Brian Krebs e Sua Jornada para Dissecar o Universo do Spam

"​Aumente seu pênis."

Brian Krebs, ​jornalista norte-americano especializado em segurança digital, dissecou essa risível frase e congêneres que lotam caixas de email dia após dia: grupos organizados de criminosos e hackers russos, vírus de computador e arquivos maliciosos, fornecedores de medicamentos piratas e pessoas desesperadas por remédios baratos. O sofisticado sistema global disfarçado de spam é descrito em seu mais recente livro "Spam Nation: The Inside Story of Organized Cybercrime – from Global Epidemic to Your Front Door", da Sourcebooks, ainda sem versão em português.

"O spam não existiria se não fosse lucrativo para seus autores", me disse Brian durante uma conversa por telefone. Pouco se sabe dele além de que vive nos Estados Unidos. Depois de anos dedicando-se a investigar a subterrânea rede de spams, Brian tornou-se protagonista de ​ataques bem mais reais que ameaças por email. Por isso, ele mantém suas informações sob máxima discrição possível, especialmente em se tratando de dados disponíveis na internet. "Eu tenho algumas ideias para outros livros, mas não sei se estou disposto a passar por todo esse processo novamente", contou ele.

Em sua investigação, Brian se viu em meio a uma guerra entre grupos que controlavam a Rx-Promotion e a GlavMed — duas das maiores plataformas online para vendas de remédios piratas. Não fosse pelos métodos utilizados, o conflito seria mais uma treta corporativa mas, nesse caso, o que estava em controle era cerca de ¾ do volume mundial de spams, segundo Brian. "Claro que esses caras não queriam que ninguém metesse o nariz no que eles estavam fazendo, mas parte do trabalho deles é descobrir como dar a volta em investigações e barreiras de segurança."

Burlando sistemas e renovando programas, os spammers montaram uma rede de negócios sustentada basicamente por remédios piratas vendidos para norte-americanos. "Nos Estados Unidos pagamos até quatro vezes mais que o resto do mundo por alguns remédios", me explicou ele pouco antes de afirmar que, além de medicamentos, drogas e itens de marca também fazem parte do catálogo de compra que começa em insistentes emails. O ciclo se fecha com uma divisão esperta da grana investida entre hackers, programaodores e fornecedores dos produtos.

O jornalista também ressaltou o uso do ransomware, espécie de sequestro dos arquivos de um computador. "Uma quantidade crescente dos spams globais é maliciosa e nesse caso as pessoas que enviam eles recebem pagamentos via ransomware", disse. Plataformas móveis também estão na mira dos spammers que, de acordo com o jornalista, até gostam dos filtros de segurança — isso afasta os newbies. Para se defender de todos, dos profissionais aos amadores, a dica dele é simples: "se você não está procurando por um programa, não instale; se você instalou, atualize-o; e se você não precisa mais dele, delete."

Motherboard: Por que a capa do seu livro tem um mapa dos Estados Unidos sendo que ele fala mais da Rússia?

Brian Krebs: Eu queria expressar que, tradicionalmente, os Estados Unidos são considerados a origem e o alvo da maioria dos spams e cibercrimes. O spam não existiria se não fosse lucrativo para seus autores e, incrivelmente, descobri que milhões de norte-americanos estão respondendo a spams e comprando produtos anunciados por eles. Eles estão no ciclo e por isso eu usei o mapa dos Estados Unidos. Além disso, como eu escrevi no capítulo dois do livro, os pioneiros do cibercrime construíram uma indústria do spam que funcionou por anos sem que ninguém os incomodasse porque elas operavam em servidores e serviços de hospedagem norte-americanos.

Então o spam é uma atividade lucrativa? Tem pessoas que realmente compram o que é anunciado por eles?

Como funciona aí no Brasil? Não sei como funciona, mas suponho que o governo ponha um limite para o quanto as companhias podem cobrar. Aqui não temos isso. Nos Estados Unidos pagamos até quatro vezes mais que o resto do mundo por alguns remédios. Os spammers tem explorado essa disparidade indo a países como Índia ou outros produtores de remédios, pegando produto diretamente deles. Eles sabem que é ilegal enviar esses remédios e nos Estados Unidos é ilegal receber remédios de outros países, mas ninguém vai preso por causa disso. Muitas pessoas que entrevistei não tinham renda fixa, não estavam trabalhando, não tinham seguro, então para eles era uma decisão econômica. "Posso ir até a farmácia local, gastar quatrocentos dólares em remédios prescritos pra mim, ou posso acessar a internet e pagar um terço ou um quarto disso."

Hoje em dia os spams servem apenas para vender remédios ou há outra coisa que faça bastante sucesso?

Qualquer coisa que tradicionalmente tenha preços elevados. Eles tendem a focar em itens registrados, coisas de marca, roupas, relógios, bolsas e tudo na versão pirata. Pessoas que querem coisas da moda sem ter de gastar tanto dinheiro são boa parte das pessoas que responde a esses spams. E não podemos esquecer que emails maliciosos são spams também. Uma quantidade crescente dos spams globais é maliciosa e nesse caso as pessoas que enviam isso recebem pagamentos por ransomware.

O problema do ransomware é realmente algo global? Não se ouve falar de muitos casos aqui no Brasil.

Sim, é um problema global. Antes eles vinham em pop-ups de falsos antivírus, as pessoas baixavam e usavam o cartão de crédito delas. Tem sido mais difícil para que as pessoas cliquem nessas janelas e usem o cartão de crédito porque vários pesquisadores e parte da indústria tem se voltado para o setor financeiro desses ataques. Tem se tornado complicado e caro para que bancos mantenham esse tipo de atividade, mas os hackers não vão embora: eles vão para outro lugar. Por isso não digo que os anti-vírus falsos acabaram, mas os ransomware tem suplantado isso. E ele é um problema porque não é difícil tirar o malware do computador, mas você tem de pagar para ter seus arquivos de volta. Na verdade, eliminar o malware do computador torna mais difícil ainda recuperar os arquivos se você não quiser pagar por isso e caso você não tenha um backup. O anti-vírus remove a chave que você precisa para ter os arquivos de volta. Os hackers tem tido dificuldade também pra receber pagamentos em cartão de crédito e, agora, se você quiser pagar o resgate pelos arquivos, você tem de saber usar bitcoins.

Existem legislações preparadas para spammers? Por que o spam não é algo realmente novo.

Você pode tornar uma atividade ilegal, mas isso não importa. Os caras que estão mandando esses spams usam métodos que já os protegem. Eles usam computadores hackeados, emails hackeados etc. Criar novas leis contra isso não é a resposta.

Então qual a solução? Quem deve ser responsabilizado?

Não é tão simples assim. Existem várias partes dinâmicas nesse processo. A educação é muito importante. Tem bastante gente que tem muita confiança com computadores e internet sem, na verdade, ter certeza de que seu cantinho da rede está seguro. Acho que as pessoas geralmente mudam essa perspectiva quando elas são vítimas de algum ataque, algo assim. É a natureza humana, infelizmente. É preciso que haja um desastre pra que se faça algo. Eu não sei se fazer novas leis é a resposta para esse problema. Claro que seria bom levar à justiça esses spammers e hackers, mas a maior parte deles está em lugares do mundo que não querem fazer esse tipo de coisa. Isso é um desafio crescente.

E quanto ao GlavMed e o Rx-Promotions? Você afirma no seu livro que eles são responsáveis por 75% dos spams do mundo.

Rx-Promotion não existe mais como software, mas acho que eles se tornaram uma grande fonte de todo o spam do mundo porque eles são as plataformas utilizadas pelos spammers mais experientes e ativos. Eles também vendem remédios e drogas que não são vendidas por outros programadores, como analgésicos e substâncias viciantes. Coisas que tem consumidores contumazes são a melhor maneira de fazer dinheiro pra esses caras. Essa é a principal razão para que esses programas sejam responsáveis por tantos spams.

Você se sentiu ameaçado em algum momento da sua estada na Rússia?

Certamente, algumas vezes eu tinha uma voz na minha cabeça que me dizia que talvez não fosse uma grande ideia saber o que estava rolando e eu não tentei. Claro que esses caras não queriam que ninguém metesse o nariz no que eles estavam fazendo, mas parte do trabalho deles é descobrir como dar a volta em investigações e barreiras de segurança. É isso o que eles fazem: inovar. Quando as empresas de segurança lançam novas barreiras ou tornam o trabalho deles mais difícil, eles encontram maneiras de dar a volta nisso. Constantemente eles tentam adaptar o que estão fazendo e não querem que saibam que eles estão trabalhando nisso.

Em um trecho do seu livro você afirma que, para os spammers profissionais, é interessante que haja filtros. Por quê?

Como disse, eles estão constantemente evoluindo os ataques deles para burlar essas defesas e eles estão acostumados a mudar frequentemente a abordagem, a tecnologia, a configuração das máquinas em favor disso. Os caras menos experientes provavelmente estão menos ligados nisso tudo. São esses caras que estão lotando as caixas de mensagens das pessoas com spams idiotas, toscos, então, na perspectiva dos caras mais experientes, quanto menos novatos existirem na praça, melhor para eles. Assim os consumidores virão negociar com eles, não com os outros caras.

E qual o próximo passo desses spammers?

Os spams de produtos farmacêuticos serão cada vez mais genéricos. Eles continuarão a desvincular a marca dos nomes dos produtos para que um número menor de companhias tentem barrá-los. Eles não usam marcas nem nomes corporativos. E agora eles também vendem plantas e ervas medicinais. Também diria que esses caras estão cada vez melhores em conseguir mais valor dos recursos que eles tem. Eles hackeiam contas de email, computadores, máquinas corporativas e eles estão melhores em reconhecer onde estão, o que estão atacando. Também acho que eles estão chegando a aparelhos móveis com ataques com phishing e malware. Mesmo pra quem usa Mac e diz que não tem problemas com isso, bem, esse não é mais o caso. Nesses últimos anos temos vistos inúmeros casos de pessoas que não realizam atualizações e estão tão vulneráveis quanto qualquer um.

Para onde vai o dinheiro das vendas desses remédios e dos outros produtos anunciados nos spams?

Os caras que estão no comando desses spams estão no comando de redes de crime organizado. Quando você compra pílulas em um serviço desses, cerca de 35% do valor pago por elas vão para as pessoas que promovem essa prática, sejam spammers ou hackers que favorecem sites em serviços de busca. Os outros 35% vão para o grupo de spammers e hackers que comandam esses softwares. O restante vai para os fornecedores dos produtos, o valor pago pela encomenda, esses coisas.

O que fazer para evitar esse tipo de ataque?

Minhas três dicas básicas são: se você não está procurando por um programa, não instale; se você instalou, atualize-o; e se você não precisa mais dele, delete. No fim do meu livro tem algumas outras dicas. As pessoas precisam ter um esquema de backup que deve ser atualizando constantemente. Você não deve pensar nisso só quando seu computador for sequestrado por um rasomware. Essa é a hora errada pra pensar nisso. Também é importante para as pessoas que tomem vantagem das ferramentas que tem. Por exemplo: a verificação em dois passos do email é algo muito bom. Se o seu email é hackeado, qualquer coisa que estiver atrelada a ele pode ser hackeada. Como você renovaria a senha que você usa na sua empresa? Os responsáveis por ela te mandariam um email, mas os hackers tem acesso a ele. É importante que as pessoas usem esse tipo de proteção.

Você está trabalhando em um novo projeto ou um novo livro agora?

Eu tenho algumas ideias para outros livros, mas não sei se estou disposto a passar por todo esse processo novamente. Passei quatro anos pesquisando para esse livro e um ano escrevendo. Assim que os spammers começaram a liberar as informações, eu comecei a pensar nesse livro. Se isso acontecer de novo, provavelmente eu escreverei outro livro.

Durante sua pesquisa você encontrou alguma coisa sobre o Brasil?

Sei que vocês tem hackers bons no que fazem, caras que são bem ativos dentro do crime organizado. Pelo sim, pelo não, me parece que eles não são spammers para o resto do mundo. O foco deles é no próprio país. Claro que o Brasil se destaca enquanto país onde um número elevado de spambots tem surgido. Os Estados Unidos tem sido uma grande fonte de spambots, mas nos últimos anos temos visto isso mudar para Índia, Ásia e América do Sul.