Dados de contas correntes chegam a valer US$ 400 no mercado negro da Web

"Um número de conta bancária varia de US$ 30 e US$ 400 no mercado negro dependendo do peso da movimentação do correntista". De acordo com Paulo Vendramini, gerente de engenharia da Symantec, a profissionalização e comercialização de atividades maliciosas na Web cresceram se comparadas ao ano passado.

Segundo o executivo, os atacantes migraram de ataques feitos com o intuito de simplesmente perturbar o usuário para a motivação financeira. "Eles se organizaram e adotaram métodos similares às práticas tradicionalmente usadas no desenvolvimento de softwares", revela o Vendramini.

O relatório Ameaças à Segurança na Internet da Symantec detectou que na primeira metade de 2007, 25% das invasões realizadas na Internet foram em busca de informações bancárias. "Números de cartões de crédito foram o item mais anunciado para venda em servidores de economia informal, totalizando 22% de todos os produtos anunciados no primeiro semestre de 2007 no mercado negro da informação".

Para Arthur Wong, vice-presidente sênior, do departamento de Resposta de Segurança e Serviços Gerenciados da Symantec, os crackers estão migrando para um próximo nível. "Eles estão fazendo do crime eletrônico a sua profissão real e empregando práticas típicas de negócios para atingir seus objetivos com sucesso".

A organização dos criminosos virtuais acabou gerando uma nova oferta. "Desenvolvedores mal-intencionados vendem na Web códigos prontos para a prática de golpes". Segundo Vendramini, essa oferta de ferramentas além de contribuir para o aumento de ataques, acelera a prática criminosa. "O criminoso nem precisa perder tempo desenvolvendo um novo código malicioso. Alguns vêm inclusive com manual para facilitar seu uso".

Tanto que houve um aumento no uso destes kits de ferramentas de ataque, segundo o relatório da Symentec. "Os três tipos de kits de phishing, mais usados, foram responsáveis por 42% de todos os ataques de phishing detectados durante o primeiro semestre do ano", afima o engenheiro.

Vendramini explica que estes kits de ferramentas de phishing são compostos por uma série de scripts que permitem ao atacante estabelecer sites de phishing automaticamente, enganando sites legítimos. "Estes kits estão disponíveis não só para o crime eletrônico comercial e profissional, mas também para aventureiros que não têm conhecimento técnico para desenvolver tais ferramentas".

Um exemplo dessa estratégia foi MPack, um kit de ferramentas desenvolvido profissionalmente e vendido na economia informal online. "Uma vez comprado, os atacantes poderiam utilizar a coleção de componentes de software do MPack para instalar códigos maliciosos em milhares de computadores em todo o mundo e então monitorar o sucesso do ataque através de vários parâmetros em seu console de gerenciamento online, cujos controles são protegidos por senha".