TEXTO 00 - Apostila Curso Detecção de Fraudes Eletrônicas em Períodos de Crise

Prévia do material em texto

PRESIDÊNCIA DA REPÚBLICA 
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA 
Secretaria Nacional de Segurança Pública 
Diretoria de Ensino e Pesquisa 
Coordenação Geral de Ensino 
Núcleo Pedagógico 
Coordenação de Ensino a Distância 
 
Conteudista: 
ALESANDRO GONÇALVES BARRETO 
RICARDO MAGNO TEIXEIRA FONSECA 
 
Revisão Pedagógica: 
 ARDMON DOS SANTOS BARBOSA 
 
 
 
 
 
 
 
Sumário 
Apresentação do Curso..................................................................................05 
Objetivos do curso .........................................................................................06 
Estrutura do curso..........................................................................................06 
 
MÓDULO 1 – Contextualização......................................................................07 
Apresentação do módulo...................................................................................07 
Objetivos do módulo..........................................................................................07 
Estrutura do módulo...........................................................................................07 
Aula 1 – O Surgimento de um Cenário Dependente da Tecnologia............08 
Aula 2 – Segurança Pública e Pandemia.......................................................10 
2.1. Criminalidade Organizada e Pandemia 
 
MÓDUL 2- Engenharia Social.........................................................................13 
Apresentação do módulo...................................................................................13 
Objetivos do módulo..........................................................................................14 
Estrutura do módulo...........................................................................................14 
Aula 1 - Conceito e Classificação...................................................................14 
Aula 2 - Engenharia Social: A Exploração da Vulnerabilidade Humana....16 
Aula 3 - Operacionalidade da Engenharia Social.........................................18 
 
MÓDULO 3 - Modalidades de Engenharia Social pelo Uso da 
Tecnologia........................................................................................................21 
Apresentação do módulo...................................................................................21 
Objetivos do módulo..........................................................................................22 
Estrutura do módulo..........................................................................................22 
Aula 1 – Phishing Scam e suas Modalidades...............................................22 
1.1. Antecipação de Recursos ((ADVANCE FEE FRAUD) 
1.2. Fraudes em Plataforma de E-Commerce 
Aula 2 - Estudo de Casos................................................................................27 
2.1. Caso envolvendo a produção álcool em gel (caso ambev) 
2.2 Caso do falso aplicativo com informações sobre a covid-19 
2.3. Caso do falso plano de internet gratuita em razão da pandemia 
2.4. Caso da “clonagem” de contas do aplicativo whatsapp e pedidos ilegítimos 
de dinheiro e dados 
Aula 3 - Outros Golpes Atualmente Aplicados com o Uso de Engenharia 
Social pela Rede..............................................................................................36 
 
MÓDULO 4 -Atuação do profissional de segurança pública.......................39 
Apresentação do módulo...................................................................................39 
Objetivos do módulo..........................................................................................40 
Estrutura do módulo...........................................................................................41 
Aula 1 - Da prevenção às fraudes praticadas na Internet, especialmente 
em tempos de Pandemia.................................................................................41 
1.1. Utilização de Fontes Abertas 
1.2. Remoção de aplicativos falsos 
1.3. Identificando e denunciando o perfil falso no Whatsapp 
1.4. Procedimentos ao Identificar a conta clonada no Whatsapp. 
1.5. Contas falsas no Instagram 
1.6. Perfil falso no Facebook 
1.7. Opções para denúncia junto ao Google 
1.8. Desindexação de conteúdo 
1.9. 
Considerações Finais......................................................................................54 
Referências Bibliográficas..............................................................................55 
 
 
 
 
 
 
 
FRAUDES ELETRÔNICAS EM TEMPOS DE PANDEMIA 
 
APRESENTAÇÃO 
 
Em tempos de pandemia, novos desafios são apresentados aos 
profissionais da Segurança Pública, dentre muitos, destaca-se o incremento das 
fraudes praticadas na Internet. 
Uma gama de fatores contribui, sobremaneira, para essa migração do 
crime: isolamento social, crescimento do comércio eletrônico, prejuízos 
econômicos, pagamento de benefícios sociais, contingenciamento das forças de 
segurança pública, dentre outros fatores. 
Algumas fraudes surgiram com o coronavírus, outras apenas adequaram 
seu modus operandi para o momento atual. Nesse contexto, faremos uma 
abordagem sobre os principais golpes praticados, notadamente, fatos coletados 
através de informações públicas livremente disponíveis. 
Por fim, demonstraremos os caminhos a serem seguidos pelos 
profissionais de segurança pública, tanto no enfrentamento quanto na prevenção 
das fraudes a fim de mitigar os prejuízos milionários por ela causados. 
Não procuraremos, pois, esgotar a temática. A infinidade de recursos 
disponíveis para a prática de golpes na internet impossibilita-nos de fazer isso 
durante esse período. Cabe-nos, de maneira didática, repassar ao profissional 
de segurança pública, a casuística e os caminhos para a mitigação dos efeitos 
danosos dessa modalidade delitiva em tempos de pandemia e oportunismo. 
Bom curso a todos! 
 
 
Objetivos do Curso 
 
Ao final do estudo do curso você será capaz de: 
• Contextualizar o cenário atual de crise. 
• Compreender a relação de dependência das sociedades à tecnologia. 
• Relacionar situações de crise à Segurança Pública. 
• Definir Engenharia Social. 
• Identificar fraudes eletrônicas. 
• Citar ações voltadas à cibersegurança. 
• Mitigar danos relacionados à golpes virtuais. 
• Prevenir e combater tentativas de ataques maliciosos. 
 
Estrutura do Curso 
O curso é composto por 4 módulos: 
Modulo 1. Contextualização 
Módulo 2. Engenharia Social 
Modulo 3. Modalidades de Engenharia Social pelo Uso da Tecnologia 
Modulo 4. Atuação do profissional de segurança pública 
 
 
 
 
 
 
 
 
 
 
 
 
MODULO 1. CONTEXTUALIZAÇÃO 
 APRESENTAÇÃO 
Em meados de dezembro de 2019, a Organização Mundial da Saúde foi 
alertada por autoridades chinesas sobre uma pneumonia de origem 
desconhecida que estava afetando a população de Wuhan, China. 
Passados alguns dias, a doença foi identificada como o novo coronavírus 
(COVID-19). Com sintomas que variam desde um pequeno resfriado até uma 
pneumonia severa, o coronavírus alastrou-se pelo planeta e levou consigo 
milhares de pessoas mortas. 
Essa disseminação mundial fez com que a OMS declarasse o COVID-19 
uma pandemia. Por outro lado, as formas de contágio (espirro, tosse, saliva, 
aperto de mão, objetos contaminados, dentre outros), reforçaram as 
recomendações pelo distanciamento social a fim de diminuir a curva de contágio 
da doença e, via de consequência, minimizar a sobrecarga no sistema hospitalar 
para evitar um colapso. 
Desde então, alguns países passaram a restringir a circulação de pessoas 
nas ruas, permitindo apenas a continuidade apenas de serviços essenciais. Em 
alguns locais, decretou-se até mesmo o lockdown, com multas elevadíssimas 
para quem descumprisse as regras do isolamento. 
 
Objetivos do Módulo 
 
Ao final do estudo deste módulo, você será capaz de: 
 
• Identificar as mudançasocorridas no mundo durante a ocorrência da 
pandemia do COVID-19. 
• Reconhecer a situação de dependência tecnológica da sociedade 
moderna e os riscos que essa conectividade representa. 
• Examinar os impactos da pandemia e das crises em geral no sistema de 
segurança pública. 
• Descrever as causas de migração da criminalidade para o ambiente 
cibernético. 
 
Estrutura do Módulo 
 
Este módulo e formado por 2 aulas: 
 
Aula 01 – O Surgimento de um Cenário Dependente da Tecnologia 
 
Aula 02 – Segurança Pública e Pandemia 
 
Aula 01 – O SURGIMENTO DE UM CENÁRIO DEPENDENTE DA 
TECNOLOGIA 
Isoladas nas suas residências, a interconectividade cresceu de forma 
considerável para buscar suportar diversos cenários: 
a) Informações sobre a pandemia: com a suspensão de atividades como 
as de ensino e, em alguns casos, do expediente presencial em postos de 
trabalho, as pessoas têm utilizado ainda mais a internet como meio de se 
manterem conectadas e informadas. O momento atual demonstra de 
maneira clara como o exercício do direito à comunicação e do direito à 
informação são centrais para a garantia do direito à saúde. A 
comunicação e a informação são elementos centrais no combate à 
pandemia. Sobretudo a internet tem sido espaço fundamental para que 
as pessoas acessem informação de qualidade sobre a crise sanitária, por 
meio de sites, portais, aplicativos e outros recursos disponibilizados pelos 
poderes e instituições públicas; 
 
b) Home Office: esta modalidade de trabalho era antes restrita a alguns 
profissionais. O home office foi a solução à realidade de milhares de 
trabalhadores no Brasil e no mundo por causa da pandemia de 
coronavírus. Nem todas as profissões podem simplesmente migrar para 
o formato a distância, mas, para serviços de escritório, feitos em 
computador, essa foi a alternativa encontrada por diversas empresas e 
órgãos públicos para manter a produtividade e, ao mesmo tempo, 
preservar a saúde dos funcionários; 
 
c) Entretenimento: o fechamento de estabelecimentos, com a 
determinação de isolamento, aliada a suspensão de diversas atividades 
públicas e artísticas expõe toda a fragilidade da atual conjuntura mundial, 
e de certa forma, força as pessoas a se adaptarem em todos os 
segmentos. Logo nas primeiras semanas da pandemia COVID-19, 
iniciaram-se as chamadas “lives” de forma amadora nas sacadas e 
varandas de apartamentos, sem grandes estruturas, com o objetivo único 
de entreter vizinhos e fãs, de modo a amenizar a dura situação do 
isolamento. Porém, isso tem mudado, e cada vez mais tem-se perdido a 
espontaneidade inicial, os artistas têm feito verdadeiros shows ao vivo via 
internet, juntando milhões de pessoas em transmissões virtuais, gerando 
muito dinheiro e repercussão; 
 
 
d) Telemedicina: é o exercício da medicina por meio da comunicação 
interativa, como, por exemplo, videochamadas. Assim, não é necessário 
o contato físico entre pacientes e médicos, poupando ambos do 
deslocamento e do encontro. A Telemedicina pode ser feita em diversas 
modalidades, dentre as quais: a teleorientação (orientação e 
encaminhamento de pacientes remotamente), telemonitoramento 
(supervisão e o monitoramento de parâmetros de saúde do paciente à 
distância) e Teleinterconsulta (troca de informações e opiniões entre 
médicos, para o auxílio diagnóstico ou terapêutico); 
 
e) Negócios: A pandemia provocada pelo novo Coronavírus impactou 
severamente a economia de todo o país e em pouco tempo. 
Principalmente os donos de pequenos negócios, precisaram fechar as 
portas de seus estabelecimentos físicos e ficar em casa para diminuir a 
propagação da doença. Consequentemente, veio a redução no 
faturamento dessas empresas e muitos empreendedores, buscando 
evitar a falência, migraram suas atividades para o ambiente virtual. O uso 
de aplicativos criados para auxiliar o processo de comunicação nos 
negócios, como o Whatsapp Business, por exemplo, generalizou-se neste 
segmento. Além disso, houve o aumento significativo do comércio 
eletrônico e serviços delivery. As compras de produtos e serviços 
passaram a ser efetivadas agora através de plataformas de comércio 
eletrônico, websites e aplicativos de refeições. O usuário não precisa sair 
de casa. 
 
Agregue-se a esse cenário, dúvidas, medo, ansiedade e pânico sobre a 
doença. As pessoas passaram a clicar em tudo que tivesse correlação com a 
pandemia: mensagens e links enviados por WhatsApp, publicações no 
Instagram e Facebook, aplicativos com informações sobre infecções, sites com 
conteúdo voltado à doença, opiniões de “especialistas de plantão”, dentre outros. 
Por fim, o pagamento de auxílio governamental, efetivado para minorar os 
efeitos econômicos da diminuição de renda durante a pandemia. Diversos países 
passaram a repassar quantias mensais às pessoas afetadas, especialmente, os 
trabalhadores da economia informal. No Brasil, foi ofertado o valor de R$ 600,00 
(seiscentos reais) e, para as mães chefes de família, R$ 1.200,00 (um mil e 
duzentos reais). 
Estamos diante, pois, de cenários atrativos a migração do crime para o 
ambiente cibernético. 
 
Aula 02 - SEGURANÇA PÚBLICA E PANDEMIA 
A segurança pública também sofreu vários impactos durante a crise do 
coronavirus. Primeiramente, destaca-se o redirecionamento das forças policiais 
das suas atividades rotineiras de prevenção e repressão de crimes para auxiliar 
nas medidas de fiscalização de distanciamento social. 
Um outro aspecto a ser mencionado é o afastamento de diversos policiais 
das atividades diárias em razão de serem parte de grupos de risco ou ainda em 
decorrência da contaminação do coronavírus. Em alguns locais, houve até 
mesmo o revezamento do efetivo, sobretudo para evitar a contaminação de toda 
equipe. 
Se por um lado estava havendo esse contingenciamento do efetivo, 
merece destaque, todavia, o aumento das apreensões de substâncias 
entorpecentes e de contrabando nas fronteiras. Com o fechamento delas, houve 
a necessidade do incremento do efetivo policial. O aumento da fiscalização e de 
barreiras sanitárias trouxe resultados consideráveis na repressão a essas 
modalidades delitivas. Os resultados da Operação Hórus, do Programa Nacional 
de Fronteiras e Divisas são bastante expressivos. Segundo dados apontados 
pelo Ministério da Justiça e Segurança Pública, através de comparação entre 
dias antes e depois do fechamento das fronteiras, houve um aumento de 180% 
nas apreensões de drogas, saindo de 1,4 para 3,9 toneladas. As referências 
ainda são maiores quando falamos da apreensão de cigarros contrabandeados1. 
 
CRIMINALIDADE ORGANIZADA E PANDEMIA 
A migração da criminalidade para o ambiente cibernético não é um fato 
recente. Esse espaço tem se tornado bastante atrativo, notadamente em razão 
de: 
● Escalabilidade: aumento das atividades criminosas sem ampliação 
dos custos; 
● Anonimidade: inúmeras são as plataformas ofertadas com 
criptografia ponto a ponto e a custo zero. Aplicações de internet 
que foram criadas com fins lícitos, passam a ser empregadas para 
a prática delitiva e, garantem, sobremaneira, um aparato 
tecnológico para “blindar” o criminoso e; 
● Impunidade. 
 
1 Ministério da Justiça e Segurança Pública. Apreensões de drogas e cigarros aumentam mais 
de 300% com fechamento das fronteiras. Programa Vigia ganhou reforço de policiais nas 
fronteiras. Publicada em 24 mar. 2020. 
 
A pandemia trouxe, por sua vez, diversos outros fatores atrativos para a 
prática de fraudes na Internet. Com menos pessoas nas ruas e um maior 
policiamento, os ganhos ilícitos do crime foram impactados. As perdas deveriam 
ser recuperadas e necessitava-se, pois, de repará-las o quanto antes. 
Através da pandemia do oportunismo. 
Usuários ansiosos por informações, medo, auxílio do governo federal, 
“clicks nervosos” em links maliciosos, compras de produtos e serviços online 
impulsionaram os ganhos ilícitos, verdadeiro combustívelpara fomentar a prática 
de fraudes em tempos de coronavírus. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
MÓDULO 2. ENGENHARIA SOCIAL 
 
APRESENTAÇÃO 
O elemento humano é o ponto mais vulnerável de qualquer sistema de 
segurança, mesmo aqueles que estão fora do universo informacional e 
tecnológico. Nos ambientes corporativos, a segurança da informação é um 
aspecto estratégico em qualquer entidade, dado o grande valor dos ativos 
digitais nos modelos de negócio atuais. Todavia, embora muito significativo, 
representa uma parte dos pontos a ser gerenciados. A segurança predial ou 
física de um local, por exemplo, também é de grande valor e, da mesma forma, 
estabelece-se um sistema, baseado em regras e rotinas a seus frequentadores. 
Contudo, diariamente são noticiados invasões e furtos a 
estabelecimentos empresariais e comerciais, mesmo dotadas de artefatos 
tecnológicos, como câmeras de CFTV e alarmes, ou de segurança armada. Do 
mesmo modo, grandes empresas de tecnologia também sofrem invasões e seus 
executivos testemunham enormes danos a sistemas internos, dentre os quais, 
subtração de dados e vazamentos de arquivos preciosos. 
Em 2011, a empresa Sony teve sua divisão de games, chamada 
“PlayStation Network” invadida. Hackers não-identificados penetraram na rede, 
derrubaram e ainda roubaram dados pessoais de mais de 77 mil usuários do 
serviço, o que forçou a empresa a lidar com muitas reclamações e até com 
alguns processos. Apenas três anos depois, a empresa Yahoo revelou uma 
invasão de hackers que acabou comprometendo a segurança de 500 milhões de 
contas do serviço. No mesmo ano a Sony Pictures, divisão cinematográfica da 
marca Sony, também foi atacada. Ela teve sua rede novamente violada, desta 
vez por um grupo de hackers conhecidos como “Guardians of Peace” (Guardiões 
da Paz), que vazaram informações sobre funcionários e executivos do estúdio. 
Nessa seara, muita ênfase relacionada à segurança é dada à 
implementação de tecnologias preventivas e detectivas, como antivírus, IDS 
(Sistema de Detecção de Intrusões), IPS (Sistema de Prevenção de Intrusões), 
Firewalls etc., ignorando completamente o comportamento não técnico. 
 
Objetivos do Módulo 
 
Ao final do estudo deste módulo, você será capaz de: 
 
• Apontar o conceito de Engenharia Social. 
• Classificar as categorias de tentativas de fraudes mediante atividade da 
engenharia social. 
• Identificar o papel humano como responsável pela segurança e combate 
às fraudes. 
• Examinar os riscos existentes em ambientes domésticos e corporativos 
frente aos ataques planejados com base na engenharia social. 
• Analisar as fases existentes em golpes operacionalizados por meio da 
engenharia social. 
 
 
Estrutura do Módulo 
 
Este módulo e formado por 3 aulas: 
 
Aula 01 – Conceito e Classificação. 
Aula 02 – Engenharia Social: A Exploração da Vulnerabilidade Humana. 
Aula 03 – Operacionalidade da Engenharia Social. 
 
Aula 01 - CONCEITO E CLASSIFICAÇÃO 
Engenharia social é o nome dado à categoria de investidas ou ataques 
(segurança cibernética) que envolvem manipulação intencional de um indivíduo 
ou grupo, em um esforço para obter vantagens indevidas (direito penal), dados 
ou informações (segurança cibernética), bem como para afetar determinado 
comportamento geralmente através de alguma forma de engano e ocultação de 
seu objetivo real. Como se pode perceber, o termo Engenharia Social recebe 
contornos conceituais quando relacionado aos aspectos cibernéticos ou físicos 
dessa atividade. 
Quando o contexto se refere à violação de cibersegurança, pode ser 
definido como o uso de truques psicológicos por um hacker externo em usuários 
legítimos de um sistema de computador, a fim de obter as informações de que 
ele precisa para obter acesso ao sistema. 
Entretanto, a prática de enganar alguém, pessoalmente ou por telefone 
(meios físicos ou não cibernético) acaba surtindo os mesmos efeitos do que 
usando um computador, pois, no fundo, a intenção expressa é a mesma, ou seja, 
de violar algum nível de segurança pessoal, profissional ou mesmo tecnológico. 
A expressão “engenharia social”, porém, é mais utilizada para descrever 
técnicas ardilosas no âmbito da tecnologia. Neste sentido, é definida como um 
tipo de intrusão não técnica, que depende muito da interação humana, que 
geralmente envolve induzir outras pessoas a violar os procedimentos normais de 
segurança. 
Aos criminosos, que usam técnicas de engenharia social para obtenção 
de credenciais personalíssimas e informações sigilosas para fins ilícitos, é dado 
o nome “engenheiros sociais”. O perfil deste tipo de delinquente é variante, 
afastando-se o estereótipo de que se trata sempre de profissionais da tecnologia 
mal-intencionados. 
O que se deve levar em conta nesta seara, é que a atuação de um 
indivíduo no universo criminológico cibernético resulta de motivações diversas, 
as quais podem ser arroladas como: interesse financeiro, poder, ideologia, 
instinto de vingança, curiosidade e até a pura maldade. Admite-se, assim, que 
engenheiros sociais podem ser estelionatários, ex-funcionários descontentes de 
uma organização, terroristas, fanáticos de toda natureza ou iniciantes do mundo 
hacking. 
Pressupõe-se, então, que os ataques de engenharia social podem ser 
realizados de muitas maneiras diferentes, assim como podem ser realizados em 
qualquer ambiente digital enquanto houver interação humana. Eles podem, 
porém, ser de natureza tecnológica ou não. A variação e extensão dos ataques 
de engenharia social são limitadas apenas pela criatividade do hacker 
Diante desta perspectiva fática, as tentativas de engenharia social 
podem ser classificadas em duas categorias: fraude baseada em tecnologia e 
fraude humana. Na abordagem baseada em tecnologia, o usuário é levado a 
acreditar que está interagindo com um aplicativo ou sistema real, divulgando 
informações confidenciais e permitindo o acesso a uma rede da organização. Na 
abordagem apoiada na vulnerabilidade humana, os ataques são realizados 
tirando proveito das respostas das pessoas previsíveis aos gatilhos psicológicos. 
 
Aula 2 - ENGENHARIA SOCIAL: A EXPLORAÇÃO DA VULNERABILIDADE 
HUMANA 
 
Em grande parte desses ataques praticados por hackers contam com 
vulnerabilidades deixadas nos sistemas alvo. Estruturas lógicas de bancos de 
dados e soluções de plataformas desenvolvidas pelas corporações podem 
deixar falhas quando programadas. É evidente que já se detecta neste contexto 
a falibilidade humana, que pode ser de toda uma equipe de desenvolvimento, 
mas extensível a outras relacionadas a qualidade de software e até segurança, 
considerando a interdependência dessas áreas nos modelos atuais. 
Mas o que se chama a atenção no contexto deste capítulo é a 
participação humana nos incidentes de segurança como usuário. Assim como 
ocorre no exemplo da segurança predial, no ambiente digital, a contribuição das 
pessoas para a ocorrência de sinistros é extremamente relevante, razão pela 
qual sempre são estabelecidos regras e protocolos a ser observados. 
A administração de condomínios comumente exige, no ato de entrada 
de visitantes, a identificação com exibição de documentos destes. Há regras de 
e saída, protocolos para casos de incêndio, dentre outros. Sistemas de 
informação, da mesma forma, sempre exigem autenticação com senha, 
podendo, em alguns casos, até condicionar um acesso a outros fatores, inclusive 
de natureza física, como um, por exemplo. 
Historicamente, a maioria das técnicas desenvolvidas para combater os 
ataques à segurança concentrava-se em colocar “barricadas virtuais” em torno 
dos sistemas, tentando impedir que um indivíduo indesejado obtivesse acesso 
aos recursos. Porém, verificou-se que tamanho investimento não surtia efeitos, 
pois os elos mais fracos de todas as defesas de segurança das organizações, 
na maioria das vezes, foram seus funcionários. 
De fato,o ideal da segurança impenetrável nunca pôde ser alcançado, 
muito menos quando se tenta impedir ataques em um nível técnico e não se 
preocupando com o nível físico-social. A ignorância desse elemento social vital 
sempre forneceu aos hackers um método fácil para obter acesso a um sistema 
privado. 
Em suma, toda a preocupação ora apresentada com o usuário serve 
para demonstrar o quão este é classificado como ponto de preocupação em 
qualquer sistema. Isto se explica por causa de seu comportamento previsível e 
outros aspectos psicológicos, o que acaba sendo frequentemente explorado por 
pretensos invasores. 
 Neste contexto que se destacam técnicas utilizadas para violar 
camadas de segurança, sem o uso de programas para descobrir entradas 
vulneráveis e ferramentas de intrusão. A maioria dos ataques utiliza a chamada 
Engenharia Social sobre indivíduos, explorando suas permissões em sistemas 
de computadores para acesso e obtenção de vantagens indevidas. O custo desta 
empreitada é mínimo para o invasor, não lhe exigindo poder computacional 
tampouco conhecimento especializado em computação. Criatividade e poder de 
convencimento são os artefatos geralmente utilizados. 
Vale ressaltar, por oportuno, que a utilização dessas técnicas para 
obtenção de dados pessoais, tornou-se uma grande preocupação não apenas 
para as organizações, mas também para indivíduos comuns. O assunto 
engenharia social, inclusive, tem maiores repercussões no âmbito da ciência 
jurídico-criminal que estuda as fraudes do que propriamente no escopo da 
segurança da informação. A cada dia, novas modalidades de golpes são 
constatadas, especialmente, aquelas que contam com o apoio da tecnologia. 
Na realidade, o surgimento da Internet significou a abertura de um 
grande mercado para os “golpistas”. A “arte de enganar”2, entretanto, não surgiu 
com o advento da web e sempre representou uma preocupação estatal, tanto 
 
2 MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. 
Excelente obra que explora a arte da engenharia social – conjunto de técnicas que permite que 
um hacker, utilizando pouca ou nenhuma tecnologia, invada sistemas e acesse informações não 
autorizadas. 
que o crime de estelionato figura no Código Penal brasileiro desde a sua primeira 
versão publicada em 1940. 
De alguma forma, a engenharia social foi empregada no contexto das 
mais conhecidas guerras no mundo, como importante estratégia bélica. Um 
clássico exemplo disso vem da Antiguidade, a narrativa do Cavalo de Tróia, 
empregado durante a guerra greco-troiana, resultando em uma sólida vitória 
grega sobre seus oponentes. Acreditando ter recebido um presente dos deuses, 
os troianos foram seduzidos por um cavalo de madeira achado na praia, mas 
repleto de gregos nele escondidos. Assim, levaram-no para o centro de suas 
dependências, descuidando totalmente de sua segurança. 
Vê-se que, neste exemplo, o uso de técnica persuasiva baseada na 
ideologia ou ética religiosa, foi capaz de ludibriar uma civilização inteira e invadir 
um território conhecido à época como impenetrável, em face do poderio militar 
dos troianos. Uma conhecida modalidade de malware (software malicioso) 
recebeu esta nomenclatura (trojan), por realizar efeito análogo em sistemas 
operacionais. Acreditando estar recebendo uma foto, vídeo ou documento digital, 
o usuário baixa e executa um arquivo que traz um algoritmo capaz de penetrar 
no sistema do alvo, transpondo mecanismos de segurança. 
O que chama a atenção nos dias atuais, é o quanto se expandiu esse 
fenômeno criminológico com a inserção dos novos meios informacionais como 
redes sociais e aplicativos de mensageria. 
Alguns aspectos podem justificar essa constatação, tais como a 
facilidade de contatar pessoas e lhe ofertar o objeto da fraude; a sensação de 
segurança resguardada pelo anonimato e o baixo custo dos recursos 
necessários à aplicação do golpe virtual. O atrativo a quem utiliza a técnica é o 
segredo por trás da engenharia social verdadeiramente bem-sucedida: ela 
facilmente coleta informações sem levantar suspeitas sobre o que estão 
fazendo, no momento de sua execução. 
 
 Aula 3 - OPERACIONALIDADE DA ENGENHARIA SOCIAL 
 Conforme suscitado nas linhas acima, os engenheiros sociais não 
obedecem a um modelo comportamental, pois dependendo do objetivo 
colimado, utilizará a técnica que julga mais adequada àquela situação. 
Oportunismo é a palavra que define habilidade em tirar partido de circunstâncias 
ou fatos para a obtenção de algo. Essa qualidade é totalmente característica à 
engenharia social e pode definir o meio eleito pelos criminosos. 
 Destarte, embora cada um dos ataques de engenharia social seja único, 
ou melhor, possua suas próprias peculiaridades, é possível observar um padrão 
comum neles, analisando-se o modus operandi destas técnicas em geral. Na 
realidade, o que se identifica é a existência de uma espécie de linha progressiva, 
dividida em quatro fases, didaticamente separadas para fins de estudo do objeto. 
Cita-se o “levantamento”, como a primeira fase, onde o invasor coleta 
informações sobre o alvo e as circunstâncias que o rodeia. Depois de obter 
informações preliminares suficientes, o atacante agora passa para a segunda 
fase, chamada de “aliciamento”. Nesta etapa, tenta desenvolver a confiança do 
alvo, construindo algum tipo um relacionamento com ele, comercial, ideológico 
ou afetivo. 
Segue-se então ao momento da “manipulação”. Nesta terceira fase, o 
invasor manipula a confiança adquirida na fase anterior e começa a extrair dados 
ou realizar operações confidenciais. Esta é a parte mais crítica da ação, pois é, 
de fato, aquela que representa riscos ao criminoso, especialmente que ocorra 
uma tomada de consciência por parte do enganado, que “caindo em si”, perceba 
que está sendo vitimado. 
Na fase final, ocorre o chamado “desligamento ou saída”, momento no 
qual o engenheiro social se retira da situação. Nenhuma prova é deixada para 
trás, tampouco desperta na vítima, algum indício de que tudo se tratou de um 
plano ardiloso. Ao final de tudo, nada pode levar a algum canal revelador à sua 
identidade real, deixando a vítima o mesmo efeito natural de quando acorda de 
um sonho. Logo, a engenharia social emprega a ilusão na mente de seus alvos, 
ou seja, uma realidade que nunca existiu, portanto, incapaz de deixar qualquer 
vestígio. 
 
Fases de operação da Engenharia social: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
MODULO 3. MODALIDADES DE ENGENHARIA SOCIAL PELO USO DA 
TECNOLOGIA 
APRESENTAÇÃO 
No módulo 2 deste curso apresentamos a classificação das espécies de 
engenharia social como: fraude baseada em tecnologia e fraude humana. Vale 
destacar a diferença essencial entre a primeira e o crime cibernético próprio. Na 
hipótese do cibercrime, é utilizada alta tecnologia para violação dos mecanismos 
de segurança e todo iter criminis se procede no espaço cibernético. Exemplo 
disso são os casos de invasões dispositivos de informática, onde são utilizadas 
técnicas de injeção de SQL, quebras criptográficas ou explotações com 
ferramentas de intrusão. 
 Diferentemente, ocorre na fraude baseada em tecnologia. O meio 
cibernético também é escolhido, mas tão somente para execução de uma das 
fases da engenharia social. As ferramentas aqui utilizadas, embora provenientes 
do meio virtual, são apenas os canais de comunicação onde são aplicadas as 
técnicas de persuasão pelo criminoso. No crime cibernético próprio, o atacante 
invade um sistema sem o auxílio direto da vítima. Esse é o ponto diferenciador 
da engenharia social, onde o alvo é persuadido a entregar os dados desejados 
pelo enganador. 
Há uma famosa frase de Kevin Mitnick, autor da obra “A arte de 
enganar3", sintetizam bem a ideia, exemplificando: 
"Há um ditado popular que diz que um computador seguro 
é aquele que está desligado. Isso é inteligente, masé falso: 
O hacker convencerá alguém a entrar no escritório e ligar 
aquele computador. Tudo é uma questão de tempo, 
paciência, personalidade e persistência4” 
 
Nas próximas linhas, serão apresentadas as mais comuns fraudes com 
uso da tecnologia, espécie do gênero Engenharia Social, cujos efeitos 
 
3 MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. 
4 Disponível em <https://www.pensador.com/frase/MTQ0MDcyNQ> Acesso em 25-4-2020. 
https://www.pensador.com/frase/MTQ0MDcyNQ/
geralmente se consumarão no mundo real, significando perdas financeiras, 
abalos à reputação e à saúde das pessoas, na maioria dos casos. 
 
Objetivos do Módulo 
 
Ao final do estudo deste módulo, você será capaz de: 
• Descrever as principais tentativas de fraudes utilizadas com o uso da 
tecnologia. 
• Identificar a prática do Phishing Scam e suas modalidade. 
• Comparar as práticas comuns de Phishing, como a Antecipação de 
Recursos, fraudes baseadas no comércio eletrônico e relacionamentos 
virtuais. 
• Analisar casos de golpes praticados pela internet em sites e aplicativos 
por meios fraudulentos. 
• Examinar técnicas utilizadas por criminosos durante a Pandemia com o 
objetivo de copiar dados ou obter lucros na internet. 
 
Estrutura do Módulo 
 
Este módulo e formado por 3 aulas: 
 
Aula 01 – Phishing Scam e suas Modalidades. 
Aula 02 – Estudo de Casos. 
Aula 03 – Outros Golpes Atualmente Aplicados com o Uso de Engenharia 
Social pela Rede. 
 
Aula 1 - PHISHING SCAM E SUAS MODALIDADES: 
 
Phishing Scam se refere à coleta de dados pessoais realizada ilegal e 
fraudulentamente pela Internet. É uma palavra da língua inglesa, que se origina 
da forma homofônica do termo “fishing” (pescaria), em alusão à ideia de que o 
objetivo do phishing é a “pesca” de dados. O phishing scam é a forma mais 
prolífica de engenharia social, uma vez que capaz de atingir com maior facilidade 
um número imensurável de vítimas. 
A técnica de phishing envolve a criação de sites cuidadosamente 
projetados para se parecerem com os sítios eletrônicos legítimos, ou seja, com 
aqueles que o engenheiro social copia os dados, com a finalidade de criar as 
falsas páginas e enganar as vítimas. Essa engenharia leva o usuário a fornecer 
suas informações pessoais, quando impulsionado a preencher formulários. 
Na maioria dos casos, a técnica é precedida por outras de caráter 
preparatórios, desenvolvidas com o objetivo de atrair internautas aos sites falsos 
(phishings). O Pharming é um tipo específico de phishing utilizado para 
redireção da navegação do usuário para sites falsos. A técnica por trás desta 
modalidade é a alteração no serviço de DNS (Domain Name System), 
responsável por resolver ou “converter” nomes de domínio em protocolos IP, 
endereços compreensíveis pela rede. Como consequência, quando o usuário 
tenta acessar um site legítimo, o seu navegador Web é redirecionado 
automaticamente para uma página falsa. 
Isto ocorre geralmente em razão do comprometimento do servidor de DNS 
do provedor utilizado pelo usuário ou pela ação de códigos maliciosos projetados 
para alterar o comportamento do serviço de DNS do computador 
(envenenamento de DNS). Registra-se, ainda, que a ação pode ser resultado da 
ação direta de um invasor com permissão de acesso às configurações do serviço 
de DNS de um determinado modem. 
Os chamados smishings (phishings por SMS) são muito comuns neste 
contexto. Criminosos contratam empresas especializadas no envio de 
mensagens SMS em massa e, assim, encaminham o endereço eletrônico de seu 
falso site para inúmeros usuários. 
Outra tecnologia preparatória também contratada pelos engenheiros 
sociais é o “rankeamento” do site falso em motores de busca. Para isso, pagam 
valores elevados e garantem que o site aparecerá nas primeiras opções quando 
as vítimas pesquisam assunto relacionado por meio de palavras-chaves. Isto é 
muito utilizado por empresas de e-commerce que aparecem sempre no topo do 
ranking e ainda ostentam promoções. 
Existem outras modalidades de phishing. Nesta seara, vale mencionar um 
novo tipo de tática chamada de “Chat-in-the-middle”. Envolve a adição de uma 
janela de suporte de bate-papo ao vivo falsa, na qual o usuário é estimulado a 
inserir seus nomes de usuário e senhas. O fraudador garante no seu site falso, 
sessões de chats análogas ao mesmo serviço disponível na página que a vítima 
acredita estar acessando. 
 No Brasil, ultimamente tem ocorrido muitos casos do que se chama de 
vishing (phishing de voz ou VoIP). Trata-se de um esquema de fraude eletrônica, 
cujo objetivo é extrair dados bancários ou informações pessoais da vítima por 
meio do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica de 
engenharia chamada spoofing (falso remetente). As vítimas são então atraídas 
a divulgar suas informações confidenciais, como números de cartão de crédito, 
números de PIN, números de contas, senhas etc. Esses ataques geralmente 
envolvem um esquema chamado de “falsificação de identificador de chamadas” 
ou “spoofing de chamadas”, viabilizadas por aplicativos capazes de fazer com 
que as chamadas pareçam vir de uma fonte confiável, como um banco ou um 
órgão público. Na realidade provém de terminais virtuais e falsos. 
 
ANTECIPAÇÃO DE RECURSOS (ADVANCE FEE FRAUD) 
Este tipo de engenharia social resulta em fraude doutrinariamente 
conceituada como “antecipação de recursos” (advance fee fraud). Trata-se de 
tema encontrado em qualquer doutrina especializada em cibercriminalidade do 
mundo, especialmente porque geralmente criminosos de um continente atacam 
em outro, visando a obtenção de recursos financeiros. Existem organizações 
criminosas oriundas do continente africano que há anos utilizam esta forma de 
“golpe virtual”. 
Segundo o CERT.Br, o Golpe da Nigéria é um dos tipos de fraude de 
antecipação de recursos mais conhecidos5. Esta engenharia é estruturada da 
seguinte forma: 
● Recebe-se uma mensagem eletrônica em nome de uma pessoa ou 
instituição dizendo-se ser da Nigéria, e solicitando apoio do usuário como 
intermediário em uma transferência internacional de fundos. A justificativa 
 
5 Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso 
em 24/04/2020. 
pela escolha da vítima para o caso, vem expressa na mensagem como 
feita em razão da reputação desta ou indicação de amigos; 
● Como se tratam de operações envolvendo altos valores, seduz-se o 
usuário com a promessa de futuramente ser recompensado com uma 
porcentagem sobre o valor, por ter agido como intermediário e mantido o 
sigilo, o que seria fundamental ao sucesso da operação; 
● Após responder à mensagem e aceitar a proposta, os golpistas solicitam 
o pagamento antecipado do valor principal somado a custos, como 
advogados e taxas de transferência de fundos; 
● Realizado o pagamento, surge cobranças para a efetivação de outros ou 
simplesmente é perdido o contato com os golpistas. No fim das contas, 
além de perder todo o dinheiro investido e não recebimento de 
recompensa, os dados pessoais da vítima ainda ficam na posse dos 
criminosos. 
O CERT.br conscientiza os usuários de que, apesar deste golpe ter 
ficado conhecido como oriundo da Nigéria, já foram registrados diversos casos 
semelhantes originados ou relacionados a outros países, geralmente de regiões 
envolvidas em guerras, conflitos políticos, econômicos ou raciais6. 
Vítimas do sexo feminino são significativamente lesadas no Brasil em 
razão da atuação dos chamados “Romance Scammers”. Nestas situações, 
também conhecidas como oriunda de países africanos, especialmente a Nigéria, 
são criadas contas em redes sociais, com perfis que ostentam fotos de militares 
e executivos americanos ou europeus. Após um período de “namoro virtual”, 
ocorrem manobras sedutoras que levam mulheres a transferir altas quantias 
financeiras. Ressalta-se, entretanto, que também ocorremuitas situações 
fraudulentas de antecipação de recursos. 
As vítimas são informadas que foram presenteadas com joias de alto 
valor e precisa pagar pelas taxas alfandegárias para as receber. Também é 
comum pedidos de empréstimos financeiros para arcar com as despesas 
geradas pela mudança do falso namorado para o Brasil. Às vítimas fica a 
 
6 Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso 
em 24/04/2020. 
promessa de que serão restituídas no momento da chegada ao país. O resultado 
da “aventura virtual” é a soma de prejuízo financeiro e desilusão amorosa. 
Embora a fraude de antecipação de recursos possua diversas variações, 
assemelham-se pela forma como são aplicadas e pelos danos causados. Assim, 
é possível se descrever um padrão de comportamento detectável como peculiar 
a esta modalidade. 
Em regra, o engenheiro social procura induzir uma pessoa a fornecer 
suas informações de acesso a aplicações bancárias ou a realizar um pagamento 
adiantado, com a promessa de futuramente receber algum tipo de benefício. Isso 
geralmente envolve o recebimento de mensagens por e-mail ou aplicativos. 
Deste modo, a pessoa é envolvida em alguma situação ou história 
repercutida, logo se vendo impelida a enviar informações pessoais ou a 
realização de algum pagamento adiantado, acreditando que receberá o 
prometido pelo golpista. Após fornecer os recursos solicitados a pessoa percebe 
que o tal benefício prometido não existe, constata que foi vítima de um golpe e 
que seus dados/dinheiro estão em posse de golpistas. 
 
 FRAUDES EM PLATAFORMA DE E-COMMERCE 
Neste tipo de engenharia social as vítimas são tentadas à 
realização de um bom negócio voltado à aquisição de bens, produtos e serviços, 
tickets ou ingressos para eventos de entretenimento e capacitações. 
Após aliciadas por anúncios patrocinados, “ranqueados” ou 
compartilhados em redes sociais, pessoas são seduzidas por ofertas 
explicitadas nas plataformas, geralmente com preços muito abaixo o padrão de 
mercado. 
Acreditando estar realizando um excelente negócio, transferem o 
pagamento para o "vendedor" que promete a entrega do item. Em alguns casos, 
os anunciantes exigem pagamento adicional por impostos ou taxas de entrega 
após o primeiro pagamento. Por fim, a vítima nunca recebe o item. 
Ultimamente, tem chamado a atenção dos órgãos de segurança 
pública, os sites de leilões virtuais. Neste tipo de negócio, são apresentados 
lances no ambiente “interativo” dos sites especializados pelos usuários, até o 
momento que alguém oferece uma quantia superior final. Esse procedimento é 
muito comum em ambientes de leilão de veículos, onde os adquirentes são 
impelidos a transferir o valor do bem, imediatamente após esse lance final, como 
forma de garantia. 
O grande problema deste tipo de aquisição via plataforma on line é 
de que o bem leiloado é representado no site apenas por fotos e dados 
descritivos. Não há garantia de sua existência real ou de que se trata de fato da 
coisa em negociação. Os prejuízos noticiados em boletins de ocorrência são de 
altíssimo valor e raramente as vítimas conseguem reavê-los, pois as quantias 
rapidamente são sacadas e fragmentadas em depósitos realizados em contas 
de terceiros. 
 
Aula 2 - ESTUDO DE CASOS 
Diante de situações de grande impacto social como em tempos de 
pandemia, engenheiros sociais rapidamente buscam adaptar seus esquemas de 
fraude para novos ganhos financeiros. O que muda significativamente é o 
cenário, mas favorável às suas ações, pois a ansiedade e o medo das vítimas, 
durante a crise as torna muito mais vulneráveis. 
No caso da COVID-19, a recomendação de distanciamento social das 
pessoas pela Organização Mundial de Saúde, como forma de redução de 
contaminação, amplia significativamente o uso de aplicativos de compras e 
contratação de serviços, assim como o fluxo informacional em ferramentas de 
troca de mensagens e redes sociais. 
Diante dessa realidade, inobstante as fraudes de natureza comercial, 
tem-se novas versões de esquemas de golpes pela rede, os quais abrangem 
desde o fornecimento de produtos destinados à prevenção da doença até 
esquemas mentirosos de descontaminação e cura. Espera-se, ainda, que um 
grande número de novas fraudes sobrevenha nas próximas semanas, 
especialmente quando os engenheiros sociais tentarem se capitalizar ainda 
mais, diante do estado de fragilidade das pessoas em todo o mundo. 
Assim, elencamos nos próximos parágrafos, alguns casos reais 
ocorridos nas últimas semanas, onde se observa a utilização da engenharia 
social para efetivação de fraudes contra a população brasileira: 
 
Caso envolvendo a produção Álcool em gel (caso Ambev) 
 Circulou, durante alguns dias do mês de março de 2020, pelas redes 
sociais uma mensagem com o título "Ambev - retire seu álcool gel", o qual 
orientava as pessoas a clicar em um link, digitar seu CEP e pesquisar qual o 
ponto de distribuição mais próximo de seu endereço. 
 
O meio de propagação mais utilizado para circular a mensagem foi o 
aplicativo de mensageria WhatsApp. Para ganhar os frascos, a pessoa teria que 
acessar um dos três sites cujos links eram direcionados por meio do citado 
aplicativo de mensageria. Nos casos constatados, os domínios (endereços 
eletrônicos) a ser clicados eram referentes às páginas: “reiaconamento.com”, 
“cadastroonline.com” e “oficiai.com”. 
A empresa Ambev logo se pronunciou por meio de seu canal oficial no 
Twitter, informando sobre a falsidade do comunicado7: 
"Algumas mensagens estão 
circulando pelas redes sociais levando 
ao cadastro para retirada de álcool em 
gel em postos de recolhimento. 
Gostaríamos de alertar que nosso 
álcool em gel produzido será destinado 
para uso em hospitais públicos. Não 
clique em links suspeitos”. 
Contudo, para que detecte a origem não legítima da notícia e indícios de 
possível aplicação de engenharia social, submete-se os endereços eletrônicos a 
uma verificação da reputação dos sites citados no serviço “Virus Total” 
(www.virustotal.com). 
Recomenda-se nunca clicar no link, nem mesmo para fins de cópia para 
posterior colagem. O mais correto é gerar um print ou fotografar a tela do 
dispositivo informático, de modo que registre o endereço completo, uma vez que 
será necessário o digitar no campo “URL” do site “Virus Total”. Ressalta-se, que 
há procedimentos forenses de captura de conteúdo de site, os quais não 
constituem objeto deste curso, dada a complexidade da matéria. 
O resultado da verificação no site é que “oficiai.com” foi classificado 
como “site de phishing pelo serviço Kaspersky” e como “malicioso” pelo Sophos 
AV, assim como o “cadastrooline.com”. O “reiacionamento.com” foi classificado 
como “site de phishing” pelos serviços Fortinet e Kaspersky. 
Somados os resultados com a informação prestada pelo canal oficial da 
empresa na rede Twitter, verifica-se que se trata de investida por engenharia 
social visando subtrair dados de usuários para futuras fraudes eletrônicas ou 
mesmo furto mediante fraude, quando possuem todos os dados suficientes à 
realização de operações financeiras. 
 
7 Disponível em <www.twitter.com/@Ambev> Acesso em 25-4-2020 
CASO DO FALSO APLICATIVO COM INFORMAÇÕES SOBRE A COVID-19 
Em 16 de março de 2019, a empresa Microsoft lançou uma importante 
ferramenta de consulta de dados em tempo real sobre a COVID-19. A aplicação 
chamada de “Bing COVID Tracker” (www.bing.com/covid) foi estruturada em um 
painel interativo que reúne dados sobre a doença vindos de diversas 
organizações globalizadas de confiança, como a Organização Mundial da Saúde 
(OMS) e o Centro de Controle de Doenças (CDC) dos Estados Unidos. Além 
disso, o serviço é integrado ao mecanismo de busca Bing, que é um produto da 
Microsoft. Deste modo, além dos dados sobre doentes, recuperados e mortos, 
também traz notícias atualizadas a respeito do impacto dovírus para cada país. 
 
Na mesma semana, engenheiros sociais enxergaram nesta ideia, uma 
oportunidade de atrair milhões de pessoas para um ambiente virtual por eles 
desenvolvido, porém com finalidade de locupletamento ilícito. Criaram, para 
tanto, um aplicativo para sistema operacional Android, com informações e 
estatísticas em tempo real sobre a disseminação do Coronavírus. 
O nome "Covid-19 Tracker", foi cuidadosamente escolhido com a 
finalidade de se parecer com a ferramenta disponibilizada pela Microsoft. Sua 
divulgação também ocorreu por meio de redes sociais e muitas pessoas fizeram 
o download do aplicativo no Brasil, inclusive pela “Play Store”, a loja oficial do 
Google. 
 
Em pouco tempo, foi detectado que o aplicativo é, na verdade, um tipo 
ransomware (virus que bloqueia o uso do smartphone e exige como resgate o 
pagamento de US$ 100 (cerca de R$ 500) em Bitcoin (moeda virtual) para liberar 
a utilização do aparelho. 
Contextualmente, pesquisadores da equipe de segurança do serviço do 
site www.domaintools.com, logo após a confirmação dos primeiros casos da 
doença, observaram um considerável aumento nos nomes de domínio contendo 
as palavras “Coronavirus” ou “COVID-19”. A maioria desses registros foram 
identificados como prováveis domínios mal intencionados, considerando suas 
características, como, por exemplo, o uso de serviços de anonimato para 
registro. 
Alguns dias depois, a mesma equipe descobriu que o domínio 
coronavirusapp [.], referente ao aplicativo COVID-19 Tracker era malicioso. Na 
realidade, o aplicativo está envenenado com um ransomware desenvolvido para 
Android, logo apelidado de "CovidLock" devido aos recursos do malware e à sua 
história de fundo. O algoritmo inserido no aplicativo malicioso usa técnicas para 
negar o acesso da vítima ao telefone, forçando uma alteração na senha usada 
para desbloquear o telefone. Essa técnica é conhecida como ataque de bloqueio 
de tela, típica do ransomware para Android. 
 
No presente caso, a engenharia social ocorre em dois momentos. O 
primeiro é facilmente detectável, tratando-se do aliciamento das vítimas a baixar 
o aplicativo, vendendo a ideia que se trata de útil ferramenta de rastreio da 
pandemia. 
A segunda ação persuasiva se apoia na tecnologia e não é perceptível 
a leigos. Quando o usuário começa a instalação o aplicativo, este é induzido a 
permitir que o CovidLock controle quase totalmente o dispositivo. O método 
consiste em atrair a vítima a dar tal permissão através do próprio aplicativo, 
perguntando se ela deseja habilitar o aplicativo em “Acessibilidade” para 
monitorar as estatísticas do COVID-19, bem como mapear pacientes infectados 
próximos à sua localização atual. Essa técnica é considerada uma das mais 
inteligentes em matéria de engenharia social. 
 
CASO DO FALSO PLANO DE INTERNET GRATUITA EM RAZÃO DA 
PANDEMIA 
No dia 24 de março de 2020, a Agência Nacional de Telecomunicações 
(Anatel) alertou todos os brasileiros sobre um golpe, envolvendo seu nome. A 
notícia, que circulou em várias redes sociais, anunciou a liberação de um “plano 
de internet grátis de 7GB de dados móveis” no smartphone por conta da 
pandemia do coronavírus. A divulgação trazia uma lista de operadoras que 
supostamente aderiram e disponibilizaram o falso pacote a seus clientes. 
A engenharia social consistia na proliferação da falsa propaganda 
seguida de um link de acesso supostamente da “ANATEL”. 
 
O restante da engenharia segue uma sistemática análoga àquela aplicada 
no exemplo anterior (Caso COVID-19 Tracker). Após o simples clique no link 
compartilhado, é solicitado um breve cadastro e, de imediato, já são coletados 
os dados pessoais do usuário. Em um segundo momento, o script da aplicação 
induz o usuário a autorizar o acesso às informações do celular, assim como 
permissões especiais. A partir de então, os criminosos passam a ter o domínio 
sobre os dados da vítima, condicionando a devolução dos mesmos ao 
pagamento de uma quantia em moedas virtuais. 
CASO DA “CLONAGEM” DE CONTAS DO APLICATIVO WHATSAPP E 
PEDIDOS ILEGÍTIMOS DE DINHEIRO E DADOS 
Este tipo de engenharia social não surgiu durante a pandemia do 
COVID-19, já sendo constatada largamente pelo país, especialmente a partir do 
ano de 2019. Entretanto, indubitavelmente houve um aumento exponencial 
dessa prática com a chegada do “Coronavírus” no mundo e as restrições de 
convívio social. 
A solidão relacional, típica destes tempos, acelerou o movimento 
migratório das condutas de interlocução das pessoas para o meio virtual. Essas 
transformações já eram observadas desde a última década como consequência 
da chamada Disrupção Digital 8 , mas nunca esse comportamento foi tão 
acentuado. Logicamente, os riscos de contágio determinavam que as pessoas a 
permanecerem em suas casas e evitarem conversas presenciais. Por outro lado, 
a ampliação do uso do canal cibernético também representou oportunidade para 
ação dos engenheiros sociais. 
No caso explicado neste item, não ocorre de fato uma “clonagem”, ou 
seja, a replicação da conta do aplicativo Whatsapp para uso de terceiro. A 
tecnologia por trás da aplicação não permite o uso simultâneo da conta por mais 
de um usuário, salvo nos casos abertura de sessão web (Whatsapp Web). 
Alguns aplicativos prometem o “hacking” de uma conta alvo, mas, na realidade, 
ocorre uma espécie de espelhamento da conta em razão da mesma técnica do 
Whatsapp Web, via navegador, com aceso pelo QR Code. 
A técnica utilizada no golpe popularmente chamado de “clonagem de 
whatsapp” ocorre por meio do uso exclusivo de engenharia social, apoiado pela 
tecnologia. 
Este método explora informações publicadas em sites de vendas, como 
OLX, Web Motors e Zap Imóveis. Os engenheiros entram em contato com a 
vítima se passando por representantes dessas plataformas e informam que o 
 
8 A Disrupção Digital é a mudança que ocorre quando novas tecnologias digitais e modelos de negócios 
afetam a proposição de valor dos bens e serviços existentes. O rápido aumento no uso de dispositivos 
móveis, para uso pessoal e trabalho, impactou hábitos de vida e maneiras de solucionar problemas. 
 
perfil recebeu reclamações referentes a um anúncio. Em seguida, solicitam que 
a pessoa confirme seu número fornecendo o código enviado por SMS. 
Ocorre que no mesmo instante, os criminosos tentam fazer login com o número 
do WhatsApp da vítima em outro celular. O usuário, então, recebe uma 
mensagem de texto com o código de validação e o repassa para os criminosos, 
que passam a ter total acesso às suas conversas e grupos. 
Esse é apenas o primeiro tempo da engenharia social. De posse do 
aludido código, o criminoso consegue trazer a conta da vítima para seu 
dispositivo. A partir daí, começa a segunda parte do ardil e o golpe propriamente 
dito. O golpista procura as conversas da conta com amigos e, aproveitando-se 
da situação de dialogar como se a vítima fosse, passa a solicitar valores 
financeiros. Os argumentos que usam são os mais variados, incluindo pequenos 
empréstimos para superar dificuldades pontuais. 
Contudo, nesses tempos de pandemia, utilizam-se das limitações do 
confinamento para criar histórias fantasiosas e convencer parentes e conhecidos 
a ajudar com dificuldades médicas e assistenciais. Acreditando estar 
conversando com o contato verdadeiro, as pessoas enganadas acabam 
transferindo dinheiro, informando dados e senhas bancárias, dentre outros 
dados enviados nas mensagens. 
 
 
Aula 3 - OUTROS GOLPES ATUALMENTE APLICADOS COM O USO DE 
ENGENHARIA SOCIAL PELA REDE: 
a) Auxílio Emergencial em razão da pandemia: muitas pessoas que 
buscavam receber o auxílio emergencial de R$ 600,00, pago pelo Governo 
Federal, foram alvos de golpe. A técnica dos criminosos consiste em difundir 
links falsos pela internet, os quais dizem respeito sites ilegítimos que coletam 
dados cadastrais de indivíduos interessadosno benefício. 
b) Vacinas contra a COVID-19: vários engenheiros sociais difundem, 
sobretudo, por meio de aplicativos de mensageria como Whatsapp, links 
maliciosos que atraem vítimas a páginas que prometem vacinação eficaz 
contra o Coronavirus. Para convencimento de pessoas, fazem uso não 
autorizado de nome de hospitais e laboratórios famosos (Hospital Albert 
Einstein, Laboratório Pasteur, etc). Infelizmente, além das vítimas fornecerem 
seus dados pessoais, mediante cadastro de falsos formulários, ainda 
realizam antecipação de pagamentos, por meio de transferências bancárias 
ou cartão de crédito. Este golpe constitui uma versão nacional de uma 
empreitada criminosa que se tornou mundialmente conhecida durante o mês 
de março de 2020. Ocorreu nos EUA, onde o Departamento de Justiça retirou 
da Internet o site “coronavirusmedicalkit.com”. A página trazia o seguinte 
convite aliciador: “Devido à recente epidemia de coronavírus (COVID-19), a 
Organização Mundial da Saúde está distribuindo kits de vacinas. Pague 
apenas US$ 4,95 pelo envio9" 
c) Fraudes com motoboys iniciadas pela rede: em virtude do confinamento, 
muitos serviços se tornaram limitados, como agências bancárias e órgãos 
públicos, por exemplo. Aproveitando-se destas situações, golpistas enviam 
mensagens por meio de aplicativos acessíveis via smartphone, como se 
fossem funcionários de bancos ou servidores públicos. A engenharia social 
se efetiva através de conversas, onde o interlocutor argumenta sobre 
atualização de cadastros ou relata uma clonagem do cartão de crédito. Desse 
modo, consegue obter informações pessoais identificáveis, além das senhas 
da vítima. Ao final, esta recebe um motoboy em sua residência que efetua a 
troca de seu cartão magnético por um falso. Em outras situações, passando-
se por funcionário público, o criminoso convence a vítima a entregar cédulas 
de seus documentos pessoais (originais) ao motoboy integrante do esquema 
d) Fraudes com boletos comerciais e públicos (impostos): Em razão das 
limitações impostas pelos governos locais, as quais abrangem a proibição de 
abertura de estabelecimentos comerciais e agências de atendimento das 
secretarias de fazenda dos estados, golpistas enviam boletos contrafeitos 
com a substituição do código de barras da guia de pagamento. Por meio de 
programas maliciosos instalados nas máquinas das vítimas ou explorando 
dados destas vazados na rede, os engenheiros sociais adquirem informações 
sobre seus compromissos de pagamento e lhes envia falsos boletos. A 
aparência é semelhante aos originais, mas há troca do código de barras e 
 
9 Disponível em <https://www.justice.gov/opa/press-release/file/1260131/download> Acesso em 26-4-
2020. 
https://www.justice.gov/opa/press-release/file/1260131/download
este diz respeito a um outro boleto de cobrança gerado em bancos virtuais, 
cujo beneficiário é o criminoso ou um “laranja”. Em outros casos, a dívida de 
outrem envolvido no golpe, é paga com a troca do código de barras(bolware). 
Essa modalidade geralmente é muito utilizada com os carnês falsos de 
impostos (IPVA e IPTU), que são objeto das falsas comunicações por e-mail. 
Os engenheiros sociais estudam o calendário anual de obrigações e sabem 
o período de recebimento desses boletos, especialmente no início do ano e, 
fingindo ser da Receita Federal, cobram algum tributo inexistente 
(especialmente nesta época de entrega de Declaração do Imposto de 
Renda). 
 e) Fraudes envolvendo pacientes internados em hospitais: este tipo de golpe 
tem se propagado no país. Pessoas estranhas às instituições hospitalares, 
cujos nomes são usados indevidamente, fazem contato “telefônico” com os 
familiares de pacientes e tentam aplicar técnica de engenharia social para 
extorquir valores das famílias em um momento de fragilidade emocional. O 
destaque feito a expressão “telefônico”, refere-se ao uso do ardil cibernético 
“vishing” (phishing de voz ou VoIP), explicado em parágrafos anteriores. 
Trata-se do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica 
de engenharia chamada spoofing (falso remetente). Dessa maneira, os 
criminosos conseguem realizar chamadas e fazer constar no visor dos 
smartphones do telefone das vítimas, o mesmo número de telefone oficial 
dos hospitais, nos quais utilizam indevidamente o nome. 
 
 
 
 
 
 
MODULO 4. ATUAÇÃO DO PROFISSIONAL DE SEGURANÇA 
PÚBLICA 
 
APRESENTAÇÃO 
 
O objetivo deste curso não é adentrar nos procedimentos investigativos. 
Sabemos da importância da atribuição de autoria na prática de fraudes como um 
dos pilares fundamentais na luta contra a criminalidade cibernética, todavia não 
faremos essa abordagem aqui. 
Não obstante, alguns procedimentos podem ser realizados pelos 
profissionais de segurança pública para mitigar os efeitos das fraudes durante a 
pandemia como, por exemplo, a importância da prevenção, a remoção de 
aplicativos maliciosos sem ordem judicial, a exclusão de perfis falsos no 
WhatsApp e a desindexação de conteúdo. 
Antes de tudo, é preciso que façamos alguns esclarecimentos sobre como 
se deve proceder na mitigação dos efeitos das fraudes. 
A leitura da política de privacidade ou dos termos de uso de um serviço, 
por exemplo, é de caráter essencial nesse contexto. Grande parte dos 
profissionais da segurança pública e de usuários direito não sabem como 
funciona uma aplicação de internet, quais dados coletam e como remover 
conteúdo ilegal ou abusivo. Assim, quando verificar a utilização de golpes 
procure, de imediato, saber sobre o funcionamento da plataforma e o que você 
pode fazer perante a irregularidade detectada. 
Outro ponto a ser destacado é sobre a exclusão de conteúdo na internet. 
De acordo com a legislação brasileira vigente, a regra é a necessidade de 
autorização judicial para judicial, nos precisos termos do Marco Civil da Internet: 
Art. 19: Com o intuito de assegurar a 
liberdade de expressão e impedir a 
censura, o provedor de aplicações de 
internet somente poderá ser 
responsabilizado civilmente por danos 
decorrentes de conteúdo gerado por 
terceiros se, após ordem judicial 
específica, não tomar as providências para, 
no âmbito e nos limites técnicos do seu 
serviço e dentro do prazo assinalado, 
tornar indisponível o conteúdo apontado 
como infringente, ressalvadas as 
disposições legais em contrário. 
 
Excepcionalmente, a exclusão de conteúdo pode ser realizada sem 
determinação judicial nos seguintes casos: 
● Violação dos termos de uso ou política de privacidade do serviço; 
● Exposição de conteúdo íntimo sem autorização (art.21 do Marco 
Civil da Internet)10; 
● Conteúdo violador de direitos autorais. 
Um outro ponto que merece destaque é a desindexação de conteúdo 
abusivo dos mecanismos de busca (Google e Bing). Podemos citar o exemplo 
de uma busca sobre o termo “auxílio emergencial” e os resultados apontem para 
um site fraudulento como uma das primeiras opções de resposta. Em razão de 
estar violando o serviço, a desindexação deve ocorrer independentemente de 
ordem judicial. 
Dessa maneira, o profissional de segurança pública possui diversos 
caminhos para atuar junto às aplicações de internet quando identificar serviços 
fraudulentos. 
 Detalharemos, pois, alguns procedimentos a serem realizados quando 
você se deparar diante de algumas fraudes anteriormente relatadas. 
 
Objetivos do Módulo 
 
Ao final do estudo deste módulo, você será capaz de: 
• Identificar perfis suspeitos e denunciar tentativas de golpes às 
autoridades competentes. 
• Detectar situações de vulnerabilidade em seus sistemas e aplicativos. 
• Utilizar fontes abertas como recursos para pesquisa e combate à 
tentativas de golpes. 
 
10 Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros 
será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, 
sem autorização de seus participantes,de imagens, de vídeos ou de outros materiais contendo 
cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação 
pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito 
e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. 
• Demonstrar os procedimentos para denunciar usuários e programas 
maliciosos. 
• Adotar comportamentos mais seguros para uso da internet 
principalmente durante a pandemia. 
 
Estrutura do Módulo 
 
Este módulo e formado por 01 aula: 
 
Aula 01 – Da prevenção às fraudes praticadas na Internet, especialmente em 
tempos de Pandemia. 
 
Aula 1 - DA PREVENÇÃO ÀS FRAUDES PRATICADAS NA INTERNET, 
ESPECIALMENTE, EM TEMPOS DE PANDEMIA. 
O usuário possui um papel de extrema relevância no enfrentamento às 
fraudes praticadas da internet, especialmente em tempos de pandemia. 
É certo que as aplicações de internet vêm aperfeiçoando suas 
plataformas para detectar contas criadas para a prática de crimes e, 
consequentemente, fazendo sua exclusão, não obstante, o usuário é o ponto 
central. 
Algumas medidas são de extrema importância para mitigar os efeitos das 
fraudes, dentre as quais destacamos: 
● Configure as redes sociais e aplicativos de mensageria para não 
expor informações pessoais identificáveis; 
● Nunca forneça senha, token ou qualquer dado de sua conta por 
telefone. Bancos não fazem esse tipo de solicitação; 
● Procure manter contato com seu banco apenas por canais 
oficiais. Tenha cuidado com números falsos; 
● Não clique em links enviados por SMS ou aplicativos de 
mensageria; 
● Desconfie sempre de mensagens de atualização cadastral por 
SMS, e-mail e aplicativos; 
● Nunca deposite valores solicitados apenas por mensagem de 
WhatsApp. Mantenha contato pessoal ou telefônico antes de 
repassar qualquer quantia; 
● Instale apenas as extensões necessárias e mantenha-as 
atualizadas (atenção nas reviews); 
● Não instale extensões através de links de redes sociais, apps de 
mensageria ou outro meio. Utilize lojas de confiança. 
● Antes de acrescentar qualquer função ao seu navegador, verifique 
as informações do desenvolvedor em fontes abertas; 
● Confira as permissões do complemento; 
● Elimine extensões desnecessárias; 
● Habilite a verificação em duas etapas tanto no WhatsApp, quanto 
em contas de email e redes sociais. 
 
 
UTILIZAÇÃO DE FONTES ABERTAS 
 
BARRETO, CASELLI e WENDT ressaltam a importância da coleta em 
fonte aberta tanto para a atividade de inteligência quanto para a investigação 
policial ao definir como11: 
Qualquer dado ou conhecimento que 
interesse ao profissional de inteligência ou 
de investigação para a produção de 
conhecimentos e ou provas admitidas em 
direito, tanto em processos cíveis quanto 
em processos penais e, ainda, em 
processos trabalhistas e administrativos 
(relativos a servidores públicos federais, 
estaduais e municipais). 
Nesse diapasão, o profissional de segurança pública não deve desprezar 
essas informações disponíveis na busca de dados sobre fraudes. Destacamos 
como uma ferramenta interessante o Catálogo de Fraudes da Rede Nacional de 
Ensino e Pesquisa, disponível em https://www.rnp.br/sistema-rnp/cais/catalogo-
de-fraudes. 
Lançada no ano 2008, a plataforma disponibiliza um repositório dos 
principais golpes que estão circulando pela internet. Além disso, disponibiliza o 
email phishing@cais.Rnp.br para o recebimento de mensagens suspeitas ou 
fraudulentas. 
Essa ferramenta é útil no acompanhamento de golpes online. Não 
obstante, é muito importante que esse dado coletado seja confrontado com 
outras fontes de informação. Trabalhar com fontes abertas significa fazer a dupla 
verificação da fontes. 
Ressalte-se, por oportuno que a temática e o emprego de fontes abertas 
é bastante amplo. Para tanto, deixamos apenas algumas ferramentas que 
podem ser utilizadas quando estiver diante de uma fraude: 
● Google Pesquisa: permite a busca por palavras-chave de um 
determinado assunto. Você poderá pesquisar álcool gel + 
 
11 BARRETO, Alessandro Gonçalves; CASELLI, Guilherme; WENDT, Emerson. Investigação 
Digital em Fontes Abertas. Rio de Janeiro: Brasport, 2017. 
https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes
https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes
pandemia + fraude para encontrar as fraudes e notícias 
relacionadas; 
● Google Imagens: procura por imagens semelhantes. É permitido 
ainda colocar a url da imagem ou arrastá-la para a barra de 
pesquisa para identificar fotos semelhantes; 
● Google Alerts: permite a criação de alertas sobre fraudes para 
posteriormente recebimento por email; 
● Agências de Verificação de Fatos: esses repositórios funcionam 
como excelentes fontes de consulta, especialmente para o 
jornalismo nos assuntos da política nacional e internacional. Por 
vezes, você poderá encontrar fraudes relacionadas com boatos; 
● Ferramentas Whois: informações sobre registro e hospedagem do 
site. 
 
REMOÇÃO DE APLICATIVOS FALSOS 
 
A remoção do aplicativo falso nas lojas oficiais pode ser realizada de 
forma direta através de ofício extrajudicial ou de denúncia direta na aplicação de 
internet. 
Eis algumas recomendações que identificamos como interessantes para 
evitar os golpes praticados através de aplicativos falsos: 
● Faça download apenas nas lojas oficiais de aplicativos, todavia, 
não é garantia de segurança, eis que já foram identificados nelas 
vários apps maliciosos; 
● Nunca baixe apks enviados por terceiros e nem repasse-os através 
de links para terceiros; 
● Procure verificar as informações do desenvolvedor em outras 
fontes livremente disponíveis; 
● Fique atento aos comentários, erros de português e layout da 
aplicação. 
É interessante ainda solicitar a desindexação do aplicativo na Google e 
Bing. Quando o mecanismo de busca apontar o aplicativo malicioso nos 
resultados faça esse procedimento a fim de dificultar que ele esteja disponível e 
acessível para outros usuários. 
Por fim, as denúncias se mostram um meio eficaz e oportuno na remoção 
de aplicativos falsos. As lojas oficiais disponibilizam canais oficiais para a 
realização desses procedimentos. 
A Central de Políticas do desenvolvedor da Google Play nomina como 
comportamento malicioso os aplicativos que roubam dados, monitoram ou 
prejudicam os usuários de forma secreta, bem como aqueles que apresentam 
comportamento abusivo. Caracteriza como comportamento abusivo os 
aplicativos que12: 
● Possuem vírus, cavalos de tróia, malware, spyware ou qualquer outro 
software malicioso; 
● Facilitam a distribuição ou instalação de software malicioso ou que 
contêm links para esse tipo de software; 
● Fazem o download de código executável (como arquivos dex ou 
código nativo) de uma fonte que não é o Google Play; 
● Introduzem ou exploram vulnerabilidades na segurança; 
● Roubam informações de autenticação de um usuário (como nomes de 
usuário ou senhas) ou imitam outros apps ou sites para enganar 
os usuários e fazê-los divulgar informações pessoais ou de 
autenticação13; 
● Exibem números de telefone, contatos, endereços ou informações de 
identificação pessoal não verificadas ou reais de pessoas ou 
entidades sem o consentimento delas; 
● Instalam outros apps em um dispositivo sem o consentimento prévio 
do usuário; 
● Apps com downloads facilitados por rede de fornecimento de 
conteúdo (CDN) quando não há uma solicitação ao usuário antes de 
começar nem é informado o tamanho do download e; 
 
12 Google. Central de Políticas do Desenvolvedor. Comportamento Abusivo. 
13 Grifo nosso. Logo após o anúncio do auxílio governamental (coronavoucher) para minimizar 
as perdas decorrentes da pandemia, diversos aplicativos surgiram com esse objetivo. 
● Projetados para coletar secretamente o uso do dispositivo, como apps 
de spyware comercial. 
Identificada uma irregularidade,a empresa poderárejeitar o aplicativo 
submetido pelo desenvolvedor ou, mesmo que verificada posteriormente, a 
remoção ocorrerá sem haver a necessidade de provocação. 
Uma alternativa posta ao usuário é a denúncia do aplicativo impróprio na 
Google Play. Essa ação poderá ser realizada através de formulário disponível 
online14. 
É muito importante que você tente identificar em redes sociais e no 
Youtube, perfis ou páginas que estão divulgando o aplicativo malicioso e faça a 
denúncia nos canais por elas ofertados. 
A Apple Store disponibiliza um canal para denúncias de violação de 
direitos autorais15. 
 
IDENTIFICANDO E DENUNCIANDO O PERFIL FALSO NO WHATSAPP 
 
Muito embora os perfis falsos no WhatsApp sejam utilizados desde algum 
tempo para prática de fraudes, essa prática foi identificada em diversas situações 
durante a pandemia. 
Para denunciar um perfil falso, você deverá proceder da seguinte forma: 
● Envie um email para support@whatsapp.com; 
● No assunto coloque: Solicitação de Remoção de Perfil Fake; 
● No corpo do texto coloque informe sua qualificação (email e 
telefone para contato); número de telefone que criou um perfil falso 
utilizando sua imagem (coloque o +55 na frente do número, 
descreva o problema); 
● Caso possua prints de mensagens, anexe-os; 
 
14 Google. Denuncie apps impróprias. Disponível em 
https://support.google.com/googleplay/android-developer/contact/takedown. Você poderá 
denunciar ainda conteúdos de natureza sexual, cenas de violência, conteúdo de incitação ao 
ódio ou abusivo, perigoso para o dispositivo ou dados, spam, jogos de azar, pagamentos de 
terceiros, anúncios, atividades ilegais e outra objeção. 
15 Apple. App Store Content Dispute. Disponível em https://www.apple.com/legal/internet-
services/itunes/appstorenotices/#?lang=en. 
https://support.google.com/googleplay/android-developer/contact/takedown
● Adicione uma foto segurando um documento para comprovação de 
identidade; 
● O e-mail pode ser enviado em Português. 
 
Há ainda a opção de fazer a denúncia diretamente no aplicativo16: 
 
ANDROID 
● Abra o WhatsApp; 
● Toque em Mais opções ; 
● Configurações; 
● Ajuda e; 
● Fale conosco. 
 
IOS 
● Abra o WhatsApp; 
● Clique em Ajustes ; 
● Ajuda e; 
● Fale conosco. 
 
PROCEDIMENTOS AO IDENTIFCAR A CONTA CLONADA NO WHATSAPP 
 
Quando se tratar de “conta clonada” do WhatsApp, proceda assim: 
● Avise aos seus familiares e contatos imediatamente, além de 
advertir para não depositar nenhum valor solicitado; 
● Utilize suas redes sociais para avisar que sua conta foi invadida; 
● Registre ocorrência policial (durante a pandemia, esses registros 
podem ser feitos nos sites das polícias civis); 
● Envie um email para support@whatsapp.com. No assunto coloque: 
URGENTE. CONTA CLONADA. No corpo do texto relate o 
problema e solicite o bloqueio da conta. 
 Nos casos de simswap (recuperação indevida do SIMCARD) você deverá 
dirigir-se a uma loja física para solicitar um chip novo. Em outros casos que 
 
16 WhatsApp. Segurança e Privacidade. Recursos Avançados de Segurança. 
https://faq.whatsapp.com/pt_br/general/21228643
mailto:support@whatsapp.com
envolva engenharia social (plataformas de comércio eletrônico: Mercado Livre, 
OLX) não é necessário esse procedimento, apenas instalar o app novamente. 
 Nas situações em que o criminoso habilita a verificação em duas etapas, 
você deverá digitar códigos errados e de maneira sucessiva até bloquear o 
aplicativo. Posteriormente, será enviado para você um SMS para que possa 
utilizar o WhatsApp novamente. 
A fim de reduzir os riscos de invasão indevida do aplicativo, 
recomendamos nunca repassar informações de SMS, evitar clicar em links 
desconhecidos, habilitar a verificação em duas etapas e por fim, verificar as 
sessões ativas. 
 
 
 
CONTAS FALSAS NO INSTAGRAM 
 
As contas falsas podem ser utilizadas pelos criminosos para emprego de 
técnicas de engenharia social. Sua criação fere os termos de uso e política de 
privacidade da rede social. 
Identifica uma conta fake, acesse o link disponível em 
https://www.facebook.com/help/instagram/446663175382270 e faça uma 
denúncia. Não é necessário que você possua uma conta para realizar tal ato. 
https://www.facebook.com/help/instagram/446663175382270
Para comunicar um perfil ou publicação por abuso e spam siga as 
orientações dispostas no link 
https://www.facebook.com/help/instagram/446663175382270. 
 
 
PERFIL FALSO NO FACEBOOK 
 
Da mesma forma que o Instagram, o Facebook assegura um mecanismo 
para comunicar a existência de perfis falsos na sua plataforma. 
Se você possui conta, acesse o perfil a ser denunciado, clique nos … na 
foto da capa e marque denunciar. Se não tem conta, preencha o formulário 
disponível em https://www.facebook.com/help/contact/295309487309948. 
Para recuperar uma conta invadida, siga a orientação abaixo: 
https://www.facebook.com/help/instagram/446663175382270
https://www.facebook.com/help/contact/295309487309948
 
 
OPÇÕES PARA DENÚNCIA JUNTO AO GOOGLE 
 
As opções de denúncia na Google são diversas, dentre as quais 
destacamos: 
 
SPAM 
 Quando você identificar um spam no resultado de busca, poderá fazer a 
denúncia através de formulário17. Informe a URL da página específica e os 
termos utilizados na consulta para chegar a esse resultado. 
 
PHISHING 
Se você encontrar sites utilizados para a prática de phishing, preencha o 
formulário disponibilizado18. As informações serão enviadas para uma equipe 
responsável por analisar sua denúncia. 
 
SOFTWARE MALICIOSO 
 
17 Google. Denunciar spam na pesquisa aprimorada. Disponível em 
https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt. 
18 Google. Report Phishing Page. disponível em 
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en. 
https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en
As denúncias para de softwares maliciosos devem ser feitas dentro de 
plataforma disponibilizada pela Google 19 . Para submeter o fato, você deve 
informar a url encontrada com uma breve descrição do fato. 
 
DESINDEXAÇÃO DE CONTEÚDO 
A desindexação de conteúdo é um procedimento bastante efetivo contra 
as fraudes praticadas online, sobretudo para evitar que o mecanismo de busca 
indique resultados com conteúdo malicioso. 
A Google assegura aos usuários de países integrantes da União Europeia 
um formulário para pedido de remoção de informações pessoais com resultados 
específicos que incluam o nome do requerente. 
No Brasil, a Google possibilita, independentemente de ordem judicial, a 
remoção de informações pessoais dos resultados de pesquisa, tais como: RG, 
conta bancária, cartão de crédito, imagem de assinatura manuscrita, imagem ou 
vídeo sexualmente explícito que tenha sido distribuído sem consentimento20. 
 
1. DENUNCIAR EMAIL PHISHING 
Caso você receba um email phishing proceda a denúncia de forma direta: 
● Acesse seu gmail; 
● Abra a mensagem. 
● Ao lado de Responder , clique em Mais . 
● Clique em Denunciar phishing. 
YOUTUBE 
Por vezes, os criminosos criam canais no Youtube para divulgar conteúdo 
relacionado a prática de fraudes. A plataforma possui um canal para reportar 
essas irregularidades21. 
 
MERCADO LIVRE 
 
19 Google. Report Malicious Software. Disponível em 
https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en. 
20 Google. Solicitação para remover suas informações pessoais no Google. Disponível em 
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2
889064%2C9171202 
21 Youtube. Como remover conteúdo no Youtube. Disponível em 
https://www.youtube.com/reportingtool/legal?visit_id=637139830170362989-3601295991&rd=1. 
https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2889064%2C9171202
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2889064%2C9171202