Maior esquema de violação de dados da história foi desvendado, dizem autoridades

Mais dois suspeitos de fazer parte do ataque recorde à Heartland Payment Systems foram indiciados pelos agentes federais dos Estados Unidos, que divulgaram também outras organizações atingidas naquele que é considerado o maior processo por violação de dados dos Estados Unidos. Cinco pessoas da Rússia e da Ucrânia foram acusadas de invadir computadores de bolsas de valores como Nasdaq, Dow Jones, Euronet; além das companhias 7-Eleven, Carrefour, Global Payment, Diners, entre outras.

A maior parte dos ataques começaram pelos bancos de dados das empresas. Os invasores implantaram um malware que funcionou como porta de entrada para que eles pudessem furtar informações. Foram roubados dados de 160 milhões de cartões de crédito de cidadãos dos EUA, Europa e Canadá, que resultaram em perdas de milhões de dólares, segundo a procuradoria do estado norte-americano de Nova Jersey. Três das companhias vítimas do esquema reportaram perdas de mais de US$ 300 milhões.

?Dos acusados, dois são suspeitos de encabeçar uma conspiração mundial de hackers que já fez um enorme número de vítimas, entre consumidores e empresas?, explicou Mythili Raman, assistente interino da procuradoria do Departamento de Justiça dos EUA (DOJ, na sigla em inglês). ?Apesar de eles se esforçarem para esconder os crimes, o departamento e a polícia quebraram o esquema e estão buscando justiça para as vítimas?.

Mais segurança: Abertas as inscrições para visitação do IT Forum Expo/Black Hat

Dois dos acusados no inquérito já tiveram seus nomes relacionados ao cibercrime. Os russos Vladimir Drinkman, 32 anos, e Alexandr Kalinin, 26 anos, apontados como os dois principais hackers no caso de 2009 contra Albert Gonzalez.

Os dois russos são considerados de grande importância para o caso. ?Eles são bem conhecidos no mundo dos cibercriminosos. Se você fizesse umas lista dos piores, ambos estariam nela?, explica Jason Weinstein, sócio da Steptoe & Johnson LLP.

Weinstein, que supervisionou o caso Gonzalez, diz que é de grande importância identificar cibercriminosos de alto nível. ?Eles não são criminosos comuns ? não são as ?mulas? que transferem o dinheiro depois que o crime foi cometido?, ele explica. ?Acusar pessoas com alto grau de participação nesses ataques passa uma mensagem muito forte para outros hackers?.

A maior parte dos ataques ocorreu em 2007 e o caso precisou de muitos anos para ser construído: Gonzalez foi indiciado em 2009 pelos ataques à Heartland, Hannaford, 7-Eleven e outras duas empresas não identificadas; e agora ele cumpre uma pena de 20 anos. Dos novos indiciados, Drinkman e Dmitriy Smilianets, de 29 anos, foram presos em junho de 2012 durante uma viagem pela Holanda. O primeiro está sob custódia das autoridades holandesas, aguardando a audiência de extradição, e o segundo atualmente se encontra em uma prisão nos Estados Unidos.

Kalinin é acusado de outros ataques. Ele suspostamente hackeou servidores da Nasdaq e também é suspeito em um caso de roubar informações bancárias de instituições financeiras americanas.

?Cibercriminosos têm uma enorme capacidade de obter informações de qualquer recurso acessível. Logo, o foco das organizações, principalmente aquelas responsáveis por informações pessoais e financeiras, precisa mudar da segurança da rede e de sistemas para a segurança da informação se não quiserem ser alvo dos ataques?, atesta Kevin O?brien, arquiteto de soluções da CloudLock.

?Nós continuamos a ver os mesmos erros se transformarem em violação de dados: bancos de dados pouco seguros sendo alvo de ataques de SQL, erros em design de sites levando a vulnerabilidades, interceptação de dados e outros ataques de redes e o clássico social engineering?, completou.

Por dentro da operação

Os acusados infiltraram os servidores de diversas companhias por mais de um ano, segundo a procuradoria geral dos Estados Unidos, e guardaram os dados roubados em computadores por todo o mundo antes de vendê-los através de outras pessoas.

O encarregado pelas vendas era Smilianets, que comercializava as informações dos cartões de crédito de americanos por US$ 10 cada. As de cartões europeus era vendida por US$ 50 e de canadenses, por US$ 15.

Além disso, o esquema também roubou senhas e informações pessoais de usuários. Os criminosos usaram canais criptografados para se comunicar e chegaram até a se encontrar pessoalmente para evitar que comunicações eletrônicas fossem rastreadas. Assim, permaneceram fora do radar das empresas, burlando programas de segurança e desabilitando logs das atividades.

?A parte mais difícil é identificar os criminosos?, pontua Weinstein. Segundo ele, conseguir esses nomes em regiões que não são famosas pelo cibercrime é uma vitória enorme.

?Uma das coisas nas quais o DOJ se tornou muito bom, nos últimos anos, foi colocar sob custódia da justiça americana os cibercriminosos que acreditavam estar fora do nosso alcance?, enfatiza. ?O que é mais incrível sobre esses grupos é que eles são capazes de trabalhar mesmo com as barreiras de língua, fronteiras e fusos-horário. Em alguns casos, nem sabem os nomes reais uns dos outros?.

Se condenados, a penas que vão dos cinco aos 30 anos por crimes que incluem conspiração para obter acesso não autorizado a computadores, conspiração para cometer fraude eletrônica, acesso não autorizado a computadores e fraude eletrônica.