Como foi a operação que prendeu os donos da maior botnet brasileira

Receber e-mails de golpes é tão comum que, quando passamos muito tempo sem ver um, achamos que há algo errado com nossos endereços. Numa caixa de spam padrão como a minha, é possível ver gente que anuncia prêmio de US$ 200 mil por concurso fake, equipes que oferecem vaga em multinacional chinesa e até malucos enviando intimações policiais de mentirinha.

É este último caso que a Polícia Federal afirma ter visto nos alvos da Operação Darkode, cuja segunda fase foi deflagrada no último dia 21. Segundo a delegada responsável pela operação, Deborah de Barros Amorim, criminosos se passavam por agentes e intimavam pessoas via email. Nas mensagens, o grupo dizia que havia uma queixa no nome da vítima e, em anexo, mandava um arquivo com a lista de documentos necessários para ser apresentados à polícia. Era a isca da armadilha. Ao clicarem, as vítimas infectavam o computador com um trojan bancário, e, bem, o estrago tava feito.

O gasto, porém, não era arcado pelas pessoas que tiveram os dados bancários roubados. Como era possível provar que os boletos pagos eram cobranças indevidas, o valor era pago pelos bancos. Segundo a PF, estima-se que o prejuízo sofrido por bancos brasileiros tenha sido ao menos de R$ 2,5 milhões.

A liderança do grupo é atribuída ao empresário Daniel Augustus Bichuete Silva, que em 2015 foi preso durante a primeira fase da operação. Segundo o G1, Silva pagava desde fatura de gás do apartamento em que ele morou (R$ 26) até faturas de imóvel adquirido por ele, no valor de R$ 1,3 milhão. Nesta nova fase da operação, de acordo com o balanço divulgado pela PF, foram 37 mandados judiciais, quatro destes de prisão preventiva, 15 de prisão temporária e 18 de busca e apreensão em cidades nos Estados de Goiás, Pará, Tocantins, Santa Catarina e Distrito Federal.

A deflagração da primeira fase da operação ocorreu em 2015 por meio de cooperação da Polícia Federal brasileira com forças policiais de 19 países. Coordenada pelo FBI e Europol, desarticulou o centro de troca de malwares e serviços voltados para o cibercrime. O forúm inspirou a escolha do nome da operação da Polícia Federal brasileira: Darkode.

Nessa fase inicial da operação, um suspeito ligado ao esquema revelou, em fórum e depois em entrevista à PF, que controlava uma botnet (uma rede de computadores infectados por malware e controlado por uma pessoa ou grupo) com 25 mil pontos. "A rede de computadores infectados pode ser usada para enviar spam, fazer ataques a websites, fraudes bancarias", afirmou à época o delegado Pablo Bergmann.

Caso o número de máquinas seja verdadeiro, a botnet é a maior que se tem notícia no país. "Já foram tiradas do ar botnets com mais de dez milhões de computadores infectados fora do Brasil, mas aqui é a primeira vez que há uma rede com este número de máquinas operando simultaneamente", comentou o conselheiro técnico da Trend Micro, André Alves, ao Motherboard.

No início deste ano um grupo tentou reavivar a plataforma, mas a empreitada terminou da forma mais vergonhosa possível para um grupo de hackers: eles foram hackeados. Hoje o acesso ao endereço original do site traz apenas uma mensagem de que o domínio foi derrubado pelas forças policiais.

Um dos e-mails enviados por meio da botnet nos golpes mostra que o grupo enviou mensagens se passando pela Polícia Civil. Pelo conteúdo, a pessoa era levada a pensar que uma queixa havia sido feita em nome dela e solicitava a checagem de um documento anexo. A falsificação era usada há alguns anos e já foi desmentida em mais de uma ocasião pela própria Polícia Civil do Rio Grande do Norte.

A técnica de enviar mensagens falsas para convencer alguém a fazer algo desvantajoso é conhecida como "phishing", derivado de "fishing", pescaria em inglês. Compreende em jogar uma isca que seja convincente o bastante para que a vítima acredite. "A gente observa que hoje há uma melhora dos e-mails de phishing, uma maior atenção com o português e com o design empregados nas mensagens", fala Alves. Ele aponta que a evolução deste tipo de ataque demonstra uma especialização dentro do cibercrime, com diferentes funções executadas por diferentes pessoas.

O especialista aponta que o ataque do grupo é bem comum no cenário de cibercrime brasileiro. Historicamente o país tem forte presença de golpes aplicados via trojans bancários. Quando instalados na máquina, esses malwares não dão sinais de presença. Costumam ser ativados apenas quando as pessoas acessam suas contas. "Ele consegue interceptar os sites acessados e, uma vez que o banco é acessado, começa a monitorar as teclas, o que é digitado e clicado para obter as informações sobre qual é a conta, a agência, a senha. É bastante comum", afirma o especialista.

Outra forma de aplicação do mesmo golpe, diz Alves, é fazer com que o programa abra um site falso do banco, imitando o verdadeiro de forma convincente. "Isso é um pouco menos eficaz porque depois que o usuário clicou naquele executável, ver uma tela de banco causa estranhamento. Por isso é muito mais comum que programas que fiquem escondidos e silenciosos."

Para evitar ser pego no phishing a melhor forma é, de acordo com o pesquisador, "tomar desconfiança por padrão". "Se possível checar com a pessoa que enviou a mensagem. Olhar a barra e checar os links que são enviados nos e-mails", concluiu Alves.

Procurada pelo Motherboard, a Polícia Federal não passou mais detalhes sobre as prisões, buscas e apreensões.