A “caçadora” de hackers
É o mais obscuro dos mundos e a maioria dos cibercrimes não são denunciados. Para os criminosos, o dinheiro que se ganha compensa os riscos. Mas como o fazem? Detentora de informações privilegiadas, Kate Fazzini foi contra a maré para revelar o mundo da fraude digital e da extorsão corporativa. E o raro é isso mesmo: ser uma mulher a fazê-lo.
Há alguns meses, recebi um e-mail alarmante de alguém chamado Julian Diggle que afirmava ter descoberto uma password que eu usava em contas de redes sociais num website para adultos. "Você visitou este website para se divertir", escreveu. Ele dizia ter entrado no meu computador, assumido o controlo da minha webcam e feito um pequeno filme, no qual eu estava a divertir-me. "Tem ótimo gosto, OMG", disse-me. "Agora só tem duas alternativas", prosseguiu. Se eu ignorasse o seu e-mail, ele enviaria o seu pequeno documentário para todas as pessoas da minha lista de contactos. Pediu-me que eu imaginasse quão "desastroso" isso seria, sobretudo porque "você deve estar numa relação amorosa". A segunda opção era pagar-lhe mil dólares [€900] em bitcoin. Eu tinha a certeza que aquilo não podia ser verdade – já não me divertia, há anos. Por outro lado, essa pessoa tinha a minha password. E se Diggle me tivesse filmado a olhar para o meu computador, de boca aberta, e tivesse colado essa cena a outras de um filme adulto escaldante e enviasse o vídeo para a minha mãe e para o meu chefe no The Times? Bem, a minha mãe deveria ter dificuldades em abri-lo.
Mas o que aconteceria a seguir? "O e-mail porno!", exclamou Kate Fazzini, como se reconhecesse um velho amigo que vira na outra ponta da sala. "É muito comum. É sextortion [extorsão sexual] com ênfase no sexo." Fazzini, de 39 anos, é professora de cibersegurança, já foi jornalista e escreveu sobre guerra cibernética para o The Wall Street Journal e também foi um soldado, lutando nas fileiras da equipa de segurança de um grande banco. Agora trabalha para a CNBC. Ela conhece muitos hackers do outro lado: os "carders", que roubam números de cartões de crédito, as equipas de ransomware, ou seja, os Diggles deste mundo. Escrito quase como se fosse um romance, o novo livro de Fazzini, Kingdom of Lies [Unnerving Adventures in the World of Cybercrime, publicado pela Oneworld, Reino das Mentiras, em tradução livre], dá-nos um relato vívido de como estes grupos de hackers black hat, existentes desde a Roménia até à China, extorquem dinheiro a indivíduos como eu e você ou aos mais poderosos bancos de Wall Street, e como os white hats estão a tentar travar estas pessoas que podem bloquear as empresas globais e produzir campanhas digitais para influenciar a opinião popular. Encontrámo-nos num restaurante de sushi em Queens, em Nova Iorque, com bom wi-fi.
Kate Fazzini está sentada junto à janela, trabalhando no seu laptop, com dois telefones pousados em cima da mesa. Fazzini explica-me o esquema de Diggle e o seu e-mail porno. Funciona assim: um ataque de hacking a uma grande rede social, a um website ou a um banco expõe uma série de endereços de e-mail e de passwords que são vendidos na dark web, o espaço da Internet que funciona como uma rede encriptada, resguardada dos olhares curiosos dos motores de pesquisa. Tudo o que Diggle e os seus colegas fizeram foi visitar um fórum da dark web e comprar algumas passwords, esclarece-me. Depois dizem-nos que estão dentro dos nossos computadores, vigiando cada movimento nosso. "Não há qualquer tipo de hacking. Temos tanto medo que os nossos computadores estejam a vigiar-nos que acreditamos nestas coisas malucas que eles afirmam serem possíveis. Temos tanto medo que caímos na esparrela." Estes e-mails rendem muito dinheiro, diz-me Fazzini. "Têm feito imenso sucesso e dado a ganhar milhares de milhões de dólares."
Kingdom of Lies começa com os retratos de uma série de personagens misturadas deste mundo: uma espécie de versão hacker do prólogo de Os Contos de Cantuária. Conhecemos um alemão alto e delicado, a quem Fazzini chama Sig Himelman (ela alterou os nomes das pessoas, das empresas e até de alguns locais). Himelman é considerado "um hacker influente", embora, tal como Diggle, não faça hacking. No verão de 2014, após demasiados encontros com a polícia alemã, ele viajou para a Roménia e criou um negócio numa das cidades de hacking que andavam a surgir por toda a Europa oriental. A empresa de tecnologia por si fundada parece-se muito com uma start-up de Silicon Valley: um agradável escritório em open space com pufes. Himelman contratou 10 hackers para atacar escritórios de advogados americanos. Eles encheram os ficheiros das empresas de ransomware [software maligno com intenção de extorquir dinheiro] e depois cobravam-lhes entre 500 e 5.000 dólares por uma chave que permitia o acesso a esses mesmos ficheiros. Juntamente com a chave, a empresa de Himelman fornecia uma útil apresentação em PowerPoint, explicando como a empresa poderia evitar ataques de outros hackers. Himelman descreve isto como uma espécie de serviço público. Ele também está convencido de que as empresas tecnológicas, mesmo as criminosas, precisam de incluir mulheres na sua força laboral e contratou uma rapariga local, uma adolescente chamada Rene Kreutz, fluente em inglês, para ser o seu departamento de "apoio ao cliente" da sua empresa.
Enquanto Kreutz está ocupada a explicar a "clientes" aflitos e irados como podem recuperar o controlo dos seus próprios sistemas, um homem, em Xangai, está a desenvolver um novo método para penetrar nos sistemas de empresas norte-americanas. Bo Chou foi formado, pelo menos parcialmente, pelo governo chinês: trabalhou para uma unidade sediada em Xangai do Exército de Libertação do Povo Chinês, onde o seu trabalho era atacar as empresas norte-americanas e roubar-lhes os dados. Fazzini diz que os outros hackers consideram que os chineses são básicos, sem graciosidade, nem discrição. Bo Chou também pensava assim. Saiu do exército e foi trabalhar para um hotel frequentado por empresários ocidentais. Em seguida, começou a comprar dispositivos de armazenamento USB a um fornecedor barato do sul da China, carregou-os com malware e distribuiu-os em cestos num centro de convenções das proximidades com um aviso a imitar o logótipo da empresa que patrocinava as conferências que ali decorriam. "Armazenamento USB grátis", dizia o aviso. "Bem-vindos!" Quando os participantes usam uma das suas chaves USB, o malware de Bo é instalado e ele consegue aceder aos seus computadores, roubando o máximo de folhas de cálculo e listas de contactos que consegue encontrar. Bo vende a informação recolhida num website americano chamado Fiverr que fornece ferramentas de negócio a empresários. "As empresas adoram a amplitude e a profundidade dos dados de Bo, mas não fazem a menor ideia de onde vieram e sabem que é melhor não perguntarem", escreve Fazzini. Do outro lado das guerras cibernéticas, temos hackers conhecidos simplesmente como "analistas", os white hats que trabalham nas equipas de cibersegurança dos grandes bancos, tentando defender os seus sistemas de ataques constantes. Muitos antigos espiões também trabalham nesta área. Fazzini apresenta-nos a um tipo chamado Charlie Mack, que parece um herói da série Segurança Nacional. É um advogado formado em Harvard e antigo funcionário dos serviços secretos que trabalhou em Benghazi, na Líbia, até aos ataques ocorridos nas instalações norte-americanas. Depois foi trabalhar em cibersegurança numa grande instituição, em Nova Iorque, à qual Fazzini se refere com o pseudónimo "NOW Bank", que está a tentar evitar um grande ciberataque, ao qual a sua equipa atribuiu o nome de código de "Venice". "Se os hackers chineses entraram no banco e roubaram os seus segredos?" Mack pensa enquanto prossegue, heroicamente. "Sim, mas isso já foi há algum tempo. Haverá russos a coscuvilhar as redes dos bancos em busca de informações sobre os ‘amigos’ e inimigos de Putin? Claro que sim, mas não neste caso em particular."
Desta vez, os perpetradores parecem ser israelitas que extraem pormenores sobre os principais investidores do banco, visando-nos num esquema de investimento fraudulento e depois "lavando" o dinheiro com a ajuda de um tipo de New Jersey que criou uma empresa de recordações de basebol. Mais frequentemente, os hackers usam aquilo que descobriram nos registos internos de um banco sobre futuras fusões e aquisições para venderem como inside trading. Este esquema, que no passado era exclusivo de funcionários dos próprios bancos, tem permitido aos hackers ganharem centenas de milhões de dólares na bolsa de valores, diz-me Fazzini. No seu livro, Charlie Mack diz ao seu chefe que "estes homens colhem todos os benefícios do inside trading sem terem de conviver com banqueiros, advogados ou agentes governamentais. Os filhos da p*** mais sortudos do mundo." Mack tem saudades de ser espião, escreve Fazzini. Esporadicamente, quando um executivo diz uma má piada sobre advogados, ele tem vontade de dizer: "Ouve, estúpido… Eu estava a atacar as instalações do Gaddafi no ano passado. Acha que estou a ser demasiado cuidadoso?" Fazzini também aparece, de passagem, no livro.
Os leitores mais atentos irão detetá-la como a mãe solteira da equipa de cibersegurança de Charlie Mack, cuja casa arde. Isto aconteceu mesmo. No período temporal abrangido pelo livro, ela também passou por um divórcio e tornou-se mãe solteira. Fazzini acha que estas dificuldades poderão tê-la ajudado a desenvolver uma relação mais próxima com muitos dos analistas e dos hackers de quem fala no livro. "Eu tive uma vida difícil nos últimos anos, de certa forma", confessa-me. "Isso fez com que algumas pessoas se abrissem comigo. Houve muita partilha." Fazzini cresceu em Ohio, onde os pais trabalhavam como professores. Tinha um computador Commodore 64 quando era criança, no qual ela e a imã aprenderam a programar jogos. Ela também tinha uma "caixa preta", um circuito eletrónico que ligava ao telefone e que impedia a empresa local de telecomunicações de registar as suas chamadas para poder telefonar às amigas sem pagar. Enquanto estudava inglês na Ohio State University, Kate Fazzini trabalhava na loja de informática da faculdade, rodeada por "tipos de engenharia informática". As faculdades deixavam lá os seus equipamentos antigos. "Vasculhei caixas cheias de coisas", diz. Também se habituou a lidar com informáticos. Depois da universidade, Fazzini trabalhou em comunicação e conseguiu um emprego na JP Morgan Chase. "Comecei muito rapidamente a trabalhar naquilo a que então se chamava risco de IT e gestão de segurança", diz. O banco pagou-lhe o mestrado em "implementação de cibersegurança estratégica". "Acho que eu sempre soube que era boa naquilo", acrescenta. Depois deu-se um incêndio e ela foi obrigada a trabalhar em cafés com Internet, em Queens. Foi então que descobriu o restaurante de sushi onde estamos e que tem bom wi-fi. Seguiu-se o divórcio e ser mãe solteira de duas crianças. Uma das coisas sublinhadas por Fazzini em Kingdom of Lies é que se formos capazes de lidar com este tipo de desafios da vida, somos capazes de lidar com cibersegurança. Toda a gente imagina que temos de comer microchips enquanto crescemos. É tudo mentira, escreve Fazzini.
"Sabe usar um smartphone? Fazer um PowerPoint? Já organizou uma ida ao cinema com amigos que tenha corrido bem? É capaz de seduzir uma mulher? Conseguiu sair de um casamento abusivo? Então, meu querido, quero-o na minha equipa de cibersegurança."
O mesmo, sugere, se aplica a quem quiser ser hacker. Tanta coisa nesse negócio gira em torno da engenharia social, como o e-mail porno de Diggle. A adolescente do seu livro, Rene Kreutz, dá-se muito bem na empresa de ransomware de Sig Himelman, na Roménia. Ela apresenta um novo "menu" para "clientes" que perderam o acesso aos seus sistemas. Eles podem pagar rapidamente e ter um desconto, mas o preço vai aumentando constantemente e, se não pagarem até determinada data, os seus ficheiros serão destruídos. Estas inovações ajudam a empresa de Himelman a aumentar os seus lucros em 20%. Fazzini diz que algumas operações de ransomware enviam um relógio aos seus alvos, com uma contagem regressiva até à perda dos dados. A aparência de profissionalismo é muito importante para os seus modelos de negócio. "Muitas destas organizações criminosas têm uma reputação documentada junto dos escritórios de advogados que trabalham em ciberdefesa." Estes escritórios dizem às empresas que estão a ser atacadas: "Sim, podem pagar-lhes. Nós sabemos quem eles são e eles vão devolver-lhes o acesso à vossa informação. Eles conquistaram uma reputação business-to-business. As companhias de seguros dizem: ‘Podes pagar a este tipo que nós cobrimos a despesa.’"
A jovem Kreutz é recompensada pelo seu chefe, o alemão delicado: recebe um aumento e um gabinete com paredes de vidro. A sua abordagem é diferente quando os hackers da empresa entram no sistema de uma grande empresa tecnológica, em San Francisco. A empresa é conhecida e o seu CEO também, mas os seus e-mails e mensagens internas dão a entender que ele está a assediar sexualmente as suas colaboradoras. Ele também parece estar a contratar prostitutas. Kreutz sugere que "lhe peçam um resgaste pelos seus e-mails" de um milhão [de dólares]. Ela diz a Himelman: "Não pedimos um resgaste pelos ficheiros da empresa. Mantemo-nos discretos e assustamo-lo o suficiente para ele pagar, mas não o suficiente para ele chamar o FBI." Ela escreve um e-mail discreto com uma referência oblíqua a algo que ele disse numa das suas mensagens comprometedoras e envia-lho juntamente com um número de telefone pré-pago, cujas chamadas são redirecionadas para o seu telefone fixo do escritório. Três minutos mais tarde, Kreutz recebe uma chamada por WhatsApp e ouve "a voz de um homem cansado" que quer usar os seus "serviços de shredding". O homem pergunta-lhe se pode garantir o serviço e, quando ela se oferece para formalizar o serviço por escrito, ele pensa melhor no assunto. "Não! Não. Está tudo bem… Se vocês não cumprissem a vossa palavra, ninguém vos pagava, não é?" Ele tenta garantir-lhe que é um grande fã de mulheres. Ela garante-lhe que "se ele não pagar nos próximos 10 minutos, o preço sobe", antes de lhe enviar uma mensagem com os pormenores da conta de bitcoin para a qual ele deve enviar o pagamento. Ele assim o faz. Kreutz e a empresa recebem 1,3 milhões de dólares. Dividem os lucros em partes iguais e vão todos sair nessa noite.
Fazzini retrata Kreutz e Bo Chou, o hacker chinês, com alguma compaixão. Dedica menos tempo a um white hat a quem chama Bob Raykoff, um antigo comandante da força aérea que ascendeu ao topo da carreira militar e que, agora, ganha a vida a escrever livros pomposos e cheios de jargão sobre as "futuras ameaças" da cibersegurança. Depois de um ciberataque ao banco onde Charlie Mack trabalha, os executivos contrataram Raykoff como chefe da sua equipa de cibersegurança, oferecendo-lhe um salário fabuloso. Fazzini diz que alguns antigos elementos das forças armadas se tornam bons executivos de cibersegurança porque, pelo menos, têm conhecimentos da componente da segurança. No entanto, também podem estar muito vinculados à ideia de uma cadeia de comando hierárquica, o que não funciona em cibersegurança, onde "um jovem analista de 20 anos especializado em examinar códigos de programação tem de, rapidamente, fazer soar o alarme". A outra dificuldade enfrentada por antigos elementos das forças armadas é a ideia de já não estarem a defender o seu país, mas uma empresa multinacional. No seu primeiro discurso aos colaboradores de Nova Iorque e de Londres, com a equipa de Singapura a acompanhá-lo por videoconferência, Raykoff declarou: "Eu queria fazer este trabalho por uma razão. Quero proteger as pessoas deste país, dos Estados Unidos da América, o seu dinheiro e a sua riqueza."
O discurso confundiu as pessoas de Londres e de Singapura que lidam com clientes europeus e asiáticos. "O NOW Bank está a sair da Ásia? :-0", perguntou um deles por mensagem a um colega de Nova Iorque. As coisas também começaram a correr mal na empresa de ransomware na Roménia. Fazzini escreve que, mais cedo ou mais tarde, estas operações são desmontadas por rivalidades entre os hackers. Neste caso, Himelman, o empresário alemão, fica com ciúmes de Kreutz e da sua subida de estatuto entre os colegas. Envolve-se romanticamente com ela e revela-se igualmente inseguro como namorado. Ela fica grávida e ele afasta-a da família e dos amigos, insistindo que ela fique na casa onde vivem e a relação torna-se, gradualmente, abusiva. Após o nascimento do filho, ela foge com o bebé a meio da noite, apanhando um comboio para a Alemanha e atravessando a Europa até chegar a Espanha, onde, graças ao seu intelecto e aos conhecimentos de PowerPoint, que em tempos usou nas mensagens de resgate, consegue um emprego numa empresa de tecnologia legítima.
Bo Chou, o hacker chinês, dá um salto parecido do lado escuro para a claridade e consegue trabalho como gestor de um projeto tecnológico, em Singapura. O livro de Fazzini lê-se como um thriller. O seu estilo de escrita – retorcido, cheio de palavrões e de histórias indecentes – faz-me lembrar o velho website de bisbilhotices norte-americano Gawker que se gabava de publicar as histórias que os jornalistas não podiam contar, mas sobre as quais conversavam no bar quando saíam da redação. Fazzini diz que foi assim que descobriu muitas das histórias que relata, como a de Charlie Mack, o espião. Não seria possível falar com ele diretamente no escritório, admite. "Mas ele conta as histórias mais incríveis com um copo de whisky na mão. É só sentarmo-nos e ouvirmos."
Muito provavelmente também não seria possível contar estas histórias como simples reportagens jornalísticas. Fazzini diz que as suas personagens principais tiveram a possibilidade de ver como seriam retratadas, mas ela nunca foi à Roménia e nunca conheceu Himelman. Teve, no entanto, fontes que o conheciam intimamente, incluindo um amigo de infância dele que trabalha como investigador de cibersegurança e entrou no computador Himelman para ver melhor os seus esquemas. E aprendemos, definitivamente, muito mais sobre este mundo vendo-o pelos olhos de Fazzini do que através de uma reportagem séria. Ironicamente, as coisas tornaram-se mais difíceis para Fazzini desde que começou a trabalhar como jornalista. As pessoas que lhe confiavam segredos e os seus companheiros de copos encaram-na, agora, com mais cautela. "Há algumas semanas fui a uma conferência do FBI. Eles deram-me um distintivo enorme, cor de laranja fluorescente, que dizia ‘Imprensa’. Vi algumas pessoas com quem costumava ter conversas agradáveis afastarem-se de mim." A sua grande esperança para o livro (e pareceu-me genuína) é que os leitores se sintam parte do grupo. "Eu quero que as pessoas estejam naquela sala dos fundos. Acho que as pessoas ficariam um pouco menos assustadas se estivessem naquela sala." Na sua opinião, se eles conhecessem os hackers, diriam: "Ok, eu não adoro a pessoa que está do outro lado. Não tenho de gostar deles ou de concordar com aquilo que dizem, mas posso ao menos imaginá-los." Se me sinto melhor por pensar que Diggle, o tipo do e-mail porno, poderá estar a trabalhar para um alemão inseguro, algures nos Alpes da Transilvânia? Ou que ele poderá ser um tipo altamente paranoico – todos os hackers o são, diz Fazzini. Talvez sim, ligeiramente. Há outro pequeno pormenor que me dá um kilobyte de consolo. Sig Himelman, escreve ela, tem tanto medo de ser encontrado através do seu telefone que usa outro dispositivo para se manter informado sobre a atualidade – um dispositivo que não regista os nossos movimentos e não recolhe os nossos dados e cujo toque ele gosta de sentir. Chama-se jornal.
Exclusivo The Sunday Times/Atlântico Press. Tradução: Erica Cunha e Alves
