Translate

01 junho 2015

O mercado ilegal de cartões de crédito nas profundezas da web

A 'Deep Web' é um imenso underground na grande rede - Reprodução de ilustração de Bruno Leal Mariano ("Brads"), publicada originalmente no site http://bit.ly/bs9_anticast
RIO - O roubo de dados de cartões de crédito é um dos crimes preferidos dos hackers. Não para realizar compras fraudulentas em nome de outros, mas para vendê-los em um imenso mercado ilegal que funciona nas profundezas da internet. Sites hospedados em darknets - redes que funcionam na web profunda que protegem o anonimato - oferecem essas informações por preços que variam entre R$ 15 e R$ 30, dependendo do volume encomendado, mas também é possível encontrar ofertas de cartões físicos, que podem ser usados até para retiradas em caixas eletrônicos, por valores entre R$ 100 e R$ 300.
- É o "produto" mais ofertado nas redes anônimas - diz Marco de Melo, diretor executivo da empresa se segurança digital PSafe. - Eles conseguem essas informações em grande volume, para poderem oferecer sempre dados válidos.
A maior parte dos cartões fraudados é de americanos, mas os cibercriminosos fazem vítimas em outros países, inclusive no Brasil. O relatório "Underground Hacker Markets", elaborado no fim de 2014 pela divisão de segurança da Dell, vasculhou um desses mercados e listou 294 mil cartões de crédito brasileiros.
"Cartões de crédito roubados dos EUA, Canadá, Reino Unido, Brasil, Argentina e Geórgia parecem ser especialmente abundantes", afirma o estudo. "Esse site anunciava que tinha 14 milhões de cartões americanos para venda, 294 mil brasileiros, 342.179 de diversos países, 212.100 do Canadá, 75.992 do Reino Unido, e 26.873 da União Europeia".
E as informações são sempre renovadas para garantir o funcionamento. Uma das lojas oferece lotes com dados de cem cartões de crédito e se compromete a fazer troca caso o percentual de cartões inválidos supere 20%. No anúncio, os criminosos dizem receber "novas listas todos os dias".
Fabio Assolini, analista de segurança da empresa de antivírus Kaspersky, explica que, no Brasil, o roubo de informações se dá principalmente por ataques de phishing. Os criminosos criam sites falsos ou mandam mensagens por e-mail ou SMS pedindo essas informações para participação em sorteios ou compra de produtos com preços abaixo do normal. E muita gente cai nesses golpes.
- A recomendação é sempre desconfiar - diz Assolini. - Evite lojas desconhecidas, confira a lista do Procon de sites fraudulentos antes de fornecer as informações. Outra dica é ter um cartão secundário, com limite pequeno, para transações na internet. Também é interessante assinar um serviço oferecido pelas operadoras que emite um alerta SMS a cada compra efetuada.
Publicidade
Nos EUA, os ataques contra os pontos de venda (PoS, Point of Sale, em inglês) se tornaram frequentes nos últimos anos. Os criminosos inserem malwares nos computadores que registram as compras e conseguem milhares, ou mesmo milhões de dados em apenas um ataque. Há dois anos, a Target, segunda maior rede varejista do país, foi vítima de uma das maiores ações desse tipo em todos os tempos, com o vazamento de informações de crédito de 40 milhões de consumidores.

IMPUNIDADE INCENTIVA O CRIME
As darknets garantem aos criminosos um certo grau de anonimato, e como as transações são realizadas por bitcoins, não existe registro financeiro dessas operações. Capturar esses hackers é uma missão difícil, mas não impossível. Em outubro de 2013, Ross Ulbricht foi localizado pelo FBI e preso. Na última sexta-feira, ele foi condenado por um tribunal em Nova York à prisão perpétua por operar o Silk Road, que era o maior mercado de drogas da web profunda. Contudo, diz Melo, Ulbricht é apenas a ponta de um iceberg:
- Pegaram o Silk Road para servir de exemplo, mas ele é apenas um entre milhares. É bom que se faça progressos, mas é preciso mais. Você já viu hacker sendo preso no Brasil?
Especialistas em segurança digital pedem por maior participação de órgãos do governo e integração com as companhias nas investigações. É comum ver no noticiário grandes ataques hackers sofridos por empresas americanas, mas isso não se dá no Brasil. Não porque o nosso ambiente seja mais seguro, mas pela inexistência de regras que obriguem a comunicação desses crimes.
- De um modo geral, o cibercriminoso já se acostumou a agir com um certo grau de impunidade - diz Paulo Pagliusi, diretor executivo da consultoria MPSafe CyberSecurity. - As empresas preferem assumir as perdas causadas pelos hackers para manter a confiabilidade da marca. O cliente é roubado, o banco ressarce, cobra da seguradora, mas para por aí. Não pode. Esse ciclo estimula o crime cibernético. Em alguns países, como nos EUA, a empresa é obrigada a alertar as autoridades e o FBI é acionado para as investigações. É preciso maior maturidade para lidar com esse problema.
Na outra ponta, o comércio eletrônico tenta se proteger contra fraudes. O hacker rouba as informações e as repassa a um terceiro, que tenta usar os dados para fazer compras on-line. Segundo Maurício Salvador, presidente da Associação Brasileira de Comércio Eletrônico, em média 0,2% dos pedidos são efetuados com dados fraudados no e-commerce brasileiro, mas em algumas categorias, como smartphones e eletrônicos, o índice chega a 20%.
E caso as transações sejam concluídas, o prejuízo fica com o lojista. Para reduzir as perdas, o setor está investindo em sistemas inteligentes para detecção de fraudes. Pela análise de comportamento, compras suspeitas são sinalizadas e direcionadas para a confirmação de mais dados dos consumidores.
Publicidade
- Normalmente, as compras on-line levam um tempo. O consumidor busca as informações do produto, compara preços. Se aparece alguém e faz compras rapidamente, o sistema emite um alerta. O pedido só é finalizado após contato telefônico para confirmação dos dados cadastrais - explica Salvador.
E para o consumidor, a dica é ficar atento. Além de proteger computadores e smartphones e evitar sites desconhecidos, é recomendável estar atento ao extrato bancário e à fatura do cartão de crédito. Qualquer movimentação desconhecida, por menor valor que seja, procure imediatamente o banco.
- Os hacker fazem pequenas transações, de poucos reais, para assegurar que o cartão está funcionando. Um tempo depois é que vem a bomba - diz Marco de Melo.
Caso queira conhecer mais sobre a Deep Web, clique aqui para ler o artigo "A Internet Profunda – Segredos, Riscos & Ameaças", do Dr. Paulo Pagliusi.
 Fonte da matéria: O Globo: Sociedade - Tecnologia31/05/2015.