Introdução
O submundo do crime brasileiro inclui alguns dos criminosos cibernéticos mais ativos e criativos do mundo. Tal como seus colegas na China e na Rússia, seus ataques cibernéticos tem um forte sabor local. Para melhor entendê-los, você precisa passar um tempo no país e compreender sua língua e cultura.
O submundo brasileiro gera um grande número de ameaças cibernéticas – principalmente Trojans bancários e campanhas de phishing. Estes ataques podem ser bastante criativos e projetados para refletir a paisagem local. Em 2014, o Brasil foi classificado como o país mais perigoso para ataques financeiros, e o Trojan bancário brasileiro, da família ChePro, foi classificado como o segundo Trojan mais difundido após o ZeuS.
Países mais afetados por Trojans bancários em 2014
A imagem dos ataques de phishing não é diferente, com o Brasil também ocupando o primeiro lugar mundial. Não surpreendentemente, um grande número de marcas e empresas que figuram na lista das mais atacadas frequentemente são brasileiras.
Países mais afetados por ataques phishing em 2014
Os cibercriminosos brasileiros estão adotando técnicas que importaram do Leste Europeu, inserindo-a no malware local para lançar uma série de ataques geo-distribuídos. Estes podem incluir ataques maciços contra ISPs, modems e dispositivos de rede, ou contra os sistemas populares de pagamento em todo o país, como Boletos.
Para entender o que está ocorrendo no submundo do cibercrime brasileiro, gostaríamos de levá-lo em uma viagem em seu mundo, para explorar sua estratégia de ataque e seu estado de espírito. Vamos olhar para o mercado underground dos cartões de crédito roubados e dados pessoais, as novas técnicas utilizadas em malware local e as formas em que eles estão cooperando com criminosos em outros países.
Para muitas pessoas, o Brasil é um país famoso por sua cultura, praias, samba e carnavais. Para os profissionais de segurança, é igualmente conhecido como uma fonte elevada de Trojans bancários.
Como Bonnie e Clyde: vivendo a vida louca
A primeira impressão que você tem é que os criminosos brasileiros gostam de se exibir do quanto dinheiro eles roubaram e da alta vida que levam como resultado disso. Eles se comparam a Robin Hood: roubando dos “ricos” (aos olhos dos bancos, dos sistemas financeiros e do governo), em favor dos “pobres” (eles mesmos). Esta é uma convicção generalizada: eles não consideram roubar de pessoas que fazem uso de bancos online, mas dos bancos, pois, de acordo com as leis locais, as instituições financeiras são obrigadas a reembolsar a vítima por qualquer dinheiro perdido por roubo.
Há um senso generalizado de impunidade, especialmente porque, até recentemente, o crime cibernético não era legalmente definido como atividade criminosa sob a lei brasileira. A lei Carolina Dieckman (nomeada em homenagem a uma famosa atriz cujas fotos de nudez foram roubadas de seu computador) foi aprovada em 2013, mas a lei não é muito eficaz para punir os cibercriminosos, já que as penas são muito leves e o sistema judiciário é muito lento. É muito comum que os atacantes sejam presos três ou quatro vezes só para serem libertados novamente sem acusação. A falta de legislação eficaz para combater a cibercriminalidade e os altos níveis de corrupção policial fornecem a cereja no topo do bolo.
Um forte indicador de quão imune às acusações os cibercriminosos sentem pode ser visto no fato de que é muito fácil encontrar vídeos e fotos deles online ou acessar seus perfis em sites de redes sociais. Invariavelmente, eles podem ser vistos ostentando o que parece ser dinheiro roubado, celebrando a vida de luxo, pagando prostitutas no Rio durante o carnaval, e muito mais.
O Brasil tem alcançado notoriedade mundial como um lugar onde muitos tipos “Bonnie e Clyde” estão vivendo vidas decadentes. Quanto eles roubam? Bastante. De acordo com a Federação Brasileira dos Bancos (FEBRABAN), em 2012, os bancos locais perderam 1,4 bilhão de reais (cerca de US$ 500 milhões) por fraudes realizadas via Internet Banking, por telefone ou clonagem de cartões de crédito.
O público-alvo da cibercriminalidade no Brasil é significativo: o país conta com mais de 100 milhões de usuários da Internet, 141 milhões de cidadãos elegíveis para o sistema de voto eletrônico do Brasil e mais de 50 milhões de pessoas que usam diariamente serviços bancários via Internet.
Existem vídeos online celebrando a vida criminosa, como essa música, o “Rap do Hacker”. As letras celebram a vida dos criminosos que usam seu conhecimento para roubar contas bancárias e senhas:
A letra diz: “Sou terrorista virtual, sou criminoso, na net eu toco o terror dedo nervoso as máquinas e equipamentos entre eles um policial chegou ao fim vou invadir o seu pc, então se liga perdeu ‘playboy’ agora sua senha é minha!”
Card-skimmers (ou clonadores de cartões) também comemoram e exibem seus lucros no “Rap do cartão clonado”, também disponível no Youtube:
A letra diz as palavras: “Você trabalha ou você rouba, nós clonamos os cartões, eu sou um 171, um clonador e fraudador profissional, roubamos dos ricos, como Robin Hood, eu sou um Raul…”
Recentemente, a Polícia Federal brasileira prendeu o dono de uma mansão de luxo de três milhões de reais comprada com fundos roubados usando o malware Boleto. No Brasil, o cibercrime paga, e paga muito bem.
C2C: Cybercrime to Cybercrime
Como é o caso de outras fraternidades do submundo, os cibercriminosos brasileiros são organizados em grupos pequenos ou médios, cada um com sua própria experiência, vendendo seus serviços uns aos outros ou trabalhando juntos. Criminosos “independentes” também são comuns, mas em geral, a maioria precisa colaborar para fazer negócios.
Os canais mais utilizados pelo submundo brasileiro para negociar, comprar e vender serviços ou malwares são os canais IRC (Internet Relay Chat). Alguns deles também usam redes sociais como o Twitter e o Facebook, mas a maioria do conteúdo substancial está escondido dentro de canais IRC e fóruns fechados que você só pode participar por convite ou com a aprovação de um membro existente. Nestes chats IRC, os criminosos trocam dados sobre ataques, contratam serviços entre si e vendem dados pessoais de sites hackeados, enquanto os programadores vendem o seu malware e os spammers vendem seus bancos de dados e serviços. Essas são verdadeiras operações C2C (Cybercrime to Cybercrime). As duas redes IRC mais populares utilizadas para essa atividade são a FullNetwork e SilverLords.
No entanto, um problema muito comum entre a fraternidade criminosa é o que eles chamam de “calote” ou deadbeats – aquelas pessoas que roubam dos ladrões, que compram serviços criminosos ou softwares obscuros sem pagar ao vendedor. A vingança é tomada rapidamente e pode ser de duas formas. Em primeiro lugar, o mau jogador pode ser doxed, ou seja, sua verdadeira identidade pode ser publicada com o objetivo de alertar para a aplicação da Lei. Em segundo lugar, eles podem encontrar o seu nome adicionado a um banco de dados de grande reputação de devedores bons e ruins. Esta “blacklist” e “whitelist” permite que a comunidade se proteja verificando a reputação de um cliente antes de fazer negócios com ele.
Um sistema de reputação do submundo de Fullnetwork.org: proteção contra deadbeats
“Doxing” e outros ataques contra quadrilhas concorrentes são comuns no underground brasileiro – alguns grupos até celebram a prisão de outros cibercriminosos. Foi o que aconteceu com Alexandre Pereira Barros, responsável pela rede SilverLords. Ele e outros três cibercriminosos foram presos pela Polícia Federal Brasileira em Abril de 2013, depois de uma série de ataques de fraudes contra sistemas financeiros, clonagem de cartões de crédito, ataques de hacktivismo e muito mais. O grupo possuía um varejista de loteria no estado de Goiás, responsável pelo roubo de R$ 250.000,00. Para “celebrar” a prisão, outros criminosos postaram um vídeo no Youtube, em vingança por dívidas não pagas:
Cibercriminosos brasileiros presos em 2013 – infelizmente, eles não acabaram na cadeia depois de tudo
Um típico grupo cibernético brasileiro inclui quatro ou cinco membros, mas alguns grupos podem ser maiores do que isso. Cada membro tem seu próprio papel. O personagem principal neste cenário é o “coder” (ou “codificador”, ou “programador”), que é a pessoa responsável pelo desenvolvimento do malware, a compra de exploits, a criação de um sistema de garantia de qualidade para o malware e a construção de um sistema estatístico que será utilizado pelo grupo para contar as vítimas; e, em seguida, colocam tudo em um pacote que pode ser facilmente negociado e usado por outros criminosos. Alguns coders não se limitam a um único grupo e podem trabalhar com vários, e a maioria prefere não ficar com as mãos sujas com qualquer dinheiro roubado. Seus ganhos vêm de vender suas criações a outros criminosos. Um coder poderia ser um líder de um grupo, mas isso não é comum. Eles raramente são presos.
Cada grupo tem um ou dois spammers, responsáveis pela compra de listas de emails, compra de VPSs e desenho da “engenharia” (a engenharia social usada nas mensagens enviadas para as vítimas). Seu papel também envolve espalhar a infecção o mais amplamente possível. É comum encontrar spammers com experiência na desfiguração de servidores web que, em seguida, permitir-lhes inserir um iframe malicioso em sites infectados. Spammers não têm um salário fixo: seus ganhos vêm do número de pessoas infectadas. É por isso que o coder precisa construir um contador de vítimas no malware, pois essa informação é usada para calcular o quanto o spammer receberá.
O grupo também tem um recrutador, responsável pela contratação das “mulas de dinheiro” (também conhecido como “laranjas”). Esta é uma tarefa muito importante porque esta pessoa estará em contato direto com as pessoas ou será responsável por atividades externas, tais como coordenar as coisas necessárias para transferir o dinheiro ou retirá-lo de caixas eletrônicos, pagar as contas (geralmente em uma casa lotérica) ou receber os produtos comprados online com os cartões de crédito roubados – fazer a “correria” (saque). É comum que as pessoas nesta função recrutem seus próprios membros da família para trabalharem como mulas de dinheiro – como eles podem ganhar até 30% do montante roubado e distribuídos entre as contas do “laranja”. Geralmente, os “laranjas” são os primeiros a serem presos em operações policiais, seguido pelo recrutador.
O verdadeiro líder do grupo é responsável por coordenar os outros membros e todas as atividades, negociando novos “KLs” (keyloggers) com um programador, solicitando uma nova “engenharia” dos spammers ou fazendo a “correria” com os recrutadores. Eles também são responsáveis por recrutar novos membros para o grupo e negociar seus produtos com outros grupos criminosos. As funções não são fixas; alguns membros podem desempenhar uma série de funções e trabalhar com mais de um grupo, e seus ganhos podem variar. Alguns criminosos preferem trabalhar de forma independente, vendendo seus serviços e brindes para vários grupos.
E alguns criminosos abriram lojas na web para vender seus produtos e promover seus serviços de uma maneira melhor e mais fácil de usar. Nessas lojas, é possível comprar cryptors (ou “criptadores”), serviços de hospedagem, serviços de programação para novos Trojans, etc. Esse foi o objetivo do “BlackStore” (agora offline). Vamos verificar os preços de seus “brindes”:
Como uma loja “profissional”, eles também oferecem um recibo para suas compras:
Ladrões honestos: recibo de sua compra no submundo
A profissionalização do cibercrime organizado, como observado no Leste Europeu, agora é adotada pelo crime no submundo brasileiro. O investimento em tecnologia e marketing visa aumentar seus lucros. Em alguns fóruns fechados, criminosos até mesmo começaram a anunciar seus serviços em uma clara tentativa de atrair os recém-chegados que não estão acostumados a desenvolver suas próprias ferramentas:
Outros serviços que são cada vez mais oferecidos incluem sites que oferecem “malware como serviço”, cryptors, FUDs (Fully Undetected Malware, ou “malware totalmente não detectável”) e um sistema completo para gerenciar informações sobre contas bancárias roubadas:
Um “painel de administração” gerencia todo o sistema que permite aos atacantes controlar máquinas infectadas, coletar dados bancários e ignorar a autenticação de dois fatores (2FA) de qualquer forma (SMS, token, OTPs (one-time password cards) e mais). Alguns sistemas também permitem o controle de sites e domínios utilizados para espalhar o malware e para enviar spam e gerenciar listas de email, tudo isso em uma única solução.
Os produtos oferecidos também incluem ataques DDoS. Usando o poder de milhares de computadores infectados, não é difícil executar uma negação de serviço distribuída para outros criminosos, usando SYN flood, UDP amplificado e muito mais. Os preços estão listados abaixo: 300 segundos: R$25; 450 segundos: R$40; 600 segundos: R$65; 1000 segundos: R$85; 3600 segundos: R$120.
Quanto custa o seu cartão de crédito?
Os dumps (dados) de cartões de crédito estão entre os dados os mais valiosos trocados entre criminosos. Muitas das vezes foram clonados de diferentes formas, incluindo chupa cabras (skimmers) em caixas eletrônicos e terminais de ponto de venda, páginas de phishing, keyloggers instalados em PCs de vítimas e muito mais.
O Brasil tem uma das maiores concentrações de terminais ATM (Automatic Teller Machine, ou “caixa eletrônico”), de acordo com o Banco Mundial. Há mais de 160.000 oportunidades para os fraudadores instalarem um skimmer (também conhecido como um “dispositivo Chupa Cabra“), e eles fazem isso o tempo todo. Mesmo durante o dia, você pode vê-los pendurando em caixas, usando chinelos e roupas de praia e em um clima muito descontraído, instalando skimmers em um banco lotado:
Quando se trata de clonagem de cartões de crédito, o Brasil tem alguns dos criminosos mais criativos e ativos. Felizmente, a maioria dos cartões em uso tem tecnologia CHIP e PIN incorporadas. Apesar das notícias recentes revelarem algumas falhas de segurança neste protocolo, os cartões CHIP e PIN ainda são mais seguros e mais difíceis de clonar do que os cartões magnéticos. Como esses chips EMV são usados em todo o país, a maioria das atividades de clonagem ocorre online, usando ataques de phishing, páginas bancárias falsas, brindes falsos e portais de comércio eletrônico comprometidos, oferecendo um produto caro a um preço muito atrativo. Se você está envolvido em qualquer tipo de negócio online, mais cedo ou mais tarde seu cartão será atacado: através de phishing ou através do comprometimento do portal de e-commerce.
Estes dumps/dados são altamente procurados e são vendidos online através de sites especializados ou mesmo através de canais IRC. E não são apenas carders e cibercriminosos que estão envolvidos neste negócio underground, mas muitos criminosos “tradicionais” ligados ao tráfico de drogas e outras atividades ilegais.
O preço de um cartão de crédito clonado depende do banco, país de origem, etc.
- Infinity: bandeiras como American Express ou cartões internacionais são vendidas a R$130 cada;
- Platinum: cartões de bancos multinacionais, R$120 cada;
- Black: cartões por R$100 cada um;
- Gold/Premier: R$80 cada um;
- Classic: de bancos nacionais, R$70 cada.
Incidentes de violação de dados alimentando ataques cibernéticos
O underground brasileiro está com fome de dados pessoais – o que permite aos cibercriminosos monetizar o roubo de identidade, oferecendo oportunidades de compra de produtos usando “laranjas” ou mulas de dinheiro, ou mesmo coletar esses dados para esvaziar sua conta bancária, como vários serviços online solicitam dados pessoais para confirmar a identidade de um cliente.
Infelizmente, o país ainda não tem leis específicas em vigor para proteger os dados pessoais – neste momento, os políticos ainda estão avaliando as opções. Como resultado, violações de dados em organizações governamentais e empresas privadas são generalizadas. As empresas afetadas atualmente não são obrigadas por lei a entrar em contato com os clientes afetados pela violação ou mesmo para informá-los de que um incidente tenha ocorrido.
Recentemente, observamos alguns graves incidentes de violação de dados afetando grandes sites e envolvendo bancos de dados do governo, Receita Federal (IRS) e outras instituições. É comum encontrar bancos de dados vazados sendo vendidos no submundo, como o banco de dados de DETRAN (Departamento Estadual de Trânsito), com dados sobre cinco milhões de cidadãos e que custam apenas R$100:
Falhas em sites do governo são críticas. Em 2011, duas falhas muito sérias no site do Ministério do Trabalho expuseram uma base de dados inteira com seis meses de dados sobre cada cidadão do país. Uma falha na segurança do site deixou dados sensíveis em aberto, com apenas um número de CPF necessário para obter mais informações sobre uma pessoa.
O CPF é um dos documentos mais importantes para quem vive no Brasil. O número é único e é um pré-requisito para uma série de tarefas, como abrir contas bancárias, obter ou renovar uma carteira de motorista, comprar ou vender imóveis, obter empréstimos, candidatar-se para um emprego (especialmente no setor público), obter passaporte ou cartões de crédito. Os dados vazados tornam possível a um criminoso cibernético se passar por uma vítima e roubar sua identidade para, por exemplo, obter um empréstimo em um banco.
Este é um caso onde um vazamento de dados encontra os phishers. Informações de tal qualidade só podem ser obtidas através de incidentes de vazamento de dados. Não surpreendentemente, é comum que a mídia brasileira detecte criminosos vendendo CDs com dados do sistema brasileiro de IRS, que incluem muitos dados confidenciais, incluindo números de CPF. Você pode encontrar criminosos vendendo CDs cheios de banco de dados vazados de várias fontes por meros R$100. Como resultado de tais violações de dados, os phishers brasileiros criaram ataques com mensagens exibindo o nome completo e o número do CPF da vítima em uma tentativa de adicionar legitimidade a uma falsa mensagem. Ataques como este aconteceram regularmente desde 2011:
Uma mensagem de phishing exibindo o nome completo da vítima e seu número de CPF
A abundância de dados pessoais vazados de várias fontes permitiu que os criminosos brasileiros criassem serviços online que ofereciam uma base de dados pesquisável, com dados pessoais de milhões de cidadãos. Apesar dos esforços das autoridades para derrubar tais sites, novos serviços são criados a cada mês.
Ter o número CPF é suficiente para encontrar todos os seus dados pessoais
O problema dos data brokers
Outro problema relacionado com a má gestão dos dados pessoais é o de “data brokers”, que são empresas que coletam informações e depois as vendem para outras empresas que a utilizam para direcionar publicidade e marketing em grupos específicos, ou para verificar a identidade de uma pessoa para fins de detecção de fraude, ou ainda para vender a indivíduos e organizações para que eles possam pesquisar indivíduos em particular.
Empresas locais como a Serasa (adquirida pela Experian) são um alvo comum de phishers e autores de malware. Como eles oferecem a maior base de dados do país em matéria de proteção contra fraudes e possuem um perfil completo de dados pessoais para cada cidadão, as credenciais roubadas para acessar esse banco de dados são valiosas entre os fraudadores.
Assim, não é de surpreender que muitos fraudadores revendem os resultados de seu acesso aos serviços de data broker usando credenciais de clientes roubados, em pacotes que custam R$100 por 15 dias e R$250 por 30 dias de acesso total:
Outros criminosos vão mais longe e constroem seus próprios serviços de data broker. Os proprietários destes serviços comercializam a outros fraudadores, oferecendo um pacote abrangente para pesquisar bancos de dados vazados do governo, bem como aqueles obtidos de fontes privadas. Essa atividade generalizada dá a impressão de que no Brasil o cibercrime sempre será capaz de alcançá-lo, de uma forma ou de outra.
A base de dados do governo e data broker no mesmo serviço underground
Para anunciar seus serviços, os fraudadores usam todos os canais, até mesmo redes sociais como o Facebook. Em um dossiê publicado pelo Tecmundo, encontraram evidências de funcionários públicos envolvidos no esquema, vendendo bancos de dados e credenciais.
Acesso ao serviço de dados roubados anunciado no Facebook
Como um ataque de phishing comprometeu a Floresta Amazônica
Você poderia imaginar um ataque de phishing comprometendo a maior floresta tropical do mundo? Foi o que aconteceu com o IBAMA (Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis). O IBAMA é responsável pela limitação do corte de árvores e madeiras na região Amazônica, garantindo que somente empresas autorizadas possam fazer isso.
Em uma série de ataques contra funcionários do IBAMA (provavelmente usando e-mails de phishing como o abaixo), os criminosos brasileiros conseguiram roubar credenciais e entrar no sistema online do IBAMA. Em seguida, desbloquearam 23 empresas suspensas anteriormente por crimes ambientais, permitindo-lhes retomar a extração de madeira da floresta. Em apenas 10 dias, essas empresas extraíram 11 milhões de dólares em madeira. O número de árvores cortadas ilegalmente foi suficiente para encher 1.400 caminhões.
Página de phishing do IBAMA: roubar credenciais e cortar madeiras na floresta
Cooperação do submundo com a Leste Europeu
Temos provas suficientes de que os criminosos brasileiros estão cooperando com as gangues do Leste Europeu envolvidas com o Zeus, SpyEye e outros Trojans bancários criados na região. Essa colaboração afeta diretamente a qualidade e o nível de ameaça do malware brasileiro local, já que seus autores estão adicionando novas técnicas às suas criações.
Não é raro encontrar criminosos brasileiros em fóruns undergrounds russos procurando exemplos, comprando novos crimeware (softwares maliciosos instalados ocultamente em computadores) e malwares ATM/PoS, ou negociando e oferecendo seus serviços. O primeiro resultado dessa cooperação pode ser visto no desenvolvimento de novos ataques, como o que afeta os pagamentos de boletos no Brasil.
Bandido brasileiro escrevendo em (péssimo) russo, vendendo acesso a 400 dispositivos PoS infectados
Eles também começaram a usar a infra-estrutura de criminosos do Leste Europeu, às vezes comprando hospedagens nos chamados “bulletproof hosting” e alugando-as. “João de Santo Cristo” (um personagem fictício que aparece em uma música popular brasileira) foi um deles, comprando e hospedando 14 domínios de malware de Boleto na Rússia:
Nota do Editor: Bulletproof Hosting é um serviço oferecido por algumas hospedagens de domínios ou web sites que permite que seus clientes tenham uma certa tolerância nos tipos de materiais que podem carregar e distribuir.
Não é de surpreender que começamos a ver sites russos invadidos e hospedados em sites falsos de Boleto:
Esses fatos mostram como os cibercriminosos brasileiros estão adotando novas técnicas como resultado da colaboração com seus colegas europeus. Acreditamos que esta é apenas a ponta do iceberg, pois este tipo de intercâmbio tende a aumentar ao longo dos anos, à medida que o crime brasileiro se desenvolve e busca novas maneiras de atacar empresas e pessoas comuns.
Avanços no malware local
O contato com o cibercrime do Leste Europeu afeta a qualidade do malware brasileiro. Por exemplo, encontramos no malware Boleto exatamente o mesmo esquema de criptografia que é usado em payloads pelo ZeuS Gameover.
Payload encriptado do malware Boleto: a mesma criptografia usada pelo ZeuS
Também vimos, pela primeira vez, um malware brasileiro usando DGA (Domain Generation Algorithm). Trojan-Downloader.Win32.Crishi foi um deles, distribuído em mensagens como esta:
Mais evidências de avanços no malware brasileiro devido à cooperação com criminosos do Leste Europeu podem ser vistas no uso de domínios fast-flux em ataques Boleto.
Conclusão
O Brasil é um dos mercados mais dinâmicos e desafiadores do mundo devido às suas características particulares e a sua importante posição na América Latina. O monitoramento constante das atividades maliciosas dos cibercriminosos brasileiros proporciona às empresas de segurança de TI uma boa oportunidade para descobrir novos ataques relacionados a malwares financeiros. Em alguns casos, esses ataques são muito originais, como aconteceu com o uso de arquivos PAC maliciosos.
Mensagem de bandidos em um arquivo PAC malicioso: reação devido a uma boa detecção
Para ter uma compreensão completa da cena do crime cibernético brasileiro, as empresas antimalware precisam prestar muita atenção para a realidade do país, coletar arquivos localmente, construir honeypots locais e manter analistas locais para monitorar os ataques, principalmente porque é comum os criminosos restringirem o alcance da infecção e a distribuição de suas criações para os usuários brasileiros. Como acontece na Rússia e na China, os criminosos brasileiros criaram sua própria e única realidade que é muito difícil de entender de fora.
Publicado originalmente no SecureList em 11 de novembro de 2015.
Este conteúdo foi traduzido com permissão. SecureList não é afiliado com este site.
Autor: Fabio Assolini
Tradução por Tiago Souza
2 comentários SobrePraias, carnavais e cibercrime: um olhar dentro do submundo brasileiro
Pingback: Código usado em ataque zero-day em roteador Huawei torna-se público - Tiago Souza ()
Pingback: Submundo dos crimes virtuais: dados pessoais, cartões de créditos e senhas - Tiago Souza ()