Modulo6 Crimes Cibernéticos

Prévia do material em texto

Objetivos do módulo
Ao final deste módulo, você deverá ser capaz de: 
• Identificar as tecnologias mais atuais que estão sendo utilizadas em práticas cri-
minosas;
• Saber as ações a serem tomadas nos casos em que criminosos utilizam recursos 
avançados de tecnologia na prática de delitos;
• Orientar usuários a se prevenirem das ações maléficas decorrentes de tecnolo-
gias avançadas;
• Identificar em que situações é possível utilizar uma interceptação e que tipo de 
interceptação é o mais adequado;
• Identificar em que situações é possível localizar um criminoso, o produto de um 
crime ou uma vítima, se valendo de recursos tecnológicos.
Estrutura do módulo
Este módulo possui as seguintes aulas:
 Aula 1 – Engenharia social e malwares;
 Aula 2 – Interceptação telefônica e telemática;
 Aula 3 – Serviços VoIP (Voice over IP – Voz sobre IP);
 Aula 4 – Rastreamento de dispositivos móveis.
Módulo 6
INVESTIGAÇÃO E FRAUDES 
COM SERVIÇOS AVANÇADOS
6.1 Engenharia Social
Engenharia social é a técnica utilizada para le-
vantar informações de qualquer pessoa desconhecida. 
Nessa técnica, o atacante vale-se da fragilidade da vítima 
para conseguir informações imprescindíveis para o início 
de um ataque.
Sobre o assunto, descreveram Wendt e Jorge:
[...] é a utilização de um conjunto de técnicas 
destinadas a ludibriar a vítima, de forma que 
ela acredite nas informações prestadas e se 
convença em fornecer dados pessoais nos 
quais o criminoso tenha interesse ou a execu-
tar alguma tarefa e/ou aplicativo. 
[...] geralmente os criminosos simulam fazer par-
te de determinada instituição confiável, como 
bancos, sites e grandes lojas, órgãos do gover-
no ou outros órgãos públicos para que a vítima 
confie nos falsos dados apresentados, o que na 
verdade, será a isca para que sejam fornecidas 
as referidas informações.
[...] Nestas situações o ponto nevrálgico é a falta 
de conscientização do usuário de computado-
res sobre os perigos de acreditar em todas as 
informações que chegam até ele. (2012, p. 21).
De acordo com o Centro de Estudos, Respostas e 
Tratamento de Incidentes e Segurança no Brasil (CERT.br), 
a engenharia social é:
 [...] um método de ataque, onde alguém faz uso 
da persuasão, muitas vezes abusando da inge-
nuidade ou confiança do usuário, para obter 
informações que podem ser utilizadas para ter 
acesso não autorizado a computadores ou in-
formações. (Qual é a página e o ano)
O sucesso ou fracasso na utilização dessa técni-
ca depende da criatividade do atacante e da fragilidade da 
vítima ou do sistema a ser atacado. O atacante pode utili-
zar apelos físicos ou psicológicos, ou seja, no primeiro caso 
explorando o lixo que pode conter muita informação so-
bre possíveis vítimas ou se passando por outra pessoa ao 
telefone e no segundo caso, valendo-se da fragilidade sen-
timental da vítima, caso típico do sequestro falso, seguido 
de extorsão; bem como de características inerentes ao ser 
humano, tais como medo, curiosidade, simpatia, ganância, 
entre outros.
De sorte que as autoridades policiais também se 
valem desta técnica nos casos em que se infiltram no am-
biente criminoso, criando estórias coberturas, para manter 
contato e levantar informações importantes para investi-
gações criminais.
6.2 Spam e phishing 
scam
A facilidade de comunicação trazida pelos apli-
cativos de mensagens eletrônicas e-mail, trouxe também 
AULA 1
Engenharia social e 
malwares
facilidades para a questão da propaganda comercial. Nesse 
contexto, surgiram as mensagens denominadas “SPAM”.
O fato é que os atacantes e criminosos presentes 
na Internet utilizam esse vasto campo de propagandas co-
merciais indesejadas, que praticamente todos os usuários 
da Internet recebem, para introduzir mensagens contendo 
anexos contaminados ou links para páginas maliciosas. 
Especialmente os usuários mais leigos, não sabem diferen-
ciar entre o que de fato é propaganda comercial e o que faz 
parte de mensagens maliciosas, sendo fáceis presas para 
os criminosos.
Então, os atacantes enviam suas mensagens ma-
liciosas, tentando disfarçá-las de mensagens comerciais 
comuns (SPAMs), ou simulando ser mensagens originadas 
de instituições conhecidas, tais como órgãos do governo, 
bancos ou empresas comerciais conhecidas, para milhões 
de usuários da Internet, sabendo que estatisticamen-
te, uma pequena parcela dos usuários que receberem as 
mensagens vão acessá-las indiscriminadamente sem saber 
o risco que correm.
Ao procedimento de tentar angariar vítimas em 
potencial para os mais variados tipos de fraudes, denomi-
na-se “phishingscam”, derivando da palavra inglesa fishing 
(pescaria, em português), já que com esse procedimento, 
o atacante executa a “engenharia social”, obtendo dados 
valiosos da vítima, tais como informações pessoais e se-
nhas bancárias. É como uma verdadeira pescaria, onde o 
atacante é o pescador colocando iscas para os peixes, que 
são as vitimas.
Dessa forma, as mensagens sempre contêm algo 
chamativo como promessas de grandes lucros, fotos de ce-
lebridades da moda, notícias e boatos de grande audiência, 
orçamentos de produtos com custo abaixo do mercado, 
apelos sexuais, avisos de dívidas, multas, ou de qualquer 
órgão do governo local e assim por diante. O limite é a cria-
tividade do atacante.
A figura a seguir mostra de um lado (direito) os 
tipos de serviços mais atacados e de outro (esquerdo) as 
informações mais procuradas pelos atacantes.
Serviços mais atacados/informações mais procuradas.
6.3 Malwares
O termo “Malware” vem da junção de parte das 
palavras inglesas “Malicious” e “Software”. Então, qual-
quer software malicioso é considerado um malware. Nos 
primórdios da informática (antes mesmo da Internet), al-
gumas pragas deste tipo foram criadas para infectar má-
quinas, e ganharam o nome de “vírus de computador”, ten-
do como principal meio de propagação as mídias externas 
como os disquetes.
A precursora de todos os outros tipos de malwa-
res foi o chamado “vírus de boot”, que surgiu nos anos 
80 e tinha como objetivo basicamente causar prejuízos, 
fazendo sistemas inteiros pararem de funcionar e ocasio-
nando perdas de dados. A forma de infecção era através 
dos disquetes que eram lidos e gravados em computado-
res diferentes, propiciando a oportunidade de propagação 
da praga. Os sucessores foram os chamados worms, que 
tinham como característica a autopropagação via rede ou 
serviços de rede.
Um dos tipos de malwares mais ofensivos são os 
cavalos de troia ou trojan horses, pois têm como 
características possibilitar que o terminal infec-
tado seja acessado e controlado pelo atacante 
remotamente. O nome é devido ao fato de que 
a praga se instala por meio de ações da vítima 
que pressupõe estar recebendo um “presente” e 
aceita fazer algumas ações tais como abrir ane-
xos contaminados ou clicar em links que levam 
à infecção.
A partir do momento em que se instala em um 
computador, o cavalo de troia compromete todo 
o sistema infectado, expondo as informações 
pessoais que os usuários locais digitam, deixan-
do os recursos do terminal expostos para o uso 
do atacante para que dali possa atacar outras ví-
timas.
Outro tipo de praga muito ofensivo são os cha-
mados keyloggers. O termo vem do inglês e sig-
nificar “registrador de teclado”. Isto significa que 
esse tipo de malware é capaz de registrar todas 
as teclas digitadas pelos usuários, inclusive as 
senhas pessoais e bancárias. 
A maioria dos phishingscam funciona em con-
junto com keyloggers, um complementando o objetivo do 
outro. O phishing abre caminho para a infecção do sistema 
da vítima e o keylogger leva as informações importantes 
Exemplos de páginas falsas
da vítima para o atacante. Uma variante interessante do 
keylogger são os screenloggers, que são capazes de moni-torar todo o conteúdo que aparece na tela do computador 
da vítima.
Há inúmeras variantes dos malwares supracita-
dos, cada uma com sua característica particular e seu po-
der de penetração, destruição e prejuízos. Com o advento 
da Internet, a propagação dessas pragas tornou-se ainda 
mais fácil e possibilitou o surgimento de ainda mais moda-
lidades de softwares maliciosos. 
Um dos tipos de malware mais atual e que uti-
liza com mais propriedade as facilidades da Internet para 
agir são os “botnets”, que são capazes de se autopropagar, 
infectar milhões de máquinas e fazê-las trabalhar como ro-
bôs, aliando forças para executar ataques de negação de 
serviços (deixar páginas web importantes fora do ar) ou 
disfarçar a real origem de ataques. 
Para saber mais sobre os tipos de malwares, ataque e ata-
cantes, leia a cartilha de segurança para Internet: http://
cartilha.cert.br/malware/
LEMBRE-SE!
Todo o cuidado é pouco para os usuários de 
serviços da Internet. Por isso, é importante adotar al-
guns métodos de prevenção e orientar as pessoas a uti-
lizarem esses métodos para dificultar a ação dos crimi-
nosos e evitar que sejam vítimas desse tipo de fraude.
6.4 Prevenção 
contra malwares
Um trabalho importante para as autoridades e 
que traz bons resultados no sentido de diminuir a quanti-
dade de vítimas de fraudes iniciadas por malwares é a ação 
preventiva junto à população. Isso pode ser efetivado por 
meio da distribuição de panfletos com orientações de pre-
venção (exemplo: panfleto PCDF/DICAT) http://pt.scribd.
com/doc/12838586/Cartilha-Monitoramento-Eletronico) 
e realização de palestras em ambientes onde há grande nú-
mero de usuários de computadores e Internet, tais como, 
colégios, faculdades e grandes empresas.
Veja a seguir as principais orientações para evitar 
malwares.
PRINCIPAIS ORIENTAÇÕES PARA 
EVITAR MALWARES
1. TER UM ANTI-VIRUS INSTALADO E MANTÊ-LO 
SEMPRE ATUALIZADO.
2. NÃO CLICAR EM LINKS SUGERIDOS POR E-MAIL.
3. NÃO EXECUTAR OU ABRIR ANEXOS CONTIDOS 
EM MENSAGENS ELETRÔNICAS NÃO SOLICITA-
DAS.
4. NÃO NAVEGAR EM SITES PERIGOSOS: sites de 
pornografia, sites hacker/cracker, sites que ofere-
cem dinheiro fácil.
5. NÃO FAZER COMPRAS EM SITES DESCONHECI-
DOS.
6. NÃO EXPOR DADOS PESSOAIS, PRINCIPALMEN-
TE AO PARTICIPAR DE PROMOÇÕES E SORTEIOS.
7. NÃO MANTER CONTATOS COM PESSOAS ES-
TRANHAS VIA BATE-PAPO OU CHAT.
8. NÃO COMPRAR SOFTWARES PIRATAS OU NÃO 
BAIXÁ-LOS DE SITES DESCONHECIDOS.
9. MANTER O SITEMA OPERACIONAL E DEMAIS 
SOFTWARES E PLUGINS SEMPRE ATUALIZADOS.
10. EVITAR SITES DE COMPARTILHAMENTO 
DE APLICATIVOS, FOTOS, FILMES E MÚSICAS VIA 
P2P (KazAA, e-mule, napster, etc).
Hamman (2011) descreveu em seu artigo “As 
coisas mais perigosas que você pode fazer na Internet”, as 
seguintes ações mais maléficas:
• MANTER-SE CONTECTADO;
• NÃO ATUALIZAR APLICATIVOS;
• PROCURAR ESCAPULIDAS DE FAMOSOS;
• BAIXAR FILMES E SOFTWARES ILEGAIS;
• PROCUAR POR CONTEÚDO ADULTO;
• JOGOS ON-LINE E ARMADILHAS ESCONDIDAS;
• NÃO CUIDAR DA PRIVACIDADE NAS REDES SOCIAIS;
• ACESSAR REDES WIFI DESCONHECIDAS;
• USAR A MESMA SENHA PARA TUDO;
• CLICAR EM LINKS CHAMATIVOS DE PROMO-
ÇÕES OU VANTAGENS APARENTES.
6.5 Investigação com 
trojan e botnets
O tratamento dado pelas autoridades com rela-
ção a crimes onde o autor utiliza malwares para atingir o 
objetivo é tentar rastrear a origem do crime analisando as 
ações do malware passo-a-passo. Esse tipo de análise é fei-
ta em ambiente virtual isolado e exclusivamente prepara-
do para esse fim. Por isso, a ação deve ser tomada somente 
por pessoas especializadas, tais como peritos criminais da 
área de informática ou especialistas na área que dispo-
nham de toda a infraestrutura necessária.
As ferramentas mais úteis nesse caso são os sof-
twares que analisam quais arquivos e registros do sistema 
operacional são acessados pelo malware e os “sniffers”, 
(SNIFFERé um aplicativo capaz de capturar e registrar - 
podendo até analisar - o conteúdo dos datagramas que 
trafegam na rede ou em pontos específicos dela. Eventual-
mente podem ser utilizados para fins criminosos) que são 
verdadeiros farejadores ou analisadores de tráfego de rede 
que possibilitam um estudo detalhado (bit-a-bit) da parte 
de tráfego suspeito. 
Essas ferramentas vão ajudar a autoridade a 
identificar qual o ponto de comunicação do malware com 
o mundo exterior, ou seja, para onde ele envia as informa-
ções que colhe. Pode ser uma conta de e-mail, um servidor 
de arquivos, um banco de dados clandestino, um site na In-
ternet ou qualquer aparato que possa guardar as informa-
ções furtadas de forma segura para que sejam acessadas 
posteriormente pelo criminoso. Esse trabalho é denomi-
nado “análise comportamental do malware”. Além disso, 
também pode ser efetuada, com ferramentas específicas, a 
chamada “engenharia reversa”, que é a análise do código 
do software para entender seu funcionamento.
A nova legislação (leis 12.735/2012 
e 12.737/2012), que está em vigor desdeabril 
de 2013, além de tornar criminosa a ação de 
confeccionar malwares e disseminá-lo, tam-
bém discorre sobre a criação em todas as po-
lícias judiciárias das Unidades da Federação 
de delegacias especializadas, que certamente 
poderão desenvolver um excelente trabalho 
ao analisar a origem de malwares.
Outra preocupação para as equipes de inves-
tigação são as botnets. BOTNET é um conjunto de com-
putadores de usuários leigos que são infectados por meio 
de um malware, permitindo ao atacante controlar cada 
máquina infectada com o objetivo de fazê-la trabalhar 
parcialmente a seu favor ou usá-la em ataques a alvos es-
pecíficos. Como já foi comentado, nesses casos o atacante 
infecta vários usuários leigos que nem sabem que estão in-
fectados, abrindo brechas para que o atacante utilize seus 
computadores como força para um ataque de DDoS (Dis-
tributedDenyof Service ou Negação de Serviço Distri-
buída). É um tipo de ataque a servidores de aplicações na 
Internet que tem o objetivo de deixar o serviço alvo do ata-
que indisponível. O ataque DDoS é feito por vários com-
putadores distribuídos na rede. O atacante faz com que as 
milhares de máquinas infectadas trabalhem como verda-
deiros zumbis, inundando sites com inúmeras requisições 
simultâneas. Assim, o site atacado não consegue suprir a 
demanda de requisições e sai do ar.
O atacante também pode utilizar as máquinas 
infectadas como proxies, ou seja, intermediárias de sua 
ação. Desta forma, ele conseguiria disfarçar a verdadeira 
origem e localização do crime, dificultando a investigação 
ou até mesmo impossibilitando-a. De sorte que montar 
botnets não é um procedimento simples, sendo dominado 
por uma minoria de criminosos. Por outro lado, a utilização 
de proxies não é exclusiva das botnets. Há redes de web-
proxies abertas na Internet para qualquer usuário gratuita-
mente (por exemplo: TOR, VIDÁLIA). http://www1.folha.
uol.com.br/folha/informatica/ult124u590569.shtml, ht-
tps://www.torproject.org/
Usar um serviço desses faz com que o endere-
ço IP de origem seja alterado, impossibilitando o rastre-
amento. Numa analogia mais rotineira, seria como al-
terar a placa de um veículo e utilizá-lo na prática de um 
crime, mas com uma enorme vantagem, pois no caso de 
veículos há fiscalização constante que, num dado mo-
mento capturará o infrator, enquanto na Internet não 
há fiscalização, tampouco legislação que proíba esta 
prática. 
Esse tema é alvo de discussões nos fóruns sobre 
o “marco civil” da Internet, conforme você estudou no mó-
dulo 2. Felizmente, a utilização de proxies ainda não é uma 
prática rotineira para os criminosos da Internet, por isso 
não entraremos em detalhes sobre este tema.
2.1 Interceptação na 
forma legal
Interceptar significa desviar uma cópia de todo 
o sinal elétrico decomunicação de áudio, vídeo ou dados 
que o alvo tem acesso, recebido ou enviado por ele, para 
que seja gravado em mídia e analisado pela autoridade 
competente numa investigação criminal.
A interceptação de comunicações telefônicas e 
telemáticas é prevista no inciso XII, art. 5º da Constituição 
Federal e regulamentada pela Lei Federal 9.296/1996.
A interceptação de uma comunicação só deve 
ser realizada mediante ordem judicial e só pode ser con-
cretizada com a colaboração do provedor de acesso ao 
serviço de voz ou dados. Qualquer interceptação que fuja 
disso será considerada ilegal e não servirá como prova no 
processo judicial. 
2.2 Interceptação 
telefônica
No caso de linha interceptação de sinais de áu-
dio de linhas telefônicas (fixas ou celulares), o procedi-
mento já está consolidado há algum tempo e vem sendo 
muito bem utilizado em investigações e processos judi-
ciais, sendo atualmente a principal fonte de investigação 
das polícias judiciárias em todo o mundo.
Com o advento da portabilidade numérica, tor-
nou-se impossível prever a operadora ou o provedor de 
acesso responsável pela linha telefônica do alvo, sem con-
sultar um banco de dados apropriado e atualizado. 
Assim, o primeiro passo para a efetivação de 
uma interceptação é descobrir o número da linha tele-
fônica ou identificação do serviço de acesso à Internet 
que o alvo utiliza para efetuar as comunicações envol-
vendo o crime investigado, para, a partir daí, solicitar 
à operadora ou provedor responsável que proceda a 
interceptação e o desvio da comunicação para a autori-
dade competente.
É claro que, a autoridade competente terá que 
contar com equipamentos preparados para receber, gravar 
e dar possibilidade de análise do conteúdo para as equipes 
de investigação responsáveis. Existem várias plataformas 
já consolidadas no meio jurídico como sistemas robustos 
para análise de sinais interceptados, sendo os principais 
o sistema Guardião, o sistema Sombra e o sistema Verity. 
Além disso, as operadoras de telefonia celular disponibili-
zam o sistema VIGIA (com configurações individuais para 
cada operadora), onde é possível verificar extratos telefô-
nicos dos alvos, dados cadastrais de interlocutores e ERBs 
utilizadas pelo alvo.
Para saber mais sobre interceptação telefônica, 
http://www.advivo.com.br/blog/luisnassif/como-sao-fei-
tas-as-interceptacoes-telefonicas
AULA 2
Interceptação 
telefônica e telemática
2.3 Descobrindo 
a operadora 
de telefonia 
ou provedor 
responsável
Se for uma linha telefônica, de posse do número 
da linha, para descobrir o provedor é necessário consultar 
um dos sites de informação em tempo real. Sugerimos o 
site oficial da ABR. http://consultanumero.abr.net.br/con-
sultanumero/consulta/consultaSituacaoAtual
Se o número da linha telefônica não for conheci-
do, ou se o acesso for via rádio, TV a cabo, energia elétrica 
ou outro meio seria necessário fazer um trabalho investi-
gativo junto à vizinhança do alvo para obter informações 
que identifiquem o acesso e o provedor.
2.4 Interceptação 
de aparelhos 
celulares pelo 
identificador
Em várias situações, o alvo utiliza vários chips de 
telefonia celular em um mesmo aparelho, afinal o preço 
dos chips e a facilidade em adquiri-los tem sido um facilita-
dor, além de auxiliar o criminoso na intenção de despistar 
a polícia. Nesses casos, é possível que seja feita a intercep-
tação do aparelho celular, independentemente da linha 
telefônica habilitada no momento. 
É claro que é necessário que seja de conhecimen-
to o IMEI – International Móbile EquipmentIdentity (iden-
tificador único do dispositivo móvel celular) do aparelho a 
ser interceptado. Essa informação muitas vezes só é possí-
vel após a primeira interceptação efetuado apenas com o 
número da linha telefônica, e a partir daí a operadora po-
derá indicar o IMEI do(s) aparelho(s) que utilizou(aram) a 
linha alvo. 
OBSERVAÇÕES:
1. Os aparelhos telefônicos com mais de um 
chip têm um IMEI para cada chip a ser habili-
tado, ou seja, na verdade são mais de um apa-
relho acoplados a apenas um conjunto fone/
microfone dentro do mesmo invólucro.
2. Com a venda de aparelhos falsificados, cresce 
a incidência de uso de um mesmo IMEI para 
vários aparelhos. Isso pode fazer com que uma 
interceptação de IMEI capte mais de um alvo, 
inviabilizando juridicamente o processo de in-
terceptação, já que o sigilo de terceiros alheios 
à investigação poderia estar sendo quebrado.
2.5 Interceptação 
telemática
No caso de interceptações de sinais de dados 
(lembre-se que sinais de áudio também podem ser trafega-
dos como sinal de dados) ainda não há uma padronização 
de procedimentos, já que este tipo de interceptação é mais 
raro e difícil de ser implementado, dando margem a vários 
tipos de tecnologia.
Os tipos de equipamentos e a quantidade de tec-
nologias utilizadas pelos provedores dificultam a padroniza-
ção de um procedimento único para todas as operadoras. 
O serviço de dados sobre redes de telefonia ce-
lular está se estabilizando com a tecnologia de terceira ge-
ração (3G) e já está em andamento a quarta geração, que 
chegará em breve com novos protocolos e tecnologias que 
trarão 100MBits/s para o smartphone. 
Isso tornará mais viável financeiramente a utili-
zação de serviços avançados como voz sobre dados, tra-
zendo à tona a tendência de que o serviço de voz tradicio-
nal vá sendo gradativamente substituído pelos serviços de 
VoIP, já que a qualidade do serviços das novas redes 4G 
será muito melhor e com um custo relativamente baixo. 
Além disso, os grandes eventos previstos para 
o Brasil nos próximos anos tendem a trazer muito inves-
timento, e, consequentemente, acelerar ainda mais o pro-
cesso de evolução tecnológica.
2.7 Dificuldades 
e limitações da 
interceptação 
telemática
É importante frisar que as interceptações telemá-
ticas oferecem algumas limitações e dificuldades, tais como:
• A interceptação não mostra o conteúdo da tela 
do alvo tal como foi efetuado no local. Não 
equivale a uma filmagem da tela do alvo. Não 
se pode ver os movimentos do mouse do alvo;
• Ainda não há solução que implementa a re-
montagem do conteúdo interceptado se o 
mesmo for criptografado. Por exemplo, pá-
ginas de bancos (HTTPS), comunicações via 
skype ou whatsapp, entre outros aplicativos 
do gênero têm conteúdo criptografado;
• A interceptação telemática requer da polícia 
acesso a grande recurso computacional e lar-
gura de banda. Atualmente, as operadoras 
oferecem links de até 100Mbits/s na casa de 
usuários residenciais. Se um alvo trafega a esta 
velocidade, a autoridade interceptante terá 
que ter um link com uma largura de banda 
ainda maior para conseguir interceptar todo o 
conteúdo sem perdas;
• Os processos burocráticos impostos pela le-
gislação e normas administrativas de governo 
muitas vezes atrasam o processo de aquisição 
de serviços e recursos tecnológicos de última 
geração. Ao contrário disso, os provedores fre-
quentemente utilizam equipamentos com tec-
nologia de última geração, dificultando para a 
equipe de investigação efetuar o tratamento da 
informação coletada no alvo da interceptação;
• As operadoras de telefonia não têm nenhuma 
padronização tecnológica, de equipamentos 
ou protocolos de entrega das informações in-
terceptadas, sendo necessário que a autorida-
de tenha um arsenal de tecnologias para cobrir 
cada caso.
3.1 Níveis do serviço 
VoIP
O serviços de VoIP não tem padronização ou nor-
matização formal. Por isso, vem sendo oferecido das mais 
diversas formas e nos mais diversos níveis. Pode ser consi-
derado VoIP, desde um usuário que utiliza um aplicativo de 
comunicação instantânea por áudio no seu computador, tais 
como MSN, SKYPE, GTALK, etc, com um fone de ouvido e 
microfone, até uma grande operadorade telecomunicações 
que oferece o serviço de telefonia VoIP, passando por empre-
sas de todos os portes que utilizam esta tecnologia para fa-
zer ligações internas entre suas sedes e externas para todo o 
mundo, valendo-se da Internet para baratear custos. A ima-
gem a seguir exemplifica esta questão.
AULA 3
Serviço VoIP (Voice over 
IP – Voz sobre IP)
No cenário de VoIP temos as ligações de compu-
tador para computador via Internet, utilizando uma rede 
social qualquer. Ou ligações de Internet para a rede telefô-
nica convencional ou vice-versa. 
Então, o primeiro requisito para um serviço de 
VoIP completo é que o provedor interligue-se com as redes 
Internet e a RTPC (Rede de Telefonia Pública Comutada). 
Muitas operadoras de telefonia têm feito esse papel, assim 
como pequenas empresas que estão entrando no mercado.
Assim, como a Internet é global e o atacante cri-
minoso ainda tem possibilidade de acessos remotos, é pos-
sível que um crime seja cometido acessando a rede telefô-
nica a partir de qualquer local do mundo via Internet. Esse 
é um recurso muito utilizado pelos estelionatários. 
Neste cenário, é possível que o fraudador com-
pre um número de linha telefônica com um código DDD/
DDI de qualquer parte do mundo e acesse de qualquer ou-
tro local. Isso pode confundir a vítima e a autoridade que 
investigará futuramente, tornando a identificação da real 
origem do criminoso muito mais difícil.
3.2 Como o criminoso 
se beneficia do 
serviço VoIP
Na maioria das vezes o criminoso, quase sempre 
estelionatário, se vale da facilidade de acessar a rede tele-
fônica por meio da Internet de qualquer parte do mundo. 
O criminoso então pode contratar os serviços de uma das 
operadoras e ganhar um número telefônico convencio-
nal com qualquer código DDD que queira. Desta forma, o 
criminoso pode originar e receber chamadas de qualquer 
lugar do mundo via Internet. Não há um local de instala-
ção física para esta linha telefônica, embora ela receba um 
código DDD convencional.
Neste caso, a única possibilidade de identi-
ficar a localização do alvo é por meio do endereço IP 
que ele utilizou para acessar a Internet e conectar-se 
à operadora que oferece o serviço a ele. Neste caso, é 
preciso contar com a sorte de a operadora ter esta in-
formação, já que não há lei que a obrigue. Outra fonte 
de informação seria a forma como o criminoso efetua o 
pagamento do serviço.
Os estelionatários costumam utilizar esse servi-
ço para despistar a autoridade policial publicando um nú-
mero de telefone com DDD diferente da sua localização. 
Se a autoridade policial não tiver conhecimento ou apoio 
técnico para desvendar, poderá levar muito tempo até se 
inteirar sobre o assunto e descobrir o truque.
4.1 Situações de 
crimes envolvendo 
dispositivos móveis
Frequentemente uma equipe de investigação 
depara-se com situações onde a vítima ou comunicante de 
um crime relata o envolvimento de um dispositivo móvel 
em um crime.
As situações mais rotineiras dos dispositivos mó-
veis são as descritas a seguir:
• O dispositivo móvel foi furtado/roubado (no-
tebook ou smartphone);
• O aparelho celular foi levado junto com vítima 
de sequestro relâmpago;
• O criminoso está fazendo contato via celular: 
qual a localização dele?
• O criminoso está em deslocamento (área ur-
bana, área rural ou estrada) ou faz um mesmo 
caminho diário;
• O dispositivo móvel está na posse de pessoa 
desaparecida;
• O alvo troca de chip ou troca de aparelho: IMEI 
- *#06#.
4.2 A tecnologia 
móvel
Os dispositivos móveis rastreáveis geralmente 
são os ligados à rede de telefonia celular, por meio de um 
chip de tecnologia celular (atualmente – 2013 – rede 3G 
de voz, texto e dados) ou a rede GPS (Global Position Sys-
tem) já incluso na maioria dos smartphones modernos.
As redes móveis baseadas em Bluetooth, WiFi 
e WiMax são rastreáveis apenas utilizando o endereço IP, 
por isso o método utilizado na localização de dispositivos 
ligados a essas redes é o mesmo das redes fixas, já que a 
ligação delas à Internet é, de fato, fixa, sendo móvel apenas 
os terminais dos usuários. Os ataques sofridos por esses 
tipos de rede são efetivados por meio da exploração do 
descuido ou da fragilidade do usuário final. O estudo da 
exploração dessas redes não será tratado neste curso, mas 
num possível módulo avançado a ser desenvolvido futu-
ramente.
A figura a seguir ilustra bem este tema.
AULA 4
Rastreamento de 
dispositivos móveis
Na rede celular, geralmente é possível contar 
com as operadoras de telefonia móvel (TIM, CLARO, OI, 
VIVO ou NEXTEL), que mediante mandado judicial terá 
obrigação de fornecer informações sobre a localização 
aproximada do dispositivo móvel investigado. Esta locali-
zação é dada através da identificação da antena com a qual 
o alvo está se comunicando num dado momento.
4.3 A distribuição 
das antenas
As operadoras de telefonia móvel mantêm uma 
área de cobertura distribuindo antenas denominadas ERBs 
(Estação Rádio Base). A cobertura do sinal geralmente visa 
o lucro da empresa, logo, é baseada na demanda, que evi-
dentemente é maior nas áreas urbanas das grandes cida-
des. As áreas rurais e pequenas cidades muitas vezes são 
atendidas por força da Agência Reguladora (Anatel), sendo 
quase sempre precariamente atendidas.
As ERBs são distribuídas espaçadamente de for-
ma a cobrirem áreas denominadas células (daí o nome “ce-
lular”). Como o sinal de radiofrequência é muito instável 
e depende de diversas variáveis ambientais como relevo, 
chuva e umidade do ar, o sinal de cada ERB varia muito. 
O formato hexagonal serve apenas como modelo didático 
para projetos e estudo, mas na prática o formato da célula 
tem aparência que lembra mais uma ameba (algo total-
mente irregular).
As figuras anteriores mostram o deslocamento 
do dispositivo móvel em direção a áreas atendidas por 
outras antenas (ERBs). Quando o dispositivo móvel sai da 
área atendida por uma ERB (hexágono) e passa para a área 
de outra antena, aquele terminal passa a ter contato com 
outra antena. Esse procedimento de troca de ERB é chama-
do “handoff” ou “handover”.
A operadora que disponibiliza o serviço ao ter-
minal móvel tem condições de manter um registro de to-
das as ERBs e cada terminal que se comunica com cada 
uma delas. Essa informação é o que mais interessa em caso 
de investigações. Com ela a equipe de investigação pode 
identificar uma área geográfica onde poderia efetuar bus-
cas para localização de um terminal investigado.
É bom lembrar que um dispositivo móvel celu-
lar geralmente se comunica com a ERB mais próxima, mas 
se há uma ocupação total dos canais e ele está numa área 
onde há possibilidade de se comunicar com outras ERBs 
mais distantes, certamente isso ocorrerá. Essa situação não 
é rara de acontecer, já que as redes das operadoras estão 
atualmente atuando no limite de demanda. A equipe de 
investigação deve estar atenta.
4.4 O rastreamento 
da ERB e azimute
O importante aqui é saber que as operadoras 
têm condição de identificar com qual antena (ERB) o dis-
positivo móvel está se comunicando e disponibilizar essa 
informação para a autoridade policial, que a partir daí terá 
condições de diminuir a área de busca pelo alvo ou confir-
mar uma suspeita anteriormente identificada. A área de 
busca vai depender da área de cobertura da ERB com que 
o alvo está se comunicando. 
A maioria das ERBs mais modernas funcionam 
com três antenas direcionais que cobrem cerca de 120 
graus (dos 360 graus do círculo em torno da antena) cada 
uma. A operadora pode disponibilizar o parâmetro cha-
mado “azimute”, que dá ideia da direção em torno da ERB 
na qual o alvo deve estar. Veja a imagem a seguir.
4.5 Intersecção de 
ERBs e intensidade 
do sinal
Algumas operadoras são capazes daruma esti-
mativa de intensidade do sinal recebido do aparelho mó-
vel, o que poderia dar uma ideia da distância que o alvo 
deve estar a partir da distância radial da antena ou ainda 
pode saber que o sinal do aparelho móvel está sendo cap-
tado por outras antenas próximas, concluindo que o alvo 
deve estar numa área de intersecção dessas antenas.
Assim, a operadora pode ajudar a autoridade po-
licial a diminuir muito a área de busca. Em alguns casos 
pode-se chegar a uma precisão muito boa e determinar o 
local onde o alvo está com uma margem de erro de poucos 
metros.
Nem todos os casos podem ser resolvidos dessa 
maneira. Muitas vezes, a operadora alega que os equipa-
mentos não geram essas informações.
4.6 Rastreamento 
com GPS
Os dispositivos GPS (Global Position System) es-
tão presentes na maioria dos smartphone modernos, em 
notebooks, tablets e em muitos veículos também. 
Nestes casos, é possível ter uma localização exa-
ta de um dispositivo como esses que estiver ligado a um 
crime ou criminoso.
No caso de furtos de equipamentos, que muito 
comum. Há aplicativos que garantem a segurança do dis-
positivo. Muitos deles são disponibilizados gratuitamente 
pelos próprios fabricantes do dispositivo bastando ao usu-
ário que habilite esta funcionalidade. Existem aplicativos 
disponíveis no mercado que ao serem instalados no dis-
positivo móvel podem dar a localização exata do equipa-
mento furtado e inclusive tirar fotos e enviar ao dono via 
e-mail.
4.7 Dificuldades e 
facilidades
Ressalta-se que, tanto nos equipamentos celula-
res como nos GPS o criminoso tem a possibilidade de des-
ligar o equipamento ou retirar a bateria para que ele não se 
comunique e não emita sinal que facilite o rastreamento.
Por outro lado, a maioria dos usuários de celu-
lar não sabe, mas a operadora pode inserir um dispositivo 
furtado numa lista negra, de forma que ele jamais volte a 
ser habilitado em qualquer operadora de telefonia. Isso 
tornaria o furto sem atração para os criminosos. O proce-
dimento é muito mais preventivo do que repressivo e não 
contribui com a investigação criminal, pelo contrário tor-
na impossível que o autor, ou terceiro ligado a ele, volte a 
utilizar o equipamento, dando margem ao rastreamento. 
De qualquer forma, é interessante orientar as vítimas e a 
população em geral a efetuar esse procedimento.
FINALIZANDO
• Engenharia social é a técnica utilizada para levantar informações de qualquer 
pessoa desconhecida. Nessa técnica, o atacante vale-se da fragilidade da vítima 
para conseguir informações imprescindíveis para o início de um ataque.
• A facilidade de comunicação trazida pelos aplicativos de mensagens eletrôni-
cas e-mail, trouxe também facilidades para a questão da propaganda comercial. 
Nesse contexto surgiram as mensagens denominadas “SPAM”. 
• Um dos tipos de malware mais ofensivos são os cavalos de troia ou trojan hor-
ses, pois têm como características possibilitar que o terminal infectado seja 
acessado e controlado pelo atacante remotamente.
• O tratamento dado pelas autoridades com relação a crimes onde o autor utiliza 
malwares para atingir o objetivo é tentar rastrear a origem do crime analisando 
as ações do malware passo-a-passo. Esse tipo de análise é feita em ambiente 
virtual isolado e exclusivamente preparado para esse fim.
• A interceptação de uma comunicação só deve ser realizada mediante ordem 
judicial e só pode ser concretizada com a colaboração do provedor de acesso ao 
serviço (de voz ou dados). Qualquer interceptação que fuja disso será conside-
rada ilegal e não servirá como prova no processo judicial. 
• As operadoras de telefonia móvel mantêm uma área de cobertura distribuin-
do antenas denominadas ERBs(Estação Rádio Base). As ERBs são distribuídas 
espaçadamente de forma a cobrirem áreas denominadas células (daí o nome 
“celular”).
• O importante aqui é saber que as operadoras têm condição de identificar com 
qual antena (ERB) o dispositivo móvel está se comunicando e disponibilizar 
essa informação para a autoridade policial, que a partir daí terá condições de 
diminuir a área de busca pelo alvo ou confirmar uma suspeita anteriormente 
identificada. 
• Os dispositivos GPS (Global Position System) estão presentes na maioria dos 
smartphone modernos, em notebooks, tablets e em muitos veículos também. 
MÓDULO 1
1 - (x) Registro de eventos com endereços IP, datas e horas.
2 - (x) registro de endereços eletrônico, data e hora de 
acesso do usuário.
3 - (x) unir esta informação a outras obtidas por meio tradi-
cional para apontar a autoria.
4 - (x) endereço IP, endereço URL e endereço de E-mail.
5. F / F / V / V
MÓDULO 2
1 - ( x ) A “lei dos cybercafés” não especifica as punições 
para quem não cumpre as normas vigentes e não estabe-
lece o órgão governamental competente para fiscalizar o 
cumprimento.
2 - ( x ) Por meio do endereço IP é possível definir a região 
onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informações sobre criminosos na 
Internet são os provedores de acesso e os provedores de 
serviço na Internet.
4 - ( x ) O MLAT é um acordo de assistência legal mútua 
entre os países que facilita o levantamento de informações 
em ambiente estrangeiro.
MÓDULO 3
1 - Orientação para resposta: 
Provedores de serviços são as empresas que fornecem al-
gum tipo de serviços na Internet, tais como e-mail, portal 
de notícias, chat, comunicação instantânea, entretenimen-
to, comércio eletrônico, homebank, entre outros. Esses 
provedores podem apontar qual o endereço IP utilizado 
pela conexão onde o suspeito de um crime utilizou a Inter-
net para acessar o serviço no momento da prática delitu-
osa. As maiores empresas do ramo são Google, Microsoft, 
Yahoo, UOL, entre outras.
Provedores de acesso são as empresas que disponibilizam 
os meios físicos de transmissão de dados e os equipamen-
tos de rede de comunicação que possibilitam ao usuário 
acessar a Internet. Esses provedores podem identificar o 
endereço completo de instalação do acesso à Internet que 
utilizou determinado endereço IP na respectiva data e ho-
rário do fato delituoso. As maiores empresas neste ramo 
são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
 
2 - (x) Os provedores sempre guardam os registros de 
eventos por 5 anos, de acordo com a legislação vigente no 
Brasil.
GABARITO
3 - ( x ) Endereços IP dinâmicos são compartilhados entre 
os vários clientes de um provedor de acesso de forma que 
é extremamente necessário que sejam vinculados a data 
e horário para que o cliente responsável seja identificado. 
4 - Orientação para resposta: 
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa de 
leitura de e-mail ou seu serviço de webmail). Identifique o IP 
válido que equivale ao IP da conexão de origem da mensagem. 
Utilize sites de geo-localização de IP como http//en.utrace.de 
para identificar a localização geográfica aproximada.
5 - Orientação para resposta: 
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa 
de leitura de e-mail ou seu serviço de webmail). Identifi-
que o IP válido que equivale ao IP da conexão de origem 
da mensagem. Utilize sites de geo-localização de IP como 
http//en.utrace.de para identificar a localização geográfica 
aproximada.
6 - Orientação para resposta: 
6.1. Pesquise nos sites http://registro.br ou http://whois.sc 
para identificar o provedor responsável por cada um dos 
endereços IP fornecidos pela Microsoft. Utilize a tabela 
de conversão para converter os horários de uso dos en-
dereços IP dos timezones da Microsoft para os brasileiros 
(atente-se para a questão do horário de verão).
6.2. utilize sites de geo-localização para identificar a região 
aproximada dos endereços IP.MÓDULO 4
1. (x) Na Internet, principalmente em sites de redes sociais, 
geralmente são descartados como fonte de informação em 
investigações porque os perfis são fechados e não expõem 
o usuário.
2. (x) Busca sistemática equivale à fazer pesquisas fre-
quentes e lidar com os crimes na Internet mesmo que não 
haja nenhum registro oficial de vítimas.
MÓDULO 5
1 - (x) Os computadores a serem apreendidos devem ser 
imediatamente puxados da tomada.
2 - Orientação para resposta
Lembre-se de que o computador pode conter aplicativos 
de criptografia e que o conteúdo está somente na me-
mória volátil. Lembre-se também que o dispositivo ar-
mazenado deve ser preservado para que não seja conta-
minado após o início da operação de busca e apreensão. 
Lembre-se ainda que a análise do material apreendido 
não deve ser feita no dispositivo original, mas sim em 
uma cópia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identi-
ficados, catalogados, fotografados e cuidadosamente des-
critos.
MÓDULO 6
1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-
vos não originais.
2. (x) A engenharia reversa trabalha tentando descobrir 
como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicação criptografada 
não é possível acessar o conteúdo por meio de intercepta-
ção telemática.
4. b / d / a / h / f / e / g / c