Cinco suspeitos de pertencerem a uma quadrilha de hackers foram presos na semana passada pela Polícia Civil de Pernambuco depois da deflagração da “Operação Chargeback” – sim, desta vez a palavrinha que é um pesadelo para os e-commerces trouxe algo de positivo.
Conforme a polícia, o grupo formado por quatro homens, um deles português, e uma mulher invadia contas bancárias de vítimas de Recife e de cidades da região metropolitana da capital pernambucana. O lucro ilícito de somente três das pessoas detidas foi estimado em R$ 6 milhões pelos investigadores.
Como o crime funcionava?
Os golpes aconteciam principalmente por meio da prática de “phishing”. Segundo as autoridades, os criminosos usavam bots que disparavam em poucos segundos milhares de e-mails de endereços que se passavam pelos bancos, mas que na verdade continham links maliciosos. Estes links, quando clicados, permitiam aos hackers invadir a conta e/ou os devices das vítimas fisgadas.
Depois disso, você já deve estar imaginando o estrago… Os criminosos conseguiam desviar valores das contas bancárias das vítimas para terceiros, clonar seus cartões de crédito e fazer compras ilegítimas no comércio eletrônico, ou ainda roubar milhas aéreas para comprar passagens e depois revendê-las por preços abaixo do mercado.
A investigação da polícia começou no mês de maio, quando os bancos começaram a procurar as autoridades sobre os casos de invasão de conta dos clientes. Em apenas dois ataques, a quadrilha foi capaz de desviar R$ 889 mil.
A Operação Chargeback contou com a participação de 130 policiais civis pernambucanos, além do apoio da diretoria de inteligência do órgão e do grupo de prevenção à lavagem de dinheiro do Estado. Ao todo, foram expedidos oito mandados de prisão e 24 de busca e apreensão. E um detalhe: três dos cinco detidos já haviam sido presos anteriormente por crimes similares.
“Os criminosos ostentavam, viajavam na classe executiva e faziam festas em lanchas. (…) Quando a gente conversa, nos parece que eles estão muito tranquilos porque parece que o crime vale a pena. Pedimos o bloqueio de bens e das contas de todos eles e vamos tentar indiciá-los no maior número de crimes possível”, afirmou João Gustavo Godoy, delegado responsável pelo caso, segundo o site G1.
Mas o crime virtual vale mesmo a pena?
Já discutimos aqui no blog as razões que fazem o Brasil ser um dos líderes de fraudes on-line no mundo. Isso vai desde problemas sociais – a alta criminalidade do mundo real “migra” para o virtual – até a evolução dos nossos meios de pagamento (o chip EMV, por exemplo, impossibilita a clonagem “física” de cartões de crédito por aqui, enquanto muitos países desenvolvidos ainda não contam com essa proteção). Mas alguns especialistas apontam também um outro motivo: os golpistas sentem que a internet oferece muito mais chances de saírem impunes.
Durante o “Prevention Talks”, evento organizado pelo Mercado Livre para profissionais de risco e segurança no mês de agosto, um painel discutiu exatamente os desafios de combater os criminosos cibernéticos com a efetividade que uma operação como a “Chargeback” teve – e que como vimos mobilizou centenas de profissionais e durou meses.
O painel foi mediado por Fabiana Saenz (fraud intelligence manager no Mercado Livre – e que foi uma das super palestrantes do Fraud Day) e contou com as presenças de Adrián Eduardo Acosta (digital crime officer da Interpol), Rick Cavalieros (law enforcement outreach manager no Facebook), Rubia Ferrão (advogada, sócia-fundadora da Pigão, Ferrão e Fioravante Advogados e professora), e Erik Pereira de Siqueira (agente da Polícia Federal atuante na repressão de crimes cibernéticos).
Veja abaixo alguns pontos levantados por este timaço de especialistas:
Fabiana Saenz: “A migração para o mundo on-line tornou os criminosos mais sofisticados. Criar áreas de investigação dentro das empresas, como fez o Mercado Livre, pode trazer um ganho enorme”.
Adrián Acosta: “Não há patrulha policial na internet, e as empresas e bancos têm muita importância no ecossistema de investigação, passando a ser a primeira linha de denúncia. O setor privado ainda está em fase de adaptação ao mundo digital. Às vezes sabem tudo de tecnologia, mas possuem pouco conhecimento legal. E há questões complexas na investigação, como por exemplo a vítima estar no Brasil e o hacker estar na Argentina. Quem investiga? Esse intercâmbio de informações é um desafio, mas tem havido melhora”.
Rick Cavalieros: “O perfil do policial mudou. Com o mundo virtual, eles precisam da mente, mais do que pistolas e algemas. A colaboração entre autoridades e empresas é fundamental no combate a este tipo de crime. Os times de fraudes das empresas devem estar conectados ao jurídico. Isso torna tudo mais fácil quando a polícia precisa de alguma informação”.
Rubia Ferrão: “Os criminosos às vezes conversam mais que os governos dos países, e a identificação deles é uma das maiores dificuldades. As empresas devem estar preparadas para enfrentar a fraude e armazenar elementos que ajudariam em uma futura investigação policial, juntando cada elemento e até registrando atas. Importante ressaltar também a questão do acesso à informação, como precisar ou não de perícia e autorização do judiciário. Há diversos casos em que os criminosos combatem a licitude da prova nos processos. Os times internos precisam documentar tudo. A polícia tem boa vontade de investigar quando tudo está alinhado”.
Erik Pereira de Siqueira: “A Polícia Federal brasileira já tem acordo de cooperação com bancos e quer estender isso a empresas, o que só diminuiria a burocracia no combate ao crime cibernético. O potencial destes crimes costuma ser minimizado porque eles são ‘invisíveis’, mas temos que estar cientes de que estes crimes fomentam tráfico de drogas, quadrilhas e até homicídios. O criminoso também faz gestão de risco e ainda tem uma sensação de impunidade no mundo virtual. Setores público e privado devem investir em treinamentos e parcerias para termos mais avanços contra esta prática”.
Moral da história
Bem, ao menos nós da Konduto saímos dessa pequena aula com a sensação de que enfrentar os cibercriminosos ainda é um desafio no Brasil, desde questões burocráticas até jurídicas, mas que tanto o setor público como o privado têm trabalhado para enfrentar a fraude on-line – e mostrar na prática ao lado mau da força que o crime não compensa.