Jovens e descarados — duas palavras que se aplicam na descrição dos cibercriminosos brasileiros de hoje em dia. Mas isso provavelmente já é notícia velha; a novidade é que eles mudaram de plataformas de comunicação.
Depois do bloqueio temporário do WhatsApp em dezembro do ano passado, os criminosos mudaram de ferramentas de mensagens para evitar a atenção indesejada da polícia enquanto dão continuidade aos seus esquemas cibercriminosos. Embora esta mudança possa ser apenas uma coincidência, os recursos de mensagens seguras do Telegram tornam a plataforma perfeita para que seja explorada.
Os tribunais brasileiros pediram ao WhatsApp que fornecesse informações em relação a investigações criminais no final de 2015. Incapaz de atender à solicitação, uma ordem judicial foi emitida para os provedores de telecomunicações para que bloqueassem o acesso ao WhatsApp, forçando os usuários (incluindo os cibercriminosos) a procurar um novo meio de se comunicar com os outros. Antes dessa ordem judicial, o WhatsApp tinha 93 milhões de usuários no Brasil. Este número desde então diminuiu, com os usuários passando a usar o Telegram.
Do WhatsApp para o Telegram: Por quê?
A popularidade às vezes tem um preço. Esse foi o caso do WhatsApp e agora do Telegram no Brasil. Há muito tempo os cibercriminosos exploram o WhatsApp e aplicativos similares de troca de mensagens para realizar transações comerciais ilícitas. Então, o que fez do Telegram um substituto provável?
Os usuários consideram o Telegram, uma plataforma de troca de mensagens baseada em nuvem, atraente devido aos seus recursos como o fácil acesso em diversos dispositivo, “conversas secretas” (você pode autodestruir mensagens), capacidade de compartilhar vários tipos de arquivos de até 1,5 GB e “grupos e canais de conversas”. Acreditamos que os cibercriminosos optaram pelo Telegram porque, assim como o WhatsApp, ele criptografa as mensagens enviadas através de sua rede. Dito isto, não é fácil para a polícia provar a natureza ilícita de transações cibercriminosas realizadas através do serviço. Os usuários também podem criar e conversar com grandes grupos de pessoas ao mesmo tempo, de forma bem parecida como as páginas de fóruns nas quais boa parte das negociações e comunicações entre cibercriminosos ocorre.
O Telegram pode hospedar grupos com até 5.000 membros cada. E os usuários só precisam criar um apelido (sem vínculos com um endereço de e-mail) para participar de um grupo. Durante o andamento desta pesquisa, encontramos dois grupos do Telegram com cerca de 10.000 usuários no total que estavam realizando atividades bem suspeitas. Os apelidos não necessariamente facilitam a identificação, quando comparamos com endereços de e-mail.
Figuras 1 e 2. Grupos do Telegram envolvidos em atividades suspeitas
E ainda melhor, o Telegram permite que os usuários criem “canais” onde eles podem optar por esconder seus números de telefone mesmo para outros membros. Para os bandidos, isso se traduz em “anonimato”. Qualquer potencial comprador pode simplesmente enviar ao administrador (provavelmente o vendedor) uma mensagem privada para dispor do crimeware. Também não ajuda o fato de que os servidores do Telegram estão localizados na Rússia, outro desafio para a investigação policial e uma possível ação judicial.
Que produtos são oferecidos nos canais do Telegram?
As ofertas de produtos vendidos em canais que vimos incluem cartões de crédito roubados e credenciais para contas hackeadas do Netflix. O que é interessante é que essas mercadorias estavam disponíveis gratuitamente. Os peddlers podem apenas estar tentando construir uma reputação ou notoriedade, na esperança de serem reconhecidos como os melhores hackers.
Em alguns canais, os cibercriminosos até mesmo incentivam a participação do grupo, pedindo que os usuários que são bem-sucedidos no roubo de credenciais para que provem suas conquistas através de screenshots. Vimos também um canal “pessoal” cujo proprietário individual reclamou que outros grupos copiaram seus materiais.
Outra coisa comumente encontrada foram as páginas de phishing, um das quais falsificou uma loja online popular no Brasil. Também vimos anúncios publicitários de páginas falsas.
Passando para os dispositivos móveis
Todos sabem disso—os brasileiros confiam mais em smartphones do que em computadores para acessar a Internet. Por isso não é surpreendente que as pessoas por trás dos canais suspeitos do Telegram também tenham como alvo os usuários de dispositivos móveis. Vimos vários aplicativos nocivos com diferentes capacidades oferecidas nesses canais. Alguns desses aplicativos maliciosos são exploradores excepcionais e conseguem gerar informações de cartão de crédito.
Figura 3 – Aplicativos falsos que oferecem serviços gratuitos de streaming.
Quais as vantagens para os cibercriminosos audaciosos e jovens?
Com base em algumas postagens que encontramos, os vendedores de credenciais roubadas ainda estão no ensino médio, provavelmente com menos de 20 anos de idade. Não temos certeza se eles trabalham sozinhos ou em grupos, mas a maioria certamente é autodidata, obtendo conhecimentos e habilidades através da adesão e participação em fóruns, a julgar pelo número de tutoriais e guias de hacking/carding que eles compartilham com os membros do grupo.
Os ganhos monetários rápidos e a oportunidade de brandir ferramentas, habilidades e conhecimentos de hacking são provavelmente as principais razões pelas quais cada vez mais pessoas se envolvem em atividades cibercriminosas. Não ajuda também o fato de que qualquer aspirante a cibercriminoso pode facilmente aprender como fazer o serviço através de uma miríade de manuais de treinamento em cibercrime que são vendidos ou compartilhados clandestinamente ou na Deep Web.