Tecnologia

Como um jovem português se tornou o principal suspeito de um fórum de cibercrime (que entretanto já tem réplicas)

yuichiro chino/getty images

Pouco depois de as autoridades americanas fecharem o RaidForums, surgiu Breached.co, que alguns especialistas dizem ter objetivos similares. Polícia americana andava a investigar jovem português desde 2018, mas foi a entrega do cartão de cidadão que funcionou como pista final

13 abril 2022 18:41

Para o Departamento de Justiça dos EUA não há muitas dúvidas: em sete anos, Diogo Santos Coelho amealhou, pelo menos, 215.571 dólares (198.090 euros) enquanto geria o site RaidForums.

O valor apreendido pelas autoridades americanas supera o pé-de-meia da maioria dos jovens portugueses que tentam rendibilizar o talento para as tecnologias, mas, segundo os procuradores do Estado da Virginia, EUA, Diogo sempre revelou indícios de não ser um programador qualquer.

Em 2015, quando Diogo tinha apenas 15 anos, o site RaidForums começou a granjear fama por transacionar em criptomoedas repositórios que, mais tarde, haveriam de chegar a conter 2,3 milhões de credenciais de acesso de dispositivos ou serviços na Internet.

Os policias americanos que operam infiltrados no submundo do cibercrime referem, por mais de uma vez, serviços de validação da qualidade dos dados desviados com custos 4000 dólares (cerca de 3674 euros). E também há relatos de transações de dados que poderão ter chegado aos 50 mil dólares (45.919 euros).

Todos estas transações viriam a ter um outro tipo de custo ao cabo de quatro anos de investigação nos EUA. Em janeiro, o jovem foi detido no Reino Unido. Na terça-feira, soube-se que o Departamento de Justiça dos EUA solicitou a extradição ao Reino Unido a fim de proceder ao julgamento do jovem. O pedido de extradição surgiu em simultâneo com a confirmação da existência de uma operação internacional coordenada pela Europol, que contou com buscas levadas a cabo pela Polícia Judiciária, em Portugal.

Entretanto, os três endereços usados pelo RaidForums foram encerrados, mas não vale a pena acreditar que é o fim da transação de credenciais entre cibercriminosos. Há indícios de que alguém possivelmente ligado ao RaidForums tratou de criar um mercado quase igual com a denominação de Breached.co. Há a suspeita de ser alguém que usa uma alcunha que também estava ligada ao RaidForums”, explica Lourdes Mora, diretora da Área de Vigilância Eletrónica da S21Sec.

O RaidForums operava numa zona da Internet conhecida por Deep Web. Nesta área mais "profunda", encontram-se endereços e informação que não estão indexados pelos motores de busca, mas permanecem acessíveis pelos tradicionais browsers. Apesar de não ser fácil de encontrar, o fórum garantiu um crescendo de fama, nos anos entre o fim da adolescência de Diogo e a detenção pela justiça britânica, após mandado do FBI, já em 2022.

“O RaidForums era um site considerado antigo para os padrões da Internet. Ganhou credibilidade pela qualidade dos dados e credenciais de acesso que disponibilizava. E com isso também terá ganho reputação”, explica Hugo Nunes, responsável pela equipa de Vigilância Digital que a S21Sec mantém em Portugal. “Além disso não há assim tantos fóruns deste género que falem em inglês”, acrescenta.

Lourdes Mora acrescenta um detalhe à análise de Hugo Nunes: “Os mercados ilegais mais profissionais falam em mandarim (língua dominante na China) ou russo. Quem não souber falar estas línguas dificilmente consegue fazer negócio”. Segundos os dois especialistas da S21Sec, o ascendente dos idiomas mais falados na Rússia e na China nos mercados do cibercrime deve-se ao facto de as autoridades policiais desses dois países manterem "alguma passividade" ao lidar com este tipo de atividade ilícita.

O RaidForums vendia vários recursos e ferramentas que, facilmente, poderiam ser exploradas por hackers, mas entre todos os itens há um que se distingue como o grande filão da atualidade: os denominados “acessos iniciais”. “São muito importantes porque dão acesso a vários sistemas. Estes acessos são vendidos [em fóruns como o RaidForums] a cibercriminosos que pretendem lançar ataques de ransomware [que exigem resgates para desbloquear computadores ou bases de dados infetadas]”, explica Lourdes Mora.

Um volume de “acessos iniciais”, com senhas e nomes de utilizador de computadores, servidores ou telemóveis, chega a ser comercializado nestes mercados ilegais com valores que vão dos 300 aos 10 mil dólares (de 275 a 9,19 mil euros), consoante a dimensão das entidades de onde foram desviados os dados ou a qualidade da informação. Ao garantirem a possibilidade de compra dos dados, os cibercriminosos “nem sequer têm o trabalho de lançar intrusões, ou encontrar forma de infetar máquinas para depois poderem lançar os ataques de ransomware”, explica Lourdes Mora.

Ransomware fácil para todos

Com passwords, números de clientes ou identidades discriminadas a barreira de entrada no cibercrime fica facilitada – e essa tendência também poderá ajudar a compreender um grande número de internautas mais jovens e possivelmente menos experientes que frequentavam o RaidForums.

Os números compilados pela justiça americana ajudam a confirmar a triste grandeza alcançada pelo fórum alegadamente gerido por Diogo: segundo os policiais americanos, o fórum contava com mais de 500 mil utilizadores. E mais de 10 mil milhões de registos de pessoas de todo o mundo passaram pelas mãos do jovem detido no Reino Unido, e de dois alegados parceiros de nacionalidade ainda desconhecida, que foram igualmente detidos.

A S21Sec suspeita que o Breached.co tenha ligações com o RaidForums

A S21Sec suspeita que o Breached.co tenha ligações com o RaidForums

Os 10 mil milhões de registos de pessoas superam claramente o total de seres humanos existentes no mundo, mas ajudam a perceber bem o detalhe que os cibercriminosos alcançam, ao conseguirem intercetar credenciais que uma única vítima usa em múltiplos serviços ou dispositivos existentes na Internet.

O RaidForums operava na Deep Web, que não está indexada pelos motores de busca, e faz parte da Internet convencional, mas não será de estranhar que tenha estabelecido ligações com mercados ilegais e grupos de cibercriminosos da Dark Web, que também não está na indexada, mas exige browsers específicos.

Tanto na Deep Web como na Dark Web, estes grupos regem-se pela divisão de tarefas especializadas. Alguns dos cibercriminosos dedicam-se a recolher dados de potenciais vítimas, outros procuram vulnerabilidades nas tecnologias mais usadas no dia-a-dia e outros poderão limitar-se a lançar os ataques ou a comercializar diferentes recursos obtidos por terceiros a quem pagar mais.

“Entre os grupos dedicados ao ransomware, já se vê muito profissionalismo, com departamentos especializados. Muitos tratam vítimas como clientes, e têm negociadores de resgates que, no fundo, assumem o papel de profissionais com funções comerciais”, explica Hugo Nunes.

Segundo os procuradores americanos, Diogo assumiu desde 2018 uma posição especializada nesta pouco recomendável indústria do cibercrime, ao servir de intermediário que vendia repositórios de dados de “clientes” e inspecionava a qualidade dos dados obtidos a partir de diferentes fontes e ataques, antes de selar as transações. As vendas eram feitas com créditos criados especificamente para uso no RaidForums que, por sua vez, podiam ser comprados com criptomoedas. Omnipotent;' "Downloading," "Shiza," e "Kevin Maradona" eram os alcunhas usadas para dissimular a identidade do jovem português.

“A 16 de dezembro ou numa data próxima, [Diogo Santos] Coelho, que estava a usar a alcunha “Downloading”, fez uma publicação no RaidForums, que disponibilizava para venda 2,3 milhões de números de cartões bancários, nomes, moradas, números de telefone, associados a números de cartões de pagamentos, que foram obtidos, alegadamente, a partir de uma fuga de informação com dados que pertencem a hotéis dos EUA”, refere a nota pública de acusação do Departamento de Justiça dos EUA, que marca o pedido de extradição enviado para a justiça britânica.

A mesma acusação refere pelo menos três empresas sediadas nos EUA que terão sido alvo de ataques que lograram extrair dados de clientes ou trabalhadores. Num desses repositórios, especialmente atrativo, por garantir dados pessoais, como elementos identificativos dos equipamentos usados por diferentes pessoas, os intermediários do RaidForums chegaram a pedir 50 mil dólares (quase 46 mil euros). Noutras investigações reveladas pela acusação, é ainda referido um caso de um agente infiltrado que terá pago pelos dados e não obteve aquilo que pagou – mas não terá sido essa a razão que levou o FBI a pedir a detenção do jovem quando se encontrava no Reino Unido.

Em julho de 2018, Diogo Santos Coelho já estava a ser investigado pelo FBI – mas não sabia. E, com naturalidade, decide viajar para a cidade de Atlanta, nos EUA. Aos serviços de fronteira, disse que ia tratar do seu site – e de algum modo essa possibilidade tinha cabimento, tendo em conta que os três endereços usados pelo Raidforums usavam também serviços tecnológicos americanos.

Mais tarde, já ciente de que os equipamentos que usava estavam sob mandado de busca, o jovem apresenta o cartão de cidadão às autoridades americanas – e é nesse ponto que o FBI e os procuradores ficam com a informação que faltava para correlacionarem alcunhas usadas nos fóruns do cibercrime e contas de criptomoedas, refere a "Exame Informática", depois de consultar mais dados sobre as diligências levadas a cabo pela polícia dos EUA.

Foi precisamente o cartão de cidadão de Diogo que as autoridades americanas publicaram na internet aquando da confirmação do pedido de extradição. A publicação, possivelmente, seria ilegal em Portugal, mesmo com pessoas que já deixaram o estatuto de suspeitos e foram condenadas pela justiça.

Na PJ, Diogo Santos Coelho tem vindo a ser investigado desde 2020 - dois anos antes da confirmação pública da denominada Operação Tourniquet, que foi liderada pela Europol, e contou ainda com a participação de polícias de Portugal, EUA, Reino Unido, Alemanha e Suécia.

Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), da PJ, confirmou que as autoridades nacionais já estavam no encalço do jovem por suspeitas relacionadas com outras potenciais práticas criminosas, que aparentemente não estarão relacionadas com o RaidForums.

Com a chegada de uma carta rogatória no âmbito da operação internacional da operação Tourniquet, passou a haver uma razão adicional para uma busca – e foi precisamente isso que aconteceu na semana passada. Da busca resultou a apreensão de bens de valor acrescido, mas também equipamentos provavelmente usados para suportar o fórum criminoso.

Carlos Cabreiro admite que não há uma razão legal que seja conhecida que impeça o Reino Unido de extraditar um cidadão português para os EUA. E lembra ainda que a PJ também tem interesse em interrogar o jovem suspeito. A abertura de um inquérito na justiça portuguesa é, portanto, uma hipótese em aberto.

Resta saber quais serão as primeiras palavras de Diogo Santos Coelho perante as acusações.