A economia do Cybercrime
Já faz algum tempo que não vemos mais tantas notícias sobre invasões de websites (ou defaces, do inglês defacement) , assim como infecções em massa por vírus que causavam efeitos destrutíveis visíveis no computador do usuário a ponto de causar alarde geral.
Só em 2007, de acordo com o site de segurança Zone-H, houve uma queda de 37% no número de invasões de websites com o propósito de vandalizar a página principal (defacement). Esta é a primeira vez que ocorre uma queda no índice desde a sua criação no final dos anos 90.
O irônico é que esta queda gera mais preocupação do que alívio. O motivo é que a diminuição dos ataques visíveis (defaces) está acompanhada de um aumento dos ataques silenciosos (trojans, phishing, roubo de identidade). Só em 2007 a estimativa é que 8 bilhões de dólares tenham sido movimentados pela “indústria” do crime digital.
Esta mudança no perfil dos ataques surge como um resultado da profissionalização cada vez maior dos grupos de crime organizado com atuação digital. Naqueles idos tempos de não mais que alguns anos atrás, hackear, ou para ser mais preciso, crackear, era tido mais como uma forma de transgredir as regras sociais e prostestar, ou as vezes simplesmente fazer brincadeiras de gosto duvidoso para ganhar fama no sub-mundo digital.
Hoje em dia, os ataques virtuais são atividade econômica, com modelos de negócio sofisticados, e planos de negócio que deixam a invejar muitas empresas de atividade lícita. Já se chega a comparar a magnitude dos ataques virtuais ao tráfico de drogas. Embora existam divergências com relação a magnitude dos números, o fato é que a forma de organização e o modo de atuação compartilham diversos traços.
O Brasil, que já foi recordista mundial do número de defaces, hoje aparece no ranking do crime digital como terceiro do mundo. Parece clara a migração da atividade dos criminosos virtuais. Antes focados em atividades que se não causavam algum prejuízo, eram no mínimo de gosto duvidoso, nossos picaretas brazucas estão investindo bastante esforços para se profissionalizar. Minha impressão é que eles só não atingem o topo do ranking (liderado por Estados Unidos e Japão), porque a quantidade de dinheiro movimentada online no Brasil é muito menor que nos outros países que compõe o ranking, mas impressiona estarmos à frente de toda a Europa, por exemplo.
A escalada de crescimento desta modalidade de crime pode ser explicada por pelo menos dois fatores: a facilidade se atingir um grande número de vítimas com um investimento baixíssimo e a dificuldade de se punir este tipo de crime.
Nesta entrevista na IDG, onde se explica o funcionamento de um esquema de phishing (veja também How Fishers Work) vemos que com cerca de 300 dólares é possível comprar as ferramentas e listas de e-mail necessárias para atacar milhões de usuários. Não é necessário sequer ter conhecimento técnico sofisticado ou saber programar: boa parte dos phishers tem conhecimentos muito rudimentares e são eles próprios vítimas de phishing e scamming por outros phishers.
Com relação à dificuldade de se punir tais crimes, além das leis ainda não acompanharem as mudanças implicadas pelos avanços digitais (embora a equiparação do crime digital ao estelionato, tipificado no Artigo 171 do código penal), e dos desafios que a atuação internacional tão facilitada impõe, ainda há o fator adicional da alta segmentação dos criminosos no eco-sistema do phishing.
Há criminosos especialiados em vender listas de e-mail, outros em construir phising/rootkits, outros em alugar redes de computadores comprometidos por vírus (BotNets), outros em lavar o dinheiro obtido, usando uma intricada rede de mulas, usando por exemplo ofertas falsas de emprego e leilões virtuais como pretexto.
A expectativa dos especialistas é que ainda veremos um crescimento continuado desse tipo de crime até que as autoridades comecem a olhar com mais seriedade tais atos, e que sejam tomadas medidas duras contra este nicho do crime organizado.
Atualização em 2008/05/11
O Centro de Atendimento a Incidentes de Segurança (CAIS-RNP) montou um Catálogo de fraudes virtuais com análise das fraudes mais recentes e estatísticas dos ataques mais freqüentes. É de impressionar o baixíssimo nível de instrução dos spammers. Este aqui, tentando se aproveitar do interesse pelo escândalo do jogador de futebol Ronaldo, escreve imprensa como ‘empressa’ (!!!).
O pior é ver uma pessoa com baixo nível de instrução enganar gente muito bem instruída (graduados!) através de emails com links e fotos. A falta de informação sobre noções básicas de segurança de computador torna até mesmo alguns pós-doutores em potenciais vítimas.