Confissões de um hacker

Em seu celular, Shadow Ghost mostra o e-mail que acabou de criar. É uma mensagem comercial voltada para os funcionários da companhia onde trabalha como analista de segurança. “Temos seis meses de Netflix grátis para você, colaborador da empresa X”, começa o texto, seguido por umgrande botão de “Participe agora”. Ao clicar, o usuário é levado a uma página onde, para ter acesso à promoção exclusiva, deve informar seu e-mail corporativo e sua senha.

O site seria facilmente interpretado como uma tentativa de phishing, técnica usada por cibercriminosos que simula uma página real para adquirir informações do usuário, como senhas de banco. Mas a criação de Shadow Ghost é diferente: há um cadeado verde antes do endereço da página. Isso indica que o site tem um certificado SSL e, portanto, é legítimo e seguro. “Tornei autêntico o que é fraude”, diz, com a cara de moleque travesso, enquanto dá um gole na cerveja num bar na Avenida Paulista, numa noite quente de setembro.

Com o certificado, o site não configura ameaça e passa despercebido por programas de antivírus. Fica de fora de uma estatística preocupante: o Brasil é um dos grandes alvos de phishing. Em 2016, ano de Jogos Olímpicos no País – e a tentação de ganhar ingressos por meio de promoções -, 27,61% detodos os ataques do mundo miraram usuários brasileiros, segundo relatório da empresa de segurança Kaspersky.

O site falso de Shadow Ghost é apenas um teste de segurança da empresa onde trabalha e não tem implicações reais. Se não fosse uma simulação, porém, o hacker, com login e senha de apenas um funcionário incauto, poderia ter acesso à rede interna da empresa e escalar privilégios – ou seja, virar o administrador do computador – podendo, entre outras coisas, modificar configurações, redirecionar o fluxo de informação, rastrear as atividades de todo mundo, deletar documentos importantes. Poderia, inclusive, acessar câmera e microfone dos computadores, como o hacker do episódio Manda Quem Pode (Shut Up and Dance), da terceira temporada de Black Mirror.

Dias depois, o hacker informa o resultado do teste: 25 funcionários caíram no golpe.

Hackers também amam

Shadow Ghost ganhou seu primeiro computador em 1997. Tinha 12 anos quando o pai, um funcionário público que economizou meses de salário, lhe deu um AMD K62 400 Mhz, com Windows 95, “incríveis 32 Mb de memória e HD de 20 Gb”, lembra – um top de linha da época. A primeira coisa que o garoto fez foi procurar no extinto buscador Cadê? uma apostila de hardware, imprimir o material e desmontar o computador para ver como funcionava. “Meu pai ficou puto”, diz, aos risos.

O conhecimento em eletrônica desembocou no primeiro hack de Shadow Ghost, no ano seguinte. Um hack que não envolvia computadores, mas telefones. Ele levava ao orelhão um aparelho vagabundo, “desses comprados em loja de 1,99″. Sem muito esforço, conectava-o no fio da linha do orelhão, esquivando-se, assim, do equipamento de cobrança do telefone público. Sem gastar um tostão, o moleque de 13 anos passava as tardes em serviços dedisque-paquera.

Foi justamente uma paquera um dos primeiros alvos de suas invasões. No fim do ano de 1999, Shadow Ghost conversava no MSN com uma menina dequem estava a fim. Mandou uma animação boba: um Papai Noel desejando Feliz Natal. Quando a menina clicou para assistir, antes de aparecer o bom velhinho fazendo gracejos, um programa misturado ao código da animação foi acionado. Era um trojan, software que abria conexão direta entre invasor e vítima.

A partir de então, Shadow Ghost passou a ter acesso a tudo o que ela fazia: e-mails trocados, fotos salvas, históricos de bate-papo… Ele recebia, por e-mail, prints da tela do computador da menina de tempos em tempos. Monitorou a garota por alguns meses, e ela nunca soube.

Remorso nenhum

A invasão à paquera do MSN na adolescência foi uma exceção, diz Shadow Ghost. Ele não mira pessoas físicas, a menos que elas representem uma “ameaça direta”. Por exemplo, um advogado “que me colocou num rolo em que eu não estava” teve computador e celular monitorados por algumas semanas. O hacker queria saber o que exatamente ele conversava por e-mail, WhatsApp, Facebook… Além do advogado, sete pessoas ao seu redor foram comprometidas – ou seja, invadidas e espionadas.

Há duas técnicas de invasão usadas por Shadow Ghost – às vezes, ao mesmo tempo. A primeira é a engenharia social – ou seja, usar informações disponíveis para hackear não o sistema, mas o usuário. “Se eu procurar no Google `CPF telefone filetype PDF currículo¿, eu vou encontrar uma infinidade de currículos com endereço, telefone e CPF”, diz o hacker. Com essas informações, é possível descobrir a operadora de celular, por exemplo.

Agora imagine a cena: você recebe uma ligação de alguém que diz ser atendente da sua operadora. A pessoa confirma seus dados por telefone – nome completo, endereço, CPF – e diz que é possível que a linha tenha sido clonada. Antes que o pânico domine seu corpo, você é informado que receberá um e-mail para atualizar seu cadastro e manter sua linha segura. Minutos depois, uma mensagem – como a descrita no começo deste texto – aparece no seu e-mail. Ela tem um botão de “Atualizar cadastro”. Você não clicaria? Ok, talvez você não clicasse, mas alguém próximo a você certamente clicaria. E, com o computador comprometido, o hacker poderia mandar mensagens para você – com arquivos anexos maliciosos, claro – como se fosse seu avô ou sua tia (afinal, quer remetente mais confiável que um familiar?).

A segunda técnica de Shadow Ghost fica no campo dos códigos, e serve para atacar sistemas de empresas. As portas para esse tipo de invasão estão nos lugares onde o acesso é feito por login e senha.

Funciona assim: quando você coloca login e senha em qualquer site, o sistema vai consultar no banco de dados as informações e ver se elas batem com o que você digitou. Isso é feito por SQL (Structured Query Language, ou linguagem de consulta estruturada). Mas se, em vez de login e senha, você digitar um comando malicioso que o SQL saiba interpretar, você pode criar uma nova credencial e entrar no sistema, ou pode pedir para que o sistema entregue alguma credencial existente. O nome dessa técnica é SQL injection (injeção de SQL). Em todos os casos, você já está no servidor, e a invasão foi concluída.

Hoje, os ataques de Shadow miram o que ele chama de “estatais ou multinacionais, cobertas por seguros milionários, que arrancam dinheiro deuma galera sem piedade”. Ele, claro, não revela quais, só diz: “nunca prejudiquei o Zé das Couves da esquina”.

O objetivo dos ataques, ele jura, não é financeiro. Sua motivação seria simplesmente saciar a própria curiosidade. Seja como for: para chegar aos alvos corporativos, muitas vezes Shadow Ghost toma o controle de máquinas de gente comum: “Eu e um grupo mantivemos um botnet [rede de máquinas invadidas que executam tarefas a mando do invasor]. São mais de 1.500 computadores”. Um deles pode ser o seu.

• Mais lidas

1

Ciência

Como a lógica, por si só, pode provar que o tempo não existe

2

Ciência

Passou a Titanoboa? Novo fóssil pode pertencer à maior cobra da história

3

História

Por que existe a letra “h” se ela não tem som?

4

Cultura

Cinebiografia com Putin gerado por IA sai em 26 de setembro

5

Cultura

9 filmes imperdíveis para assistir no Prime Video

• Black Mirror
• Hackers
• Netflix