Você já assistiu uma adaptação cinematográfica de um glossário de cibersegurança? Pois eu fiz isso recentemente, para minha surpresa. O filme sul-coreano On the Line (o título original é Boiseu; em uma tradução literal para o inglês o nome seria Voice; e não estamos falando do filme de nome idêntico estrelado por Mel Gibson) é sem dúvida um filme de ação. Ao mesmo tempo, contém uma concentração tão grande de cibercrimes que você quase poderia recomendá-lo como um material didático sobre segurança da informação. Os consultores contratados pelos cineastas parecem conhecer bem o assunto.
“On the Line” pode ser um almanaque do cibercrime
O enredo principal é construído em torno do phishing de voz, também conhecido como vishing. Mas o protagonista, ex-policial que se tornou capataz Han Seo-joon, também encontra várias outras técnicas golpistas. Vamos deixar a ação de lado e focar nos ciberincidentes (em ordem cronológica).
Celular travando
Um invasor entra em um canteiro de obras e esconde um dispositivo com várias antenas em uma sacola de materiais de construção. Como descobriremos mais tarde, este é um bloqueador de sinais de telefone celular. O dispositivo bloqueia as frequências nas quais os telefones celulares operam, impedindo todas as comunicações móveis na área de cobertura. E logo fica claro porque os criminosos estão bloqueando o sinal: para realizar um ataque vishing.
Telefone infectado por malware
A esposa de Seo-joon dirige um pequeno café. Ela recebe uma mensagem de spam em seu telefone sobre um programa de apoio a pequenas empresas que supostamente concede um subsídio nas contas de serviços públicos para empresas com menos de cinco funcionários. Ao clicar no link, ela instalou um malware em seu telefone que deu aos criminosos acesso a todas as suas mensagens, registros de chamadas e dados pessoais, permitindo que eles redirecionassem as chamadas de seu telefone para seus próprios números.
Vishing (cenário 1)
Em seguida, o ataque de vishing começa para valer: ela recebe uma ligação de alguém que se apresenta como advogado e diz que houve um acidente no canteiro de obras que resultou na detenção e acusação de Seo-joon. Ela imediatamente tenta ligar para o marido, mas não consegue por causa do bloqueador; ela assume que o telefone dele está desligado ou fora de alcance. Ela disca o número do canteiro de obras e uma pessoa avisa que ocorreu um acidente: um operário morreu e o capataz está sob custódia da polícia. É aqui que o malware entra em ação, pois a chamada foi encaminhada e ela está conversando com os criminosos.
Pouco depois o telefone toca novamente. Desta vez, alguém que supostamente é do Departamento de Polícia Central de Busan a informa que Seo-joon foi preso em conexão com um acidente no canteiro de obras e ela pode visitá-lo no centro de detenção criminal.
O “advogado” liga novamente e argumenta persuasivamente que, se o caso for a tribunal, Seo-joon será considerado culpado e provavelmente irá para a cadeia. A única maneira de evitar isso é pagar uma indenização. Em estado de pânico, a esposa transfere todas as suas economias para a conta do suposto escritório de advocacia.
Saque rápido
Na tela, vemos a interface bancária dos golpistas quando alguém divide o dinheiro e deposita em sete contas. Em seguida, pessoas munidas de documentos e cartões bancários retiram o dinheiro em várias agências. Quando a mulher descobre que foi vítima de uma fraude e corre até o banco mais próximo, o dinheiro não está mais em suas contas. E não vai voltar.
Vishing (cenário 2)
Acontece que o bloqueador não foi plantado apenas por causa das economias de uma vítima. O chefe da construtora diz que também foi enganado e perdeu um valor bem mais significativo da folha de pagamento. Uma “seguradora” ligou e ofereceu um desconto de 50% no seguro familiar para os construtores. O chefe excessivamente confiante repassou aos desconhecidos não apenas dinheiro, mas também os dados pessoais de todos os seus funcionários. E o sinal do celular ficou bloqueado no exato momento em que ele percebeu que a ligação não era de nenhuma seguradora.
Lavagem de dinheiro por meio de câmbio
A polícia explica às vítimas que o dinheiro não pode ser devolvido, porque foi lavado através de uma rede de casas de câmbio (na verdade, um serviço de transferência de dinheiro). Em outras palavras, os criminosos depositam o won coreano na Coréia e sacam o yuan chinês na China.
Mulas de aluguel
O criminoso que plantou o bloqueador no canteiro de obras dirige uma “agência de viagens”. Na realidade, os agentes de viagens são pessoas das províncias que procuram ganhar dinheiro rápido. Eles são trazidos, se arrumam e são enviados aos escritórios do banco para sacar os fundos roubados. A julgar por uma observação improvisada, o plano é envolver cada pessoa no esquema de saque duas ou três vezes.
Site de poker com uma conta fictícia
Para descobrir o que está acontecendo, Seo-joon recorre a um hacker que conhece. Naquele momento, está sendo pressionado por pequenos criminosos após ser contratada para criar um site de pôquer online, no qual ela o conectou secretamente à sua própria conta – aparentemente para desviar o dinheiro perdido pelos jogadores (ou pelo menos parte dele).
Dispositivo de falsificação em massa
A hacker explica exatamente como os invasores conseguem ligar para os telefones das vítimas a partir de números falsos: usando dispositivos instalados em apartamentos residenciais comuns para falsificar números de telefone.
Negociação de dados pessoais
Seo-joon invade o escritório de um certo Sr. Park, que administra esse negócio criminoso na Coréia. Lá ele testemunha documentos e cartões sendo embalados, claramente para serem entregues às mulas. O mais significativo é que alguém no escritório está vendendo dados pessoais roubados: bancos de dados de devedores de microcrédito, clientes de lojas de departamentos, membros de clubes de golfe e clientes de propriedades de luxo.
Acesso não autorizado a dados pessoais
Usando documentos falsos, Seo-joon tenta ganhar a confiança dos chefes da rede criminosa na China. Acontece que os vilões têm acesso ao banco de dados da polícia coreana e até mesmo ao histórico de pagamentos bancários. Testando a identidade reivindicada de Seo-joon, eles fazem perguntas sobre suas compras. Felizmente, seu conhecido hacker que lhe forneceu os documentos falsos teve a perspicácia de fazê-lo aprender uma história de fachada.
Vishing (cenário 3) — a perspectiva dos criminosos
Seo-joon encontra um emprego em um call center e observa como um grupo de golpistas tenta fazer outra pessoa se desfazer de seu dinheiro. Fingindo ser investigadores de cibercrimes de um banco, eles alegam que a conta da vítima está sendo usada para fins fraudulentos, pelo que ela pode ser processada como cúmplice. Se a pessoa não reconhecer nenhum fato deste contexto, significa que sua identidade foi roubada e deve entrar em contato com o departamento de controle financeiro. A vítima, suspeitando que algo está errado, tenta entrar em contato com o banco para bloquear a conta. Mas seu telefone está infectado com o mesmo Trojan que redireciona a chamada de volta para esses mesmos criminosos, que o convencem de que levará duas horas para bloquear a conta, e apenas o departamento de controle financeiro pode fornecer assistência urgente. Felizmente, Seo-joon consegue sabotar o esquema.
Roteiristas de vishing
Em busca dos vishers, Seo-joon se infiltra na operação e observa como eles criam seus esquemas. É um trabalho sério: os fraudadores fazem pesquisas de mercado, encontram grupos vulneráveis de pessoas e desenvolvem cenários para cada um deles. O “roteirista” principal explica que o vishing é baseado na empatia – eles exploram não a estupidez e a ignorância, mas os medos e desejos.
Vishing (cenário 4)
Os golpistas criam um manual totalmente novo. Em algum lugar, eles obtêm uma lista de candidatos a emprego que fizeram entrevistas com uma grande empresa. Os criminosos ligam para todos da lista e informam que foram aceitos como funcionários. Antes de começar a trabalhar, no entanto, eles devem cumprir algumas formalidades: passar por um exame médico, uma verificação de crédito e dar detalhes de um fiador. Pode ser um parente com mais de 40 anos que pode contribuir com uma certa quantia para o programa federal de empregos para jovens…
Qual a realidade de tudo isso?
O vishing em pauta é mostrado de forma bastante plausível, e praticamente todos os truques descritos são possíveis na vida real. Mas os criminosos realmente os misturam dessa maneira? Felizmente, apenas muito raramente. A história do malware telefônico que imita uma chamada é bem real — veja nosso post sobre um Trojan semelhante. Mas um bloqueador lembra mais um ataque direcionado e é improvável que seja implantado em um esquema em massa. A lavagem de dinheiro por meio de câmbio provavelmente poderia acontecer na Coréia, mas seria mais difícil em outros lugares. Usar mulas para sacar realmente funciona assim. O que é inegavelmente verdade é uma frase proferida no final do filme: “Muitos se culpam por engolir a isca, mas na verdade eles foram caçados por predadores inteligentes e calculistas. Mas eles serão pegos mais cedo ou mais tarde”.