Ilustração vibrante em preto e laranja. Homem vestindo jaqueta preta com listras laranjas no contorno dos braços, usando balaclava no rosto e segurando uma furadeira de impacto com cabos de rede saindo do mandril, mas lembrando o formato de serpentes.

Transcrição – Contos da Darkweb ep. 001 – A Makita Pilantra

Episódio

NEO – Imagine-se um mega empresário no ramo de departamentos. De repente, sua contabilidade começa a lhe avisar que os balanços estão estranhos, que a quantidade de dinheiro entrando não bate com a quantidade de produtos vendidos. Essa discrepância vai aumentando a cada mês, mas toda sua equipe garante que não há erros nas operações de vendas e nem de estoque.

Conheça neste episódio como o elaborado esquema de fraude cibernética que abalou o ramo de varejo de construção civil. Eu sou Neo Veder e você está ouvindo Contos da Dark Web.

Bem, antes de apresentar nosso convidado e entrar na sua história, desejo compartilhar com você ouvinte como cheguei até aqui.

Este é o primeiro episódio de conteúdo original do Contos da Dark Web, e representa um marco neste projeto, que está apenas começando. Se você chegou por aqui agora, os episódios anteriores foram traduções do renomado Darknet Diaries, do Jack Reshyder. Foi o apoio e o incentivo do Jack que me trouxe até aqui, e por isso este episódio é dedicado a ele, como uma forma de minha enorme gratidão. Jack! Muito obrigado, do fundo do meu coração!

Se você domina o inglês, recomendo fortemente que assine e escute o Darknet Diaries. Obviamente será uma experiência muito mais imersiva do que qualquer tradução que eu faça. Mas o Jack tem tantas histórias incríveis e que merecem estar ao alcance de muito mais pessoas, por isso ainda continuarei fazendo as versões em português do Darknet Diaries para aqueles que quiserem ouvir desta maneira.

Eu sou formado em redes de computadores, e matérias sobre segurança sempre permearam minha formação e meu imaginário. Num dos meus primeiros trabalhos como gestor de infraestrutura, eu já me preocupava com segmentação de rede e com o controle de acesso à rede. Os pontos de rede naquele enorme complexo da organização ficavam todos ativos, e qualquer um que plugasse um dispositivo num ponto já estava dentro da rede.

Aquilo me apavorava, pois eu vislumbrava como um atacante poderia facilmente comprometer tudo lá. Mas você não pode simplesmente decidir e executar mudanças numa organização. Tudo é precedido de processos, análises de impacto e muitas reuniões de convencimento e planejamento.

Então, eu entendo perfeitamente porque tantas empresas têm tantos pontos fracos em sua segurança. Claro que muitas não investem o suficiente em segurança, mas outras investem e levam muito tempo para arrumar a casa, porque também não podem arriscar afetar seu negócio principal, que é o objetivo de sua existência. Então, se você já é ou está se preparando para ser um profissional de cyber, note que é uma longa jornada e que exige paciência.

Meu convidado de hoje é o Gustavo Roberto, um profissional sênior muito capacitado. Vamos primeiro conhecer um pouco sobre a carreira dele, que pode ser uma inspiração para sua carreira também. E depois, vamos conhecer o mirabolante golpe das maquitas.

Oi Gustavo, quem é você na fila do pão? Me fala das coisas que você gosta e faz e que te levaram para entrar nessa profissão.

ROBERTUX – Bom, o meu nome é Gustavo Roberto, eu também sou conhecido como Robertux, ou apenas Tux para os mais íntimos. Atualmente, eu sou gerente de Purple Team, numa companhia de telefonia. Na verdade, eu sou um fuçador nato, digamos assim, tipo um hacker de alma.

Gosto bastante de futucar todo tipo de coisa, desde brinquedos, radioamador, gosto bastante da parte de eletrônica também. E sou um, digamos, radioamador aposentado, porque minha licença já venceu. Então atualmente, como radioamador, só faço rádio escuta.

Além disso, praticamente todos os dias eu treino jiu-jitsu, eu sou faixa preta de jiu-jitsu da equipe Nova União, e esse é o meu hobby / esporte favorito atualmente. Acabei passando por quase todas as fases de um profissional de TI, fui lá desde o rapaz de suporte, que ajudava a passar cabo em canaleta, construir cabeamentos do tipo coaxial. Provavelmente muita gente nem sabe o que é isso mais hoje em dia.

Depois eu passei a ser administrador de sistema, eventualmente fazia alguns códigos numa empresa que eu trabalhei de comércio exterior. Depois de um tempo eu passei a ser administrador dos sistemas dessa empresa, onde eu tive uma grande evolução e tive um grande mestre nessa área, que eu gostaria até de deixar uma saudação pra ele, ele chama Hilton Monteiro, foi um dos caras que tranquilamente eu mais aprendi na vida, e fui migrando de cargos em empresas até o meu momento atual, que atualmente sou o gerente de telecom, como você diz, do Purple Team.

NEO – Uma forma de especialização entre funções de segurança é a que dá cores a times. Red Team é o time especializado em achar as vulnerabilidades e testar a viabilidade de invasão. Blue Team são aqueles que atuam na defesa, programam e operam os controles de segurança.

White Team entra como um mediador entre esses dois times anteriores, definindo as regras de comportamento de cada um, de forma a ficar mais aderente ao mundo real. Já o Purple Team ocorre quando os analistas atuam tanto no ataque quanto na defesa, fazendo uma análise de impacto mais detalhada dos segredos de cada time. Estes são apenas alguns exemplos de especialização, mas existem tantas outras que levaria horas aqui para descrever.

Muita gente me pergunta como iniciar na carreira de cyber. Costumo dizer que é bom a pessoa experimentar um pouco de cada especialidade para entender e poder assim escolher o que lhe agrada, mas nunca ter pressa. Ser um bom profissional exige tempo e dedicação.

Note no exemplo do Robertux como um bom profissional não nasce no topo. Ele começou sendo o famoso menino do computador (ou como um espinhento da informática, se você pegou a referência). Ele passava cabos em canaletas e hoje em dia é gerente de time numa enorme telecom.

Robertux teve mestres, pessoas que lhe trouxeram inspiração e contribuíram com vários tijolos neste castelo. Este é um importante aprendizado para a recente geração digital, que nasceu num ambiente apressado e por isso tende a querer pular etapas. Se você continuar agindo assim, certamente vai findar num profissional medíocre.

Robertux, e na parte de segurança, como foi que você migrou para essa especialidade?

ROBERTUX – Falando da base de segurança, eu consegui bastante dessa base atuando nas defesas dos sistemas dessas companhias, que eram companhias de comércio exterior. E daí minha paixão foi aumentando pela segurança e hoje estou aqui e ainda está bem divertido, digamos assim. Bom, durante a minha caminhada nessa empresa de comércio exterior, eu percebi que, eventualmente, nós sofriamos algumas tentativas de ataques, porque empresas que normalmente trabalham com grandes valores, notas fiscais e tal, elas acabam sendo um grande alvo de cibercriminosos.

Isso, desde muito tempo, não é uma coisa tão atual igual o pessoal pensa, então eu fui me aprofundando no tema, tentando saber o que os hackers faziam, o que os criminosos faziam e tal, e como todo bom fuçador, eu comecei a investigar mais a fundo, pegar materiais na internet, ler diversas revistas, zines e tal, e isso foi cada dia mais aumentando a minha paixão pelo negócio e eu sentia a necessidade de cada vez tentar saber mais sobre o assunto, sobre os ataques, e também o que sempre me chamou a atenção foi a genialidade dos supostos fraudadores, então desde então eu falei, cara, eu quero seguir nessa área de segurança, porque é uma coisa que me brilha os olhos. Eu tentei outras áreas também, programação e tal, apesar de eu desenvolver algumas coisas, não me chamou tanta atenção quanto a área de segurança da informação.

NEO – E que cursos, que formação você teve?

ROBERTUX – Olha, eu comecei fazendo ciências da computação, então me formei nisso, só que, como eu costumo dizer, ciências da computação, ela forma cientistas, então cientista da computação, beleza, ele tem um ramo gigante de atuação, porém, quando, assim, visando bater mais de acordo com a minha vivência na área de tecnologia, o que eu tentei fazer? Tentar direcionar meus esforços, como eu trabalhava bastante com redes e tal, pra uma tecnologia em rede de computadores, e nesse curso eu confesso que eu me achei, porque lá basicamente tinha assim, tudo que eu precisava, aí tinha matéria de programação, tinha matéria de redes, diversas matérias de segurança, algoritmo, então, assim, se eu pudesse sugerir alguém algum curso atualmente, alguma coisa de tecnólogo em sistema de informação ou tecnólogo de redes, eu sugeriria a pessoa começar por aí, e futuramente fazer outro curso se ela achasse necessário.

NEO – Sei que seu pai também te influenciou bastante, não foi?

ROBERTUX – Na verdade, assim, meu pai sempre foi um fascinado por eletrônica, né, de uma forma geral, então, eu costumo dizer que ele foi o primeiro hacker que eu conheci, né, porque meu pai, o cara é da pá-virada, né, pô, ele sempre construiu os próprios equipamentos, sempre investiu muito em revistas de eletrônica, em construir coisas pra nós dentro de casa, e daquele famoso jeitinho em tudo que aparecesse de eletro-eletrônico dentro de casa, tipo, desde trocar uma lâmpada dentro de casa até, sei lá, consertar a placa da máquina de lavar, por exemplo, então, meu pai sempre foi bem ligado nesse tipo de coisa, além de ter me ensinado bastante, né, cara, construiu várias antenas comigo, fizemos várias experiências radioamadorísticas, digamos assim, diversas vezes queimamos diversos circuitos por falta de atenção ou por estar mexendo com isso já tarde da noite, então, assim, meu pai foi uma grande inspiração, costumo dizer que ele era, ou seja, na prática, ele era um hacker, mas não sabia que era, no caso, né.

Então, cara, é até um clichê dizer que eu era aquela criança que desmontava os meus brinquedos pra ver o que tem dentro, mas além disso, de desmontar os brinquedos pra ver o que tem dentro, eu fazia pequenas modificações, né, aproveitando que meu pai era bem forte em eletrônica, assim, então meu pai sempre ajudou, tipo, a dar um gás no meu carrinho de controle-remoto, ou, pô, meu helicópterozinho quebrou, o que a gente pode fazer aqui pra melhorar, tipo, a hélice que não era móvel passou a ser móvel usando um motorzinho, então, essas coisas foram o meu começo no hacking, é até um clichê que, basicamente, todo mundo que se pergunta acabou fazendo isso na infância.

NEO – E como foram os seus primeiros anos com o computador? Você já tinha um computador quando era criança?

ROBERTUX – Eu fui ter computador já era, eu devia ter uns 18 pra 19 anos, talvez, eu fui ter computador tarde, diferente da maioria do pessoal hoje que já tem super cedo, né, só que uma coisa curiosa é que, antes de eu ganhar computador, eu já sabia que eu gostaria de mexer com Linux. Por exemplo, eu sempre gostei muito de ler, né, daí eu tava passando numa livraria e um dia eu li assim, Linux sabe a Bíblia, é… saiba tudo sobre esse sistema operacional fantástico e tal, aí eu comprei esse livro, pô, e li ele do início até o fim, inclusive todas as menções que os caras faziam, todas as páginas, literalmente, eu comi esse livro, digamos assim. Então, cara, isso aí me deu uma base muito boa, é, pra quando eu ganhasse meu computador, eu conseguisse mexer com o negócio, então, é, nosso primeiro computador nós tivemos um IBM PS1, é, era de drive e de disquete ainda, né, 33 megahertz, 171 de disco, pra época era uma coisa até meio avançada, né, e esse computador não conseguia rodar o Linux, porque o Linux que tinha na época precisava de um pouco mais de memória, daí a gente não conseguiu. Aí futuramente, meu pai, com um pouco mais de dinheiro, ele comprou um outro computador, esse sim com o fax modem, com uns programinhas bacanas lá, e o Windows 98 na época, e a partir daí eu comecei a fuçar o Windows assim, aliás, minto! Eu comecei a fuçar no Windows 3.11, a primeira coisa que eu fiz de porcaria no Windows 3.11 foi instalar a proteção de tela de um carinha que fica numa ilha, talvez você saiba do que eu tô falando.

NEO – Ahahahahah, sim, eu lembro! O Robertux está falando da proteção de tela do Johnny Castaway, um náufrago que flertava com uma sereia. Deixarei o link nas notas do episódio para você reviver, ou se você não for daquela época, conhecer.

Certo, Roberto, por favor, continue.

ROBERTUX – Aí, rapaz, esse, passou um dia, dois, daqui a pouco o vírus, era o vírus da época, chamava Leandro e Kelly. Eu falei, meu Deus, e pior que meu pai tinha copiado o disquete e levado para o serviço, e deu lá o problema do vírus de novo. Aí, eu fiquei pensando, cara, o que eu vou fazer?

Só que me deu um estalo assim na mente, eu falei, pô, ontem tava funcionando, hoje tá com o vírus, se mexer aqui na data do setup, aí voltei, aí voltou ao normal, eu falei, opa, então eu já sei por onde começar a fazer a coisa funcionar. Tipo assim, mas só passava da data, o vírus voltava, né? Que esse vírus Leandro e Kelly era quase que uma cópia daquele vírus da época chamado Michelangelo, talvez você se lembre.

Então, beleza, e depois que eu consegui fazer essa façanha aí de o vírus parar de funcionar, eu falei, cara, preciso estudar mais sobre isso. Aí eu comprei um monte de livro de hacker que tinha na época, um monte de revista, e fui tentando beber daquelas fontes ali, e o desfecho dessa história era o seguinte, esse vírus Leandro e Kelly, feito por brasileiros lá de Minas Gerais, ele nada mais era que um vírus de boot, né? Então, se eu desse lá um fdisk barra MBR, eu corrigi o MBR, sumiu o vírus. E depois que eu aprendi isso, cara, tirei vírus de muita gente, não ganhei dinheiro, fiz na manha, né, como dizem.

Mas assim, o meu primeiro bom contato com hacking e com o mundo de vírus, essas coisas, foi nessa história aí, cara.

NEO – Nos anos 90, a maioria dos vírus não causava muito estrago. Eram feitos muito mais pelo desafio e curiosidade do que como uma forma de dano e vantagem. Os hackers, os nerds da época gostavam dos desafios de manipular o comportamento do sistema.

Deixarei nas notas do episódio o espelho de matéria do caderno informática da Folha de São Paulo, datado de novembro de 1994, falando sobre a vacina para o vírus Leandro e Kelly.

Note que o termo hacker já foi usado até aqui tanto para descrever os criminosos quanto para descrever os profissionais do bem. É importante deixar claro que hacker não é sinônimo de criminoso. Hacker é quem gosta de estudar, estudar os mecanismos e obter o controle desses mecanismos, para fazê-los funcionar de maneira diferente. Hacker é um curioso, que gosta de estudar e se empolga e perde a hora lendo livros de conteúdo técnico.

Mas como todo conhecimento na vida, a pessoa pode decidir usar para o bem ou para o mal. Bem, agora que já conhecemos sobre sua formação, como você foi parar na investigação da fraude? A fraude da Makita, vamos chamar assim para dar o nome divertido.

ROBERTUX – Muito bem, esse foi um caso interessante e bem importante assim na minha vida, nessa vida de profissional de segurança da informação. Então, o que acontece, eu trabalhava para uma empresa aí, uns caras bem famosos no mercado. Então nós estávamos lá numa sexta-feira, pronto lá para comer o cachorro-quente de Osasco. A gente desceu, eu e o amigo, né, e enquanto a gente estava lá pedindo o cachorro-quente, chegou uma mensagem no meu celular que falou Gustavo, cara, tem um problema aqui, você consegue nos ajudar?

Falei, ó, eu vim aqui pegar o cachorro-quente, mas já subo no escritório, a gente no dia tinha até fechado o escritório já, que já era além de 18 horas, né. Aí fomos lá entender o caso. Depois o rapaz nos ligou novamente e disse assim, olha, tem um…

Aqui na loja nós detectamos um dispositivo e curiosamente depois da detecção desse dispositivo, que a gente não sabia o que era, a gente foi fazer uma verificação nos caixas da empresa e descobriu que tinha durante um mês uma perda enorme financeira e a gente queria saber se na verdade esse dispositivo tem a ver com essa fraude, né, ou se não tem nada a ver. Os caras, como eles estavam com uma certa urgência, então marcaram com a gente ir para o sábado. Então uma pessoa da loja trouxe o dispositivo até a gente e ele veio acompanhado de um oficial de uma força de segurança, não me recordo qual agora, e ele falou, olha gente, a gente encontrou esse dispositivo aqui, é uma caixinha, vocês podem dar uma olhada para nós para a gente saber se isso tem ou não a ver com a fraude da loja.

Mas beleza, demos uma olhada superficial assim, não parecia ser algo muito problemático. Inicialmente o equipamento lembrava muito um switch, só que em dimensões menores, né, e aí perguntamos assim, tá, a gente pode abrir esse equipamento, desmontar e tudo? Os caras, podem. Então beleza.

NEO – Bem, até o momento tinham achado um dispositivo, mas foram as autoridades que procuraram vocês a partir de uma investigação geral deles, ou foi a própria empresa de materiais de construção que estava investigando e procurou sua ajuda?

ROBERTUX – 

Não, não, na verdade, o que acontece, como eles estavam tomando muita fraude, né, ordem dos milhares de reais por mês, eles resolveram vasculhar todo o sistema de câmera, toda a loja em busca de qualquer coisa que não parecesse que não era da loja exatamente. Então, nessa vasculhada pela loja, atrás de um equipamento específico, grande, por sinal, eles encontraram esse equipamento. Então, eles falaram, nossa, tem um equipamento aqui atrás de um trambolho enorme que era um misturador de tintas, digamos assim.

Então, isso aqui pode ter relação. Aí o que acontece? Eles, conversando com a segurança patrimonial, eles começaram a revisar todas as câmeras da loja e descobriram que, em determinado dia, passou uma pessoa perto desse misturador de tinta, fez um movimento suspeito, sumiu da câmera, daí sumiu.

Aí os caras perderam ele de vista, porque eu acho que ele conseguiu passar atrás de uma pilastra ou algo assim que não tinha muita visualização, e depois filmaram o cidadão lá na porta da frente, já saindo. Então, isso aí levantou uma série de suspeitas. E na ronda pela loja, eles foram lá de fato, haviam o equipamento atrás desse misturador de tinta, coletaram o equipamento, não parecia um equipamento da loja, então eles, como havia tido perda financeira, eles acionaram a polícia.

E a polícia sugeriu para que ele procurasse empresas especializadas nisso, por sinal, nós tínhamos algum contato com as forças policiais, e eles sugeriram que levaram o equipamento para nós. Aí, esse equipamento acabou chegando nas nossas mãos, foi assim que tudo ocorreu.

NEO – Neste ponto, fica evidente que a empresa não tinha nenhum controle de acesso à rede, ou NAC, Network Access Control. Este tipo de protocolo mantém o dispositivo confinado numa rede isolada até que ele atenda aos requisitos de autenticação e autorização.

Ok, então o que tinha no equipamento? Como estudaram sua estrutura e o que vocês encontraram nele?

ROBERTUX – Bom, basicamente, nós fizemos lá, digamos assim, uma autópsia do equipamento. Basicamente se tratava de um dispositivo embarcado que conseguia rodar Linux, no caso era um Raspberry Pi, nesse caso específico. O Raspberry Pi, para quem não conhece, é uma plaquinha com processador, uma entrada de rede, entradas de áudio, então se parecia muito com um microcomputador, era um computador em dimensões pequenas.

NEO – Uau! Ter um minicomputador dentro da rede de um alvo é tudo o que um hacker criminoso quer. Com isso, ele pode entrar e sair a hora que bem entender, além de poder mapear todo o comportamento e infraestrutura do seu alvo.

Seja num lugar movimentado, para se disfarçar no meio dos outros, ou num lugar de baixo ou nenhum movimento, esses computadores são tão pequenos e exigem tão pouca energia que acabam sendo difíceis de serem encontrados. O LAN Turtle, da Hack5, por exemplo, é um dispositivo muito usado pelos Red Teams para testar as fraquezas físicas de uma rede. Ele consiste num minicomputador alimentado por uma porta USB, e sua única interface é uma porta Ethernet. Ele é tão discreto que, se colocado até mesmo sobre a mesa atrás de um computador, pouca gente vai notar que é um dispositivo de invasão.

ROBERTUX – O cérebro era isso, e junto desse minicomputador aí existia uma fonte, alguns cabos coloridos e também um modem 3G. Então a gente ficou pensando, que um equipamento beleza, aparentemente tinha um SD Card, um cartão de memória. Aí a gente ficou pensando, beleza, um equipamento Raspberry, a gente até sabe mais ou menos pra que ele serve, mas pra que serve exatamente um modem 3G?

Então a gente ficou um pouco pensativo e chegou à conclusão que poderia ser, se tratar de uma conexão remota, por exemplo. E, assim, nas primeiras semanas não saiu muita coisa, mas a partir da segunda semana a gente começou a progredir nos estudos.

NEO – Bem, então, além de estar na rede do seu alvo, o atacante ainda foi esperto o suficiente para estabelecer seu comando e controle por meio de um modem 3G. Desta forma, ele podia entrar e sair sem precisar passar por eventuais firewalls da empresa e sem deixar rastros de sua atividade. Boa sacada!

E que ferramentas e técnicas vocês usaram para entender as táticas do atacante?

ROBERTUX – Como era, digamos, um voo cego, a gente não sabia exatamente do que se tratava. Primeira coisa, nós tentamos fazer um man-in-the-middle, ou algo assim, e colocamos algumas ferramentas de rede, e em um determinado momento nós começamos a observar que havia conflito de IPs. Na verdade, além de conflito de IPs, tinha conflito de MACs, tinha uma máquina e esse Raspberry Pi rodando na rede com o mesmo IP, com o mesmo MAC, e isso acontecia por diversas vezes.

Tudo indicava que isso pudesse ser um ARP spoofing, só que ficou assim, em princípio, só no achômetro, até a gente poder evoluir mais dentro do problema. Então, basicamente, um ARP spoofing, o cara inunda sua rede com os MACs que ele quer, e para fazer com que esse equipamento, no caso, se pareça com o equipamento legítimo na rede, ou seja, ele falsifica o endereço físico do equipamento e coloca o IP que ele precisa colocar com esse MAC, ou seja, esse IP que ele precisa colocar mais o MAC faz com que o equipamento pareça com o equipamento legítimo, e com isso ele conseguia bypassar alguns filtros de controle de MAC, por exemplo.

NEO – O MAC, M-A-C., ou Medium Access Control Address, é o endereço mais elementar de rede de um dispositivo, e, teoricamente, nunca deveriam existir dois iguais, porque eles são gerados na fábrica, a partir de um controle internacional que evita a colisão. Ele é gravado em firmware para não ser alterado. Mas, muitas placas de rede permitem que um MAC seja alterado e o atacante pode então praticar um MAC spoofing, fazer com que sua placa anuncie o MAC de outro dispositivo, e assim redirecionar o tráfego todo para si.

Os sistemas de N-A-C, NAC, são fortemente baseados nos endereços MAC, e para não serem vulneráveis em casos como este, o Blue Team precisa adicionar outras etapas de validação no sistema de NAC. Já o ARP, ou Address Resolution Protocol, é um protocolo usado para associar o endereço MAC com o endereço IP. O atacante pode também forjar pacotes do ARP para direcionar tráfego para si.

Ao juntar essas duas técnicas, o atacante pode criar um mundo paralelo para as máquinas, manipulando-as ao extremo, para que elas façam o que ele quiser.

ROBERTUX – Despertou bastante curiosidade sobre o que aquilo seria, então nós perguntamos se poderia coletar aquela fonte, o cara da loja falou que sim, então conseguimos mais um produto para levar para o laboratório desmontar e ver do que se tratava. Então chegando no laboratório lá, dentro da fonte, também havia um cartão de memória, um modem 3G, dessa vez a fonte tinha uma bateria de celular junto, e também uma etiqueta na fonte com número de série, que indicava que aquilo ali pudesse ser produzido com uma certa frequência, e de fato era, no final das contas. Então, no levantamento que a gente fez durante essa investigação na loja, nós descobrimos quais eram os pontos relevantes da coisa.

Todo o equipamento encontrado, ele estava na rede da loja, normalmente a rede não estava segmentada, ou seja, servidor, máquina de instalação, misturador de tinta e afins, todos ficavam numa mesma rede, que isso é uma péssima prática, ou seja, qualquer coisa que precisasse de rede, estava ali plugado na rede principal da loja. Desde os leitores de preço, até os servidores, até os caixas eletrônicos, ou seja, não havia separação de rede. E isso aí, para um fraudador, é uma festa boa.

NEO – Segmentar a rede é uma das tarefas mais básicas, um dos primeiros ensinamentos em qualquer curso de redes. Segmentar tanto tem um efeito no desempenho, porque diminui o trânsito de pacotes de descoberta ARP, quanto ajuda a criar ilhas, para diminuir o alcance de comprometimento de um atacante. Mas fazer isso dá trabalho e exige investimento.

Numa rede segmentada, o analista tem que providenciar uma série de configurações cada vez que um novo dispositivo é adicionado. Por outro lado, ativos críticos, como serviços de caixa e de contabilidade, funcionando numa mesma rede, é como se não houvesse paredes para esses setores. Como se tudo funcionasse numa mesma sala. Se o atacante entrou naquela sala, invadiu tudo.

ROBERTUX – Uma outra coisa bem curiosa que a gente encontrou dentro da loja, em um dos equipamentos, tinha uma nota escrita à mão, dizendo, não desligar nunca, com erro grosseiro de português, desligá e obrigado à gerência. Isso também foi bem curioso. A gente até ficou com mais vontade de pegar o equipamento para examinar mais de perto o que estava ocorrendo.

Até aí a gente já desconfiava que a fraude que os caras estavam sofrendo poderia ter relação com esse equipamento. Em outras lojas do ramo foram encontradas versões maiores do Raspberry. Só que dessa vez era um Raspberry bem mais potente, com entrada para HD, com duas entradas de rede, ou seja, eles estavam fazendo a coisa ficar um pouco mais profissional. Era o Raspberry A20.

NEO – Os golpistas perceberam que poderiam pulverizar seus rastros e ampliar seus ganhos, usando as mesmas táticas em outras lojas do ramo.

ROBERTUX – Então, eles pensavam assim, né? Bom, se essa loja X tem esse monte de vulnerabilidade de rede, certamente as próximas lojas vão ter as mesmas vulnerabilidades, e tinham de fato. Então, nas próximas lojas eles instalaram equipamentos mais modernos, que dessa vez ele deixou de ser um Raspberry comum e virou uma Cubieboard.

Uma Cubieboard é tipo um Raspberry, só que um pouco mais robusto. E nessas versões das outras lojas, o artefato era bem melhor acabado, ele ficava numa caixinha bonitinha. Então, você vê o profissionalismo dos caras, como estava chegando.

Eu imagino que essa primeira loja foi uma loja de teste, e as lojas subsequentes foram lojas que já estavam fazendo o golpe da versão melhorada.

NEO –  Então, agora a quadrilha estava sofisticando um pouco mais, investindo em equipamentos mais robustos. O Raspberry ficou muito famoso por ser pioneiro na produção de minis placas-mãe, mas existem outras marcas que podem produzir bons produtos, como a Cubieboard e a BananaPie. A turma de cyber costuma chamar esses equipamentos implantados de Rogue Devices, que agora vou chamar aqui de Dispositivo Pilantra, numa tradução livre.

Ok, Robertux, e como vocês foram entendendo o que exatamente esses equipamentos pilantras faziam?

ROBERTUX – Então, nós descobrimos algumas características comuns a todas as fraudes. Basicamente, eles estavam em… Quando você entra em uma loja e vê aquela gôndola bonita, com TVs ou computadores e tal, isso aí era um forte indício que os caras iam plantar essa fraude lá.

Por quê? Porque lá tinha um ponto de rede, por onde o computador recebia as programações do que ia passar no dia. Então, era um forte indício que, se a loja tivesse perda financeira, tivesse uma gôndola dessa toda bonita ligada ao computador, podia saber que por ali, muito provavelmente, ia estar morando o equipamento do fraudador.

Muito comumente, eles instalavam também o equipamento na rede onde fica plugado o leitor de preços. Porque, se vocês observarem bem, o leitor de preços se comunica com a rede. Eventualmente, quando você está passando por uma loja, você consegue visualizar lá o IP, a configuração e tal.

Então, isso é um prato cheio para o fraudador fazer a configuração. Então, nós tínhamos certeza que era um Linux, em alguns tinham criptografia, tinha conexão com a internet e tinha conexão com a rede local. Então, a gente pensou, bom, isso aí, muito possivelmente, é um dispositivo onde o camarada entra remoto e acessa a rede local e tenta fazer alguma coisa.

Até aí, nós não sabíamos o que era. Então, para a gente poder saber exatamente o que estava acontecendo, nós utilizamos algumas ferramentas. Utilizamos o DD para clonar o cartão, o cartão de memória. Usamos o KpartX para montar a imagem do cartão de memória do fraudador, já que nós não tínhamos, até então, conseguido copiar. Então, a gente usou esse KpartX para tentar montar. Daí, começou os estudos e a gente, um belo dia, conseguiu pegar uma imagem dessa, não criptografada.

Pegamos uma imagem que não tinha criptografia e conseguimos abrir a imagem, só que não tinha log nenhum. Só que, baseado no que havia no cartão e como as pastas estavam dispostas lá, nós percebemos que ele tinha um servidor de SSH interno, que ele tinha scripts de discagem e isso aí chamou bastante a nossa atenção. Só que, nesse momento, a gente ainda não conseguiu coletar nada que pudesse ser uma evidência, que era fraude, de fato.

Beleza, então, a partir desse dia, a gente começou a evoluir. Então, basicamente, a rede 3G era ligada e funcionava como a rede externa e a placa interna funcionava dentro da rede da lógica.

NEO – Então, ele fazia o comando controle somente pela rede 3G?

ROBERTUX – Exatamente, exatamente. Foi bom você perguntar isso, porque o que acontece? Analisando os arquivos que nós encontramos, a gente descobriu que, em determinado momento, aquele dispositivo se conectava a uma rede externa e nessa rede externa, fatalmente, haveriam mais equipamentos conectados. Então, o que a gente fez?

Bom, a gente sabia, mais ou menos, quais eram os modus operandi dos caras, então, a gente construiu um equipamento quase igual deles, também com modem 3G, só que, ao invés de um SSH comum, a gente usou um honeypot de SSH. Isso significa o quê? Quando a pessoa tentasse se logar nesse SSH, não fazia nada e, de quebra, pra nós, ele dava usuário e senha.

Então, um belo dia, a gente resolveu construir o nosso próprio equipamento e a gente fez um equipamento muito, mas muito similar ao equipamento dos caras. E a gente resolveu colocar em produção e ver o que acontecia. Beleza, colocamos o equipamento em produção e, alguns minutos depois, a gente nem achou que eles fossem conectar… Então, alguns minutos depois, chegou uma conexão no nosso honeypot e começou a tentar testar um monte de coisa, né? Só que nada daquilo funcionava. O cara deve ter pensado, poxa, deve ter dado pau. Aí, ele largou pra lá. Então, a gente tinha a primeira senha do fraudador.

NEO – Que ótima sacada do time do Robertux. O dispositivo pilantra avisava para o fraudador que estava online e qual IP tinha naquele momento. Os investigadores não conseguiam avançar muito porque não tinham a senha da criptografia usada nos dispositivos.

Daí, com uma cópia muito parecida, o fraudador se conectou no clone, forneceu o usuário e a senha, e ainda tentou executar comandos que não funcionavam, mas demonstrava para os investigadores o que ele costumava fazer. Este foi o primeiro grande lapso do fraudador. Foi pego num honeypot, um dispositivo que profissionais de cyber colocam na rede para atrair e mapear intenções de possíveis atacantes.

ROBERTUX – Exatamente. Então, de posse do usuário e da senha, a gente acabou descobrindo a senha de root do equipamento. Então, dali em diante, foi tudo muito mais fácil, porque ele usava a mesma senha para tudo. Então, a partir desse dia, com essa senha, a gente começou a descobrir bastante coisa.

NEO –  Segundo o grande vacilo do fraudador, ele usava a mesma senha nos outros dispositivos, que também era a senha da criptografia do disco. E assim, o Robertux estava habilitado para destrinchar todos eles.

ROBERTUX – Nós tínhamos agora acesso ao disco sem a criptografia. Então, foi tudo muito mais fácil, porque, quando a gente logou sem a criptografia, apareceu lá os arquivinhos de conf dele, para onde ele mandava, qual senha ele usava, qual senha ele usava no banco de dados, foi ótimo para nós e péssimo para eles. Então, logamos lá, descobrimos que havia um C2 hospedado em algum lugar do Brasil, e que lá tinham pelo menos 15 outros equipamentos, com uma característica bem semelhante um do outro, e que estavam online no momento.

Então, a partir daí, a gente começou a meio que prever, aonde seria a próxima fraude, e aonde seria a próxima loja atacada. Isso aí, para nós, foi fantástico.

NEO – Terceiro grande vacilo do fraudador. O Robertux, além de conseguir mapear toda a infraestrutura de comando e controle, o C2, ainda conseguiu entrar no próprio C2, porque eram as mesmas credenciais. A partir deste ponto central, ele conseguia ver os outros dispositivos pilantras, onde quer que eles estivessem e nascessem.

ROBERTUX – Mesmas credenciais para as cubieboards, mesmas credenciais para logar no painel de admin, mesmas credenciais para o banco, ou seja, foi uma festa. O vagabundo chega num momento que ele fica preguiçoso. Ele quer ver o troço funcionando, e o dinheiro entrando na conta dele, em tese.

Então, nós descobrimos que havia outros equipamentos, e a vontade que a gente tinha era apagar o C2 do cara, mas nessas horas, a gente tem que ter um pouco de sangue frio, porque se a gente apaga, a gente não ia ter mais sucesso com nada. Então, a partir desse momento, a gente começou devagarzinho, loja por loja, que eles estavam sendo atacados, a gente ligava para lá, falava que estava tendo uma fraude, os caras pediam uma evidência, e a gente dava. Então, basicamente, a gente descobriu como é que foi todo o modus operandi do cara, e conseguia prever as próximas ações deles.

NEO – E neste ponto, você já conseguiu identificar as pessoas, saber a identidade real dos envolvidos?

ROBERTUX – Não exatamente, porém, pelo log, tudo levava a crer que eram pessoas que eram do Nordeste do Brasil, e a fraude estava ocorrendo em São Paulo. Uma coisa que deixou a gente muito curioso foi porque quem fazia esse tipo de fraude sabia muito bem do modus operandi da loja, como é que a loja funcionava, como é que era o fechamento, todas as partes que envolviam dinheiro, a pessoa que bolou esse golpe sabia como funcionava. Então, ele foi muito sagaz ao bolar esse golpe aí. E, certamente, era algum profissional de TI, ou de terceiro, ou da própria loja, que faziam essas fraudes.

NEO – Este é um ponto muito importante dessa história. Por mais que fosse um hacker super habilidoso e não cometesse deslizes, seria muito pouco provável obter esse nível de sucesso se ele não conhecesse os detalhes do negócio.

Quando um hacker invade uma empresa qualquer e ele não conhece o funcionamento dela, normalmente ele procura ficar quietinho na infraestrutura para não ser notado. Ele pode fazer isso por vários meses, justamente para obter o máximo de informações e só então aplicar seu golpe certeiro. Outra lição importante aqui é que não existem barreiras geográficas para golpes digitais. Estar longe, na verdade, é mais uma vantagem.

Bem, agora que vocês já tinham muitas informações sobre a parte cibernética, afinal de contas, o que eles faziam com tudo isso?

ROBERTUX –  Como é que funcionava? Existiam aliciadores, que cooptavam normalmente casais, com filho e num carrinho de bebê. Tinha o pessoal que é chamado da engenharia, que construía os artefatos, e tinha a pessoa que implantava os artefatos, que eram do carrinho de bebê.

Tinha o cara que fazia a fraude em si, além do fraudador remoto, que eu desconfio que era o cérebro da quadrilha, ou pelo menos era uma parte bastante importante. Então, como é que funcionava? O fraudador principal, o RH do crime, pagava R$ 500 para esse casal e falava, olha, eu tenho esse dispositivo aqui, você chega ali naquela loja, pluga num cabo de rede e pluga numa energia elétrica, larga para lá e vai embora. Aí beleza, normalmente os plantadores de device faziam isso, aí ele dava um sinal para o cara. E esse segundo cidadão…

NEO –  E sempre usavam mulheres com bebês para implantar?

ROBERTUX – Na verdade, sim. Para despistar bastante, eles iam em casais. E, curiosamente, a pessoa que implantava tirava o dispositivo de trás do travesseirinho da criança e ia lá plantar na loja.

Ele ligava para o segundo rapaz, esse outro rapaz via se estava tudo ok, ele provavelmente tinha mais acessos e ele conectava via celular com o cérebro da operação. Beleza, feito isso, esse cara que falava com o cérebro da operação ia lá na frente, por exemplo, ele pegava uma fita isolante. Daí ele ia lá no caixa e testava para passar.

O curioso é que ele sempre ficava no telefone com o fraudador remoto. Ele falava assim, olha, tô aqui no caixa tal, com IP tal, tem tal impressora, por exemplo, IP 192.168.0.10, esse caixa aqui é o número 10. Então o fraudador remoto fazia o que?

Ele dava o comando de lá, ele usava uma ferramenta chamada Ethercap. Essa ferramenta possui um plugin que consegue isolar e escravizar a máquina, no caso IP 192.168.0.10. E, tendo a máquina escravizada, ele consegue enviar um comando de lá e fazer com que essa máquina faça qualquer operação que ele quisesse, inclusive emitir notas fiscais como se tivesse sido feita uma compra, mas na realidade não era. Então, retomando aqui, a pessoa ia no caixa, tentava passar a fita isolante, passava todos os dados e dado momento ele falava, eu tô no caixa 192.168.0.10, caixa 10. Aí o cidadão tentava passar o cartão dele, normalmente não ia de primeira, aí ele falava, nossa amor, tentei passar o cartão aqui e não deu. Muito provavelmente o fraudador remoto falava, tenta de novo. E quando ele tentava novamente, aí sim passava, emitia uma nota fiscal como se fosse uma nota fiscal normal, a pessoa pegava a conta, botava na sacola e ia embora.

Então, a fraude estava aí.

NEO – Esquema desvendado. Era uma fraude síncrona, precisava da interação do hacker naquele exato momento. Ele manipulava os equipamentos de venda e fazia concluir uma compra falsa. A nota fiscal saía, mas a venda não tinha sido processada de verdade. O fraudador com certeza conhecia todos os detalhes do processo de venda para manipulá-lo neste nível.

ROBERTUX – Tipo assim, tudo levava a crer que era uma nota verdadeira, só que com o comando do cara ele injetava e não saía nada. Não tinha um valor contábil. Era simplesmente uma nota com valor. Normalmente o caixa não está treinado para esse tipo de coisa. Então ele pegava a nota, dava a mão do cara, ele botava a nota na sacola e seguia o rumo. Curiosamente, depois que essa compra dava certo, a pessoa voltava, dizia que esqueceu algo.

Por exemplo, esqueceu de comprar furadeiras. Aí ele botava as furadeiras no carrinho, ia lá, passava de novo o mesmo caixa, o mesmo procedimento. Aí falava, nossa, como eu sou esquecido, né? Tipo, dava aquele migué, como dizem. E novamente, ficava no telefone e acontecia tudo novamente. O operador remoto dava o comando, ele jetava a nota, ele botava a nota na sacola e os equipamentos e seguia ali.

NEO – Olha só! Passar um item de pequeno valor era apenas a validação de que o esquema estava todo funcionando naquele momento. Deu certo, o meliante inventava uma desculpa, entrava de volta na loja e voltava em seguida para o mesmo caixa. Mas agora com um monte de produtos de alto valor. Ao sair com esses produtos sem pagar por eles, tinham agora uma fonte de receita no mercado paralelo. Era assim que o dinheiro alimentava o esquema com a prática de receptação dos produtos frutos de crime.

O crime de receptação está previsto no artigo 180 do Código Penal Brasileiro. Ele ocorre quando alguém adquire, recebe, transporta ou oculta um produto de crime e tem pena de 1 a 4 anos de reclusão. Assim, fique esperto ao comprar ou até mesmo transportar produtos sem origem comprovada ou de pessoas que você não tenha absoluta confiança.

Robertux dá uma dimensão para nós dos produtos que eles, entre aspas, compravam.

ROBERTUX – Olha, eu vou te dizer que eu acho que eles acabaram sendo pegos porque eles tinham muito olho grande. O que eu vi passando foi um cidadão com 10 furadeiras Makita num carrinho. Essa furadeira, se eu não me engano, custa uns R$ 1.600, coisa assim de um valor enorme. E ele passou e deu certo. Aí beleza, não satisfeito de uma outra vez, ele tentou passar. Na verdade, tentou passar não, ele passou, né, R$ 370 mil de areia. Não sei nem quanto dá isso em caminhões de areia, que seria direcionado para uma favela de um local próximo lá.

Só que, compras grandes assim, um setor de inteligência deles detectou. Falou, opa, tem coisa errada aí. Aí o cara perguntou, tá, mas quando eu vou conseguir levar os caminhões de areia? E cozinharam ele lá.

Falou, ah, daqui a 10 dias. No fim, descobriram que realmente era fraude, né? Aí a casa dos caras começou a cair a partir desse momento.

NEO – 10 furadeiras de alto valor e R$ 370 mil em areia. O Robertux presenciou apenas algumas compras, já que ele não fazia parte de toda a investigação, mas apenas da análise cibernética. Mas estes dois exemplos já nos mostram que esse esquema foi muito, muito maior que isso.

O fato de cometerem esses exageros revela que a quadrilha estava confortável. As coisas vinham funcionando e a ganância os levava a sempre dar um passo maior na próxima vez. Fiquei curioso como uma furadeira poderia custar tanto dinheiro e resolvi pesquisar no site de uma grande marca do ramo. Há modelos que custam R$ 3, R$ 5 e até mais de R$ 7 mil. Então imagine quanto dinheiro essa quadrilha conseguiu produzir com esse tipo de golpe.

ROBERTUX – Descoberto todo esse modus operandi e como nós já tínhamos acesso a todas as conversas do cara, que ele trocava uns chats, nós já sabíamos todo o esquema que ele fazia. A gente fez uma operação, um belo dia de sábado, que ele resolveu ir lá assim que a loja abrisse. Então o que é que acontece?

O rapaz foi lá, foi a segunda ou terceira pessoa chegar na loja. Nós já tínhamos montado lá uma bela operação, mapeamos as portas do switch, deixamos guardas de prontidão. Falamos o seguinte, olha, não age, não faça nada. Mesmo se o cara tentar roubar, sair correndo, não faz nada. Vamos tentar ver o que acontece.

Dito e feito, mesmo modus operandi, só que dessa vez o cara trocou de caixa e foi para o caixa 6. Curiosamente, ou por azar dele, ele estava no caixa que estava exatamente embaixo de uma das câmeras principais da loja. Aí passeou pela loja, daqui a pouco entrou o casal, plugou a Cubieboard na loja. O casal deu mais de uma volta, saiu da loja e não levou nada.

E a gente percebeu que o cara foi lá, pegou duas chaves de fenda e algumas fitas isolantes. Por que sempre fitas isolantes? Porque ele usava na produção das Cubieboards. Depois que a gente entendeu melhor por que tantas fitas isolantes sempre, além de ser um troço barato, se desse problema ele podia pagar do bolso dele mesmo. Então armada toda essa operação, as forças policiais estavam todas conosco.

Então tinha uma operação toda pronta para pegar o cidadão. E ficou uma viatura de prontidão lá do lado de fora, caso desse alguma coisa errada. Mas tudo fluiu muito bem.

Ele foi, fez toda a compra, acionou o fraudador remoto, ejetou a nota fiscal. Uma coisa curiosa que a moça do caixa até falou depois conosco é o seguinte. Olha gente, eu já vi muito cartão passar aqui, mas nunca vi cartão de loja de departamento como cartão de crédito. Aí a gente falou, nossa, provavelmente qualquer cartão que eu tentar passar lá no PDV vai funcionar. Dito e feito, qualquer cartão passava.

Então o que aconteceu? O cara fez a fraude e saiu. A polícia já estava esperando o camarada lá fora. Quando ele saiu, o segurança passou o rádio e a polícia foi lá e aprendeu o cidadão.

NEO – Certo, mas o que ele estava levando? Já era a segunda rodada com os produtos caros?

ROBERTUX – Eram tipo umas cinco fita isolantes, umas duas furadeiras dessa Makita. E tinha algumas coisas também de produto de planta, como se fosse terra de planta, coisa paisagística. Era a primeira rodada, só que eu senti que ele estava meio preocupado, porque ele não estava tão tranquilo esse dia.

Ele rodou muito e tal, talvez ele estava meio atento já que se pudesse acontecer algo, ou ele viu em algum log que alguém podia estar monitorando ele, mas ele seguiu a vida normal. Fez essa primeira compra aí e depois dessa primeira compra ele foi pego. Ele saiu, imediatamente a polícia cercou ele e foi pego e levado para ser interrogado.

Quando ele saiu do estacionamento, passou alguns metros, a polícia abordou. A polícia queria até dar um pau no cara, falando grosseiramente assim, mas a gente orientou para que não fosse feito nada, que a gente precisava saber do que se tratava. E assim foi feito, conduziram o cara na boa.

Depois teve um segundo momento que a gente foi até a delegacia, fizemos lá uma inspeção de todos os materiais. Descobrimos que havia com o cidadão lá pelo menos 35 cartões das mais diversas bandeiras e finalidades. Tinha uma frente de caixa eletrônico, não sabíamos exatamente se ele também atuava nesse ramo. Tinha algumas pastas com muitos documentos de muitos empreendimentos, digamos assim, diferentes. E dois celulares. Dentro dos celulares que foram apreendidos, tinham muitas anotações de coisa de quadrilha e tal. E existia uma parte grotesca também, que eram fotos e vídeos de vários assassinatos, inclusive assassinatos de mulheres, de policiais, esse negócio bem bizarro, sabe?

NEO – O indivíduo se mostrava um profissional do ramo do crime, estava cheio de elementos incriminatórios. Vários cartões de crédito, vários documentos e o telefone cheio de imagens de crimes violentos.

Muito bem, e como o restante do esquema foi descoberto? Como as outras pessoas foram identificadas?

ROBERTUX – Ele foi preso, talvez uma parte curiosa foi que ele foi preso momentaneamente e foi solto depois, porque como ele tinha uma nota, aquilo ali não configurava roubo até então. Então ele foi liberado mediante apagamento de fiança, mas ele teve o celular clonado, os dois. E a gente descobriu várias atrocidades, descobriu o celular do fraudador remoto, e descobriu mais um monte de coisa, só que esses caras eles trocam muito de contato. Então, depois de ter feito essa análise com os caras, ele foi liberado, só que os dados dele ficou com a polícia. E futuramente, numa outra oportunidade, a polícia nos passou esses dados.

NEO – Caramba, mesmo com tantos elementos, o sujeito não seguiu preso. Não temos todos os detalhes dessa soltura, mas a máquina da lei costuma estar alguns passos atrás da criminalidade, abrindo brechas para situações como essa ou tendo que seguir protocolos e procedimentos que acabam favorecendo os criminosos. Por outro lado, esses mecanismos foram criados para tentar garantir que pessoas não fossem presas injustamente. Mas, na prática, sabemos que eles falham nos dois lados.

Bem, com essa prisão, ou pelo menos com esse susto, imagino que o esquema tenha sido interrompido.

ROBERTUX – Qual é a coisa particular da história também, né? Só que as fraudes continuaram, só que dessa vez eles tinham outros modus operandi, só que dessa vez, como a gente já tinha a senha do antigo, o que a gente fez? Levou o equipamento para o laboratório, conectou como root, botamos ele numa rede nossa e ficamos lá esperando.

Como o cara tinha um C2, assim que o equipamento apitava lá no dashboard dele, ele automaticamente conectava e tentava fazer a fraude, né? Ou pelo menos tentava olhar o que se passava na loja.

NEO – Uau! Mas como continuavam? Os dispositivos não tinham sido removidos?

ROBERTUX – Nasciam outros, né? Por isso eles usavam a numeração que eu falei lá no início e por isso tinham os cabinhos de cores diferentes para dizer qual quadrilha que era, mais ou menos isso, né?

NEO – Então era um esquema piramidal, o cérebro por trás dos dispositivos não se envolvia com aquele que executava o golpe, mas meio que era um vendedor de serviço, é isso? Era um fornecedor de rogue devices as a service?

ROBERTUX – Exatamente, excelente observação. Depois que um desses equipamentos ficou online, ele também tinha um modem 3G. Como eu havia mexido com o Linux desde lá do início, desde o Slackware, em alguns momentos a gente usava o minicom para a discagem e o modem 3G tem uma característica que, após ele conectado, se você der um string de conexão específica, ele entrega exatamente a localização que a antena está, né! Para nossa sorte e azar do fraudador, ele morava num lugar no Nordeste, muito ermo assim, que basicamente tinha um casarão, que era a casa do fraudador, e uma antena perto. Ou seja, não tinha muitas casas por perto, só a casa do cara e uma casa bonita.

Então foi bem fácil da polícia chegar lá e pegar o camarada. E foi assim que a gente descobriu o fraudador remoto. Mas isso não foi imediato, foi depois dessa primeira operação aí, foi lá, foram 7, 8 meses depois. Certamente os caras capitalizaram muito em cima ainda.

NEO – Aquela primeira prisão ainda não tinha revelado a identidade do operador do esquema. E os golpes continuavam acontecendo. Pelo jeito, esse operador mal deve ter tido conhecimento daquela prisão, porque ele continuava fornecendo novos equipamentos.

Como ele estava também longe de centros comerciais, muito provavelmente ele não ganhava dinheiro diretamente com o crime de interceptação, mas apenas com o fornecimento do serviço do golpe. Ou talvez um percentual sobre cada uma daquelas notas fiscais falsas que ele produzia. Mas que sacada do Robertux! Seu profundo conhecimento ajudou a identificar a torre de comunicação usada pelo fraudador e ele fez isso através de um programa que quase não é mais utilizado hoje em dia. Mais uma prova que sua longa formação é o que o torna um excelente profissional de cyber, que olha os detalhes e sabe juntar o quebra-cabeça.

Robertux, e como era esse cara? Que vida ele levava? Era um gangster do sertão do Nordeste? Um tipo de lampião?

ROBERTUX – Ele tinha uma vida dupla. Além de fraudador, ele era empresário, ou seja, ele lavava dinheiro contra as coisas. Diversas outras coisas, diversos outros ramos, não só isso.

Ele tinha uma família bem constituída, ele não era um cara que parecia ser pobre, digamos assim. Ele tinha uma certa condição, não sei se ele obteve essa condição a partir de fraudes, mas sei que o cara tinha tudo para ter uma vida digna, sem roubar os outros, só que a ganância falou mais alto, então o cara passou a roubar. Foi triste a prisão do cara, porque a família dele ficou sabendo, os filhos ficaram sabendo, foi bem triste, mas o cara procurou.

NEO – É, numa pena, mas ele procurou. Por fim, que recomendações você daria para as empresas protegerem suas redes de invasões como essas?

ROBERTUX – Olha, acho que uma das primeiras coisas que eu alertaria o pessoal é invista na capacitação da sua equipe. É sempre muito bom, um profissional capacitado vai ter muito mais maldade no olhar do que um profissional não capacitado. Promovam cursos de seguranças internos com bastante frequência, ou capacitação dos profissionais, por exemplo, você elenca um ou outro profissional para ser os olhos da empresa, digamos assim, normalmente os gerentes, e faça com que ele passe a maldade para os próximos que vierem.

E falando em termos de rede mesmo, o ideal é que a rede de loja seja completamente segmentada, por exemplo. Use uma VLAN para servidores, uma VLAN para estações, uma VLAN para máquinas misturadoras de tinta, então você fazendo essa segmentação de rede, e não deixando a rede toda aberta como era nesse primeiro caso das lojas, já colabora bastante para mitigação do problema, não deixa o problema acontecer. É passível de fraude ainda? Pode ser, mas o fraudador teria que dar muito mais passos até obter sucesso na fraude.

NEO – Meu muito obrigado ao amigo Robertux por ter topado participar deste projeto e nos trazer tantos ensinamentos e essa história eletrizante. Você poderá encontrá-lo no @gustavorobertux, no “Xwitter”, que durante esta gravação estava bloqueado no Brasil por conta da seleuma entre o ministro Alexandre de Moraes, do STF, e o Elon Musk, e também no LinkedIn, com o mesmo @gustavorobertux. Os links estão nas notas do episódio.

Você ouviu o Contos da Darkweb? Eu sou o Neo Vedder. No mundo hacker, um tipo de… Meu Degenerado Favorito.

Edição e sonorização Lamparina

Arte da capa de Dan Borges.

Ufa, isso dá trabalho, mas também uma tremenda satisfação. Espero que você tenha gostado e estou ansioso para ouvir seus comentários e sugestões. Claro, recorrendo àquele apelo de produtor de conteúdo, por favor, assina o canal, toca no sininho, comenta e passe esse episódio para o máximo de pessoas que puder. Só assim poderemos produzir mais episódios.

Sabe por que o PC ou o Windows não compromete a rede? Porque ele não tem MAC address.