Para tentar se passar por um usuário comum, nada melhor do que adotar um comportamento humano, correto? Pois é… Pensando nisso, criminosos estão usando “human farms”, ou fazendas humanas, em tradução livre, em golpes sofisticados de invasão de contas.
Os especialistas Robert Capps, da NuData Security, e Tim Sloane, do Mercator Advisory Group, falaram sobre o tema neste podcast do Payments Journal que serviu de base para a produção deste texto.
Capps relatou que recentemente a NuData detectou um elemento de automação nas tentativas de login de conta de um cliente da empresa de segurança cibernética e usou a tecnologia CAPTCHA para testar os usuários. No entanto, todas as combinações foram resolvidas corretamente.
Sinal de que eram usuários legítimos acessando a conta? Não necessariamente. A equipe da NuData se aprofundou um pouco mais e descobriu que os CAPTCHAs estavam sendo retirados do dispositivo em que a página era renderizada e o login estava ocorrendo e transmitidos para um segundo dispositivo em que um humano realmente os solucionava.
Um humano não. Vários. A “fazenda humana” nada mais é do que um grupo formado por “trabalhadores”, se é que podemos chamá-los assim, que são contratados em países subdesenvolvidos por hackers e passam o dia, tarde e noite na frente do computador servindo de apoio para os golpes.
Isso vai além de responder CAPTCHAs corretamente. As fazendas humanas – ou fazenda de cliques – podem ter uma ampla gama de tarefas, incluindo criar perfis falsos nas mídias sociais e usá-los para aumentar a contagem de seguidores ou bombar de curtidas determinada página, clicar em massa em anúncios on-line para gerar falsas receitas ou ainda criar contas falsas a partir de dados legítimos que foram vazados.
Esta reportagem de 2017 da Folha de S. Paulo mostra como o problema destas fazendas humanas é antigo e deu muita dor de cabeça para gigantes como o Facebook. Segundo o canal britânico Channel 4, alguns trabalhadores de “click farms” em Bangladesh ganham menos de US$ 120 por ano.
Ataques básicos x sofisticados
Voltemos ao podcast do Payments Journal, no qual os especialistas concordaram que a maneira pela qual um hacker tenta obter acesso às contas revela se o ataque em questão é básico ou sofisticado.
Em um ataque básico, os hackers tentam invadir o maior número possível de contas e sites com os mesmos dados, o mais rápido possível. É um volume alto e não há realmente nenhum esforço do criminoso para fingir que é humano. No fim de 2019, por exemplo, a NuData identificou 4 milhões de tentativas de login a um cliente em um curto espaço de tempo e com muitos dados repetidos e duplicados, ataque que foi fácil de brecar.
Por outro lado, ataques sofisticados tendem a ter volume menor e o invasor tenta disfarçar o ataque como uma tentativa normal de login. Eles podem tentar ocultar seu endereço IP, criar um ID de dispositivo válido e executar JavaScript para executar e renderizar as páginas do site – tudo em um esforço para se assemelhar a um usuário normal que abre uma página ou aplicativo (vide o exemplo das fazendas humanas).
“Os fraudadores estão percebendo que esses ataques mais sofisticados agora têm mais sucesso contra organizações que possuem proteções básicas”, disse Robert Capps, da NuData. “Sem as técnicas e ferramentas adequadas, a maioria das organizações estará se afogando com esses volumes de ataque”.
Como os criminosos estão se tornando mais sofisticados, as empresas que buscam impedir a fraude precisam se tornar mais sofisticadas também. No caso da NuData, a identificação do golpe que usava a fazenda humana só foi possível porque a empresa usa métricas como análise comportamental e biometria passiva para prevenir a fraude.
