_このレポートは、 ロシア、中国 、 日本 、 イラン から始まったシリーズの一部であり 、金融業種や企業固有の脅威をより適切に監視するために地下犯罪を理解しようとしている組織や、ブラジルの地下犯罪を捜査している組織にとって最も興味深いものとなるでしょう。

Executive Summary

各国のハッカーは、独自の行動規範、フォーラム、動機、支払い方法など、それぞれに特有の人物です。 Recorded Futureのポルトガル語を話すアナリストは、ブラジルのアンダーグラウンドに長年携わってきた経験を持ち、過去10年間にブラジルのポルトガル人オーディエンスに合わせたアンダーグラウンドマーケットやフォーラムを分析し、フォーラムでホストされるコンテンツに多くの特殊性があること、フォーラムの組織や運営方法の違いを発見しました。

ブラジルのハッカーの主な標的はブラジル人です。ブラジルのハッカーは、プライベート会議で脆弱性を開示するエントリーレベルのハッカーやセキュリティ研究者から、違法な製品やサービスを販売するブラックハットハッカーまで多岐にわたります。ブラジルのハッカーは、簡単にお金を稼ぐ次の機会を常に探しています。企業がセキュリティ管理を強化することで活動に対応すると、別のビジネスに移行します。高レベルのハッカーの能力は、 Operation Ostentation や Prilex ギャングによる ATM マルウェアなどのブラジルの法執行機関の取り組みを通じて示されています。

ブラジルのフォーラムは、必ずしもウェブフォーラムに基づいているわけではありません。 その点では、中国の地下組織はロシアよりもブラジルの地下組織と似ていますが、中国のサイバー犯罪者はQQやWechatなどのローカルアプリに依存しています。 ブラジルのフォーラムプラットフォームとして選ばれたのは、昔も今もダイナミックで、より広範な社会動向や法執行機関の取り組みに基づいて変化しています。 現時点では、選択されているフォーラムはWhatsAppとTelegramです。 ブラジルのフォーラムへのアクセスは、ロシア語を話す地下組織ほど厳格ではありません。 ただし、ブラジルの地下はTelegramとWhatsAppのグループに散らばっているため、収集ソースはさまざまです。 ブラジルのフォーラムの情報は、ロシア語を話すフォーラムほど整理されておらず、製品やサービスのスレッドが固定されており、機能や価格がよく構成された投稿があります。

### 主な判断

• カーディングは国内で強力です。 アルゴリズムによって生成されたクレジットカード(地元のスラングでは「geradas」)が活発に活動しています。 このことは、このシリーズで取り上げられている他の地域では、少なくとも明示的にはInsikt Groupでは観察されていません。
• 電子メール、SMS、ソーシャルメディア、メッセンジャーを介したスパムは、依然としてマルウェアやフィッシングの配布の主要な方法の1つです。 ローカルの攻撃者は、SMSのそれほど厳格でないセキュリティメカニズムを利用して、URLやマルウェアサンプルを配布しています。
• 2014年に初めて観測された、脆弱な顧客宅内機器(CPE)が関与する大規模なファーミング攻撃は、依然として認証情報収集の重要な方法です。 代表的なターゲットは、金融機関、ストリーミングサービス、ウェブホスティング会社です。
• ブラジルのサイバー犯罪者は、二要素認証(2FA)に怯えることはありません。 エントリーレベルのハッカーの大多数が別の活動に移動する一方で、高レベルのハッカーはこのセキュリティ制御を回避することを主張し、成功しています。 Insikt Groupが観察した手法には、SIMスワップ攻撃、インターネットバンキングに使用されるデスクトップの完全な侵害、ハッカーによるバンキングセッションへの直接的な対話と干渉が含まれます。

ブラジルのコミュニティ:海賊の精神

ロシア語を話すサイバー犯罪者と同様に、ブラジルのサイバー犯罪者も何よりもお金を持っています。 ブラジルのハッカーコミュニティは、その地域、動機、目標、および選択するコミュニケーションプラットフォームが異なります。

Telegramは、最近Recorded Futureに追加されたブラジルへの非常に関連性の高い情報源です。

私たちはそれぞれ「泥棒」と「オタク」をロシアと中国の地下組織の定義に使用しましたが、ブラジルのハッカーを「海賊」と呼んでいるのは、彼らがロシア語を話す俳優のような単なる専門の泥棒ではなく、簡単にお金を稼ぐ場所や法執行機関やセキュリティ研究者が彼らに関する情報を収集するために何をしているかに応じて、いつでもTTPやフォーラムプラットフォームを変更する準備ができているからです。 同時に、ブラジルのサイバー犯罪者の一部は、厳格なインターネットバンキングのセキュリティ制御やATMのセキュリティを印象的な方法で回避できるという点で、中国のサイバー犯罪者と似ています。

ブラジルの地下鉄の歴史

商用インターネットは、1995年から1996年の間にブラジルで導入されました。 90年代後半、インターネットリレーチャット(IRC)ネットワークとICQメッセンジャー、掲示板システム(BBS)、Webベースのフォーラム、チャットがブラジルの主要なチャットプラットフォームになりました。

IRCチャンネルは、2000年代から2010年代初頭にかけて、プロのハッカーが選んだフォーラムでした。 活動には、製品やサービスの広告、大量のクレジットカード情報、ディスカッションなどが含まれていましたが、どれもトピックごとに整理されていませんでした。 例えば、Silver LordsとFullNetworkというグループが運営するIRCサーバー(グループというよりはIRCネットワークと表現した方が適切)は、長年にわたって地下組織を支配してきた。

「mIRC」は、ブラジルのIRCクライアントの代名詞となった非常に人気のあるIRCクライアントの名前で、あらゆるタイプのユーザーの間で非常に人気がありました。 Brasirc と Brasnet は最も人気のある IRC ネットワークであり、そのチャネルから、IRC サーバー ホストに対する意図的な IRC フラッディング攻撃 (サービス拒否攻撃の一種)、ユーザー名の乗っ取り、組織的な攻撃など、ブラジルで最初に知られた脅威活動の一部が生まれました。

IRCプロトコルは、チャネルやサーバーへのアクセス制御、各ユーザーに特定の権限を付与する機能、ボットなどの機能を備えた、ハッキングディスカッションに適した環境でした。 当初、ハッカーはBrasircやBrasnetなどの公開IRCネットワークで出会いましたが、時間の経過とともに独自のIRCサーバーをホストし始めました。 これらのサーバーを見つけるのが難しくなったため、ユーザーと管理者はある程度のプライバシーを確保できました。 ロシア語圏の国で見られる特別なアクセスWebフォーラムと同じように、アクセス制御がありました。 特定のサーバーのチャンネルに参加するには、登録された「ニックネーム」(ニックネーム)が必要であり、ニックネーム(NickServ)を管理するボット(サービス)は常に利用できるわけではありませんでした。

ブラジルのハッカーが多くのグループ、スキルレベル、動機で共通の関心事として取り組んでいるのが、ペネトレーションテストです。 これは、ほとんどの地元のハッカー会議やエントリーレベルのWebフォーラムの主要なトピックの1つであり、ツールやチュートリアルが共有されています。

ブラジルでは、Webサイトの改ざんは常にハッキング活動の主な種類の1つでした。 ブラジル人は、常に、そして今でも、人気のある改ざんアーカイブzone-h[.]組織。

ProtoWave Reloadedグループによる、悪名高いウェブ改ざんアーカイブであるZone-Hへの検証済みの提出物。 現在までに、このブラジルのグループは1,250以上のウェブページを改ざんしています。

歴史的に、Webサイトの改ざんに関与したブラジル人のほとんどは、ソフトウェアの脆弱性や不適切に構成されたインターネット向けシステムを悪用する方法を学んでいる10代の若者でした。 改ざんは、偵察から侵入テスト、脆弱性の悪用まで、セキュリティフレームワークがない場合の学習体験と見なされていました。

2005年から現在に至るまで、ブラジルの地下組織には依然として大規模なWebサイト改ざんコミュニティがあり、その動機は管理者への警告からハクティビズムへと進化しています。 ブラジルでは、汚損というテーマは、自然災害や政治スキャンダルなど、現在の新聞の見出しにも対応しています。

2000年代初頭の最も悪名高いハッカーグループのいくつかは、IRC時代に出現しました。

• ウェブサイトの改ざん: Prime Suspectz ¹ 、 Silver Lords、Insanity Zine、HFury、DataCha0s、Crime Boys
• ハッキング:Unsekurity Scene、または単に「unsek」、およびその「スピンオフ」グループであるClube dos Mercenários(CDM)、Front The Scene(FTS)

ハッキングの文脈では、活動は主に偵察、侵入テスト、および既知の脆弱性の悪用に関するセキュリティ研究でした。 当時の限界(膨大なペネトレーションテストの文献、Metasploitのようなフレームワーク、Kali Linuxのようなツールがなかった)を考えると、これらの研究者の一部がWeb改ざんアクターとしてスタートした可能性があります。

2001年に公開された一連の記事の中で、調査ジャーナリストのジョルダニ・ロドリゲスは、当時の主要なウェブ改ざんグループにインタビューしました。ほとんどの場合、俳優は15歳から22歳でした。おそらく、その年齢層はそれほど変わっていません。その年齢層のアクターは無責任な行動をとる傾向があります。成熟度と倫理観は、セキュリティの専門家になるWebデフェイサーと、データ漏洩やラテラルムーブメントなどの侵入によって他の結果に移行する人を区別するものです。

2010年に世界中でアノニマスの活動が始まったとき、ブラジルでも同じ活動が観察されました。2010年下半期にウィキリークスの支援として始まり、現在まで様々な形で続いている。アノニマスの活動が最も高かったのは2011年から2015年にかけてで、その時のグローバル事業のほとんどが地元のグループから支援を受けていました。標的は主に政治的であり、分散型サービス拒否(DDoS)が主な攻撃タイプでした。2011年、ブラジル連邦警察は、複数の政府ウェブサイトが標的となったため、ブラジルでのアノニマスの活動を 調査した 。

2016年以降、アノニマスの主張を支持すると主張するグループは、地元のニュースや世論の見出しによって異なるターゲットを設定しています。 腐敗した政治家、汚職スキャンダルに関与した企業、選挙の候補者、2016年のリオデジャネイロ夏季オリンピック、2014年のブラジルのFIFAワールドカップなど、あらゆるターゲットやトピックが地元の匿名キャンペーンの対象となります。 DDoS攻撃が効果を失ってから、最も典型的な攻撃は、侵害データの漏洩となりました。 昨年、アノニマスの活動は主に政治的なターゲットに焦点を当てていました。 前回の事件では、最近、そして繰り返し活動している数少ないグループの1つであるAnonOpsBRが、ブラジル国防省と現大統領のジャイール・ボルソナロ、そして副大統領を攻撃した。

ブラジルの地下組織の組織

ブラジルでは、インタラクションに使用されるすべてのプラットフォームがハッカーフォーラムと見なされる可能性があります。 前に述べたように、ロシア語を話す犯罪組織の典型的な組織は、ブラジルで観察されるものには当てはまりません。なぜなら、各フォーラムには単一の目的がなく、製品やサービスの固定スレッドがなく、機能が豊富に構造化された投稿がなく、適切に組織化されていないからです。 これは、地元の地下を理解するという点で大きな違いを生みます。

ロシア語圏の国とは異なり、Jabber/XMPPはブラジルのハッカーフォーラムで人気のあるチャットプラットフォームではありませんでした。 2015年以降、関心のあるコミュニティがIRCからTelegram、WhatsApp、TeamSpeak(ゲーム)、Discord(ゲーム)などの最新のモバイルチャットプラットフォームにジャンプしたと、高い自信を持って述べることができます。 WickrやSignalのようなプライバシー重視のメッセンジャーは、Torのダークウェブフォーラムや市場でより頻繁に見られます。

GoogleのOrkutは、ブラジルで最初に人気のあるソーシャルネットワークでした。 2004年から2010年まで、ブラジル人のインターネットの中心地であり、ハッキングシーンも中心でした。 プライベートなOrkutグループは、ハッキング製品やサービスを販売するために作成されました。 広告の構成は、ロシア語圏のウェブフォーラムで見られるものと非常によく似ていました。 2010年頃、ハッカーを含むユーザーがFacebookに移行し始めました。 2014 年に Orkut は Google によって廃止されました。

サイバー犯罪にソーシャルネットワークを使用することは、ブラジルのハッカーの特定のグループがいかに専門性に欠けているかを示しています。 ロシア語を話す、または中国語を話すフォーラムの関係者なら誰でも、ソーシャルネットワークが違法なビジネスを行うのに危険な場所であることを知っているでしょう。 これらのネットワークを所有する企業は、通常、地方自治体に協力する義務があるため、法執行機関がハッカーを捜査し、拘束することが容易になります。

ブラジルでは、2011年にソーシャルネットワークが国内で人気を博すとすぐに、サイバー犯罪者はFacebookを広告に使用し始めました。 グループは非公開でしたが、厳格な審査や審査プロセスはなく、アクセスをリクエストして許可を得るだけでした。

2011年、Kaspersky Labは、ハッカーが取引を行っている別のハッカーが信頼できるか、「リッパー」(詐欺師)かどうかを確認するために作成されたWebサイトを見つけました。 このサービスは「SPC dos Hackers」と呼ばれ、基本的には「ハッカーの信用報告書」を意味し、ユーザー名、各ユーザー名に関連付けられた連絡先情報、およびそれらのユーザーの評価(肯定的または否定的)のデータベースでした。

平均して、ブラジルのサイバー犯罪者は、エントリーレベルから中レベルまで、運用上のセキュリティ(OPSEC)と法執行機関について懸念を示していません。 この国では、サイバー犯罪で拘束された犯罪者が数日または数週間後に釈放されるのを見るのが一般的です。

現在の状況

ブラジルのウェブフォーラムは、ブラジルの地下組織では大きな役割を果たしていません。 彼らは決してしなかったし、おそらくこれからもそうしないだろう。 2010年、最も著名なハッカーWebフォーラムは、2019年に最も活発だったものと基本的に同じでした:Fórum HackerとGuia do Hacker。 2018年に削除されたPerfect Hackersのように、いくつかのフォーラムが出現し、その間に自発的に削除されました。 ただし、これらの著名なフォーラムは、一般に公開されている主要なハッカーコミュニティのままです。 登録または有料登録の審査プロセスはありません。 これらのフォーラムには誰でも参加できます。

ブラジルのウェブフォーラムは、ハッカーになる方法を学び、情報やツールを共有するための環境です。 ブラジルでは、少なくとも2010年以降、フォーラムはエントリーレベルのハッカー(スクリプトキディ)の本拠地となっています。 彼らはフォーラムにとどまりますが、ハッキングの方法論を学ぶことは彼らにとって有益です。 友情は称賛され、励まされます。 販売されている製品やサービスがあります。 モバイルフォーラム、特にテレグラムチャネルは、製品やサービスを宣伝するための好ましい環境になりました。

最近では、グループがTelegramに移行したとき、ほとんどのチャネルが最小限のアクセス制御を持っていることが観察されました - 定義されたユーザー名は、一部のチャネルにアクセスするための必要かつ十分な条件です。 ブラジルの公開Telegramチャンネルは、プラットフォーム で利用できます 。

フィッシングキットの広告が掲載されているテレグラムチャンネル。

上のスクリーンショットでは、Telegramグループの管理者が、フィッシングキットの地元のスラングである「telas fake」を宣伝しています。 この特定のケースでは、250 BRL(66 USD)の銀行口座資格情報のキャプチャ、200 BRL(53 USD)の基本的なクレジットカード情報の取得、150 BRL(40 USD)の完全なクレジットカード情報(名前と住所を含む)のキャプチャの3つの異なるタイプの製品があります。 携帯電話のアイコンは、キットが携帯電話と互換性があることを示しています。

Forum HackerやGuia do Hackerのようなウェブフォーラムは、多くのブラジル人から、ネットワークや情報セキュリティに没頭するための良い方法だと考えられています。 エントリーレベルのハッカーの大多数は、ブラジルのホワイトハットとブラックハットのコミュニティに入ることができません。 これは、ブラジルのハッカー会議の閉鎖的で招待者限定の性質に最もよく表れています。

Saciconは、2012年からサンパウロで開催されている1日限りの招待者限定のカンファレンスです。このカンファレンスはYSTSと似ており、高度に技術的なトークとパーティーが中心です。このカンファレンスは、ブラジルで最初の（2004年から）最も悪名高いハッカーカンファレンスであるHackers to Hackers Conferenceと同じ主催者によって推進されています。Roadsecの主催者もSaciconを支援しています。Roadsecは、セキュリティの入門レベルの専門家や学生を対象としたカンファレンスです。

2007年からサンパウロで毎年開催されている招待制のハッカーカンファレンス「You Shot The Sheriff」(YSTS)は、ロックピッキングやハードウェアハッキングなど、コンテンツや並行活動の点でDEF CONと似ています。 会議会場は常にバーです。 このカンファレンスのチケットが売られることはめったにありませんが、売られたとしても、ほとんどの地元のエントリーレベルの専門家や学生にとっては手の届かない価格です。 これは、セキュリティ研究の観点から、ブラジルで最高のハッカーカンファレンスの1つと見なされています。

ブラジルのPE州レシフェで開催されるAlligatorConは、招待制のブラックハットカンファレンスです。このカンファレンスは、高い技術レベルのコンテンツを提示するという目標という点で Sacicon に似ていますが、脆弱性の悪用、新しいハッキング ツール、ゼロデイ脆弱性の開示などのトピックをさらに高めています。Saciconとは異なり、この会議はブラジルポルトガル語で発表される地元の研究のみに焦点を当てています。

ブラジルのハッカーがいない場所については、ウェブフォーラムで何度も言及してきました。 しかし、彼らはどこにいるのでしょうか? 他のブラジル人と同じ場所です。 選択される通信プラットフォームは、通常、一般的に地元住民が使用しているものとまったく同じです。 現在のコンテキストでは、これはWhatsApp、Telegram、およびDiscordを意味します。 最後のものは、ブラジルのハッキングコミュニティの支配的な10代の人口統計の結果、ゲーマーによっても一般的に使用されています。

ブラジルのアンダーグラウンドフォーラムのコンテンツ

マルウェア

ブラジルのウェブフォーラムで最もよく見られるソフトウェア製品は、「クリプター」と呼ばれる、悪意のあるソフトウェアをウイルス対策エンジンに検出されないようにパックするために使用される難読化ツールです。 マルウェアの「FUD」または「完全に検出できない」ほど、マルウェアが検出されずにユーザーの電子メールの受信トレイに到達する可能性が高くなります。

このようにマルウェアパッカーへの関心が高いことは、ブラジルのサイバー犯罪者の主な攻撃ベクトルの1つである電子メールの指標です。 電子メールスパムは、ブラジルで常にフィッシングやマルウェアの配布の主な方法の1つです。 しかし、長年にわたり、複数のセキュリティ制御により、キャンペーンが被害者の受信トレイに到達するのを防ぐことが増えています。 同時に、新しい世代が電子メールメッセージングとの関係を変え、他の複数のソーシャルメディアサイトやメッセンジャーアプリが出現し、主要なコミュニケーションプラットフォームになりました。 サイバー犯罪者が成功するためには、これらの行動の変化に適応する必要がありました。

Anti-Phishing Working Group(APWG)の最新の四半期報告書によると、フィッシングキャンペーンでは、GoogleやBingなどの検索エンジンの有料広告、ソーシャルメディア、公式ストアの不正なモバイルアプリ、スミッシング(SMSフィッシング)を使用して被害者を標的にしています。 これらの攻撃ベクトルの多くは、スパムを処理するための効果的な方法(特にSMS)を持っておらず、サイバー犯罪者がより多くの被害者に到達することを可能にしています。 悪意のあるリンクが被害者の受信箱に届いた後でも、フィッシングキャンペーンを成功させるには、被害者が餌に食らってリンクをクリックするという最後のフェーズが必要です。 ユーザーにフィッシングリンクをクリックさせるだけでなく、技術的にそれを強制する方法もあります。 その方法は「ファーミング」として知られています。

ファーミングとは、マルウェアや技術戦略を使用してDNSの名前解決を妨害し、攻撃者の制御下にあるホストやネットワークのすべてのユーザーに、間違ったホスト(IPアドレス)の既知のウェブサイトアドレスを訪問させるというものです。 ファーミングは、ブラジルのハッカーにとって非常に一般的な活動です。 セキュリティ会社やインターネットサービスプロバイダーの努力にもかかわらず、時折の攻撃は常に検出されるわけではありません。

ファーミングの最初の形態の1つはローカルで、攻撃者はマルウェアを利用してローカルホストアドレス解決ファイル(Windowsの場合は「LMHOSTS」、Linuxの場合は「hosts」)を変更します。 オペレーティング システムは、最初にこれらのファイルのホスト名と IP アドレスのペアを確認します。 銀行のホスト名がそのファイルにリストされている場合、その解決が最も高い優先度になります。 ユーザーが間違ったサーバーで正しいURLを使用してWebサイトにアクセスします。 ローカルファーミングには、アンチウイルスという弱点があります。 マルウェアはシグネチャまたはヒューリスティックによって検出でき、ローカルの名前解決ファイルを変更しようとするアプリケーションは疑わしいと見なされます。 ローカルファーミングは、URLが被害者にとって正当に見えるため説得力がありますが、今日のマルウェア対策制御では、攻撃者がマルウェアでファイルを成功裏に変更する可能性は低いです。 一方、DNSやネットワークファーミングは、マルウェアのような複雑さを必要としません。

ネットワークファーミングは、2014年からブラジルのサイバー犯罪者が使用している攻撃ベクトルです。 当初、この戦略は、ISPが提供するネットワークルーターである顧客宅内機器(CPE)を悪用することでした。 ほとんどのユーザーは、ISPから同じモデルまたはルーターを受け取るため、ネットワーク環境は非常に予測可能になります。 この攻撃には、ローカルルーターのDNS設定を変更するローカルネットワークURLを含むスパムの送信が含まれていました。 この攻撃方法を成功させるには、デフォルトの管理者のユーザー名とパスワードという1つの好ましい条件が必要でした。

時が経つにつれて、CPEを悪用するために、リモートソフトウェアの脆弱性の悪用など、他の戦略が使用されました。2018年3月にラドウェアが報告したキャンペーンの1つは、MicroTikルーターの脆弱性の悪用に関するものでした。2018年9月、360 Netlabはブラジルで85,000台以上のルーターが関与する2件のインシデント(9月4日と9月29日)を報告しました。影響を受けた企業には、すべての主要な地方銀行、Web ホスティング会社、Netflix (Telegram チャネルで販売されている一般的な認証情報) が含まれていました。 Spotifyはこれらの攻撃の標的となったドメイン名には含まれていませんが、典型的な標的でもあります。どちらのサービスも 2 要素認証を提供していないため、このコンテキストでは認証情報の収集と再利用が簡単です。

金融サービスをターゲットにして高いセキュリティ基準を実現

ブラジルの金融システムは、セキュリティ管理の点で非常に進んでいます。 これは、何十年にもわたるサイバー犯罪、現実世界の犯罪、そしてブラジル人の一貫した悪意のある活動への対応の結果です。 ブラジルは、あらゆる面で金融業界にとって敵対的な環境であり、その結果、セキュリティ基準は高くなっています。 ハッカーの活動と金融システムのセキュリティの発展は強く関連しており、金融機関は常にセキュリティを強化しています。

ログインのための2FA、QRコードによる取引のための2FA、物理トークン、「ルートキット」に似たブラウザプラグイン、デバイスの事前登録、デバイスのフィンガープリント、電信送金の厳格な制限、電信送金の宛先アカウントの事前登録、インターネットバンキング専用のデスクトップブラウザ、ATMでの生体測定などは、セキュリティ制御の膨大で増え続けるリストです。

ブラジルの銀行口座と外国銀行との間での送金は、たとえラテンアメリカやメルコスールの貿易圏であっても、簡単なことではありません。 国際支払注文の処理は、外貨両替取引として扱われます。 そのため、マネーロンダリングや脱税に対する追加の規制が適用され、国境を越えたお金の移動が難しくなっています。

もう 1 つの重要なセキュリティ制御は、クレジット カードに関連しています。 ほとんどの国では、カード非提示(CNP)取引では、氏名、住所などの基本的な個人情報を提供する必要があります。 ブラジルでは、すべての取引ですべてのブラジル市民に固有の納税者番号であるCadastro de Pessoas Físicas(CPF)を提供する必要があり、そのIDはクレジットカードに関連付けられているものと一致する必要があります。 このIDは、米国の社会保障番号(SSN)と非常によく似ています。 その情報が公開されると、それは重要と見なされます。

上に示したように、国境を越えてお金を移動させることは難しく、セキュリティ管理は厳格です。 では、サイバー犯罪者はこのような環境でどのように成功できるのでしょうか。 チップ&PIN技術は、2000年代初頭にブラジルで導入されました。 ブラジルでは、他の新技術と同様に、チップ&PINが悪用され、最終的にサイバー犯罪者はEMVシステム自体ではなく、実装が不十分な展開を攻撃することに成功しました。

2018年3月、Kaspersky Lab Brazilは、チップとPIN(EMV)を搭載したPOSシステムを標的とするマルウェアPrilexに関する 調査を 発表しました。EMVの悪用は新しいことではなく、チップとPIN認証の脆弱な展開に対する他の攻撃が過去数年間に実際に見られていました。少なくとも2015年から活動しているPrilexの背後にいるグループは、データを盗み出すことができる4Gデータネットワークアクセスを備えたRaspberry Piを含む、ブラックボックス攻撃の多くのバリエーションを使用しました。また、機械インフラの制御にも重点を置きました。最後に、彼らは販売時点情報管理 (POS) システムを追加しました アタックサーフェス、攻撃対象領域 チップと PIN カードをターゲットにし始めました。

Prilexは、ウェブベースのフォーラムやソーシャルメディアの枠外で運営されているとされています。 Kasperskyの研究者によると、彼らは厳密に管理された独自のプライベートWhatsAppグループを運営しています。 そのため、プラットフォーム内のPrilexアクターによるフォーラム活動はありません。

言語と詐欺がターゲットを誘導

ブラジルのハッカーの主な標的はブラジル人です。 ポルトガル語はその観察を説明するための鍵ですが、この地理的な孤立を説明する他の要素があります。

アンゴラ、カーボベルデ、ギニアビサウ、モザンビーク、ポルトガル、サントメ・プリンシペなど、ポルトガル語圏の国は他にもあるが、これらの国とブラジルとの交流は最小限である。 この国には、ブラジルポルトガル語という独自のポルトガル語のバリエーションがあり、他の国で話されているポルトガル語とは異なる音声と語彙があります。 そのユニークなポルトガルのバリエーションは、文化的および経済的な違いと相まって、スペイン語圏の国々に囲まれているため、ブラジルを南アメリカの他の国からも孤立させています。

ブラジルの地下組織にある製品やサービスのほとんどは、信用記録データベースへのアクセス、CPF(納税者番号)と資格情報で提供される特定の個人に関する完全な情報など、個人情報に関連しています。 これらの認証情報は、マルウェア、金融認証情報のフィッシング、信用調査のフィッシング、Serasa Experianの認証情報、関心のある企業のインサイダー従業員など、さまざまな方法で取得されます。

カーディングとそれを取り巻く製品やサービス(認証情報の販売など)は、クローズドハッカーグループの主な活動の1つです。 以前は、情報はIRCチャネルで共有されていましたが、現在ではTelegramやその他の最新のプラットフォームに存在しています。 カーディング活動は通常、主要なハッカーのWebフォーラムには存在しません。

カーディングは、この国の地下組織で強力です。 ブラジルの地下鉄で見つかったすべてのクレジットカードが必ずしも収集されたわけではありません。 「ゲラダ」と呼ばれるアルゴリズムによって生成されたクレジットカードの活発な活動があります。 彼らは、カードを適切に検証しない企業、つまり「cardeáveis」または「susceptable to carding」と呼んでいる企業を探し、それらを悪用します。

2016年11月、テスコ銀行は20,000の口座が関与し、226万ポンド(295万米ドル)の損失が発生したセキュリティインシデントを発表しました。同社は数日後に新たな声明を発表し、通常のサービスが再開されたと述べた。その新しい声明では、それ以上の情報は開示されていません。2018年10月、金融行動監視機構(FCA)は、2016年に発生したインシデントに関する「最終通知」を発表しました。 27ページの文書によると、攻撃者は本物のテスコ銀行のデビットカード番号を生成するアルゴリズムを使用した可能性が高い。不正取引の大部分は、攻撃者が非接触型 MSD 取引を行っていることを示す業界コードである「PoS 91」として知られる支払い方法を使用してブラジルから行われていることが判明しました。おそらく、これは、生成されたカード番号を含むブラジルのハッカー活動の影響を示す最も悪名高い例です。

現在、ブラジルでは個人データ保護に関する規制はありません。 欧州連合(EU)の一般データ保護規則(GDPR)と同様の導入計画がありますが、2020年12月まで発効しません。 これは法案番号13.709で、「Lei Geral de Proteção de Dados」またはLGPD(LGPD)とも呼ばれます。

現時点では、侵害に遭った企業は、ハッキングを一般の人々やブラジル政府に開示する義務はありません。 その結果、企業は何としても侵害、ハッキングを否定します。 2018年10月、ブラジルの決済処理会社ストーンは、IPOの前夜にデータ侵害、ハッキングを 発表 しました。 恐喝の試みがあったと報告されたが、その詳細は同社によって確認されていない。サイバー犯罪者、あるいは単に競合他社が会社のIPOを妨害しようとしているだけかもしれません。IPO前の同じ種類の 恐喝の試み は、2018年4月に金融テック銀行のバンコ・インターに対して起こった。

ケーススタディ:法執行機関の誇示作戦

最近のブラジルの法執行活動の 1 つである Operation Ostentation は、ブラジルで成功したサイバー犯罪事業がどのように実行されたかを要約しています。関与したギャングのリーダーであるパブロ・エンリケ・ボルヘスは、2018年10月11日に逮捕された。法執行機関の報告とメディアによると、彼と彼のギャングは18か月で4億レアル(約1億800万米ドル)を盗むことができました。ボルヘスは24歳で、ランボルギーニとフェラーリを複数台、高価な旅行や習慣を身につけて贅沢な生活を送っていた。ラファエル・アントニオ・ドス・サントスとマテウス・アラウホ・ガルバンの2人の共犯者も逮捕された。

ギャングは、WhatsAppやFacebookの投稿を通じて、最大50%の「割引」で人々の請求書を支払うことを提案する。 これは、ブラジルのサイバー犯罪者が使用する一般的なマネーロンダリング手法で、銀行口座からお金を現金化する代わりに、請求書を支払い、その一部を接続されていない口座で受け取ります。

ギャングがどのようにして合計23,000以上の銀行口座にアクセスし、請求書の支払いに役立ったのかは、まだ不明である。 おそらく、マルウェアとフィッシングキャンペーンの組み合わせによるものだったでしょう。 ソフトウェア開発の責任者は、24歳のレアンドロ・ザビエル・マガリャエス・フェルナンデスでした。 また、彼は高校の学位を持っていたが、それ以上の正式な教育を受けていなかったという謙虚な出自から、ギャングのビジネスの最も重要な要素を担当していた。 彼の派手なライフスタイルは、大邸宅と高価な車を持っており、ゴイアニアの地元の法執行機関から注目を集めました。

残念ながら、このギャングに関するハンドル、マルウェアファミリ、サンプル情報、またはフォーラム名に関する情報は公開されていません。 2人のリーダーの背景とプロフィールを考えると、この作戦のために外国のマルウェアを入手した可能性は低く、独自のマルウェアを開発した可能性が高いです。

この特定の法執行活動に関する詳細情報は、関与したマルウェアの品質について声明を出すための情報はありません。他の作戦や法執行機関の意見からわかっていることは、ブラジルのサイバー犯罪者は犯罪組織ではなく、テロリストグループに似た構造で組織化されているということです。ギャングは、ソフトウェア開発、運営、マネーロンダリングなどの細胞に組織され、1つまたは複数の細胞の混乱がビジネスに影響を与えないように組織されています。感染したユーザーがセッションを開き、2FAやその他のセキュリティ制御をバイパスするために対話すると、オペレーターに通知されます。2016年3月、カスペルスキーは、ブラジルで一般的なこの特定のタイプのリモートアクセストロイの木馬(RAT) について説明 しました。

ブラジルには、ハッカーグループの種類が非常に異なり、ウェブフォーラムの地元のスラングでエントリーレベルのハッカーである「Lammer」と、正当な研究者やハッカーです。 ハッカーはWebフォーラムから進化することもあれば、これらのサークルの両方から完全に切り離されているように見えることもあります。 彼らは単に基本的なソフトウェア開発スキルを持ち、探求すべきニッチとお金を稼ぐ方法を見つけた賢い人々です。

今後の展望

ブラジルのハイレベルなハッカーは、セキュリティ管理がどれほど厳しくなっても、金融機関を悪用し続けるでしょう。 デスクトップのセキュリティは十分に高いですが、地元のサイバー犯罪者は、これらの制御をうまく回避できることを証明しています。 しかし、デスクトップのセキュリティが高いからといって、サイバー犯罪が抑止されるわけではありません。

ブラジル人の大多数は、もはやデスクトップではなく、モバイルクライアントでインターネットバンキングを行っています。 送金、ワンタイムパスワード、支払いなど、すべての大手銀行では、モバイルアプリを使用して実質的に何でも行うことができます。 この行動の変化は、すでにサイバー犯罪活動の変化を引き起こしています。 SMSフィッシング(スミッシング)、モバイルフィッシングキット、WhatsAppなどの人気アプリを装った悪意のあるモバイルアプリケーション(その大半はAndroid用)は、ここ数年で増加しています。

ブラジルではすでにAndroidの悪用が現実のものとなっており、これらのデバイスのセキュリティ強化が課題となっているため、この傾向は続いています。 考慮すべきもう一つの非常に重要な側面は、多くのブラジル人、特に低所得の人々は、デスクトップやラップトップさえ持っていないという理由だけで、デスクトップでインターネットバンキングを行わないということです。

国内でのWhatsAppの使用は安定しています。おそらく、これはサイバー犯罪者の攻撃ベクトルの1つであり続けるでしょう。2018年、WhatsAppはWhatsApp Paymentsと呼ばれる機能でインドで個人間決済を発表し、展開しました。WhatsAppニュース専門のニュースサイトWABetaInfoによると、この機能は近い将来、ブラジル、メキシコ、英国にも拡大される予定だという。この機能はブラジルで悪用される可能性が高いです。