Os caçadores de fraude: como é ganhar a vida caçando os vilões da internet

Hoje em dia, os malware fraudulentos aparecem aos milhões na internet. Emails com links falsos, URLs enganadoras, centrais telefônicas forjadas: se você nunca trombou com um desses, ao menos deve conhecer alguém que já caiu num golpe. Mas o que impede que todos esses códigos maliciosos corram soltos e tornem cada parte da internet uma […]

Hoje em dia, os malware fraudulentos aparecem aos milhões na internet. Emails com links falsos, URLs enganadoras, centrais telefônicas forjadas: se você nunca trombou com um desses, ao menos deve conhecer alguém que já caiu num golpe. Mas o que impede que todos esses códigos maliciosos corram soltos e tornem cada parte da internet uma zona de guerra?

whatsapp invite banner

Não se trata do quê, mas de quem. Você pode agradecer aos caçadores de malware, como Jérôme Segura, um analista de segurança que decidiu tomar para si a tarefa de destruir alguns dos fraudadores mais escorregadios com o objetivo de fazer da internet — e do mundo — um lugar melhor.

O jogo

Segura trabalha no Malwarebytes, uma empresa de softwares, onde ele se especializou em ameaças de dia zero (ataques que aproveitam vulnerabilidades recém-descobertas antes que haja tempo para que elas sejam corrigidas) que ele consegue encontrar usando um esquema conhecido como “pote de mel”. Enquanto essas iscas de hackers variam de acordo com o objetivo, a proposta de segura traz um pote de mel que simula a experiência de um usuário típico (e geralmente inocente). Uma vez que a coisa toda é automatizada, Segura consegue analisar qualquer código que parece inocente — esses código maliciosos, em sua maior parte, vêm em forma de e-mails e downloads drive-by (aqueles que são feitos sem o conhecimento ou o consentimento do usuário) de site infectados.

Mas a apixão verdadeira de Segura é caçar uma forma mais evoluída de fraude na internet. Não estamos falando dos já conhecidos príncipes nigerianos que querem te dar uma herança. Os reais adversários de Segura pegam pesado para tirar tudo o que você tem. Por exemplo: em 2013, Segura descobriu o primeiro caso de ransomware, um software malicioso que restringe o acesso ao computador infectado até que uma taxa seja pagada, baseado em um navegador. Mais tarde, esses casos passariam a ser conhecidos como browlock pelas companhias de antivírus.

Neste caso em particular, qualquer um que procurasse no Bing por “Taylor Swift” encontraria uma página do FBI falsa e assustadora. Colocando todas as fichas na provável vergonha que o usuário sentiria por estar pesquisando sobre uma estrela teen, o malware dizia para a vítima que “todas as atividades deste computador foram gravadas” e que ela havia sido flagrada fazendo várias “coisas sujas”. A única forma de ter de volta o acesso ao navegador e evitar quaisquer problemas legais? Pagar trezentos dólares.  A mídia adorou a história por causa da ligação com Taylor Swift e não demorou para que os representantes da cantora buscassem a ajuda de Segura.

scam1

Olhando para a página, é difícil crer que alguém acreditou nessa negócio. Mas para uma pessoa crédula, no calor do momento, essas fraudes montadas com mais cuidado do que o habitual podem ter consequências cruéis. Em uma conversa com o Gizmodo, Segura explicou:

Eu recebi a primeira ligação quando estava em casa, há pouco mais de um ano, e tive muitas respostas de vítimas que foram enganadas a levadas a gastar centenas de dólares. Algumas das histórias são de partir o coração. Estamos falando de mães solteiras e de pessoas desempregadas que acabam entregando dinheiro que elas nem tinham. Então foi isso que me fez continuar, que me fez tentar identificar quem estava desenvolvendo essas fraudes. Meu objetivo não era só alertar as pessoas, mas também expor publicamente os fraudadores.

No caso do ransomware baseado no navegador, Segura oferece ajuda explicando como remover o vírus, como evitar se tornar vítima desse tipo de coisa e conscientizando as pessoas para que sites como esse sejam derrubados. Mas quando as fraudes não são automatizadas e quem está do outro lado do computador é um ser humano sem coração, as coisas ficam muito mais complicadas.

A caçada

As piores fraudes com as quais Segura lida são também as mais pessoais. Com frequência, os criminosos (que normalmente estão fora dos EUA) folheiam agendas telefônicas e ligam para as pessoas aleatoriamente alegando ser um cara de TI enviado para oferecer suporte por telefone para o computador da vítima — obviamente, esse suporte não foi solicitado. E como os fraudadores só ligam para telefones fixos, em geral eles serão atendidos por alguém mais velho, com menos conhecimento tecnológico e mais vulneráveis para essa fraude em particular. Os fraudadores jogam todo um papo por telefone, ganham a confiança da vítima e cedo ou tarde conseguem obter acesso ao computador do alvo. E quando eles conseguem esse acesso, as possibilidades de fraude são praticamente infinitas.

Segura descobriu a fraude do suporte técnico quando começou a receber várias ligações de vítimas, todas reclamando de terem sido roubadas pela TI da Microsoft ou algo semelhante. Quando Segura começou a trabalhar no Malwarebytes (ele faz home office), não demorou para que até mesmo ele começasse a receber ligações suspeitas. Então ele começou uma investigação.

Quando recebi a primeira ligação, não demorei a perceber o que estava acontecendo. Então eu deixei de propósito que eles entrassem em uma máquina virtual que eu tinha e agi de acordo, permitindo que eles me dissessem tudo o que supostamente estava errado com a máquina, antes de desligar no último minuto. Lógico que eles ficaram bravos comigo por desperdiçar o tempo deles e começaram a tentar desabilitar a minha máquina de forma violenta. Eles removeram todos os documentos, trancaram a máquina, removeram drives importantes e fecharam com chave de ouro me chamando de cuzão.

scam2

Os criminosos desenvolveram vários métodos de assustar as vítimas até o ponto em que elas acreditam em qualquer coisa que o pretenso cara legal e qualificado de TI disser. Num dos casso que Segura pesquisou, o falso representante do suporte técnico do outro lado da linha se empolgou um pouco ao tentar explicar o que havia de “errado” com a máquina.

scam3

Mas Segura não se ateve a assistir aos caras destruindo seu desktop virtual; ele foi rápido em coletar informações sobre os criminosos enquanto eles ainda estavam na linha. Uma vez, um fraudador disse a Segura que deixaria a tela preta para “rodar um scan”. Para o azar do cara, a armadilha de Segura já estava pronta.

O problema foi que ele tentou instalar a tela preta numa máquina virtual, então ele não tinha o driver de vídeo correto. Mas ele não fazia ideia de que a instalação tinha dado errado e eu conseguia ver tudo o que ele estava fazendo.

Ele começou zoando o meu desktop e foi rápido em roubar documentos bancários falsos que eu havia deixado ali esperando por ele. Obviamente ele não tinha ideia de que não só os documentos eram falsos, mas também era uma armadilha. Quando ele os abriu, eu consegui saber exatamente onde eles estava, sua latitude e longitude, endereço de IP, tudo. Os caras tentaram até ativar a minha webcam.

Disfarçar as configurações de uma máquina virtual para que ela pareça real é apenas um dos truques de Segura. Como ele trabalha na área, se disfarçar não é um problema para ele.

Eu já tive dúzia de números de telefone diferentes. Costumava ligar de várias contas Google, usando o Hangouts, mas às vezes eles percebiam que já tinham visto aquele número antes. Tive que parar e começar a usar um número de telefone real, mas não posso usar o mesmo número duas vezes.

Parece haver uma conexão entre as pessoas que fazem isso, como se fosse uma gangue com uma base de dados central. Algumas vezes eu liguei e eles disseram “hm, você já ligou antes e disse que seu nome era Richard e não Mark”. Então eu tinha que inventar coisas como “oh, talvez tenha sido o meu irmão…”

Claro que a maior parte das vítimas não está preparada e acabam expostas por várias horas, dando aos criminosos tempo de sobra para vasculhar os desktops atrás de tudo, desde de arquivos de banco e cartões de crédito até fotos e informações pessoais que possam ser revendidas ou usadas para crimes de falsidade ideológica.

No final das contas, esses criminosos podem arruinar as vidas de suas vítimas sem que elas percebam que foram elas mesmas que abriram a porta da frente para que a coisa toda acontecesse.

O fim do jogo

Infelizmente, não há muito o que Segura possa fazer além de chamar a atenção para essas ameaças. Ligar para as autoridades pode fazer com que sites falsos sejam derrubados. Muitos desses sites estão baseados na Índia, onde pagam para seus funcionários mais do que eles ganhariam em empregos honestos. Graças aos esforços de Segura e de outros especialistas que trabalham com ele, há alguns anos a FTC conseguiu reprimir vários desses sites de suporte técnico falso.

Mas embora esses esforços ajudem, os efeitos não duram muito. Segura explicou ao Gizmodo:

A repressão apenas fechou alguns dos domínios fraudulentos ou congelou parte do dinheiro deles, então esses caras só têm que começar um novo site no dia seguinte. Eles não vão para a cadeia, então simplesmente continuam registrando um monte de sites falsos todos os dias.

Eu acredito que parte do problema vem do fato de que a polícia de lá pode ser subornada, então os criminosos não precisam ficar exatamente preocupados. E se algo acontecer, eles sempre podem dizer que foi culpa de uma só pessoa da equipe, que já foi demitida. Eles prometem que aquilo não acontecerá de novo e acaba por aí.

Além disso, embora haja a satisfação pessoal da investigação, encontrar as falsas centrais telefônicas podem ser um jogo muito perigoso:

Alguns fraudadores ficam irritados com esse negócio de alguns caras da internet tomarem para si o papel de vingadores que vão expor os criminosos e fazer com que o tempo deles seja perdido. Quando eles já foram trollados por todo tipo de gente, eles simplesmente não têm mais paciência e vão apenas destruir o computador de qualquer um que tente investigá-los. Então eu sempre tenho o cuidado de ser gentil com eles; meu objetivo não é insultá-los. Eu prefiro dar um jeito neles da maneira certa. Mas é claro que eles ainda são criminosos.

Então, no fim das contas, ser gentil compensa. É a única forma que Segura tem para conseguir toda a informação que precisa para expor para todos as práticas nefastas dessas pessoas.

No entanto, quase tão rápido quanto Segura expõe uma fraude, uma nova aparece no lugar. Uma variação recente da fraude do suporte técnico tentava convencer usuários do Netflix a ligarem para os falsos telefones e depois de entrarem com as informações de login. Se você caísse, esse pequeno truque covarde podia acertá-lo em todos os lugares que doem, roubando dinheiro por serviços falsos e usando a sua identidade. E além do Netflix, esse mesmo estilo de fraude agora vem em diversos outros sabores.

Os caras maus continuam inovando, mas podemos agradecer a Segura e outros como ele que sempre estarão a postos para soar o alarme. Enquanto isso, só tome cuidado com o que você clica — e com quem você deixa entrar no seu lar virtual.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas