As disputas criminais têm regras próprias para reduzir a chance de trapaça, diz Budd. No Exploit, as regras dizem que as entradas “não devem ter sido publicadas em outro lugar”, devem ser “significativas e volumosas”, devem incluir detalhes técnicos como código ou algoritmos e ter “pelo menos 5.000 caracteres (excluindo espaços)”. Isso equivale a cerca de 1.000 palavras, ou a extensão aproximada deste artigo da WIRED. As regras do XSS são semelhantes – “copiar e colar = expulsão do concurso, em desgraça” – mas exigem que os artigos sejam mais longos (pelo menos 7.000 caracteres) e dizem que deve haver “formatação, ortografia e pontuação adequadas”.
No entanto, os golpistas vão trapacear. Em seus concursos mais recentes, o Exploit teve 35 inscrições e o XSS teve 38 inscrições. Mas o XSS desqualificou 10 deles. Os vencedores das competições são decididos pelos membros do fórum que votam nas inscrições, mas os administradores dos sites também podem escolher os vencedores, e tem havido reclamações de fraude eleitoral, segundo a Sophos.
Essas competições evoluíram e cresceram ao longo do tempo, diz Budd. Pesquisa anterior da empresa de segurança cibernética Digital Shadows, que desde então foi adquirido pela ReliaQuest, mostra que as competições em fóruns de crimes cibernéticos começaram por volta de 2006. Roman Faithfull, analista de inteligência sobre ameaças cibernéticas da ReliaQuest, diz que essas primeiras competições eram muito simples. “No início, eles eram bastante discretos”, diz Faithfull. “Eles nem sempre foram organizados pelos administradores do fórum.”
Algumas das primeiras competições, diz ele, pediam aos membros do fórum que criassem logotipos ou até ofereciam um pequeno prêmio em dinheiro ao comentarista de um tópico do fórum que tivesse o histórico de conta mais longo no site. “À medida que os fóruns se tornaram mais sofisticados, os concursos em geral tornaram-se mais sofisticados”, diz Faithfull.
Desde cerca de 2015, os concursos, a maioria realizados anualmente, têm como foco a redação e envio de artigos e códigos, afirma o pesquisador da ReliaQuest. “Há muito foco em coisas que vão gerar dinheiro para as pessoas”, acrescenta. À medida que isso acontecia, os prêmios também aumentaram: no XSS, o prêmio total era de US$ 1.000 em 2018 e subiu para US$ 40.000, com US$ 14.000 para o vencedor em 2021. “Ninguém vai colocar o que há de melhor nisso, a menos que eles estão em uma situação muito difícil e precisam de algum dinheiro rápido”, diz Faithfull. “É improvável que você veja um grupo de ransomware ou, na verdade, alguém de alto escalão.”
O conteúdo das inscrições nos dois concursos mais recentes é razoavelmente amplo, concluiu a pesquisa da Sophos. Alguns eram mais inovadores, enquanto outros repetiam essencialmente informações encontradas em outros lugares. A entrada vencedora na competição de criptografia da Exploit em 2021 foi a criação do site clonado blockchain.com, com a Sophos dizendo que é “relativamente simplista” no geral. “Um site clonado como este normalmente seria usado como qualquer outro site de phishing ou de coleta de credenciais”, diz a pesquisa.
Outras inscrições vencedoras ou que receberam menções honrosas na competição Exploit focaram em direcionar ofertas iniciais de moedas, um guia para criar um site de phishing para roubar detalhes de contas de criptomoedas de pessoas e um tutorial sobre como criar uma criptomoeda do zero. No entanto, é importante notar que há vários anos existem tutoriais gratuitos e disponíveis ao público sobre como fazer isso”, diz a pesquisa da Sophos.
