Polícia Federal leva dezenas de hackers pra conhecer a Disneylândia

Na quinta passada (28), a “Operação Trilha” prendeu 80 suspeitos de crimes digitais em 12 estados brasileiros. Uma mega operação que, graças a uma barragem e um avião caído, não conseguiu prender a ateção da mídia por nem 24hs.

Claro que o objetivo dessa respeitadíssima corporação não é fazer propaganda, exibindo seus números fictícios em operações com nomes como “Cash Net”, Replicante, Ctrl+Alt+Del, Cavalo de Tróia e “Cavalo de Tróia II – A revolta”, mas eu arriscaria dizer que eles levam um ano para investigar e mais ou menos uns 4 meses para escolher o nome.

Já comentei em um post anterior, mas devo lembrar que dos criminosos indiciados nesta operação, os únicos que podem ser chamados de hackers, são os 4 à 8 programadores que a investigação apurada do delegado Disney Rosseti ainda não conseguiu chegar a um número correto.  Segundo o delegado, a prisão destes programadores é um grande avanço já que sem eles o crime deixa de existir. Pateta e Pato Donald também acreditam nisso.

A cerca de 10 anos conheci muita gente boa que, na época, gostava de se divertir sacaneando amigos ou até pixando alguns sites internacionais que ninguém fazia idéia que existiam. Hoje são pessoas respeitadas no meio, gente talentosa que usa seu dom em diversas áreas, facilitando a vida das pessoas e trazendo diversão através de jogos, sistemas ERP, sites de internet e outros. Infelizmente, alguns desses talentos não conseguiram resistir, achando no crime uma boa saída para ganhar dinheiro e alimentar sua curiosidade insasciável.

Este pequeno grupo são um exemplo dos hackers presos nestas operações. Eles desenvolvem um programa muito simples de fazer chamado muitas vezes de Key Logger, um programinha que consegue imitar o ambiente bancário e pedir gentilmente que o cliente digite informações que um banco nunca solicitaria.

Fazer um Key Logger é extremamente simples para qualquer programador com um mínimo de conhecimento. Mesmo presos, o programa que estes “hackers” fizeram ainda continuarão funcionando perfeitamente por meses ou até anos, gerando tempo suficiente para que outro programador recém diplomado pelo SENAC possa fazer o seu.

Prender os laranjas, aqueles que emprestam sua conta para receber o dinheiro em troca de um agradinho, também não parece muito efetivo. Prender aquele usuário básico que faz o processo de pegar a senha e transferir o dinheiro, é como prender ladrão de galinhas. Prender o boleteiro, que se oferece para pagar uma conta pela metade do preço, é só menos um intermediário na rua. Então me perguntam: Quem deve ser preso para que isso tenha um fim?, a resposta é simples: Você.

* Você que é aquele tarado que clica em qualquer e-mail que diz trazer as fotos mais quentes da última gostosa do BBB
* Você que é aquele usuário imbecil que repassa e-mails daquela menininha que nasceu sem orelhas e precisa de uma cirurgia urgente
* Você que é aquele cliente que mesmo o banco orientando milhares de vezes ainda digita as mais de 50 posições do seu cartão de segurnaça de uma vez só
* Você que é aquele cidadão incorruptível que achou uma maneira única de pagar suas contas com até 80% de desconto de maneira inquestionável
* Você que é aquele banqueiro que fatura alto com as fraudes onlines sempre que consegue convencer o cliente que a culpa é dele e nunca sai perdendo porque está sempre bem protegido por seguros e um lucro bilionário trimestral
* Você que é aquele criativo agente da PF que inventa nomes ’maneiros’ para as operações e atiça ainda mais os criminosos
* Você que é aquele responsável por indicar delegados com nomes engraçados que fariam até o cidadão mais honesto querer virar um criminoso digital
* Você que é aquele delegado mais interessado em divulgar números fictícios e fotos de gente que nem foi presa, ao invés de juntar provas suficientes para manter o indiciado na cadeia

Resumindo, o problema está com você, que em um restaurante nunca daria seu Visa Electron e sua senha para um desconhecido te livrar mais rápido da fila de pagamento, mas abre as pernas para primeira historinha mal contada que chega por e-mail. Ou você que prefere fazer marketing ao invés de um trabalho bem feito.

Camada 8: O usuário

Depois de comentar sobre os vírus, pessoas por trás deles e seus objetivos, acabei me empolgando para escrever sobre algo que me chama muita atenção: engenharia social.

Um livro que venho a algum tempo tentando ler e ainda não tive oportunidade é “A Arte de Enganar”, do hacker mais famoso do mundo, Kevin Mitnick. Pode-se tirar como exemplo do que pode se encontrar neste livro, uma entrevista em que um jornalista pergunta ao hacker se o computador mais seguro é aquele que está desligado, Mitnick responde “Não. Um hacker de verdade convence o usuário a liga-lo”.

Citanto a Wikipédia, “chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas”.

Quem nunca recebeu por e-mail um cartão.exe enviado por uma admiradora secreta ou ainda vários links para fotos acompanhados da mensagem “Estou com saudades de você amorrrr!!!! Tô te mandando fotinhas dos meus melhores âlgulos para você passar o dia pensando em mim!!! Beijos, até amanhã!!”. Se você abriu algum destes links ou o cartãozinho pensando que tava se dando bem, parabéns, você foi fisgado — mas não pela garota…

Na internet brasileira, os golpes mais comuns são baseados na curiosidade, que vem sempre acompanhada por uma dose de supervalorização alimentando a vaidade ou algo que represente uma ameaça em algum sentido.

Com o crescimento das mídias sociais, estes golpes ganham cada vez mais força, pois as técnicas usadas para escolher as vítimas se tornam mais inteligentes. Além dos e-mails e de mensagens instantâneas, um excelente ambiente para esse tipo de técnica ser aplicada são as redes sociais, como por exemplo o Orkut.

Nas redes sociais o usuário disponibiliza uma série de informações pessoais, gostos e interesses, que por sua vez podem ser cruzados com os interesses e gostos dos seus amigos e amigos dos amigos. No fim do cruzamento pode-se gerar um forte motivo para conseguir um click deste usuário.

Exemplo:

No Orkut estou na comunidade “Masters Of Puppets”, uma banda de rock que vários amigos meus curtem. Eis que a banda fará um show na capital e um hacker resolve tirar proveito disso para me sacanear.

Para dar certo, o hacker terá que formular um motivo perfeito para que eu faça o que ele precisa, por exemplo, instalar um trojan. Iniciando os preparativos ele filtra todos meus amigos que estão na comunidade “Masters Of Puppets” e procura o que melhor se encaixa com o meu perfil, para isso ele começa filtrando somente os que moram na minha cidade e destes somente os que falaram comigo recentemente.

Aplicando filtros o hacker diminuiu a amostra de usuários até chegar no indivíduo perfeito, um colega de escola que é fanático pela banda. Para aplicar seu plano, o hacker clona o perfil deste meu colega e usa este novo perfil para me deixar um recado com o texto: “Cara, vai rolar um show do Puppets na capital e eu to doido pra ir…. tá afim? A promotora do evento distribuiu um programinha que conta quantas vezes você ouviu as músicas dos caras até o dia do show, daí quem mais ouvir vai ganhar greencard pro camarote!! Eu já instalei, baixa aí você também [link] e liga pra mim pra gente combinar se vamos de buzão ou de carro!!”

O exemplo acima se aplica a um caso onde a vítima é específica, mas em um caso mais abrangente o hacker poderia mandar um recado como este para todos membros da comunidade, se fazendo passar pela promotora do evento.

A maior parte dos vírus atuais tem por objetivo criar computadores zumbis — um exército de computadores que espalham spam, compartilham o processamento e/ou se reproduzem enviando-se para outras pessoas. No Brasil um tipo bastante comum e perigoso é o BANKER, um vírus que capta informações bancárias e senhas em geral enviando para um usuário mal-intencionado utilizar estas informações da forma que melhor lhe convir.

Os criadores deste tipo de vírus nem sempre são os que utilizam as informações, recentemente a Operação Cavalo de Tróia (1 e 2) jogou na cadeia várias quadrilhas que trabalhavam com isso. O esquema é bem estruturado passando por programadores que fazem o vírus, spammers que espalham o vírus,  laranjas que emprestam suas conta e provavelmente alguns “tubarões” que lavam o dinheiro arrecadado.

O termo “banker” além de utilizado para identificar o tipo do vírus, também é usado para identificar a pessoa por trás dele. Diferente de um hacker que invade para provar seu poder a si próprio sem prejudicar ninguém e o cracker que invade para impôr seu poder a alguém prejudicando-a virtualmente, o banker se utiliza da invasão para obter lucro, causando prejuízos financeiros na vida real de sua vítima.

Os bancos estão constantemente em busca de alternativas mais seguras para o acesso a conta via internet, o mais comum é o teclado virtual que juntamente com um aplicativo de segurança instalado no browser tem a intenção de dificultar o trabalho dos bankers.

Um dos principais investimentos dos bancos é na reeducação do usuário de computador, evitando que caia em técnicas comuns de engenharia social ou que, uma vez infectado, dê mais informações para o banker.

Da parte dos bankers também há uma evolução constante, no início eram os programas destinados a capturar o que a vítima escreve (keyloggers), depois vieram os screenloggers, depois meios de burlar o DNS máquina para redirecionar o usuário para uma página falsa (phishing), entre outras técnicas até chegar no nível atual, que nos remete novamente ao tema do post, a engenharia social.

Além de convencer o usuário a instalar o vírus, o banker agora precisa fazer uso da engenharia social para convence-lo que está fazendo a coisa certa, isso graças aos meios físicos de segurnaças providos pelos bancos.

Cartão de senhas e Tokens são as mais recentes medidas para diminuir o número de fraudes. Com estes dispositivos o banco passa a não mais confiar somente em uma informação fixa retida na cabeça do usuário (senha), mas também em uma informação aleatória por transação.

O tipo de cartão de cartão de senhas (ou cartão de segurança) mais comum, consiste em uma tabela com N posições (por volta de 50) onde cada posição recebe um código (normalmente de 4 dígitos). Para efetuar uma transação o sistema do banco solicita aleatoriamente uma das posições e o usuário digita o código correspondente.

Para burlar este tipo de segurança o banker tenta persuadir o usuário a digitar todos os campos. Para evitar que o usuário cometa o erro, os bancos investem em alertas educativos em seus sites.

Convenhamos, tem que ter muita força de vontade para digitar todo cartão, mas infelizmente uma das característica dos bankers herdada do hackerismo é ter paciência e ser persistente.

Adotado no Brasil primeiramente pelo Bradesco e massificado pelo Itaú, o token é um dispositivo eletrônico que gera “códigos únicos” a cada intervalo programado. Quer dizer que, se um banker quiser limpar sua poupança do Itaú, ele terá que fazer isso em um intervalo de 60 segundos ao mesmo tempo que você estiver trabalhando com o banco. Não que isso seja impossível, mas cumpre muito bem o objetivo de dificultar a ação dos bankers.

Nenhum sistema é 100% seguro e provavelmente nunca serão, pelo menos não enquanto existir a camada oculta do modelo OSI: O Usuário.