A Trend Micro publicou um interessante relatório que mostra a situação do mercado negro de desenvolvimento de malwares e serviços de captura ilegal de dados no Brasil. No relatório, a empresa informa como funcionam as principais ferramentas e até os preços dos produtos. Um número válido de cartão de crédito custa, em média, R$ 80. Já o código-fonte de um trojan bancário pode ser adquirido por cerca de R$ 1.000.
Por cerca de R$ 1.000, é possível comprar tanto o código-fonte do trojan bancário quanto o malware pronto para ser usado. Nesse último caso, o pacote já inclui um painel de controle para monitorar as infecções e os dados capturados dos usuários desavisados. Também há como adquirir um kit para construir um bolware — aquele tipo de malware que modifica o número do boleto bancário para desviar seu pagamento.
Um número válido de cartão de crédito custa a partir de R$ 20, mas também é possível comprar pacotes com vinte cartões válidos com limites de crédito que variam entre R$ 1.000 e R$ 2.500; eles custam cerca de R$ 700. Claro que ainda há os que vendem geradores de números de cartões de crédito — a maioria dos números gerados será inválida, mas algumas lojas que não exigem códigos de segurança aceitarão a compra.
O preço de um número de cartão de crédito aumenta de acordo com o limite. Por exemplo, para conseguir um cartão que permita fazer uma compra de R$ 8.000, é necessário desembolsar a partir de R$ 350.
Para roubar os dados, os criminosos normalmente infectam os computadores das vítimas com algum malware. Mas eles não são detectados por um antivírus? Teoricamente sim; é aí que entram os crypters. Essas ferramentas embaralham os códigos dos malwares e fazem pequenas alterações no executável para tentar burlar a proteção do antivírus. A licença de um crypter FUD (sigla para full undetectable, ou totalmente indetectável) custa entre R$ 50 e 100, dependendo das funcionalidades.
Outra maneira de capturar dados ilegalmente é usando páginas falsas, que imitam uma tela de login ou cadastro do site original, mas enviam os dados diretamente para os criminosos por email. Custando cerca de R$ 100, as páginas normalmente pegam os números de CPF e cartão de crédito e, para tentar enganar o usuário, exibem alguma mensagem de erro para, logo depois, redirecioná-lo para o site verdadeiro — quando o estrago já foi feito.
A empresa também obteve os preços de envio de spam. Hoje, uma ferramenta compatível com Windows que envie SMS indesejado pode ser comprada por R$ 499. O software funciona em conjunto com um modem 3G (R$ 130) e uma lista de números de celular (entre R$ 700 e R$ 3.200, dependendo do tamanho da cidade). Serviços de envio de spam por SMS custam entre R$ 400 (5.000 mensagens) e R$ 3.000 (100.000 mensagens).
Também há cursos de treinamento no mercado negro: programador de crypter FUD (R$ 120), fraude bancária (R$ 1.499) e crime digital com exercícios práticos e guia interativo (R$ 1.200, com dez módulos).
O relatório completo da Trend Micro pode ser visto nesta página. Por motivos óbvios, a empresa não revela qual o nome das ferramentas e nem os meios para comprá-las.