Páginas

julho 08, 2014

[Segurança] O golpe de 8 bilhões de reais

Recentemente a RSA divulgou um relatório sobre o malware de boleto, aonde a empresa estima que o valor potencial da fraude, em dois anos, pode ter atingido até R$ 8,57 bilhões.

O número é assustador, e a imprensa adora esse tipo de noticia: estatísticas assustadoras sobre fraudes que chamam a atenção dos leitores. Não é a tôa que essa pesquisa foi amplamente divulgada na mídia nacional e internacional.

Mas esta estatística também despertou a desconfiança dos profissionais da área (veja, por exemplo, a reação do pessoal da Linha Defensiva): afinal de contas, a Febraban diz que sofreu "apenas" R$ 1,4 bilhões de prejuízo com as fraudes eletrônicas em 2012 (que inclui todo o tipo de ciber crime). Ou seja: a estatística da RSA é aproximadamente 3 vezes maior do que a fraude anunciada pelos bancos (8,5 bilhões em 2 anos versus 1,4 bilhão por ano).

Mas, porquê será que o valor estimado pela RSA é tão grande?

Como o relatório explica, foi realizada uma simples soma dos valores referentes as tentativas de transações fraudulentas que estavam registradas no servidor de controle do malware de boleto, independente se elas tiveram sucesso ou não.

Os valores indicados para cada transação são obtidos a partir das transações originais das vítimas. Isso porque, da forma que funciona o golpe de boleto, o malware faz um pagamento alterando o código de barras de um boleto de forma a manter o seu valor original, para dificultar que o usuário final perceba a fraude. Desta forma, os valores indicados no servidor do malware são os mesmos valores dos boletos originais. Ou seja, se a vítima tentou pagar uma conta de R$ 100, o malware desviou esses mesmos R$ 100 para o fraudador e registrou esse valor no servidor. Ídem se a vítima pagou um boleto de 100 mil reais. Mas o malware não valida estes valores (isto é, ele não vai pensar "ah, isso é um pagamento para um colégio e portanto nào pode ser acima de R$ X"): o valor do boleto que ele interceptar é o valor que o malware vai tentar fraudar.

Desta forma, o cálculo do valor real da fraude é praticamente impossível por dois motivos principais, na minha opinião:

  • Não é possível identificar se a transação foi efetivada pelo banco: Não há como estimar que porcentagem dessas transações fraudulentas foi efetivada pois não sabemos por quanto tempo cada boleto foi pago repetidamente antes de ser identificada a fraude. Isso porque um boleto fraudulento só será negado pelos bancos depois que a fraude for detectada pela primeira vez (geralmente quando a vítima abre uma reclamação assim que percebe que seu pagamento original não foi realizado). Assim, um código de boleto pode ser usado várias vezes, em bancos diferentes, até que os bancos comecem a negar suas transações. O próprio relatório indica que foram realizadas quase 500 mil tentativas de transações, que foram realizadas com "apenas" 8 mil boletos únicos - ou seja, os fraudadores realmente tentam pagar o mesmo boleto dezenas ou centenas de vezes;
  • Não é possível saber se os valores das transações são reais ou não: o relatório da RSA tem um gráfico que mostra a distribuição dos valores do boleto: a grande maioria está abaixo de R$ 1.500, mas há boletos de até R$ 100 milhões. Isso mesmo: um boleto de R$ 100 milhões, que provavelmente faria a festa para qualquer fraudador. Isso pode parecer surreal, e que de quebra aumenta a estimativa total da fraude. Mas não há como ter certeza absoluta se esses valores altíssimos são de transações reais: o usuário pode ter digitado o código de barras errado (e o malware tentou pagar esse valor exorbitante assim mesmo), ou eventualmente o malware deu a sorte de infectar o computador da área financeira de uma grande empresa e o usuário estava realmente pagando uma conta desse valor. Talvez o malware tenha dado sorte e identificou cerca de 100 boletos referentes a transações acima de 1 milhão de reais (isso dá cerca de 0,02% dos quase 500 mil boletos originais nos últimos 2 anos).



Nota (adicionado em 15/08): Eu talvez não tenha deixado claro, mas o boleto do malware pode afetar pessoas físicas ou empresas, igualmente. Embora as pessoas físicas (isto é, nós, pessoas comuns) costumem pagar contas de valor baixo, as empresas também utilizam boletos para pagar suas contas de fornecedores, e estes valores podem ser gigantescos. Por exemplo, no início de agosto/2014 uma empresária teve o pagamento das contas dos fornecedores da sua empresa desviadas por um malware de boleto. O valor desviado dela foi de R$ 183 mil - em apenas um mês.

Nenhum comentário:

Postar um comentário