Na segunda-feira dia 20 de Agosto um homem se entregou à Polícia Federal em Palmas (TO). Ele era o último fugitivo de uma quadrilha de “bankers” que deu prejuízos da ordem de R$ 10 milhões a clientes de vários bancos. A prisão dele foi pedida dia 4 de Março deste ano pela Justiça Federal do Tocantins. Foi um mandado de prisão para oito pessoas e mandado de comparecimento para outras 11. Todas estavam registradas num inquérito da Polícia Federal sobre transações não autorizadas em contas bancárias de terceiros. Em outras palavras: roubo de credenciais bancárias. O grupo já contava com 520 dispositivos contaminados, disponíveis para futuras ações.
As investigações começaram com a queixa de um cliente da Caixa Econômica Federal, de cuja conta sumiram exatamente R$ 10.363,98 no dia 20 de abril de 2017. O dinheiro que evaporou da conta corrente foi utilizado para o pagamento de um boleto emitido contra um supermercado da cidade de Silvanópolis, no interior do Tocantins.
As primeiras perícias aconteceram no computador da vítima. Ali, os peritos da PF localizaram vários arquivos relacionados a malwares. Havia keyloggers e RATs, destinados a possibilitar o acesso remoto ao computador e proporcionando assim as condições para a prática de diversos tipos de fraudes bancárias.
Para análise do comportamento do RAT, os arquivos foram novamente executados em um ambiente controlado e assim foi possível descobrir que os dados capturados eram automaticamente encaminhados para o endereço http://frasesinteressantes2017.endoftheinternet.org. Protegido contra invasões e ataques DDoS, sofisticadamente organizado, esse site estava hospedado em um computador dos bankers e era localizável por meio de um DNS dinâmico (DDNS). Significa que foi possível publicar o site sem ter de dar informações a nenhum provedor de hospedagem. O que não é muito difícil. Mas principalmente havia muito mais controle sobre o site e sobre o que ele podia publicar – novamente sem ter de dar satisfação a ninguém.
A investigação continuou e os peritos começaram a monitorar o site para verificar quais IPs apareciam. Eles descobriram que a manutenção era feita a partir de IPs alocados a um cliente de um provedor de internet da cidade de Porangatu, em Goiás, praticamente na fronteira com o estado do Tocantins. Estava descoberto o endereço de parte dos cibercriminosos. Por meio dos nomes das pessoas que moravam nesse endereço, as investigações foram sendo ampliadas até chegarem ao principal especialista: Rodrigo Fernando Rosa, de Goiânia.
Segundo a Polícia Federal, Rosa entrou em contato com hackers baseados na Rússia, que forneceram os dados de centenas de milhares de pessoas (principalmente contas de email) e os disparadores de email (bulk mail) para o envio em massa de mensagens a um número indeterminado de usuários. Na caixa de correio de Rosa foram localizadas mensagens trocadas com empresas sediadas em Hong Kong que ofereciam serviços de envio de mensagens de texto (SMS) e Spam-SMS, para alcançar os usuários de mobile banking – nos celulares. As mensagens eram puro phishing. Sempre faziam referência a algum problema do destinatário e eram “assinadas” ora pelo Ministério Público Federal, ora pelos Correios, ora por um banco, nesse caso com o assunto “Cheque Devolvido”.
