Book Livros Biblioteca Hacker Universidade

Com R$ 1.000, hacker compra 1 milhão de identidades

Da Redação
14/12/2021

Se um criminoso digital investir R$ 1000 em um ataque de roubo de credenciais, conseguirá comprar no mercado ilegal uma base de dados com 1 milhão de identidades de correntistas de um banco.  O cálculo é da equipe do F5 Labs, divisão da F5 Networks que atua 24×7 para identificar tendências e ameaças, que construiu, a partir de análises de atividades criminosas digitais em todo o mundo, uma fórmula que resume o modelo de negócios dos hackers. “Essa equação revela para CISOs, CIOs e gestores de negócios o ROI [retorno do investimento] que gangues digitais obtém ao violar os sistemas da organização”, explica Udo Blücher, engenheiro de soluções da F5 Latam. 

Segundo ele, os valores de bases de dados desse tipo são conhecidos de todo o mercado, com pequenas variações. Após adquiri-las, o próximo passo dessas gangues será utilizar bots espúrias para realizar automaticamente milhares de tentativas de acessos indevidos. “A meta do atacante é identificar as credenciais válidas entre as 1 milhão de identidades roubadas. Pode acontecer de o criminoso conquistar um ‘match’ com mil contas desse banco. Isso significa uma taxa de sucesso de 0,001 em relação à amostra inicial de dados”, explica Blücher. Ele observa, porém, que, se o cibercriminoso extrair R$ 10,00 de cada uma dessas contas, conseguirá, com facilidade, obter R$ 10 mil nessa operação.

A fase de ataque, afirma Blücher tem custo zero para a gangue, que escraviza redes de terceiros para tentar o acesso às contas bancárias. “Se subtrairmos o custo da operação [o investimento inicial de R$ 1 mil] veremos que o lucro líquido foi de R$ 9 mil. Ao multiplicarmos o resultado de R$ 9mil por 100 [de forma a conseguir uma porcentagem], concluímos que o ROI de toda a operação chegou a 900%”. Taxas de ROI como essas, observa, são irreais no mundo dos negócios.

Veja isso
Cibercrime custa cerca de US$ 1,8 mi por minuto às empresas
Cibercrime tem US$ 1 milhão para comprar zero days

Pesquisa da corretora norte-americana Buy Shares, de dezembro de 2020, mostra que, entre 2015 e 2020, o ROI médio gerado por ações de gigantes como Amazon, Netflix, Microsoft, Apple, Facebook e Alphabet foi de 352.23%.

Para Blücher, a equação divulgada no estudo da F5 (veja abaixo) dá corpo a uma realidade do mercado global de cibersegurança. “Trata-se de uma indústria paralela que cresce com a crise econômica, existindo num formato de ecossistema organizado entre sofisticadas gangues desenvolvedoras de novos ataques e atacantes menos experientes que compram ferramentas no mercado negro.”

Formula ROI de gangues digitais

Uma das estratégias mais rentáveis diz respeito a fraudes digitais, segundo ele. “Existem fóruns globais de criminosos digitais que só discutem esse ponto, compartilhando estratégias e tecnologias para conseguir estar passos à frente dos times de cyber segurança e combate à fraude das organizações.”

Para o engenheiro de soluções da F5 Latam, está havendo uma migração das gangues digitais de ataques “comoditizados” para fraudes mais rentáveis. Levantamento divulgado pela consultoria antifraudes Clearsale no início de deste mês mostra que, no Brasil, durante a Black Friday, portais de e-commerce receberam 119.318 pedidos de compra potencialmente fraudulentos. No mesmo período em 2020, a marca ficou em 51.553. Números como estes são corroborados por uma pesquisa da Juniper Research que indica que, até 2024, em todo o mundo, as fraudes digitais devem causar prejuízos de US$ 200 bilhões.

Na visão de Blücher, para fazer frente à essa realidade é necessário atuar em três frentes: a inteligência digital — inteligência artificial e machine learning —, a experiência do profissional antifraude e a constante educação de colaboradores e consumidores para que consigam discernir as armadilhas de engenharia social e evitar que suas identidades sirvam ao crime.

Compartilhar: