Ela cuida do seu cartão

Após trabalhar por 13 anos na NSA, Penny Lane agora afasta os hackers do seu dinheiro

Gabriel Francisco Ribeiro Do UOL, em São Paulo Keiny Andrade/UOL

"É por causa do meu nome. Soa familiar". Desta maneira, aos risos, Penny Lane, a matemática que tem nome de música famosa, brinca sobre como chegou a uma importante posição dentro de uma das maiores companhias do mundo. Modéstia.

Ela fez carreira como agente do governo americano e foi treinada em segurança digital por aqueles que são os especialistas em pesquisa e coleta de informações, interceptação e, claro, vigilância. Hoje ela é a vice-presidente de Ruptura de Fraude de Pagamento da Visa e lidera o time de hackers do bem que tenta deixar os criminosos bem longe do seu dinheiro.

Ao som da música dos Beatles que acaba de grudar na sua cabeça, veja o que ela contou ao UOL Tecnologia durante recente passagem pelo Brasil.

Keiny Andrade/UOL

Graduada e mestre em matemática pela prestigiada Universidade Johns Hopkins, a norte-americana de 55 anos teve um primeiro emprego de dar inveja: dentro do Departamento de Defesa dos Estados Unidos, na agora superpolêmica NSA (Agência Nacional de Segurança). Lembra? Edward Snowden, um ex-consultor do órgão, revelou ao mundo que ali acontecia a espionagem de inúmeros governos e o monitoramento de cidadãos dentro e fora dos EUA.

Polêmico é, mas não deixa de ser uma escola. É assim que Lane vê sua experiência dentro do governo:

"Eu queria ser matemática e era um dos poucos lugares que contratavam matemáticos. No primeiro dia perguntaram se eu queria ser programadora. Eu odiava programação, mas disse: 'claro, claro'. No fim, descobri que é muito mais legal no mundo real que na faculdade. Dá para 'trapacear' [as regras de programação], compartilhar com as pessoas [os resultados dos códigos]..."

Logo no primeiro emprego, a executiva ficou 13 anos. Foi passando por várias posições de desenvolvimento e criptoanálise até encerrar sua passagem pela NSA.

Foi ali, nas salas do Departamento de Justiça, que ela percebeu que destoava --e não era por seu invejável currículo. Nos EUA, assim como no Brasil, ainda persiste a velha ideia de que as mulheres não combinam com as exatas, ou os cargos altamente técnicos.

Vou a conferências de segurança e ainda perguntam quem é o meu marido, acham que sou a esposa de alguém. Ou me vejo sozinha no banheiro feminino. É como vôlei: na primeira vez que jogo, os homens querem tomar meu saque. Eu tenho que dizer: 'deixa eu tomar seu saque'. Aí me deixam em paz

Keiny Andrade/UOL Keiny Andrade/UOL

Logo que entrou na Visa, em 2000, criou o primeiro grupo de hackers éticos da empresa. Hoje, sob sua tutela, trabalham oito equipes do tipo, focadas em evitar fraudes e hackeamentos globais contra sistemas de pagamentos. São essas pessoas que buscam pelos grupos por trás dos códigos maliciosos.

Nosso objetivo é proteger o ecossistema, que é bem grande. Protegemos os bancos, os donos de cartões e as tecnologias de qualquer coisa que ataque o sistema de pagamento, seja um ataque direto a uma tecnologia ou um esquema de fraude

Para isso, une sua bagagem de ex-agente de defesa com a inteligência artificial e o aprendizado de máquina para atuar em várias frentes e ampliar seu poder de identificar padrões em um meio cada vez mais visado e lucrativo para os criminosos.

Trata-se de um eterno jogo de gato e rato com ares de CSI, onde os dois lados agem na surdina em busca por brechas do adversário.

Arte UOL Arte UOL

A vantagem para ela é que, por servir a um número grande de clientes, fica por dentro de uma infinidade de casos e consegue ter um olhar do cenário geral. Identifica caraterísticas que talvez outros segmentos não tenham detectado ainda, como o mesmo malware agindo em várias ocasiões, os mesmos servidores sendo usados em vários casos ou as mesmas técnicas em uma série de golpes.

Foi desse jeito que Lane evitou que um grupo de hackers africanos realizasse um saque rápido de dinheiro - US$ 240 mil (quase R$ 1 milhão) - em uma rede de caixas eletrônico. Ela percebeu a movimentação estranha e telefonou para o banco, informando que as operações seriam bloqueadas. Um suposto funcionário respondeu que não havia fraude e não era preciso parar as atividades, mas ela seguiu com o bloqueio. Depois, descobriu que o cara era parte do grupo criminoso, que foi preso.

Quem ataca o sistema de pagamentos quer fazer dinheiro de um jeito eficiente e com alto retorno. Então, o objetivo das equipes de segurança é tornar os golpes trabalhosos.

Se ficar mais difícil, talvez eles procurem outro lugar ou talvez não façam. Queremos que eles fiquem sabendo o que podemos ver e fazer. Assim eles ficam preocupados

Keiny Andrade/UOL Keiny Andrade/UOL

Estratégia de ação

  • 1

    Identificar e mirar um perigo

    Descobrir quem está causando grandes danos e partir para cima de forma agressiva. "Ligamos os casos, olhamos as técnicas e tudo o que acharmos: endereço de IP, infraestrutura digital, servidores que usaram, email. É comum reusarem os computadores, porque não vão usar um novo para cada novo ataque."

  • 2

    Mapear e alertar os alvos

    Todas as informações levantadas vão para uma base de dados, que mapeia os grupos e acha padrões. Com isso, é possível saber, por exemplo, que um banco atacado por algum malware antes mesmo que qualquer danos ser notado. O banco é alertado para que tome medidas de segurança e evite perdas financeiras para a instituição ou seus clientes.

  • 3

    Avisar geral

    A equipe analisa o malware usado na tentativa de fraude e pega as "digitais". Então, emite um alerta global contra a ação. Assim, outras equipes de segurança de diversas instituições podem se prevenir e agir em rede.

Keiny Andrade/UOL Keiny Andrade/UOL

Mas o trabalho de investigação tem muita dificuldade de colocar uma cara nos criminosos. E, sem as identidades, fica difícil prender e prevenir novos roubos.

Fizemos muito progresso, mas essa é a parte mais difícil: identificar quem faz os ataques. Essa era uma área que nem tocávamos, mas agora estamos sendo mais agressivos. O problema é que eles nos observam enquanto os observamos

Para você ter uma ideia do tamanho do problema, o crime do momento envolve ataques diretos ao sistema dos bancos.

Recentemente, no México, um grupo forjou requisições de transferências para contas que não existiam. Isso às vezes funcionava, às vezes não. Mas, de pouquinho em pouquinho, os criminosos fizeram a festa e conseguiram no mínimo US$ 15 milhões. Em outro caso, os hackers movimentaram US$ 1 bilhão, do Bancomext, espécie de BNDES mexicano, mas foram contidos antes de concluir a ação.

A mesma coisa aconteceu em Hong Kong, onde conseguiram US$ 10 milhões, e no Equador, onde o Banco del Austro perdeu US$ 12 milhões. No banco central de Bangladesh, conseguiram US$ 110 milhões. Atacaram também Costa Rica, Chile e Uruguai.

Esse golpe usa transferências feitas por meio da rede Swift (Sociedade de Telecomunicações Financeiras Interbancárias Mundiais) e dão certo porque acontecem em grande número e pequenos montantes, o que dificulta a identificação (especialmente a automatizada) de uma movimentação irregular.

Isso elevou o nível de atenção das equipes de segurança de todo o mundo, inclusive da equipe de Lane.

Keiny Andrade/UOL Keiny Andrade/UOL

Mesmo com uma equipe global para aplicação de leis e que trabalha com autoridades de diferentes países, a executiva sabe que, na maioria das vezes, os criminosos sairão impunes, porque não são identificáveis. É aí que entra seu plano B: derrubar a infraestrutura dos hackers.

Colocar na cadeia leva tempo. Se não podemos prender, vamos atrás deles de um jeito ou de outro. Destruir a estrutura, os servidores que construíram, apagar as contas que usam na deep web para se comunicar com outros criminosos, obrigá-los a fazer novas credenciais... Isso vai irritá-los bastante

Lane gaba-se: "diga um tipo de ataque e temos múltiplos meios de pará-lo". Mas ela sabe que um novo momento para a área ruptura de fraude de pagamento já começou, com desafios ainda maiores. O cartão físico já está morrendo e sendo substituído por pagamentos totalmente digitais -- seja no celular, em pulseira ou até biochips --na China, eles já foram quase que totalmente substituídos. Com isso, as fraudes devem aumentar.

"É mais fácil fraudar online, porque o fraudador está escondido atrás de um computador, não vai até o caixa. Mas faço isso a minha vida toda e é sempre igual: tem alguém barulhento que atrai muita atenção, deixa muitas pistas, até começarem a serem pegos e ficam mais sutis", diz.

Lane já começou a implantar uma nova tecnologia, chamada de 3DS, para tornar as compras online mais seguras e menos confusas para consumidores, com mais elementos para os bancos analisarem e menos para os clientes preencherem. Com isso, defende ela, a chance de os criminosos cometerem um erro é maior.

Vai ser diferente, e eu gosto de mudança. Nós desenhamos e temos os recursos, então temos a vantagem. Vai ser a mesma coisa, só um jeito diferente de jogar o jogo

Topo

Publicado em 5 de abril de 2019.

Arte: Matheus Pape; Edição: Fabiana Uchinaka; Imagens: Keiny Andrade; Reportagem: Gabriel Francisco Ribeiro;

Curtiu? Compartilhe.