Como Brett Johnson fraudava cartões de crédito e ganhava US$ 40 mil por dia

Seu primeiro crime foi aos 10 anos de idade, quando, sem ter o que comer em casa, roubou de um mercado. Aos poucos, percebeu que era fácil fazer isso e começou a voltar para casa com brinquedos, eletrônicos, roupas e artigos domésticos. Décadas depois, ele estava à frente de um dos maiores esquemas internacionais de roubo de cartões de crédito, ganhando US$ 40 mil por dia.

• Marcus Hutchins, o homem que derrotou o WannaCry e foi preso pelo FBI
• Malwares criados por cibercriminosos brasileiros atacam bancos internacionais
• Golpes de phishing fizeram 208 vítimas por minuto no Brasil em junho desse ano

Essa é a história de Brett Johnson contada em um minidoc do site Mashable, focado em um dos maiores fraudadores “carders” do final dos anos 1990 e início dos 2000, uma época em que os golpes dessa categoria ainda eram incipientes e a segurança digital ainda não era pauta. Enquanto lojistas ainda faziam cópias em papel carbono de cartões usados nas lojas e o e-commerce dava seus primeiros passos, ele viu o que era um negócio esparso se transformar em uma base criminosa consistente sob sua influência.

Saltar para o mundo do cibercrime foi um pulo. Ele vinha de uma família de golpistas e a mãe, ao ver os roubos praticados no mercado local, não apenas o incentivava como quis aprender com ele. O dinheiro usado na venda das mercadorias furtadas garantiu sua entrada na Universidade do Kentucky, nos Estados Unidos, onde ele teve seu primeiro contato com o ShadowCrew, um dos primeiros fóruns de discussão sobre delitos virtuais de que se tem notícia.

Era um negócio baseado na confiança e nas identidades falsas — não apenas na forma de nicks que escondiam as identidades dos usuários, mas também pelo fato de que documentos falsificados eram, realmente, o principal negócio dos participantes. Johnson passou a agir como uma espécie de intermediário que traria mais credibilidade às negociações: ele seria o responsável por avaliar a qualidade das cópias e enviá-las aos compradores, garantindo uma transação tranquila para ambos os lados.

Gradualmente, os documentos falsos foram sendo substituídos por algo bem mais lucrativo: bases de dados de cartões de créditos, que na época eram usadas para criar plásticos falsos. Novamente, estamos falando de uma época em que o comércio eletrônico ainda dava seus primeiros passos e, como hoje, dinheiro no bolso vale mais do que quinquilharias da Amazon para os criminosos. Johnson continuava atestando que tudo funcionava e estava correto, enquanto o FBI, de repente, encontrava uma pista das mais valiosas.

Albert Gonzalez, conhecido online como CumbaJohnny, foi preso pela polícia após passar mais de 40 minutos em frente a um caixa eletrônico sacando dinheiro, algo que os oficiais acharam suspeito. Identificado, ele foi acusado de ser o líder do ShadowCrew, em uma detenção que caiu como uma luva para agentes federais que começavam a olhar, meio sem rumo, para o fórum online. A prisão foi providencial não apenas por isso, mas também pela apreensão de alguém que, para salvar a própria pele, se tornaria um valioso informante.

O ShadowCrew funcionava na base da confiança, e foi ela que Gonzalez decidiu explorar para entregar o que o FBI precisava. Aos amigos criminosos, ele disse que as autoridades estavam de olho no fórum e que, para isso, todos deveriam utilizar uma VPN dali em diante — rede privada essa que, justamente, era o que permitiria às autoridades interceptarem todas as comunicações, informações e negócios dos golpistas. A ideia foi aceita pela comunidade, e os policiais passaram a ter uma mina de ouro nas mãos.

Pulando do barco

No dia 26 de outubro de 2004, o FBI lançou o que era, até ali, a maior operação contra cibercrimes de sua história. Coordenando esforços com polícias internacionais, os agentes prenderam 33 pessoas, sendo 21 em oito estados dos EUA e outras sete em seis países. A investigação que durou 17 meses também levou à apreensão de mais de 100 computadores, que somavam 2 TB de dados. Mas Brett Johnson não estava entre os detidos.

Ele escapou bem a tempo da operação, quando, ao mesmo tempo em que o ShadowCrew implementava sua VPN “segura”, outro trabalho trouxe a ele interceptações de e-mails das autoridades citando o fórum e alguns de seus usuários. Ele se despediu e anunciou sua aposentadoria do mundo dos “carders”, o que deu a ele alguns meses de respiro até que a continuidade da investigação levou à sua prisão em fevereiro de 2005.

Como “líder” do ShadowCrew, ele também se tornou um informante valioso para o Serviço Secreto dos EUA. O minidoc o coloca como carder de 1998 a 2006, sendo que no ano derradeiro ele trabalhou a serviço do FBI. Ou não exatamente, já que nos 10 meses agindo do lado da lei ele também percebeu que era fácil usar toda aquela infraestrutura para continuar agindo no mundo do cibercrime e obtendo ganhos próprios.

“Os oficiais que me acompanhavam não tinham o conhecimento técnico e ficaram entediados rapidamente. Então pensei, por que não?”, explicou Johnson no documentário. As agências oficiais não conversavam à época, o que fez com que Johnson acabasse sendo alvo de uma investigação dos agentes federais ao mesmo tempo em que “trabalhava” ao lado do Serviço Secreto norte-americano. Em quatro meses de trabalho, ele levantou US$ 600 mil e pretendia fugir para o Brasil, onde acreditava que jamais seria descoberto. Mas não deu tempo. Ao final daquele ano, ele diz ter acordado um dia com seu nome na lista dos mais procurados do FBI e policiais na porta de sua casa.

Ao ser preso e levado para penitenciárias federais, Johnson se viu diante de outro mundo, no qual “cibercriminoso” era sinônimo de pedófilo, e, para evitar problemas, falavam que haviam sido presos por fraudes bancárias. Era exatamente o motivo pelo qual estava preso e ele sabia o que acontecia com acusados de envolvimento com menores na cadeia.

Uma reportagem da revista Wired sobre a operação de 2004 viria para salvar sua vida, ou não. De suposto pedófilo, Johnson se tornou um informante, o famoso “X9”, ainda que nenhum dos delatados por ele estivesse na mesma penitenciária. Ele passou a ensinar outros sobre as fraudes que cometia e seus métodos, o que acabou salvando sua pele e evitando envolvimento com gangues ou atos de violência atrás das grades.

Mudanças de abordagem

A falta de comunicação entre diferentes setores do governo dos Estados Unidos no que tocava o cibercrime levou à criação da NCFTA (Aliança Nacional de Treinamento e Forênsica Cibernática, na sigla em inglês). O órgão é voltado à troca de informações e métodos entre diferentes agências oficiais, bem como universidades e a iniciativa privada. A NCFTA também foi a responsável por lidar com os reflexos do fim do ShadowCrew.

O domínio usado pelo fórum foi tomado pelo FBI, que substituiu a página inicial das discussões com informações sobre as penas dadas a quem cometia os crimes ali realizados, junto com uma frase ameaçadora: “se você está envolvido nisso, fale com a gente antes que falemos com você”. O resultado foi um espalhamento dos cibercriminosos e o surgimento de sites fechados e altamente restritos, sobre os quais as autoridades não tinham nenhum controle ou acesso.

Surge, então, uma era de infiltrados, da qual o agente do FBI Keith Mularski foi um dos mais prolíficos. Entre os principais frutos de suas ações está a queda do Dark Market, um fórum de discussões sobre crimes virtuais que chegou a ser hospedado em servidores do próprio governo após a infiltração do oficial, e que foi considerado por muitos como o sucessor espiritual do ShadowCrew antes de ser fechado definitivamente.

Enquanto isso, após cumprir sua pena, Brett Johnson se via sem emprego e sem rumo. Conforme os termos de sua condicional, ele não poderia utilizar computadores ou lidar com cartões de crédito, as únicas coisas que sabia fazer na vida. No documentário, ele disse ter esgotado suas economias por completo, usando o último dinheiro que tinha para comprar comida para seu gato e um pacote de cartões de créditos clonados, com os quais comprou alimentos.

Ele foi preso mais uma vez e cumpriu outros 10 meses. Já com a pena plenamente paga e sem termos de condicional, ele buscou uma ajuda inusitada. Pelo LinkedIn, entrou em contato com Mularski e se ofereceu não como informante, mas como consultor. O agente aceitou o pedido e acreditou nas palavras do agora, ex-carder de que “queria ter um trabalho legalizado”.

Ele começou a dar aulas sobre sua história e métodos, falando sobre segurança digital e proteções necessárias para o sistema bancário. Hoje, Brett Johnson é palestrante e acumula em seu currículo não apenas trabalhos para o governo feitos de forma “oficial”, como também passagens por grandes empresas de tecnologia como consultor.

Fonte: Mashable