Em 2012, o FBI trabalhou com agências policiais do mundo inteiro para derrubar uma operação criminal que roubou aproximadamente US$70 milhões de bancos dos EUA. A arma escolhida pela gangue não foi uma metralhadora ou ferramentas para arrombar cofres. Muito pelo contrário, a gangue confiou no cavalo de Tróia ZeuS para invadir as contas de clientes.
A atividade das gangues revela uma tendência ainda maior no mundo da segurança. Os dias em que os hackers exerciam seu ofício apenas para diversão se foram. No submundo virtual, os ataques geralmente buscam números de cartões de crédito, credenciais de e-mail, logins em sites de bancos e outras informações que podem rapidamente se transformar em dinheiro.
Nesse mercado de informações ilícitas, surgiu uma mistura de grupos independentes e organizados em busca de dinheiro e, em alguns casos, motivados por questões políticas. Sejam crimes cibernéticos impulsionados por hacktivistas ou gangues virtuais visando corretoras de títulos financeiros, sabemos de duas coisas: esses grupos mudaram a realidade da segurança das empresas e precisamos entender como funcionam para derrubá-los.
Conhecendo a estrutura desses grupos, os especialistas de segurança podem bloquear suas atividades focando nas várias ligações na cadeia de atividades dos hackers. Isso inclui tudo: desde o monitoramento de sites onde as informações de cartões de crédito são vendidas até operações para fechar o cerco contra Provedores de Acesso à Internet (ISPs) que apoiam grupos criminosos, como as operações contra a McColo e a 3FN/Pricewert.
Vale lembrar que grupos de hackers com motivações criminosas aparecem em todos os tamanhos e formatos. Alguns contam até com operações que normalmente seriam presentes em empresas legítimas, como uma equipe de QA e gerentes de projeto. Outros têm até membros com habilidades de marketing – ameaças e informações podem ser facilmente distribuídas em redes sociais e fóruns onde promovem seus botnets e malwares
Na maioria dos casos, essas equipes diferentes trabalham de forma independente, com figuras centrais que fiscalizam as operações. Mas nem todos do submundo virtual fazem parte de um grupo. Alguns trabalham sozinhos e alugam partes das botnets que acumularam. Outros ganham dinheiro fazendo o que sabem melhor – descobrindo novas vulnerabilidades de software e criando ferramentas ofensivas para outros hackers. Essas vulnerabilidades, conhecidas nos círculos de segurança como dia zero, são dinheiro fácil para aqueles que podem encontrá-las e explorá-las. Dependendo do software alvo e sua confiabilidade, essas falhas podem render de US$10.000 a US$500.000 no mercado negro.
Os ataques dia zero e outros mais antigos geralmente estão disponíveis em kits de ferramentas de ataque em fóruns da web pela bagatela de US$40, sendo que o preço das versões mais sofisticadas pode custar milhares de dólares. Esses kits confiam no fato que muitos usuários não estão usando as últimas versões do software, e eles aproveitam dessas vulnerabilidade mais conhecidas numa postura contrária aos ataques do dia zero. Em alguns casos, os organizadores do ataque comprometem sites legítimos e depois tentam redirecionar os usuários para sites maliciosos usando o kit de exploração. O efeito desses kits de ataque tem sido enorme.
Em geral, a meta de quem ataca é de obter dados valiosos. Mas, hoje, dados de cartões de crédito dividem espaço nas prateleiras de lojas virtuais de hacker com itens como logins do Facebook e credenciais de e-mail. E isso é porque os bancos usam múltiplas formas de autenticação para verificar transações online, e com isso os hackers precisam de mais informações para comprometer uma conta. Os cibercriminosos evoluíram seus malwares levando isso em consideração, incluindo a injeção de formulários web que usam a técnica de phishing para obter informações como o número do International Mobile Equipment Identity (IMEI) do celular a fim de entrar em contato com o provedor de serviços de uma pessoa para enviar ao hacker um novo cartão SIM (Subscriber Identity Module). Com o cartão SIM, os criminosos podem interceptar a comunicação entre o banco e o cliente que tem como objetivo prevenir fraudes.
Quanto mais informações o hacker tem sobre o alvo, mais elaborado é o ataque – e a probabilidade de sucesso é maior. Por exemplo, um homem chamado John Smith dará mais atenção a um e-mail endereçado especificamente a ele do que um que começa com "Atenção Senhor". Essa técnica é conhecida como spear phishing e está ligada a alguns dos casos mais graves de violações corporativas recentes, incluindo o conhecido ataque contra a divisão de segurança RSA, da EMC. Nessa luta contra os crimes virtuais, precisamos educar os usuários para identificar alguns dos indicadores de e-mails suspeitos, começando com mensagens que contêm solicitações incomuns de informações ou palavras-chave que atraem as pessoas para o download de anexos potencialmente maliciosos.
Os hackers estão focados nos dados e as empresas também devem focar nisso. As empresas precisam identificar seus dados críticos e adotar as proteções apropriadas, sejam firewalls, encriptação ou tecnologias de monitoramento. Usando uma citação do famoso estrategista militar chinês Sun Tzu: “Se você não conhece a si mesmo e ao seu inimigo, você sempre vai se colocar em risco”.
Tomer Teller, evangelista e pesquisador de segurança da Check Point Software Technologies
