Preços cobrados por hackers para roubar dados despencaram, diz estudo

  • 18 dezembro 2013
Cartão de crédito | BBC
Image caption Excesso de vazamentos estaria por trás de queda no preço de repasse de dados bancários roubados

O preço de venda de informações sigilosas roubadas online, como contas bancárias ou dossiês financeiros, caiu drasticamente nos últimos dois anos, segundo um estudo feito por dois especialistas.

O levantamento foi realizado por Joe Stewart, diretor de pesquisa de malware (software destinado a se infiltrar em um computador) da Dell SecureWorks, em parceria com David Shear, um consultor independente.

A dupla monitorou fóruns criminais na internet, alguns deles sediados na Rússia, em que são negociados dados sigilosos de usuários.

Eles verificaram, por exemplo, que, com apenas US$ 300 (R$ 700), conseguiam comprar informações financeiras de contas de até US$ 300 mil (R$ 700 mil).

Há dois anos, alegam os especialistas, o mesmo valor só garantiria o acesso a saldos de até R$ 7 mil.

Para Stewart, o preço de todos os tipos de informações financeira roubadas caiu fortemente no último ano no mercado negro; acredita-se que isso se deva a vários casos de violação em larga escala de dados pessoais ocorridos neste período.

Ele acrescenta que ainda há espaço para novas quedas.

"Acredito que os preços podem cair muito mais", afirmou Stewart.

Segredos à venda

Não é apenas o preço de dados relacionados a contas bancárias que caiu, acrescenta Stewart.

Ele argumenta que um dossiê completo de informações financeiras sobre um indivíduo, que pode ser usado para cometer roubo de identidade, agora custa US$ 25 (R$ 60).

Há dois anos, esses mesmos dossiês – apelidados de Fullz na linguagem dos hackers - eram vendidos a US$ 60 (R$ 140) cada um.

Um Fullz típico contém os seguintes dados da vítima:

  • Nome completo e endereço
  • Números de telefone e endereços de e-mail com senhas
  • Data de nascimento
  • Previdência social e plano de saúde (se houver)

E um ou mais das seguintes informações:

  • Informação da conta bancária
  • Detalhes de acesso à conta bancária via internet (senhas, nomes de usuários, etc.)
  • Números de cartões de crédito, incluindo senhas.

Na prática, dizem os especialistas, há uma ampla oferta de dados de cartões de crédito roubados. Sem igual contrapartida de demanda, os hackers viram-se obrigados a abaixar seus preços e até tomar medidas mais extremas, como vendê-los antes de eles expirarem ou serem cancelados.

"Hackers costumavam roubar detalhes de cartão de crédito por vez, mas agora eles já descobriram como roubar dados de milhares de pessoas a partir de um único procedimento", diz Stewart.

"Com o excesso de oferta, os vendedores vão ter de abrir os detalhes desses cartões gratuitamente aos compradores. E estes podem agora comprá-los em lotes de 1 mil", acrescenta.

O preço unitário por um cartão Visa ou Mastercard dos Estados Unidos gira hoje em torno de US$ 4 (R$ 10), ao passo que o custo aumenta caso o plástico tenha sido emitido no Reino Unido ou na Europa.

Image caption Dossiês completos com informações financeiras também tiveram preço reduzido no mercado negro

A razão pela qual a informação roubada de cartões americanos vale menos do que uma do Reino Unido ou da Europa se deve parcialmente porque é mais difícil e mais caro para os criminosos transferir recursos roubado dos Estados Unidos para onde eles estão, no Leste Europeu ou Ásia, diz Stewart.

O procedimento envolve normalmente a necessidade de um atravessador, que recebe uma parcela do dinheiro para lavar o dinheiro.

Os dossiês completos (Fullz) permaneceram disponíveis apenas por poucos anos, mas sua existência indica que os criminosos estão sofisticando cada vez mais as suas ofertas, segundo Stewart.

"Anteriormente, eles só ofereciam listas com números de cartões de crédito. No entanto, os dossiês são uma amostra de que os hackers ficaram mais inteligentes e agora podem atacar locais onde uma ampla gama de dados pessoais é armazenado", diz ele.

Serviço customizado'

Os criminosos virtuais também ficaram mais sofisticados ao criar um serviço "customizado", a partir do qual oferecem dados financeiros roubados a clientes em potencial.

A oferta inclui websites com sistemas de busca que lhe permitem fazer buscas onlines por detalhes de bancos específicos.

"Eles criaram um sistema que se assemelha a um serviço de assinatura, e os assinantes podem fazer quantas buscas quiserem por contas em bancos específicos e, assim, ganhar dinheiro da maneira mais conveniente", disse ele.

No entanto, nem todos os preços estão caindo no balcão de negócios do mundo virtual.

Hackers tentam identificar e explorar vulnerabilidades em programas e sistemas operacionais para ter acesso a detalhes de cartões de crédito e outros dados.

Ladrões de bitcoins

Image caption Para especialista, bitcoins vêm atraindo cobiça dos hackers

Stefan Frei, diretor de pesquisas na consultoria de segurança NSS Labs, diz que os criminosos estão dispostos a pagar um preço mais alto por novas vulnerabilidades descobertas.

Quanto mais segura a plataforma é vista, maior é o preço para hackeá-la, diz ele.

"As pessoas estão cada vez mais colocando suas vidas nos computadores. Por isso, o custo para hackear um computador é muito mais alto do que antes", explica Frei.

"Uma vulnerabilidade no sistema iOS (da Apple) pode ser vendida de US$ 500 mil (R$ 1,2 milhão) a US$ 1 milhão (R$ 2,7 milhões)".

Stewart, da Dell SecureWorks, também acredita que o crescimento do bitcoin – uma moeda virtual – pode levar a uma mudança de foco dos ladrões.

Mas o especialista alerta que as carteiras virtuais – programas de computador usados para armazenar bitcoins – são alvos mais atrativos para os hackers do que contas bancárias.

"Muitos usuários de bitcoin não conhecem muita de segurança, e muitos protegem as suas carteiras digitais com um nome de usuário e uma senha a que os criminosos facilmente têm acesso usando um malware", afirma ele.

"Para o criminoso, roubar uma carteira recheada de bitcoins é muito mais interessante, porque, diferente de uma conta bancária, ele não precisa de um atravessador para lavar o dinheiro. Ele pode sacar os fundos em qualquer lugar do mundo".

Notícias relacionadas