Baixe o app para aproveitar ainda mais
Prévia do material em texto
PRESIDÊNCIA DA REPÚBLICA MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA Secretaria Nacional de Segurança Pública Diretoria de Ensino e Pesquisa Coordenação Geral de Ensino Núcleo Pedagógico Coordenação de Ensino a Distância Conteudista: ALESANDRO GONÇALVES BARRETO RICARDO MAGNO TEIXEIRA FONSECA Revisão Pedagógica: ARDMON DOS SANTOS BARBOSA Sumário Apresentação do Curso..................................................................................05 Objetivos do curso .........................................................................................06 Estrutura do curso..........................................................................................06 MÓDULO 1 – Contextualização......................................................................07 Apresentação do módulo...................................................................................07 Objetivos do módulo..........................................................................................07 Estrutura do módulo...........................................................................................07 Aula 1 – O Surgimento de um Cenário Dependente da Tecnologia............08 Aula 2 – Segurança Pública e Pandemia.......................................................10 2.1. Criminalidade Organizada e Pandemia MÓDUL 2- Engenharia Social.........................................................................13 Apresentação do módulo...................................................................................13 Objetivos do módulo..........................................................................................14 Estrutura do módulo...........................................................................................14 Aula 1 - Conceito e Classificação...................................................................14 Aula 2 - Engenharia Social: A Exploração da Vulnerabilidade Humana....16 Aula 3 - Operacionalidade da Engenharia Social.........................................18 MÓDULO 3 - Modalidades de Engenharia Social pelo Uso da Tecnologia........................................................................................................21 Apresentação do módulo...................................................................................21 Objetivos do módulo..........................................................................................22 Estrutura do módulo..........................................................................................22 Aula 1 – Phishing Scam e suas Modalidades...............................................22 1.1. Antecipação de Recursos ((ADVANCE FEE FRAUD) 1.2. Fraudes em Plataforma de E-Commerce Aula 2 - Estudo de Casos................................................................................27 2.1. Caso envolvendo a produção álcool em gel (caso ambev) 2.2 Caso do falso aplicativo com informações sobre a covid-19 2.3. Caso do falso plano de internet gratuita em razão da pandemia 2.4. Caso da “clonagem” de contas do aplicativo whatsapp e pedidos ilegítimos de dinheiro e dados Aula 3 - Outros Golpes Atualmente Aplicados com o Uso de Engenharia Social pela Rede..............................................................................................36 MÓDULO 4 -Atuação do profissional de segurança pública.......................39 Apresentação do módulo...................................................................................39 Objetivos do módulo..........................................................................................40 Estrutura do módulo...........................................................................................41 Aula 1 - Da prevenção às fraudes praticadas na Internet, especialmente em tempos de Pandemia.................................................................................41 1.1. Utilização de Fontes Abertas 1.2. Remoção de aplicativos falsos 1.3. Identificando e denunciando o perfil falso no Whatsapp 1.4. Procedimentos ao Identificar a conta clonada no Whatsapp. 1.5. Contas falsas no Instagram 1.6. Perfil falso no Facebook 1.7. Opções para denúncia junto ao Google 1.8. Desindexação de conteúdo 1.9. Considerações Finais......................................................................................54 Referências Bibliográficas..............................................................................55 FRAUDES ELETRÔNICAS EM TEMPOS DE PANDEMIA APRESENTAÇÃO Em tempos de pandemia, novos desafios são apresentados aos profissionais da Segurança Pública, dentre muitos, destaca-se o incremento das fraudes praticadas na Internet. Uma gama de fatores contribui, sobremaneira, para essa migração do crime: isolamento social, crescimento do comércio eletrônico, prejuízos econômicos, pagamento de benefícios sociais, contingenciamento das forças de segurança pública, dentre outros fatores. Algumas fraudes surgiram com o coronavírus, outras apenas adequaram seu modus operandi para o momento atual. Nesse contexto, faremos uma abordagem sobre os principais golpes praticados, notadamente, fatos coletados através de informações públicas livremente disponíveis. Por fim, demonstraremos os caminhos a serem seguidos pelos profissionais de segurança pública, tanto no enfrentamento quanto na prevenção das fraudes a fim de mitigar os prejuízos milionários por ela causados. Não procuraremos, pois, esgotar a temática. A infinidade de recursos disponíveis para a prática de golpes na internet impossibilita-nos de fazer isso durante esse período. Cabe-nos, de maneira didática, repassar ao profissional de segurança pública, a casuística e os caminhos para a mitigação dos efeitos danosos dessa modalidade delitiva em tempos de pandemia e oportunismo. Bom curso a todos! Objetivos do Curso Ao final do estudo do curso você será capaz de: • Contextualizar o cenário atual de crise. • Compreender a relação de dependência das sociedades à tecnologia. • Relacionar situações de crise à Segurança Pública. • Definir Engenharia Social. • Identificar fraudes eletrônicas. • Citar ações voltadas à cibersegurança. • Mitigar danos relacionados à golpes virtuais. • Prevenir e combater tentativas de ataques maliciosos. Estrutura do Curso O curso é composto por 4 módulos: Modulo 1. Contextualização Módulo 2. Engenharia Social Modulo 3. Modalidades de Engenharia Social pelo Uso da Tecnologia Modulo 4. Atuação do profissional de segurança pública MODULO 1. CONTEXTUALIZAÇÃO APRESENTAÇÃO Em meados de dezembro de 2019, a Organização Mundial da Saúde foi alertada por autoridades chinesas sobre uma pneumonia de origem desconhecida que estava afetando a população de Wuhan, China. Passados alguns dias, a doença foi identificada como o novo coronavírus (COVID-19). Com sintomas que variam desde um pequeno resfriado até uma pneumonia severa, o coronavírus alastrou-se pelo planeta e levou consigo milhares de pessoas mortas. Essa disseminação mundial fez com que a OMS declarasse o COVID-19 uma pandemia. Por outro lado, as formas de contágio (espirro, tosse, saliva, aperto de mão, objetos contaminados, dentre outros), reforçaram as recomendações pelo distanciamento social a fim de diminuir a curva de contágio da doença e, via de consequência, minimizar a sobrecarga no sistema hospitalar para evitar um colapso. Desde então, alguns países passaram a restringir a circulação de pessoas nas ruas, permitindo apenas a continuidade apenas de serviços essenciais. Em alguns locais, decretou-se até mesmo o lockdown, com multas elevadíssimas para quem descumprisse as regras do isolamento. Objetivos do Módulo Ao final do estudo deste módulo, você será capaz de: • Identificar as mudançasocorridas no mundo durante a ocorrência da pandemia do COVID-19. • Reconhecer a situação de dependência tecnológica da sociedade moderna e os riscos que essa conectividade representa. • Examinar os impactos da pandemia e das crises em geral no sistema de segurança pública. • Descrever as causas de migração da criminalidade para o ambiente cibernético. Estrutura do Módulo Este módulo e formado por 2 aulas: Aula 01 – O Surgimento de um Cenário Dependente da Tecnologia Aula 02 – Segurança Pública e Pandemia Aula 01 – O SURGIMENTO DE UM CENÁRIO DEPENDENTE DA TECNOLOGIA Isoladas nas suas residências, a interconectividade cresceu de forma considerável para buscar suportar diversos cenários: a) Informações sobre a pandemia: com a suspensão de atividades como as de ensino e, em alguns casos, do expediente presencial em postos de trabalho, as pessoas têm utilizado ainda mais a internet como meio de se manterem conectadas e informadas. O momento atual demonstra de maneira clara como o exercício do direito à comunicação e do direito à informação são centrais para a garantia do direito à saúde. A comunicação e a informação são elementos centrais no combate à pandemia. Sobretudo a internet tem sido espaço fundamental para que as pessoas acessem informação de qualidade sobre a crise sanitária, por meio de sites, portais, aplicativos e outros recursos disponibilizados pelos poderes e instituições públicas; b) Home Office: esta modalidade de trabalho era antes restrita a alguns profissionais. O home office foi a solução à realidade de milhares de trabalhadores no Brasil e no mundo por causa da pandemia de coronavírus. Nem todas as profissões podem simplesmente migrar para o formato a distância, mas, para serviços de escritório, feitos em computador, essa foi a alternativa encontrada por diversas empresas e órgãos públicos para manter a produtividade e, ao mesmo tempo, preservar a saúde dos funcionários; c) Entretenimento: o fechamento de estabelecimentos, com a determinação de isolamento, aliada a suspensão de diversas atividades públicas e artísticas expõe toda a fragilidade da atual conjuntura mundial, e de certa forma, força as pessoas a se adaptarem em todos os segmentos. Logo nas primeiras semanas da pandemia COVID-19, iniciaram-se as chamadas “lives” de forma amadora nas sacadas e varandas de apartamentos, sem grandes estruturas, com o objetivo único de entreter vizinhos e fãs, de modo a amenizar a dura situação do isolamento. Porém, isso tem mudado, e cada vez mais tem-se perdido a espontaneidade inicial, os artistas têm feito verdadeiros shows ao vivo via internet, juntando milhões de pessoas em transmissões virtuais, gerando muito dinheiro e repercussão; d) Telemedicina: é o exercício da medicina por meio da comunicação interativa, como, por exemplo, videochamadas. Assim, não é necessário o contato físico entre pacientes e médicos, poupando ambos do deslocamento e do encontro. A Telemedicina pode ser feita em diversas modalidades, dentre as quais: a teleorientação (orientação e encaminhamento de pacientes remotamente), telemonitoramento (supervisão e o monitoramento de parâmetros de saúde do paciente à distância) e Teleinterconsulta (troca de informações e opiniões entre médicos, para o auxílio diagnóstico ou terapêutico); e) Negócios: A pandemia provocada pelo novo Coronavírus impactou severamente a economia de todo o país e em pouco tempo. Principalmente os donos de pequenos negócios, precisaram fechar as portas de seus estabelecimentos físicos e ficar em casa para diminuir a propagação da doença. Consequentemente, veio a redução no faturamento dessas empresas e muitos empreendedores, buscando evitar a falência, migraram suas atividades para o ambiente virtual. O uso de aplicativos criados para auxiliar o processo de comunicação nos negócios, como o Whatsapp Business, por exemplo, generalizou-se neste segmento. Além disso, houve o aumento significativo do comércio eletrônico e serviços delivery. As compras de produtos e serviços passaram a ser efetivadas agora através de plataformas de comércio eletrônico, websites e aplicativos de refeições. O usuário não precisa sair de casa. Agregue-se a esse cenário, dúvidas, medo, ansiedade e pânico sobre a doença. As pessoas passaram a clicar em tudo que tivesse correlação com a pandemia: mensagens e links enviados por WhatsApp, publicações no Instagram e Facebook, aplicativos com informações sobre infecções, sites com conteúdo voltado à doença, opiniões de “especialistas de plantão”, dentre outros. Por fim, o pagamento de auxílio governamental, efetivado para minorar os efeitos econômicos da diminuição de renda durante a pandemia. Diversos países passaram a repassar quantias mensais às pessoas afetadas, especialmente, os trabalhadores da economia informal. No Brasil, foi ofertado o valor de R$ 600,00 (seiscentos reais) e, para as mães chefes de família, R$ 1.200,00 (um mil e duzentos reais). Estamos diante, pois, de cenários atrativos a migração do crime para o ambiente cibernético. Aula 02 - SEGURANÇA PÚBLICA E PANDEMIA A segurança pública também sofreu vários impactos durante a crise do coronavirus. Primeiramente, destaca-se o redirecionamento das forças policiais das suas atividades rotineiras de prevenção e repressão de crimes para auxiliar nas medidas de fiscalização de distanciamento social. Um outro aspecto a ser mencionado é o afastamento de diversos policiais das atividades diárias em razão de serem parte de grupos de risco ou ainda em decorrência da contaminação do coronavírus. Em alguns locais, houve até mesmo o revezamento do efetivo, sobretudo para evitar a contaminação de toda equipe. Se por um lado estava havendo esse contingenciamento do efetivo, merece destaque, todavia, o aumento das apreensões de substâncias entorpecentes e de contrabando nas fronteiras. Com o fechamento delas, houve a necessidade do incremento do efetivo policial. O aumento da fiscalização e de barreiras sanitárias trouxe resultados consideráveis na repressão a essas modalidades delitivas. Os resultados da Operação Hórus, do Programa Nacional de Fronteiras e Divisas são bastante expressivos. Segundo dados apontados pelo Ministério da Justiça e Segurança Pública, através de comparação entre dias antes e depois do fechamento das fronteiras, houve um aumento de 180% nas apreensões de drogas, saindo de 1,4 para 3,9 toneladas. As referências ainda são maiores quando falamos da apreensão de cigarros contrabandeados1. CRIMINALIDADE ORGANIZADA E PANDEMIA A migração da criminalidade para o ambiente cibernético não é um fato recente. Esse espaço tem se tornado bastante atrativo, notadamente em razão de: ● Escalabilidade: aumento das atividades criminosas sem ampliação dos custos; ● Anonimidade: inúmeras são as plataformas ofertadas com criptografia ponto a ponto e a custo zero. Aplicações de internet que foram criadas com fins lícitos, passam a ser empregadas para a prática delitiva e, garantem, sobremaneira, um aparato tecnológico para “blindar” o criminoso e; ● Impunidade. 1 Ministério da Justiça e Segurança Pública. Apreensões de drogas e cigarros aumentam mais de 300% com fechamento das fronteiras. Programa Vigia ganhou reforço de policiais nas fronteiras. Publicada em 24 mar. 2020. A pandemia trouxe, por sua vez, diversos outros fatores atrativos para a prática de fraudes na Internet. Com menos pessoas nas ruas e um maior policiamento, os ganhos ilícitos do crime foram impactados. As perdas deveriam ser recuperadas e necessitava-se, pois, de repará-las o quanto antes. Através da pandemia do oportunismo. Usuários ansiosos por informações, medo, auxílio do governo federal, “clicks nervosos” em links maliciosos, compras de produtos e serviços online impulsionaram os ganhos ilícitos, verdadeiro combustívelpara fomentar a prática de fraudes em tempos de coronavírus. MÓDULO 2. ENGENHARIA SOCIAL APRESENTAÇÃO O elemento humano é o ponto mais vulnerável de qualquer sistema de segurança, mesmo aqueles que estão fora do universo informacional e tecnológico. Nos ambientes corporativos, a segurança da informação é um aspecto estratégico em qualquer entidade, dado o grande valor dos ativos digitais nos modelos de negócio atuais. Todavia, embora muito significativo, representa uma parte dos pontos a ser gerenciados. A segurança predial ou física de um local, por exemplo, também é de grande valor e, da mesma forma, estabelece-se um sistema, baseado em regras e rotinas a seus frequentadores. Contudo, diariamente são noticiados invasões e furtos a estabelecimentos empresariais e comerciais, mesmo dotadas de artefatos tecnológicos, como câmeras de CFTV e alarmes, ou de segurança armada. Do mesmo modo, grandes empresas de tecnologia também sofrem invasões e seus executivos testemunham enormes danos a sistemas internos, dentre os quais, subtração de dados e vazamentos de arquivos preciosos. Em 2011, a empresa Sony teve sua divisão de games, chamada “PlayStation Network” invadida. Hackers não-identificados penetraram na rede, derrubaram e ainda roubaram dados pessoais de mais de 77 mil usuários do serviço, o que forçou a empresa a lidar com muitas reclamações e até com alguns processos. Apenas três anos depois, a empresa Yahoo revelou uma invasão de hackers que acabou comprometendo a segurança de 500 milhões de contas do serviço. No mesmo ano a Sony Pictures, divisão cinematográfica da marca Sony, também foi atacada. Ela teve sua rede novamente violada, desta vez por um grupo de hackers conhecidos como “Guardians of Peace” (Guardiões da Paz), que vazaram informações sobre funcionários e executivos do estúdio. Nessa seara, muita ênfase relacionada à segurança é dada à implementação de tecnologias preventivas e detectivas, como antivírus, IDS (Sistema de Detecção de Intrusões), IPS (Sistema de Prevenção de Intrusões), Firewalls etc., ignorando completamente o comportamento não técnico. Objetivos do Módulo Ao final do estudo deste módulo, você será capaz de: • Apontar o conceito de Engenharia Social. • Classificar as categorias de tentativas de fraudes mediante atividade da engenharia social. • Identificar o papel humano como responsável pela segurança e combate às fraudes. • Examinar os riscos existentes em ambientes domésticos e corporativos frente aos ataques planejados com base na engenharia social. • Analisar as fases existentes em golpes operacionalizados por meio da engenharia social. Estrutura do Módulo Este módulo e formado por 3 aulas: Aula 01 – Conceito e Classificação. Aula 02 – Engenharia Social: A Exploração da Vulnerabilidade Humana. Aula 03 – Operacionalidade da Engenharia Social. Aula 01 - CONCEITO E CLASSIFICAÇÃO Engenharia social é o nome dado à categoria de investidas ou ataques (segurança cibernética) que envolvem manipulação intencional de um indivíduo ou grupo, em um esforço para obter vantagens indevidas (direito penal), dados ou informações (segurança cibernética), bem como para afetar determinado comportamento geralmente através de alguma forma de engano e ocultação de seu objetivo real. Como se pode perceber, o termo Engenharia Social recebe contornos conceituais quando relacionado aos aspectos cibernéticos ou físicos dessa atividade. Quando o contexto se refere à violação de cibersegurança, pode ser definido como o uso de truques psicológicos por um hacker externo em usuários legítimos de um sistema de computador, a fim de obter as informações de que ele precisa para obter acesso ao sistema. Entretanto, a prática de enganar alguém, pessoalmente ou por telefone (meios físicos ou não cibernético) acaba surtindo os mesmos efeitos do que usando um computador, pois, no fundo, a intenção expressa é a mesma, ou seja, de violar algum nível de segurança pessoal, profissional ou mesmo tecnológico. A expressão “engenharia social”, porém, é mais utilizada para descrever técnicas ardilosas no âmbito da tecnologia. Neste sentido, é definida como um tipo de intrusão não técnica, que depende muito da interação humana, que geralmente envolve induzir outras pessoas a violar os procedimentos normais de segurança. Aos criminosos, que usam técnicas de engenharia social para obtenção de credenciais personalíssimas e informações sigilosas para fins ilícitos, é dado o nome “engenheiros sociais”. O perfil deste tipo de delinquente é variante, afastando-se o estereótipo de que se trata sempre de profissionais da tecnologia mal-intencionados. O que se deve levar em conta nesta seara, é que a atuação de um indivíduo no universo criminológico cibernético resulta de motivações diversas, as quais podem ser arroladas como: interesse financeiro, poder, ideologia, instinto de vingança, curiosidade e até a pura maldade. Admite-se, assim, que engenheiros sociais podem ser estelionatários, ex-funcionários descontentes de uma organização, terroristas, fanáticos de toda natureza ou iniciantes do mundo hacking. Pressupõe-se, então, que os ataques de engenharia social podem ser realizados de muitas maneiras diferentes, assim como podem ser realizados em qualquer ambiente digital enquanto houver interação humana. Eles podem, porém, ser de natureza tecnológica ou não. A variação e extensão dos ataques de engenharia social são limitadas apenas pela criatividade do hacker Diante desta perspectiva fática, as tentativas de engenharia social podem ser classificadas em duas categorias: fraude baseada em tecnologia e fraude humana. Na abordagem baseada em tecnologia, o usuário é levado a acreditar que está interagindo com um aplicativo ou sistema real, divulgando informações confidenciais e permitindo o acesso a uma rede da organização. Na abordagem apoiada na vulnerabilidade humana, os ataques são realizados tirando proveito das respostas das pessoas previsíveis aos gatilhos psicológicos. Aula 2 - ENGENHARIA SOCIAL: A EXPLORAÇÃO DA VULNERABILIDADE HUMANA Em grande parte desses ataques praticados por hackers contam com vulnerabilidades deixadas nos sistemas alvo. Estruturas lógicas de bancos de dados e soluções de plataformas desenvolvidas pelas corporações podem deixar falhas quando programadas. É evidente que já se detecta neste contexto a falibilidade humana, que pode ser de toda uma equipe de desenvolvimento, mas extensível a outras relacionadas a qualidade de software e até segurança, considerando a interdependência dessas áreas nos modelos atuais. Mas o que se chama a atenção no contexto deste capítulo é a participação humana nos incidentes de segurança como usuário. Assim como ocorre no exemplo da segurança predial, no ambiente digital, a contribuição das pessoas para a ocorrência de sinistros é extremamente relevante, razão pela qual sempre são estabelecidos regras e protocolos a ser observados. A administração de condomínios comumente exige, no ato de entrada de visitantes, a identificação com exibição de documentos destes. Há regras de e saída, protocolos para casos de incêndio, dentre outros. Sistemas de informação, da mesma forma, sempre exigem autenticação com senha, podendo, em alguns casos, até condicionar um acesso a outros fatores, inclusive de natureza física, como um, por exemplo. Historicamente, a maioria das técnicas desenvolvidas para combater os ataques à segurança concentrava-se em colocar “barricadas virtuais” em torno dos sistemas, tentando impedir que um indivíduo indesejado obtivesse acesso aos recursos. Porém, verificou-se que tamanho investimento não surtia efeitos, pois os elos mais fracos de todas as defesas de segurança das organizações, na maioria das vezes, foram seus funcionários. De fato,o ideal da segurança impenetrável nunca pôde ser alcançado, muito menos quando se tenta impedir ataques em um nível técnico e não se preocupando com o nível físico-social. A ignorância desse elemento social vital sempre forneceu aos hackers um método fácil para obter acesso a um sistema privado. Em suma, toda a preocupação ora apresentada com o usuário serve para demonstrar o quão este é classificado como ponto de preocupação em qualquer sistema. Isto se explica por causa de seu comportamento previsível e outros aspectos psicológicos, o que acaba sendo frequentemente explorado por pretensos invasores. Neste contexto que se destacam técnicas utilizadas para violar camadas de segurança, sem o uso de programas para descobrir entradas vulneráveis e ferramentas de intrusão. A maioria dos ataques utiliza a chamada Engenharia Social sobre indivíduos, explorando suas permissões em sistemas de computadores para acesso e obtenção de vantagens indevidas. O custo desta empreitada é mínimo para o invasor, não lhe exigindo poder computacional tampouco conhecimento especializado em computação. Criatividade e poder de convencimento são os artefatos geralmente utilizados. Vale ressaltar, por oportuno, que a utilização dessas técnicas para obtenção de dados pessoais, tornou-se uma grande preocupação não apenas para as organizações, mas também para indivíduos comuns. O assunto engenharia social, inclusive, tem maiores repercussões no âmbito da ciência jurídico-criminal que estuda as fraudes do que propriamente no escopo da segurança da informação. A cada dia, novas modalidades de golpes são constatadas, especialmente, aquelas que contam com o apoio da tecnologia. Na realidade, o surgimento da Internet significou a abertura de um grande mercado para os “golpistas”. A “arte de enganar”2, entretanto, não surgiu com o advento da web e sempre representou uma preocupação estatal, tanto 2 MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. Excelente obra que explora a arte da engenharia social – conjunto de técnicas que permite que um hacker, utilizando pouca ou nenhuma tecnologia, invada sistemas e acesse informações não autorizadas. que o crime de estelionato figura no Código Penal brasileiro desde a sua primeira versão publicada em 1940. De alguma forma, a engenharia social foi empregada no contexto das mais conhecidas guerras no mundo, como importante estratégia bélica. Um clássico exemplo disso vem da Antiguidade, a narrativa do Cavalo de Tróia, empregado durante a guerra greco-troiana, resultando em uma sólida vitória grega sobre seus oponentes. Acreditando ter recebido um presente dos deuses, os troianos foram seduzidos por um cavalo de madeira achado na praia, mas repleto de gregos nele escondidos. Assim, levaram-no para o centro de suas dependências, descuidando totalmente de sua segurança. Vê-se que, neste exemplo, o uso de técnica persuasiva baseada na ideologia ou ética religiosa, foi capaz de ludibriar uma civilização inteira e invadir um território conhecido à época como impenetrável, em face do poderio militar dos troianos. Uma conhecida modalidade de malware (software malicioso) recebeu esta nomenclatura (trojan), por realizar efeito análogo em sistemas operacionais. Acreditando estar recebendo uma foto, vídeo ou documento digital, o usuário baixa e executa um arquivo que traz um algoritmo capaz de penetrar no sistema do alvo, transpondo mecanismos de segurança. O que chama a atenção nos dias atuais, é o quanto se expandiu esse fenômeno criminológico com a inserção dos novos meios informacionais como redes sociais e aplicativos de mensageria. Alguns aspectos podem justificar essa constatação, tais como a facilidade de contatar pessoas e lhe ofertar o objeto da fraude; a sensação de segurança resguardada pelo anonimato e o baixo custo dos recursos necessários à aplicação do golpe virtual. O atrativo a quem utiliza a técnica é o segredo por trás da engenharia social verdadeiramente bem-sucedida: ela facilmente coleta informações sem levantar suspeitas sobre o que estão fazendo, no momento de sua execução. Aula 3 - OPERACIONALIDADE DA ENGENHARIA SOCIAL Conforme suscitado nas linhas acima, os engenheiros sociais não obedecem a um modelo comportamental, pois dependendo do objetivo colimado, utilizará a técnica que julga mais adequada àquela situação. Oportunismo é a palavra que define habilidade em tirar partido de circunstâncias ou fatos para a obtenção de algo. Essa qualidade é totalmente característica à engenharia social e pode definir o meio eleito pelos criminosos. Destarte, embora cada um dos ataques de engenharia social seja único, ou melhor, possua suas próprias peculiaridades, é possível observar um padrão comum neles, analisando-se o modus operandi destas técnicas em geral. Na realidade, o que se identifica é a existência de uma espécie de linha progressiva, dividida em quatro fases, didaticamente separadas para fins de estudo do objeto. Cita-se o “levantamento”, como a primeira fase, onde o invasor coleta informações sobre o alvo e as circunstâncias que o rodeia. Depois de obter informações preliminares suficientes, o atacante agora passa para a segunda fase, chamada de “aliciamento”. Nesta etapa, tenta desenvolver a confiança do alvo, construindo algum tipo um relacionamento com ele, comercial, ideológico ou afetivo. Segue-se então ao momento da “manipulação”. Nesta terceira fase, o invasor manipula a confiança adquirida na fase anterior e começa a extrair dados ou realizar operações confidenciais. Esta é a parte mais crítica da ação, pois é, de fato, aquela que representa riscos ao criminoso, especialmente que ocorra uma tomada de consciência por parte do enganado, que “caindo em si”, perceba que está sendo vitimado. Na fase final, ocorre o chamado “desligamento ou saída”, momento no qual o engenheiro social se retira da situação. Nenhuma prova é deixada para trás, tampouco desperta na vítima, algum indício de que tudo se tratou de um plano ardiloso. Ao final de tudo, nada pode levar a algum canal revelador à sua identidade real, deixando a vítima o mesmo efeito natural de quando acorda de um sonho. Logo, a engenharia social emprega a ilusão na mente de seus alvos, ou seja, uma realidade que nunca existiu, portanto, incapaz de deixar qualquer vestígio. Fases de operação da Engenharia social: MODULO 3. MODALIDADES DE ENGENHARIA SOCIAL PELO USO DA TECNOLOGIA APRESENTAÇÃO No módulo 2 deste curso apresentamos a classificação das espécies de engenharia social como: fraude baseada em tecnologia e fraude humana. Vale destacar a diferença essencial entre a primeira e o crime cibernético próprio. Na hipótese do cibercrime, é utilizada alta tecnologia para violação dos mecanismos de segurança e todo iter criminis se procede no espaço cibernético. Exemplo disso são os casos de invasões dispositivos de informática, onde são utilizadas técnicas de injeção de SQL, quebras criptográficas ou explotações com ferramentas de intrusão. Diferentemente, ocorre na fraude baseada em tecnologia. O meio cibernético também é escolhido, mas tão somente para execução de uma das fases da engenharia social. As ferramentas aqui utilizadas, embora provenientes do meio virtual, são apenas os canais de comunicação onde são aplicadas as técnicas de persuasão pelo criminoso. No crime cibernético próprio, o atacante invade um sistema sem o auxílio direto da vítima. Esse é o ponto diferenciador da engenharia social, onde o alvo é persuadido a entregar os dados desejados pelo enganador. Há uma famosa frase de Kevin Mitnick, autor da obra “A arte de enganar3", sintetizam bem a ideia, exemplificando: "Há um ditado popular que diz que um computador seguro é aquele que está desligado. Isso é inteligente, masé falso: O hacker convencerá alguém a entrar no escritório e ligar aquele computador. Tudo é uma questão de tempo, paciência, personalidade e persistência4” Nas próximas linhas, serão apresentadas as mais comuns fraudes com uso da tecnologia, espécie do gênero Engenharia Social, cujos efeitos 3 MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. 4 Disponível em <https://www.pensador.com/frase/MTQ0MDcyNQ> Acesso em 25-4-2020. https://www.pensador.com/frase/MTQ0MDcyNQ/ geralmente se consumarão no mundo real, significando perdas financeiras, abalos à reputação e à saúde das pessoas, na maioria dos casos. Objetivos do Módulo Ao final do estudo deste módulo, você será capaz de: • Descrever as principais tentativas de fraudes utilizadas com o uso da tecnologia. • Identificar a prática do Phishing Scam e suas modalidade. • Comparar as práticas comuns de Phishing, como a Antecipação de Recursos, fraudes baseadas no comércio eletrônico e relacionamentos virtuais. • Analisar casos de golpes praticados pela internet em sites e aplicativos por meios fraudulentos. • Examinar técnicas utilizadas por criminosos durante a Pandemia com o objetivo de copiar dados ou obter lucros na internet. Estrutura do Módulo Este módulo e formado por 3 aulas: Aula 01 – Phishing Scam e suas Modalidades. Aula 02 – Estudo de Casos. Aula 03 – Outros Golpes Atualmente Aplicados com o Uso de Engenharia Social pela Rede. Aula 1 - PHISHING SCAM E SUAS MODALIDADES: Phishing Scam se refere à coleta de dados pessoais realizada ilegal e fraudulentamente pela Internet. É uma palavra da língua inglesa, que se origina da forma homofônica do termo “fishing” (pescaria), em alusão à ideia de que o objetivo do phishing é a “pesca” de dados. O phishing scam é a forma mais prolífica de engenharia social, uma vez que capaz de atingir com maior facilidade um número imensurável de vítimas. A técnica de phishing envolve a criação de sites cuidadosamente projetados para se parecerem com os sítios eletrônicos legítimos, ou seja, com aqueles que o engenheiro social copia os dados, com a finalidade de criar as falsas páginas e enganar as vítimas. Essa engenharia leva o usuário a fornecer suas informações pessoais, quando impulsionado a preencher formulários. Na maioria dos casos, a técnica é precedida por outras de caráter preparatórios, desenvolvidas com o objetivo de atrair internautas aos sites falsos (phishings). O Pharming é um tipo específico de phishing utilizado para redireção da navegação do usuário para sites falsos. A técnica por trás desta modalidade é a alteração no serviço de DNS (Domain Name System), responsável por resolver ou “converter” nomes de domínio em protocolos IP, endereços compreensíveis pela rede. Como consequência, quando o usuário tenta acessar um site legítimo, o seu navegador Web é redirecionado automaticamente para uma página falsa. Isto ocorre geralmente em razão do comprometimento do servidor de DNS do provedor utilizado pelo usuário ou pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS do computador (envenenamento de DNS). Registra-se, ainda, que a ação pode ser resultado da ação direta de um invasor com permissão de acesso às configurações do serviço de DNS de um determinado modem. Os chamados smishings (phishings por SMS) são muito comuns neste contexto. Criminosos contratam empresas especializadas no envio de mensagens SMS em massa e, assim, encaminham o endereço eletrônico de seu falso site para inúmeros usuários. Outra tecnologia preparatória também contratada pelos engenheiros sociais é o “rankeamento” do site falso em motores de busca. Para isso, pagam valores elevados e garantem que o site aparecerá nas primeiras opções quando as vítimas pesquisam assunto relacionado por meio de palavras-chaves. Isto é muito utilizado por empresas de e-commerce que aparecem sempre no topo do ranking e ainda ostentam promoções. Existem outras modalidades de phishing. Nesta seara, vale mencionar um novo tipo de tática chamada de “Chat-in-the-middle”. Envolve a adição de uma janela de suporte de bate-papo ao vivo falsa, na qual o usuário é estimulado a inserir seus nomes de usuário e senhas. O fraudador garante no seu site falso, sessões de chats análogas ao mesmo serviço disponível na página que a vítima acredita estar acessando. No Brasil, ultimamente tem ocorrido muitos casos do que se chama de vishing (phishing de voz ou VoIP). Trata-se de um esquema de fraude eletrônica, cujo objetivo é extrair dados bancários ou informações pessoais da vítima por meio do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica de engenharia chamada spoofing (falso remetente). As vítimas são então atraídas a divulgar suas informações confidenciais, como números de cartão de crédito, números de PIN, números de contas, senhas etc. Esses ataques geralmente envolvem um esquema chamado de “falsificação de identificador de chamadas” ou “spoofing de chamadas”, viabilizadas por aplicativos capazes de fazer com que as chamadas pareçam vir de uma fonte confiável, como um banco ou um órgão público. Na realidade provém de terminais virtuais e falsos. ANTECIPAÇÃO DE RECURSOS (ADVANCE FEE FRAUD) Este tipo de engenharia social resulta em fraude doutrinariamente conceituada como “antecipação de recursos” (advance fee fraud). Trata-se de tema encontrado em qualquer doutrina especializada em cibercriminalidade do mundo, especialmente porque geralmente criminosos de um continente atacam em outro, visando a obtenção de recursos financeiros. Existem organizações criminosas oriundas do continente africano que há anos utilizam esta forma de “golpe virtual”. Segundo o CERT.Br, o Golpe da Nigéria é um dos tipos de fraude de antecipação de recursos mais conhecidos5. Esta engenharia é estruturada da seguinte forma: ● Recebe-se uma mensagem eletrônica em nome de uma pessoa ou instituição dizendo-se ser da Nigéria, e solicitando apoio do usuário como intermediário em uma transferência internacional de fundos. A justificativa 5 Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso em 24/04/2020. pela escolha da vítima para o caso, vem expressa na mensagem como feita em razão da reputação desta ou indicação de amigos; ● Como se tratam de operações envolvendo altos valores, seduz-se o usuário com a promessa de futuramente ser recompensado com uma porcentagem sobre o valor, por ter agido como intermediário e mantido o sigilo, o que seria fundamental ao sucesso da operação; ● Após responder à mensagem e aceitar a proposta, os golpistas solicitam o pagamento antecipado do valor principal somado a custos, como advogados e taxas de transferência de fundos; ● Realizado o pagamento, surge cobranças para a efetivação de outros ou simplesmente é perdido o contato com os golpistas. No fim das contas, além de perder todo o dinheiro investido e não recebimento de recompensa, os dados pessoais da vítima ainda ficam na posse dos criminosos. O CERT.br conscientiza os usuários de que, apesar deste golpe ter ficado conhecido como oriundo da Nigéria, já foram registrados diversos casos semelhantes originados ou relacionados a outros países, geralmente de regiões envolvidas em guerras, conflitos políticos, econômicos ou raciais6. Vítimas do sexo feminino são significativamente lesadas no Brasil em razão da atuação dos chamados “Romance Scammers”. Nestas situações, também conhecidas como oriunda de países africanos, especialmente a Nigéria, são criadas contas em redes sociais, com perfis que ostentam fotos de militares e executivos americanos ou europeus. Após um período de “namoro virtual”, ocorrem manobras sedutoras que levam mulheres a transferir altas quantias financeiras. Ressalta-se, entretanto, que também ocorremuitas situações fraudulentas de antecipação de recursos. As vítimas são informadas que foram presenteadas com joias de alto valor e precisa pagar pelas taxas alfandegárias para as receber. Também é comum pedidos de empréstimos financeiros para arcar com as despesas geradas pela mudança do falso namorado para o Brasil. Às vítimas fica a 6 Cartilha de Segurança para a Internet. Disponível em <https://cartilha.cert.br/golpes/> Acesso em 24/04/2020. promessa de que serão restituídas no momento da chegada ao país. O resultado da “aventura virtual” é a soma de prejuízo financeiro e desilusão amorosa. Embora a fraude de antecipação de recursos possua diversas variações, assemelham-se pela forma como são aplicadas e pelos danos causados. Assim, é possível se descrever um padrão de comportamento detectável como peculiar a esta modalidade. Em regra, o engenheiro social procura induzir uma pessoa a fornecer suas informações de acesso a aplicações bancárias ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício. Isso geralmente envolve o recebimento de mensagens por e-mail ou aplicativos. Deste modo, a pessoa é envolvida em alguma situação ou história repercutida, logo se vendo impelida a enviar informações pessoais ou a realização de algum pagamento adiantado, acreditando que receberá o prometido pelo golpista. Após fornecer os recursos solicitados a pessoa percebe que o tal benefício prometido não existe, constata que foi vítima de um golpe e que seus dados/dinheiro estão em posse de golpistas. FRAUDES EM PLATAFORMA DE E-COMMERCE Neste tipo de engenharia social as vítimas são tentadas à realização de um bom negócio voltado à aquisição de bens, produtos e serviços, tickets ou ingressos para eventos de entretenimento e capacitações. Após aliciadas por anúncios patrocinados, “ranqueados” ou compartilhados em redes sociais, pessoas são seduzidas por ofertas explicitadas nas plataformas, geralmente com preços muito abaixo o padrão de mercado. Acreditando estar realizando um excelente negócio, transferem o pagamento para o "vendedor" que promete a entrega do item. Em alguns casos, os anunciantes exigem pagamento adicional por impostos ou taxas de entrega após o primeiro pagamento. Por fim, a vítima nunca recebe o item. Ultimamente, tem chamado a atenção dos órgãos de segurança pública, os sites de leilões virtuais. Neste tipo de negócio, são apresentados lances no ambiente “interativo” dos sites especializados pelos usuários, até o momento que alguém oferece uma quantia superior final. Esse procedimento é muito comum em ambientes de leilão de veículos, onde os adquirentes são impelidos a transferir o valor do bem, imediatamente após esse lance final, como forma de garantia. O grande problema deste tipo de aquisição via plataforma on line é de que o bem leiloado é representado no site apenas por fotos e dados descritivos. Não há garantia de sua existência real ou de que se trata de fato da coisa em negociação. Os prejuízos noticiados em boletins de ocorrência são de altíssimo valor e raramente as vítimas conseguem reavê-los, pois as quantias rapidamente são sacadas e fragmentadas em depósitos realizados em contas de terceiros. Aula 2 - ESTUDO DE CASOS Diante de situações de grande impacto social como em tempos de pandemia, engenheiros sociais rapidamente buscam adaptar seus esquemas de fraude para novos ganhos financeiros. O que muda significativamente é o cenário, mas favorável às suas ações, pois a ansiedade e o medo das vítimas, durante a crise as torna muito mais vulneráveis. No caso da COVID-19, a recomendação de distanciamento social das pessoas pela Organização Mundial de Saúde, como forma de redução de contaminação, amplia significativamente o uso de aplicativos de compras e contratação de serviços, assim como o fluxo informacional em ferramentas de troca de mensagens e redes sociais. Diante dessa realidade, inobstante as fraudes de natureza comercial, tem-se novas versões de esquemas de golpes pela rede, os quais abrangem desde o fornecimento de produtos destinados à prevenção da doença até esquemas mentirosos de descontaminação e cura. Espera-se, ainda, que um grande número de novas fraudes sobrevenha nas próximas semanas, especialmente quando os engenheiros sociais tentarem se capitalizar ainda mais, diante do estado de fragilidade das pessoas em todo o mundo. Assim, elencamos nos próximos parágrafos, alguns casos reais ocorridos nas últimas semanas, onde se observa a utilização da engenharia social para efetivação de fraudes contra a população brasileira: Caso envolvendo a produção Álcool em gel (caso Ambev) Circulou, durante alguns dias do mês de março de 2020, pelas redes sociais uma mensagem com o título "Ambev - retire seu álcool gel", o qual orientava as pessoas a clicar em um link, digitar seu CEP e pesquisar qual o ponto de distribuição mais próximo de seu endereço. O meio de propagação mais utilizado para circular a mensagem foi o aplicativo de mensageria WhatsApp. Para ganhar os frascos, a pessoa teria que acessar um dos três sites cujos links eram direcionados por meio do citado aplicativo de mensageria. Nos casos constatados, os domínios (endereços eletrônicos) a ser clicados eram referentes às páginas: “reiaconamento.com”, “cadastroonline.com” e “oficiai.com”. A empresa Ambev logo se pronunciou por meio de seu canal oficial no Twitter, informando sobre a falsidade do comunicado7: "Algumas mensagens estão circulando pelas redes sociais levando ao cadastro para retirada de álcool em gel em postos de recolhimento. Gostaríamos de alertar que nosso álcool em gel produzido será destinado para uso em hospitais públicos. Não clique em links suspeitos”. Contudo, para que detecte a origem não legítima da notícia e indícios de possível aplicação de engenharia social, submete-se os endereços eletrônicos a uma verificação da reputação dos sites citados no serviço “Virus Total” (www.virustotal.com). Recomenda-se nunca clicar no link, nem mesmo para fins de cópia para posterior colagem. O mais correto é gerar um print ou fotografar a tela do dispositivo informático, de modo que registre o endereço completo, uma vez que será necessário o digitar no campo “URL” do site “Virus Total”. Ressalta-se, que há procedimentos forenses de captura de conteúdo de site, os quais não constituem objeto deste curso, dada a complexidade da matéria. O resultado da verificação no site é que “oficiai.com” foi classificado como “site de phishing pelo serviço Kaspersky” e como “malicioso” pelo Sophos AV, assim como o “cadastrooline.com”. O “reiacionamento.com” foi classificado como “site de phishing” pelos serviços Fortinet e Kaspersky. Somados os resultados com a informação prestada pelo canal oficial da empresa na rede Twitter, verifica-se que se trata de investida por engenharia social visando subtrair dados de usuários para futuras fraudes eletrônicas ou mesmo furto mediante fraude, quando possuem todos os dados suficientes à realização de operações financeiras. 7 Disponível em <www.twitter.com/@Ambev> Acesso em 25-4-2020 CASO DO FALSO APLICATIVO COM INFORMAÇÕES SOBRE A COVID-19 Em 16 de março de 2019, a empresa Microsoft lançou uma importante ferramenta de consulta de dados em tempo real sobre a COVID-19. A aplicação chamada de “Bing COVID Tracker” (www.bing.com/covid) foi estruturada em um painel interativo que reúne dados sobre a doença vindos de diversas organizações globalizadas de confiança, como a Organização Mundial da Saúde (OMS) e o Centro de Controle de Doenças (CDC) dos Estados Unidos. Além disso, o serviço é integrado ao mecanismo de busca Bing, que é um produto da Microsoft. Deste modo, além dos dados sobre doentes, recuperados e mortos, também traz notícias atualizadas a respeito do impacto dovírus para cada país. Na mesma semana, engenheiros sociais enxergaram nesta ideia, uma oportunidade de atrair milhões de pessoas para um ambiente virtual por eles desenvolvido, porém com finalidade de locupletamento ilícito. Criaram, para tanto, um aplicativo para sistema operacional Android, com informações e estatísticas em tempo real sobre a disseminação do Coronavírus. O nome "Covid-19 Tracker", foi cuidadosamente escolhido com a finalidade de se parecer com a ferramenta disponibilizada pela Microsoft. Sua divulgação também ocorreu por meio de redes sociais e muitas pessoas fizeram o download do aplicativo no Brasil, inclusive pela “Play Store”, a loja oficial do Google. Em pouco tempo, foi detectado que o aplicativo é, na verdade, um tipo ransomware (virus que bloqueia o uso do smartphone e exige como resgate o pagamento de US$ 100 (cerca de R$ 500) em Bitcoin (moeda virtual) para liberar a utilização do aparelho. Contextualmente, pesquisadores da equipe de segurança do serviço do site www.domaintools.com, logo após a confirmação dos primeiros casos da doença, observaram um considerável aumento nos nomes de domínio contendo as palavras “Coronavirus” ou “COVID-19”. A maioria desses registros foram identificados como prováveis domínios mal intencionados, considerando suas características, como, por exemplo, o uso de serviços de anonimato para registro. Alguns dias depois, a mesma equipe descobriu que o domínio coronavirusapp [.], referente ao aplicativo COVID-19 Tracker era malicioso. Na realidade, o aplicativo está envenenado com um ransomware desenvolvido para Android, logo apelidado de "CovidLock" devido aos recursos do malware e à sua história de fundo. O algoritmo inserido no aplicativo malicioso usa técnicas para negar o acesso da vítima ao telefone, forçando uma alteração na senha usada para desbloquear o telefone. Essa técnica é conhecida como ataque de bloqueio de tela, típica do ransomware para Android. No presente caso, a engenharia social ocorre em dois momentos. O primeiro é facilmente detectável, tratando-se do aliciamento das vítimas a baixar o aplicativo, vendendo a ideia que se trata de útil ferramenta de rastreio da pandemia. A segunda ação persuasiva se apoia na tecnologia e não é perceptível a leigos. Quando o usuário começa a instalação o aplicativo, este é induzido a permitir que o CovidLock controle quase totalmente o dispositivo. O método consiste em atrair a vítima a dar tal permissão através do próprio aplicativo, perguntando se ela deseja habilitar o aplicativo em “Acessibilidade” para monitorar as estatísticas do COVID-19, bem como mapear pacientes infectados próximos à sua localização atual. Essa técnica é considerada uma das mais inteligentes em matéria de engenharia social. CASO DO FALSO PLANO DE INTERNET GRATUITA EM RAZÃO DA PANDEMIA No dia 24 de março de 2020, a Agência Nacional de Telecomunicações (Anatel) alertou todos os brasileiros sobre um golpe, envolvendo seu nome. A notícia, que circulou em várias redes sociais, anunciou a liberação de um “plano de internet grátis de 7GB de dados móveis” no smartphone por conta da pandemia do coronavírus. A divulgação trazia uma lista de operadoras que supostamente aderiram e disponibilizaram o falso pacote a seus clientes. A engenharia social consistia na proliferação da falsa propaganda seguida de um link de acesso supostamente da “ANATEL”. O restante da engenharia segue uma sistemática análoga àquela aplicada no exemplo anterior (Caso COVID-19 Tracker). Após o simples clique no link compartilhado, é solicitado um breve cadastro e, de imediato, já são coletados os dados pessoais do usuário. Em um segundo momento, o script da aplicação induz o usuário a autorizar o acesso às informações do celular, assim como permissões especiais. A partir de então, os criminosos passam a ter o domínio sobre os dados da vítima, condicionando a devolução dos mesmos ao pagamento de uma quantia em moedas virtuais. CASO DA “CLONAGEM” DE CONTAS DO APLICATIVO WHATSAPP E PEDIDOS ILEGÍTIMOS DE DINHEIRO E DADOS Este tipo de engenharia social não surgiu durante a pandemia do COVID-19, já sendo constatada largamente pelo país, especialmente a partir do ano de 2019. Entretanto, indubitavelmente houve um aumento exponencial dessa prática com a chegada do “Coronavírus” no mundo e as restrições de convívio social. A solidão relacional, típica destes tempos, acelerou o movimento migratório das condutas de interlocução das pessoas para o meio virtual. Essas transformações já eram observadas desde a última década como consequência da chamada Disrupção Digital 8 , mas nunca esse comportamento foi tão acentuado. Logicamente, os riscos de contágio determinavam que as pessoas a permanecerem em suas casas e evitarem conversas presenciais. Por outro lado, a ampliação do uso do canal cibernético também representou oportunidade para ação dos engenheiros sociais. No caso explicado neste item, não ocorre de fato uma “clonagem”, ou seja, a replicação da conta do aplicativo Whatsapp para uso de terceiro. A tecnologia por trás da aplicação não permite o uso simultâneo da conta por mais de um usuário, salvo nos casos abertura de sessão web (Whatsapp Web). Alguns aplicativos prometem o “hacking” de uma conta alvo, mas, na realidade, ocorre uma espécie de espelhamento da conta em razão da mesma técnica do Whatsapp Web, via navegador, com aceso pelo QR Code. A técnica utilizada no golpe popularmente chamado de “clonagem de whatsapp” ocorre por meio do uso exclusivo de engenharia social, apoiado pela tecnologia. Este método explora informações publicadas em sites de vendas, como OLX, Web Motors e Zap Imóveis. Os engenheiros entram em contato com a vítima se passando por representantes dessas plataformas e informam que o 8 A Disrupção Digital é a mudança que ocorre quando novas tecnologias digitais e modelos de negócios afetam a proposição de valor dos bens e serviços existentes. O rápido aumento no uso de dispositivos móveis, para uso pessoal e trabalho, impactou hábitos de vida e maneiras de solucionar problemas. perfil recebeu reclamações referentes a um anúncio. Em seguida, solicitam que a pessoa confirme seu número fornecendo o código enviado por SMS. Ocorre que no mesmo instante, os criminosos tentam fazer login com o número do WhatsApp da vítima em outro celular. O usuário, então, recebe uma mensagem de texto com o código de validação e o repassa para os criminosos, que passam a ter total acesso às suas conversas e grupos. Esse é apenas o primeiro tempo da engenharia social. De posse do aludido código, o criminoso consegue trazer a conta da vítima para seu dispositivo. A partir daí, começa a segunda parte do ardil e o golpe propriamente dito. O golpista procura as conversas da conta com amigos e, aproveitando-se da situação de dialogar como se a vítima fosse, passa a solicitar valores financeiros. Os argumentos que usam são os mais variados, incluindo pequenos empréstimos para superar dificuldades pontuais. Contudo, nesses tempos de pandemia, utilizam-se das limitações do confinamento para criar histórias fantasiosas e convencer parentes e conhecidos a ajudar com dificuldades médicas e assistenciais. Acreditando estar conversando com o contato verdadeiro, as pessoas enganadas acabam transferindo dinheiro, informando dados e senhas bancárias, dentre outros dados enviados nas mensagens. Aula 3 - OUTROS GOLPES ATUALMENTE APLICADOS COM O USO DE ENGENHARIA SOCIAL PELA REDE: a) Auxílio Emergencial em razão da pandemia: muitas pessoas que buscavam receber o auxílio emergencial de R$ 600,00, pago pelo Governo Federal, foram alvos de golpe. A técnica dos criminosos consiste em difundir links falsos pela internet, os quais dizem respeito sites ilegítimos que coletam dados cadastrais de indivíduos interessadosno benefício. b) Vacinas contra a COVID-19: vários engenheiros sociais difundem, sobretudo, por meio de aplicativos de mensageria como Whatsapp, links maliciosos que atraem vítimas a páginas que prometem vacinação eficaz contra o Coronavirus. Para convencimento de pessoas, fazem uso não autorizado de nome de hospitais e laboratórios famosos (Hospital Albert Einstein, Laboratório Pasteur, etc). Infelizmente, além das vítimas fornecerem seus dados pessoais, mediante cadastro de falsos formulários, ainda realizam antecipação de pagamentos, por meio de transferências bancárias ou cartão de crédito. Este golpe constitui uma versão nacional de uma empreitada criminosa que se tornou mundialmente conhecida durante o mês de março de 2020. Ocorreu nos EUA, onde o Departamento de Justiça retirou da Internet o site “coronavirusmedicalkit.com”. A página trazia o seguinte convite aliciador: “Devido à recente epidemia de coronavírus (COVID-19), a Organização Mundial da Saúde está distribuindo kits de vacinas. Pague apenas US$ 4,95 pelo envio9" c) Fraudes com motoboys iniciadas pela rede: em virtude do confinamento, muitos serviços se tornaram limitados, como agências bancárias e órgãos públicos, por exemplo. Aproveitando-se destas situações, golpistas enviam mensagens por meio de aplicativos acessíveis via smartphone, como se fossem funcionários de bancos ou servidores públicos. A engenharia social se efetiva através de conversas, onde o interlocutor argumenta sobre atualização de cadastros ou relata uma clonagem do cartão de crédito. Desse modo, consegue obter informações pessoais identificáveis, além das senhas da vítima. Ao final, esta recebe um motoboy em sua residência que efetua a troca de seu cartão magnético por um falso. Em outras situações, passando- se por funcionário público, o criminoso convence a vítima a entregar cédulas de seus documentos pessoais (originais) ao motoboy integrante do esquema d) Fraudes com boletos comerciais e públicos (impostos): Em razão das limitações impostas pelos governos locais, as quais abrangem a proibição de abertura de estabelecimentos comerciais e agências de atendimento das secretarias de fazenda dos estados, golpistas enviam boletos contrafeitos com a substituição do código de barras da guia de pagamento. Por meio de programas maliciosos instalados nas máquinas das vítimas ou explorando dados destas vazados na rede, os engenheiros sociais adquirem informações sobre seus compromissos de pagamento e lhes envia falsos boletos. A aparência é semelhante aos originais, mas há troca do código de barras e 9 Disponível em <https://www.justice.gov/opa/press-release/file/1260131/download> Acesso em 26-4- 2020. https://www.justice.gov/opa/press-release/file/1260131/download este diz respeito a um outro boleto de cobrança gerado em bancos virtuais, cujo beneficiário é o criminoso ou um “laranja”. Em outros casos, a dívida de outrem envolvido no golpe, é paga com a troca do código de barras(bolware). Essa modalidade geralmente é muito utilizada com os carnês falsos de impostos (IPVA e IPTU), que são objeto das falsas comunicações por e-mail. Os engenheiros sociais estudam o calendário anual de obrigações e sabem o período de recebimento desses boletos, especialmente no início do ano e, fingindo ser da Receita Federal, cobram algum tributo inexistente (especialmente nesta época de entrega de Declaração do Imposto de Renda). e) Fraudes envolvendo pacientes internados em hospitais: este tipo de golpe tem se propagado no país. Pessoas estranhas às instituições hospitalares, cujos nomes são usados indevidamente, fazem contato “telefônico” com os familiares de pacientes e tentam aplicar técnica de engenharia social para extorquir valores das famílias em um momento de fragilidade emocional. O destaque feito a expressão “telefônico”, refere-se ao uso do ardil cibernético “vishing” (phishing de voz ou VoIP), explicado em parágrafos anteriores. Trata-se do uso da tecnologia VoIP (voz sobre IP), somada a outra técnica de engenharia chamada spoofing (falso remetente). Dessa maneira, os criminosos conseguem realizar chamadas e fazer constar no visor dos smartphones do telefone das vítimas, o mesmo número de telefone oficial dos hospitais, nos quais utilizam indevidamente o nome. MODULO 4. ATUAÇÃO DO PROFISSIONAL DE SEGURANÇA PÚBLICA APRESENTAÇÃO O objetivo deste curso não é adentrar nos procedimentos investigativos. Sabemos da importância da atribuição de autoria na prática de fraudes como um dos pilares fundamentais na luta contra a criminalidade cibernética, todavia não faremos essa abordagem aqui. Não obstante, alguns procedimentos podem ser realizados pelos profissionais de segurança pública para mitigar os efeitos das fraudes durante a pandemia como, por exemplo, a importância da prevenção, a remoção de aplicativos maliciosos sem ordem judicial, a exclusão de perfis falsos no WhatsApp e a desindexação de conteúdo. Antes de tudo, é preciso que façamos alguns esclarecimentos sobre como se deve proceder na mitigação dos efeitos das fraudes. A leitura da política de privacidade ou dos termos de uso de um serviço, por exemplo, é de caráter essencial nesse contexto. Grande parte dos profissionais da segurança pública e de usuários direito não sabem como funciona uma aplicação de internet, quais dados coletam e como remover conteúdo ilegal ou abusivo. Assim, quando verificar a utilização de golpes procure, de imediato, saber sobre o funcionamento da plataforma e o que você pode fazer perante a irregularidade detectada. Outro ponto a ser destacado é sobre a exclusão de conteúdo na internet. De acordo com a legislação brasileira vigente, a regra é a necessidade de autorização judicial para judicial, nos precisos termos do Marco Civil da Internet: Art. 19: Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. Excepcionalmente, a exclusão de conteúdo pode ser realizada sem determinação judicial nos seguintes casos: ● Violação dos termos de uso ou política de privacidade do serviço; ● Exposição de conteúdo íntimo sem autorização (art.21 do Marco Civil da Internet)10; ● Conteúdo violador de direitos autorais. Um outro ponto que merece destaque é a desindexação de conteúdo abusivo dos mecanismos de busca (Google e Bing). Podemos citar o exemplo de uma busca sobre o termo “auxílio emergencial” e os resultados apontem para um site fraudulento como uma das primeiras opções de resposta. Em razão de estar violando o serviço, a desindexação deve ocorrer independentemente de ordem judicial. Dessa maneira, o profissional de segurança pública possui diversos caminhos para atuar junto às aplicações de internet quando identificar serviços fraudulentos. Detalharemos, pois, alguns procedimentos a serem realizados quando você se deparar diante de algumas fraudes anteriormente relatadas. Objetivos do Módulo Ao final do estudo deste módulo, você será capaz de: • Identificar perfis suspeitos e denunciar tentativas de golpes às autoridades competentes. • Detectar situações de vulnerabilidade em seus sistemas e aplicativos. • Utilizar fontes abertas como recursos para pesquisa e combate à tentativas de golpes. 10 Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes,de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. • Demonstrar os procedimentos para denunciar usuários e programas maliciosos. • Adotar comportamentos mais seguros para uso da internet principalmente durante a pandemia. Estrutura do Módulo Este módulo e formado por 01 aula: Aula 01 – Da prevenção às fraudes praticadas na Internet, especialmente em tempos de Pandemia. Aula 1 - DA PREVENÇÃO ÀS FRAUDES PRATICADAS NA INTERNET, ESPECIALMENTE, EM TEMPOS DE PANDEMIA. O usuário possui um papel de extrema relevância no enfrentamento às fraudes praticadas da internet, especialmente em tempos de pandemia. É certo que as aplicações de internet vêm aperfeiçoando suas plataformas para detectar contas criadas para a prática de crimes e, consequentemente, fazendo sua exclusão, não obstante, o usuário é o ponto central. Algumas medidas são de extrema importância para mitigar os efeitos das fraudes, dentre as quais destacamos: ● Configure as redes sociais e aplicativos de mensageria para não expor informações pessoais identificáveis; ● Nunca forneça senha, token ou qualquer dado de sua conta por telefone. Bancos não fazem esse tipo de solicitação; ● Procure manter contato com seu banco apenas por canais oficiais. Tenha cuidado com números falsos; ● Não clique em links enviados por SMS ou aplicativos de mensageria; ● Desconfie sempre de mensagens de atualização cadastral por SMS, e-mail e aplicativos; ● Nunca deposite valores solicitados apenas por mensagem de WhatsApp. Mantenha contato pessoal ou telefônico antes de repassar qualquer quantia; ● Instale apenas as extensões necessárias e mantenha-as atualizadas (atenção nas reviews); ● Não instale extensões através de links de redes sociais, apps de mensageria ou outro meio. Utilize lojas de confiança. ● Antes de acrescentar qualquer função ao seu navegador, verifique as informações do desenvolvedor em fontes abertas; ● Confira as permissões do complemento; ● Elimine extensões desnecessárias; ● Habilite a verificação em duas etapas tanto no WhatsApp, quanto em contas de email e redes sociais. UTILIZAÇÃO DE FONTES ABERTAS BARRETO, CASELLI e WENDT ressaltam a importância da coleta em fonte aberta tanto para a atividade de inteligência quanto para a investigação policial ao definir como11: Qualquer dado ou conhecimento que interesse ao profissional de inteligência ou de investigação para a produção de conhecimentos e ou provas admitidas em direito, tanto em processos cíveis quanto em processos penais e, ainda, em processos trabalhistas e administrativos (relativos a servidores públicos federais, estaduais e municipais). Nesse diapasão, o profissional de segurança pública não deve desprezar essas informações disponíveis na busca de dados sobre fraudes. Destacamos como uma ferramenta interessante o Catálogo de Fraudes da Rede Nacional de Ensino e Pesquisa, disponível em https://www.rnp.br/sistema-rnp/cais/catalogo- de-fraudes. Lançada no ano 2008, a plataforma disponibiliza um repositório dos principais golpes que estão circulando pela internet. Além disso, disponibiliza o email phishing@cais.Rnp.br para o recebimento de mensagens suspeitas ou fraudulentas. Essa ferramenta é útil no acompanhamento de golpes online. Não obstante, é muito importante que esse dado coletado seja confrontado com outras fontes de informação. Trabalhar com fontes abertas significa fazer a dupla verificação da fontes. Ressalte-se, por oportuno que a temática e o emprego de fontes abertas é bastante amplo. Para tanto, deixamos apenas algumas ferramentas que podem ser utilizadas quando estiver diante de uma fraude: ● Google Pesquisa: permite a busca por palavras-chave de um determinado assunto. Você poderá pesquisar álcool gel + 11 BARRETO, Alessandro Gonçalves; CASELLI, Guilherme; WENDT, Emerson. Investigação Digital em Fontes Abertas. Rio de Janeiro: Brasport, 2017. https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes pandemia + fraude para encontrar as fraudes e notícias relacionadas; ● Google Imagens: procura por imagens semelhantes. É permitido ainda colocar a url da imagem ou arrastá-la para a barra de pesquisa para identificar fotos semelhantes; ● Google Alerts: permite a criação de alertas sobre fraudes para posteriormente recebimento por email; ● Agências de Verificação de Fatos: esses repositórios funcionam como excelentes fontes de consulta, especialmente para o jornalismo nos assuntos da política nacional e internacional. Por vezes, você poderá encontrar fraudes relacionadas com boatos; ● Ferramentas Whois: informações sobre registro e hospedagem do site. REMOÇÃO DE APLICATIVOS FALSOS A remoção do aplicativo falso nas lojas oficiais pode ser realizada de forma direta através de ofício extrajudicial ou de denúncia direta na aplicação de internet. Eis algumas recomendações que identificamos como interessantes para evitar os golpes praticados através de aplicativos falsos: ● Faça download apenas nas lojas oficiais de aplicativos, todavia, não é garantia de segurança, eis que já foram identificados nelas vários apps maliciosos; ● Nunca baixe apks enviados por terceiros e nem repasse-os através de links para terceiros; ● Procure verificar as informações do desenvolvedor em outras fontes livremente disponíveis; ● Fique atento aos comentários, erros de português e layout da aplicação. É interessante ainda solicitar a desindexação do aplicativo na Google e Bing. Quando o mecanismo de busca apontar o aplicativo malicioso nos resultados faça esse procedimento a fim de dificultar que ele esteja disponível e acessível para outros usuários. Por fim, as denúncias se mostram um meio eficaz e oportuno na remoção de aplicativos falsos. As lojas oficiais disponibilizam canais oficiais para a realização desses procedimentos. A Central de Políticas do desenvolvedor da Google Play nomina como comportamento malicioso os aplicativos que roubam dados, monitoram ou prejudicam os usuários de forma secreta, bem como aqueles que apresentam comportamento abusivo. Caracteriza como comportamento abusivo os aplicativos que12: ● Possuem vírus, cavalos de tróia, malware, spyware ou qualquer outro software malicioso; ● Facilitam a distribuição ou instalação de software malicioso ou que contêm links para esse tipo de software; ● Fazem o download de código executável (como arquivos dex ou código nativo) de uma fonte que não é o Google Play; ● Introduzem ou exploram vulnerabilidades na segurança; ● Roubam informações de autenticação de um usuário (como nomes de usuário ou senhas) ou imitam outros apps ou sites para enganar os usuários e fazê-los divulgar informações pessoais ou de autenticação13; ● Exibem números de telefone, contatos, endereços ou informações de identificação pessoal não verificadas ou reais de pessoas ou entidades sem o consentimento delas; ● Instalam outros apps em um dispositivo sem o consentimento prévio do usuário; ● Apps com downloads facilitados por rede de fornecimento de conteúdo (CDN) quando não há uma solicitação ao usuário antes de começar nem é informado o tamanho do download e; 12 Google. Central de Políticas do Desenvolvedor. Comportamento Abusivo. 13 Grifo nosso. Logo após o anúncio do auxílio governamental (coronavoucher) para minimizar as perdas decorrentes da pandemia, diversos aplicativos surgiram com esse objetivo. ● Projetados para coletar secretamente o uso do dispositivo, como apps de spyware comercial. Identificada uma irregularidade,a empresa poderárejeitar o aplicativo submetido pelo desenvolvedor ou, mesmo que verificada posteriormente, a remoção ocorrerá sem haver a necessidade de provocação. Uma alternativa posta ao usuário é a denúncia do aplicativo impróprio na Google Play. Essa ação poderá ser realizada através de formulário disponível online14. É muito importante que você tente identificar em redes sociais e no Youtube, perfis ou páginas que estão divulgando o aplicativo malicioso e faça a denúncia nos canais por elas ofertados. A Apple Store disponibiliza um canal para denúncias de violação de direitos autorais15. IDENTIFICANDO E DENUNCIANDO O PERFIL FALSO NO WHATSAPP Muito embora os perfis falsos no WhatsApp sejam utilizados desde algum tempo para prática de fraudes, essa prática foi identificada em diversas situações durante a pandemia. Para denunciar um perfil falso, você deverá proceder da seguinte forma: ● Envie um email para support@whatsapp.com; ● No assunto coloque: Solicitação de Remoção de Perfil Fake; ● No corpo do texto coloque informe sua qualificação (email e telefone para contato); número de telefone que criou um perfil falso utilizando sua imagem (coloque o +55 na frente do número, descreva o problema); ● Caso possua prints de mensagens, anexe-os; 14 Google. Denuncie apps impróprias. Disponível em https://support.google.com/googleplay/android-developer/contact/takedown. Você poderá denunciar ainda conteúdos de natureza sexual, cenas de violência, conteúdo de incitação ao ódio ou abusivo, perigoso para o dispositivo ou dados, spam, jogos de azar, pagamentos de terceiros, anúncios, atividades ilegais e outra objeção. 15 Apple. App Store Content Dispute. Disponível em https://www.apple.com/legal/internet- services/itunes/appstorenotices/#?lang=en. https://support.google.com/googleplay/android-developer/contact/takedown ● Adicione uma foto segurando um documento para comprovação de identidade; ● O e-mail pode ser enviado em Português. Há ainda a opção de fazer a denúncia diretamente no aplicativo16: ANDROID ● Abra o WhatsApp; ● Toque em Mais opções ; ● Configurações; ● Ajuda e; ● Fale conosco. IOS ● Abra o WhatsApp; ● Clique em Ajustes ; ● Ajuda e; ● Fale conosco. PROCEDIMENTOS AO IDENTIFCAR A CONTA CLONADA NO WHATSAPP Quando se tratar de “conta clonada” do WhatsApp, proceda assim: ● Avise aos seus familiares e contatos imediatamente, além de advertir para não depositar nenhum valor solicitado; ● Utilize suas redes sociais para avisar que sua conta foi invadida; ● Registre ocorrência policial (durante a pandemia, esses registros podem ser feitos nos sites das polícias civis); ● Envie um email para support@whatsapp.com. No assunto coloque: URGENTE. CONTA CLONADA. No corpo do texto relate o problema e solicite o bloqueio da conta. Nos casos de simswap (recuperação indevida do SIMCARD) você deverá dirigir-se a uma loja física para solicitar um chip novo. Em outros casos que 16 WhatsApp. Segurança e Privacidade. Recursos Avançados de Segurança. https://faq.whatsapp.com/pt_br/general/21228643 mailto:support@whatsapp.com envolva engenharia social (plataformas de comércio eletrônico: Mercado Livre, OLX) não é necessário esse procedimento, apenas instalar o app novamente. Nas situações em que o criminoso habilita a verificação em duas etapas, você deverá digitar códigos errados e de maneira sucessiva até bloquear o aplicativo. Posteriormente, será enviado para você um SMS para que possa utilizar o WhatsApp novamente. A fim de reduzir os riscos de invasão indevida do aplicativo, recomendamos nunca repassar informações de SMS, evitar clicar em links desconhecidos, habilitar a verificação em duas etapas e por fim, verificar as sessões ativas. CONTAS FALSAS NO INSTAGRAM As contas falsas podem ser utilizadas pelos criminosos para emprego de técnicas de engenharia social. Sua criação fere os termos de uso e política de privacidade da rede social. Identifica uma conta fake, acesse o link disponível em https://www.facebook.com/help/instagram/446663175382270 e faça uma denúncia. Não é necessário que você possua uma conta para realizar tal ato. https://www.facebook.com/help/instagram/446663175382270 Para comunicar um perfil ou publicação por abuso e spam siga as orientações dispostas no link https://www.facebook.com/help/instagram/446663175382270. PERFIL FALSO NO FACEBOOK Da mesma forma que o Instagram, o Facebook assegura um mecanismo para comunicar a existência de perfis falsos na sua plataforma. Se você possui conta, acesse o perfil a ser denunciado, clique nos … na foto da capa e marque denunciar. Se não tem conta, preencha o formulário disponível em https://www.facebook.com/help/contact/295309487309948. Para recuperar uma conta invadida, siga a orientação abaixo: https://www.facebook.com/help/instagram/446663175382270 https://www.facebook.com/help/contact/295309487309948 OPÇÕES PARA DENÚNCIA JUNTO AO GOOGLE As opções de denúncia na Google são diversas, dentre as quais destacamos: SPAM Quando você identificar um spam no resultado de busca, poderá fazer a denúncia através de formulário17. Informe a URL da página específica e os termos utilizados na consulta para chegar a esse resultado. PHISHING Se você encontrar sites utilizados para a prática de phishing, preencha o formulário disponibilizado18. As informações serão enviadas para uma equipe responsável por analisar sua denúncia. SOFTWARE MALICIOSO 17 Google. Denunciar spam na pesquisa aprimorada. Disponível em https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt. 18 Google. Report Phishing Page. disponível em https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en. https://support.google.com/webmasters/contact/rich_snippets_spam?hl=pt https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en As denúncias para de softwares maliciosos devem ser feitas dentro de plataforma disponibilizada pela Google 19 . Para submeter o fato, você deve informar a url encontrada com uma breve descrição do fato. DESINDEXAÇÃO DE CONTEÚDO A desindexação de conteúdo é um procedimento bastante efetivo contra as fraudes praticadas online, sobretudo para evitar que o mecanismo de busca indique resultados com conteúdo malicioso. A Google assegura aos usuários de países integrantes da União Europeia um formulário para pedido de remoção de informações pessoais com resultados específicos que incluam o nome do requerente. No Brasil, a Google possibilita, independentemente de ordem judicial, a remoção de informações pessoais dos resultados de pesquisa, tais como: RG, conta bancária, cartão de crédito, imagem de assinatura manuscrita, imagem ou vídeo sexualmente explícito que tenha sido distribuído sem consentimento20. 1. DENUNCIAR EMAIL PHISHING Caso você receba um email phishing proceda a denúncia de forma direta: ● Acesse seu gmail; ● Abra a mensagem. ● Ao lado de Responder , clique em Mais . ● Clique em Denunciar phishing. YOUTUBE Por vezes, os criminosos criam canais no Youtube para divulgar conteúdo relacionado a prática de fraudes. A plataforma possui um canal para reportar essas irregularidades21. MERCADO LIVRE 19 Google. Report Malicious Software. Disponível em https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en. 20 Google. Solicitação para remover suas informações pessoais no Google. Disponível em https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2 889064%2C9171202 21 Youtube. Como remover conteúdo no Youtube. Disponível em https://www.youtube.com/reportingtool/legal?visit_id=637139830170362989-3601295991&rd=1. https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2889064%2C9171202 https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2889064%2C9171202
Compartilhar