Recompensa para ladrões de dados: Vai ajudar ou prejudicar?

Recompensas e prémios têm sido oferecidos pela captura de criminosos, ou por informações que levem à sua captura, desde pelo menos o primeiro século do Império Romano, quando um taberneiro em Pompeia ofereceu uma recompensa pelo retorno de um pote de cobre roubado e por informações que levassem à captura do ladrão.

Nos tempos modernos, o governo dos EUA oferece recompensas por ajuda na captura de criminosos da lista Ten Most Wanted desde 1950. E desde a aprovação da Lei de 1984 para Combater o Terrorismo Internacional, o governo dos EUA oferece recompensas por informações sobre terrorismo, interferência estrangeira em eleições e atividades cibernéticas maliciosas através do seu programa Rewards for Justice (RfJ).

Em junho passado, foi oferecida uma recompensa de $10M ao abrigo do programa RfJ por informações que levassem à captura de Maxim Alexandrovich Rudometov e outros suspeitos de estarem ligados à criação e implantação do malware RedLine.

A recompensa do Coinbase

Num desenvolvimento inédito, uma vítima de ciber-extorsão — a operadora de câmbio de criptomoedas Coinbase — ofereceu recentemente uma recompensa de $20M em troca de informações que levem à identificação e captura do criminoso ou criminosos que adquiriram dados sensíveis de clientes e exigiram o mesmo montante em troca de não os divulgar publicamente.

O que aconteceu foi que alguém subornou alguns membros da equipa de apoio ao cliente da Coinbase para roubar e entregar uma série de dados — nomes de clientes, números de telefone, endereços, endereços de email, saldos de contas, números parciais de contas, e mais (mas sem palavras-passe ou chaves privadas). Depois, enviaram um email à Coinbase a dizer que não tornariam os dados públicos se fossem pagos $20M.

Esses dados poderiam facilmente ser usados para lançar esquemas de phishing que poderiam enganar os clientes a, por exemplo, transferirem depósitos das suas contas reais da Coinbase para outras contas fraudulentas. Não está claro se algum cliente foi afetado ou sofreu perdas, mas a Coinbase comprometeu-se a cobrir quaisquer perdas desse tipo, caso ocorram.

A Coinbase respondeu anunciando o roubo e recusando-se a pagar o resgate. A publicação no blog da empresa sobre o assunto dizia, em parte:

"Estamos a cooperar de perto com as autoridades policiais para aplicar as penalizações mais severas possíveis e não pagaremos a exigência de resgate de $20 milhões que recebemos. Em vez disso, estamos a estabelecer um fundo de recompensa de $20 milhões por informações que levem à detenção e condenação dos criminosos responsáveis por este ataque."

A Coinbase estima que o custo total de recuperação do ataque pode chegar a $400M. E eles alertam os clientes para “esperar impostores” tentando defraudá-los de suas criptomoedas.

Bom ou mau?

Bom para a Coinbase por recusar pagar o resgate. É o que as autoridades policiais e os profissionais de cibersegurança há muito têm aconselhado as vítimas de ransomware a fazer, e o mesmo aplica-se à extorsão de dados que, como neste caso, não envolve qualquer malware.

Mas há uma questão a ser colocada sobre os efeitos a longo prazo de estabelecer o precedente de oferecer uma recompensa. Se isto se tornar uma resposta comum a tentativas de extorsão, terá efeitos gerais positivos ou negativos no panorama das ciberameaças?

Por outro lado, parece provável que esta recompensa facilite a captura de cibercriminosos específicos. Não há honra entre ladrões, alguém sabe quem fez isto, e $20M não é de se desprezar.

Mas a história ensina que existem riscos definidos em oferecer sistematicamente recompensas. O surgimento da caça de recompensas como profissão nunca foi um bem absoluto. Não é preciso olhar de perto para a história para ver que os sistemas de recompensas têm impulsionado a ilegalidade e a violência ao longo do passado. Além disso, os criminosos não se importam se o seu pagamento de 20 milhões de dólares vem como um resgate ou uma recompensa. E garanto-lhe que neste momento há cibercriminosos a conspirar para obter esse dinheiro por todos os meios necessários.

Portanto, se as recompensas para hackers se tornarem comuns, é totalmente possível que marquem o surgimento de uma nova categoria de ciberfraude, aumentando, em última análise, os níveis gerais de ameaça em vez de os reduzir.

Não há como saber se aquele taberneiro em Pompeia recuperou a sua panela ou apanhou o ladrão. Mas se o fez, então há pelo menos uma hipótese de que a sua recompensa tenha levado a ser roubado repetidamente.