ANÚNCIO
O público não sabe seu nome verdadeiro, mas fóruns na internet e grupos no Facebook conhecem os feitos de “Lordfenix”, um hacker que tem impressionado pela ousadia e pelos lucros de suas fraudes.
Por trás do apelido se esconde um estudante de Ciência da Computação do Tocantins. Aos 20 anos de idade, estima-se que ele já criou mais de cem cavalos de troia bancários, programas capazes de roubar dados de usuários de internet banking e dar aos golpistas acesso às contas das vítimas.
Pesquisadores da empresa Trend Micro, especializada em segurança digital, mapearam a atividade de Lordfenix e outros hackers em 2015 e apresentam o relatório desde março em várias capitais.
A conclusão, em geral, é a seguinte: o hacker no Brasil é muito mais atrevido do que os colegas no exterior.
“Os portais que os hackers usam são públicos. Nos Estados Unidos e Europa eles têm meios de acesso restrito, muitos foram obrigados a só operar na Deepweb [conteúdo oculto da internet, alheio a mecanismos de busca normais, como o Google]. Aqui, muitos nem têm preocupação com o anonimato”, conta Franzvitor Fiorim, gerente de segurança Trend Micro Brasil.
Lordfenix, por exemplo, não é exatamente discreto. Tem até perfil no Facebook, por onde chega a se gabar do lucro de seus golpes, postando fotos de dinheiro vivo espalhado em cima da cama.
ANÚNCIO
As técnicas de Lordfenix e outros hackers, segundo especialistas, não são tão recentes, mas a troca fácil de informações e a disposição de passar o conhecimento adiante tornam os crimes difíceis de se detectar e punir.
“Tem-se dividido a ‘era dos hackers’ em três fases: no início era aquele estudante “nerd”, que via na invasão de computadores um desafio intelectual. A segunda onda foi de pessoas que roubam, que assumem o controle de sistemas para lucrar. Mas já avançamos à terceira fase, a do ataque destrutivo, seja contra pessoas, empresas ou países. Hackers são contratados por governos para missões de guerra cibenética e têm supercomputadores à disposição”, diz Odair Aguiar, da Doxa Advisers, outra empresa focada em segurança digital.
A fraude bancária é apenas um tipo de crime na internet, mas é o que mais movimenta recursos ilegais. Só em 2015, os cinco maiores bancos no país (Banco do Brasil, Itaú, Caixa, Bradesco e Santander) perderam R$ 615,4 milhões para os hackers, segundo estimativa da CPI dos Crimes Cibernéticos, encerrada na Câmara dos Deputados no início de maio.
Embora muitos criminosos atuem no “varejo”, não faltam exemplos de rombos milionários. No final de 2013, a rede de lojas norte-americana Target teve o sistema invadido por hackers que roubaram dados de 70 milhões de clientes.
Em comum, os bancos e as grandes empresas têm uma característica que atrapalha a investigação dos casos e facilita a vida dos criminosos: a relutância em admitir que foram vítimas de golpe.
“Há até pouco tempo, quando uma empresa identificava uma fraude cometida por algum funcionário, ela mantinha isso sob sigilo, demitia o cara e se fazia de morta. Ninguém quer publicar que foi vítima, porque está demonstrando uma fraqueza dos sistemas internos”, avalia Aguiar.
Não clicar em link suspeito é regra nº 1
Para especialistas, muitos se protegeriam se não clicassem em links desconhecidos. “É a maior porta de entrada de invasões em empresas. Um funcionário bem intencionado clica em um link suspeito e expõe o sistema”, diz Odair Aguiar, da Doxa Advisors.
Curso online de hacker bancário sai por R$ 300
Enquanto os usuários de internet banking no país já são 40% dos correntistas, os bancos e os hackers vivem em constante batalha: as instituições aprimoram a segurança e os cibercriminosos criam técnicas contra o sistema.
Em fóruns, pesquisadores da Trend Micro viram cursos em que os alunos aprendem, em três meses, a roubar dados de cartões e recolher os lucros. A maioria recebe em bitcoin (moeda virtual cotada hoje a R$ 1,8 mil), difícil de rastrear, mas alguns usam a própria conta bancária.
Muitos vendem geradores de cartão de crédito já invadidos. Por R$ 100, o interessado compra 50 números de cartão de crédito e os usa para fazer compras online, conforme o limite da vítima.
Os bancos repõem as perdas dos lesados, mas o prejuízo é tido como custo operacional. “Custo esse que é compensado com as taxas, com os recursos que entram para o sistema. Ou seja, na verdade, quem paga o prejuízo somos nós, é toda a sociedade que usa o sistema financeiro”, disse Carlos Sobral, assessor de TI do Ministério da Justiça, à CPI dos Crimes Cibernéticos.
Combate a crimes sexuais é difícil
Um hacker de 31 anos foi preso na semana passada, em São Paulo, acusado de invadir o celular da primeira-dama Marcela Temer e depois exigir R$ 15 mil para não expor dados, mensagens e fotos.
Segundo as investigação, Marcela abriu um e-mail com vírus que permitiu o acesso do invasor. Essa modalidade de crime, segundo especialistas, é tão ou mais comum que as fraudes bancárias, e exige menos conhecimento.
“Muitos famosos, não apenas mulheres, são chantageados quando levam o computador para o conserto e têm os arquivos roubados por alguém lá”, diz Odair Aguiar, da Doxa Advisors.
Crimes contra a honra como este foram debatidos na CPI de Crimes Cibernéticos, que também se debruçou sobre problemas desde o sexting – quando uma foto íntima vaza na internet contra a vontade da vítima – até pedofilia e tráfico de pessoas.
Thiago Tavares, presidente da ONG SaferNet, que atende vítimas de crimes na internet, disse à CPI dos Crimes Cibernéticos que os órgãos públicos têm um dilema: investigar sem serem invasivos.
“O nosso desafio é buscar este equilíbrio: de um lado, há necessidade de investigar os crimes e punir os criminosos; e, de outro lado, preservar direitos como privacidade, liberdade de expressão, proteção de dados e a própria noção de anonimato”, disse.
