Ucraniano é preso por comandar esquema que roubava 2 mil senhas por semana
Por Felipe Demartini | Editado por Jones Oliveira | 13 de Setembro de 2021 às 10h30
Um homem de 28 anos foi extraditado aos Estados Unidos acusado de operar uma das maiores redes de roubo de credenciais do mundo, que seria capaz de roubar duas mil senhas por semana. O sistema era composto por máquinas infectadas por malware, que realizavam ataques de força-bruta e experimentavam sucessivas combinações de palavras-chave até que a verdadeira fosse localizada. Depois, o volume obtido era vendido em fóruns da dark web para outros criminosos, que invadiam redes corporativas e realizavam ataques.
- Dia Mundial da Senha | Quais as mais usadas e como se proteger melhor?
- Melhores gerenciadores de senhas para celular
- 81,2% dos brasileiros criam senhas fortes, mas falham em outros hábitos digitais
Glib Oleksandr Ivanov-Tolpintsev é ucraniano, mas foi preso em outubro de 2020 na cidade de polonesa de Korczowa. Em uma cooperação entre as autoridades internacionais, ele foi extraditado e compareceu diante de uma juíza estadunidense na semana passada e teve sua prisão decretada, enquanto aguarda julgamento por acusações de conspiração e invasão de computadores. Caso seja condenado, ele pode pegar a pena máxima de 17 anos de prisão.
De acordo com as autoridades, um valor total de US$ 82 mil foi bloqueado em contas pertencentes a Tolpintsev e seriam oriundos das vendas de credenciais em fóruns voltados ao cibercrime. O governo dos EUA não cita nome nem entra em detalhes sobre casos específicos, mas afirma que os conjuntos de logins e senhas comercializados pelo acusado permitiram que terceiros realizassem crimes como fraude fiscal e ataques de ransomware.
O total de duas mil senhas comprometidas por semana teria sido citado pelo próprio indiciado em uma conversa com um cúmplice. Em outro diálogo obtido pelas autoridades, ele afirmava possuir as credenciais de mais de 20 mil dispositivos, entre computadores e celulares. Nenhum destes números foi confirmado oficialmente.
As redes corporativas, claro, eram o principal produto vendido pelo criminoso desde 2016, dando acesso a golpes mais lucrativos para seus clientes com o travamento de sistemas empresariais e o roubo de dados que, mais tarde, poderiam levar a casos de dupla extorsão. Os responsáveis pelos ataques de sequestro digital cobravam as vítimas tanto pela liberação de suas tecnologias quanto pelo sigilo das informações obtidas — muitas pagavam, mas ainda assim, não viam as promessas sendo cumpridas.
A situação escalou o suficiente para se tornar uma investigação federal, que envolveu o FBI, autoridades fiscais dos Estados Unidos e até o Departamento de Segurança Nacional. Na nota sobre a extradição, o governo americano agradeceu à polícia polonesa pela cooperação, mas não deu data para o julgamento de Tolpintsev.
Apenas senhas não bastam
A principal recomendação em relação a senhas e, principalmente, credenciais de acesso corporativo é o uso de combinações aleatórias e complexas, que incluam números, símbolos, caracteres minúsculos e maiúsculos. Entretanto, ainda assim, elas podem ser quebradas por ataques de força-bruta como os que eram realizados pelo criminoso ucraniano.
A falta de sistemas adicionais de verificação, como a autenticação em duas etapas e, claro, o não cumprimento de melhores práticas relacionadas às senhas, faziam com que o crime compensasse. Com o múltiplo fator, mesmo possuindo as credenciais, um atacante não seria capaz de realizar o acesso a um sistema ou, no mínimo, teria de trabalhar em golpes mais arrojados para garantir a intrusão. A dica, inclusive, vale também para os usuários finais, principalmente em contas de e-mail, redes sociais e apps financeiros.