impressao (1)

Prévia do material em texto

AULA 2 
INVESTIGAÇÃO DE 
CIBERCRIMES – 
PLANEJAMENTO E EXECUÇÃO 
Prof. Flúvio Cardinelle Oliveira Garcia 
 
 
2 
INTRODUÇÃO 
O conhecimento da história é importante para melhor compreendermos o 
presente e planejarmos o futuro. Sendo assim, iniciaremos nosso estudo 
dedicando dois temas para tratar sobre a criminalidade informática ao longo do 
tempo. 
Ao contrário do que se pode pensar, a prática de atos ilícitos por meio de 
tecnologias da informação e comunicação não é algo que remonta apenas ao 
surgimento da internet. 
A criatividade da mente é algo notável, tanto para o bem quanto para o mal. 
Partindo-se de tal premissa, é importante conhecer as principais práticas ilícitas 
perpetradas pela rede mundial de computadores e, ainda, quais os fatores mais 
indicados pela literatura como propícios a estimular a criminalidade informática. 
É sobre tais temas que versa a presente aula. 
TEMA 1 – CRIMINALIDADE INFORMÁTICA NO TEMPO (PARTE 1) 
A literatura não é pacífica em apontar o primeiro registro de delito praticado 
com o uso do computador. Há quem defenda que a criminalidade informática 
tenha se iniciado em 1958, mesmo antes da criação da internet, quando um 
empregado do Banco de Minneapolis, nos EUA, alterou os programas de 
computador do banco com a finalidade de depositar em sua conta frações de 
centavos resultantes de milhões de movimentações financeiras (Barreto, 2020). 
Outros afirmam que o primeiro ato ilícito registrado aconteceu no Centro de 
Processamento de Dados do Massachusetts Institute of Technology (MIT) em 
1964. Nessa ocasião, um acadêmico teria alterado as prerrogativas e prioridades 
de acesso entre alunos e professores, retirando desses seus privilégios de 
conexão e conferindo àqueles. 
Em 1971, John Draper ficou conhecido como o primeiro phreaker da 
história. Apelidado de Captain Crunch, Draper foi o primeiro a fraudar o sistema 
telefônico dos EUA utilizando, para tanto, um apito de criança que era dado como 
brinde junto aos cereais de nome Cap’n Crunch, o que explica o porquê de seu 
apelido. 
Draper descobriu que as ondas sonoras emitidas pelo brinquedo eram 
capazes de interferir na telefonia a ponto de, por meio da frequência correta, 
permitir ligações interurbanas e internacionais gratuitas (Yan, 2019). 
 
 
3 
No início dos anos 1980, Ian Murphy (também conhecido como Captain 
Zap) invadiu os computadores da companhia telefônica norte-americana AT&T e 
alterou os relógios internos dos computadores da empresa. Com isso, ligações 
telefônicas realizadas durante o dia passaram a ser tarifadas com os valores bem 
mais reduzidos que, como regra, eram cobrados durante a madrugada. Murphy 
entrou para a história como o primeiro cracker a ser condenado por um crime. 
Em 1983, estreou nas telas de cinema o filme War Games, dirigido por John 
Badham. Trata-se de uma história de ficção, ambientada durante a Guerra Fria 
entre EUA e a então URSS, que narra como um jovem hacker (David Lightman) 
consegue, sem querer, acessar um supercomputador americano projetado para 
prever e responder a uma guerra nuclear. 
No filme, Lightman, interpretado por Matthew Broderick, imagina estar num 
jogo de computador quando, na verdade, estava efetivamente operando o sistema 
de controle de armas nucleares do Departamento de Defesa dos EUA, quase 
causando o que seria a Terceira Guerra Mundial. 
A película norte-americana foi um sucesso de bilheteria. Contudo, parece 
ter induzido e instigado milhares de pessoas, jovens em sua maioria, a tentar 
invadir sites governamentais. Identificou-se um crescimento significativo no 
número de tentativas de acesso a informações confidenciais armazenadas em 
computadores do governo norte-americano e de outros países. 
As repercussões do filme trouxeram grande preocupação ao então 
presidente dos EUA, Ronald Reagan, resultando na elaboração e vigência do 
Computer Fraud and Abuse Act, até hoje considerado como marco regulatório em 
cibersegurança naquele país. 
Outro importante acontecimento a ser registrado no âmbito da 
criminalidade informática diz respeito à primeira invasão transnacional de 
computadores realizadas pela internet. Investigações criminais encetadas na 
Alemanha, em 1989, apontam que hackers do país se utilizaram de redes de 
transmissão internacionais para obter acesso a dados sigilosos mantidos em 
sistemas informáticos dos EUA e da Inglaterra. O objetivo seria vendê-los para o 
serviço secreto russo (Albuquerque, 2006). 
TEMA 2 – CRIMINALIDADE INFORMÁTICA NO TEMPO (PARTE 2) 
As sofisticações do mundo moderno e crescente evolução das tecnologias 
da informação e comunicação, aliadas aos fenômenos da globalização moderna 
 
 
4 
e da sociedade de risco, ambos estudados anteriormente, revelam um cenário de 
criminalidade informática transnacional de grandes proporções e prejuízos em 
escala mundial. 
O ataque de ransomware deflagrado em 2017 e protagonizado pelo código 
malicioso que ficou conhecido como Wanna Cry é um exemplo atual de alcance 
dos delitos informáticos e de como a estrutura global das TICs tem sido utilizada 
para condutas ilícitas com repercussões em todo o globo terrestre. 
O fato foi noticiado em todo o mundo. Mais de 230 mil computadores 
espalhados em 150 países diferentes foram infectados pelo Wanna Cry, o qual 
explorou uma falha de segurança do sistema operacional Windows. A conduta 
ilícita consistiu, basicamente, em acessar indevidamente dados, criptografá-los e 
estabelecer um prazo para pagamento de um “resgate” das informações por meio 
de bitcoins. 
Os valores cobrados variavam de US$ 300,00 (trezentos dólares) a U$ 
600,00 (seiscentos dólares), que deveriam ser convertidos em bitcoin e 
depositados em carteiras específicas, a depender do tempo que o pagamento 
demorasse a ser efetivado. 
A imprensa mundial noticiou que hospitais públicos do Reino Unido, 
grandes corporações na Espanha, como Santander e Telefónica, empresas como 
Vivo, Nextel e NET no Brasil, além de órgãos públicos como o INSS, o Ministério 
Público e o Tribunal de Justiça de São Paulo foram afetados pelo Wanna Cry. 
Não obstante a Microsoft ter disponibilizado gratuitamente a atualização de 
segurança necessária para impedir novos ataques de ransomwares semelhantes 
ao Wanna Cry, estimava-se que, até o ano passado, 1,7 milhão de equipamentos 
ainda estariam vulneráveis à infecção (Santino, 2019). 
Dados atuais, que podem ser facilmente obtidos mediante uma simples 
pesquisa na internet, revelam que a cada 39 segundos ocorre um ataque hacker 
no mundo. Estima-se que 300 mil malwares são criados por dia e 75 registros de 
dados são “furtados” por segundo. Em 2013, a gigante Yahoo! teve 3 bilhões de 
contas de e-mail invadidas. Foram reportados 445 mil ataques ransonware em 
2018. 
Os números expressam a grande preocupação dos países com a 
criminalidade informática. Em 2019, o orçamento dos EUA destinado à 
cibersegurança foi da ordem de US$ 14,98 bilhões. A previsão é de que até o ano 
de 2021, US$ 6 trilhões sejam utilizados no mundo todo na tentativa de prevenir 
 
 
5 
e conter a criminalidade informática, notadamente diante da perspectiva de que, 
até o final de 2020, haja mais de 200 bilhões de aparelhos conectados à internet 
(Milkovich, 2019). 
TEMA 3 – PRINCIPAIS PRÁTICAS ILÍCITAS NA INTERNET 
Estudamos em lições anteriores que a criminalidade informática se 
classifica em própria ou imprópria, a depender do objeto do delito e se o resultado 
pretendido pelo agente está ou não diretamente relacionado aos sistemas 
informáticos e/ou seus elementos. 
Naquilo que se refere aos delitos informáticos impróprios, em que as TICs 
são utilizadas como meio para a prática do ilícito, mas os bens jurídicos ofendidos 
são aqueles tradicionalmente protegidos pelo Direito Penal, pode-se afirmar que 
os mais comuns são aqueles que se voltam contra o patrimônio (especialmente o 
estelionato), ahonra (calúnia, difamação e injúria) e a liberdade pessoal 
(notadamente a ameaça). 
A ONG SaferNet concentra em seu site eletrônico um serviço de 
recebimento de notícias-crime anônimas de crimes e violações contra os Direitos 
Humanos na internet. De acordo com suas estatísticas, os crimes informáticos 
mais comuns reportados em sua hotline envolvem a pornografia infantil, a 
apologia e incitação a crimes contra a vida, o racismo e a intolerância religiosa 
(Safernet, 2020). 
Dentre as práticas ilícitas mais recorrentes afeitas à criminalidade 
informática própria, destacaram-se, em 2019, os seguintes: acesso 
indevido/vazamento de dados (hacking); phishing scam e o ransomware 
(Scalzaretto, 2019). 
O hacking consiste, basicamente, na invasão de computadores, sites 
eletrônicos, perfis e/ou contas virtuais (por exemplo, WhatsApp, Instagram), 
contas bancárias, redes de computador com ou sem fio, e-mails e/ou dispositivos 
eletrônicos em geral que, como regra, estão conectados à rede mundial de 
computadores, visando à obtenção indevida de dados e/ou informações ou, ainda, 
ao controle daquilo que foi invadido. 
O phishing scam também é conhecido como engenharia social virtual, que 
nada mais é do que a fraude ou o estelionato eletrônico. O Roteiro de Atuação em 
Crimes Cibernéticos do Ministério Público Federal (2016, p. 204) conceitua o 
phishing scam como sendo um: 
 
 
6 
Tipo de fraude pela Internet onde uma mensagem eletrônica não 
solicitada é enviada massivamente com o objetivo de induzir o acesso a 
sites falsificados capazes de capturar informações sigilosas dos 
destinatários. É também comum que os phishings instalem 
silenciosamente códigos maliciosos no computador da vítima. 
É muito comum a prática ilícita do phishing scam envolvendo solicitações 
falsas de órgãos públicos, instituições financeiras e entidades privadas de mais 
renome, como, por exemplo, a Receita Federal do Brasil, Banco do Brasil, Tribunal 
Regional Eleitoral, CDL/Serasa e outros. Nesse caso, o usuário é induzido ao erro 
quanto à necessidade de atualização de seus dados cadastrais, incluindo 
usuário/senha, sob pena de algum tipo de prejuízo financeiro ou bloqueio de 
acesso. 
O ataque ransomware consiste no sequestro de ativos informáticos (dados, 
informações, fotos, vídeos, arquivos etc.) onde se exige resgate para a devolução. 
O modus operandi inclui as etapas de: 1) invasão do computador e/ou dispositivo 
eletrônico onde o ativo informático se encontra armazenado; 2) criptografia do 
conteúdo; 3) exigência de pagamento para liberação da senha necessária para se 
voltar a ter acesso ao conteúdo criptografado. Foi o que aconteceu no caso do 
Wanna Cry. 
Existem, ainda, diversas outras formas de ataque e prática de ilícitos por 
meio da internet, dentre os quais citamos: 
 Ataque Distribuído de Negação de Serviços (DDoS): o objetivo é tornar um 
serviço informático indisponível por sobrecarga a partir de um excesso 
programado e coordenado de conexões realizadas – concomitantemente – 
por diversos equipamentos informáticos; 
 Salami Slicing: consiste em se apropriar clandestinamente de parcelas 
praticamente imperceptíveis de valores de movimentações financeiras e/ou 
conta-corrente de um sem-número de vítimas, transferindo-as em favor do 
agente criminoso; 
 Bolware: também conhecido como vírus do boleto eletrônico, ocorre com a 
adulteração de boletos eletronicamente emitidos a fim de alterar, em favor 
do cibercriminoso, a conta beneficiária dos valores a serem pagos. 
 Keylogging e screenlogging: são técnicas de captura dos caracteres de 
teclado digitados (keylogging) e de telas visualizadas (screenlogging) pela 
vítima, com o intuito de se ter acesso indevido a dados e/ou informações 
da vítima. Normalmente, os caracteres e telas capturadas são 
 
 
7 
armazenados em arquivos e encaminhadas ao agente criminoso por meio 
da internet. 
Saiba mais 
Para mais informações, sugerimos a leitura da obra Manual de Crimes 
Informáticos, de Damásio de Jesus e José Antônio Milagres. 
TEMA 4 – FATORES QUE ESTIMULAM A PRÁTICA DE CIBERCRIMES (PARTE 1) 
O estudo criminológico da delinquência informática revela diversos fatores 
que, em maior ou menor medida, contribuem para a prática de ilícitos por meio 
das tecnologias da informação e da comunicação, especialmente a internet. São 
eles: 
 Sensação de anonimato: não raro, o acesso a diversos dos recursos 
informáticos disponibilizados no ciberespaço é realizado de forma rápida e 
sem maiores exigências burocráticas quanto à necessidade de se 
comprovar a efetiva identidade do usuário. Normalmente, basta informar 
um username qualquer, que não precisa ser o verdadeiro nome do usuário, 
e um e-mail válido, desses que podem ser livre e gratuitamente criados em 
diversas plataformas virtuais sem a apresentação de qualquer documento, 
para se ter acesso ao sem-número de serviços e ambientes virtuais 
existentes na rede mundial de computadores. Não há dificuldade em se 
criar contas de e-mail e perfis virtuais falsos ou, ainda, ingressar em alguma 
comunidade virtual com um nickname falso. Tais circunstâncias configuram 
um fator de estímulo a práticas criminosas na internet, uma vez que 
fomentam a crença de que o agente estará acobertado pelo manto do 
anonimato enquanto estiver navegando na rede mundial de computadores. 
 Virtual eliminação das distâncias geográficas e distância segura das 
vítimas: a internacionalização da conduta e do resultado, bem como a 
possibilidade – real e efetiva – de a primeira ser praticada em um local 
suficientemente distante da ocorrência do segundo também é algo que tem 
fomentado a criminalidade informática. Agente e vítima podem, 
literalmente, estar cada qual em um continente diferente do mundo e, 
mesmo assim, haver uma proximidade eletrônica viabilizada pela internet. 
Registre-se que, nesse contexto, não há presença física do criminoso no 
 
 
8 
local do crime e, por conseguinte, sua exposição pública se torna em muito 
minimizada, quando não inexistente. 
 Volatilidade das evidências eletrônicas: o mundo virtual é etéreo, 
intangível e, por assim ser, bastante volátil. Ao contrário do que ocorre, por 
exemplo, num delito de homicídio, situação em que na cena do crime 
podem ser encontrados vestígios físicos capazes de auxiliar na apuração 
dos fatos e identificação da autoria do agente, não há que se falar em 
elementos de tal natureza na criminalidade informática. A impressão que 
se tem – e, frise-se, trata-se realmente de mera impressão – é a de que os 
crimes praticados a partir de TICs não deixam vestígios diante da 
intangibilidade do meio. Outrossim, pode-se acreditar que eventuais 
elementos de prova possam ser facilmente destruídos, bastando, por 
exemplo, a retirada o equipamento utilizado para a prática criminosa da 
força elétrica. Tais fatores, apesar de falaciosos, podem estimular a prática 
de crimes informáticos. 
 Fugacidade da interação: a rapidez com que pode ocorrer a prática de 
um delito informática é algo notório. De fato, crimes virtuais podem ser 
perpetrados em fração de segundos. A instantaneidade das interações 
entre agente e vítima propiciam a prática de condutas criminosas numa 
sequência praticamente ilimitada de tentativa e erro, em que o efetivo 
trabalho de “ataque” e “defesa” acaba sendo delegado aos dispositivos 
eletrônicos envolvidos. A possibilidade de reiteradas e sucessivas ações 
até que o resultado ilícito pretendido seja obtido tem sido festejada como 
ponto positivo a favor da criminalidade informática. 
 Crença numa natureza anárquico-extremista da internet: alguns 
cibercriminosos acreditam que a responsabilização por condutas 
perpetradas por meio da rede mundial de computadores é algo muito difícil 
de acontecer, haja vista os atributos de multijurisdicionalidade e 
ajurisdicionalidade da rede. Apregoam que na internet a liberdade deve ser 
cultuadaao extremo e que, por fazerem uso de uma tecnologia que não 
pertence a país algum, estariam imunes à legislação de qualquer Estado 
soberano. 
 Legislação ultrapassada e não aplicável: para além das evidentes 
dificuldades de aplicação de normativos específicos e, como regra, restritos 
aos limites territoriais de cada país que os elabora, a convicção de que a 
 
 
9 
legislação brasileira é antiga e ultrapassada é um dos fatores que podem 
impulsionar a criminalidade informática. De fato, ao se verificar que o 
Código Penal brasileiro foi publicado em 1940 e o Código de Processo 
Penal, em 1941, parece razoável crer que tais instrumentos legais seriam 
inócuos diante da delinquência virtual, mais moderna e em constante 
mutação. 
 Despreparo das autoridades encarregadas da persecução penal: por 
fim, a falta de conhecimento técnico de delegados, promotores de justiça e 
juízes na atuação com crimes de alta tecnologia envolvendo, por exemplo, 
redes peer-to-peer, TOR, criptografia assimétrica, blockchain, criptoativos, 
VPNs, máquinas virtuais e outros tantos institutos específicos da 
computação, seria algo positivo para a criminalidade informática. Como 
enfrentar aqui o que não se conhece? 
TEMA 5 – FATORES QUE ESTIMULAM A PRÁTICA DE CIBERCRIMES (PARTE 2) 
Reservamos um tópico específico para tratar daquele que talvez seja um 
dos fatores mais atrativos para os agentes da criminalidade informática: a falta de 
conhecimento e ingenuidade de grande parte dos usuários de internet. 
Devon Milkovich, em matéria intitulada 15 Alarming Cyber Security Facts 
and Stats (2019), afirma categoricamente que 95% das falhas em cibersegurança 
decorrem da ignorância do ser humano quanto a questões relacionadas à 
tecnologia e suas potencialidades. Não resta dúvida de que o homem é o elo mais 
fraco em qualquer protocolo de segurança a ser estabelecido. 
Kevin Mitnick é conhecido como um dos maiores hackers do mundo. Sua 
história como cibercriminoso e de como foi finalmente preso pelo FBI foi utilizada 
como cenário de livros, filmes e documentários. Sua expertise era tamanha que, 
mesmo capturado pelos delitos informáticos praticados, Mitnick recebeu proposta 
de cooperar em investigações encetadas pela Polícia Federal norte-americana em 
troca de atenuação de parte de sua pena. 
Na obra A Arte de Enganar, escrita pelo próprio Mitnick (2003), o autor 
deixa muito claro como pessoas incautas podem ser – e são – utilizadas por 
cibercriminosos para ter acesso a informações que lhes permitem a prática dos 
mais diversos delitos. Ao sustentar, claramente, que o elo mais fraco de toda e 
qualquer cibersegurança é o fator humano, ele defende que o problema não são 
as máquinas, mas as pessoas que operam a máquina. Afirma o autor que: 
 
 
10 
Há um ditado popular que diz que um computador seguro é aquele que 
está desligado. Isso é inteligente, mas é falso. O hacker convence 
alguém a entrar no escritório e ligar aquele computador. [...] Quando 
empregados de confiança são enganados, influenciados ou manipulados 
para revelar informações sigilosas ou para executar ações que criem um 
buraco na segurança para que o atacante se infiltre, nenhuma tecnologia 
do mundo pode proteger uma empresa. 
Para se ter uma ideia da ingenuidade dos usuários de internet e 
computadores em geral, basta analisar uma pesquisa realizada pelo Centro 
Nacional de Segurança Cibernética (NCSC), um órgão governamental do Reino 
Unido, realizada no ano passado com o intuito de identificar as senhas mais 
utilizadas no mundo inteiro (Silva, 2019). 
De acordo com o resultado obtido, a senha mais comum é 123456, seguida 
de 123456789. Em terceiro lugar, está a senha qwerty, que representa as seis 
primeiras letras do teclado tradicional dos computadores. Em quarto e quinto 
lugares estão as senhas password (que significa “senha”, em inglês) e 1111111. 
Isso sem mencionar que, não raro, os usuários utilizam a mesma senha 
para o acesso a diversos perfis, sites e serviços diferentes como Facebook, 
Instagram, Netflix e contas de e-mail. A reutilização de senhas certamente é algo 
que contribui para aumentar os riscos do próprio usuário, uma vez que qualquer 
uma delas que for descoberta poderá permitir ao cibercriminoso acessar – e 
controlar – uma infinidade de informações da vítima. 
 
 
 
 
11 
REFERÊNCIAS 
BARRETO, A. G.; KUFA, K.; SILVA, M. M. Cibercimes e seus reflexos no direito 
brasileiro. Salvador: Editora JusPodivm, 2020. 
HACK STORY. Captain Zap. Disponível em: 
<https://hackstory.net/Captain_Zap>. Acesso em: 29 jun. 2020. 
OLHAR DIGITAL. Entenda o ciberataque que afetou mais de 200 mil PCs em 
150 países. Disponível em: <https://olhardigital.com.br/especial/wannacry/>. 
Acesso em: 29 jun. 2020. 
JESUS, D. de; MILAGRE, J. A. Manual de crimes informáticos. São Paulo: 
Saraiva, 2016. 
MILKOVICH, D. 15 alarming cyber security facts and stats. Cybint., 23 set. 2019. 
Disponível em: <https://www.cybintsolutions.com/cyber-security-facts-stats/>. 
Acesso em: 29 jun. 2020. 
MINISTÉRIO PÚBLICO FEDERAL. Roteiro de Atuação: crimes cibernéticos. 3. 
ed. rev. e ampl. Brasília: MPF, 2016. 
MITNICK, K.; SIMON, W. A arte de enganar: ataques de hackers: controlando o 
fator humano na segurança da informação. São Paulo: Pearson Makron Books, 
2003. 
SAFERNET. Indicadores da central de denúncias de crimes cibernéticos. 
2020. Disponível em: <https://indicadores.safernet.org.br/>. Acesso em: 29 jun. 
2020. 
SANTINO, R. Após 2 anos do WannaCry, risco de novo mega-ataque ainda é real. 
Olhar Digital., 14 maio 2019. Disponível em: 
<https://olhardigital.com.br/fique_seguro/noticia/apos-2-anos-do-wannacry-risco-
de-novo-mega-ataque-ainda-e-real/85741>. Acesso em: 29 jun. 2020. 
SCALZARETTO, N. As três maiores ciberameaças de 2019 e o que aprendemos 
com elas. Fasthelp, 10 dez. 2019. Disponível em: 
<https://fasthelp.com.br/maiores-crimes-virtuais-de-2019/>. Acesso em: 29 jun. 
2020. 
SILVA, R. R. Órgão britânico revela lista com as senhas mais utilizadas no mundo. 
CanalTech., 22 abr. 2019. Disponível em: 
 
 
12 
<https://canaltech.com.br/seguranca/orgao-britanico-revela-lista-com-as-senhas-
mais-utilizadas-no-mundo-137683/>. Acesso em: 29 jun. 2020. 
YAN, L. An early hacker used a cereal box whistle to take over phone lines. 
Popular Mechanics., 22 out. 2019. Disponível em: 
<https://www.popularmechanics.com/technology/a20762221/an-early-hacker-
used-a-cereal-box-whistle-to-take-over-phone-lines/>. Acesso em: 29 jun. 2020.