Os dados de milhões de usuários são coletados e revendidos todos os dias por meio do mercado negro que se estabelece na internet. E, diferente do que muitos podem pensar, eles não custam muito aos bolsos dos criminosos, de acordo com um relatório realizado pela Intel Security.
Intitulado Hidden Data Economy, o relatório fornece exemplos de como diferentes tipos de dados roubados estão sendo oferecidos em pacotes para cibercriminosos e os valores de oferta para cada tipo de dados.
O McAfee Labs do Grupo Intel Security analisou os valores de dados de cartões de crédito e débito roubados, credenciais de contas, serviços de transferências bancárias sigilosas, credenciais de serviços de pagamentos on-line, de serviços de conteúdo premium, de redes corporativas, de contas de programas de fidelidade e credenciais de conta de leilão on-line.
“Como qualquer economia não regulamentada e eficiente, o ecossistema do cibercrime tem evoluído rapidamente para oferecer muitas ferramentas e serviços a qualquer um que aspire por um comportamento criminoso”, relatou Raj Samani, CTO da Intel Security EMEA. “Esse mercado de ‘cibercrime como serviço’ tem sido o principal impulsionador para a explosão no tamanho, na frequência e na gravidade dos ataques cibernéticos. O mesmo pode ser dito da proliferação de modelos de negócios criados para vender dados roubados e fazer com que o cibercrime compense.”
Por exemplo: é possível adquirir um pacote com números de cartões de crédito e débito nos Estados Unidos por US$ 30. Para os países localizados na União Europeia, esse valor sobre para US$ 45. Mas esse valor é para se, juntamente com os números, também houver informações como nomes, data de nascimento, senhas (inclusive para acesso on-line) e telefones – todas as informações necessárias para que o cibercriminoso possa fazer muito mais do que desviar o dinheiro da conta bancária.
Cartões de pagamento
Dados de cartões talvez sejam os mais conhecidos tipos de dados roubados e vendidos. Os pesquisadores do McAfee Labs descobriram uma hierarquia de valores na forma como os dados roubados são empacotados, calculados e vendidos no mercado negro.
Uma oferta básica inclui um número válido gerado por software que combina um número de conta primário (PAN), uma data de validade e um número CVV2 (código de segurança).
Os vendedores referem-se a uma combinação de número válido como “Aleatório” (os valores variam de US$ 5 a US$ 8 nos EUA, enquanto que em outros países como Reino Unido, Canadá e Austrália o valor fica entre US$ 20 e US$ 25). Geradores de número de cartão de crédito válido podem ser comprados ou encontrados on-line gratuitamente. Os preços sobem quando a oferta inclui informações adicionais, classificadas como “Fullzinfo”, que permite aos criminosos fazer mais coisas com os dados principais.
“Um criminoso em posse do equivalente digital de um cartão físico pode fazer compras ou saques até que a vítima entre em contato com a empresa emissora do cartão e conteste as cobranças,” continuou Samani. “Fornecer a esse criminoso amplas informações pessoais que podem ser usadas para ‘verificar’ a identidade do titular de um cartão, ou pior, permitir que o bandido acesse a conta e altere essas informações faz com que o potencial de um grande prejuízo financeiro aumente consideravelmente.”
Contas de serviços de pagamento
Os valores para as contas de serviço de pagamento on-line contratadas parecem ser ditados exclusivamente pelo saldo em conta, de acordo com a Intel Security. Isso se deve, provavelmente, a suas utilizações e cenários limitados para explorar. Estima-se que credenciais de login para contas com saldo entre US$ 400 e US$ 1 mil custem entre US$ 20 e $50, enquanto que as credenciais de login de contas com saldo entre US$ 5 mil e US$ 8 mil variam de US$ 200 a US$ 300.
Credenciais de login de serviços bancários
Criminosos cibernéticos podem adquirir credenciais de login de serviços bancários e serviços que permitam transferir fundos roubados através de fronteiras internacionais de modo indetectável. O McAfee Labs encontrou credenciais para uma conta com US$ 2,2 mil de saldo por US$ 190.
Credenciais de login bancário, com a possibilidade de transferir fundos para bancos dos EUA de modo indetectável, variavam de US$ 500 para uma conta com saldo de US$ 6 mil e US$ 1,2 mil para uma conta com saldo de US$ 20 mil. Transferências para o Reino Unido variavam de $700 para uma conta com saldo de US$ 10 mil e US$ 900 para uma conta com saldo de US$ 16 mil.
Serviços de conteúdo premium on-line
O relatório também avalia os preços do mercado negro para credenciais de conta de serviços de conteúdos on-line, tais como streaming de vídeo on-line (US$ 0,55 a US$ 1), serviços de streaming de canais a cabo premium (US$ 7,50), serviços de histórias em quadrinhos premium (US$ 0,55) e streaming de esportes profissionais (US$ 15). Esses preços relativamente baixos sugerem que os criminosos cibernéticos têm multiplicado as operações automáticas de roubo para tornar os seus negócios rentáveis.
Fidelidade, contas comunitárias
Alguns serviços on-line, tais como as credenciais do programa de fidelidade de um hotel e contas de leilões on-line, parecem ser alvos de baixo valor, mas os pesquisadores descobriram que essas credenciais também são oferecidas para venda no mercado negro. Aparentemente, elas permitem que os compradores realizem compras on-line simulando serem suas vítimas. Os pesquisadores do McAfee Labs encontraram uma conta de fidelidade de uma grande rede de hotéis com 100 mil pontos à venda por US$ 20 e uma conta comunitária de um leilão on-line de alta reputação ao valor de US$ 1,4 mil.
