Como os hackers ganham dinheiro

Os danos de ter a identidade roubada ou ter registros pessoais, financeiros ou de saúde roubados podem demorar meses ou anos para reparar. Mas qual é exatamente o valor de dados roubados no mercado negro digital hoje?
A notícia ruim para vítimas de roubo de dados é que mais fraudadores têm acesso a mais dados roubados com preços cada vez mais baixos. O motivo é que há tantos dados roubados disponíveis que os hackers simplesmente não têm dificuldades em roubá-los. A violação de dados da Equifax em setembro de 2017, que pode ter afetado 143 milhões de norte-americanos, é o exemplo perfeito.

Eis vários exemplos do preço de seus dados roubados:

Infográfico expandido de como os hackers ganham dinheiro

Onde os dados roubados são vendidos?

É importante entender como e quando seus dados roubados são revendidos. Isso acontece em uma parte da internet chamada de dark web. Acessada usando apenas softwares especiais que ocultam a identidade dos visitantes, a dark web é um mercado vasto para qualquer coisa e tudo que seja ilegal. Boa parte dela parece muito familiar, como qualquer outro site de comércio eletrônico. Os vendedores frequentemente têm classificações dadas por compradores anteriores. Você pode até mesmo comprar software para iniciar seu próprio negócio de hacking. Os pagamentos para os vendedores são arranjados usando bitcoin, uma moeda digital que garante que os compradores e os vendedores permaneçam anônimos.

Quando você está nesse empório ilícito e tem a moeda digital bitcoin, comprar identidades roubadas ou acessar contas bancárias é fácil. Vejamos cartões de crédito roubados, por exemplo. Como ao comprar qualquer outra coisa on-line, os compradores especificam o tipo de cartão (Amex, Visa etc.); o CVV ou código de três dígitos no verso do cartão; se você deseja informações associadas de login e senha; nomes; datas de expiração; pontuação de crédito; números de segurança social; nome de solteira da mãe; limites de crédito; data de nascimento; geografia específica de uso e assim por diante. O custo por cartão varia de acordo com as informações que o comprador deseja. Clique em "comprar agora", baixe as mercadorias roubadas e pronto.

Qual é custo para comprar dados roubados?

Quanto esses cartões custam na dark web? As variações são amplas e flutuam dependendo da oferta de cartões roubados. Portanto, se houve uma invasão grande resultando no comprometimento de 10 milhões de cartões, o preço poderia cair se os hackers inundassem o mercado. Mas, de forma geral (e esses números são derivados de uma série de fontes publicamente disponíveis), o custo de dados de cartões de crédito roubados é aproximadamente $8-$22, ou o equivalente em bitcoins. Esses preços tendem a ser mais altos para cartões de crédito roubados na União Europeia, no Canadá e na Austrália. Os compradores pagam mais por cartões com as chamadas "fullzinfo" ou simplesmente "fullz" – significando que o registro roubado tem um conjunto muito completo de informações sobre o titular do cartão. Mas, como detalhado em um relatório revolucionário da sobre o mercado de informações digitais roubadas, cartões de crédito e débito não são necessariamente o alvo comum hoje de hackers e fraudadores. Cada vez mais, os alvos são contas de serviços de pagamento on-line protegidas por senhas. Diferentemente de cartões de crédito, em que o custo por cartão é determinado pelos diferentes fatores selecionados pelo comprador, o custo desses dados roubados é relacionado em grande parte aos saldos nas contas on-line. Como era de se esperar, o preço de credenciais de login de bancos é outra questão. Elas podem valer cerca de $100 para acesso a contas com $2.000 ou menos. Ou podem custar até $1.000 para acesso a contas com $15.000 ou mais.

Um mercado forte para informações de saúde roubadas

Dados de cartões de crédito e de acesso bancário têm uma vida útil, que termina abruptamente quando as vítimas descobrem que foram invadidas. Mas há outro registro de identidade digital que tem informações mais permanentes, que são informações pessoais de saúde, ou PHI na sigla em inglês, incluindo os registros médicos eletrônicos muito valiosos, ou EMR. Eles contêm informações altamente confidenciais sobre o histórico de saúde de um indivíduo. E, como tal, podem ser usados para chantagear indivíduos, para humilhar publicamente certas pessoas, para realizar fraudes grandes de seguros com reivindicações falsas e para criar muitas outras formas de caos e danos às vítimas.

Como com outros dados digitais roubados, o custo desses registros de saúde está sujeito à mesma dinâmica de oferta e procura que qualquer outra mercadoria comercializada. De acordo com Michael Ash, parceiro associado de Riscos e Conformidade de Estratégias de Segurança da IBM, um registro médico eletrônico roubado pode alcançar o valor de $350 na dark web.

No entanto, devido a um grande número desses registros que foram roubados recentemente e despejados na dark web para venda, os preços caíram, de acordo com uma pesquisa recente. Além disso, autoridades de execução da lei reuniram esforços para localizar e apreender compradores e vendedores dessas informações de saúde altamente pessoais, o que assustou alguns compradores. Portanto, recentemente, alguns registros médicos eletrônicos foram comprados por apenas $100 cada. Mas, como mencionado, esse é um mercado altamente dinâmico em que preços de dados digitais roubados variarão muito no decorrer do tempo.

De qualquer forma, os incentivos para roubar esses dados e vendê-los para os que oferecerem o maior valor permanecerá em atividade no futuro previsível. Talvez a única defesa efetiva para indivíduos que queiram proteger esses ativos continue sendo senhas de alta qualidade, praticamente inexpugnáveis, nem como a "higiene" certa de senhas, que garante que as senhas sejam trocadas com frequência. Em relação a isso, é inteligente considerar um gerenciador de senhas gratuito para eliminar as suposições no gerenciamento de senhas e para que você possa deter os hackers.

Fontes: CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.