Sie sind auf Seite 1von 58

PRESIDÊNCIA DA REPÚBLICA

MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA

Secretaria Nacional de Segurança Pública

Diretoria de Ensino e Pesquisa

Coordenação Geral de Ensino

Núcleo Pedagógico

Coordenação de Ensino a Distância

Conteudista:

ALESANDRO GONÇALVES BARRETO

RICARDO MAGNO TEIXEIRA FONSECA

Revisão Pedagógica:

ARDMON DOS SANTOS BARBOSA


Sumário

Apresentação do Curso..................................................................................05
Objetivos do curso .........................................................................................06
Estrutura do curso..........................................................................................06

MÓDULO 1 – Contextualização......................................................................07
Apresentação do módulo...................................................................................07
Objetivos do módulo..........................................................................................07
Estrutura do módulo...........................................................................................07
Aula 1 – O Surgimento de um Cenário Dependente da Tecnologia............08
Aula 2 – Segurança Pública e Pandemia.......................................................10
2.1. Criminalidade Organizada e Pandemia

MÓDUL 2- Engenharia Social.........................................................................13


Apresentação do módulo...................................................................................13
Objetivos do módulo..........................................................................................14
Estrutura do módulo...........................................................................................14
Aula 1 - Conceito e Classificação...................................................................14
Aula 2 - Engenharia Social: A Exploração da Vulnerabilidade Humana....16
Aula 3 - Operacionalidade da Engenharia Social.........................................18

MÓDULO 3 - Modalidades de Engenharia Social pelo Uso da


Tecnologia........................................................................................................21
Apresentação do módulo...................................................................................21
Objetivos do módulo..........................................................................................22
Estrutura do módulo..........................................................................................22
Aula 1 – Phishing Scam e suas Modalidades...............................................22
1.1. Antecipação de Recursos ((ADVANCE FEE FRAUD)
1.2. Fraudes em Plataforma de E-Commerce
Aula 2 - Estudo de Casos................................................................................27
2.1. Caso envolvendo a produção álcool em gel (caso ambev)
2.2 Caso do falso aplicativo com informações sobre a covid-19
2.3. Caso do falso plano de internet gratuita em razão da pandemia
2.4. Caso da “clonagem” de contas do aplicativo whatsapp e pedidos ilegítimos
de dinheiro e dados
Aula 3 - Outros Golpes Atualmente Aplicados com o Uso de Engenharia
Social pela Rede..............................................................................................36

MÓDULO 4 -Atuação do profissional de segurança pública.......................39


Apresentação do módulo...................................................................................39
Objetivos do módulo..........................................................................................40
Estrutura do módulo...........................................................................................41
Aula 1 - Da prevenção às fraudes praticadas na Internet, especialmente
em tempos de Pandemia.................................................................................41
1.1. Utilização de Fontes Abertas
1.2. Remoção de aplicativos falsos
1.3. Identificando e denunciando o perfil falso no Whatsapp
1.4. Procedimentos ao Identificar a conta clonada no Whatsapp.
1.5. Contas falsas no Instagram
1.6. Perfil falso no Facebook
1.7. Opções para denúncia junto ao Google
1.8. Desindexação de conteúdo
1.9.
Considerações Finais......................................................................................54
Referências Bibliográficas..............................................................................55
FRAUDES ELETRÔNICAS EM TEMPOS DE PANDEMIA

APRESENTAÇÃO

Em tempos de pandemia, novos desafios são apresentados aos


profissionais da Segurança Pública, dentre muitos, destaca-se o incremento das
fraudes praticadas na Internet.

Uma gama de fatores contribui, sobremaneira, para essa migração do


crime: isolamento social, crescimento do comércio eletrônico, prejuízos
econômicos, pagamento de benefícios sociais, contingenciamento das forças de
segurança pública, dentre outros fatores.

Algumas fraudes surgiram com o coronavírus, outras apenas adequaram


seu modus operandi para o momento atual. Nesse contexto, faremos uma
abordagem sobre os principais golpes praticados, notadamente, fatos coletados
através de informações públicas livremente disponíveis.

Por fim, demonstraremos os caminhos a serem seguidos pelos


profissionais de segurança pública, tanto no enfrentamento quanto na prevenção
das fraudes a fim de mitigar os prejuízos milionários por ela causados.

Não procuraremos, pois, esgotar a temática. A infinidade de recursos


disponíveis para a prática de golpes na internet impossibilita-nos de fazer isso
durante esse período. Cabe-nos, de maneira didática, repassar ao profissional
de segurança pública, a casuística e os caminhos para a mitigação dos efeitos
danosos dessa modalidade delitiva em tempos de pandemia e oportunismo.

Bom curso a todos!


Objetivos do Curso

Ao final do estudo do curso você será capaz de:


• Contextualizar o cenário atual de crise.
• Compreender a relação de dependência das sociedades à tecnologia.
• Relacionar situações de crise à Segurança Pública.
• Definir Engenharia Social.
• Identificar fraudes eletrônicas.
• Citar ações voltadas à cibersegurança.
• Mitigar danos relacionados à golpes virtuais.
• Prevenir e combater tentativas de ataques maliciosos.

Estrutura do Curso
O curso é composto por 4 módulos:
Modulo 1. Contextualização
Módulo 2. Engenharia Social
Modulo 3. Modalidades de Engenharia Social pelo Uso da Tecnologia
Modulo 4. Atuação do profissional de segurança pública
MODULO 1. CONTEXTUALIZAÇÃO

APRESENTAÇÃO

Em meados de dezembro de 2019, a Organização Mundial da Saúde foi


alertada por autoridades chinesas sobre uma pneumonia de origem
desconhecida que estava afetando a população de Wuhan, China.

Passados alguns dias, a doença foi identificada como o novo coronavírus


(COVID-19). Com sintomas que variam desde um pequeno resfriado até uma
pneumonia severa, o coronavírus alastrou-se pelo planeta e levou consigo
milhares de pessoas mortas.

Essa disseminação mundial fez com que a OMS declarasse o COVID-19


uma pandemia. Por outro lado, as formas de contágio (espirro, tosse, saliva,
aperto de mão, objetos contaminados, dentre outros), reforçaram as
recomendações pelo distanciamento social a fim de diminuir a curva de contágio
da doença e, via de consequência, minimizar a sobrecarga no sistema hospitalar
para evitar um colapso.

Desde então, alguns países passaram a restringir a circulação de pessoas


nas ruas, permitindo apenas a continuidade apenas de serviços essenciais. Em
alguns locais, decretou-se até mesmo o lockdown, com multas elevadíssimas
para quem descumprisse as regras do isolamento.

Objetivos do Módulo

Ao final do estudo deste módulo, você será capaz de:

• Identificar as mudanças ocorridas no mundo durante a ocorrência da


pandemia do COVID-19.
• Reconhecer a situação de dependência tecnológica da sociedade
moderna e os riscos que essa conectividade representa.
• Examinar os impactos da pandemia e das crises em geral no sistema de
segurança pública.
• Descrever as causas de migração da criminalidade para o ambiente
cibernético.
Estrutura do Módulo

Este módulo e formado por 2 aulas:

Aula 01 – O Surgimento de um Cenário Dependente da Tecnologia

Aula 02 – Segurança Pública e Pandemia

Aula 01 – O SURGIMENTO DE UM CENÁRIO DEPENDENTE DA


TECNOLOGIA

Isoladas nas suas residências, a interconectividade cresceu de forma


considerável para buscar suportar diversos cenários:

a) Informações sobre a pandemia: com a suspensão de atividades como


as de ensino e, em alguns casos, do expediente presencial em postos de
trabalho, as pessoas têm utilizado ainda mais a internet como meio de se
manterem conectadas e informadas. O momento atual demonstra de
maneira clara como o exercício do direito à comunicação e do direito à
informação são centrais para a garantia do direito à saúde. A
comunicação e a informação são elementos centrais no combate à
pandemia. Sobretudo a internet tem sido espaço fundamental para que
as pessoas acessem informação de qualidade sobre a crise sanitária, por
meio de sites, portais, aplicativos e outros recursos disponibilizados pelos
poderes e instituições públicas;

b) Home Office: esta modalidade de trabalho era antes restrita a alguns


profissionais. O home office foi a solução à realidade de milhares de
trabalhadores no Brasil e no mundo por causa da pandemia de
coronavírus. Nem todas as profissões podem simplesmente migrar para
o formato a distância, mas, para serviços de escritório, feitos em
computador, essa foi a alternativa encontrada por diversas empresas e
órgãos públicos para manter a produtividade e, ao mesmo tempo,
preservar a saúde dos funcionários;
c) Entretenimento: o fechamento de estabelecimentos, com a
determinação de isolamento, aliada a suspensão de diversas atividades
públicas e artísticas expõe toda a fragilidade da atual conjuntura mundial,
e de certa forma, força as pessoas a se adaptarem em todos os
segmentos. Logo nas primeiras semanas da pandemia COVID-19,
iniciaram-se as chamadas “lives” de forma amadora nas sacadas e
varandas de apartamentos, sem grandes estruturas, com o objetivo único
de entreter vizinhos e fãs, de modo a amenizar a dura situação do
isolamento. Porém, isso tem mudado, e cada vez mais tem-se perdido a
espontaneidade inicial, os artistas têm feito verdadeiros shows ao vivo via
internet, juntando milhões de pessoas em transmissões virtuais, gerando
muito dinheiro e repercussão;

d) Telemedicina: é o exercício da medicina por meio da comunicação


interativa, como, por exemplo, videochamadas. Assim, não é necessário
o contato físico entre pacientes e médicos, poupando ambos do
deslocamento e do encontro. A Telemedicina pode ser feita em diversas
modalidades, dentre as quais: a teleorientação (orientação e
encaminhamento de pacientes remotamente), telemonitoramento
(supervisão e o monitoramento de parâmetros de saúde do paciente à
distância) e Teleinterconsulta (troca de informações e opiniões entre
médicos, para o auxílio diagnóstico ou terapêutico);

e) Negócios: A pandemia provocada pelo novo Coronavírus impactou


severamente a economia de todo o país e em pouco tempo.
Principalmente os donos de pequenos negócios, precisaram fechar as
portas de seus estabelecimentos físicos e ficar em casa para diminuir a
propagação da doença. Consequentemente, veio a redução no
faturamento dessas empresas e muitos empreendedores, buscando
evitar a falência, migraram suas atividades para o ambiente virtual. O uso
de aplicativos criados para auxiliar o processo de comunicação nos
negócios, como o Whatsapp Business, por exemplo, generalizou-se neste
segmento. Além disso, houve o aumento significativo do comércio
eletrônico e serviços delivery. As compras de produtos e serviços
passaram a ser efetivadas agora através de plataformas de comércio
eletrônico, websites e aplicativos de refeições. O usuário não precisa sair
de casa.

Agregue-se a esse cenário, dúvidas, medo, ansiedade e pânico sobre a


doença. As pessoas passaram a clicar em tudo que tivesse correlação com a
pandemia: mensagens e links enviados por WhatsApp, publicações no
Instagram e Facebook, aplicativos com informações sobre infecções, sites com
conteúdo voltado à doença, opiniões de “especialistas de plantão”, dentre outros.

Por fim, o pagamento de auxílio governamental, efetivado para minorar os


efeitos econômicos da diminuição de renda durante a pandemia. Diversos países
passaram a repassar quantias mensais às pessoas afetadas, especialmente, os
trabalhadores da economia informal. No Brasil, foi ofertado o valor de R$ 600,00
(seiscentos reais) e, para as mães chefes de família, R$ 1.200,00 (um mil e
duzentos reais).

Estamos diante, pois, de cenários atrativos a migração do crime para o


ambiente cibernético.

Aula 02 - SEGURANÇA PÚBLICA E PANDEMIA

A segurança pública também sofreu vários impactos durante a crise do


coronavirus. Primeiramente, destaca-se o redirecionamento das forças policiais
das suas atividades rotineiras de prevenção e repressão de crimes para auxiliar
nas medidas de fiscalização de distanciamento social.

Um outro aspecto a ser mencionado é o afastamento de diversos policiais


das atividades diárias em razão de serem parte de grupos de risco ou ainda em
decorrência da contaminação do coronavírus. Em alguns locais, houve até
mesmo o revezamento do efetivo, sobretudo para evitar a contaminação de toda
equipe.

Se por um lado estava havendo esse contingenciamento do efetivo,


merece destaque, todavia, o aumento das apreensões de substâncias
entorpecentes e de contrabando nas fronteiras. Com o fechamento delas, houve
a necessidade do incremento do efetivo policial. O aumento da fiscalização e de
barreiras sanitárias trouxe resultados consideráveis na repressão a essas
modalidades delitivas. Os resultados da Operação Hórus, do Programa Nacional
de Fronteiras e Divisas são bastante expressivos. Segundo dados apontados
pelo Ministério da Justiça e Segurança Pública, através de comparação entre
dias antes e depois do fechamento das fronteiras, houve um aumento de 180%
nas apreensões de drogas, saindo de 1,4 para 3,9 toneladas. As referências
ainda são maiores quando falamos da apreensão de cigarros contrabandeados1.

CRIMINALIDADE ORGANIZADA E PANDEMIA

A migração da criminalidade para o ambiente cibernético não é um fato


recente. Esse espaço tem se tornado bastante atrativo, notadamente em razão
de:

● Escalabilidade: aumento das atividades criminosas sem ampliação


dos custos;
● Anonimidade: inúmeras são as plataformas ofertadas com
criptografia ponto a ponto e a custo zero. Aplicações de internet
que foram criadas com fins lícitos, passam a ser empregadas para
a prática delitiva e, garantem, sobremaneira, um aparato
tecnológico para “blindar” o criminoso e;
● Impunidade.

1
Ministério da Justiça e Segurança Pública. Apreensões de drogas e cigarros aumentam mais
de 300% com fechamento das fronteiras. Programa Vigia ganhou reforço de policiais nas
fronteiras. Publicada em 24 mar. 2020.
A pandemia trouxe, por sua vez, diversos outros fatores atrativos para a
prática de fraudes na Internet. Com menos pessoas nas ruas e um maior
policiamento, os ganhos ilícitos do crime foram impactados. As perdas deveriam
ser recuperadas e necessitava-se, pois, de repará-las o quanto antes.

Através da pandemia do oportunismo.

Usuários ansiosos por informações, medo, auxílio do governo federal,


“clicks nervosos” em links maliciosos, compras de produtos e serviços online
impulsionaram os ganhos ilícitos, verdadeiro combustível para fomentar a prática
de fraudes em tempos de coronavírus.
MÓDULO 2. ENGENHARIA SOCIAL

APRESENTAÇÃO

O elemento humano é o ponto mais vulnerável de qualquer sistema de


segurança, mesmo aqueles que estão fora do universo informacional e
tecnológico. Nos ambientes corporativos, a segurança da informação é um
aspecto estratégico em qualquer entidade, dado o grande valor dos ativos
digitais nos modelos de negócio atuais. Todavia, embora muito significativo,
representa uma parte dos pontos a ser gerenciados. A segurança predial ou
física de um local, por exemplo, também é de grande valor e, da mesma forma,
estabelece-se um sistema, baseado em regras e rotinas a seus frequentadores.

Contudo, diariamente são noticiados invasões e furtos a


estabelecimentos empresariais e comerciais, mesmo dotadas de artefatos
tecnológicos, como câmeras de CFTV e alarmes, ou de segurança armada. Do
mesmo modo, grandes empresas de tecnologia também sofrem invasões e seus
executivos testemunham enormes danos a sistemas internos, dentre os quais,
subtração de dados e vazamentos de arquivos preciosos.

Em 2011, a empresa Sony teve sua divisão de games, chamada


“PlayStation Network” invadida. Hackers não-identificados penetraram na rede,
derrubaram e ainda roubaram dados pessoais de mais de 77 mil usuários do
serviço, o que forçou a empresa a lidar com muitas reclamações e até com
alguns processos. Apenas três anos depois, a empresa Yahoo revelou uma
invasão de hackers que acabou comprometendo a segurança de 500 milhões de
contas do serviço. No mesmo ano a Sony Pictures, divisão cinematográfica da
marca Sony, também foi atacada. Ela teve sua rede novamente violada, desta
vez por um grupo de hackers conhecidos como “Guardians of Peace” (Guardiões
da Paz), que vazaram informações sobre funcionários e executivos do estúdio.

Nessa seara, muita ênfase relacionada à segurança é dada à


implementação de tecnologias preventivas e detectivas, como antivírus, IDS
(Sistema de Detecção de Intrusões), IPS (Sistema de Prevenção de Intrusões),
Firewalls etc., ignorando completamente o comportamento não técnico.

Objetivos do Módulo

Ao final do estudo deste módulo, você será capaz de:

• Apontar o conceito de Engenharia Social.


• Classificar as categorias de tentativas de fraudes mediante atividade da
engenharia social.
• Identificar o papel humano como responsável pela segurança e combate
às fraudes.
• Examinar os riscos existentes em ambientes domésticos e corporativos
frente aos ataques planejados com base na engenharia social.
• Analisar as fases existentes em golpes operacionalizados por meio da
engenharia social.

Estrutura do Módulo

Este módulo e formado por 3 aulas:

Aula 01 – Conceito e Classificação.


Aula 02 – Engenharia Social: A Exploração da Vulnerabilidade Humana.
Aula 03 – Operacionalidade da Engenharia Social.

Aula 01 - CONCEITO E CLASSIFICAÇÃO

Engenharia social é o nome dado à categoria de investidas ou ataques


(segurança cibernética) que envolvem manipulação intencional de um indivíduo
ou grupo, em um esforço para obter vantagens indevidas (direito penal), dados
ou informações (segurança cibernética), bem como para afetar determinado
comportamento geralmente através de alguma forma de engano e ocultação de
seu objetivo real. Como se pode perceber, o termo Engenharia Social recebe
contornos conceituais quando relacionado aos aspectos cibernéticos ou físicos
dessa atividade.

Quando o contexto se refere à violação de cibersegurança, pode ser


definido como o uso de truques psicológicos por um hacker externo em usuários
legítimos de um sistema de computador, a fim de obter as informações de que
ele precisa para obter acesso ao sistema.

Entretanto, a prática de enganar alguém, pessoalmente ou por telefone


(meios físicos ou não cibernético) acaba surtindo os mesmos efeitos do que
usando um computador, pois, no fundo, a intenção expressa é a mesma, ou seja,
de violar algum nível de segurança pessoal, profissional ou mesmo tecnológico.

A expressão “engenharia social”, porém, é mais utilizada para descrever


técnicas ardilosas no âmbito da tecnologia. Neste sentido, é definida como um
tipo de intrusão não técnica, que depende muito da interação humana, que
geralmente envolve induzir outras pessoas a violar os procedimentos normais de
segurança.

Aos criminosos, que usam técnicas de engenharia social para obtenção


de credenciais personalíssimas e informações sigilosas para fins ilícitos, é dado
o nome “engenheiros sociais”. O perfil deste tipo de delinquente é variante,
afastando-se o estereótipo de que se trata sempre de profissionais da tecnologia
mal-intencionados.

O que se deve levar em conta nesta seara, é que a atuação de um


indivíduo no universo criminológico cibernético resulta de motivações diversas,
as quais podem ser arroladas como: interesse financeiro, poder, ideologia,
instinto de vingança, curiosidade e até a pura maldade. Admite-se, assim, que
engenheiros sociais podem ser estelionatários, ex-funcionários descontentes de
uma organização, terroristas, fanáticos de toda natureza ou iniciantes do mundo
hacking.

Pressupõe-se, então, que os ataques de engenharia social podem ser


realizados de muitas maneiras diferentes, assim como podem ser realizados em
qualquer ambiente digital enquanto houver interação humana. Eles podem,
porém, ser de natureza tecnológica ou não. A variação e extensão dos ataques
de engenharia social são limitadas apenas pela criatividade do hacker

Diante desta perspectiva fática, as tentativas de engenharia social


podem ser classificadas em duas categorias: fraude baseada em tecnologia e
fraude humana. Na abordagem baseada em tecnologia, o usuário é levado a
acreditar que está interagindo com um aplicativo ou sistema real, divulgando
informações confidenciais e permitindo o acesso a uma rede da organização. Na
abordagem apoiada na vulnerabilidade humana, os ataques são realizados
tirando proveito das respostas das pessoas previsíveis aos gatilhos psicológicos.

Aula 2 - ENGENHARIA SOCIAL: A EXPLORAÇÃO DA VULNERABILIDADE


HUMANA

Em grande parte desses ataques praticados por hackers contam com


vulnerabilidades deixadas nos sistemas alvo. Estruturas lógicas de bancos de
dados e soluções de plataformas desenvolvidas pelas corporações podem
deixar falhas quando programadas. É evidente que já se detecta neste contexto
a falibilidade humana, que pode ser de toda uma equipe de desenvolvimento,
mas extensível a outras relacionadas a qualidade de software e até segurança,
considerando a interdependência dessas áreas nos modelos atuais.

Mas o que se chama a atenção no contexto deste capítulo é a


participação humana nos incidentes de segurança como usuário. Assim como
ocorre no exemplo da segurança predial, no ambiente digital, a contribuição das
pessoas para a ocorrência de sinistros é extremamente relevante, razão pela
qual sempre são estabelecidos regras e protocolos a ser observados.

A administração de condomínios comumente exige, no ato de entrada


de visitantes, a identificação com exibição de documentos destes. Há regras de
e saída, protocolos para casos de incêndio, dentre outros. Sistemas de
informação, da mesma forma, sempre exigem autenticação com senha,
podendo, em alguns casos, até condicionar um acesso a outros fatores, inclusive
de natureza física, como um, por exemplo.

Historicamente, a maioria das técnicas desenvolvidas para combater os


ataques à segurança concentrava-se em colocar “barricadas virtuais” em torno
dos sistemas, tentando impedir que um indivíduo indesejado obtivesse acesso
aos recursos. Porém, verificou-se que tamanho investimento não surtia efeitos,
pois os elos mais fracos de todas as defesas de segurança das organizações,
na maioria das vezes, foram seus funcionários.
De fato, o ideal da segurança impenetrável nunca pôde ser alcançado,
muito menos quando se tenta impedir ataques em um nível técnico e não se
preocupando com o nível físico-social. A ignorância desse elemento social vital
sempre forneceu aos hackers um método fácil para obter acesso a um sistema
privado.

Em suma, toda a preocupação ora apresentada com o usuário serve


para demonstrar o quão este é classificado como ponto de preocupação em
qualquer sistema. Isto se explica por causa de seu comportamento previsível e
outros aspectos psicológicos, o que acaba sendo frequentemente explorado por
pretensos invasores.

Neste contexto que se destacam técnicas utilizadas para violar


camadas de segurança, sem o uso de programas para descobrir entradas
vulneráveis e ferramentas de intrusão. A maioria dos ataques utiliza a chamada
Engenharia Social sobre indivíduos, explorando suas permissões em sistemas
de computadores para acesso e obtenção de vantagens indevidas. O custo desta
empreitada é mínimo para o invasor, não lhe exigindo poder computacional
tampouco conhecimento especializado em computação. Criatividade e poder de
convencimento são os artefatos geralmente utilizados.

Vale ressaltar, por oportuno, que a utilização dessas técnicas para


obtenção de dados pessoais, tornou-se uma grande preocupação não apenas
para as organizações, mas também para indivíduos comuns. O assunto
engenharia social, inclusive, tem maiores repercussões no âmbito da ciência
jurídico-criminal que estuda as fraudes do que propriamente no escopo da
segurança da informação. A cada dia, novas modalidades de golpes são
constatadas, especialmente, aquelas que contam com o apoio da tecnologia.

Na realidade, o surgimento da Internet significou a abertura de um


grande mercado para os “golpistas”. A “arte de enganar” 2, entretanto, não surgiu
com o advento da web e sempre representou uma preocupação estatal, tanto

2
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003.
Excelente obra que explora a arte da engenharia social – conjunto de técnicas que permite que
um hacker, utilizando pouca ou nenhuma tecnologia, invada sistemas e acesse informações não
autorizadas.
que o crime de estelionato figura no Código Penal brasileiro desde a sua primeira
versão publicada em 1940.

De alguma forma, a engenharia social foi empregada no contexto das


mais conhecidas guerras no mundo, como importante estratégia bélica. Um
clássico exemplo disso vem da Antiguidade, a narrativa do Cavalo de Tróia,
empregado durante a guerra greco-troiana, resultando em uma sólida vitória
grega sobre seus oponentes. Acreditando ter recebido um presente dos deuses,
os troianos foram seduzidos por um cavalo de madeira achado na praia, mas
repleto de gregos nele escondidos. Assim, levaram-no para o centro de suas
dependências, descuidando totalmente de sua segurança.

Vê-se que, neste exemplo, o uso de técnica persuasiva baseada na


ideologia ou ética religiosa, foi capaz de ludibriar uma civilização inteira e invadir
um território conhecido à época como impenetrável, em face do poderio militar
dos troianos. Uma conhecida modalidade de malware (software malicioso)
recebeu esta nomenclatura (trojan), por realizar efeito análogo em sistemas
operacionais. Acreditando estar recebendo uma foto, vídeo ou documento digital,
o usuário baixa e executa um arquivo que traz um algoritmo capaz de penetrar
no sistema do alvo, transpondo mecanismos de segurança.

O que chama a atenção nos dias atuais, é o quanto se expandiu esse


fenômeno criminológico com a inserção dos novos meios informacionais como
redes sociais e aplicativos de mensageria.

Alguns aspectos podem justificar essa constatação, tais como a


facilidade de contatar pessoas e lhe ofertar o objeto da fraude; a sensação de
segurança resguardada pelo anonimato e o baixo custo dos recursos
necessários à aplicação do golpe virtual. O atrativo a quem utiliza a técnica é o
segredo por trás da engenharia social verdadeiramente bem-sucedida: ela
facilmente coleta informações sem levantar suspeitas sobre o que estão
fazendo, no momento de sua execução.

Aula 3 - OPERACIONALIDADE DA ENGENHARIA SOCIAL


Conforme suscitado nas linhas acima, os engenheiros sociais não
obedecem a um modelo comportamental, pois dependendo do objetivo
colimado, utilizará a técnica que julga mais adequada àquela situação.
Oportunismo é a palavra que define habilidade em tirar partido de circunstâncias
ou fatos para a obtenção de algo. Essa qualidade é totalmente característica à
engenharia social e pode definir o meio eleito pelos criminosos.

Destarte, embora cada um dos ataques de engenharia social seja único,


ou melhor, possua suas próprias peculiaridades, é possível observar um padrão
comum neles, analisando-se o modus operandi destas técnicas em geral. Na
realidade, o que se identifica é a existência de uma espécie de linha progressiva,
dividida em quatro fases, didaticamente separadas para fins de estudo do objeto.

Cita-se o “levantamento”, como a primeira fase, onde o invasor coleta


informações sobre o alvo e as circunstâncias que o rodeia. Depois de obter
informações preliminares suficientes, o atacante agora passa para a segunda
fase, chamada de “aliciamento”. Nesta etapa, tenta desenvolver a confiança do
alvo, construindo algum tipo um relacionamento com ele, comercial, ideológico
ou afetivo.

Segue-se então ao momento da “manipulação”. Nesta terceira fase, o


invasor manipula a confiança adquirida na fase anterior e começa a extrair dados
ou realizar operações confidenciais. Esta é a parte mais crítica da ação, pois é,
de fato, aquela que representa riscos ao criminoso, especialmente que ocorra
uma tomada de consciência por parte do enganado, que “caindo em si”, perceba
que está sendo vitimado.

Na fase final, ocorre o chamado “desligamento ou saída”, momento no


qual o engenheiro social se retira da situação. Nenhuma prova é deixada para
trás, tampouco desperta na vítima, algum indício de que tudo se tratou de um
plano ardiloso. Ao final de tudo, nada pode levar a algum canal revelador à sua
identidade real, deixando a vítima o mesmo efeito natural de quando acorda de
um sonho. Logo, a engenharia social emprega a ilusão na mente de seus alvos,
ou seja, uma realidade que nunca existiu, portanto, incapaz de deixar qualquer
vestígio.
Fases de operação da Engenharia social:
MODULO 3. MODALIDADES DE ENGENHARIA SOCIAL PELO USO DA
TECNOLOGIA

APRESENTAÇÃO

No módulo 2 deste curso apresentamos a classificação das espécies de


engenharia social como: fraude baseada em tecnologia e fraude humana. Vale
destacar a diferença essencial entre a primeira e o crime cibernético próprio. Na
hipótese do cibercrime, é utilizada alta tecnologia para violação dos mecanismos
de segurança e todo iter criminis se procede no espaço cibernético. Exemplo
disso são os casos de invasões dispositivos de informática, onde são utilizadas
técnicas de injeção de SQL, quebras criptográficas ou explotações com
ferramentas de intrusão.

Diferentemente, ocorre na fraude baseada em tecnologia. O meio


cibernético também é escolhido, mas tão somente para execução de uma das
fases da engenharia social. As ferramentas aqui utilizadas, embora provenientes
do meio virtual, são apenas os canais de comunicação onde são aplicadas as
técnicas de persuasão pelo criminoso. No crime cibernético próprio, o atacante
invade um sistema sem o auxílio direto da vítima. Esse é o ponto diferenciador
da engenharia social, onde o alvo é persuadido a entregar os dados desejados
pelo enganador.

Há uma famosa frase de Kevin Mitnick, autor da obra “A arte de


enganar3", sintetizam bem a ideia, exemplificando:

"Há um ditado popular que diz que um computador seguro


é aquele que está desligado. Isso é inteligente, mas é falso:
O hacker convencerá alguém a entrar no escritório e ligar
aquele computador. Tudo é uma questão de tempo,
paciência, personalidade e persistência 4”

Nas próximas linhas, serão apresentadas as mais comuns fraudes com


uso da tecnologia, espécie do gênero Engenharia Social, cujos efeitos

3
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003.
4
Disponível em <https://www.pensador.com/frase/MTQ0MDcyNQ> Acesso em 25-4-2020.
geralmente se consumarão no mundo real, significando perdas financeiras,
abalos à reputação e à saúde das pessoas, na maioria dos casos.

Objetivos do Módulo

Ao final do estudo deste módulo, você será capaz de:


• Descrever as principais tentativas de fraudes utilizadas com o uso da
tecnologia.
• Identificar a prática do Phishing Scam e suas modalidade.
• Comparar as práticas comuns de Phishing, como a Antecipação de
Recursos, fraudes baseadas no comércio eletrônico e relacionamentos
virtuais.
• Analisar casos de golpes praticados pela internet em sites e aplicativos
por meios fraudulentos.
• Examinar técnicas utilizadas por criminosos durante a Pandemia com o
objetivo de copiar dados ou obter lucros na internet.

Estrutura do Módulo

Este módulo e formado por 3 aulas:

Aula 01 – Phishing Scam e suas Modalidades.


Aula 02 – Estudo de Casos.
Aula 03 – Outros Golpes Atualmente Aplicados com o Uso de Engenharia
Social pela Rede.

Aula 1 - PHISHING SCAM E SUAS MODALIDADES:

Phishing Scam se refere à coleta de dados pessoais realizada ilegal e


fraudulentamente pela Internet. É uma palavra da língua inglesa, que se origina
da forma homofônica do termo “fishing” (pescaria), em alusão à ideia de que o
objetivo do phishing é a “pesca” de dados. O phishing scam é a forma mais
prolífica de engenharia social, uma vez que capaz de atingir com maior facilidade
um número imensurável de vítimas.

A técnica de phishing envolve a criação de sites cuidadosamente


projetados para se parecerem com os sítios eletrônicos legítimos, ou seja, com
aqueles que o engenheiro social copia os dados, com a finalidade de criar as
falsas páginas e enganar as vítimas. Essa engenharia leva o usuário a fornecer
suas informações pessoais, quando impulsionado a preencher formulários.

Na maioria dos casos, a técnica é precedida por outras de caráter


preparatórios, desenvolvidas com o objetivo de atrair internautas aos sites falsos
(phishings). O Pharming é um tipo específico de phishing utilizado para
redireção da navegação do usuário para sites falsos. A técnica por trás desta
modalidade é a alteração no serviço de DNS (Domain Name System),
responsável por resolver ou “converter” nomes de domínio em protocolos IP,
endereços compreensíveis pela rede. Como consequência, quando o usuário
tenta acessar um site legítimo, o seu navegador Web é redirecionado
automaticamente para uma página falsa.

Isto ocorre geralmente em razão do comprometimento do servidor de DNS


do provedor utilizado pelo usuário ou pela ação de códigos maliciosos projetados
para alterar o comportamento do serviço de DNS do computador
(envenenamento de DNS). Registra-se, ainda, que a ação pode ser resultado da
ação direta de um invasor com permissão de acesso às configurações do serviço
de DNS de um determinado modem.

Os chamados smishings (phishings por SMS) são muito comuns neste


contexto. Criminosos contratam empresas especializadas no envio de
mensagens SMS em massa e, assim, encaminham o endereço eletrônico de seu
falso site para inúmeros usuários.

Outra tecnologia preparatória também contratada pelos engenheiros


sociais é o “rankeamento” do site falso em motores de busca. Para isso, pagam
valores elevados e garantem que o site aparecerá nas primeiras opções quando
as vítimas pesquisam assunto relacionado por meio de palavras-chaves. Isto é
muito utilizado por empresas de e-commerce que aparecem sempre no topo do
ranking e ainda ostentam promoções.

Existem outras modalidades de phishing. Nesta seara, vale mencionar um


novo tipo de tática chamada de “Chat-in-the-middle”. Envolve a adição de uma
janela de suporte de bate-papo ao vivo falsa, na qual o usuário é estimulado a
inserir seus nomes de usuário e senhas. O fraudador garante no seu site falso,
sessões de chats análogas ao mesmo serviço disponível na página que a vítima
acredita estar acessando.

No Brasil, ultimamente tem ocorrido muitos casos do que se chama de


vishing (phishing de voz ou VoIP). Trata-se de um esquema de fraude eletrônica,
cujo objetivo é extrair dados bancários ou informações pessoais da vítima por
meio do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica de
engenharia chamada spoofing (falso remetente). As vítimas são então atraídas
a divulgar suas informações confidenciais, como números de cartão de crédito,
números de PIN, números de contas, senhas etc. Esses ataques geralmente
envolvem um esquema chamado de “falsificação de identificador de chamadas”
ou “spoofing de chamadas”, viabilizadas por aplicativos capazes de fazer com
que as chamadas pareçam vir de uma fonte confiável, como um banco ou um
órgão público. Na realidade provém de terminais virtuais e falsos.

ANTECIPAÇÃO DE RECURSOS (ADVANCE FEE FRAUD)

Este tipo de engenharia social resulta em fraude doutrinariamente


conceituada como “antecipação de recursos” (advance fee fraud). Trata-se de
tema encontrado em qualquer doutrina especializada em cibercriminalidade do
mundo, especialmente porque geralmente criminosos de um continente atacam
em outro, visando a obtenção de recursos financeiros. Existem organizações
criminosas oriundas do continente africano que há anos utilizam esta forma de
“golpe virtual”.

Segundo o CERT.Br, o Golpe da Nigéria é um dos tipos de fraude de


antecipação de recursos mais conhecidos 5. Esta engenharia é estruturada da
seguinte forma:

● Recebe-se uma mensagem eletrônica em nome de uma pessoa ou


instituição dizendo-se ser da Nigéria, e solicitando apoio do usuário como
intermediário em uma transferência internacional de fundos. A justificativa

5
Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso
em 24/04/2020.
pela escolha da vítima para o caso, vem expressa na mensagem como
feita em razão da reputação desta ou indicação de amigos;
● Como se tratam de operações envolvendo altos valores, seduz-se o
usuário com a promessa de futuramente ser recompensado com uma
porcentagem sobre o valor, por ter agido como intermediário e mantido o
sigilo, o que seria fundamental ao sucesso da operação;
● Após responder à mensagem e aceitar a proposta, os golpistas solicitam
o pagamento antecipado do valor principal somado a custos, como
advogados e taxas de transferência de fundos;
● Realizado o pagamento, surge cobranças para a efetivação de outros ou
simplesmente é perdido o contato com os golpistas. No fim das contas,
além de perder todo o dinheiro investido e não recebimento de
recompensa, os dados pessoais da vítima ainda ficam na posse dos
criminosos.

O CERT.br conscientiza os usuários de que, apesar deste golpe ter


ficado conhecido como oriundo da Nigéria, já foram registrados diversos casos
semelhantes originados ou relacionados a outros países, geralmente de regiões
envolvidas em guerras, conflitos políticos, econômicos ou raciais6.

Vítimas do sexo feminino são significativamente lesadas no Brasil em


razão da atuação dos chamados “Romance Scammers”. Nestas situações,
também conhecidas como oriunda de países africanos, especialmente a Nigéria,
são criadas contas em redes sociais, com perfis que ostentam fotos de militares
e executivos americanos ou europeus. Após um período de “namoro virtual”,
ocorrem manobras sedutoras que levam mulheres a transferir altas quantias
financeiras. Ressalta-se, entretanto, que também ocorre muitas situações
fraudulentas de antecipação de recursos.

As vítimas são informadas que foram presenteadas com joias de alto


valor e precisa pagar pelas taxas alfandegárias para as receber. Também é
comum pedidos de empréstimos financeiros para arcar com as despesas
geradas pela mudança do falso namorado para o Brasil. Às vítimas fica a

6
Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso
em 24/04/2020.
promessa de que serão restituídas no momento da chegada ao país. O resultado
da “aventura virtual” é a soma de prejuízo financeiro e desilusão amorosa.

Embora a fraude de antecipação de recursos possua diversas variações,


assemelham-se pela forma como são aplicadas e pelos danos causados. Assim,
é possível se descrever um padrão de comportamento detectável como peculiar
a esta modalidade.

Em regra, o engenheiro social procura induzir uma pessoa a fornecer


suas informações de acesso a aplicações bancárias ou a realizar um pagamento
adiantado, com a promessa de futuramente receber algum tipo de benefício. Isso
geralmente envolve o recebimento de mensagens por e-mail ou aplicativos.

Deste modo, a pessoa é envolvida em alguma situação ou história


repercutida, logo se vendo impelida a enviar informações pessoais ou a
realização de algum pagamento adiantado, acreditando que receberá o
prometido pelo golpista. Após fornecer os recursos solicitados a pessoa percebe
que o tal benefício prometido não existe, constata que foi vítima de um golpe e
que seus dados/dinheiro estão em posse de golpistas.

FRAUDES EM PLATAFORMA DE E-COMMERCE

Neste tipo de engenharia social as vítimas são tentadas à


realização de um bom negócio voltado à aquisição de bens, produtos e serviços,
tickets ou ingressos para eventos de entretenimento e capacitações.

Após aliciadas por anúncios patrocinados, “ranqueados” ou


compartilhados em redes sociais, pessoas são seduzidas por ofertas
explicitadas nas plataformas, geralmente com preços muito abaixo o padrão de
mercado.

Acreditando estar realizando um excelente negócio, transferem o


pagamento para o "vendedor" que promete a entrega do item. Em alguns casos,
os anunciantes exigem pagamento adicional por impostos ou taxas de entrega
após o primeiro pagamento. Por fim, a vítima nunca recebe o item.
Ultimamente, tem chamado a atenção dos órgãos de segurança
pública, os sites de leilões virtuais. Neste tipo de negócio, são apresentados
lances no ambiente “interativo” dos sites especializados pelos usuários, até o
momento que alguém oferece uma quantia superior final. Esse procedimento é
muito comum em ambientes de leilão de veículos, onde os adquirentes são
impelidos a transferir o valor do bem, imediatamente após esse lance final, como
forma de garantia.

O grande problema deste tipo de aquisição via plataforma on line é


de que o bem leiloado é representado no site apenas por fotos e dados
descritivos. Não há garantia de sua existência real ou de que se trata de fato da
coisa em negociação. Os prejuízos noticiados em boletins de ocorrência são de
altíssimo valor e raramente as vítimas conseguem reavê-los, pois as quantias
rapidamente são sacadas e fragmentadas em depósitos realizados em contas
de terceiros.

Aula 2 - ESTUDO DE CASOS

Diante de situações de grande impacto social como em tempos de


pandemia, engenheiros sociais rapidamente buscam adaptar seus esquemas de
fraude para novos ganhos financeiros. O que muda significativamente é o
cenário, mas favorável às suas ações, pois a ansiedade e o medo das vítimas,
durante a crise as torna muito mais vulneráveis.

No caso da COVID-19, a recomendação de distanciamento social das


pessoas pela Organização Mundial de Saúde, como forma de redução de
contaminação, amplia significativamente o uso de aplicativos de compras e
contratação de serviços, assim como o fluxo informacional em ferramentas de
troca de mensagens e redes sociais.

Diante dessa realidade, inobstante as fraudes de natureza comercial,


tem-se novas versões de esquemas de golpes pela rede, os quais abrangem
desde o fornecimento de produtos destinados à prevenção da doença até
esquemas mentirosos de descontaminação e cura. Espera-se, ainda, que um
grande número de novas fraudes sobrevenha nas próximas semanas,
especialmente quando os engenheiros sociais tentarem se capitalizar ainda
mais, diante do estado de fragilidade das pessoas em todo o mundo.

Assim, elencamos nos próximos parágrafos, alguns casos reais


ocorridos nas últimas semanas, onde se observa a utilização da engenharia
social para efetivação de fraudes contra a população brasileira:

Caso envolvendo a produção Álcool em gel (caso Ambev)

Circulou, durante alguns dias do mês de março de 2020, pelas redes


sociais uma mensagem com o título "Ambev - retire seu álcool gel", o qual
orientava as pessoas a clicar em um link, digitar seu CEP e pesquisar qual o
ponto de distribuição mais próximo de seu endereço.

O meio de propagação mais utilizado para circular a mensagem foi o


aplicativo de mensageria WhatsApp. Para ganhar os frascos, a pessoa teria que
acessar um dos três sites cujos links eram direcionados por meio do citado
aplicativo de mensageria. Nos casos constatados, os domínios (endereços
eletrônicos) a ser clicados eram referentes às páginas: “reiaconamento.com”,
“cadastroonline.com” e “oficiai.com”.
A empresa Ambev logo se pronunciou por meio de seu canal oficial no
Twitter, informando sobre a falsidade do comunicado 7:

"Algumas mensagens estão


circulando pelas redes sociais levando
ao cadastro para retirada de álcool em
gel em postos de recolhimento.
Gostaríamos de alertar que nosso
álcool em gel produzido será destinado
para uso em hospitais públicos. Não
clique em links suspeitos”.

Contudo, para que detecte a origem não legítima da notícia e indícios de


possível aplicação de engenharia social, submete-se os endereços eletrônicos a
uma verificação da reputação dos sites citados no serviço “Virus Total”
(www.virustotal.com).

Recomenda-se nunca clicar no link, nem mesmo para fins de cópia para
posterior colagem. O mais correto é gerar um print ou fotografar a tela do
dispositivo informático, de modo que registre o endereço completo, uma vez que
será necessário o digitar no campo “URL” do site “Virus Total”. Ressalta-se, que
há procedimentos forenses de captura de conteúdo de site, os quais não
constituem objeto deste curso, dada a complexidade da matéria.

O resultado da verificação no site é que “oficiai.com” foi classificado


como “site de phishing pelo serviço Kaspersky” e como “malicioso” pelo Sophos
AV, assim como o “cadastrooline.com”. O “reiacionamento.com” foi classificado
como “site de phishing” pelos serviços Fortinet e Kaspersky.

Somados os resultados com a informação prestada pelo canal oficial da


empresa na rede Twitter, verifica-se que se trata de investida por engenharia
social visando subtrair dados de usuários para futuras fraudes eletrônicas ou
mesmo furto mediante fraude, quando possuem todos os dados suficientes à
realização de operações financeiras.

7
Disponível em <www.twitter.com/@Ambev> Acesso em 25-4-2020
CASO DO FALSO APLICATIVO COM INFORMAÇÕES SOBRE A COVID-19

Em 16 de março de 2019, a empresa Microsoft lançou uma importante


ferramenta de consulta de dados em tempo real sobre a COVID-19. A aplicação
chamada de “Bing COVID Tracker” (www.bing.com/covid) foi estruturada em um
painel interativo que reúne dados sobre a doença vindos de diversas
organizações globalizadas de confiança, como a Organização Mundial da Saúde
(OMS) e o Centro de Controle de Doenças (CDC) dos Estados Unidos. Além
disso, o serviço é integrado ao mecanismo de busca Bing, que é um produto da
Microsoft. Deste modo, além dos dados sobre doentes, recuperados e mortos,
também traz notícias atualizadas a respeito do impacto do vírus para cada país.

Na mesma semana, engenheiros sociais enxergaram nesta ideia, uma


oportunidade de atrair milhões de pessoas para um ambiente virtual por eles
desenvolvido, porém com finalidade de locupletamento ilícito. Criaram, para
tanto, um aplicativo para sistema operacional Android, com informações e
estatísticas em tempo real sobre a disseminação do Coronavírus.

O nome "Covid-19 Tracker", foi cuidadosamente escolhido com a


finalidade de se parecer com a ferramenta disponibilizada pela Microsoft. Sua
divulgação também ocorreu por meio de redes sociais e muitas pessoas fizeram
o download do aplicativo no Brasil, inclusive pela “Play Store”, a loja oficial do
Google.
Em pouco tempo, foi detectado que o aplicativo é, na verdade, um tipo
ransomware (virus que bloqueia o uso do smartphone e exige como resgate o
pagamento de US$ 100 (cerca de R$ 500) em Bitcoin (moeda virtual) para liberar
a utilização do aparelho.

Contextualmente, pesquisadores da equipe de segurança do serviço do


site www.domaintools.com, logo após a confirmação dos primeiros casos da
doença, observaram um considerável aumento nos nomes de domínio contendo
as palavras “Coronavirus” ou “COVID-19”. A maioria desses registros foram
identificados como prováveis domínios mal intencionados, considerando suas
características, como, por exemplo, o uso de serviços de anonimato para
registro.

Alguns dias depois, a mesma equipe descobriu que o domínio


coronavirusapp [.], referente ao aplicativo COVID-19 Tracker era malicioso. Na
realidade, o aplicativo está envenenado com um ransomware desenvolvido para
Android, logo apelidado de "CovidLock" devido aos recursos do malware e à sua
história de fundo. O algoritmo inserido no aplicativo malicioso usa técnicas para
negar o acesso da vítima ao telefone, forçando uma alteração na senha usada
para desbloquear o telefone. Essa técnica é conhecida como ataque de bloqueio
de tela, típica do ransomware para Android.
No presente caso, a engenharia social ocorre em dois momentos. O
primeiro é facilmente detectável, tratando-se do aliciamento das vítimas a baixar
o aplicativo, vendendo a ideia que se trata de útil ferramenta de rastreio da
pandemia.

A segunda ação persuasiva se apoia na tecnologia e não é perceptível


a leigos. Quando o usuário começa a instalação o aplicativo, este é induzido a
permitir que o CovidLock controle quase totalmente o dispositivo. O método
consiste em atrair a vítima a dar tal permissão através do próprio aplicativo,
perguntando se ela deseja habilitar o aplicativo em “Acessibilidade” para
monitorar as estatísticas do COVID-19, bem como mapear pacientes infectados
próximos à sua localização atual. Essa técnica é considerada uma das mais
inteligentes em matéria de engenharia social.
CASO DO FALSO PLANO DE INTERNET GRATUITA EM RAZÃO DA
PANDEMIA

No dia 24 de março de 2020, a Agência Nacional de Telecomunicações


(Anatel) alertou todos os brasileiros sobre um golpe, envolvendo seu nome. A
notícia, que circulou em várias redes sociais, anunciou a liberação de um “plano
de internet grátis de 7GB de dados móveis” no smartphone por conta da
pandemia do coronavírus. A divulgação trazia uma lista de operadoras que
supostamente aderiram e disponibilizaram o falso pacote a seus clientes.

A engenharia social consistia na proliferação da falsa propaganda


seguida de um link de acesso supostamente da “ANATEL”.

O restante da engenharia segue uma sistemática análoga àquela aplicada


no exemplo anterior (Caso COVID-19 Tracker). Após o simples clique no link
compartilhado, é solicitado um breve cadastro e, de imediato, já são coletados
os dados pessoais do usuário. Em um segundo momento, o script da aplicação
induz o usuário a autorizar o acesso às informações do celular, assim como
permissões especiais. A partir de então, os criminosos passam a ter o domínio
sobre os dados da vítima, condicionando a devolução dos mesmos ao
pagamento de uma quantia em moedas virtuais.
CASO DA “CLONAGEM” DE CONTAS DO APLICATIVO WHATSAPP E
PEDIDOS ILEGÍTIMOS DE DINHEIRO E DADOS

Este tipo de engenharia social não surgiu durante a pandemia do


COVID-19, já sendo constatada largamente pelo país, especialmente a partir do
ano de 2019. Entretanto, indubitavelmente houve um aumento exponencial
dessa prática com a chegada do “Coronavírus” no mundo e as restrições de
convívio social.

A solidão relacional, típica destes tempos, acelerou o movimento


migratório das condutas de interlocução das pessoas para o meio virtual. Essas
transformações já eram observadas desde a última década como consequência
da chamada Disrupção Digital 8 , mas nunca esse comportamento foi tão
acentuado. Logicamente, os riscos de contágio determinavam que as pessoas a
permanecerem em suas casas e evitarem conversas presenciais. Por outro lado,
a ampliação do uso do canal cibernético também representou oportunidade para
ação dos engenheiros sociais.

No caso explicado neste item, não ocorre de fato uma “clonagem”, ou


seja, a replicação da conta do aplicativo Whatsapp para uso de terceiro. A
tecnologia por trás da aplicação não permite o uso simultâneo da conta por mais
de um usuário, salvo nos casos abertura de sessão web (Whatsapp Web).
Alguns aplicativos prometem o “hacking” de uma conta alvo, mas, na realidade,
ocorre uma espécie de espelhamento da conta em razão da mesma técnica do
Whatsapp Web, via navegador, com aceso pelo QR Code.

A técnica utilizada no golpe popularmente chamado de “clonagem de


whatsapp” ocorre por meio do uso exclusivo de engenharia social, apoiado pela
tecnologia.

Este método explora informações publicadas em sites de vendas, como


OLX, Web Motors e Zap Imóveis. Os engenheiros entram em contato com a
vítima se passando por representantes dessas plataformas e informam que o

8
A Disrupção Digital é a mudança que ocorre quando novas tecnologias digitais e modelos de negócios
afetam a proposição de valor dos bens e serviços existentes. O rápido aumento no uso de dispositivos
móveis, para uso pessoal e trabalho, impactou hábitos de vida e maneiras de solucionar problemas.
perfil recebeu reclamações referentes a um anúncio. Em seguida, solicitam que
a pessoa confirme seu número fornecendo o código enviado por SMS.

Ocorre que no mesmo instante, os criminosos tentam fazer login com o número
do WhatsApp da vítima em outro celular. O usuário, então, recebe uma
mensagem de texto com o código de validação e o repassa para os criminosos,
que passam a ter total acesso às suas conversas e grupos.

Esse é apenas o primeiro tempo da engenharia social. De posse do


aludido código, o criminoso consegue trazer a conta da vítima para seu
dispositivo. A partir daí, começa a segunda parte do ardil e o golpe propriamente
dito. O golpista procura as conversas da conta com amigos e, aproveitando-se
da situação de dialogar como se a vítima fosse, passa a solicitar valores
financeiros. Os argumentos que usam são os mais variados, incluindo pequenos
empréstimos para superar dificuldades pontuais.

Contudo, nesses tempos de pandemia, utilizam-se das limitações do


confinamento para criar histórias fantasiosas e convencer parentes e conhecidos
a ajudar com dificuldades médicas e assistenciais. Acreditando estar
conversando com o contato verdadeiro, as pessoas enganadas acabam
transferindo dinheiro, informando dados e senhas bancárias, dentre outros
dados enviados nas mensagens.
Aula 3 - OUTROS GOLPES ATUALMENTE APLICADOS COM O USO DE
ENGENHARIA SOCIAL PELA REDE:

a) Auxílio Emergencial em razão da pandemia: muitas pessoas que


buscavam receber o auxílio emergencial de R$ 600,00, pago pelo Governo
Federal, foram alvos de golpe. A técnica dos criminosos consiste em difundir
links falsos pela internet, os quais dizem respeito sites ilegítimos que coletam
dados cadastrais de indivíduos interessados no benefício.

b) Vacinas contra a COVID-19: vários engenheiros sociais difundem,


sobretudo, por meio de aplicativos de mensageria como Whatsapp, links
maliciosos que atraem vítimas a páginas que prometem vacinação eficaz
contra o Coronavirus. Para convencimento de pessoas, fazem uso não
autorizado de nome de hospitais e laboratórios famosos (Hospital Albert
Einstein, Laboratório Pasteur, etc). Infelizmente, além das vítimas fornecerem
seus dados pessoais, mediante cadastro de falsos formulários, ainda
realizam antecipação de pagamentos, por meio de transferências bancárias
ou cartão de crédito. Este golpe constitui uma versão nacional de uma
empreitada criminosa que se tornou mundialmente conhecida durante o mês
de março de 2020. Ocorreu nos EUA, onde o Departamento de Justiça retirou
da Internet o site “coronavirusmedicalkit.com”. A página trazia o seguinte
convite aliciador: “Devido à recente epidemia de coronavírus (COVID-19), a
Organização Mundial da Saúde está distribuindo kits de vacinas. Pague
apenas US$ 4,95 pelo envio 9"

c) Fraudes com motoboys iniciadas pela rede: em virtude do confinamento,


muitos serviços se tornaram limitados, como agências bancárias e órgãos
públicos, por exemplo. Aproveitando-se destas situações, golpistas enviam
mensagens por meio de aplicativos acessíveis via smartphone, como se
fossem funcionários de bancos ou servidores públicos. A engenharia social
se efetiva através de conversas, onde o interlocutor argumenta sobre
atualização de cadastros ou relata uma clonagem do cartão de crédito. Desse
modo, consegue obter informações pessoais identificáveis, além das senhas
da vítima. Ao final, esta recebe um motoboy em sua residência que efetua a
troca de seu cartão magnético por um falso. Em outras situações, passando-
se por funcionário público, o criminoso convence a vítima a entregar cédulas
de seus documentos pessoais (originais) ao motoboy integrante do esquema

d) Fraudes com boletos comerciais e públicos (impostos): Em razão das


limitações impostas pelos governos locais, as quais abrangem a proibição de
abertura de estabelecimentos comerciais e agências de atendimento das
secretarias de fazenda dos estados, golpistas enviam boletos contrafeitos
com a substituição do código de barras da guia de pagamento. Por meio de
programas maliciosos instalados nas máquinas das vítimas ou explorando
dados destas vazados na rede, os engenheiros sociais adquirem informações
sobre seus compromissos de pagamento e lhes envia falsos boletos. A
aparência é semelhante aos originais, mas há troca do código de barras e

9
Disponível em <https://www.justice.gov/opa/press-release/file/1260131/download> Acesso em 26-4-
2020.
este diz respeito a um outro boleto de cobrança gerado em bancos virtuais,
cujo beneficiário é o criminoso ou um “laranja”. Em outros casos, a dívida de
outrem envolvido no golpe, é paga com a troca do código de barras(bolware).
Essa modalidade geralmente é muito utilizada com os carnês falsos de
impostos (IPVA e IPTU), que são objeto das falsas comunicações por e-mail.
Os engenheiros sociais estudam o calendário anual de obrigações e sabem
o período de recebimento desses boletos, especialmente no início do ano e,
fingindo ser da Receita Federal, cobram algum tributo inexistente
(especialmente nesta época de entrega de Declaração do Imposto de
Renda).

e) Fraudes envolvendo pacientes internados em hospitais: este tipo de golpe


tem se propagado no país. Pessoas estranhas às instituições hospitalares,
cujos nomes são usados indevidamente, fazem contato “telefônico” com os
familiares de pacientes e tentam aplicar técnica de engenharia social para
extorquir valores das famílias em um momento de fragilidade emocional. O
destaque feito a expressão “telefônico”, refere-se ao uso do ardil cibernético
“vishing” (phishing de voz ou VoIP), explicado em parágrafos anteriores.
Trata-se do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica
de engenharia chamada spoofing (falso remetente). Dessa maneira, os
criminosos conseguem realizar chamadas e fazer constar no visor dos
smartphones do telefone das vítimas, o mesmo número de telefone oficial
dos hospitais, nos quais utilizam indevidamente o nome.
MODULO 4. ATUAÇÃO DO PROFISSIONAL DE SEGURANÇA
PÚBLICA

APRESENTAÇÃO

O objetivo deste curso não é adentrar nos procedimentos investigativos.


Sabemos da importância da atribuição de autoria na prática de fraudes como um
dos pilares fundamentais na luta contra a criminalidade cibernética, todavia não
faremos essa abordagem aqui.
Não obstante, alguns procedimentos podem ser realizados pelos
profissionais de segurança pública para mitigar os efeitos das fraudes durante a
pandemia como, por exemplo, a importância da prevenção, a remoção de
aplicativos maliciosos sem ordem judicial, a exclusão de perfis falsos no
WhatsApp e a desindexação de conteúdo.
Antes de tudo, é preciso que façamos alguns esclarecimentos sobre como
se deve proceder na mitigação dos efeitos das fraudes.
A leitura da política de privacidade ou dos termos de uso de um serviço,
por exemplo, é de caráter essencial nesse contexto. Grande parte dos
profissionais da segurança pública e de usuários direito não sabem como
funciona uma aplicação de internet, quais dados coletam e como remover
conteúdo ilegal ou abusivo. Assim, quando verificar a utilização de golpes
procure, de imediato, saber sobre o funcionamento da plataforma e o que você
pode fazer perante a irregularidade detectada.
Outro ponto a ser destacado é sobre a exclusão de conteúdo na internet.
De acordo com a legislação brasileira vigente, a regra é a necessidade de
autorização judicial para judicial, nos precisos termos do Marco Civil da Internet:
Art. 19: Com o intuito de assegurar a
liberdade de expressão e impedir a
censura, o provedor de aplicações de
internet somente poderá ser
responsabilizado civilmente por danos
decorrentes de conteúdo gerado por
terceiros se, após ordem judicial
específica, não tomar as providências para,
no âmbito e nos limites técnicos do seu
serviço e dentro do prazo assinalado,
tornar indisponível o conteúdo apontado
como infringente, ressalvadas as
disposições legais em contrário.

Excepcionalmente, a exclusão de conteúdo pode ser realizada sem


determinação judicial nos seguintes casos:
● Violação dos termos de uso ou política de privacidade do serviço;
● Exposição de conteúdo íntimo sem autorização (art.21 do Marco
Civil da Internet)10;
● Conteúdo violador de direitos autorais.
Um outro ponto que merece destaque é a desindexação de conteúdo
abusivo dos mecanismos de busca (Google e Bing). Podemos citar o exemplo
de uma busca sobre o termo “auxílio emergencial” e os resultados apontem para
um site fraudulento como uma das primeiras opções de resposta. Em razão de
estar violando o serviço, a desindexação deve ocorrer independentemente de
ordem judicial.
Dessa maneira, o profissional de segurança pública possui diversos
caminhos para atuar junto às aplicações de internet quando identificar serviços
fraudulentos.
Detalharemos, pois, alguns procedimentos a serem realizados quando
você se deparar diante de algumas fraudes anteriormente relatadas.

Objetivos do Módulo

Ao final do estudo deste módulo, você será capaz de:


• Identificar perfis suspeitos e denunciar tentativas de golpes às
autoridades competentes.
• Detectar situações de vulnerabilidade em seus sistemas e aplicativos.
• Utilizar fontes abertas como recursos para pesquisa e combate à
tentativas de golpes.

10
Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros
será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação,
sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo
cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação
pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito
e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.
• Demonstrar os procedimentos para denunciar usuários e programas
maliciosos.
• Adotar comportamentos mais seguros para uso da internet
principalmente durante a pandemia.

Estrutura do Módulo

Este módulo e formado por 01 aula:

Aula 01 – Da prevenção às fraudes praticadas na Internet, especialmente em


tempos de Pandemia.

Aula 1 - DA PREVENÇÃO ÀS FRAUDES PRATICADAS NA INTERNET,


ESPECIALMENTE, EM TEMPOS DE PANDEMIA.
O usuário possui um papel de extrema relevância no enfrentamento às
fraudes praticadas da internet, especialmente em tempos de pandemia.
É certo que as aplicações de internet vêm aperfeiçoando suas
plataformas para detectar contas criadas para a prática de crimes e,
consequentemente, fazendo sua exclusão, não obstante, o usuário é o ponto
central.
Algumas medidas são de extrema importância para mitigar os efeitos das
fraudes, dentre as quais destacamos:
● Configure as redes sociais e aplicativos de mensageria para não
expor informações pessoais identificáveis;
● Nunca forneça senha, token ou qualquer dado de sua conta por
telefone. Bancos não fazem esse tipo de solicitação;
● Procure manter contato com seu banco apenas por canais
oficiais. Tenha cuidado com números falsos;
● Não clique em links enviados por SMS ou aplicativos de
mensageria;
● Desconfie sempre de mensagens de atualização cadastral por
SMS, e-mail e aplicativos;
● Nunca deposite valores solicitados apenas por mensagem de
WhatsApp. Mantenha contato pessoal ou telefônico antes de
repassar qualquer quantia;
● Instale apenas as extensões necessárias e mantenha-as
atualizadas (atenção nas reviews);
● Não instale extensões através de links de redes sociais, apps de
mensageria ou outro meio. Utilize lojas de confiança.
● Antes de acrescentar qualquer função ao seu navegador, verifique
as informações do desenvolvedor em fontes abertas;
● Confira as permissões do complemento;
● Elimine extensões desnecessárias;
● Habilite a verificação em duas etapas tanto no WhatsApp, quanto
em contas de email e redes sociais.

UTILIZAÇÃO DE FONTES ABERTAS


BARRETO, CASELLI e WENDT ressaltam a importância da coleta em
fonte aberta tanto para a atividade de inteligência quanto para a investigação
policial ao definir como 11:

Qualquer dado ou conhecimento que


interesse ao profissional de inteligência ou
de investigação para a produção de
conhecimentos e ou provas admitidas em
direito, tanto em processos cíveis quanto
em processos penais e, ainda, em
processos trabalhistas e administrativos
(relativos a servidores públicos federais,
estaduais e municipais).

Nesse diapasão, o profissional de segurança pública não deve desprezar


essas informações disponíveis na busca de dados sobre fraudes. Destacamos
como uma ferramenta interessante o Catálogo de Fraudes da Rede Nacional de
Ensino e Pesquisa, disponível em https://www.rnp.br/sistema-rnp/cais/catalogo-
de-fraudes.
Lançada no ano 2008, a plataforma disponibiliza um repositório dos
principais golpes que estão circulando pela internet. Além disso, disponibiliza o
email phishing@cais.Rnp.br para o recebimento de mensagens suspeitas ou
fraudulentas.
Essa ferramenta é útil no acompanhamento de golpes online. Não
obstante, é muito importante que esse dado coletado seja confrontado com
outras fontes de informação. Trabalhar com fontes abertas significa fazer a dupla
verificação da fontes.
Ressalte-se, por oportuno que a temática e o emprego de fontes abertas
é bastante amplo. Para tanto, deixamos apenas algumas ferramentas que
podem ser utilizadas quando estiver diante de uma fraude:
● Google Pesquisa: permite a busca por palavras-chave de um
determinado assunto. Você poderá pesquisar álcool gel +

11
BARRETO, Alessandro Gonçalves; CASELLI, Guilherme; WENDT, Emerson. Investigação
Digital em Fontes Abertas. Rio de Janeiro: Brasport, 2017.
pandemia + fraude para encontrar as fraudes e notícias
relacionadas;
● Google Imagens: procura por imagens semelhantes. É permitido
ainda colocar a url da imagem ou arrastá-la para a barra de
pesquisa para identificar fotos semelhantes;
● Google Alerts: permite a criação de alertas sobre fraudes para
posteriormente recebimento por email;
● Agências de Verificação de Fatos: esses repositórios funcionam
como excelentes fontes de consulta, especialmente para o
jornalismo nos assuntos da política nacional e internacional. Por
vezes, você poderá encontrar fraudes relacionadas com boatos;
● Ferramentas Whois: informações sobre registro e hospedagem do
site.

REMOÇÃO DE APLICATIVOS FALSOS

A remoção do aplicativo falso nas lojas oficiais pode ser realizada de


forma direta através de ofício extrajudicial ou de denúncia direta na aplicação de
internet.
Eis algumas recomendações que identificamos como interessantes para
evitar os golpes praticados através de aplicativos falsos:
● Faça download apenas nas lojas oficiais de aplicativos, todavia,
não é garantia de segurança, eis que já foram identificados nelas
vários apps maliciosos;
● Nunca baixe apks enviados por terceiros e nem repasse-os através
de links para terceiros;
● Procure verificar as informações do desenvolvedor em outras
fontes livremente disponíveis;
● Fique atento aos comentários, erros de português e layout da
aplicação.
É interessante ainda solicitar a desindexação do aplicativo na Google e
Bing. Quando o mecanismo de busca apontar o aplicativo malicioso nos
resultados faça esse procedimento a fim de dificultar que ele esteja disponível e
acessível para outros usuários.
Por fim, as denúncias se mostram um meio eficaz e oportuno na remoção
de aplicativos falsos. As lojas oficiais disponibilizam canais oficiais para a
realização desses procedimentos.
A Central de Políticas do desenvolvedor da Google Play nomina como
comportamento malicioso os aplicativos que roubam dados, monitoram ou
prejudicam os usuários de forma secreta, bem como aqueles que apresentam
comportamento abusivo. Caracteriza como comportamento abusivo os
aplicativos que 12:
● Possuem vírus, cavalos de tróia, malware, spyware ou qualquer outro
software malicioso;
● Facilitam a distribuição ou instalação de software malicioso ou que
contêm links para esse tipo de software;
● Fazem o download de código executável (como arquivos dex ou
código nativo) de uma fonte que não é o Google Play;
● Introduzem ou exploram vulnerabilidades na segurança;
● Roubam informações de autenticação de um usuário (como nomes de
usuário ou senhas) ou imitam outros apps ou sites para enganar
os usuários e fazê-los divulgar informações pessoais ou de
autenticação 13;
● Exibem números de telefone, contatos, endereços ou informações de
identificação pessoal não verificadas ou reais de pessoas ou
entidades sem o consentimento delas;
● Instalam outros apps em um dispositivo sem o consentimento prévio
do usuário;
● Apps com downloads facilitados por rede de fornecimento de
conteúdo (CDN) quando não há uma solicitação ao usuário antes de
começar nem é informado o tamanho do download e;

12
Google. Central de Políticas do Desenvolvedor. Comportamento Abusivo.
13
Grifo nosso. Logo após o anúncio do auxílio governamental (coronavoucher) para minimizar
as perdas decorrentes da pandemia, diversos aplicativos surgiram com esse objetivo.
● Projetados para coletar secretamente o uso do dispositivo, como apps
de spyware comercial.

Identificada uma irregularidade,a empresa poderá rejeitar o aplicativo


submetido pelo desenvolvedor ou, mesmo que verificada posteriormente, a
remoção ocorrerá sem haver a necessidade de provocação.
Uma alternativa posta ao usuário é a denúncia do aplicativo impróprio na
Google Play. Essa ação poderá ser realizada através de formulário disponível
online 14.
É muito importante que você tente identificar em redes sociais e no
Youtube, perfis ou páginas que estão divulgando o aplicativo malicioso e faça a
denúncia nos canais por elas ofertados.
A Apple Store disponibiliza um canal para denúncias de violação de
direitos autorais 15.

IDENTIFICANDO E DENUNCIANDO O PERFIL FALSO NO WHATSAPP

Muito embora os perfis falsos no WhatsApp sejam utilizados desde algum


tempo para prática de fraudes, essa prática foi identificada em diversas situações
durante a pandemia.
Para denunciar um perfil falso, você deverá proceder da seguinte forma:
● Envie um email para support@whatsapp.com;
● No assunto coloque: Solicitação de Remoção de Perfil Fake;
● No corpo do texto coloque informe sua qualificação (email e
telefone para contato); número de telefone que criou um perfil falso
utilizando sua imagem (coloque o +55 na frente do número,
descreva o problema);
● Caso possua prints de mensagens, anexe-os;

14
Google. Denuncie apps impróprias. Disponível em
https://support.google.com/googleplay/android-developer/contact/takedown. Você poderá
denunciar ainda conteúdos de natureza sexual, cenas de violência, conteúdo de incitação ao
ódio ou abusivo, perigoso para o dispositivo ou dados, spam, jogos de azar, pagamentos de
terceiros, anúncios, atividades ilegais e outra objeção.
15
Apple. App Store Content Dispute. Disponível em https://www.apple.com/legal/internet-
services/itunes/appstorenotices/#?lang=en.
● Adicione uma foto segurando um documento para comprovação de
identidade;
● O e-mail pode ser enviado em Português.

Há ainda a opção de fazer a denúncia diretamente no aplicativo 16:

ANDROID
● Abra o WhatsApp;

● Toque em Mais opções ;


● Configurações;
● Ajuda e;
● Fale conosco.

IOS
● Abra o WhatsApp;

● Clique em Ajustes ;
● Ajuda e;
● Fale conosco.

PROCEDIMENTOS AO IDENTIFCAR A CONTA CLONADA NO WHATSAPP

Quando se tratar de “conta clonada” do WhatsApp, proceda assim:


● Avise aos seus familiares e contatos imediatamente, além de
advertir para não depositar nenhum valor solicitado;
● Utilize suas redes sociais para avisar que sua conta foi invadida;
● Registre ocorrência policial (durante a pandemia, esses registros
podem ser feitos nos sites das polícias civis);
● Envie um email para support@whatsapp.com. No assunto coloque:
URGENTE. CONTA CLONADA. No corpo do texto relate o
problema e solicite o bloqueio da conta.
Nos casos de simswap (recuperação indevida do SIMCARD) você deverá
dirigir-se a uma loja física para solicitar um chip novo. Em outros casos que

16
WhatsApp. Segurança e Privacidade. Recursos Avançados de Segurança.
envolva engenharia social (plataformas de comércio eletrônico: Mercado Livre,
OLX) não é necessário esse procedimento, apenas instalar o app novamente.
Nas situações em que o criminoso habilita a verificação em duas etapas,
você deverá digitar códigos errados e de maneira sucessiva até bloquear o
aplicativo. Posteriormente, será enviado para você um SMS para que possa
utilizar o WhatsApp novamente.
A fim de reduzir os riscos de invasão indevida do aplicativo,
recomendamos nunca repassar informações de SMS, evitar clicar em links
desconhecidos, habilitar a verificação em duas etapas e por fim, verificar as
sessões ativas.

CONTAS FALSAS NO INSTAGRAM

As contas falsas podem ser utilizadas pelos criminosos para emprego de


técnicas de engenharia social. Sua criação fere os termos de uso e política de
privacidade da rede social.
Identifica uma conta fake, acesse o link disponível em
https://www.facebook.com/help/instagram/446663175382270 e faça uma
denúncia. Não é necessário que você possua uma conta para realizar tal ato.
Para comunicar um perfil ou publicação por abuso e spam siga as
orientações dispostas no link
https://www.facebook.com/help/instagram/446663175382270.

PERFIL FALSO NO FACEBOOK

Da mesma forma que o Instagram, o Facebook assegura um mecanismo


para comunicar a existência de perfis falsos na sua plataforma.
Se você possui conta, acesse o perfil a ser denunciado, clique nos … na
foto da capa e marque denunciar. Se não tem conta, preencha o formulário
disponível em https://www.facebook.com/help/contact/295309487309948.
Para recuperar uma conta invadida, siga a orientação abaixo:
OPÇÕES PARA DENÚNCIA JUNTO AO GOOGLE

As opções de denúncia na Google são diversas, dentre as quais


destacamos:

SPAM
Quando você identificar um spam no resultado de busca, poderá fazer a
denúncia através de formulário 17 . Informe a URL da página específica e os
termos utilizados na consulta para chegar a esse resultado.

PHISHING
Se você encontrar sites utilizados para a prática de phishing, preencha o
formulário disponibilizado 18. As informações serão enviadas para uma equipe
responsável por analisar sua denúncia.

SOFTWARE MALICIOSO

17
Google. Denunciar spam na pesquisa aprimorada. Disponível em
https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt.
18
Google. Report Phishing Page. disponível em
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en.
As denúncias para de softwares maliciosos devem ser feitas dentro de
plataforma disponibilizada pela Google 19 . Para submeter o fato, você deve
informar a url encontrada com uma breve descrição do fato.

DESINDEXAÇÃO DE CONTEÚDO
A desindexação de conteúdo é um procedimento bastante efetivo contra
as fraudes praticadas online, sobretudo para evitar que o mecanismo de busca
indique resultados com conteúdo malicioso.
A Google assegura aos usuários de países integrantes da União Europeia
um formulário para pedido de remoção de informações pessoais com resultados
específicos que incluam o nome do requerente.
No Brasil, a Google possibilita, independentemente de ordem judicial, a
remoção de informações pessoais dos resultados de pesquisa, tais como: RG,
conta bancária, cartão de crédito, imagem de assinatura manuscrita, imagem ou
vídeo sexualmente explícito que tenha sido distribuído sem consentimento 20.

1. DENUNCIAR EMAIL PHISHING


Caso você receba um email phishing proceda a denúncia de forma direta:
● Acesse seu gmail;
● Abra a mensagem.
● Ao lado de Responder , clique em Mais .
● Clique em Denunciar phishing.

YOUTUBE
Por vezes, os criminosos criam canais no Youtube para divulgar conteúdo
relacionado a prática de fraudes. A plataforma possui um canal para reportar
essas irregularidades 21.

MERCADO LIVRE

19
Google. Report Malicious Software. Disponível em
https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en.
20
Google. Solicitação para remover suas informações pessoais no Google. Disponível em
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2
889064%2C9171202
21
Youtube. Como remover conteúdo no Youtube. Disponível em
https://www.youtube.com/reportingtool/legal?visit_id=637139830170362989-3601295991&rd=1.
Algumas fraudes praticadas nessa plataforma de comércio eletrônico são
realizadas através de e-mail falso. As denúncias podem ser realizadas
diretamente na plataforma 22.
Aqueles que praticarem atos fraudulentos estarão sujeitos às sanções de
advertência, suspensão temporária ou definitiva da conta, cancelamento de
anúncios ou outra penalidade que impacte negativamente para o denunciado.

OLX

A plataforma de comércio eletrônico compartilha informações com


autoridades públicas ou entidades privadas para combater a “fraude e o abuso
na rede da OLX, investigação de suspeitas de violação da lei ou combater
qualquer outra suspeita de descumprimento dos nossos Termos de Uso ou da
Lei 23”.
A OLX disponibiliza um canal para denunciar fraudes e outras
irregularidades detectadas pelo usuário 24. Caso identifique alguma infração à
propriedade intelectual, você poderá preencher um formulário e enviar para o
email protecao@olxbr.com 25.

CLOUD ABUSE

O chamado “abuso de nuvem” está entre as principais ameaças


apontadas por especialistas em cibersegurança, destacando-se o uso de
veículos de mídia social para abusar de ambientes em nuvem. Exemplo disso
são os acessos em plataformas como serviço (PaaS), por meio de trocas no

22
Mercado Livre. Denuncie um email falso. Disponível em
https://www.mercadolivre.com.br/ajuda/form?hub_id=120&source_id=1628&track_id=bmjkfdtlpu
qg01n0e2q0&problem_id=527.
23
OLX. Polítiva de Privacidade.
24
OLX. Denunciar Anúncio. Disponível em:
https://denuncia.olx.com.br/report?from=web&data=eyJsaXN0SWQiOjY0MjM3MTQ0OSwidGl0
bGUiOiIiLCJwcmljZSI6IjE1MCJ9
25
OLX. FORMULÁRIO DE NOTIFICAÇÃO – SERVIÇO DE PROTEÇÃO À PROPRIEDADE
INTELECTUAL. Disponível em https://www.olx.com.br/doc/formulario-notificacao-sppi.pdf.
Twitter usadas por uma equipe de desenvolvimento para comunicar atualizações
de administração em nuvem.

No Brasil, é muito comum o uso de plataforma como serviço (PaaS) ou


infraestrutura como serviço (IaaS) por criminosos, que hospedam serviços de
Phishing e KeyloggerDNS, aproveitando-se de testes gratuitos oferecidos pelas
empresas, normalmente por 30 (trinta) dias. Nesses casos, efetuam falsos
cadastros, utilizando cartões pré-pagos e conseguem adquirir o poder de
processamento e espaço em nuvem que precisam, para guardar seus scripts
maliciosos e os dados de pessoas que porventura haverão de conquistar
mediante engenharia social tecnologicamente estruturada.

Segue abaixo alguns caminhos para denunciar abuso de nuvem:

● Google:
https://support.google.com/code/contact/cloud_platform_report?hl
=en;
● Cloudflare: https://www.cloudflare.com/abuse/;
● Hostinger: https://www.hostinger.com.br/denunciar-abuso;
● Godaddy: https://supportcenter.godaddy.com/AbuseReport;
● Amazon: https://support.aws.amazon.com/#/contacts/report-
abuse.
Considerações finais

Caro cursista,

Chegamos ao final do Curso de Detecção de Fraudes Eletrônicas em


Períodos de Crise.
Durante a execução do curso Fraudes Eletrônicas em Tempos de
Pandemia procuramos trazer a dinâmica do incremento das fraudes praticadas
em meios eletrônicos.
Nessa grave crise mundial de saúde pública, o deslocamento de efetivo,
o distanciamento social e uma maior conectividade facilitou, sobremaneira, para
que o criminoso desse maior escalabilidade aos seus “negócios”.
Contextualizamos, assim, as condições ideias para a prática de crimes
durante a pandemia do oportunismo com o avanço da criminalidade organizada
nesse cenário.
Ademais, abordamos os aspectos da engenharia social como o ponto
mais vulnerável de qualquer sistema de segurança, mesmo aqueles que estão
fora do universo informacional e tecnológico. Enfatizamos, ainda, as fraudes
mais praticadas com emprego dessa técnica durante o período de
distanciamento social.
Por fim, ao chegar até aqui, o profissional de segurança pública adquiriu
os conhecimentos necessário para atuação nesse ambiente, com conhecimento
sobre prevenção de fraudes no meio cibernético, emprego de fontes abertas,
como atuar diante de aplicativos e perfis falsos no WhatsApp e procedimentos a
serem realizados junto às principais mídias sociais.
Esta foi nossa última etapa, apesar do pouco tempo, esperamos que as
horas de capacitação tenham proporcionado novas aprendizagens e que tenha
aguçado a vontade de conhecer melhor a temática que envolve à Detecção de
Fraudes Eletrônicas
Teremos novos cursos quem envolvem este assunto.
O encerramento do curso é um espaço para ouvir sua opinião.
REFERÊNCIAS BIBLIOGRÁFICAS

BARRETO, Alesandro Gonçalves. KUFA, Karina; SILVA, Marcelo Mesquita.


Cibercrimes e seus Reflexos no Direito Brasileiro. Salvador: Ed. Juspodvium,
2020.

BARRETO, Alesandro Gonçalves. WENDT, Emerson. CASELLI, Guilherme.


Investigação Digital em Fontes Abertas. BRASPORT Editora. Rio de Janeiro.
2017.

BARRETO, Alesandro Gonçalves; Marcos Tupinambá Martin Alves Pereira.


Fake news e os procedimentos para remoção de conteúdo. Disponível em:
<https://www.conjur.com.br/2018-mar-11/opiniao-fake-news-procedimentos-
remocao-conteudo>. Acesso em: 01 mai. 2020.

BARRETO, Alesandro Gonçalves. Fake news e desindexação de conteúdo


nas ferramentas de busca. Disponível em: <http://direitoeti.com.br/artigos/fake-
news-e-desindexacao-de-conteudo-nas-ferramentas-de-busca/>. Acesso em:
01 mai. 2020.

BARRETO, Alesandro Gonçalves. Fake news e remoção de perfis falsos em


redes sociais e aplicativos de mensageria. Disponível em:
<http://direitoeti.com.br/artigos/fake-news-e-desindexacao-de-conteudo-nas-
ferramentas-de-busca/>. Acesso em: 01 mai. 2020.

BARRETO, Alesandro Gonçalves. Fake News e utilização de fontes abertas.


Disponível em: <http://direitoeti.com.br/artigos/fake-news-e-utilizacao-de-fontes-
abertas/>. Acesso em: 01 mai. 2020.

BRASIL. Decreto-Lei nº 2.848, de 07 de dezembro de 1940. Código Penal.


Disponível em: < http://www.planalto.gov.br/ccivil_03/decreto-
lei/del2848compilado.htm>. Acesso em: 01 mai. 2020.

_____. Decreto-Lei nº 3.689, de 3 de outubro de 1941. Código de Processo


Penal. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-
lei/Del3689.htm>. Acesso em: 01 mai. 2020.
______. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios,
garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em:
< http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2014/Lei/L12965.htm>.
Acesso em: 01 mai. 2020.

_____. Decreto-Lei nº 8.771, de 11 de maio de 2016. Regulamenta a Lei no


12.965, de 23 de abril de 2014, para tratar das hipóteses admitidas de
discriminação de pacotes de dados na Internet e de degradação de tráfego,
indicar procedimentos para guarda e proteção de dados por provedores de
conexão e de aplicações, apontar medidas de transparência na requisição
de dados cadastrais pela administração pública e estabelecer parâmetros
para fiscalização e apuração de infrações. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8771.htm>.
Acesso em: 01 mai. 2020.

FACEBOOK. Padrões da Comunidade. Disponível em: <


https://www.facebook.com/communitystandards/>. Acesso em: 01 mai. 2020.

FACEBOOK. Denunciar Abuso. Disponível em: <


https://www.facebook.com/help/142199902615821>. Acesso em: 01 mai. 2020.

FACEBOOK. Contas Invadidas e Falsas. Disponível em: <


https://www.facebook.com/help/1216349518398524?helpref=hc_global_nav>.
Acesso em: 01 mai. 2020.

FACEBOOK. Como faço para denunciar uma conta ou Página do Facebook


que está fingindo ser eu ou outra pessoa? Disponível em: < https://pt-
br.facebook.com/help/174210519303259>. Acesso em: 01 mai. 2020.

GLOBAL INITIATIVE AGAINST TRANSNATIONAL ORGANIZED CRIME. Crime


and Contagion. The Impact of a Pandemic on Organized Crime. Mar, 2020.

GOOGLE. Central de Políticas do Desenvolvedor. Comportamento Abusivo.


Disponível em <https://play.google.com/intl/pt-BR/about/privacy-security-
deception/malicious-behavior/>. Acesso em 01 mai. 2020.
GOOGLE. Play Console Ajuda. Como denunciar a violação de uma política..
Disponível em <https://play.google.com/intl/pt-BR/about/privacy-security-
deception/malicious-behavior/>. Acesso em 01 mai. 2020.

GOOGLE. Solicitação para remover suas informações pessoais no Google.


Disponível em: <
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2
C2889099%2C9166584%2C9171203%2C3143868%2C6256340%2C6256363
>. Acesso em: 01 mai. 2020.

GOOGLE. Remover conteúdo do Google. Disponível em: <


https://support.google.com/legal/troubleshooter/1114905?hl=pt#ts=1115655%2
C6034194>. Acesso em: 01 mai. 2020.

GOOGLE. Denunciar uma violação. Disponível em: <


https://support.google.com/docs/answer/2463296?hl=pt-BR>. Acesso em: 01
mai. 2020.

GOOGLE. Denunciar spam na pesquisa aprimorada. Disponível em: <


https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt>.
Acesso em: 01 mai. 2020.

GOOGLE. Report Phishing Page. Disponível em: <


https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en>. Acesso
em: 01 mai. 2020.

GOOGLE. Report malicious software. Disponível em: <


https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en>.
Acesso em: 01 mai. 2020.

INSTAGRAM. Como faço para denunciar um comentário no Instagram por


abuso ou spam? Disponível em: <
https://help.instagram.com/198034803689028>. Acesso em: 01 mai. 2020.

INSTAGRAM. Como faço para denunciar uma publicação ou um perfil por


abuso ou spam no Instagram? Disponível em: <
https://help.instagram.com/192435014247952?helpref=related>. Acesso em: 01
mai. 2020.

INSTAGRAM. Contas Falsas. Disponível em: <


https://help.instagram.com/446663175382270/?helpref=hc_fnav&bc[0]=Ajuda%
20do%20Instagram&bc[1]=Central%20de%20Privacidade%20e%20Seguran%
C3%A7a&bc[2]=Denunciar%20algo>. Acesso em: 01 mai. 2020.

MERCADO LIVRE. Termos e Condições Gerais de Uso do Site. Disponível


em: < https://www.mercadolivre.com.br/ajuda/991>. Acesso em: 01 mai. 2020.

MERCADO LIVRE. Política de Privacidade. Privacidade e Confidencialidade


da Informação. Disponível em: <
https://www.mercadolivre.com.br/ajuda/Pol%C3%ADticas-de-
Privacidade_1442>. Acesso em: 01 mai. 2020.

MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Apreensões de drogas


e cigarros aumentam mais de 300% com fechamento das fronteiras.
Programa Vigia ganhou reforço de policiais nas fronteiras. Disponível em
<https://www.novo.justica.gov.br/news/apreensoes-de-drogas-e-cigarros-
aumentam-mais-de-300-com-fechamento-das-fronteiras>. Publicada em 24
mar. 2020. Acesso em 01 mai. 2020.

OLX. Política de Privacidade. Disponível em


<https://ajuda.olx.com.br/s/article/politica-de-privacidade>. Acesso em 01. Mai.
2020.

OLX. Termos e Condições Gerais de Uso da OLX. Disponível em


<https://ajuda.olx.com.br/s/article/termos-e-condicoes-de-uso>. Acesso em 01.
Mai. 2020.

WHATSAPP. Segurança e Privacidade. Recursos Avançados de Segurança.


Disponível em <https://faq.whatsapp.com/21197244/>. Acesso em 01. Mai.
2020.
WHATSAPP. Termos do Serviço. Disponível em: <
https://www.whatsapp.com/legal/#terms-of-service>. Acesso em: 01 mai. 2020.

WHATSAPP. Políticas de Privacidade. Disponível em: <


https://www.whatsapp.com/legal/#privacy-policy>. Acesso em: 01 mai. 2020.