A actividade criminosa na internet é tão lucrativa e segura no Brasil que os piratas não têm medo de mostrar a cara. Os gangues brasileiros negoceiam através de canais no IRC, usam o Twitter para comunicar ou controlar trojans e agora estão a internacionalizar-se. A má notícia é que Portugal é um dos alvos. A boa notícia é que os consumidores podem proteger-se se tiverem antivírus e software actualizados e não caírem em esquemas de engenharia social. Durante o primeiro encontro de analistas da Ibero-America em Cancun, México, o analista de malware da Kspersky Fabio Assolini contou ao Dinheiro Vivo o que se está a passar no Brasil. Os hackers não têm noção de que isto lesa cidadãos comuns?Há um sentimento de Robin Hood, roubar de quem tem dinheiro porque ele não tem. A segunda coisa é o sentimento de impunidade. Porque é que é tão público assim? O sentimento de impunidade do cibercriminoso brasileiro é gigante. E faz com que ele coloque tudo isso publicamente. Há um vídeo no YouTube que é o rap do cartão de crédito clonado. Inclusive eles colocam fotos porque não têm medo de ser presos. Quando um deles ataca um banco português, a policia não pode fazer nada? Será necessário haver cooperação entre as policias dos dois países. Mas seria uma operação mais complicada. Mesmo que a requisiçao venha de uma policia de fora, não há lei, como é que o Brasil vai prender?Tem conhecimento dos danos financeiros causados nos bancos portugueses pelos ataques brasileiros?Não chegámos a conversar com os bancos portugueses. Mas os ataques estão crescentes. Isso é um sinal de que são lucrativos. Envolve o uso de phishing e de executáveis que vão roubar os dados. Como funcionam esses ataques?O criminoso prepara uma mensagem falsa usando o nome do banco. O utilizador recebe a mensagem e clica no link para reactivar a conta, ou porque há um novo procedimento de segurança e é preciso reinstalar o plug-in. O arquivo que será oferecido é o cavalo de Tróia. É um ataque de engenharia social, phishing e um trojan, que depois de instalado no PC vai roubar as credenciais assim que este acede à página do banco. O que se está a passar com os ataques em Portugal?Estão a crescer, e isso é um indicador de que os criminosos estão a obter lucros. Porque se não tivessem lucros iriam parar com os ataques, ou então iriam diminuir.Os ataques são indiscriminados?Não. Quando o ataque é dirigido a utilizadores em Portugal, os criminosos disparam as mensagens falsas para emails que terminam em .pt ou .es para Espanha. Porque assim eles têm a certeza que o alvo vive no país e vai entender a mensagem. O que podem os utilizadores fazer?Desconfie de todas as mensagens que receber usando o nome de bancos. Os bancos não enviam emails e jamais pedirão para instalar seja o que for. Viram ataques a um banco específico em Portugal?Não, não foram ataques a um único banco, foram mais. Eu vi ataques a bancos em Cabo Verde. Tudo isto mostra que eles estão a internacionalizar os ataques.Quando começaram a notar estes ataques a Portugal?Esses ataques de trojans brasileiros contra bancos na Europa recomeçaram recentemente, de Junho para cá.Os brasileiros já são os maiores produtores destes ataques?Em 2010, 36% de todos os trojans bancários a circular no mundo foram criados no Brasil. A característica dos brasileiros é atacar no Brasil, mas isso está a mudar. Eles agora querem atacar os vizinhos e os irmãos em Portugal. Como é que vão buscar o dinheiro que roubam em Portugal?Para fazerem a transferência do dinheiro de contas na Europa para o Brasil, eles precisam de mulas de dinheiro, que no Brasil chamamos laranjas.Há alguma explicação para isso? Portugal está falido.A minha teoria é que isto é um ensaio para que eles direccionem os ataques a outras regiões na Europa. Usam Portugal porque fala a mesma língua. A língua é igual mas a escrita é diferente, os criminosos adaptam ao português de Portugal?Depende do criminoso. Tem aquele que cria um ataque muito bem feito, sem erros gramaticais. E depois temos o script kid, o novato, que produz a mensagem cheia de erros de português. Já vi mensagens de banco que são perfeitas. Esses trojans vão por email, Twitter ou Facebook?O cibercriminoso brasileiro é muito criativo na hora de disseminar um ataque. Ele vai por email, ele utiliza redes sociais e começa a usar o Facebook, no Brasil estão a migrar do Orkut. Como é que as mulas são recrutadas?O brasileiro desconfia, não recruta qualquer um. Ele recruta geralmente pessoas da família, esposa, primos, amigos e por aí vai. Ele não confia num desconhecido. Os ataques são recentes e não temos muitos dados, mas creio que estão a usar as mulas enviando dinheiro pela Western Union. Não é possível seguir o rasto?Depende do profissionalismo. Quem ataca fora tem conhecimento e transfere para várias contas antes de chegar na dele e usa mais que uma mula. Ao invés de fazer transferência directa, faz compras em lojas online, que manda entregar numa caixa postal. As primeiras compras são de valores pequenos e não necessariamente bens físicos, como créditos no Skype.Qual é o perfil destes criminosos?Bastante heterogéneo, mas geralmente homens, jovens, alguns universitários. A idade varia de 20 a 35 anos, alguns deles formados. Estão espalhados por todo o Brasil, mas há um Estado com uma concentração maior, o Pará, provavelmente pela ausência de uma presença directa do Governo lá. A maioria é autodidacta.Mas também já não é preciso ser um génio da informática.Não, há os programadores e há os que não sabem nada disso, compram um codigo fonte e pronto. Nos canais IRC eles negoceiam tudo. Quantos Rauls existem?Um canal IRC tem uma média de frequência de 150 pessoas diariamente.A actividade tem algum pico?Sim, há épocas do ano em que eles trabalham mais. A actividade é maior durante as férias escolares no meio do ano, Julho e Agosto. Nesse período a actividade maliciosa é maior, porque muitos cibercriminosos sao adolescentes e jovens que ainda estudam. Então quando estão de férias regressam ao cibercrime. Também se nota um pico na época de Natal e Janeiro. Em Fevereiro há uma queda brusca - Carnaval. Logo após há uma retomada da actividade maliciosa, porque eles gastaram dinheiro no Carnaval e precisam recuperar.Também há negócios entre criminosos, que vendem e compram cartões roubados e outros itens?Sim, e vendem de tudo. Desde pacotes com endereços de email a bases de dados e recentemente começaram a negociar milhas aéreas. Eles usam ataques de phishing, por exemplo a dizer que ganharam mil pontos. A pessoa segue o link, regista-se e já está. O que eles fazem é usar os pontos para emitir passagens aéreas, em nome de laranjas ou usando identidades falsas. Os criminosos então vendem as passagens aéreas. Esse roubo de milhas está relacionado com o mercado de documentos falsos, é muito fácil adquirir um. Usam nomes comuns, como João de Deus. Como é que descobriram este esquema?Tem sido muito divulgado nos canais IRC, e é coisa recente. Há uns meses demos com membros do gangue do trojan Zeus a atacar contas de milhas na Alemanha. Logo depois os cibercriminoso brasileiros começaram a usar a mesma técnica. Não é comum as pessoas do consultarem o saldo de milhas. E o ataque é tão bem feito que o criminoso muda o email de registo para que o email de confirmação da emissão dos bilhetes não vá parar à caixa da vitima. Qual é o tipo de phishing em que as pessoas caem mais?Não há estudos sobre isso, mas tenho a percepção de que alguns tipos de phishing são muito recorrentes. Eles continuam por um longo período. Isso é um sinal claro de que aquele tipo de phishing tem resultado. No Brasil o que dá muito resultado é o esquema da intimação judicial. Outro tipo de ataque comum é o spear phishing, personalizado, que traz o nome completo e o número de identificação. A taxa de sucesso é alta.