Conhecidos por sua pouca idade e por disseminarem o resultado de seus roubos em redes sociais, a Trend Micro verificou que os cibercriminosos brasileiros, estão se especializando cada dia mais no aprimoramento de seus golpes e novas plataformas para atacarem seus alvos.
Depois do bloqueio temporário do WhatsApp no Brasil, em dezembro de 2015, os hackers encontraram alternativa em outro aplicativo de mensagens instantâneas, para evitar a vigilância das autoridades, enquanto dão continuidade aos seus esquemas cibercriminosos.
Os tribunais brasileiros solicitaram ao WhatsApp que fornecesse informações em relação a investigações criminais no final de 2015. Negando a solicitação, uma ordem judicial foi emitida para que os provedores de telecomunicações bloqueassem o acesso ao WhatsApp, forçando os usuários, incluindo os cibercriminosos, a procurarem um novo meio de se comunicar.
Antes dessa ordem judicial, o WhatsApp tinha 93 milhões de usuários no Brasil. Desde então esse número diminuiu, com os usuários passando a usar o Telegram, uma plataforma de troca de mensagens baseada em nuvem.
Coincidência ou não, o recurso de mensagens seguras do Telegram torna a plataforma perfeita para que seja explorada por indivíduos com intenção maliciosa.
Do WhatsApp para o Telegram
Já há algum tempo que os cibercriminosos exploram o WhatsApp e aplicativos similares de troca de mensagens para realizar transações comerciais ilícitas.
Para a Trend Micro, a gradual substituição feita para o Telegram, pode ser analisada sob alguns pontos. Os usuários consideram o aplicativo, atraente devido a recursos como: fácil acesso em diversos dispositivos, “conversas secretas” (é possível autodestruir mensagens), capacidade de compartilhar vários tipos de arquivos de até 1,5 GB além de “grupos e canais de conversas”.
Uma das razões prováveis para os cibercriminosos terem optado pelo Telegram, é que assim como o WhatsApp, ele criptografa as mensagens enviadas por meio de sua rede. Com isso, se torna muito mais difícil para a polícia, provar a natureza ilícita de transações cibercriminosas realizadas.
Os grandes grupos que podem hospedar até 5.000 membros cada, funcionam de forma bem parecida com os fóruns nas quais boa parte das negociações entre cibercriminosos ocorre. Os participantes só precisam criar um apelido (sem vínculos com um endereço de e-mail) para participarem.
Durante a pesquisa, a Trend Micro encontrou dois grupos do Telegram com cerca de 10.000 usuários no total, realizando atividades suspeitas. Os apelidos não necessariamente facilitam a identificação, quando comparados com endereços de e-mail.
Outro recurso que facilita a disseminação das atividades destes criminosos, é que o Telegram permite que os usuários criem “canais” onde o indivíduo pode tornar seu número de telefone anônimo.
Qualquer potencial comprador pode simplesmente enviar ao administrador (provavelmente o vendedor) uma mensagem privada para dispor do crimeware.
Que produtos são oferecidos nos canais do Telegram?
As ofertas de produtos vendidos nos canais observados pela Trend Micro, incluem desde cartões de crédito roubados a credenciais para contas hackeadas do Netflix.
O interessante, é que tais mercadorias estavam disponíveis gratuitamente. Provavelmente, hackers iniciantes que desejam construir uma reputação ou notoriedade, na esperança de serem reconhecidos como os melhores entre o grupo.
Em alguns canais, os cibercriminosos até mesmo incentivam a participação do grupo, pedindo aos usuários bem-sucedidos nos roubos de credenciais, para que provem suas conquistas por meio de screenshots. A Trend Micro constatou também um canal “pessoal”, cujo proprietário individual reclamou de outros grupos que segundo ele, copiaram seus materiais.
O phishing, um dos golpes que fazem maior número de vítimas no Brasil, foi também encontrado: um dos grupos falsificou o perfil de uma loja online brasileira. Anúncios publicitários de páginas falsas, também foram vistos.
Tendência do mobile
A maioria dos brasileiros, confiam mais em smartphones do que em computadores para acessar a Internet. Por isso não é surpresa, que as pessoas por trás dos canais suspeitos do Telegram tenham como alvo os usuários de dispositivos móveis. Vários aplicativos nocivos com diferentes capacidades foram vistos pela Trend Micro, sendo oferecidos nesses canais. Alguns desses aplicativos maliciosos são exploradores excepcionais e conseguem gerar informações de cartão de crédito.
Dinheiro fácil e aprendizado autodidata
Com base em postagens encontradas pela Trend Micro, os vendedores de credenciais roubadas ainda estão no ensino médio com idade provavelmente abaixo dos 20 anos. Não se sabe se trabalham sozinhos ou em grupos, mas a maioria certamente é autodidata, com conhecimentos e habilidades obtidos por meio da adesão e participação em fóruns. Isso pode ser constatado pelo número de tutoriais e guias de hacking/carding compartilhados com os membros do grupo.
O ganho monetário rápido e a oportunidade de adquirir habilidades com novas ferramentas, são provavelmente as principais razões pelas quais cada vez mais pessoas se envolvem em atividades cibercriminosas. Não ajuda também o fato de que qualquer aspirante a cibercriminoso pode facilmente aprender como fazer o serviço em manuais de treinamento vendidos ou compartilhados clandestinamente na Deep Web.
Em tempo
Segundo a Trend Micro, até o momento os cibercriminosos estão na ativa e grupos deste tipo estão se multiplicando.
