Topo

Álvaro Machado Dias

OPINIÃO

Texto em que o autor apresenta e defende suas ideias e opiniões, a partir da interpretação de fatos e dados.

Golpe virtual: neurociência mostra o que faz tanta gente cair em roubada

"Como caí nessa?", se perguntam muitas vítimas de golpes digitais. A resposta vai além da questão de medidas de segurança - Yan Krukov/ Pexels
"Como caí nessa?", se perguntam muitas vítimas de golpes digitais. A resposta vai além da questão de medidas de segurança Imagem: Yan Krukov/ Pexels

05/04/2022 04h00

Se você acha que hackers vivem escondidos e nunca se encontram, você errou. Assim como em todas as áreas, os especialistas desta aqui têm seus eventos oficiais e extra-oficiais, onde tanto hackers white hat (especialistas em segurança que procuram detectar falhas para as corrigir), quanto hackers black hat (criminosos) ou seus prepostos se encontram.

O sentido destes encontros é mais do que prático. O universo hacker está em grande parte alicerçado no quem é quem, à semelhança da comunidade científica, que premia seus expoentes com respeito e outras moedas simbólicas, e é isso que estes encontros consagram.

A mais respeitada conferência em hacking hard core é a Black Hat Computer Security Conference, hoje conhecida como Black Hat Briefings, a qual atrai mais de 20.000 pessoas.

Ali, em 2010, Barnaby Jack fez história ao demonstrar ao vivo duas maneiras de hackear caixas automáticos.

A primeira envolveu a inserção de um pendrive no caixa automático, cujo tampo foi aberto com uma chave micha. O aparelhinho injetou um vírus no computador do caixa, que abriu sua tela de comando, permitindo a liberação de todo o dinheiro armazenado. A operação tomou menos de cinco minutos e pode ser conferida aqui bem como, numa versão atualizada, aqui.

A "prova de conceito" deixou a plateia boquiaberta. Porém, foi a segunda demonstração que marcou história. Jack inseriu um vírus no sistema de gestão da rede toda de caixas automáticos, o que lhe permitiu expelir dinheiro de todos eles, sem a necessidade de contato físico com as máquinas. Este método ficou conhecido como Jack Potting e se tornou uma verdadeira febre no mundo todo.

Por exemplo, em um dos ataques coordenados (EUA, 2013), mais de 3.000 caixas automáticos expeliram as notas do seu interior, gerando um prejuízo de cerca de US$ 45 milhões, em algumas horas.

O esquema envolve uma estrutura em dois níveis, com hackers que invadem as redes dos caixas automáticos e mulas que coletam o dinheiro e se encarregam de lavá-lo, isto é, de trocá-lo por outros ativos, dificultando a identificação dos membros da quadrilha.

A principal forma de lavagem de dinheiro neste tipo de crime, hoje em dia, envolve criptomoedas.

Por maiores que sejam, estes golpes movimentam uma fração pequena do valor envolvido em um segundo tipo de golpe, as clonagens de cartão de crédito.

Uma das formas clássicas de clonagem usa um mini-scanner (skimmer) ligado à maquininha de cartões (POS), que copia os dados das tarjetas inseridas.

Em seguida, estes dados são digitalmente impressos em um segundo cartão, para a realização de compras físicas, ou utilizado para compras online. Há diversas demonstrações deste método sendo usadas em cartões com chip, o que é conhecido como shimming.

Figura I. Skimming vs. Shimming - Álvaro Machado Dias - ilustração adaptado de: FBI, EUA, 2022 - Álvaro Machado Dias - ilustração adaptado de: FBI, EUA, 2022
Figura I. Skimming vs. Shimming
Imagem: Álvaro Machado Dias - ilustração adaptado de: FBI, EUA, 2022

Cada cartão de crédito ou débito com chip possui três códigos de segurança (CVVs), um visível na parte de trás do cartão, um embutido na fita magnética e um terceiro no chip.

O verdadeiro desafio na clonagem de cartões com chip reside no fato de que este último, chamado de iCVV, muda a cada nova transação.

Hackers não conseguem copiar o chip em si (portanto, não conseguem acessar o algoritmo que dita estas mudanças), mas podem puxar todos os outros dados por shimming, estampando-os em um cartão em branco, que será aceito sempre que esta conferência não for feita.

Esta abordagem traz uma discussão importante na esfera do direito do consumidor, na medida em que mostra que cartões com chip podem ser parcialmente clonados.

Figura II. Circuito de shimming que possui milímetros  - Polícia canadense, 2022 - Polícia canadense, 2022
Figura II. Circuito de shimming que possui milímetros
Imagem: Polícia canadense, 2022

Outra técnica muito utilizada por estelionatários digitais (um tipo de skimmer) envolve a sobreposição da entrada do terminal do cartão de um caixa automático por uma segunda versão, que faz o papel de scanner de dados. Em paralelo, uma pequena câmera, inserida no próprio terminal é utilizada para registrar a senha digitada pelo cliente. Os dados são transmitidos remotamente para os chefes do esquema, que simplesmente abandonam a parafernália lá, caso esta deixe de funcionar.

Mais recentemente, dispositivos capazes de clonar cartões por mera aproximação, sem a necessidade de contato físico, foram desenvolvidos e disponibilizados à venda na dark web (porção da deep web dedicada a ilegalidades).

Estes funcionam como scanners de alta-frequência (RFID), permitindo que dados de cartões sejam copiados no transporte público, elevadores e qualquer outro lugar em que exista aglomeração, mesmo que os cartões estejam dentro de mochilas, carteiras e afins.

Igualmente comum é a clonagem de chips de celulares, a qual gera uma dor de cabeça sem fim para clientes e operadoras.

É claro que nem tudo é considerado fácil e vendido por um trocado na internet.

A empresa israelense NSO, de Shalev Hulio, desenvolveu um software capaz de monitorar celulares rodando IOS e Android (ou seja, praticamente todos do mundo), à distância. Diversos governos mantêm assinaturas do software espião, conhecido como Pegasus, por milhões de dólares mensais.

O Pegasus é capaz de registrar chamadas, mensagens por texto, tirar fotos e mesmo gravar e enviar pela internet as conversas captadas pelo seu sistema de áudio, sem o conhecimento do usuário. A instalação do Pegasus ocorre sem que o dono do celular a clique ou instale (uma técnica conhecida como zero click).

Existem evidências de que o Pegasus foi utilizado para monitorar o jornalista Jamal Khashoggi, assassinado dentro do consulado saudita, na Turquia (2008) e, de acordo com o UOL (para mais detalhes, acesse aqui), Carlos Bolsonaro tentou comprar o software para a inteligência brasileira sob a licitação 03/21, do Ministério da Justiça, pelo valor de R$ 25,4 milhões.

Engenharia social, a principal arma hacker existente

Esquemas (e.g., shimming) e armas cibernéticas (Pegasus) como as que descritas na seção anterior impressionam e dão a sensação de que somos vítimas passivas de criminosos digitais.

A realidade é diferente.

A grande maioria dos crimes cibernéticos não é estritamente técnica, mas envolve engenharia social, que neste contexto pode ser definida com um conjunto de interações muito bem amarradas, que acabam levando as vítimas a viabilizar os ataques criminosos.

Mais de 90% de todos os ataques hackers da atualidade são deste tipo.

A engenharia social está por trás de golpes manjados como o do príncipe nigeriano que quer lhe transferir um valor, mas para isso precisa dos seus dados bancários, até outros mais sofisticados, baseados nas chamadas microinterações, isto é, nas interações que nos chamam pouca atenção.

Por exemplo, de tempos em tempos, recebo por email uma cobrança de uma suposta fatura em atraso da Claro, vinda do endereço relacionamento@minhaclaroresidencial.com, nos moldes descritos aqui.

Se eu não me engano, mais de uma vez paguei a conta de telefone dos bandidos, simplesmente por agir no automatismo.

A mesma lógica inspira picaretas como Simon Leviev, conhecido como o golpista do Tinder, que recentemente foi vítima de um golpe baseado no mesmo princípio

Entre as diversas semelhanças com o príncipe nigeriano do spam ridicularizado, Leviev também seria herdeiro de uma mineradora de diamantes —um bilionário solitário e incompreendido, a procura de alguém digno de confiança.

Seria injusto dizer que a engenharia social é a casca de banana das pessoas ingênuas e sonhadoras. Na verdade, ela é ainda mais importante nas empresas e no mercado financeiro.

Ao clicar num anexo —um documento com dados de um suposto correntista— o funcionário de um banco europeu abriu as portas para que o hacker ucraniano Denis K. conduzisse um dos golpes digitais mais famosos do história, o Carbanak, nomeado a partir do software (malware) usado.

O golpe envolvia várias etapas, mais comportamentais do que cibernéticas.

Após a infecção desta primeira máquina, o vírus se espalhava para o sistema administrativo do banco, permitindo acesso tanto aos dados dos correntistas, quanto às ações dos diversos gerentes e outros funcionários.

Ao invés de simplesmente entrar nas contas e mover o dinheiro para laranjas o mais rapidamente possível, o bando de Denis K. fazia o oposto: ficava em silêncio por meses, monitorando os padrões de atividade de clientes e funcionários.

O conhecimento então era usado para movimentar as contas de maneira pouco perceptível, o que multiplicava a eficácia do golpe.

Denis desviou cerca de US$ 1,2 bilhão, de mais de cem bancos, em cerca de quarenta países, incluindo do Brasil.

Ele só foi pego porque uma mula, que fazia uma retirada de um caixa automático, assustou-se com a chegada de um cliente e acabou deixando o dinheiro na máquina. O cliente estranhou e chamou a polícia, que conseguiu prender o estelionatário, que deu origem a um verdadeiro dominó de delações.

A engenharia social também está por trás da maioria dos hackings de exchanges (casas de câmbio) de criptomoedas, as quais explodiram em 2021. Exemplos incluem a japonesa Liquid (- US$ 97 milhões) e a Bitmart (- US$ 200 milhões).

Ainda que os hacks baseados em engenharia social tenham sido majoritários, não foram exclusivos.

Um exemplo contrário é o da Poly Network, que sofreu um hack técnico de US$ 610 milhões. Por sorte, os valores foram restituídos.

A exceção faz a regra.

Engenharia social por trás de sequestros digitais

Hackings de caixas automáticos, invasões de celulares, clonagens de cartões e chips de celular, ataques e mais ataques a exchanges de criptomoedas —hoje em dia, nada disso possui a relevância dos sequestros digitais ou ransomware.

Se ransomware fosse um mercado legalizado estaria sendo chamado de bolha e, quem sabe, sendo comparado às tulipas holandesas do século 17.

De acordo com a empresa de segurança Emsisoft, na metade de 2019, o valor médio dos resgates era de US$ 40 mil; em setembro passou para US$ 84 mil, ao passo que em dezembro já havia saltado para US$ 190 mil, o que dá mais de R$ 1 milhão. No fim de 2021, este valor já estava em US$ 322 mil, de acordo com a Coveware, outra gigante da área de cibersegurança.

É importante notar que o resgate, muitas vezes, não é o maior custo infligido por estes sequestros, que paralisam as operações e exigem meses de cuidados subsequentes.

Em função de paralisações como estas, pacientes já morreram, fluxos de informações críticas sobre a vacinação contra a covid-19, no Brasil, foram afetados e filas colossais se formaram nos postos de gasolina da costa oeste americana.

Não foram só os valores pagos para resgatar dados que subiram, mas também —e sobretudo— o número de sequestros digitais.

De 2019 para 2020, o crescimento foi de 154%, enquanto de 2020 para 2021 o crescimento foi de 92% (para saber mais, acesse aqui e baixe o relatório).

Especialistas em cibersegurança são unânimes em dizer que a principal porta de entrada para estes ataques é a engenharia social, que leva as pessoas a fazer o que o bom senso rechaça.

Aqui vão algumas das principais estratégias usadas em ransomware e outros ataques baseados em engenharia social:

Email de negócios falso e golpes baseados em pretextos

Um email de negócios é enviado para algum funcionário da empresa, com dados convincentes, incluindo a logomarca e demais detalhes de formatação. O remetente possui um endereço que parece bater com o da empresa na qual supostamente trabalha. Para burlar o sistema de detecção do antivírus, não são usadas imagens no lugar da logomarca, mas sim tabelas modificadas.

O email traz um anexo ou link. No caso do anexo, ao clicar no mesmo, um vírus é instalado na máquina. No caso do link, muitas vezes envolvendo a necessidade de login usando o Microsoft Dynamics ou outra ferramenta corporativa, uma página falsa é criada, emulando a verdadeira.

De ambas as formas, o computador da vítima é invadido. Dali em diante, seguindo o protocolo do ataque de Carbanac e outros, de início, nada acontece.

O que os hackers fazem é criar outras vias de entrada para a máquina infectada, de modo que o fechamento de alguma não inviabilize o hack.

Em paralelo, criam rotas para chegar no administrador do sistema, que estudam por semanas para cercar seus dados mais sensíveis e estimar o valor do resgate.

Com isso definido, travam o sistema e mandam uma mensagem pedindo um pagamento em bitcoins, a partir de um sistema de comunicação anônimo.

A mesma fraude é replicada a partir de SMS, mensagens de WhatsApp ou Telegram.

Cada vez mais, o contato inicial é feito de maneira personalizada, o que reduz a desconfiança.

Por exemplo, um suposto representante de uma grande empresa da área de engenharia envia um email nominal para o gerente de um grande escritório de arquitetura dizendo que eles estão abrindo uma concorrência para a escolha de um fornecedor para um grande projeto e que seria positivo que a empresa do recipiente participasse, dada a relação de longo prazo entre as duas. Ele finaliza o email simplesmente perguntando se haveria interesse.

Após receber uma resposta positiva, o suposto interessado na contratação responde que a empresa de engenharia está cadastrando os interessados e pede que o funcionário registre sua manifestação de interesse digitalmente.

O formulário de registro usa o Dynamics e apresenta um campo para se entrar com usuário e senha.

Por vezes, o falso formulário é programado para dar uma mensagem de erro na primeira inserção, só para assegurar que o funcionário de fato entre com seus dados corretos. E o resto é história.

Profissionais estelionatários, chantagem ou suborno

Com o crescimento do valor dos resgates digitais, estelionatários vêm formando sua própria rede de falsos profissionais, que tanto podem se passar por terceirizados, quando podem se empregar na empresa-alvo, com o objetivo de instalar ransomware.

Em paralelo, casos de chantagem e suborno com os mesmos fins vêm aumentando muito.

Golpe da curiosidade

Estelionatários adentram escritórios como prestadores de serviço terceirizado e deixam um pendrive sobre uma das mesas. Sequioso em saber o que contém ou a quem pertence, alguém insere o dispositivo num dos computadores da empresa, que é infectado.

Falso CEO

O computador do CEO ou algum outro alto executivo da empresa é invadido e uma ordem de depósito é enviada para algum funcionário, usando o padrão de comunicação típico deste alto executivo.

Deep fakes

Esta é uma técnica derivada desta que descrevi acima, a qual ainda não atingiu todo o seu potencial.

Estelionatários usam ferramentas de deep fake para emular a voz de algum alto executivo da empresa e, treinados para se expressar como os mesmos, fazem ligações para secretários e outros funcionários, solicitando que depósitos sejam feitos nas contas dos bandidos.

Por que somos vítimas fáceis da engenharia social?

Após sofrer um ataque baseado em persuasão e outras técnicas de engenharia social, é comum que as vítimas, exaltadas, digam: "como é que eu fui cair nessa?!".

A resposta rápida é que caiu porque não adotou medidas básicas de segurança, nem fez uso daquela dose de bom senso, de que sua avó já falava.

Como sempre, a resposta rápida não ajuda a avançar na questão; é preciso refletir com mais profundidade.

O mais famoso debate moral da modernidade opõe a visão do ser humano intrinsecamente solitário e bruto, que precisa de regras rígidas para agir em conformidade com os interesses coletivos, à visão do ser humano que, em sua essência, é um ser socialmente cordato, tendo vivido em harmonia com os outros até o advento das organizações sociais que nos são caras.

O consenso hoje em dia é que nenhuma das duas está correta: as organizações sociais do pleistoceno não eram completamente pacíficas (ainda que fossem bem menos bélicas do que as surgidas após o advento da agricultura) e experimentos de psicologia social mostram que impulsos utilitários muitas vezes se sobrepõem a impulsos sociais.

Por outro lado, o ser humano definitivamente não possui uma natureza solitária ou egoísta, como dizia Hobbes e seus seguidores.

As evidências experimentais são inúmeras, a começar pelo fato de termos intuições morais que tendem ao universalismo e tendermos a pagar (leia-se: a sofrer) para penalizar aqueles que vemos como injustos ou antissociais, independentemente da nossa cultura de base.

Em paralelo, os seres humanos contam com extensas áreas de processamento social no cérebro (córtex pré-frontal ventromedial, giro do cíngulo, ínsula inferior e córtex orbitofrontal), as quais são ativadas quando mapeamos as intenções dos outros (córtex pré-frontal ventromedial), percebemos injustiças (giro do cíngulo, ínsula inferior) e nos vemos em situações moralmente relevantes (todas).

Pressões evolucionárias levaram à seleção destes endofenótipos (fenótipos internos) porque o custo de se viver sob baixa confiança e nenhuma cooperação é muito alto.

Aliás, um dos poucos consensos sobre as bases da desigualdade entre as nações é relativo ao papel da desconfiança, ou melhor, da importância de nunca confiar, dado o tecido moral corrompido de uma sociedade. Se devemos vestir a carapuça ou não é assunto para outra hora.

Simulações de base evolucionária indicam que a transmissão de genes é superior entre aqueles que cooperam e confiam do que entre seus pares que fazem o oposto (para um clássico, acesse aqui).

Este raciocínio sugere que a engenharia social funciona porque temos uma tendência natural a acreditar nos outros, a qual está baseada em cálculos genéticos que revelam a superioridade da estratégia de se confiar e se dar mal de vez em quando sobre a de desconfiar sempre.

Em outras palavras, confiamos nos hackers que nos passam a perna porque somos bem-adaptados ou "racionais" e maximizamos nossos interesses genéticos de longo prazo.

Parece uma tese surpreendente, mas é simplesmente uma conclusão obrigatória.

Este ponto de partida muda a natureza do problema.

A questão deixa de ser porque confiamos em hackers, mas, por que não inibimos seletivamente este impulso em função da consciência da existência de golpes digitais.

Aqui a resposta se bifurca. De um lado, existem questões hierárquicas ou corporativas, enquanto de outro existem as questões pessoais.

Em termos hierárquicos, o principal ponto é a autonomia decisória, um valor profissional importante. Deixar de se cadastrar para uma chamada de preços ou de fazer uma remessa de valor solicitada pelo CEO pode ser interpretado como falta de autonomia ou "liderança" para o cargo.

É sempre bom lembrar que as empresas se frustram com aqueles que deslizam nas mãos de hackers, mas também se irritam com os que não se viram sozinhos.

Na esfera pessoal, a questão que se coloca é que a adoção espontânea de cautela com golpes baseados em engenharia social significa maior atenção e, portanto, redução na velocidade do trabalho, cujo aumento não será acompanhado por uma contrapartida financeira, mas, por pressão redobrada.

Uma decisão que poderia ser tomada em instantes passa a ser objeto de escrutínios que podem tomar o dia, o que pesa contra o funcionário, enquanto sua jornada se alonga.

Verdade seja dita, na maioria das empresas, subir demais o sarrafo da segurança é pessoalmente ruim, ainda que a TI e os gestores digam o contrário.

Em meu último artigo, procurei responder porque os ataques cibernéticos cinematográficos, que supostamente dariam o tom da guerra da Ucrânia, não haviam dado as caras até aqui. A resposta é que a principal estratégia hacker russa é a desinformação e não a disrupção tecnológica de plantas elétricas e afins, a qual está sendo conduzida com mísseis.

Dando um passo a mais no assunto, hoje discuti os princípios por trás dessa profusão de golpes digitais e ataques hackers que andamos sofrendo.

Eles são fundamentalmente baseados em engenharia social, ou seja, em facilitações geradas pelos próprios usuários, a partir do fato de que confiar é uma tendência mais naturalizada do que desconfiar, o que por sua vez traz custos profissionais e pessoais, ignorados por gestores e muitos especialistas em segurança.

Um ponto que eu não discuti é o que fazer.

De um lado, as indicações são óbvias: as empresas precisam incorporar os custos de uma subida na barra da segurança, criando e aplicando protocolos, treinando os funcionários e, sobretudo, incorporando o fato de que maior segurança significa fricção e fricção quer dizer menor velocidade produtiva.

Do outro lado, coloca-se o debate sobre o que fazer em relação aos resgates digitais. Vale a pena pagá-los? Seria importante bloquear o envio de criptomoedas para carteiras que não estão em exchanges com esquemas claros de combate à lavagem de dinheiro? Temos que repensar nossa relação com bancos de dados e afins? Vai pensando, depois voltamos nisso.