Mercado negro de delitos virtuais registra crescimento

Esqueça nerds que espalham scripts e tags: fóruns de cibercriminosos se tornaram domínio de companhias muito bem organizadas e até mesmo alguns representantes governamentais. A maturidade econômica que esses fóruns do mercado negro atingiram pode dar a quem ataca vantagem em cima de quem se defende.

Esse é o cenário traçado do estudo “Mercados para ferramentas de cibercrime e dados roubados”, lançado nesta terça-feira (25) pela organização não lucrativa e não governamental Rand Corporation. O trabalho foi patrocinado pela Juniper Networks e examina a ascensão de mercados cibercriminosos, questionando o que pode ser feito para contorná-los.

A existência desse mercado de cibercrime não é novidade nenhuma para quem acompanha vazamento de informações, como o recente episódio da Target – 40 milhões de informações de cartões de crédito ainda vagam em fóruns como o Rescator. Algumas evidencias também sugerem que o malware do ponto de venda (POS) usado para roubar as informações pode ter sido comissionado por um administrador dessas comunidades.

Os fóruns de cibercrime, como sugerem, não são mais lugares onde aspirantes a hackers se juntam para falar de assuntos em comum desorganizadamente. “Dez a 15 anos atrás, esses mercados eram organizados esporadicamente, pequenos grupos de indivíduos cuja motivação era notoriedade, ego. Eles queriam entrar nos sistemas, explorá-los e ver o que era possível acessar”, conta a analista de sistemas da informação na Rand, Lily Ablon. Hoje, ela diz, esses mercados são altamente organizados e cada vez mais servem como extensão de atividades criminosas de companhias completas, até mesmo governos.

Em outras palavras, o mercado dos serviços de cibercrime cresceu. “O estudo mostra que se uma economia cumpre esses critérios – é sofisticada, especializada, confiável, acessível e resiliente – então ela amadureceu”, comenta o vice-presidente de marketing de produto da Juniper Networks, Michael Callahan.

A maturidade desse universo está ligada aos serviços que ele oferece. Isso inclui não apenas a venda de números roubados de cartões de crédito, mas também phishing e ataques spam, DDoS e botnets que podem ser alugados por qualquer um. “Realmente, qualquer um pode se envolver – você nem precisa ser bom nisso”, diz Ablon, da Rand. “Na verdade, você não precisa ser especialista em nada mesmo porque há pessoas no setor de serviço que podem fazer o trabalho por você, caso você pague”, compara.

A disponibilidade desses serviços dá aos criminosos vantagens em cima de seus alvos. Ou como o relatório coloca: “A capacidade de atacar provavelmente é maior que a de se defender”. Isso porque os ‘provedores de serviço’ precisam oferecer apenas um tipo particular de serviço – um botnet, DDoS, ou malware POS – e fazê-lo extremamente bem. Já quem se defende tem seu setor de atuação e precisa se defender bem de uma infinidade de tipos de ataques ou riscos a serem explorados.

Além disso, serviços desse tipo estão longe de ser estáticos. “Esses mercados realmente seguem as tendências”, diz Lily. “De uma perspectiva tecnológica, o mundo está se tornando mais inteligente, sob demanda e hiper conectado, e os mercados negros se espelham nisso”. Eles também provém rapidamente o embarque de “bens”, e usam “darknets” e criptografia para esconder suas atividades criminosos.

Se há uma luz no fim do túnel, segundo o estudo, é que os negócios não são as únicas vítimas. Há uma certa honra entre os hackers entre si, que rotineiramente se atacam mutuamente. Isso vale para qualquer um que frequenta os fóruns mais obscuros aos menos exclusivos (e mais fáceis de serem acessados). “Rippers, ou pessoas que querem te tirar da jogada, são prevalentes, especialmente nessas camadas mais baixas”, conta Lily.

E algumas desonestidades são comuns. A especialista considera muito fácil eles te darem 10 cartões de crédito válidos numa compra de mil números, sendo 990 inválidos ou expirados.

Mas são quantos os agentes desse mercado? “Um especialista coloca de 10% a 20% nos ambientes altamente vetados, e de 80% a 90% nos mais fáceis de achar”, diz o report da Rand. “De todos eles, em todas as camadas, apenas um quarto é considerado altamente capacitado. Outros mantém lá muitas variáveis – freelancers versus grupos organizados, variando tipos de atores de ameaças – para criar um cenário razoável”.

Uma coisa é certeza para as mentes criminosas: os incentivos para permanecer no crime permanecem significativos. “O mercado negro pode ser mais lucrativo que o tráfico ilegal de drogas”, diz o report, “com a diferença que os bens digitais carregam menos risco”.

A próxima questão óbvia: o que podemos fazer para parar o cibercrime-como-serviço? Qualquer tentativa de limpar o mundo do cibercrime precisa focar na eliminação ou ruptura desses mercados de cibercrime, argumenta o estudo. Um número de ideias já circulam por aí, como “estabelecer lojas falsas de cartões de crédito, fóruns falsos, e sites para aumentar o número e a qualidade das prisões, e assim queimar a reputação desses mercados negros”.

Outras opções é lançar contra-ataques, com bancos comprando dados roubados, aumentar os cursos do sistema e também contar com melhores leis para que os negócios se defendam melhor. “Você precisa mudar a economia disso. Precisa encontrar um jeito de quebrar o valor da cadeia”, conclui Callahan.