Wprowadzenie

Brazylijskie podziemie cyberprzestępcze skupia jednych z najbardziej aktywnych i twórczych sprawców cyberprzestępczości na świecie. Podobnie jak w przypadku ich kolegów z Chin oraz Rosji, ich cyberataki charakteryzują się silnym akcentem lokalnym. Aby można było je w pełni zrozumieć, trzeba spędzić trochę czasu w tym państwie i zrozumieć jego język oraz kulturę.    

Brazylijskie podziemie generuje sporo cyberzagrożeń - głównie trojanów bankowych oraz kampanii phishingowych. Tego rodzaju ataki mogą być dość kreatywne i mają odzwierciedlać lokalny krajobraz zagrożeń. W 2014 r. Brazylia została uznana za najbardziej niebezpieczne państwo pod względem ataków finansowych, a brazylijski trojan bankowy, rodzina ChePro, uplasował się na drugim miejscu wśród najbardziej rozpowszechnionych trojanów, zaraz po trojanie ZeuS.

Państwa najbardziej dotknięte zagrożeniami ze strony trojanów bankowych w 2014 r.

 

Podobnie wygląda sytuacja dotycząca ataków phishingowych - również pod tym względem Brazylia plasuje się na pierwszym miejscu na świecie. Nie jest to żadną niespodzianką, ponieważ dość dużo marek i firm figurujących na liście tych najczęściej atakowanych pochodzi z Brazylii.  

Państwa najczęściej atakowane w kampaniach phishingowych w 2014 r.

 

Brazylijscy cyberprzestępcy przejmują techniki, które zaimportowali z Europy Wschodniej, wykorzystując je w lokalnym szkodliwym oprogramowaniu w celu przeprowadzania serii rozproszonych geograficznie ataków. Obejmują one masowe ataki na dostawców usług internetowych oraz modemy i urządzenia sieciowe lub na popularne, krajowe systemy płatnicze, takie jak Boletos.

Aby wyjaśnić, co się dzieje w brazylijskim podziemiu cyberprzestępczym, chcemy zabrać was w podróż do ich świata, aby zbadać ich strategię ataków oraz stan umysłu. Przyjrzymy się czarnemu rynkowi kradzionych kart kredytowych oraz danych osobistych, nowym technologiom wykorzystywanym w lokalnym szkodliwym oprogramowaniu oraz sposobom współpracy z przestępcami w innych państwach.      

Dla wielu osób Brazylia to kraj słynący ze swojej kultury, plaż, samby oraz karnawałów. Dla ekspertów ds. bezpieczeństwa jest to również znaczące źródło trojanów bankowych.

Jak Bonnie i Clyde: wieść szalone życie

Pierwszym wrażeniem, jakie możemy odnieść, jest to, że brazylijscy przestępcy lubią przechwalać się, jak dużo pieniędzy ukradli i jak wysoka jest dzięki temu ich stopa życiowa. Porównują się do Robina Hooda: okradają "bogatych" (w ich oczach są to banki, systemy finansowe oraz rząd) na rzecz "biednych" (ich samych). Jest to powszechnie panujący pogląd: przestępcy ci wierzą, że okradają nie zwykłych ludzi, którzy korzystają z bankowości online, ale banki, ponieważ, według prawa lokalnego, instytucje finansowe są zobowiązane zwrócić ofierze wszelkie pieniądze, które utraciła na skutek kradzieży.   

W Brazylii istnieje powszechne poczucie bezkarności, zwłaszcza że do niedawna cyberprzestępczość nie była definiowana w prawie brazylijskim jako działalność przestępcza. Ustawa Caroliny Dieckman (od słynnej aktorki, której zdjęcia w negliżu zostały skradzione z jej komputera) została zatwierdzona w 2013 r., jednak nie jest szczególnie skuteczna jeśli chodzi o karanie cyberprzestępców, ponieważ kary są zbyt łagodne, a system sądowy działa bardzo opieszale. Bardzo często zdarza się, że osoby atakujące są aresztowane trzy lub czterokrotnie, a następnie zostają wypuszczone na wolność bez wniesienia oskarżenia. Sprawę dodatkowo pogarsza brak skutecznej legislacji umożliwiającej zwalczanie cyberprzestępczości w połączeniu z dużą korupcją wśród policji.          

O tym, jak bardzo cyberprzestępcy czują się bezkarni wobec władz, świadczy fakt, że w sieci  bardzo łatwo można znaleźć ich filmy i zdjęcia lub wejść na ich profile na portalach internetowych. Wciąż można zobaczyć, jak przechwalają się skradzionymi pieniędzmi, żyjąc rozrzutnie, płacąc za prostytutki w Rio podczas karnawału itd.

Brazylia zyskała sobie światową sławę miejsca, w którym dekadenckie życie wiedzie wiele typów pokroju Bonnie i Clyde'a. Jak dużo pieniędzy kradną? Dość sporo. Według Brazylijskiej Federacji Banków (FEBRABAN), w 2012 r. banki lokalne straciły 1,4 miliarda reali brazylijskich (około 500 milionów dolarów amerykańskich), płacąc za oszustwa popełnione za pośrednictwem bankowości online, przez telefon, lub poprzez klonowanie kart kredytowych.      

Potencjalna liczba ofiar cyberprzestępczości w Brazylii jest spora: państwo to posiada ponad 100 milionów użytkowników internetu, 141 milionów obywateli uprawnionych do korzystania z brazylijskiego systemu głosowania elektronicznego oraz ponad 50 milionów osób, które codzienne korzystają z usług bankowości internetowej.  

Pojawiają się filmy online, w których wysławiane jest życie przestępcze, np. piosenka pt. "Hacker's Rap". Jej słowa opiewają życie cyberprzestępców, którzy wykorzystują swoją wiedzę do kradzieży kont bankowych oraz haseł. Odsyłacz do filmu: https://youtu.be/ID2GUCqUhH0.

Słowa brzmią mniej więcej tak: "Jestem wirtualnym terrorystą, przestępcą; w Internecie szerzę terror, mam nerwowe palce; zaatakuję twój komputer, a więc uważaj; "lekkoduchu", teraz twoje hasła są moje".

Podobnie skimmerzy (osoby podrabiające karty kredytowe) opiewają i obnoszą się ze swoimi zyskami w utworze "Cloned credit card rap", który również jest dostępny w kanale Youtube: https://www.youtube.com/watch?v=Em8WXhVgi0U.

Słowa utworu zawierają fragment: "Pracujesz czy kradniesz, sklonowaliśmy karty, Jestem 171, profesjonalny oszust, który również klonuje karty, okradamy bogatych, jak Robin Hood, jestem Raul..."

Niedawno Brazylijska policja federalna aresztowała właściciela wartej trzy miliony [$R] luksusowej rezydencji zakupionej ze środków skradzionych przy użyciu szkodliwego oprogramowania Boleto. W Brazylii cyberprzestępczość opłaca się i to bardzo.

C2C: Cybercrime to Cybercrime

Jak w przypadku innych ugrupowań podziemia, brazylijscy cyberprzestępcy są zorganizowani w małe lub średnie grupy, z których każda posiada wiedzę ekspercką, sprzedając sobie nawzajem swoje usługi lub współpracując ze sobą. Powszechnie występują również "niezależni" przestępcy, ogólnie jednak większość musi współpracować, aby działać w tym biznesie.    

Najpopularniejsze kanały wykorzystywane przez brazylijski półświatek w celu negocjowania, kupowania i sprzedaży usług lub szkodliwego oprogramowania to kanały IRC (Internet Relay Chat). Niektórzy z nich wykorzystują również portale społecznościowe, takie jak Twitter oraz Facebook, jednak większość najważniejszych treści jest ukrytych wewnątrz kanałów IRC oraz na zamkniętych forach, do których dostęp wymaga zaproszenia lub poparcia ze strony aktualnego członka. Za pośrednictwem takich czatów IRC przestępcy wymieniają dane dotyczące ataków, wynajmują swoje usługi oraz sprzedają dane osobiste ze zhakowanych stron internetowych, podczas gdy programiści kodujący sprzedają swoje szkodliwe oprogramowanie, a spamerzy swoje bazy danych i usługi. Są to faktyczne operacje C2C (Cybercrime to Cybercrime). Dwie najpopularniejsze sieci IRC wykorzystywane do takiej aktywności to FullNetwork i SilverLords.         

Jednak bardzo powszechnym problemem dotykającym ugrupowanie przestępcze są tzw. "calote", czyli dłużnicy - osoby, które okradają złodziei, nabywają usługi przestępcze lub oprogramowanie na czarnym rynku, nie płacąc za nie sprzedającemu. Zemsta następuje szybko i przybiera jedną z dwóch postaci. Pierwsza polega na upublicznieniu prawdziwej tożsamości takiej osoby w celu zwrócenia na nią uwagi organów ścigania. Druga polega na dodaniu jej nazwiska do dużej bazy reputacji obejmującej dobrych i złych dłużników. "Czarna" i "biała" lista pozwala "społeczności" zabezpieczyć się poprzez sprawdzenie reputacji klienta, zanim zacznie robić z nim interesy.       

System sprawdzania reputacji z Fullnetwork.org: ochrona przed nieuczciwymi dłużnikami

Ujawnienie tożsamości cyberprzestępców oraz inne ataki na konkurencyjne gangi to powszechne praktyki w brazylijskim podziemiu - niektóre grupy świętują nawet aresztowanie innych cyberoszustów. Tak było w przypadku Alexandre'a Pereira Barrosa, odpowiedzialnego za sieć SilverLords. On, jak również trzech innych cyberprzestępców, został aresztowany przez Brazylijską policję federalną w kwietniu 2013 r. po serii oszustw, których celem były systemy finansowe, klonowanie kart kredytowych, ataki haktywistów itp. Ugrupowanie to posiadało punkt loteryjnej sprzedaży detalicznej w stanie Goias, który odpowiadał za kradzież 250 000 dolarów. W ramach "świętowania" ich aresztowania inni przestępcy opublikowali filmik w serwisie Youtube w odwecie za niezapłacone długi:       

Brazylijscy cyberprzestępcy aresztowani w 2013 r. - niestety, ostatecznie nie trafili do więzienia

 

Typowe brazylijskie ugrupowanie cyberprzestępcze składa się z czterech lub pięciu członków, jednak niektóre grupy mogą być większe. Każdy członek posiada własną rolę. Głównym bohaterem w tym scenariuszu jest "programista kodujący", czyli osoba odpowiedzialna za rozwój szkodliwego oprogramowania, zakup exploitów, tworzenie systemu zapewnienia jakości szkodliwego oprogramowania oraz rozwój systemu statystycznego, który zostanie wykorzystany przez grupę do zliczania ofiar. Niektórzy programiści nie ograniczają się do jednej grupy i mogą współpracować nawet z kilkoma, a większość woli nie brudzić sobie rąk skradzionymi pieniędzmi. Ich dochody pochodzą ze sprzedaży swoich "dzieł" innym przestępcom. Programista kodujący może być przywódcą grupy, ale nie jest to częsty przypadek. Rzadko zostają aresztowani.

Każda grupa posiada jednego lub dwóch spamerów, odpowiedzialnych za zakup list mailingowych, hostowanie VPS oraz wymyślanie "engenharia" (socjotechniki stosowanej w wysyłanych do ofiar wiadomościach e-mail). Ich rola polega również na możliwie jak najszerszym rozprzestrzenianiu infekcji. Dość często można spotkać spamerów posiadających doświadczenie w modyfikowaniu serwerów sieciowych, w efekcie czego mogą następnie umieścić szkodliwą ramkę "iframe" na zainfekowanych stronach internetowych. Spamerzy nie posiadają stałego wynagrodzenia: ich dochody zależą od liczby zainfekowanych osób. Programista kodujący musi zatem wbudować w szkodliwe oprogramowanie  licznik ofiar, ponieważ takie informacje są wykorzystywane do obliczenia, jaką kwotę otrzyma spamer.  

Ugrupowanie posiada również rekrutera, który jest odpowiedzialny za angażowanie słupów pieniężnych (nazywanych również "laranjas"). Jest to bardzo ważne zadanie, ponieważ osoba ta będzie miała bezpośredni kontakt z ludźmi lub będzie ponosiła odpowiedzialność za działania zewnętrzne, takie jak koordynowanie działań umożliwiających przelanie pieniędzy lub pobranie ich z bankomatów, opłacenie rachunków (zwykle w siedzibie loterii) lub odbiór produktów zakupionych online przy pomocy skradzionych kart kredytowych. Osoby pełniące tę rolę dość często rekrutują słupy spośród własnych członków rodziny, ponieważ za taką pracę można zarobić do 30% sumy, która została skradziona i rozdzielona na konta słupów pieniężnych. Ogólnie, słupy pieniężne zostają jako pierwsi aresztowani w wyniku operacji policyjnych, następny w kolejności jest rekruter. 

Prawdziwy lider grupy jest odpowiedzialny za koordynowanie innych członków oraz wszystkich działań, negocjowanie nowych keyloggerów z programistą kodującym, zamawianiem nowego "engenharia" u spamerów oraz wykonywanie "correria" z rekruterami. Odpowiada również za rekrutowanie nowych członków grupy oraz negocjowanie ich towarów z innymi grupami przestępczymi. Role nie są stałe; niektórzy członkowie mogą pełnić wiele funkcji i współpracować z więcej niż jedną grupą, a ich dochody różnią się. Niektórzy przestępcy wolą pracować niezależnie, sprzedając swoje usługi i towary kilku grupom.  

Niektórzy przestępcy otworzyli sklepy internetowe, aby sprzedawać swoje towary i promować usługi w lepszy i bardziej przyjazny dla użytkownika sposób. W takich sklepach można kupić programy szyfrujące, usługi hostingowe, usługi kodowania dla nowych trojanów itd. Taki był cel sklepu "BlackStore" (obecnie jest już nieaktywny). Sprawdźmy ceny ich "towarów": 

	Program "szyfrujący" w 100% niewykrywalny, cena R$ 100 (U$ 30 00) -       Kompatybilny z Delphi i VB -       W 100% niewykrywalny przed 30 programów antywirusowych -       Kompatybilny z ponad 98 narzędziami RAT -       30 dni usług programu szyfrującego
	Hosting: US$17 Doskonałe miejsce na hostowanie ataku phishingowego lub szkodliwego oprogramowania, a nawet szkodliwego skryptu. -       Szybki hosting -       Nieograniczony MySQL -       Zawiera już domenę -       Konta pocztowe -       Wsparcie w systemie 24/7
	Usługi kodowania: US$170 Przekształcimy Twój pomysł w coś konkretnego. Przedstaw nam swoją koncepcję, swój projekt lub aplikację, a my zaprogramujemy to! Pracujemy w obszarze: kodowanie z desktopu programowanie sieciowe kompatybilne z wszystkimi systemami operacyjnymi kompatybilne z wszystkimi przeglądarkami system wolny od błędów system licencjonowany
	Tester skradzionych kart kredytowych: US$130   "Wypróbuj najnowszy i uaktualniony tester kart kredytowych, stworzony do testu CCS, bez danych CVV"  -       Testuj karty Visa, Master, Diners, Elo -       Czysty i piękny projekt -       Czysty kod źródłowy, nie zawiera błędów Sprawdź zdjęcia aplikacji w naszej bazie danych!?
	Sieć DNS US$1500   Najbardziej zaawansowany system. Zmiana DNS umożliwia zmiany w czasie rzeczywistym na komputerze ofiary -       Podczas uzyskiwania dostępu do strony internetowej otwiera się popup -       Podczas odwiedzania określonej witryny otwiera się fałszywa strona -       Nadsłuchiwanie całej komunikacji pomiędzy serwerem a klientem -       Umieszczanie ramek iframe przy użyciu Adsense -       Umieszczanie banerów promujących karty kredytowe -       Pełny panel administracyjny
	Szkodliwy aplet Javy: US$25   System wykorzystywany głównie do infekowania. Przy użyciu apletów Javy możesz z łatwością zainfekować dziesiątki osób. -       Panel sterowania -       Statystyki -       Ponad 10 domen z bezpośrednim połączeniem -       W 100% niewykrywalny
	Wirusowy Facebook: US$20   Nowy wirus na Facebooku, najbardziej wszechstronny system do publikowania "polubień" i "udostępnień". Możliwość szybkiego rozprzestrzeniania szkodliwego odsyłacza przy użyciu kilku kliknięć przycisku "udostępnij". Oferujemy pełny pakiet + domenę + hosting
	Wysyłanie spamu VPS: US$20   "Aktualnie najbardziej wydajny system wysyłania spamu. Wysyła 30 000 wiadomości w ciągu 30 minut" -       możliwe wszelkie konfiguracje -       opcje ponownego uruchomienia, formatowania i wyłączania -       zawiera skrypty wysyłania spamu
	System spamowy PHP system: US$10   System dla tych, którzy chcą poczynić niewielką inwestycję, świetne narzędzie dla tych, którzy chcą podstawowy system spamerski, dla początkujących.   -       20 000 wiadomości spamowych na godzinę   -       30-dniowa gwarancja   -       80% dostarczonych wiadomości
	KL (Keylogger): US$ 300   "Keylogger dla tych, którzy szukają jakości w skradzionych informacjach bankowych. Zawiera panel administracyjny umożliwiający sprawdzanie wszystkich infekcji, zapisywanie informacji w twojej poczcie"   Atakowane banki: -       HSBC -       Itau -       Caixa

Jako "profesjonalny" sklep, wydaje również paragony przy zakupie:

Uczciwi złodzieje: dowód zakupu dokonanego na czarnym rynku

Profesjonalizacja cyberprzestępczości zorganizowanej, którą obserwujemy w Europie Wschodniej, przyjęła się teraz w brazylijskim podziemiu przestępczym. Inwestycje w technologie i marketing mają na celu zwiększenie zysków. Na niektórych zamkniętych forach przestępcy zaczęli nawet reklamować swoje usługi, próbując przyciągnąć nowych użytkowników, nieprzywykłych do rozwijania własnych narzędzi:   

Tekst brzmi: "Przy zakupie zestawu narzędzi socjotechnicznych otrzymujesz również zestawy do tworzenia bankera, [klonowania] kart kredytowych oraz mile lotnicze. 1 milion darmowych wiadomości spamowych od inteligentnych rozwiązań Bruno". Inne coraz częściej oferowane usługi obejmują strony internetowe dostarczające "szkodliwe oprogramowanie jako usługę", programy szyfrujące, tzw. FUD (całkowicie niewykrywalne szkodliwe oprogramowanie) oraz pełny system do zarządzania informacjami dotyczącymi skradzionych kont bankowych: 

"FUD jako usługa", usługa szyfrowania dla wykrytych już trojanów

 "Panel administracyjny" zarządza kompletnym systemem, który pozwala osobom atakującym kontrolować zainfekowane maszyny, zbierać dane bankowe oraz obchodzić uwierzytelnienie dwuskładnikowe (2FA) w dowolnej formie (SMS, token, jednorazowe karty haseł i więcej). Niektóre systemy umożliwiają również kontrolę stron internetowych oraz domen wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania oraz do rozsyłania spamu i zarządzania listami mailingowymi - a wszystko to w jednym rozwiązaniu.   

Zdalne narzędzie dostępu sprzedawane na czarnym rynku, jego celem jest obejście uwierzytelniania 2FA brazylijskich banków

Oferowane towary obejmują również ataki DDoS. Wykorzystując moc tysięcy zainfekowanych komputerów inni przestępcy mogą bez trudu przeprowadzić atak DDoS. Ceny są następujące: 300 sekund: 8,3 dol.; 450 sekund: 13 dol.; 1000 sekund: 28 dol.; 3600 sekund: 40 dol.

DDoS na wynajem: zaatakuj swój cel płacąc za czas trwania ataku (w sekundach)

 

Ile kosztuje Twoja karta kredytowa?

Zrzuty informacji z kart kredytowych należą do najcenniejszych danych, jakimi wymieniają się przestępcy. Karty kredytowe często są klonowane przy użyciu różnych sposobów, które obejmują chupa cabras (skimmery) na bankomatach oraz terminalach punktów sprzedaży, strony phishingowe, keyloggery zainstalowane na zainfekowanych komputerach PC i wiele więcej.  

Brazylia jest jednym z państw, w których, według Światowego Banku, znajduje się najwięcej terminali ATM. Istnieje ponad 160 000 możliwości zainstalowania przez oszustów skimmera (znanego również jako "urządzenie Chupa Cabra"), które są skrzętnie wykorzystywane. Cyberprzestępców można spotkać nawet w ciągu dnia, ubranych w klapki i strój plażowy, przechadzających się w zrelaksowanym nastroju, instalując skimmery w zatłoczonym banku: https://www.youtube.com/watch?v=-iCs3dEHCyQ.

Jeśli chodzi o klonowanie kart kredytowych, Brazylia posiada jednych z najbardziej twórczych i aktywnych przestępców. Na szczęście, większość wykorzystywanych kart posiada wbudowaną technologię CHIP i PIN. Mimo ostatnich doniesień informujących o lukach w zabezpieczeniach tego protokołu, karty CHIP oraz PIN nadal są bezpieczniejsze i trudniejsze do sklonowania niż karty z paskiem magnetycznym. Ponieważ takie chipy EMV są wykorzystywane w całym kraju, większość działań związanych z klonowaniem jest wykonywanych online, przy użyciu ataków phishingowych, fałszywych stron bankowych oraz zainfekowanych portali handlu elektronicznego, oferujących drogi produkt po bardzo atrakcyjnej cenie. Jeśli prowadzisz jakikolwiek rodzaj działalności online, prędzej czy później Twoja karta zostanie zaatakowana: za pośrednictwem phishingu lub infekcji portalu handle elektronicznego.        

Te niezwykle poszukiwane zrzuty informacji są sprzedawane online za pośrednictwem stron internetowych lub nawet kanałów IRC. W ten przestępczy proceder zamieszani są nie tylko carderzy oraz cyberprzestępcy, ale również wielu "tradycyjnych" przestępców powiązanych z przemytem narkotyków oraz innymi nielegalnymi działaniami.  

Cena sklonowanej karty kredytowej zależy od banku, państwa pochodzenia itd.

-       Infinity: produkty takie jak American Express czy karty międzynarodowe są sprzedawane za 42 dolary za sztukę

-       Platinum: karty wydawane przez banki międzynarodowe, 40 dol. za sztukę

-       Black: karty po 30 dol. za sztukę

-       Gold/ Premier: 25 dol. za sztukę

-       Classic: karty wydawane przez banki narodowe, 22 dol. za sztukę

Ogłoszenie przestępcy sprzedającego zrzuty skradzionych kart kredytowych: możesz zapłacić za nie nawet własną kartą kredytową

Incydenty naruszenia bezpieczeństwa danych napędzają cyberataki 

Brazylijskie podziemie przestępcze jest "głodne" danych osobistych - dzięki temu cyberprzestępcy mogą zarabiać na kradzieży tożsamości, oferując możliwości zakupu produktów przy użyciu "laranjas" lub słupów pieniężnych, a nawet przechwytywać te dane w celu opróżnienia konta bakowego, ponieważ kilka serwisów online prosi o dane osobowe w celu potwierdzenia tożsamości klienta.

Niestety, państwo to nie posiada jeszcze ustaw umożliwiających ochronę danych osobowych - na razie politycy rozpatrują jedynie istniejące opcje. W efekcie, dość powszechne są incydenty naruszenia bezpieczeństwa danych w organizacjach rządowych oraz firmach prywatnych. Firmy dotknięte takimi incydentami nie są zobligowane prawnie do skontaktowania się z klientami, którzy ucierpieli w wyniku takiego incydentu.

Niedawno zaobserwowaliśmy kilka bardzo poważnych incydentów naruszenia bezpieczeństwa danych, które dotknęły znane strony internetowe i obejmowały bazy danych rządu, Urzędu Podatkowego (Receita Federal) oraz innych instytucji. Dość często zdarza się, że bazy danych, które uległy wyciekowi, są sprzedawane na czarnym rynku, np. baza danych DETRAN (Dział Ruchu), a koszt danych dotyczących pięciu milionów obywateli wynosi jedynie 50 dolarów amerykańskich:       

 

Istotne znaczenie mają tu luki w rządowych stronach internetowych. W 2011 r. z powodu dwóch, bardzo poważnych błędów w stronie internetowej Ministerstwa Pracy wyciekła cała baza danych zawierająca pochodzące z sześciu miesięcy informacje dotyczące każdego obywatela państwa.

Luka w zabezpieczeniach strony internetowej spowodowała upublicznienie poufnych danych, a do uzyskania dalszych informacji dotyczących danej osoby wymagany był jedynie numer CPF (brazylijski numer ubezpieczenia społecznego).

Numer CPF to jeden z najważniejszych dokumentów dla osób mieszkających w Brazylii. Jest to niepowtarzalny numer wymagany przy wykonywaniu wielu czynności, takich jak otwieranie kont bankowych, uzyskanie lub odnowa prawa jazdy, zakup lub sprzedaż nieruchomości, uzyskanie kredytów, ubieganie się o pracę (zwłaszcza w sektorze publicznym) oraz uzyskanie paszportu lub karty kredytowej. Dane, które wyciekły, pozwalają cyberprzestępcy podszyć się pod osobę, której dotyczą, kraść jej tożsamość w celu, np. uzyskania kredytu w banku. 

Tego rodzaju informacje mogą zostać uzyskane jedynie w incydentach wycieku danych. Nie jest to żadną niespodzianką, brazylijskie media często donoszą o przestępcach sprzedających płyty CD zawierające dane pochodzące z brazylijskiego systemu urzędu podatkowego, w którym znajduje się mnóstwo poufnych danych, w tym numery CPF. Cyberprzestępcy sprzedają płyty CD zawierające bazy danych, które wyciekły z kilku źródeł, za jedyne 100 dolarów. W wyniku takich incydentów naruszenia bezpieczeństwa danych brazylijscy phisherzy stworzyli ataki wykorzystujące wiadomości, w których podawane jest imię i nazwisko oraz numer CPF ofiary, aby w ten sposób przydać większej wiarygodności fałszywej wiadomości. Podobne ataki zdarzały się regularnie od 2011 r.: 

Wiadomość phishingowa, w której widoczne jest imię i nazwisko ofiary oraz jej numer CPF

 

Duża ilość danych osobistych, które wyciekły z kilku źródeł, pozwoliła brazylijskim przestępcom założyć serwisy online oferujące bazę danych zawierającą informacje osobowe milionów obywateli z możliwością przeszukiwania. Mimo działań władz zmierzających do zamknięcia takich stron co miesiąc powstają nowe serwisy.

Posiadając jedynie numer CPF można znaleźć wszystkie dane osobowe 

Problem brokerów danych

Innym problemem związanym ze złym zarządzaniem danych osobowych są "brokerzy danych", czyli firmy, które gromadzą informacje, a następnie sprzedają je firmom, które wykorzystują je do reklamy i marketingu ukierunkowanego na określone grupy, do zweryfikowania tożsamości osoby w celu wykrycia oszustwa lub sprzedaży osobom prywatnym i organizacjom, aby mogły przeprowadzić rozpoznanie na temat konkretnej osoby.   

Powszechnym celem phisherów i autorów szkodliwego oprogramowania są lokalne firmy, takie jak Serasa (która została nabyta przez Experian). Oferują one największą bazę danych w kraju dotycząca ochrony przed oszustwami i wykonują pełne profile danych osobowych dla każdego obywatela, dlatego skradzione dane uwierzytelniające dostęp do takiej bazy danych są niezwykle cenne wśród oszustów. 

Nic zatem dziwnego, że wielu oszustów odsprzedaje rezultaty swojego dostępu do serwisów brokerów danych przy użyciu skradzionych danych uwierzytelniających klientów w pakietach, które kosztują 30 lub 50 dolarów amerykańskich za odpowiednio 15 lub 30 dni pełnego dostępu:  

 

Inni przestępcy posuwają się jeszcze dalej i tworzą własne serwisy brokerów danych. Właściciele takich serwisów sprzedają je innym oszustom, oferując wszechstronny pakiet przeszukiwania baz danych, które wyciekły z rządu, jak również baz uzyskanych z prywatnych źródeł. Tak rozpowszechniona aktywność sugeruje, że brazylijska przestępczość zawsze cię dosięgnie, w ten czy inny sposób. 

Baza danych pochodząca z rządu i od brokera danych w tym samym cyberprzestępczym serwisie 

 

W celu reklamowania swoich serwisów oszuści wykorzystują wszystkie kanały, nawet portale społecznościowe, takie jak Facebook. W aktach opublikowanych przez Tecmundo znaleziono dowód na to, że w sprawę zamieszani byli pracownicy, którzy sprzedawali bazy danych i dane uwierzytelniające.

Reklamowany na Facebooku dostęp do serwisu oferującego skradzione dane

W jaki sposób atak phishingowy zniszczył las deszczowy w Amazonii

Czy możesz sobie wyobrazić atak phishingowy, który zniszczył największy las deszczowy  na świecie? To właśnie miało miejsce w przypadku IBAMA, Brazylijskiego instytutu ds. środowiska naturalnego i odnawialnych zasobów naturalnych. IMAMA odpowiada za ograniczenie wycinania drzew liściastych w regionie Amazonii, pilnując, aby robiły to tylko upoważnione firmy.   

W wyniku serii ataków na pracowników IBAMA (prawdopodobnie przy użyciu wiadomości phishingowych takich jak ta poniżej) przestępcy brazylijscy zdołali ukraść dane uwierzytelniające i włamać się do systemu online IBAMA. Następnie odblokowali 23 firmy, które wcześniej zostały zawieszone za przestępstwa środowiskowe, zezwalając im na wznowienie wycinania drzew z lasu. W ciągu zaledwie 10 dni firmy te wycięły drzewa o wartości 11 milionów dolarów. Ilość wyciętych nielegalnie drzew wypełniłaby 1 400 ciężarówek.     

Strona phishingowa IBAMA: jej celem była kradzież danych uwierzytelniających i wycinanie drzew w lesie 

Współpraca cyberprzestępców z Europą Wschodnią

Mamy wystarczająco dowodów na potwierdzenie, że przestępcy brazylijscy współpracują z gangami wschodnioeuropejskimi zamieszanymi w kampanie dotyczące szkodnika ZeuS, SpyEye oraz innych trojanów bankowych stworzonych w tym regionie. Współpraca ta bezpośrednio przekłada się na jakość i poziom zagrożenia brazylijskiego szkodliwego oprogramowania, ponieważ jego autorzy wzbogacają swoje twory o nowe techniki.   

Nierzadko brazylijscy przestępcy odwiedzają rosyjskie fora przestępcze, gdzie szukają próbek, kupują nowe oprogramowanie przestępcze oraz szkodliwe oprogramowanie ATM/PoS lub negocjują i oferują swoje usługi. Pierwszym efektem tej współpracy może być rozwój nowych technik ataków, takich jak ten, który dotknął systemy płatnicze boletos w Brazylii. 

Wpis brazylijskich cyberprzestępców posługujących się (bardzo słabym) rosyjskim, którzy sprzedają dostęp do 400 zainfekowanych urządzeń PoS

 

Zaczęli również wykorzystywać infrastrukturę przestępców wschodnioeuropejskich, kupując lub wynajmując bezpieczny hosting. Jednym z nich był "Jo'o de Santo Cristo" (fikcyjna postać występująca w popularnym utworze brazylijskim), który kupił i hostował 14 domen szkodliwego oprogramowania boleto w Rosji:    

 

Nie zdziwiliśmy się wcale, gdy zaczęto się włamywać na rosyjskie strony internetowe oraz hostować fałszywe strony boleto:   

 

To pokazuje, że brazylijscy cyberprzestępcy przyswajają nowe techniki w wyniku współpracy ze swoimi europejskimi kolegami. Uważamy, że jest to jedynie wierzchołek góry lodowej, ponieważ tego rodzaju wymiana staje się intensywniejsza z biegiem lat, a brazylijscy przestępcy rozwijają się i szukają nowych sposobów atakowania firm i zwykłych obywateli.  

Udoskonalenia lokalnego szkodliwego oprogramowania

Kontakt ze wschodnioeuropejskimi cyberprzestępcami wpływa na jakość brazylijskiego szkodliwego oprogramowania. Na przykład, w szkodliwym oprogramowaniu boleto zidentyfikowaliśmy dokładnie ten sam schemat szyfrowania, który jest wykorzystywany w funkcjach szkodliwych przez ZeuS Gameover.  

Zaszyfrowana szkodliwa funkcja szkodnika Boleto: takie samo szyfrowanie wykorzystywał ZeuS

Zauważyliśmy również, po raz pierwszy, brazylijskie szkodliwe oprogramowanie wykorzystujące DGA (Domain Generation Algorithm). Jednym z nich był Trojan-Downloader.Win32.Crishi, rozprzestrzeniany w wiadomościach podobnych do tej poniżej:

 

Kolejnym dowodem udoskonaleń brazylijskiego szkodliwego oprogramowania w wyniku współpracy ze wschodnioeuropejskimi cyberprzestępcami jest wykorzystanie domen fast flux w atakach na boleto.

Podsumowanie

Brazylia stanowi jeden z najbardziej dynamicznych i najtrudniejszych rynków na świecie ze względu na swoje cechy szczególne oraz znaczącą pozycję w Ameryce Łacińskiej. Nieustanne monitorowanie szkodliwych działań brazylijskich cyberprzestępców daje firmom z branży bezpieczeństwa IT możliwość zidentyfikowania nowych ataków związanych ze szkodliwym oprogramowaniem finansowym. W niektórych przypadkach ataki te są bardzo unikatowe, ponieważ są przeprowadzane przy użyciu szkodliwych plików PAC.   

Wiadomość od cyberprzestępców w szkodliwym pliku PAC do autora tego artykułu

 

Aby w pełni zrozumieć brazylijską scenę cyberprzestępczą, firmy antywirusowe muszą przyjrzeć się realiom tego państwa, gromadzić pliki lokalnie, tworzyć lokalne pułapki "honeypot" oraz utrzymywać lokalnych analityków, którzy monitorują ataki, głównie ze względu na to, że przestępcy zwykle ograniczają zasięg infekcji oraz dystrybucji swoich tworów na użytkowników brazylijskich. Podobnie jak w Rosji i Chinach, brazylijscy przestępcy stworzyli własną, unikatową rzeczywistość, którą osobom z zewnątrz bardzo trudno zrozumieć.      

Źródło: Kaspersky Lab