Confissões de um roubo de identidade, parte I
No auge de sua carreira de cibercriminoso, o hacker conhecido como “ Hieupc ” estava ganhando US $ 125.000 por mês executando um serviço de roubo de identidade movimentado que desviou dossiês de consumidores de alguns dos maiores corretores de dados do mundo. Isto é, até que sua ganância e ambição caíssem direto em uma elaborada armadilha armada pelo Serviço Secreto dos Estados Unidos.
Agora, depois de mais de sete anos na prisão, Hieupc está de volta ao seu país de origem e espera convencer outros criminosos virtuais a usarem seus conhecimentos de informática para o bem.
Por vários anos, começando por volta de 2010, um adolescente solitário no Vietnã chamado Hieu Minh Ngo administrou um dos serviços mais lucrativos e populares da Internet para a venda de ” fullz “, registros de identidade roubados que incluíam o nome do consumidor, data de nascimento, número do Seguro Social e e-mail e endereço físico.
Ngo conseguiu seu tesouro de dados de consumidores hackeando e fazendo engenharia social para entrar em uma série de corretores de dados importantes. Quando o Serviço Secreto o alcançou em 2013, ele ganhou mais de US $ 3 milhões vendendo dados fullz para ladrões de identidade e quadrilhas do crime organizado que operavam nos Estados Unidos.
Matt O’Neill é o agente do Serviço Secreto que, em fevereiro de 2013, executou com sucesso um esquema para atrair Ngo para fora do Vietnã e para Guam, onde o jovem hacker foi preso e enviado ao continente dos EUA para ser processado. O’Neill agora dirige o Centro de Operações Investigativas Globais da agência , que apóia as investigações de grupos criminosos organizados transnacionais.
O’Neill disse que abriu a investigação sobre o negócio de roubo de identidade de Ngo depois de ler sobre isso em uma história de 2011 da KrebsOnSecurity, “ How Much is Your Identity Worth? ”De acordo com O’Neill, o que é notável sobre Ngo é que até hoje seu nome é virtualmente desconhecido entre o panteão de infames cibercriminosos condenados, a maioria dos quais foram presos por tráfico de grandes quantidades de cartões de crédito roubados.
Os negócios da Ngo permitiram que uma geração inteira de cibercriminosos cometesse um valor estimado de US $ 1 bilhão em novas fraudes de conta e manchasse o histórico de crédito de incontáveis americanos no processo.
“Não conheço nenhum outro cibercriminoso que tenha causado mais danos financeiros materiais a mais americanos do que Ngo,”
“Não conheço nenhum outro cibercriminoso que tenha causado mais danos financeiros materiais a mais americanos do que Ngo”, disse O’Neill ao KrebsOnSecurity. “Ele estava vendendo as informações pessoais de mais de 200 milhões de americanos e permitindo que qualquer um comprasse por centavos cada.”
Recém-libertado do sistema prisional dos Estados Unidos e deportado de volta ao Vietnã, Ngo está atualmente concluindo uma quarentena obrigatória de COVID-19 de três semanas em uma instalação administrada pelo governo. Ele contatou o KrebsOnSecurity de dentro desta instalação com o objetivo declarado de contar sua história pouco conhecida e alertar os outros para não seguirem seus passos.
COMEÇOS
Dez anos atrás, o então hacker Ngo, de 19 anos, era frequentador assíduo dos fóruns de hackers de computadores em língua vietnamita. Ngo diz que veio de uma família de classe média que tinha uma loja de eletrônicos e que seus pais compraram um computador para ele quando ele tinha cerca de 12 anos. A partir de então, ele foi fisgado.
No final da adolescência, ele viajou para a Nova Zelândia para estudar inglês em uma universidade lá. Naquela época, ele já era administrador de vários fóruns de hackers de dark web e, entre seus estudos, descobriu uma vulnerabilidade na rede da escola que expunha dados de cartões de pagamento.
“Eu entrei em contato com o técnico de TI de lá para consertar, mas ninguém se importou, então eu hackeei todo o sistema”, lembra Ngo. “Então usei a mesma vulnerabilidade para hackear outros sites. Eu estava roubando muitos cartões de crédito. ”
Ngo disse que decidiu usar os dados do cartão para comprar ingressos para shows e eventos da Ticketmaster e, em seguida, vendê- los em um site de leilões da Nova Zelândia chamado TradeMe . Mais tarde, a universidade soube da intrusão e do papel de Ngo nela, e a polícia de Auckland se envolveu. O visto de viagem de Ngo não foi renovado depois que seu primeiro semestre terminou e, em retribuição, ele atacou o site da universidade , fechando-a por pelo menos dois dias.
Ngo disse que começou a ter aulas novamente no Vietnã, mas logo descobriu que passava a maior parte do tempo em fóruns de crimes cibernéticos.
“Passei de hacking por diversão para hacking por lucros quando vi como era fácil ganhar dinheiro roubando bancos de dados de clientes,”
“Passei de hacking por diversão para hacking por lucros quando vi como era fácil ganhar dinheiro roubando bancos de dados de clientes”, disse Ngo. “Eu estava saindo com alguns dos meus amigos dos fóruns clandestinos e conversamos sobre o planejamento de uma nova atividade criminosa.”
“Meus amigos disseram que usar cartões de crédito e informações bancárias é muito perigoso, então comecei a pensar em vender identidades”, continuou Ngo. “A princípio pensei bem, é só informação, talvez não seja tão ruim porque não tem relação direta com contas bancárias. Mas eu estava errado, e o dinheiro que comecei a ganhar muito rápido apenas me cegou para muitas coisas. ”
MICROBILT
Seu primeiro grande alvo foi uma empresa de relatórios de crédito ao consumidor em Nova Jersey, chamada MicroBilt .
“Eu estava invadindo sua plataforma e roubando seu banco de dados de clientes para que pudesse usar seus logins de clientes para acessar seus bancos de dados [de consumidor]”, disse Ngo. “Eu estive em seus sistemas por quase um ano sem eles saberem.”
Logo depois de obter acesso ao MicroBilt, Ngo diz, ele criou o Superget [.] Info , um site que anunciava a venda de registros de consumidores individuais. Ngo disse que inicialmente seu serviço era bastante manual, exigindo que os clientes solicitassem estados ou consumidores específicos sobre os quais desejavam informações, e que ele conduzia as pesquisas manualmente.
“Eu estava tentando obter mais registros de uma vez, mas a velocidade de nossa Internet no Vietnã era muito lenta”, lembra Ngo. “Não consegui fazer o download porque o banco de dados era muito grande. Então, eu só procuro manualmente por quem precisa de identidades. ”
Mas Ngo logo descobriria como usar servidores mais poderosos nos Estados Unidos para automatizar a coleta de grandes quantidades de dados do consumidor dos sistemas MicroBilt e de outros corretores de dados. Como escrevi sobre o serviço de Ngo em novembro de 2011:
“O Superget permite aos usuários pesquisar indivíduos específicos por nome, cidade e estado. Cada “crédito” custa US $ 1, e uma obtenção bem-sucedida em um número do Seguro Social ou data de nascimento custa 3 créditos cada. Quanto mais créditos você comprar, mais baratas serão as pesquisas por crédito: Seis créditos custam $ 4,99; 35 créditos custam $ 20,99, e $ 100,99 compram 230 créditos. Os clientes com necessidades especiais podem se beneficiar do “plano de revendedor”, que promete 1.500 créditos por $ 500,99 e 3.500 créditos por $ 1.000,99.
“Nossos bancos de dados são atualizados TODOS OS DIAS”, entusiasma-se o proprietário do site. “Cerca de 99% quase 100% dos americanos puderam ser encontrados, mais do que qualquer site na Internet agora.”
A intrusão de Ngo no MicroBilt acabou sendo detectada e a empresa o expulsou de seus sistemas. Mas ele diz que voltou a usar outra vulnerabilidade.
“Eu estava hackeando-os e demorou meses”, disse Ngo. “Eles descobririam [minhas contas] e consertariam, e eu descobriria uma nova vulnerabilidade e as invadiria novamente.”
CORTE (AD) AVENTURES E EXPERIAN
Esse jogo de gato e rato continuou até que Ngo encontrou uma fonte muito mais confiável e estável de dados do consumidor: uma empresa com sede nos Estados Unidos chamada Court Ventures , que agregava registros públicos de documentos judiciais. A Ngo não estava interessada nos dados coletados pela Court Ventures, mas em seu contrato de compartilhamento de dados com um corretor de dados terceirizado chamado US Info Search , que tinha acesso a registros de consumidores muito mais confidenciais.
Usando documentos falsos e mais do que algumas mentiras, Ngo conseguiu convencer a Court Ventures de que ele era um investigador particular baseado nos Estados Unidos.
“No início [quando] me inscrevi, eles pediram alguns documentos para verificar”, disse Ngo. “Então, acabei de usar algumas habilidades em engenharia social e passei pela verificação de segurança.”
Então, em março de 2012, algo ainda mais notável aconteceu: a Court Ventures foi comprada pela Experian , uma das três maiores agências de crédito ao consumidor nos Estados Unidos. E por nove meses após a aquisição, Ngo conseguiu manter seu acesso.
“Depois disso, o banco de dados ficou sob controle da Experian”, disse ele. “Eu estava pagando um bom dinheiro à Experian, milhares de dólares por mês.”
Se alguém na Experian já realizou a devida diligência nas contas herdadas da Court Ventures, não está claro. Mas não seria necessário um cirurgião-foguete para descobrir que esse cliente em particular estava tramando algo suspeito.
Por um lado, Ngo pagava as faturas mensais das solicitações de dados de seus clientes usando transferências eletrônicas de vários bancos em todo o mundo, mas principalmente de novas contas em instituições financeiras na China, Malásia e Cingapura.
O’Neill disse que o site de roubo de identidade de Ngo gerou dezenas de milhares de consultas por mês. Por exemplo, a primeira fatura que a Court Ventures enviou para Ngo em dezembro de 2010 foi para 60.000 consultas. Na época em que a Experian adquiriu a empresa, o serviço da Ngo havia atraído mais de 1.400 clientes regulares e tinha uma média de 160.000 consultas mensais.
Mais importante, as margens de lucro de Ngo eram enormes.
“Seu serviço foi muito barulhento”, disse ele. “A Court Ventures cobrava dele 14 centavos por consulta, mas ele cobrava de seus clientes cerca de US $ 1 por cada consulta.”
A essa altura, O’Neill e seus colegas agentes do Serviço Secreto haviam cumprido dezenas de intimações vinculadas ao serviço de roubo de identidade de Ngo, incluindo uma que lhes concedia acesso à conta de e-mail que ele usava para se comunicar com os clientes e administrar seu site. Os agentes descobriram vários e-mails de Ngo instruindo um cúmplice a pagar a Experian usando transferências eletrônicas de diferentes bancos asiáticos.
TERRA
Trabalhando com o Serviço Secreto, Experian rapidamente se concentrou nas contas de Ngo e as fechou. Ciente de uma oportunidade aqui, o Serviço Secreto contatou Ngo por meio de um intermediário no Reino Unido – um conhecido criminoso cibernético condenado que concordou em jogar junto. O colaborador baseado no Reino Unido disse a Ngo que ele havia pessoalmente fechado o acesso de Ngo à Experian porque ele havia estado lá primeiro e Ngo estava interferindo em seus negócios.
“O cara do Reino Unido disse a Ngo: ‘Ei, você está pisando no meu território e decidi deixá-lo de fora. Mas, enquanto você estiver pagando um vig por meu intermédio, seu acesso não vai desaparecer ‘”, lembrou O’Neill.
O cibercriminoso do Reino Unido, agindo a mando do Serviço Secreto e das autoridades britânicas, disse a Ngo que, se ele quisesse manter seu acesso, poderia concordar em se encontrar pessoalmente. Mas Ngo não aceitou imediatamente a oferta.
Em vez disso, ele abriu caminho para outro enorme armazenamento de dados. Da mesma forma que ganhou acesso à Court Ventures, Ngo conseguiu uma conta em uma empresa chamada TLO , outra corretora de dados que vende acesso a informações extremamente detalhadas e confidenciais sobre a maioria dos americanos.
O serviço da TLO é acessível a agências de aplicação da lei e a um número limitado de profissionais avaliados que podem demonstrar que têm um motivo legal para acessar tais informações. Em 2014, a TLO foi adquirida pela Trans Union , uma das outras três grandes agências de relatórios de crédito ao consumidor nos Estados Unidos.
E por um curto período, Ngo usou seu acesso ao TLO para impulsionar uma nova iteração de seu negócio – um serviço de roubo de identidade rebatizado como usearching [.] Info . Esse site também extraiu dados do consumidor de uma empresa de empréstimo de ordenado que Ngo invadiu, conforme documentado em minha história de setembro de 2012, ID Theft Service Tied to Payday Loan Sites . Ngo disse que o site hackeado de empréstimos salariais deu a ele acesso instantâneo a cerca de 1.000 novos registros fullz por dia.
CEGOS DE GANHO
Nessa época, Ngo era um multimilionário: seus vários sites e acordos de revenda com três lojas online de cibercriminosos em língua russa renderam a ele mais de US $ 3 milhões. Ele disse a seus pais que seu dinheiro vinha ajudando empresas a desenvolver sites e até mesmo usou alguns de seus ganhos ilícitos para saldar as dívidas da família (seu negócio de eletrônicos havia falido, e um membro da família havia pedido um empréstimo, mas nunca pagou uma quantia significativa soma de dinheiro).
Mas principalmente, disse Ngo, ele gastou seu dinheiro em coisas frívolas, embora diga que nunca tocou em drogas ou álcool.
“Eu gastei em férias e carros e um monte de outras coisas estúpidas”, disse ele.
Quando o TLO bloqueou Ngo de sua conta lá, o Serviço Secreto usou isso como mais uma oportunidade para seu porta-voz do cibercriminoso no Reino Unido apertar os parafusos de Ngo mais uma vez.
“Ele disse a Ngo que o trancou do lado de fora de novo e que poderia fazer isso o dia todo”, disse O’Neill. “E se ele realmente quisesse um acesso duradouro a todos esses lugares aos quais costumava ter acesso, ele concordaria em se encontrar e formar uma parceria mais segura.”
Depois de vários meses conversando com seu suposto atormentador baseado no Reino Unido, Ngo concordou em se encontrar com ele em Guam para finalizar o negócio. Ngo diz que entendeu na época que Guam é um território não incorporado dos Estados Unidos, mas que ele descartou as chances de que tudo isso fosse algum tipo de operação policial elaborada.
“Eu estava tão desesperado para ter um banco de dados estável, fiquei cego pela ganância e comecei a agir como louco sem pensar”, disse Ngo. “Muitas pessoas me disseram ‘Não vá!’, Mas eu disse a elas que precisava tentar ver o que estava acontecendo.”
Mas, imediatamente depois de descer do avião em Guam, ele foi preso por agentes do Serviço Secreto.
“Um dos nomes de seus serviços de roubo de identidade era findget [.] Me ”, disse O’Neill. “Levamos isso a sério e fizemos como ele pediu.”
Esta é a Parte I de uma série de várias partes. Volte amanhã (27 de agosto) para a Parte II, que examinará o que os investigadores aprenderam após a prisão de Ngo e investigará seu esforço mais recente para corrigir os erros que ele cometeu.
Fonte: https://krebsonsecurity.com/2020/08/confessions-of-an-id-theft-kingpin-part-i