bluetooth ou com um acesso físico às máquinas.

Fraudes através de terminais PDV modificados precisam da ajuda de alguém de dentro para instalá-los

no lugar dos dispositivos legítimos. A pessoa infiltrada também ajuda os cibercriminosos a recuperar os

dados roubados dos terminais modificados. Os dados roubados do cartão de crédito podem então ser

usados em cartões clonados.


Gravadores e leitores de smart card

Leitores modificados de cartões13 Europay, MasterCard e Visa (EMV) também são comumente vendidos

no submundo brasileiro. Em uma investigação em novembro de 2014, policiais brasileiros prenderam

10 pessoas envolvidas em casos de fraude que custaram mais de R$ 3,5 milhões às vítimas14. Parte

do modus operandi era convencer garçons de restaurantes a usarem terminais PDV modificados para

pagamentos de cartão de crédito. Esses garçons recebiam R$ 1.000 para agir como cúmplices. Os

terminais modificados tinham transmissores Bluetooth que os cibercriminosos acessavam mais tarde

para obter os dados roubados. Naquele mesmo mês, vários cartões de crédito de chip e senha de

cidadãos dos EUA foram clonados e usados em compras fraudulentas depois de terem viajado para

o Brasil, nos levando a pensar que os carders brasileiros são bons em sua área de conhecimento.

Treinamento e serviços de aprovação de transações de cartão de créditoA fraude de cartão de crédito não para no roubo de dados. Depois de conseguirem as credenciais

roubadas, os cibercriminosos precisam trabalhar com colegas que são especialistas em fazer as

transações feitas com esses cartões de crédito roubados serem aprovadas. Alguns dos fornecedores

desses serviços ajudam os clientes a usarem as credenciais dos cartões roubados para comprarem

mercadorias online. Até fornecem endereços físicos para os clientes onde podem receber seus produtos

comprados. Alguns vendem mercadorias para clientes desconhecidos por apenas 30% dos preços

normais. Qualquer cibercriminoso disposto a pagar R$ 1.300 pode aproveitar os serviços de aprovação,

que geralmente incluem suporte técnico via WhatsApp ou Skype.

Figura 22: Anúncio de produtos comprados com cartões de crédito roubados à venda

Além dos serviços reais, treinamentos para ajudar outros cibercriminosos a conseguir a aprovação de

compras adquiridas com cartões de créditos fraudulentas também estão disponíveis. Os alunos aprendem

como roubar credenciais de cartões de crédito e até a monetizar seu saque.


Figura 23: Anúncio de treinamento de aprovação de transações com cartões de crédito fraudulentos

Os alunos aprendem a roubar números de cartões de crédito, aprovar compras fraudulentas (nos sites

Pontofrio, Apple® Store, Amazon™, eBay®, Dell e MercadoLivre), consultar bases de dados, mascarar

seus endereços IP quando usam credenciais roubadas para suas compras online, determinar os extratos

disponíveis dos cartões roubados, monetizar dados do cartão roubado (comprar passagens de avião

para revender) e gerar dados infocc. Além disso, descobrem o que são bins e o que é InfoBanker, além

de identificar em quais lojas eles podem comprar produtos com seus cartões roubados.

Documentos falsos e dinheiro falsificadoCrimes de rua, como vender documentos falsos e dinheiro falsificado, migraram para a web. Essa

tendência pode ser atribuída a fatores socioeconômicos como pobreza e analfabetismo no país. Até

outubro passado, a taxa de inflação no Brasil era de 9,93%16.


Figura 24: Produtos de criadores de RGs falsos vendidos no submundo

Certificados de conclusão de curso falsosO sistema educacional atual do Brasil17, de certa forma, contribui para a falta de profissionais no país.

Apesar do analfabetismo no país ter diminuído, pelo menos 38% dos estudantes universitários ainda são

considerados “analfabetos funcionais”. Portanto, não é surpresa que certificados de conclusão de cursos

secundários (provavelmente para fins de emprego) agora apareçam no submundo. Eles são vendidos por

R$ 300 cada, incluindo a taxa de envio. Alguns vendedores de dinheiro falsificado até oferecem envio

gratuito para compras de mais de 200 notas.


Figura 25: Certificados de conclusão de curso (diplomas) falsos vendidos no submundo

Dinheiro falso

Notas falsificadas de R$ 10, R$ 20 e R$ 50 são vendidas no submundo brasileiro.

Oferta Preço

Notas falsas no valor de R$ 750 R$ 100

Notas falsas no valor de R$ 1.500 R$ 200

Tabela 3: Preços de dinheiro falsificado vendido no submundo

Figura 26: Postagem anunciando dinheiro falso à venda


Figura 27: Dinheiro falso com o nome do vendedor publicado online

Os cibercriminosos no Brasil são bem ousados. Eles não se importam que as agências policiais vejam

seus nomes publicados online, ligados a atividades ilegais.

Outras ofertas ilícitas

Serviços de acesso à Internet e TV a caboOs cibercriminosos que têm acesso a redes de provedores de serviço de Internet (ISPs) e operadoras de

TV a cabo, por exemplo, vendem serviços para clientes que querem aumentar sua velocidade de acesso

ou privilégios. Por R$ 150, eles podem aumentar a velocidade de seu acesso à Internet ou assistir a mais

programas na TV a cabo por um preço menor do que os normalmente cobrados pelos provedores.

Figura 28: Postagem anunciando serviços de melhoria de Internet


Figura 29: Conversa com um cibercriminoso oferecendo um serviço de melhoria da Velox que custa

R$ 150 por um período de pelo menos seis meses a mais do que o período máximo de um provedor

Crypters

Como quase todos os fornecedores de segurança detectam a maioria dos malware bancários e outros

arquivos maliciosos, os crypters se tornaram básicos para o cibercrime. A maior parte dos crypters são

criados por meio da junção de códigos, modificação de ponto de entrada (entry point ou EP), arquivo

executável obrigatório ou modificação de arquivo geral. Como em 2013, os crypters ainda podem ser

comprados no submundo por R$ 70. Alguns vendedores fazem uma promoção de apenas R$ 40 no final

do ano.

Figura 30: Postagem oferecendo um crypter totalmente indetectável

SEÇÃO 3

Desafios à frente


Desafios à frenteO cenário socioeconômico do Brasil tornou o país um terreno fértil para os cibercriminosos. O lucro rápido

prometido por uma vida de crimes se tornou atraente o bastante para vários indivíduos. As ferramentas

e o treinamento que eles precisam estão todos à disposição. Só é preciso ter coragem e know-how

para qualquer novato se dar bem. E como as atividades cibercriminosas não têm penas pesadas no

Brasil, como em outras regiões como a América do Norte, os criminosos promovem publicamente suas

operações. Isso, por sua vez, atrai mais pessoas querendo seguir seu exemplo.

Apesar do cibercrime brasileiro prosperar na Surface Web – novamente, em grande parte, devido ao

desrespeito dos cibercriminosos pela polícia – prevemos uma grande mudança para a Deep Web no

futuro. Os desenvolvedores e operadores que usam mulas de dinheiro e contas bancárias para retirar seus

lucros ainda têm uma grande chance de serem pegos. Usar bitcoins e negociar em darknets diminuiriam

esse risco.

As agências legais brasileiras têm uma tarefa árdua à frente se quiserem derrubar o cibercrime local. Em

2015, eles se esforçaram mais para combatê-lo. Os agentes da lei fizeram parcerias com fornecedores

de segurança, como a Trend Micro, para treinamentos sobre o cibercrime e até colaboraram em algumas

investigações. Mas esses exercícios não foram suficientes para derrubar o cibercrime no Brasil. Órgãos

legislativos terão que ser mais rigorosos com sanções para desencorajar os cibercriminosos individuais,

desenvolvedores e operadores. O governo nacional precisa investir mais recursos nas investigações,

principalmente quando o cibercrime brasileiro migrar para o território da Deep Web. Essas tarefas podem

ser difíceis agora devido aos desafios de imposição da lei mais urgentes atualmente no país.

Iremos monitorar continuamente as atividades, tendências e ofertas do submundo brasileiro.

Acompanharemos a adoção de criptomoedas, especialmente agora que o ransomware regional está

surgindo. Porém, como isso irá mudar a dinâmica atual do mercado, ainda teremos que descobrir.


Referências1. Fernando Mercês. (2014). Trend Micro Security Intelligence. “O Submundo do Crime Digital Brasileiro: Um

Mercado de Aspirantes a Cibercriminosos?” Último acesso em 14 de dezembro de 2015, http://www.trendmicro.

com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf.

2. Trend Micro. (28 de junho de 2015). Trend Micro Simplesmente Segurança. “Hacker brasileiro chama atenção

mundial lucrando com malware bancário”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.

com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario.

3. Trend Micro. (13 de abril de 2015). Trend Micro Simplesmente Segurança. “FighterPOS – Combatendo uma Nova

Família de Malware PDV”. Último acesso em 15 de dezembro de 2015, http://blog.trendmicro.com.br/fighterpos-

combatendo-uma-nova-familia-de-malware-pdv.

4. Vanessa Martins. (27 de agosto de 2015). globo.com. “Polícia prende 20 suspeitos de clonar cartões e realizar

fraudes bancárias”. Último acesso em 15 de dezembro de 2015, http://g1.globo.com/goias/noticia/2015/08/

policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html.

5. allpago. (2015). allpago.com. “The Spread of Internet Banking in LATAM”. Último acesso em 15 de dezembro de

2015, http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/.

6. Trend Micro. (2015). TrendLabs Security Intelligence Blog. “Ransomware (Resultados de Busca)”. Último acesso

em 15 de dezembro de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware.

7. Sam S. Adkins. (Maio de 2015). Ambient Insight Research. “The 2014–2019 Brazil Mobile Learning Market”. Último

acesso em 15 de dezembro de 2015, http://www.ambientinsight.com/Resources/Documents/AmbientInsight-

2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf.

8. eMarketer Inc. (25 de julho de 2014). eMarketer. “Brazil’s Bankers Get Digital, Both Online and via Mobile”.

Último acesso em 15 de dezembro de 2015, http://www.emarketer.com/Article/Brazils-Bankers-Digital-Both-

Online-via-Mobile/1011051.

9. TrendLabs. (Outubro de 2015). Trend Micro Security Intelligence. “Hazards Ahead: Current Vulnerabilities Prelude

Impending Attacks”. Último acesso em 15 de dezembro de 2015, http://www.trendmicro.com/cloud-content/us/

pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf.

10. Fernando Mercês. (12 de junho de 2015). Trend Micro Simplesmente Segurança. “Malware DNS Changer de

olho nos roteadores domésticos”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/

malware-dns-changer-de-olho-nos-roteadores-domesticos/.

11. Lion Gu. (2015). Trend Micro Security Intelligence. “Prototype Nation: The Chinese Cybercriminal Underground

in 2015”. Último acesso em 18 de dezembro de 2015, https://www.trendmicro.com/cloud-content/us/pdfs/

security-intelligence/white-papers/wp-prototype-nation.pdf.

12. Trend Micro. (21 de março de 2014). TrendLabs Security Intelligence Blog. “Mass-Produced ATM Skimmers,

Rogue PoS Terminals via 3D Printing?” Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com/

trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/.

http://www.trendmicro.com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf

http://www.trendmicro.com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf

http://blog.trendmicro.com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario

http://blog.trendmicro.com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario

http://blog.trendmicro.com.br/fighterpos-combatendo-uma-nova-familia-de-malware-pdv

http://blog.trendmicro.com.br/fighterpos-combatendo-uma-nova-familia-de-malware-pdv

http://g1.globo.com/goias/noticia/2015/08/policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html

http://g1.globo.com/goias/noticia/2015/08/policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html

http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/

http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware

http://www.ambientinsight.com/Resources/Documents/AmbientInsight-2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf

http://www.ambientinsight.com/Resources/Documents/AmbientInsight-2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf

http://www.emarketer.com/Article/Brazils-Bankers-Digital-Both-Online-via-Mobile/1011051

http://www.emarketer.com/Article/Brazils-Bankers-Digital-Both-Online-via-Mobile/1011051

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf

http://blog.trendmicro.com.br/malware-dns-changer-de-olho-nos-roteadores-domesticos/

http://blog.trendmicro.com.br/malware-dns-changer-de-olho-nos-roteadores-domesticos/

https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-prototype-nation.pdf

https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-prototype-nation.pdf

http://blog.trendmicro.com/trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/

http://blog.trendmicro.com/trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/


13. Equipe Trend Micro FTR. (Abril de 2015). Trend Micro Security Intelligence. “FighterPOS: Anatomia e Operação

de um novo Malware PDV”. Último acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/wp-

content/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf.

14. Globo Comunicação e Participações SA. (16 de novembro de 2014). globo.com. “Quadrilha usa bluetooth para

clonar cartões de chip e movimenta milhões”. Último acesso em 18 de dezembro de 2015, http://g1.globo.com/

fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html.

15. Brain Krebs. (27 de outubro de 2014). Krebs on Security. “‘Replay’ Attacks Spoof Chip Card Charges”. Último

acesso em 16 de dezembro de 2015, http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-card-

charges/.

16. Trading Economics. (2015). Trading Economics. “Brazil Inflation Rate”. Último acesso em 16 de dezembro de

2015, http://www.tradingeconomics.com/brazil/inflation-cpi.

17. Cynthia Fujikawa Nes. (12 de agosto de 2015). The Brazil Business. “The Brazilian Educational System”. Último

acesso em 16 de dezembro de 2015, http://thebrazilbusiness.com/article/the-brazilian-educational-system.

http://blog.trendmicro.com.br/wp-content/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf

http://blog.trendmicro.com.br/wp-content/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf

http://g1.globo.com/fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html

http://g1.globo.com/fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html

http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-card-charges/

http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-card-charges/

http://www.tradingeconomics.com/brazil/inflation-cpi

http://thebrazilbusiness.com/article/the-brazilian-educational-system

©2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são denominações comerciais ou marcas

registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas são denominações comerciais ou marcas registradas de seus

respectivos titulares.

TREND MICROTM

A Trend Micro Incorporated, líder global de segurança em nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções de

segurança de conteúdo da Internet e soluções de gerenciamento de ameaças para empresas e consumidores. Pioneira em segurança de servidores com

mais de 20 anos de experiência, fornecemos segurança avançada para clientes, servidores e ambientes em nuvem. Nossas soluções se adequam às

necessidades de nossos clientes e parceiros; bloqueiam novas ameaças mais rapidamente; e protegem dados em ambientes físicos, virtualizados e em

nuvem. Com a infraestrutura da Trend Micro™ Smart Protection Network™, nossas tecnologias, serviços e produtos líderes em segurança bloqueiam

ameaças onde surgem – na Internet – e são mantidos por mais de 1.000 especialistas em inteligência de ameaças em todo o mundo. Para mais

informações, acesse www.trendmicro.com.br.

Criado por:

Suporte Técnico Global e Centro de Pesquisa e Desenvolvimento da TREND MICRO

http://www.trendmicro.com.br