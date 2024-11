Como a Islândia se tornou o centro de esquema de golpes com sites falsos Criminosos enganavam as vítimas fazendo com que compartilhassem detalhes do cartão de crédito e se comprometessem, involuntariamente, com pagamentos mensais exorbitantes Internacional|Steven Lee Myers e Tiffany Hsu, do The New York Times 18/10/2024 - 02h00 (Atualizado em 18/10/2024 - 02h00 ) twitter

A Islândia é um lugar atraente para serviços de proxy, em grande parte por causa de suas robustas leis de privacidade Sigga Ella/The New York Times

Reykjavik, Islândia – O moderno edifício de escritórios perto do porto de Reykjavik, a capital da Islândia, é mais conhecido como a sede do Museu Falológico Islandês, que exibe 320 espécimes de pênis de mamíferos.

Para aqueles que rastreiam a criminalidade cibernética, no entanto, o edifício também tem a reputação de ser um paraíso offshore virtual para alguns dos piores perpetradores de roubo de identidade, ransomware, desinformação, fraude e outros delitos do mundo on-line. Isso porque o endereço do museu, Kalkofnsvegur 2, também é o endereço registrado da Withheld for Privacy, empresa que faz parte de uma indústria em expansão e não regulamentada na Islândia e em outros lugares, que permite que pessoas que operam domínios on-line escondam sua identidade.

Embora a prática tenha se tornado comum para proprietários de sites que buscam se proteger de assédio ou spam, ela também ajudou outros a cobrir seus rastros de reguladores curiosos, de autoridades policiais ou de suas vítimas.

A Withheld for Privacy, e outros chamados serviços de proxy, transformaram a Islândia em um centro global de atividades ilícitas desproporcionais ao tamanho do país. A companhia — criada em 2021 pela Namecheap, uma das maiores provedoras de sites do mundo — efetivamente encobriu dezenas de milhares de sites suspeitos. Até mesmo autoridades locais disseram que haviam tentado e não tinham conseguido entrar em contato com os representantes da empresa quando os problemas surgiram.

‌



Pesquisadores da Universidade de Syracuse, que estudam publicidade política enganosa no Facebook e no Instagram, depararam-se com o museu do pênis ao tentar rastrear os proprietários de um site que gastou US$ 1,3 milhão em anúncios fraudulentos direcionados a apoiadores do ex-presidente Donald Trump. O golpe enganava as vítimas fazendo com que compartilhassem detalhes de seu cartão de crédito e se comprometessem, involuntariamente, com pagamentos mensais exorbitantes. Este ano, o proprietário do Facebook e da Meta encerrou os anúncios e bloqueou o domínio por trás deles.

A internet está repleta de sites semelhantes tentando enganar ou ludibriar usuários crédulos. Os serviços de proxy tornam ainda mais difícil capturar ou mesmo identificar os perpetradores dos abusos. “É a versão da internet que manda você para aquele lugar”, disse Jon Stromer-Galley, engenheiro de software de pesquisa no Instituto de Democracia, Jornalismo e Cidadania da Universidade de Syracuse.

‌



Como a Withheld for Privacy usa o endereço do prédio para seus clientes, o Kalkofnsvegur 2 foi vinculado a fóruns on-line usados por um grupo supremacista branco nos Estados Unidos, o Patriot Front, para vender medicamentos hormonais falsificados a mulheres trans; foi também atribuído a sites de phishing se passando por empresas como Amazon, Coinbase e Spotify para roubar dinheiro e informações pessoais de visitantes; e a campanhas de influência russa destinadas a espalhar narrativas falsas para americanos desavisados.

Os esforços russos, que os Estados Unidos vincularam à administração do presidente Vladimir Putin, incluem mais de 130 veículos de notícias falsas registrados este ano por um ex-xerife adjunto da Flórida que agora mora em Moscou, John Mark Dougan. Entre as ações mais recentes de Dougan, havia uma entrevista encenada no site da KBSF-TV, em San Francisco — um canal que não existe —, fazendo uma alegação falsa de que a vice-presidente Kamala Harris feriu uma garota em um acidente de carro com atropelamento em 2011.

‌



A Islândia é um lugar atraente para serviços de proxy, em grande parte por causa de suas robustas leis de privacidade. Estas, segundo autoridades do país, têm como objetivo proteger usuários comuns de governos autoritários, e não abrigar fraudadores ou outros criminosos. “Tínhamos o objetivo de criar o que chamamos de Suíça dos bytes. Em vez disso, abusaram do trabalho que fizemos”, declarou Mordur Ingolfsson, ex-membro do parlamento da Islândia que ajudou a promulgar algumas das primeiras leis de privacidade da internet do país.

Nem a Withheld for Privacy nem a Namecheap responderam a repetidos pedidos de comentários para esta matéria. “O serviço deles só serve para esconder quem é o verdadeiro controlador”, afirmou Valborg Steingrimsdottir, chefe de supervisão da Autoridade de Proteção de Dados da Islândia. Domínios da internet são como a versão on-line de um endereço normal de rua; um site é como o prédio nessa rua. Há muito tempo, os domínios são regulamentados pela Corporação da Internet para Atribuição de Nomes e Números, organização internacional sem fins lucrativos conhecida como Icann, que o governo dos EUA criou em 1998. Até 2018, qualquer pessoa que buscasse usar um domínio era obrigada a divulgar informações de contato, que eram então registradas em bancos de dados públicos pesquisáveis. O objetivo era garantir a confiança do público em que os sites eram o que diziam ser.

Então, a União Europeia aprovou a lei de privacidade on-line mais rigorosa do mundo, o Regulamento Geral de Proteção de Dados. Suas estipulações, que moldaram os padrões globais, permitem que a maioria dos registrados proteja suas informações de contato. A proteção por proxy logo se tornou, em muitos casos, um recurso padrão.

Ao contrário de certos domínios de nível superior, como .gov para sites do governo dos Estados Unidos e do Brasil também, ou o .is na Islândia, os domínios mais familiares como .com, .org e .net, e a maioria dos outros, são mantidos por empresas privadas chamadas registradores. Muitas — incluindo a GoDaddy, a maior — oferecem serviços de privacidade para registro de domínio, geralmente sem custo, e enfrentam pouca pressão para compartilhar informações sobre clientes potencialmente problemáticos. “Num momento em que o crime cibernético e as preocupações com a desinformação estão aumentando, a indústria se tornou muito opaca”, observou Greg Aaron, presidente da Illumintel, empresa de consultoria que fornece serviços de política e segurança da internet.

Thordur O. Thordarson é gerente do Museu Falológico Islandês, em Reykjavik, na Islândia Sigga Ella/The New York Times

As empresas de tecnologia, que alegam não ser responsáveis quando seus produtos ou serviços são usados de forma ilícita, enfrentam uma reação cada vez maior na Islândia e em outros países. A Autoridade de Proteção de Dados da Islândia, aliada à promotoria e ao Ministério das Telecomunicações do país, pressiona por uma legislação que efetivamente proíba serviços como a Withheld for Privacy de operar na Islândia. “A lei precisa ser alterada para que esse problema seja gerenciado”, disse Steingrimsdottir.

A Namecheap anunciou, em 2021, que estava mudando seu serviço de domínio de privacidade para o Withheld for Privacy; anteriormente, havia usado um proxy baseado no Panamá. O anúncio dizia que a empresa havia escolhido a Islândia porque era “um país conhecido por seus padrões de privacidade”.

A Withheld for Privacy, como muitos de seus clientes, é uma entidade misteriosa; sua atividade é aparentemente ofuscada pelo seu desenho técnico. Está registrada em Kalkofnsvegur 2, de acordo com o departamento de impostos da Islândia, mas não há nenhum sinal externo de que o serviço ocupe espaço no prédio de seis andares.

O diretor da Withheld for Privacy está listado como Sergio Raygoza Hernandez, do México, de acordo com registros públicos no departamento de impostos em Reykjavik. Não conseguimos contato com ele nem com qualquer outra pessoa por meio do número de telefone ou do endereço de e-mail fornecidos pelo site da empresa.

A Isnic, empresa privada responsável pela regulamentação do domínio .is da Islândia, também não conseguiu entrar em contato com ninguém da Withheld for Privacy. Ela estava tentando verificar a identidade de pessoas que tentaram registrar cinco domínios .is usando a Withheld for Privacy.

O diretor executivo da Isnic, Jens Petur Jensen, afirmou que, por lei, a Isnic poderia bloquear esses cinco domínios, mas a Islândia não tem autoridade legal sobre sites que usam outros domínios, mesmo que estejam registrados em endereços no país.

Empresas de tecnologia enfrentam uma reação cada vez maior na Islândia e em outros países Sigga Ella/The New York Times

Quase imediatamente depois que a Withheld for Privacy foi registrada, em 2021, autoridades ao redor do mundo começaram a rastrear atividades problemáticas até Kalkofnsvegur 2.

Naquele ano, o Conselho de Valores Mobiliários do Estado do Texas emitiu uma ordem de cessação e desistência contra um site registrado lá, Prestige Assets Management, acusando-o de executar um esquema para se passar por outra empresa e enganar investidores em potencial para que lhes dessem informações de identificação confidenciais.

A Agência de Segurança em Infraestrutura e Cibersegurança, em Washington, também emitiu um alerta naquele ano sobre dois sites de ransomware no endereço de Reykjavik vinculados ao DarkSide, grupo de hackers cibernéticos sediado na Rússia que executou um ataque a um grande oleoduto dos EUA. Um grupo de sites escondidos atrás da Withheld for Privacy foi vinculado a uma campanha on-line para difamar Simu Liu, o ator canadense. Outros sites incluíam golpes aparentes que tinham como alvo candidatos a um emprego e a um apartamento, entusiastas de carros esportivos e músicos, buscando informações pessoais ou dados financeiros.

Dougan, o ex-xerife adjunto, agora na Rússia, registrou seus novos domínios por meio da Withheld for Privacy depois que seus registros para sites anteriores nos Estados Unidos foram expostos como organizações de notícias falsas, de acordo com McKenzie Sadeghi, pesquisador da NewsGuard, empresa que rastreia desinformação on-line.

O site falso de notícias de televisão que espalhou a falsa alegação sobre o acidente de carro de Harris — que a Microsoft e o governo dos EUA vincularam no mês passado ao Kremlin — foi registrado apenas em agosto, de acordo com o banco de dados da Icann. O site foi bloqueado desde então. Dougan se recusou a comentar os sites registrados na Islândia.

A Withheld for Privacy registrou cerca de 35 milhões de domínios no prédio em Reykjavik, a maioria, presumivelmente, de usuários legítimos. A opacidade do serviço de privacidade, no entanto, tornou mais difícil o policiamento daqueles que não são. “Onde o uso para e o abuso começa? Essas são perguntas muito difíceis, e não conseguimos responder a elas”, disse Ingolfsson, ex-legislador.

