O Que Roubam dos Nossos
Computadores?
Os computadores tornaram-se parte integral das nossas vidas. Todos os dias
pessoas e organizações usam-nos para guardar dados que representam um
dado tipo de propriedade. Apesar de a maioria das pessoas ter consciência que
tem que tomar conta das sua propriedade física, já em relação à propriedade
virtual isso não acontece de todo. E portanto é como se não considerassem
que os dados dentro do seu computador são sua propriedade e como tal
devem merecer atenção e ser protegidos.
A maioria dos utilizadores é indiferente ao facto que algures na Internet, uma
pessoa possa estar interessada nos dados guardados no seu computador ou
mesmo no esforço que essa pessoa possa estar a fazer para os consultar.
Estes utilizadores não só acreditam que não tem nada de interesse para os
cyber criminosos, como ainda por cima se creem invulneráveis ao malware.
O objectivo deste artigo é dar uma a perspectiva do valor da propriedade que
está nos nossos computadores mas do ponto de vista dos criminosos.
O crime cibernético evoluiu bastante nos últimos anos, com novas tecnologias
sendor criadas e aplicadas para esse efeito. Como resultado, o crime
cibernético já não tem o perfil do crime levado a cabo por jovens amadores,
mas tornou-se num negócio lucrativo desenvolvido por grupos altamente
especializados.
Estima-se que durante o ano de 2005, os criminosos na Internet tenham
gerado entre dezenas a centenas de biliões de dólares, um valor que
ultrapassa largamente os valores gerados pela indústria de anti-vírus. Claro
que nem todo o dinheiro resultou de ataques directos a utilizadores ou
organizações, mas seguramente contou para uma parte significativa desse
valor. A restante parte resulta da venda de serviços com base em dados ilícitos
retirados dos computadores dos utilizadores, o que significa que os criminosos
veem não só valor nos nossos dados, como também sabem como explorar
comercialmente esses dados.
Afinal o que temos no computador tem valor comercial para terceiros?
O que é realmente roubado?
Que tipo de propriedade virtual tem interesse para um cyber ladrão?
Um estudo aos programas maliciosos conduzido pelos analistas de vírus da
Kaspersky Lab mostrou os quatro tipos de propriedade virtual que são
frequentemente roubados. Deve ser realçado no entanto que os assantantes
cibernéticos não se limitam à informação listada abaixo.
A informação mais frequentemente roubada aos utilizadores inclui:
•
dados necessário para aceder a uma gama de serviços financeiros
( bancos electrónicos, serviços de cartões, dinheiro electrónico), sítios
de leilões online tais como eBay, etc;
•
palavras chave de sistemas de mensagens instantâneas (MSN, Yahoo,
etc), skype e sítios Web;
•
Palavras chave para caixas de correio electrónico ligadas a contas ICQ,
assim como de todos os endereços electrónicos encontrados no
computador;
•
palavras chave para jogos em linha, entre os quais o mais famoso é
Legend of Mir, Gamania, Lineage and World of Warcraft.
Como é roubada esta informação
Na maioria dos casos, os cyber criminosos usam programas maliciosos
dedicados ou métodos de engenharia social para tirar estes dados dos nossos
computadores. Uma combinação dos dois métodos pode ser utilizada para
aumentar a eficácia dos roubos.
Começaremos por ver como um programa malicioso é projectado para: acções
de espiar os utilizadores (por exemplo gravar as teclas que o utilizador
carregou), para procurar alguma informação em ficheiros do utilizador ou nos
registos do sistema. Os dados recolhidos por aquele programa malicioso são
depois enviados ao autor do programa, que pode depois fazer o que bem
entender dessa informação.
Por exemplo a Kaspersky Lab classifica esses programas como Trojan-Spy ou
Trojan-PSW. O gráfico da figura 1 apresenta o o incremento de programas
desta categoria na Internet.
Figure 1. Crescimento do número de programas maliciosos projectados
para roubar dados.
Programas de spyware chegam às máquinas das vítimas de muitas formas:
■
quando o utilizador visita um site malicioso
●
através de mensagens de correio,
●
através de chats,
●
programas de instant messaging, etc.
Em muitos casos métodos de engenharia social são usados, para além dos
programas maliciosos, de forma a que os utilizadores se comportem tal como
os criminosos querem. Um bom exemplo é uma variante do TrojanPSW.Win32.LdPinch, um trojan comum que rouba palavras chave para
aplicações de instant messaging, caixas de correio, recursos FTP e outras
informações. Depois de fazer o seu trabalho no computador o programa
malicioso envia uma mensagem do género representado abaixo para a
próxima vitima, claro que em nome do utilizador infectado:
"Dá uma vista de olhos nisto
<link para um programa malicioso>
Fantástico :-)
A maioria dos destinatários clicam no link e lançam o Trojan. Isto devido ao
facto que a maioria das pessoas fazem confiança nas mensagens enviadas via
ICQ ou MSN, e não desconfiam que o link não tenha sido enviado pelo amigo
mas sim um programa malicioso instalado no computador do amigo. É assim
que o Trojan se começa a propagar. Depois de infectar o computador o trojan
vai procurar todos.endereços da lista de contactos e enviar-se para eles todos,
ao mesmo tempo que envia os dados roubados para o autor.
O que é preocupante é que hoje em dia, mesmo criadores de vírus sem
experiência podem escrever programas e usá-los combinados com métodos de
engenharia social. Em baixo na figura 2, está um exemplo, escrito por alguém
que nem sabia escrever bem em lingua Inglesa – Trojan-Spy.Win32.Agent.ih.
Quando executado, o Trojan provoca o aparecimento da janela de diálogo.
Figure 2. Janela de diálogo lançada pelo Trojan-Spy.Win32.Agent.ih
O utilizador é convidado a pagar só um $1 por um serviço supostamente
prestado pelo operador de Internet, um caso tipico de engenharia social a
funcionar:
•
ao utilizador não é dado tempo para pensar no assunto, o pagamento
tem que ser feito exactamente no dia em que ele vê a mensagem ou
perde a oportunidade.
•
O utilizador é convidado a pagar um valor muito baixo (neste caso
apenas $1). Isto incrementa o número de pessoas que pagarão. Poucas
pessoas farão um esforço para obter informação adicional se lhe
pedirem só um dólar;
Decepção é usada para motivar o utilizador a pagar: neste caso é dito
ao utilizador que ou ele paga ou o acesso à Internet será cortado;
de forma a minimizar a suspeição, a mensagem parece vir de um
administrador de sistemas do ISP. Espera-se que o utilizador pense que
foi o administrador de sistemas que escreveu um programa através do
qual se faz o pagamento precisamente para poupar tempo aos
utilizadores. Adicionalmente, será lógico o ISP conhecer o endereço de
correio electrónico da vítima.
•
•
A primeira coisa que o programa malicioso faz é não dar muitas opções ao
utilizador e fazer com que ele introduza os dados do seu cartão de crédito. Se
não houver outra opção um utilizador obediente clicará no botão “Pagar com
cartão de crédito”. A janela de diálogo mostrada é do tipo daquela apresentada
na figura 3:
Figure 3. Janela de diáogo para obter informação do cartão de crédito mostrada
pelo Trojan-Spy.Win32.Agent.ih
Claro que, mesmo que o utilizador preencha os dados correctamente em todos
os campos, e clique em “Pagar 1$” nenhum dinheiro será levantado. Mas os
dados do cartão de crédito serão enviados via email para os criminosos
cibernéticos que saberão como gastar mais de um $1 com esses dados.
Os métodos de engenharia social são frequentemente usados
independentemente dos programas maliciosos, especialmente nos ataques de
phishing (dirigidos a clientes de bancos com serviços online). Os utilizadores
recebem mensagens que supostamente seriam enviadas pelo próprio banco.
Tais mensagens afirmam que a conta bancária do cliente foi bloqueada, e que
o utilizador deve clicar no link na mensagem e introduzir os dados da sua
conta, por forma ao banco poder desbloquear a conta rapidamente. O link onde
o utilizador entra é exactamente igual ao endereço Internet do banco.
Realmente este link vai é direitinho à toca do lobo (site montado pelo cyber
criminoso). Se os dados introduzidos forem os correctos, o criminoso mais
tarde entrará no banco com a conta do utilizador, para fazer uma transferência
ou algo parecido. A figura 4 mostra um email de um ataque de phishing tipico.
Figure 4. Mensagem de phishing dirigida a clientes do Millenium BCP
Mensagens similares tem vindo a ser enviadas em nome de várias
organizações, tais como serviços de suporte, serviços sociais, etc.
Contudo, os criminosos não estão só interessandos em informação de cartões
de crédito. Eles interessam-se também pelo endereços de correio electrónico
que façam parte da lista de contactos do utilizador. Como se roubam estes
endereços? Com programas maliciosos classificados como SpamTools na
listas de vírus da Kaspersky Lab. Estes programas varrem as máquinas da
vitimas à procurar de endereços de mail, os endereços colhidos são filtrados de
acordo com critérios tais como, evitar que entre esses endereços apareçam
endereços de companhias de antivírus. Os endereços obtidos são enviados
para o autor do programa malicioso que mais tarde irá sem dúvida vender
esses endereços a Spamers, ou mesmo infectá-los com outros Trojans
enviando-lhe uma mesagem qualquer.
Existem muitos outros meios de plantar Trojans nos computadores dos
utilizadores, alguns dos quais são mesmo inacreditáveis. Por vezes até
pessoas insuspeitas já participam nestes métodos. Por exemplo, existem casos
em que os crimonosos pagam aos administradores de sistemas de companhias
com sítios web, para facilitar a coloção aí programas maliciosos para serem
descarregados por quem os visitar. E o incrível é que os criminosos
apresentam mesmo a estes administradores o que eles chamam de um
“programa de parceiros”. Assim o administrador de sistema abre uns buracos
no seu servidor Web que vão permitir ao criminoso colocar aí os Trojans que os
visitantes do sítio irão descarregar. Como resultado do acordo, o administrador
de sistemas receberá por $61 por cada mil clientes infectados.
Um auditoria a um sistema destes determinará que havia um vulnerabilidade no
sítio que permitiu aos criminosos entrar, quando na realidade os criminosos já
nem são capazes de atacar um servidor, e limitam-se simplemente a partilhar
um pouco os seus lucros com gente do lado honesto, que possa ser
corrompida com muito menos trabalho.
Conclusões
Como conclusão diria que os dados que temos nos nossos computadores, ou
se quiserem a nossa propriedade virtual interessa muito aos criminosos. Eles
ganham muito dinheiro com isso, e por ventura valeria a abordar num futuro
próximo o que estes criminosos fazem com o que roubam dos nossos
computadores. Para onde vão os nossos dados, como são convertidos em
dinheiro os nossos dados de forma indirecta, porque a directa é mais ou menos
óbvia. Se ficarem com os nossos dados do cartão de crédito é óbvio que no
mínimo os simpáticos cyber ladrões irão fazer umas compritas com eles...