Quando ouvimos que a rede Americana Target foi invadida e 40 milhões de cartões de pagamento roubados, ou que uma nova fraude para desviar pagamentos de boletos foi descoberta, com potencial de perdas de até 4 bilhões de dólares, estamos tratando de números e valores extremamente elevados porém bastante incertos. Estão corretos? Qual seria então o montante? Qual o tamanho do mercado negro do crime cibernético? Como ele é formado e estruturado? Conhecer e estimar seu tamanho é mais do que simples curiosidade, pois sabemos que os ganhos financeiros são o maior motivador dos grupos criminosos. Assim conhecer melhor esse motivador nos ajuda a entender melhor nossos inimigos e seu potencial. Há anos empresas e institutos especializados em segurança tentam quantificar os prejuízos, mas infelizmente os diversos relatórios apontam valores bem diferentes, e não apenas por questões de metodologia, trazendo ainda mais dúvida.
Um estudo da RAND Corporation publicado em Março desse ano - Markets for Cybercrime Tools and Stolen Data (Mercado para as ferramentas de crime cibernético e dados roubados) tenta por um pouco de ordem na discussão. Não tive o tempo ou mesmo os recursos para validá-lo, mas o relatório está muito bem organizado. Outro artigo bem interessante foi publicado no site da ZDNet com o título de Hackonomics: Cybercrime's cost to business (Hackonomics: o custo do crime cibernético para os negócios). No artigo a autora comenta e analisa os valores conflitantes de vários relatórios, como o de 2009 do Center for Strategic and International Studies, o qual cita prejuízos globais de 1 trilhão de dólares, mais tarde contestado por relatório do mesmo instituto, publicado em 2013, com valores que chegam até 400 milhões de dólares. Uma diferença significativa!
Como o estudo alerta, o uso da palavra “mercado” não é apenas por figura de linguagem. No seu inicio até meados da década passada a atividade hacker era simbolizada por um individuo jovem sentado em sua casa enquanto invadia sistemas pelo mundo. Esse modelo evoluiu para o que vemos hoje: grupos organizados no desenvolvimento e comercialização de ferramentas de invasão atuando como suporte a quadrilhas com funções definidas, um mercado negro estruturado na comercialização de kits de invasão e ferramentas, investimento constante em inovação e orçamentos superiores ao de muitas empresas em segurança de TI. É que se pode chamar de profissionalização da atividade. Esse mercado negro de produtos possui ainda características muito similares ao mercado legal de informática. Programas vendidos com planos de manutenção e suporte técnico, versões, soluções completas com funções disponíveis em nuvem, entre outros. Ainda de acordo com o relatório, 80% dos seus participantes fazem parte de algum grupo enquanto os 20% restantes são indivíduos, freelancers, como chamados no estudo.
A análise dos preços e modalidades de venda mostra o potencial desse mercado. É comum para leigos pensar que os hackers ainda invadem sites para usar o cartão de crédito de terceiros em beneficio próprio, porém as opções de faturamento também se multiplicaram. Há grupos que se especializaram em apenas vender ferramentas de ataque (exploits) e vulnerabilidades dia-zero, essas as mais valorizadas, com preços que ultrapassam os duzentos mil dólares, variando de acordo com plataformas afetadas e claro o impacto potencial. Outros se especializaram com o front, ou seja, executam a invasão visando o roubo de dados e posterior venda. Essa sofisticação do mercado é comprovada pela variedade de produtos e serviços vendidos, além dos kits de invasão, exploits ou vulnerabilidades dia-zero. Tomemos por exemplo alguém que queira realizar um ataque DDoS e precise alugar computadores zumbis de uma botnet. Esse serviço está disponível. Ou então um novato que conseguiu roubar determinada quantidade de cartões de crédito e quer vende-los. Há marketplaces especializados oferecendo também a lavagem do dinheiro. Tudo, claro, virtual. Não é a toa que essa é uma das atividades ilegais que mais cresce no mundo. Um dado impressionante no relatório da RAND é a taxa de inovação, ou seja, de lançamento de novos produtos, ou kits de invasão. Em 2006 foi identificado apenas um kit de completo de invasão lançado, numero que aumentou para 33 em 2013, além de 44 atualizações de kits lançados nos anos anteriores.
Mas há ainda outros fatores que impulsionam esse crescimento. Há pelo menos duas décadas os negócios estão migrando continuamente para o mundo digital, usando ou não a Internet. O crime ao migrar está apenas seguindo o dinheiro, em uma atividade com muito mais vantagens que a do “mundo real”. Primeiro não há fronteiras, o que significa que uma quadrilha pode atuar em qualquer país do globo, não importando onde está baseada. Segundo, os riscos físicos são infinitamente menores. Ninguém levará um tiro pela Internet. Terceiro, o alcance é incomparável. Quantas pessoas um criminoso comum pode roubar em um dia? Por mais que roube um restaurante cheio não irá se equiparar a alguém que infiltrou um código malicioso em uma página web acessada por milhões de pessoas, e que certamente irá funcionar para alguns milhares. Outro fator é a maior facilidade e menor risco para ingressar nesse ramo de atividade ilegal. É sabido que grupos vendem kits completos de invasão via plataformas de comercio eletrônico, utilizando alguma forma de dinheiro virtual para pagamento, em um modelo não muito diferente de e-commerce que estamos acostumados.
Os pesquisadores chegaram a conclusão que o crime cibernético pode ser mais lucrativo que o das drogas ilegais. É possível. A produção e o tráfico de drogas requerem uma estrutura física impressionante enquanto no mundo virtual tudo é mais simples. Mesmo que esses tipos de pesquisa não sejam conclusivos é importante para todos compreender mais com quem estamos lidando. Em segurança da informação há muita novidade disputando nossa atenção e é fácil perder o foco. É essencial voltar sempre a ele.
= atualização 06/04/2015 =
Na lista abaixo podemos ter alguma ideia de quanto se ganha por “produto”, em dólares americanos. A lista foi preparada pela RSA em parceria com o portal CBNC:
• Número de Seguro Social (seria o CPF em nosso caso): $1
• DDoS como serviço: ~$7/hora
• Registro médido: >$50
• Dados de cartão de crédito: $0,25 a $60
• Dados de contas bancarias: >$1000 dependendo do tipo e saldo da conta
• Malware para dispositivos móveis: $150
• Spam: $50 por 500 mil e-mails
• Desenvolvimento de Malware para venda: $2500
• Exploits: de $1000 a $300 mil
• Conta no Facebook: $1 para uma conta com 15 amigos
