Ameaças ocultas no fórum de negócios clandestino – como funciona o BreachForums na dark web

A cibersegurança ocidental monitora regularmente a atividade nos fóruns do mercado negro para entender como operam os cybercriminosos e quais produtos e serviços oferecem na sua economia subterrânea. Fóruns na dark web como o BreachForums representam um dos maiores focos de atividade criminosa organizada. A seguir, apresentamos uma análise detalhada do que acontece dentro deste ecossistema obscuro.

Este artigo tem caráter educativo e não incentiva o uso da dark web.

De RaidForums a BreachForums – o nascimento de uma plataforma underground

Antes de o BreachForums se tornar o fórum de cibercrime mais famoso na dark web, operava sob o nome anterior – RaidForums. A plataforma foi fundada em 2015 pelo hacker português Diogo Santos Coelho. Inicialmente, funcionava como uma comunidade focada em “invadir” sites como uma brincadeira e trollagem. No entanto, ao envolver-se no roubo massivo de dados de plataformas de redes sociais e sites corporativos, o RaidForums rapidamente se transformou em um dos hubs mais lucrativos do mercado ilegal.

A história do BreachForums é uma cadeia de aquisições, prisões e renascimentos. Em 2022, Europol e agências de inteligência dos EUA assumiram a plataforma e prenderam Diogo Santos Coelho, que atualmente aguarda extradição no Reino Unido. O site foi posteriormente reativado por um usuário com o pseudônimo PomPomPurin, também preso pelo FBI em 2023. Na prática, o BreachForums é conhecido por reiniciar suas atividades sob novos operadores – a última aquisição pelo FBI ocorreu em maio de 2024.

Apesar das intervenções frequentes das forças de segurança, o fórum continua ativo. Especialistas em cibersegurança especulam, no entanto, que a versão atual pode ser uma “armadilha” monitorada pelo FBI para rastrear criminosos e coletar provas.

Ecossistema criminoso – o que realmente oferece o BreachForums

Logo ao entrar no BreachForums, vê-se convites abertos para atividades ilegais. Diferente de outros fóruns de cibersegurança que parecem comunidades de entusiastas, o BreachForums nunca esconde sua verdadeira natureza. Na página principal, há postagens oferecendo serviços proibidos – desde aluguel de gangue MS13 por 10.000 dólares (mais uma fraude do que uma oferta real), até venda de vazamentos de dados empresariais.

O chat do fórum exibe usuários discutindo em tempo real a venda de dados de usuários roubados de plataformas de streaming como Netflix, Paramount Plus, OnlyFans ou logins roubados de contas de e-mail de executivos. A atividade no fórum é intensa – todas as postagens analisadas surgiram em poucas horas, demonstrando a vitalidade desta comunidade subterrânea.

Um dos maiores subfóruns é dedicado exclusivamente a vazamentos de dados. Usuários vendem conjuntos de logins de e-mail de altos executivos, documentos de identidade de ZEA, Índia, Catar ou Arábia Saudita. Particularmente, os vazamentos do seguradora australiana MedBank, que foi realmente hackeada por cibercriminosos russos em 2022, contendo dados pessoais de 9,7 milhões de australianos, são bastante procurados. Muitas dessas ofertas são de vazamentos antigos (por exemplo, de 2016), que os vendedores reeditam como “frescos” – outro exemplo de fraudes até mesmo entre criminosos.

Catálogo de serviços – negócio profissional de atividades ilegais

Fóruns na dark web como o BreachForums oferecem um catálogo de serviços que poderiam estar em marketplaces legais – exceto pelo fato de todos serem ilegais. Criminosos são contratados para realizar ataques DDoS, ou seja, ataques de negação de serviço distribuídos, onde botnets bloqueiam operações de sites para extorquir dinheiro ou sabotar concorrentes.

Outro serviço popular é o acesso remoto ao computador da vítima (HNVC – Hidden Virtual Computer), permitindo que hackers tenham controle total do dispositivo. Uma descoberta interessante foi que grupos de cibercriminosos anunciam esses serviços exatamente como empresas legítimas – detalhando funções oferecidas, preços e suporte ao cliente em russo e inglês.

O fórum também oferece serviços de envio massivo de e-mails para campanhas de phishing, “flooders” de e-mails para sobrecarregar caixas de entrada de vítimas, além de catálogos de serviços de desenvolvimento de sites falsificados para roubo de dados. Todas as transações são feitas com criptomoedas, garantindo anonimato às plataformas.

Porém, devido às múltiplas prisões do fórum, a maioria das contas tem menos de 2 anos, o que prejudica a reputação dos vendedores e aumenta o risco de fraudes. Alguns oferecem o serviço de “escrow” – sistema onde uma terceira parte confiável mantém os fundos até que ambas as partes estejam satisfeitas. Isso é um bom indicador de que o vendedor realmente oferece o que afirma.

Fraudes internas – quando criminosos enganam outros criminosos

Um aspecto interessante deste fórum de mercado negro é a existência de um tópico dedicado a relatar fraudes. Há registros de casos em que usuários como uuu732 relataram terem sido vítimas de fraudes por vendedores como PennyTrate-x. Pagaram 300 dólares por um software para burlar detectores de malware, mas o vendedor nunca entregou o produto. Quando o moderador interveio, o vendedor se recusou a responder e sua conta foi bloqueada.

Outro caso envolve um usuário que gastou 500 dólares tentando comprar um banco de dados roubado de uma seguradora suíça, e mais 1300 dólares em outro banco de dados de um varejista suíço – nenhum produto foi entregue. Esses exemplos mostram que, mesmo em um ambiente de ilegalidade, fraudes são comuns e os moderadores têm dificuldades em fazer cumprir as regras.

Consequências – como criminosos usam dados roubados

A troca de dados na dark web tem consequências concretas e perigosas para as vítimas. Quando criminosos compram logins e senhas de contas de e-mail, usam-nas para invadir contas bancárias, PayPal, redes sociais ou plataformas de comércio eletrônico, realizando transferências não autorizadas ou compras.

Dados pessoais também são utilizados para roubo de identidade – criminosos solicitam empréstimos em nome de terceiros, usando documentos roubados, como passaportes. Em muitos casos, esses dados são usados para extorsão – hackers acessam informações sensíveis da vítima e ameaçam publicá-las.

Proteção – como se proteger das ameaças na internet

Embora o fórum na dark web represente uma ameaça real, é possível tomar medidas concretas para se proteger. Primeiramente e mais importante – não acesse a dark web de modo algum. Essa é a defesa mais eficaz.

Para usuários comuns, a proteção básica é ativar a autenticação de dois fatores (2FA) em todas as contas – isso exige um segundo dispositivo, como o telefone, para fazer login. Verifique cuidadosamente os URLs antes de clicar – os golpistas criam sites quase idênticos aos originais. Nunca baixe arquivos de fontes não confiáveis e evite clicar em links suspeitos.

Se desejar verificar se seu e-mail apareceu na dark web, pode usar a ferramenta “Have I Been Pwned” disponível na internet comum – sem precisar acessar a dark web. Se descobrir que seu endereço foi listado, troque a senha imediatamente, ative o 2FA e considere trocar seu endereço de e-mail se notar atividades suspeitas.

Perguntas frequentes sobre dark web e segurança

Posso acessar a dark web pelo Chromebook?
Tecnicamente sim – usando o Crostini, é possível instalar Linux e adicionar o repositório do navegador Tor. Contudo, não recomendamos fazer isso, a menos que seja para pesquisa jornalística ou acadêmica. O risco de encontrar fraudes e criminosos supera os benefícios.

Por que a dark web tem a reputação de “assustadora”?
Muitos vídeos populares no YouTube mostram youtubers abrindo “pacotes misteriosos” da dark web, e a internet está cheia de histórias de horror inspiradas nesse tema. Na realidade, a maior parte dessas histórias são encenações. A dark web é menos “assustadora” e mais um ambiente de negócios – pessoas acessam para compartilhar informações sem censura (como denunciantes políticos) ou simplesmente para cometer crimes cibernéticos.

O que fazer se meu e-mail apareceu na dark web?
Troque a senha imediatamente, ative a autenticação de dois fatores e monitore sua atividade com atenção. Se notar logins suspeitos (como e-mails de confirmação), considere trocar completamente seu endereço de e-mail.

O monitoramento de atividades em fóruns na dark web por especialistas em cibersegurança visa informar os usuários sobre ameaças reais. Conhecer o funcionamento dos criminosos é a primeira linha de defesa para se proteger deles.