FRAUDES ELETRÔNICAS


INTRODUÇÃO

 

Já faz algum tempo que nossos hábitos de consumo estão sendo sensivelmente modificados, já que é cada vez maior o número de pessoas que adquire produtos e serviços através de lojas “virtuais”, e por isso o ­e-commerce cada vez mais toma conta de nossas vidas. Seja pela segurança ou rapidez da transação, seja pelos preços mais atrativos, ou simplesmente pela comodidade de comprar e receber sem sair de casa.

 

Mas essa modalidade também tem seus riscos, cabendo a quem compra e a quem vende tomar todos os cuidados para minimizar as chances de ser mais uma das vítimas das tantas fraudes eletrônicas que ocorrem diariamente. Isto é relativamente fácil, bastando cuidados mínimos, mas muitas vezes os usuários, seduzidos com a crença de que se trata de uma “oportunidade de ouro”, depois de concretizada a operação, descobrem que foram vitimas de mais um golpe.

 

                A internet não é uma coisa perigosa, e é seguro efetuar todos os tipos de negócio através dela, mas para que isso seja verdade o usuário deve ter noção de que deve obrigatoriamente manter instalado em seu computador um programa de antivírus e efetuar as atualizações desse programa e de seu equipamento periodicamente, além de tomar muito cuidado com tudo o que abrem.

 

Abordaremos aqui quais são as modalidades de fraude mais comuns, e como se prevenir delas, tanto o vendedor, como o comprador, e o que fazer em caso de ser vítima de uma dessas falcatruas, além apresentar as boas práticas a serem seguidas para que a concorrência seja respeitada.

   HACKER E CRACKER – O QUE SÃO E O QUE FAZEM:

 

É comum utilizamos os termos hacker e cracker para designar uma mesma pessoa que tem um ótimo conhecimento sobre as questões tecnológicas, e para quem comete delitos através do uso das novas tecnologias, como se não houvesse nenhuma diferença entre eles e como se as duas palavras tivessem o mesmo sentido. No entanto, existe uma diferenciação primordial que será aqui esclarecida a fim de que não ocorra mais nenhum a confusão e para que os termos sejam usados de forma correta.

 

   HACKER:

 

O hacker é uma pessoa que tem amplo conhecimento tecnológico de sistemas de softwares e hardware, e é chamado também de problem solver[i], já que ele procura falhas e vulnerabilidade em sistemas diversos para corrigi-las, melhorá-las, aprimorá-las ou demonstrá-las para que alguém que tenha poderes para tanto as corrija, não se prestando a invadir sistemas com a finalidade de causar danos a terceiros de qualquer espécie, ao contrário. Assim, o hacker pode ser definido como “o lado branco da força”.

 

O hacker é a pessoa que usa seus conhecimentos para desenvolver ferramentas e soluções que tornem os sistemas informáticos mais estáveis e seguros, atualizando os sistemas das empresas para que não sofram invasões que são realizadas pelos crackers, visando garantir que os usuários possam efetuar suas transações de forma segura.

 

Quando o hacker identifica uma tentativa de invasão, ele tem total autorização para tentar barrar aquele ato e se for possível, identificar o responsável, porém, não tem autorização para imputar danos às maquinas de quem está tentando obter acesso. Até porque, na maioria das vezes esses ataques são realizados com o uso de uma rede de computadores denominada “bootnet” ou “computadores zumbis” infectados com programas maliciosos que transferem o controle das máquinas ao invasor, e que servem como uma rede de computadores usada para a prática desses delitos. E também podem ser usados smartphones e tablets infectados.

 

Os hackers, na maioria das vezes, estão empregados ou prestam serviços de consultoria para empresas que se utilizam de sistemas informatizados, tais como bancos, seguradoras, empresas de comércio eletrônico e leilão on line, cartões de crédito e muitas outras corporações que se utilizem de uma maneira ou outra da internet ou de redes informáticas.

 

Uma das principais funções do hacker é exatamente combater o cracker. Mas não raras às vezes, ambos se confundem. Uma pessoa pode ter a mesma atuação em ambos os lados e isso é muito comum de ocorrer.

 

Não existe uma “Escola” para que as pessoas se tornem hackers, já que é necessário, antes de qualquer coisa, que o individuo se interesse por tecnologia, tenha paciência para entender o funcionamento dos softwares e do hardware dos equipamentos eletrônicos que permitem a comunicação entre as pessoas, notadamente o computador, e das redes de comunicação, por exemplo a internet, já que a maioria das fraudes tem ocorrido através dessa rede. Quem quiser, pode encontrar muito material de leitura e de estudo mais aprofundado sobre como é possível às pessoas aprenderem ao ponto de se tornarem cada vez mais conhecedoras dos sistemas informáticos[ii].

 

   CRACKER:

 

                Como o hacker, o cracker também é uma pessoa que tem grande conhecimento tecnológico, mas diferente dele, escolheu “o lado negro da força” e utiliza suas habilidades para burlar todos os sistemas informatizados que possam lhe proporcionar um ganho financeiro ou mesmo por simples desafio pessoal de invadir um sistema qualquer e mostrar para outros crackers que ele conseguiu tal “façanha”.

 

                Essa pessoa busca as eventuais vulnerabilidades dos códigos de programação usados na construção de sítios eletrônicos ou dos sistemas informatizados, e que ainda não tenham sido descobertos pelos hackers ou pelos responsáveis pela administração dos servidores das empresas ou pelos usuários, para furtar os dados armazenados ou inseridos em sua base de dados ou nas máquinas, e também tenta ludibriar os usuários através de diversas técnicas para furtar os dados diretamente dos usuários, enviado e-mails contendo arquivos executáveis infectados com vírus, tal como abaixo, com  o fim de obter lucro com sua atividade.

 

Há também casos em que os crackers criam sítios eletrônicos parecidos com aquele que o usuário estava tentando acessar, através de uma técnica chamada phishing scam, que apenas e tão somente servem para armazenar as senhas e nomes de usuários que são digitados no site, para imediatamente procederem às fraudes antes que o usuário tenha tempo para identificar a fraude cometida. É muito comum que esses sítios eletrônicos se referiam a instituições financeiras:

O cracker pode até ter um trabalho honesto, ser uma pessoa que não aparenta ser um criminoso tal como conhecemos, já que a arma que utilizam para cometer seus crimes não impõe medo, o computador, e mesmo que ele execute essas operações “apenas nas horas vagas” e por “pura diversão para testar seus conhecimento e limites tecnológicos”, e mesmo que esses atos não sejam a sua fonte de renda principal ou mesmo que não gerem lucro algum, ele, se invadir um computador sem autorização do usuário poderá cometer eventualmente um crime e ser punido por isso.

 

Em diversos casos, ele pratica o crime de extorsão para não veicular o vazamento de dados que ele tenha conseguido, como ocorreu recentemente com o banco Inter[i]

 

Em outros casos, o cracker também trabalha para quem lhe pagar mais, podendo ser assemelhado a um “mercenário tecnológico”, já que quem quiser causar um dano a outrem ou obter dados de contas de e-mail ou cadastros de sítios eletrônicos de leilões, por exemplo, pode contratar os seus serviços para eventualmente obter esses dados e utilizá-los da forma como quiser, já que ele aplica seus conhecimentos para induzir em erro o usuário até obter êxito em sua empreitada.

 

Nesse caso, ambos estão cometendo delitos que podem ser tipificados a depender de cada caso concreto, 154-A, 266, 298 do Código Penal, por exemplo, bem como Formação de Quadrilha previsto no artigo 288 do Código Penal, se houver mais de 3 pessoas envolvidas.

 

São muitos os tipos de crimes que podem ser praticados com o uso de sistemas informatizados, mas como este estudo se limita às fraudes, deixaremos de lado todos os outros.

 

O maior auxiliar do cracker é o próprio usuário dos sistemas informatizados, e também as empresas que não investem na segurança das informações que são armazenadas ou que trafegam pelos seus servidores, pois se o utente tomasse algumas precauções e cuidados para não cair nas armadilhas por ele preparadas, o cracker não teria sucesso em seus delitos e não haveriam tantos problemas como hoje. Por isso, é necessário que o usuário e as empresas aprendam a ter cuidado com suas máquinas.

 

Nada impede que o hacker se transforme em um cracker, e vice e versa, e existem casos em que ambos atuam nos dois lados, mas é muito difícil que qualquer um deles assuma que comete delitos, por motivos óbvio. Salvo aqueles que têm necessidade de se autoafirmar e contam para outros crackers que cometeram tal invasão, proporcionando que sejam identificados e presos, mas essa situação é minoria.

 

             Em resumo, o hacker usa seus conhecimentos para atividades lícitas e combate pessoas como o cracker que, por sua vez, se aproveita da ingenuidade, curiosidade e desconhecimento técnico dos usuários para frutar dados e valores e causar prejuízos a terceiros.

 

   MAS COMO SE PRECAVER DESSES ATAQUES?

 

A melhor forma de se precaver contra os ataques é não abrir mensagens eletrônicas de remetentes desconhecidos e que contenham arquivos executáveis dos tipos <.exe> ou arquivos zipados que podem ser identificados como <.zip>, desde que não provenham de uma fonte segura e confiável, mesmo que tenham aquelas informações de que são urgentes, que o usuário tem um curto prazo de tempo para realizar determinada atividade etc. Além disso, a maioria dos programas de antivírus identificam os arquivos que estão infectados, portanto, tê-lo instalado em seu computador possibilita mais segurança.

 

Caso o usuário receba uma mensagem eletrônica dizendo que existem pendências financeiras ou administrativas em seu nome, o que foi premiado em uma promoção qualquer ou que está recebendo fotos e vídeos de celebridades que “vazaram” na internet, e mesmo intimações ou notificações do Poder Judiciário, do Ministério Público etc, antes de abrir a mensagem deve ser realizada a seguinte pergunta:

 

Como conseguiram o meu endereço de e-mail? Eu conheço o remetente da mensagem? O remetente é o mesmo que diz ser?

 

É importante deixar claro que nenhum Órgão do Governo Federal, Estadual, Municipal, Serviços de Proteção ao Crédito, Tribunais, Procuradorias e outros, não entram em contato com o cidadão através de e-mail, pois a forma oficial de comunicação é através de carta enviada pelos Correios ou por Oficial de Jutiça.

 

E também deve ser lido o texto de apresentação da mensagem, o corpo o e-mail, onde é possível verificar que na grande maioria dos casos existem erros grosseiros de ortografia, conforme o exemplo abaixo, o que é um grande sinal de que aquilo é uma fraude, pois erros como esse nunca aconteceriam em comunicações verdadeiras

 

             Outra forma muito eficaz de se acautelar contra essas fraudes, tanto para os usuários como para as empresas, é utilizar os certificados e assinaturas digitais fornecidos pelas Autoridades Certificadoras, que criptografam as informações que são enviadas pela internet quando o usuário digita algum dado para ser enviado através de uma página da internet.

 

             Geralmente, a informação de que aquela conexão é segura fica na barra de endereços, onde a cor da barra é alterada para destacar a segurança, e se o usuário clicar em cima daquela barra de cor verde ou azul por exemplo, poderá ter acesso ao certificado que é utilizado pela empresa, onde todas as informações de segurança do certificado digital que é utilizado são apresentadas.

 

             Isso quer dizer que todos os dados sensíveis que forem digitados em determinadas partes do sitio eletrônico que usa certificado digital, estão sendo criptografadas e se houver qualquer tipo de intercepção – o que é praticamente impossível, os dados não serão passiveis de serem lidos, pois provavelmente do que a pessoa que interceptou os dados irá visualizar é uma mensagem do tipo , que traduzida para linguagem inteligível pelos seres humanos, quando aberta com a chave privada que só estará em poder do detentor do site. Todas as letras, acentos ortográficos, erros de digitação número etc, são levados em conta pelo sistema quando a mensagem é criptografada pelo sistema.

 

             Para ter a certeza de que aquela conexão é mesmo segura, basta clicar sobre a parte verde da barra de endereços do navegador para que seja aberta uma nova janela que dará todas as informações acerca dos dados da criptografia da conexão do site, tal como se verificam através das figura abaixo e, caso o usuário queira ter maiores detalhes, se clicar sobre  o botão “exibir certificado”, será aberta outra janela onde é possível verificar diversos dados técnicos da conexão segura do site, inclusive a assinatura criptográfica criptografia usada   e da certificação digital , que sempre deverá ser a mesma quando se acessar o sitio eletrônico.

 

             Se algum desses dados não estiver de acordo com o que foi dito anteriormente, desconfie, e antes de inserir seus dados, certifique-se de que de que você está realmente dentro do MercadoLivre, fazendo testes para saber se o sistema vai aceitar qualquer dado que você digitar, o que é um grande indício que o site é falso, devendo ser reportado esse incidente.

 

   FURTO DE IDENTIDADE E SENHA:

 

Atualmente, os bancos e os sítios eletrônicos de e-commerce e de leilão virtual se protegem de tal forma que se tornou difícil – mas não impossível - aos crackers invadir os servidores dessas empresas para furtar os dados que podem ser utilizados na prática de delitos, assim, o foco mudou drasticamente, e tanto os usuários comuns e algumas empresas passaram a ser os alvos principais desses ataques porque muitos não tomam os cuidados mínimos para se precaverem.

 

Para a realização de atos fraudulentos pela internet, em alguns casos é necessário que o agente utilize uma conta de e-mail para se cadastrar nos sítios eletrônicos onde tentará implementar sua conduta fraudulenta, mas é claro que nenhuma dessas pessoas utiliza as próprias contas de endereço eletrônico porque dessa forma seria muito fácil rastrear quem é o responsável por aquela conta e responsabiliza-lo por seus atos.

 

Algumas vezes os crackers se utilizam de contas de correio eletrônico criadas por eles, mas essas contas podem já ter sido utilizadas anteriormente para o cometimento de outros crimes e banidas dos sítios eletrônicos onde foram cadastradas e podem estar sendo alvo de monitoramento policial ou administrativo do sítio eletrônico, além de não serem endereços utilizados por pessoas reais em suas atividades normais e que têm muito mais consistência e passam segurança para quem com elas negocia.

 

 É fácil perceber isso na medida em que, se alguém com o endereço de correio eletrônico registrado como <bbbbb765@(nome do provedor).com> ou <784432@(nome do provedor).com> quiser comprar um produto, não há segurança de que aquela pessoa seja quem diz ser. A mesma situação ocorre com o endereço de e-mail registrado como <roberto.silva@(nome do provedor).com.br> ou <janaina_alves@(nome do provedor).com.br>, porém, esses últimos exemplos passam muito mais confiança por serem aqueles que  são  comumente utilizados pelas pessoas de bem em suas atividades regulares.

 

Por isso, os crackers preferem fazer se passar por terceiros reais, utilizando contas de e-mail reais e que enviam e recebem mensagens regularmente por seus criadores e usuários, induzindo em erro quem pensa que está negociando com uma pessoa correta, e até mesmo se utilizam de dados como CPF, RG que pertencem a pessoas reais para praticarem essas fraudes.

 

Mas como eles fazem isso? Qual é a técnica que é utilizada para que tenham acesso às senhas e nomes de usuário e causem tantos prejuízos?

 

A resposta a essa pergunta pode parecer assustadoramente simples, mas é a mais pura verdade:

 

Com ampla ajuda do usuário que, por desconhecimento e curiosidade abre todos os tipos de mensagens eletrônicas que recebe, não presta atenção nos sítios eletrônicos em que ingressa e aceita tudo o que enviam a ele, e com essa atividade o usuário instala sem saber em seus equipamentos alguns programas que gravam tudo o que o usuário digita e depois enviam para o cracker, juntamente com as páginas visitadas e outros dados que podem ser obtidos a depender de cada programa usado para tanto.

 

Todavia, nem só através do uso de programas maliciosos é possível descobrir as senhas dos usuários, já que uma parcela considerável dos utentes cria senhas fracas e que são fáceis de serem descobertas com o mínimo de trabalho. É comum encontrarmos senhas do tipo <000>, <1>, <001>, <1234> ou mesmo as datas de aniversário pessoal, das esposas, filhos e de outros familiares, assim, não é necessário ser uma pessoa com conhecimentos técnicos avançados para descobrir esses dados. Basta ter sorte.

 

E através da chamada “engenharia social”, é possível descobrir em uma conversa normal com qualquer pessoa os seus dados pessoais como datas de aniversário, nomes de filhos, esposas, maridos, datas importantes da vida da pessoa e com isso tentar usar essas informações para acessar os cadastros dessas pessoas.

 

É importante que as senhas sejam fortes, difíceis de serem decifradas ou descobertas e que sejam mantidas no mais absoluto sigilo, por mais que isso importe em dificuldades maiores para sua memorização, pois dessa forma não haverá como, através de tentativas e erros o cracker conseguir descobri-la. E também é recomendável que as senhas sejam trocadas constantemente para dificultar ainda mais as chances de serem descobertas.

 

Outra fonte comum de aquisição desautorizada desses dados são os computadores utilizados em lan houses ou outros locais públicos e nas “redes piratas”, e até mesmo computadores que não são aquele que o usuário costuma utilizar, pois ninguém sabe o que está instalado naquela máquina, e nem mesmo é possível aferir com certeza se a própria rede das lan houses é segura para que sejam digitados dados pessoais nas máquinas.

 

Infelizmente, tem se tornado muito comum o uso das chamadas “gato net”, que são aqueles acessos a TV por assinatura e internet ofertadas por pessoas e empresas que burlam as proteções dos equipamentos e das redes dos provedores para venderem equipamentos por valores extremamente baixos e também os acessos, o que possibilita que os dados de quem usa essas redes ilegais possam ser furtados e usados em qualquer fraude.

 

O mais recomendável é que os dados de cartão de crédito e outros dados pessoais não sejam digitados em computadores ou smartphones de terceiros e só dentro das redes protegidas dos usuários, mas se não houver alternativa, depois do uso, deve-se limpar o cache do navegador que foi utilizado, para apagar não só os sítios eletrônicos visitados, mas também as possíveis senhas que possa ter sido armazenadas, o que pode variar para cada um dos navegadores.

 

Mas, não só os crackers e os usuários são responsáveis pelo furto de dados pessoais e sensíveis. O perigo mora ao lado, ou melhor, dentro da empresa, já que os empregados que têm acesso às bases de dados também podem se apropriar indevidamente desses dados e negociá-los no mercado negro ou mesmo utilizá-los contra seus empregadores ou outras empresas, e podem praticar o delito previsto no parágrafo 3 do artigo 154-A do Código Penal, ou do artigo 195 da lei de propriedade industrial.

 

Acredite, isso ocorre com frequência e identificar uma fraude dessa natureza é muito difícil e demorada se a empresa não utilizar algumas medidas simples como monitorar os logins dos empregados e usuários, e quando possível sua identificação, e se o ato já foi praticado, o empregador será responsabilizado por todos os prejuízos causados pelo ato do seu empregado, segundo é a regra do inciso III do artigo 932 do Código Civil, com direito de Ação Regressiva contra essa pessoa que pode ter sumido ou não ter mais nada em seu nome, impossibilitando o ressarcimento dos prejuízos.

 

Infelizmente, não adianta sustentar que o causador do dano foi outra pessoa, e querer culpar o empregado (ou ex-empregado), pois era de obrigação da empresa manter todos esses dados em um ambiente seguro com acesso através de login e senha individuais e para apenas poucas pessoas, além de monitorar seus empregados, o que é plenamente permitido pela Legislação Trabalhista, desde que eles sejam avisados disso e desde que o e-mail corporativo só possa ser utilizado para o trabalho.

 

 

             As melhores opções para se precaver desse tipo de furto é manter todas as informações ditas sensíveis - dados cadastrais, bancários ou de cartão de crédito por exemplo, em uma máquina que criptografe esses dados e que poucos de empregados tenham acesso a essa máquina, mas obrigatoriamente através de login e senha que sejam pessoais e intransferíveis, pois isso facilita o rastreamento de onde se originou o acesso.

 

Além disso, monitorar os e-mails corporativos que são usados pelos empregados também pode auxiliar, mas neste caso o empregador deve deixar claro que as mensagens são monitoradas e que o uso do e-mail corporativo não pode ser usado para nenhuma outra atividade que não seja atinente às suas atividades dentro da empresa.

 

 Mas nunca poderá haver o acesso às contas de e-mail pessoal dos funcionários, pois neste caso haverá invasão de privacidade e eventual prova de uma fraude poderá ser nula e a empresa pode ser processada por esse funcionário por danos morais, portanto, se o empregador tiver suspeita de que um funcionário está tendo um comportamento contra a empresa, deve pedir uma ordem judicial para monitorar o e-mail pessoal da pessoa.

 

Note que nenhum desses cuidados é garantia de que não ocorrerão as falhas de segurança ou fraudes, mas se forem implementadas, reduzirão sensivelmente sua ocorrência, e se ocorrerem, as chances de identificação do agente são muito maiores e, consequentemente, as chances de que não ocorram maiores danos também são.

 

   VÍRUS E WORMS:

 

 Mas como ocorrem esses ataques? Ninguém consegue entrar dentro de um equipamento sem que haja algum tipo de “porta aberta” dentro dos equipamentos. Normalmente, essas “portas” são abertas através da instalação de programas maliciosos que podem ser chamados comumente chamados de “vírus.

 

 Mas o que são?

 

   VÍRUS:

 

De uma forma simples, vírus é um programa de computador ou parte dele, que auto-distribui cópia de si mesmo infectando outras máquinas e se tornando parte de outros programas e arquivos existentes em um determinando computador[ii].

 

Os vírus de computador dependem de uma ação do usuário que normalmente é a execução de um determinando arquivo onde esse vírus está inserido, e que na maioria das vezes são enviados por e-mail com a extensão <.exe>, que identifica um arquivo executável, e quando da sua execução, instala automaticamente o arquivo contendo o vírus e infectando a máquina, ou arquivos comprimidos, que são comumente chamados de arquivos zipados, que para serem abertos pelo usuário necessitam ser descomprimidos e quando dessa descompressão o vírus é instalado. Além dessas possibilidades, os vírus podem estar dentro de arquivos de texto, planilhas eletrônicas e demais documentos que quando abertos descarregam o vírus para dentro da máquina, infectando-a sem que o usuário se dê conta disso.

 

Não têm só a finalidade de acessar dados sigilosos como senhas de banco, de cartões de crédito ou mesmo dos sítios eletrônicos de e-commerce ou leilão virtual, mas também destruir as informações e arquivos instalados dentro do computador.

 

São programas desenvolvidos por pessoas que têm a intenção ou não de causar prejuízos a terceiros, pois muitos desses arquivos não destroem informações diretamente, pois alguns deles se prestam apenas a fazer com que o drive do CD-Rom abra sozinhos, as luzes pisquem, ou até mesmo apresentar algumas mensagens na tela do computador.

 

A infecção pode se dar de diversas formas, seja através de e-mail, quando o arquivo é recebido como um arquivo anexado à uma mensagem de correio eletrônico que tem um conteúdo interessante que atiça a curiosidade do usuário para que o vírus seja executado. Quando este tipo de vírus é instalado, ele envia automaticamente cópias de si mesmo para os contatos encontrados nas listas de endereços de e-mail armazenadas no computador do usuário, sem que o usuário saiba.

 

É importante ressaltar mais uma vez que o vírus não é capaz de se instalar automaticamente no computador, mas apenas se propagar através das listas de e-mail, precisando que o usuário precisa executar o arquivo anexado que contém o vírus, ou o programa leitor de e-mails precisa estar configurado para auto-executar arquivos anexados, por isso, é recomendável que essa opção seja desabilitada para maior segurança do usuário.

 

 

 

   WORMS:

 

Diferente do vírus, os worms não têm como função destruir arquivos e programas, e sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores e smartphones. Ele é um programa que se auto-copia. Isto não quer dizer que não represente uma ameaça à segurança de um eqipamento, ou que não cause qualquer tipo de dano.

 

Worms são notadamente responsáveis por consumir muitos recursos da memória das máquinas e fazer com que o desempenho delas seja extremamente prejudicado, pois são executados diversos e diversos aplicativos sem que o usuário saiba que aquilo está ocorrendo, dando a falsa sensação de que é preciso instalar mais memória na máquina.

 

Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.

 

   PHISHING:

 

O termo phishing deriva da palavra fishing, pescar, e através dessa pratica o fraudador induz o usuário a praticar alguns atos que o levarão a instalar algum arquivo malicioso em sua máquina. Não se trata de um vírus propriamente dito, mas sim de uma atitude desleal e fraudulenta que leva o usuário a ingressar em um determinado sítio eletrônico e dentro dele praticar algum tipo de atitude que levará o usuário a fornecer os dados que são objetivados pelo cracker, iludindo o usuário a pensar que está dentro de um ambiente seguro.

 

Abaixo, apresentados uma lista com alguns exemplos de temas de mensagens de phishing:

 

Tema

Texto da mensagem

 

SERASA e SPC

débitos, restrições ou pendências financeiras.

E-GOV

CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições

Álbuns de fotos

pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas, televisão), traição, nudez ou pornografia, serviço de acompanhantes.

Serviço de telefonia

pendências de débito, aviso de bloqueio de serviços, créditos gratuitos para o celular.

Notícias/boatos

fatos amplamente noticiados, boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situações chocantes).

Reality shows

Big Brother, fotos ou vídeos envolvendo cenas de nudez ou eróticas.

Pedidos

orçamento, cotação de preços, lista de produtos.

Sites de comércio eletrônico

atualização de cadastro, devolução de produtos, cobrança de débitos, confirmação de compra.

Promoções

diversos.

Prêmios

loterias, instituições financeiras.

Polícia Federal

Intimação para depor.

Poder Judiciário

Intimação de processos.

 

             É importante deixar claro que essas não são as únicas táticas utilizadas pelos fraudadores, e constantemente os assuntos mudam para atrair maior interesse dos incautos, e são utilizados como isca os fatos que estiveram a pouco tempo na mídia ou que deram algum tipo de repercussão, portanto, é necessário sempre estar atento a esse tipo de armadilha, já que não há uma fórmula para não ser vítima desses golpes.

 

As figuras abaixo mostram exemplos de e-mails que são enviados e que contém arquivos maliciosos que para serem instalados no computador devem ser baixados e executados na máquina do usuário, e que têm mensagens bastante atrativas de algum filme que teria sido “supostamente” mandado por engano, mas que na verdade é uma tentativa de instalar um programa malicioso.

Para se prevenir de uma tentativa de phishing, basta só abrir sítios eletrônicos diretamente em seu navegador, nunca inserindo seus dados através de links encontrados nos motores de busca da internet, e só abrindo mensagens que sejam provenientes de fontes seguras e de pessoas conhecidas.

 

Uma outra alternativa, pois mais morosa que possa ser, é sempre que o usuário ingressar dentro de um determinado sítio eletrônico que requeira dados sensíveis como login, senha, dados bancários etc, sempre digitar na primeira tentativa os dados errados e verificar qual será a mensagem que fornecida. Se a resposta for de que os dados estão corretos, é praticamente certo que a conexão é fraudulenta.

 

Se a mensagem fornecida for a de que ocorreu um erro qualquer no processamento da página, esse é um indício de que há algo de errado e é melhor conectar-se novamente com o site para que não haja nenhum tipo de dúvida e repetir a mesma operação, mas tudo variará de caso a caso.

 

Em outra hipótese, caso a mensagem seja de que os dados estão errados, digite novamente e certifique-se de que a página apresenta todos os elementos de segurança que foram descritos anteriormente ou outros que podem ser apresentados a cada caso, sendo a melhor solução para a segurança, sair da página, reconectar-se e digitar novamente os dados de forma errada, e se a mensagem for a mesma, é muito provável que a conexão seja segura.

 

   CARDERS:

 

Os carders são crackers, especializados em furtar os números de cartões de crédito para praticar fraudes on line, comprando uma infinidade de produtos em diversos sítios eletrônicos de e-commerce e de leilão on line, uma vez que se utilizam dos dados obtidos para o pagamento dessas operações, ou simplesmente vendendo no mercado negro esses dados a quem se dispuser em pagar o preço pedido, que pode ser de muitas centenas de reais ou mesmo de dólares através de bitcoins. Essas pessoas podem agir sozinhas ou em grupos, chamados de carding, além de contarem com o auxilio de pessoas que se dispõem a receber as mercadorias compradas em suas residências ou locais de trabalho, além de imóveis alugados para a prática desses delitos. Essas pessoas são chamados de drops, ou um simples pingo, que agem em troca de benefícios prometidos pelo fraudador e que também podem ser enquadrados como criminosos por auxiliarem nessa fraude.

 

Basicamente, o que carder realiza é a análise dos servidores que hospedam as lojas eletrônicas para tentar encontrar uma vulnerabilidade qualquer que lhes possibilitem a invasão da máquina e lhe faculte a obtenção de todos os dados d cartão de crédito dos usuários que tenham negociado com aquela empresa e que estejam armazenados nos servidores, para que posteriormente sejam utilizados da forma como isso lhes trouxer mais benefícios e com as mínimas chances de ser apanhado.

 

É necessário que o lojista tome medidas como saber se quem está desenvolvendo seu sítio eletrônico possui conhecimentos suficientes para não deixar vulnerabilidades que proporcionem a invasão das máquinas e qual o software que está sendo utilizado para esse desenvolvimento; se a empresa que está hospedando o sítio possui sistemas de segurança contra invasões, e se a ferramenta de e-commerce elegida é segura e se tem criptografia dos dados que são informados pelos usuários em suas transações.

 

Além dessas medidas, é preciso que o lojista também eleja uma ferramenta de pagamentos que tenha comprovada capacidade de manter todos os dados sensíveis dos usuários totalmente sigilosos, com a adoção de ferramentas de segurança e de criptografia forte, uma vez que caso haja má eleição dessa empresa e os dados sejam vazados, poderá, eventualmente, haver sua responsabilização.

Quem pratica esse tipo de fraude está cometendo o crime previsto no parágrafo único do artigo 298 do Código Penal[1]

 

   SPAM:

 

SPAM se refere às mensagens de correio eletrônico que são recebidas sem ser solicitadas, e que podem ter qualquer cunho que seja, e que atolam as caixas de entrada dos usuários, e que geralmente são enviadas indiscriminadamente a um grande número de pessoas, sem que se faça uma segmentação. São enviadas pelos spammers.

 

O termo SPAM surgiu de um esquete do grupo inglês Monthy Python, e que se relaciona com um tipo de carne enlatada que é vendido na Inglaterra chamada Spam, que naquele filme é a toda hora repetido e mostrado como uma coisa repetitiva que um dos fregueses não quer, mas a todo momento lhe é empurrado à força.

 

Essa é uma das pragas que consomem a maior parte da banda de toda internet, fazendo com que as redes de transmissão de dados tenham sua velocidade afetada por causa da grande quantidade de dados inúteis que trafegam a cada segundo, causando a perda de produtividade das empresas e dos usuários em geral, na medida em que gastam mais tempo com a abertura, seleção e leitura de todas as mensagens recebidas e para apagar essas mensagens.

 

Também podem ser enviadas diversas mensagens do tipo SMS[2] e de aplicativos como WhatsApp, enviados para os números de telefone móvel dos usuários, mesmo que essas pessoas não tenham autorizado ou mesmo se cadastrado em qualquer base de dados para recebe-las, e que têm se proliferado cada vez mais.

 

Os spammers utilizam diversas formas para obter os endereços de e-mail e de telefone, e que variam de formas licitas - através da colheita pessoal desses endereços, o que é muito trabalhoso mas pode ser feito através de programas informatizados, passando pelas formas mais simples como a compra dessas listas, chamadas mailing, por poucos Reais, até a produção de suas próprias listas de e-mails obtidos via técnicas maliciosas, além de contar com amplo auxilio dos próprios usuários que se cadastra em um site ou uma rede wireless e autoriza o recebimento de mensagens de qualquer cunho.

 

Uma dessas práticas é chamada de harvesting, técnica relativamente simples que consiste em desenvolver um programa que busca, ingressa e analisa as páginas da internet onde estão armazenados os arquivos de diversas listas de discussão e todos os locais onde comumente os usuários deixam seus endereços eletrônicos, e depois de identificadas, copiar para sua base de dados todos os endereços obtidos, de forma totalmente automatizada. Esses programas têm a funcionalidade de poder ler o endereço de e-mail mesmo quando mascarados por técnicas de substituição de letras e palavras que tentam dificultar a utilização dessas listas pelos spammers.

 

E mais uma vez o usuário também auxilia o spammer a colher esses dados, na medida em que ao enviar qualquer mensagem eletrônica para sua lista de destinatários se preocupar em ocultar os endereços das pessoas que estão recebendo aquela mensagem. Se uma das pessoas que recebeu o e-mail retransmiti-lo sem limpar o cabeçalho, cada vez mais essa mensagem vai conter uma enorme quantidade de endereços eletrônicos, e uma pessoa mau intencionada poderá facilmente coletar esses dados e disponibilizá-los a quem se dispuser a pagar, ou usá-los em seu beneficio.

 

Portanto, ao enviar uma mensagem de e-mail, tenha sempre o cuidado de pagar todos os destinatários anteriores da mensagem (que estarão no corpo do e-mail), bem como ocultar todos os destinatários de qualquer mensagem que você enviar, pois assim o spammer não terá acesso aos endereços de sua lista e das listas das outras pessoas que não tomaram esse simples cuidado.

 

E também devem analisar com cuidado as autorizações que estão sendo dadas quando se cadastram em algum site ou quando usam uma rede wireless de determinados estabelecimento, pois podem estar fornecendo dados que serão usados por terceiros para envio de mensagens e eventualmente podem ser usados para fraudes.

 

E também o SPAM é utilizado para disseminar os mais variados programas maliciosos que existem, já que através do envio indiscriminado de milhares ou milhões de mensagens eletrônicas de email, SMS e outros tipo de mensagens de aplicativos, mesmo que uma ínfima parcela dos destinatários seja vitimada pela fraude, o cracker poderá ser beneficiado por esse incauto usuário.

 

O spammer se utiliza também de contas criadas em provedores de correio eletrônico grátis, tais como Hotmail, Gmail, Yahoo etc, mas todas essas empresas têm um canal em que você pode denunciar esse tipo de abuso através do envio de uma mensagem de e-mail ao endereço que é fornecido pela própria empresa que em grandes oportunidades é <ABUSE@(o nome da provedora de correio eletrônico).com.br>, onde ao enviar a mensagem o usuário deve copiar o cabeçalho da mensagem onde consta o endereço IP – internet protocol, e o endereço de e-mail da pessoa que enviou a mensagem:

 

Note que tudo o que estiver abaixo da barra de rolagem deve ser copiado integralmente e enviado junto com a mensagem, pois só assim os responsáveis pela administração dos servidores da empresa poderão identificar e eventualmente bloquear o envio de mensagens.

 

No Brasil, ainda não há uma legislação especifica que proíba esse tipo de atitude, mas em outros Países, como na União Européia que através da Diretiva 2002/58/CE[3], já impunha sanções econômicas para essas pessoas, com multas que variam de €2.500 a €50.000 a cada mensagem enviada, representando um grande desestimulo a essa nefasta prática. Porém, existem diversos Projetos de Lei que tentam impor multas aos spammers, mas enquanto não aprovadas, infelizmente a prática não pode ser considerada como sendo ilícita.

 

Já o Regulamento (EU) 2016/679 do Parlamento Europeu[4], impõe multas severas que podem variar de 10 000 000 de Euros até 20 000 000, ou de 2 a 4% do volume de negócios mundial caso haja desrespeito ao dever de manter esses dados protegidos e seguros.

 

Recentemente, no Brasil, foi aprovado em 29 de maio de 2018, o Projeto de lei n. 4.060/2012[5], sobre a proteção dos dados pessoais que deve ser observado pelas empresas com sede no Brasil ou quando os dados tenham a coleta ou tratamento aqui, que estabeleceu multas que podem variar de 2% do faturamento das empresas (menos impostos), até R$ 50.000,000,00 por infração. Essa novidade ainda não está em vigor no Brasil, em virtude de não ter sido sancionada, mas ainda este ano estará em vigor e será preciso que as empresas de comercio eletrônico estejam preparadas para tanto;

 

   QUAL A MINHA RESPONSABILIDADE?

 

Esta pergunta é muito importante, já que dela derivam sanções econômicas, penais e cíveis que podem afetar as atividades empresariais desenvolvidas pelos comerciantes se ficar comprovado que eles não agiram com o devido cuidado para que as informações dos clientes permanecessem em sigilo, e de outro lado podem também afetar a vida dos consumidores caso fique comprovado que por sua culpa seus dados foram furtados e utilizados para os mais variados fins.

 

Se você é um lojista ou uma pessoa que negocia frequentemente produtos e serviços na internet, ou tem uma lan house, se um cliente tiver seus dados cadastrais furtados de seu servidor, você poderá ser responsabilizado pelos prejuízos que ele possa ter se ficar comprovado que você não agiu com o devido cuidado ao não apagar ou não armazenar em segurança esses dados, e mesmo não cuidar para que a sua rede de computadores não fosse invadida por crackers, segundo as regras dos artigos 186 e 927 e seguintes do Código Civil, incisos V, X do artigo 5º da Constituição Federal e seguintes, dos artigos 4, 6, 14 e outros do Código de Defesa do Consumidor e demais Diplomas Legais Nacionais e Internacionais aos quais o Brasil tenha aderido.

 

Isto porque, tal como dito anteriormente, ao hospedar seu sitio eletrônico e ao desenvolver seu sistema de comercio eletrônico, é seu dever sempre tomar todas as medidas para saber se os servidores e o sistema utilizado estão protegidos contra invasões de qualquer tipo, e se todos os dados que trafegam em seu sítio eletrônico ficam armazenados e se trafegam em um ambiente seguro. Enfim, é dever de quem disponibiliza essas facilidades, manter a segurança de seus usuários.

 

E tal como já foi esclarecido, caso os empregados pratiquem atos lesivos aos usuários, as empresas serão totalmente responsáveis por todos os prejuízos ocasionados, mas depois de pagar as indenizações poderão ingressar com ações contra esses ex-empregados, mas as chances de êxito são muito mais reduzidas, já que essas pessoas transferem todos os seus bens para terceiros e mesmo que a empresa ganhe a ação no futuro, não vai levar nada.

 

 

De outro lado, o usuário também é responsável por manter o seu computador livre de todo e qualquer programa malicioso que possa ser utilizado para que um cracker tenha acesso a dados sensíveis que estejam armazenados em sua máquina. Se ficar comprovado que o usuário não agiu com o devido cuidado ao manusear seus equipamentos e por sua exclusiva culpa instalou um determinando programa infectado, somente ele será responsável por essa atitude e terá que arcar com todas as responsabilidades.

 

E também devem ter o mínimo de cuidado ao comprar produtos e serviços em sites que não sejam conhecidos e mesmo aqueles que só aceitam pagamentos através de depósito bancário, boletos etc, e que não tenham o mínimo de reconhecimento do público. É preciso deixar claro que todos os dias surgem lojas sérias que ainda não possuem reconhecimento, mas através de uma análise de como ela foi montada e se os valores dos produtos são condizentes com aqueles praticados pelo mercado, é possível ter uma ideia sobre a seriedade ou não desses estabelecimentos;

 

Isso é importante porque muitas pessoas têm a visão de que basta comprovar que foram vitimas de uma fraude para que as instituições financeiras, os sítios eletrônicos de leilões virtuais e as empresas de e-commerce, sejam obrigadas a ressarcir integralmente de seus prejuízos, todavia, nem todas as vezes isso ocorrer se, por exemplo, em uma pericia no equipamento que é usado para acessar a internet ou qualquer outra rede de comunicação ficar comprovado que o sistema operacional não está atualizado, não existem sistemas básicos de segurança ativados como firewall e antivírus, além de um comportamento de risco do usuário, que pode ser representado pelo histórico das páginas eletrônicas que ele acessa e também das mensagens eletrônicas que ele abre. Tudo fica armazenado e pode ser usado em uma demanda.

 

   COMO IDENTIFICAR OS INDÍCIOS DE QUE EU FUI VÍTIMA OU EU SOUBER DE UM DELITO COMETIDO COM O       USO DA TECNOLOGIA, O QUE DEVO FAZER E ONDE DEVO DENUNCIAR?

 

Saber se você foi vítima de uma fraude pode demorar um pouco, e na maioria das vezes, quando descoberto o fato, já é tarde e as contas começarão a chegar ou pior, sua conta corrente pode estar sem saldo e foram feitos diversos empréstimos de valores altos e esses importes já foram sacados e sabe-se lá onde estão agora. Portanto, é necessário estar sempre atento às suas finanças e checar sua conta com frequência, além de ficar atento a mensagens de e-mail dos sítios eletrônicos onde você faz suas compras, discernindo entre as reais e as fraudulentas, em que é informado uma possível compra realizada por você.

 

E também aos telefonemas e mensagens das operadoras de cartão de crédito, já que se você tiver habilitado a opção de receber informações sobre todas as transações realizadas em sua conta ou em seu cartão, todas entrarão em contato quando alguma operação for realizada ou houver tentativa de uma compra fora daquilo que normalmente é realizado, visando alertá-lo sobre um possível clone, bem como para cancelar o cartão.

 

                Recomenda-se cancelar ou suspender os cartões de crédito imediatamente e alterar todas as senhas de bancos, cartões, e-mails pessoais e corporativos, sítios eletrônicos em gera, não só os de e-commerce ou leilão virtual, mas aqueles de relacionamento, pois com essas senhas pode-se tentar enganar seus amigos ou outras pessoas se fazendo passar por você e efetuar métodos de engenharia social para descobrir senhas e dados de seus amigos.

 

 

Esses elementos não são os únicos, e você pode (e deve) ficar sempre atento todo e qualquer tipo de fato suspeito que venha a ocorrer em sua vida e que seja ou possa ser relacionado ao uso da internet ou dos meios de comunicação em geral, pois assim as chances de identificação rápida de uma fraude podem resultar na prisão dessas pessoas e lhe poupar grandes dores de cabeça.

 

                Mas, supondo que mesmo tomando todas as precauções possíveis, você mesmo assim foi vitima de uma fraude eletrônica, a primeira coisa a fazer é não ter vergonha de tomar as medidas cabíveis. Você não foi o primeiro e não será o último a ser alvo desse tipo de fraude, mas pode contribuir para que muitas pessoas não sejam afetadas por esse golpe que lhe vitimou, portanto, DENUNCIE.

 

Qualquer Delegacia de Policia é obrigada a lavrar o Boletim de Ocorrência, mas por desconhecimento dessas questões e despreparo dos próprios agentes, diversas vezes é negado esse direito ao cidadão, na medida em que dizem que não há o que fazer. Não está correta essa informação. Todas as medidas policiais, judiciais e administrativas devem ser tomadas para que se tente identificar quem foi a pessoa que cometeu a fraude ou que tentou cometê-la, e a depender do fato, devem ser enquadrados como fraude, estelionato.

 

Não deixe se intimidar e exija que o policial que lhe atender lavre o Boletim de Ocorrência, pois esse documento, apesar de não comprovar cabalmente que ocorreu a fraude, é um principio, um indicio de prova de que realmente esse fato ocorreu, além de ser exigido pelos operadores de e-commerce e leilões eletrônicos para que haja um possível ressarcimento dos valores ou produtos.

 

Ao se dirigir para lavrar o Boletim de Ocorrência, é importe que sejam fornecidas a maioria das provas que você tiver em seu poder para que a Polícia possa dar andamento às investigações necessárias e aptas a possibilitar a identificação de quem foi o causador desse delito, sendo esses documentos, por exemplo:

 

- cópia da mensagem de e-mail que lhe foi enviada, com o cabeçalho onde constarão endereço IP do remetente;

 

- nome de domínio completo do sítio eletrônico que foi acessado e de onde você crê que possa ter ocorrido a fraude;

 

- local, dia, hora e a máquina onde você acessou a internet e que pode ter armazenado seus dados de forma fraudulenta;

 

- histórico da última semana de todos os sítios eletrônicos visitados por você e por todos que utilizam a máquina (não omita essa informação de forma alguma, mesmo que isso seja embaraçoso a você, pois muitos dos sites relacionados a sexo e conteúdo pornográfico contém programas maliciosos dentro deles);

 

- elementos das compras, dos saques ou das transferências bancárias e outras operações que foram realizadas com seus dados bancários, tais como loja, banco, conta do favorecido, data, hora, valor, produto dentre outros;

 

- todos os outros elementos e prova de que a fraude ocorreu e que estejam em seu poder, e que dependerão de cada caso em concreto.

 

Quem for lesado, pode eventualmente ter direito à reparação dos danos morais e materiais que tenha tido, portanto, é necessário que seja provado o fato, e todos esses dados são necessários para o ingresso com demandas judiciais cíveis (para ressarcimento de danos) e penais (para o caso de crimes).

 

E para aqueles que exercem as atividades de e-commerce e correlatas, comprovar que sempre seguiu todas as diretrizes de segurança exigidos pela Lei e pelos Regulamentos nacionais e internacionais é extremamente importante para se defender de uma ação judicial, já que infelizmente existem pessoas que se aproveitam do desconhecimento da Legislação e tentam locupletar-se aduzindo que foram vítimas de golpes praticados por/ou através dessas pessoas, e tentam extorquir os comerciantes para não levarem a juízo um processo contra a empresa, ou quando levam, forjam provas de fatos inexistentes ou completamente diferentes daqueles que tenham eventualmente ocorrido. E isso ocorre frequentemente, portanto, cuide-se.

 

E você tiver alguma dúvida, o Escritório Elias Filho Advogados está ao seu dispor para orientações acerca de como se precaver de algum tipo de problema decorrente do uso das novas tecnologias

 

[1] Falsificação de documento particular

Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:

Pena - reclusão, de um a cinco anos, e multa. Falsificação de cartão (Incluído pela Lei nº 12.737, de 2012) Parágrafo único.  Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.(Incluído pela Lei nº 12.737, de 2012)

[2] Short Mensage Service

[3] https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32002L0058, acessado em 26/06/2018;

[4] https://eur-lex.europa.eu/legal-content/en/TXT/?uri=celex:32016R0679, acessado em 06/06/2018;

[5] http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378, acessado em 25/06/2018;

maisnoticias

BREVES ANOTAÇÕES HISTÓRICAS SOBRE A PRÁTICA DE ATOS PROCESSUAIS CIVIS POR MEIOS INFORMÁTICOS SOB A PERSPECTIVA PORTUGUESAs

ROFIS ELIAS FILHO¹JOÃO REIS SILVA² Diferente daquilo do que muitos acreditam, o processo civil eletrônico em Portugal encontra-se em operação há muito mais tempo que no Brasil, com a ...

Ler mais

Avenida Imperatriz Leopoldina 957,
CJ. 1406, 14 andar, Vila Leopoldina - São Paulo - SP

+55 (11) 3107-4120