Ncfta_outside

Enquanto os criminosos pensavam que estava baseado na Europa Oriental, o principal fórum de crimes cibernéticos de língua inglesa da internet era secretamente administrado pelo FBI a partir deste prédio às margens do rio Monongahela, em Pittsburgh.
_Foto: John Monroe Butler/ Wired.com_DarkMarket.ws, um bebedouro online para milhares de ladrões, hackers e estelionatários de cartões de crédito, tem sido administrado secretamente por um agente de crimes cibernéticos do FBI nos últimos dois anos, até seu desligamento voluntário no início deste mês, de acordo com documentos descobertos por uma rede de rádio alemã.

Relatórios da polícia nacional alemã obtidos pela rádio pública Südwestrundfunk, do sudoeste da Alemanha, revelam seu papel na captura de um falsificador de cartão de crédito alemão ativo no DarkMarket. O agente do FBI é identificado nos documentos como J. Keith Mularski, um agente sênior de crimes cibernéticos baseado na National Cyber Forensics Training Alliance em Pittsburgh, que administrava o site sob o controle hacker Master Splynter.

A NCFTA é uma aliança de compartilhamento de informações sem fins lucrativos financiada por empresas financeiras, empresas de internet e pelo governo federal. É também o lar de uma unidade de sede do FBI de sete agentes chamada Cyber Initiative and Resource Fusion Unit, que evidentemente executou a picada do DarkMarket.

O FBI não retornou um telefonema na segunda-feira.

Como sites de crimes anteriores, o DarkMarket permitia que compradores e vendedores de identidades roubadas e dados de cartão de crédito se encontrassem e fizessem negócios em um ambiente empreendedor e revisado por pares. Os produtos à venda iam desde hardware especializado, até logins bancários eletrônicos coletados de ataques de phishing, dados pessoais roubados necessários para assumir a identidade do consumidor (“informações completas”) e furtos de tarja magnética de cartão de crédito (“dumps”), que são usados para produzir cartões falsificados. Os vendedores foram incentivados a enviar seus produtos para revisão antes de oferecê-los para venda.

Ncfta_inside_660x

Dentro da National Cyber Forensics Training Alliance, agentes do FBI trabalham com estudantes de pós-graduação e representantes da indústria para rastrear crimes informáticos.
_Foto: John Monroe Butler/ Wired.com_Os documentos descobertos, vistos pelo Threat Level, mostram que a picada do FBI havia começado em
novembro de 2006. Um memorando do FBI enviado à polícia nacional alemã sobre um membro do fórum naquele país se vangloria:
“Atualmente, o FBI tem sido bem-sucedido em penetrar na ‘família’ interna
do fórum de carding, DarkMarket”. Um e-mail de março de 2007 do endereço do FBI de Mularski para seu homólogo alemão coloca isso sem rodeios. “Mestre Splynter sou eu.”

Os documentos indicam que o FBI usou o DarkMarket para construir “briefings de inteligência” sobre seus membros, completos com seus endereços IP de internet e detalhes de suas atividades no site. Em pelo menos alguns casos, o bureau combinou as informações com registros de transações fornecidos pelo serviço de moeda eletrônica E-Gold.

No mês passado, o mestre Splyntr - agora identificado como Mularski - anunciou que estava fechando o site a partir de 4 de outubro, citando atenção indesejada recebida por um colega administrador, conhecido como Cha0. De sua casa na Turquia, Cha0 havia comercializado agressivamente um skimmer de caixa eletrônico de alta qualidade e um PIN pad que os fraudadores podiam afixar secretamente em certos modelos de caixas eletrônicos, capturando números de contas de consumidores e códigos secretos. Mas ele começou a chamar a atenção este ano depois de supostamente sequestrar e torturar um informante da polícia. Ele foi preso na Turquia no mês passado, onde a polícia o identificou como um Cagatay Evyapan.

É por isso que era hora de fechar o DarkMarket, explicou Mestre Splynter, em uma mensagem que agora soa com ironia.

“É evidente que este fórum (…) está atraindo muita atenção de muitos dos serviços mundiais (agentes do FBI, SS e Interpol). Acho que era só o tempo para que isso acontecesse. É muito lamentável que tenhamos chegado a esta situação, porque… estabelecemos a DM como o principal fórum de língua inglesa para a realização de negócios. Assim é a vida. Quando você está em cima, as pessoas tentam derrubá-lo.”

Darkmarket

O relatório alemão confirma rumores que rondam o DarkMarket desde o final de 2006, quando o hacker Max Ray Butler quebrou o servidor do site e anunciou ao subsolo que havia flagrado o Mestre Splynter fazendo login no escritório do NCFTA às margens do rio Monongahela. Butler administrava um site próprio, e o aviso foi geralmente descartado como rivalidade entre fóruns, mesmo quando Butler foi preso em São Francisco no ano passado sob acusações de fraude de cartão de crédito, e enviado para Pittsburgh para ser processado.

Até esta tarde, a SpamHaus listou Master Splynter como um spammer do Leste Europeu chamado Pavel Kaminski, que estava ativo em 2005. É possível que o FBI tenha assumido o controle algum tempo depois. Em 2004, o Serviço Secreto executou um esquema semelhante no quadro de crimes ShadowCrew, mas essa agência usou um informante, que passou a cometer mais crimes - um risco provavelmente não presente com o agente Mularski.

Lord Cyric, outro ex-administrador do DarkMarket, diz que Master Splynter foi convidado para o DarkMarket como administrador há cerca de dois anos e ainda era conhecido como spammer. Baseado no Canadá, Lord Cyric vendeu identidades e cheques falsos no subsolo, mas está convencido de que está fora do alcance de qualquer operação de picada.

“Preocupado? Eu? Nah”, escreveu ele em uma entrevista ao IM. “É um processo longo, lento e difícil para eles despertarem o interesse [das autoridades policiais] canadenses para ir atrás de alguém que não toca em drogas nem lida com skimmers. … É tudo uma questão de apreensões nos EUA, a menos que haja um grande negócio de drogas e a DEA obtenha envolvido.”

Threat Level admira a arrogância de Lord Cyric, mas acha que seus dias no underground estão contados. O FBI quase certamente fechou o DarkMarket em preparação para uma onda global de prisões que ocorrerá no próximo mês ou depois. O site provavelmente foi fechado para evitar um cenário de Agatha Christie, no qual um grupo cada vez menor de cibercriminosos fica livre para especular sobre por que estão desaparecendo um por um, como os infelizes convidados do jantar em Ten Little Indians.

Parabéns ao repórter da Südwestrundfunk Kai Laufen, que descobriu a operação. Estou enviando a ele a camiseta “I Spotted the Fed” que levei para casa na DefCon 7.

Veja também:


Artigo Original