quarta-feira, 28 de agosto de 2024

Com DDI falso, golpistas fingem ser brasileiros no exterior

Morando na Alemanha há cinco anos e meio, a arquiteta e urbanista Rita Buoro, de 52 anos, usa sempre o telefone e aplicativos de mensagem para falar com a família no Brasil. Em janeiro, uma pessoa usando a foto de Rita entrou em contato com a mãe dela pelo WhatsApp, pedindo ajuda para comprar um apartamento. As conversas duraram duas semanas, e, achando que estava se comunicando com a filha, a idosa de 82 anos transferiu cerca de R$ 23 mil.

Era um golpe. A pessoa do outro lado da tela não era Rita, mas as mensagens ganharam credibilidade por um detalhe: o número utilizado usava um prefixo de identificação alemão, o DDI +49. "Eu estava em um momento frágil, me separando, então estava falando pouco com a minha família no Brasil. Tinha também a questão do fuso, que impedia a comunicação de ser imediata", conta a arquiteta e urbanista.

Tentativas de golpe financeiro via aplicativos de mensagens ou ligações foram o tipo de crimes na internet e contra o patrimônio mais comum no Brasil no último ano, segundo dados revelados neste mês pelo Fórum Brasileiro de Segurança Pública (FBSP). Esse tipo de fraude atingiu cerca de 26% da população e gerou um prejuízo de R$ 25 bilhões aos brasileiros. Por hora, foram cerca de 4,5 mil vítimas. Porém, apenas três em cada dez vítimas fizeram um boletim de ocorrência.

O caso de Rita, entretanto, revela uma face a mais desse tipo de prática, ela também está atingindo brasileiros que vivem no exterior. A DW conversou com pelo menos cinco pessoas e recebeu relatos de uma dezena de casos em que foram criados números falsos, com DDI da Alemanha ou Reino Unido, para ludibriar familiares de expatriados. Em todas as situações, os criminosos utilizaram fotos reais, extraídas do Facebook e do Instagram, para criar contas no WhatsApp e iniciar conversas com os familiares no Brasil.

"Temos muitos relatos de clientes vítimas desse tipo de golpe. Tem sido frequente pessoas nos procurando para dar orientação [do que fazer]", afirma a advogada brasileira que atua na Alemanha Delaine Kühn.

Esse tipo de golpe se transformou no assunto do grupo da família do geógrafo Ricardo Paris, de 38 anos, na semana passada. Usando uma foto antiga dele, que estava nas redes sociais, um número com DDI do Reino Unido (+44) entrou em contato com a mãe, um tio e duas primas do geógrafo. A pessoa afirmava estar com um problema na conta bancária e solicitou apoio para fazer uma transferência.

Ricardo mora há cerca de dois anos e meio em Bochum, na Alemanha, e mal falava com alguns dos parentes contactados. Na mesma semana, o irmão dele também teve uma foto utilizada, desta vez com um DDI alemão. Ninguém transferiu dinheiro. "Com certeza era um brasileiro, com um telefone inglês, que sabia do meu grau de parentesco, embora eu não colocasse esses vínculos na minha lista de contatos ou nas redes sociais”, diz Ricardo Paris.

Entre dezembro do ano passado e abril deste ano, o gerente de programas Rafael Gonsalez, de 27 anos, teve a foto usada por dois números internacionais. A primeira vez foi criado um número dos Estados Unidos (DDI +1), enquanto na segunda foi usado um número alemão. Em ambos os casos, o alvo do pedido de dinheiro foi a mãe dele, que está no Brasil. A quantia solicitada era de R$ 6,7 mil. "Minha mãe começou a ‘dar corda', para pegar os dados. Eu entrei em contato, tentei falar com eles, mas eles bloquearam todos nós e pararam de mandar mensagem”, conta.

<><> Como agem os criminosos

De acordo com especialistas em cibersegurança, os criminosos podem estar atuando em qualquer lugar do mundo. Eles se aproveitam de ferramentas disponíveis online para criar números falsos sem, necessariamente, adquirir um chip ou se registrar numa operadora – ou ainda sequer sem estar no país a cujo número está vinculado.

Essa prática é conhecida como spoofing e se caracteriza pelo uso de tecnologias capazes de alterar o código numérico que identifica um telefone fixo ou móvel, para esconder uma identidade por trás de uma ligação ou mensagem. Esse uso não necessariamente tem uma finalidade criminosa, pode ser inclusive um cuidado de segurança digital. Mas a Agência Nacional de Telecomunicações (Anatel) diz que as tecnologias têm sido utilizadas com frequência para cometer fraudes e golpes. O órgão não tem estatísticas sobre a prática.

Em lojas de aplicativos, estão disponíveis ferramentas que permitem criar um número de telefone descartável com código do exterior, conhecidos como burner number, em inglês, por cerca de cinco dólares ao mês. Por meio deles, é possível enviar mensagens ou realizar ligações sem revelar a identidade.

As ligações acontecem por meio de serviços de VoIP, sigla para Voz sobre Protocolo de Internet, tecnologia que permite realizar chamadas de voz entre computadores ou entre computadores e telefones convencionais, e é usada em plataformas como WhatsApp, Facebook Messenger e Skype. Essa tecnologia foi criada para esconder o ramal de empresas aos clientes e se tornou mais usada durante a pandemia da covid-19, quando passou a ser permitido a funcionários fazerem chamadas de trabalho usando seus celulares privados.

"Para uma operadora, é muito difícil diferenciar se uma chamada falsificada é de um funcionário ou de um criminoso. Como os números podem ser gerados com aplicativos, também não temos como coletar casos", diz Christian Fischer, porta-voz da empresa de telecomunicações Deutsche Telekom. Na Alemanha, há uma lei que obriga as operadoras a suprimir os números quando é identificado um uso indevido do prefixo alemão.

A Anatel afirmou que tem atuado em cooperação com entidades de segurança pública e justiça, além de empresas privadas, para combater e prevenir fraudes relacionadas à prestação de serviços de telecomunicações. A entidade está testando uma solução para identificação e autenticação de chamadas telefônicas já usada nos Estados Unidos e no Canadá. Por enquanto, os testes estão restritos a usuários selecionados pelas prestadoras.

<><> Investigação dos crimes não é fácil

Não há dados compilados disponíveis, no Brasil ou na Alemanha, que atestem a quantidade de golpes financeiros envolvendo números de telefone com DDI falsos. Em parte, isso acontece porque grande parte das vítimas não chega a registrar uma queixa formal, mas também devido à dificuldade inerente a esse tipo de crime para identificar a origem e local de atuação dos criminosos.

Um levantamento feito pelo Escritório Estadual de Investigação Criminal da Renânia do Norte-Vestfália, na Alemanha, onde vivem Ricardo e Rita, mostra que, entre janeiro de 2023 e 19 de agosto deste ano, sete brasileiros relataram ter sido vítimas desse tipo de golpe. Na Alemanha, esse tipo de crime é enquadrado como fraude, com pena prevista de até cinco anos de prisão ou multa..

No Brasil, os casos são considerados estelionato, para o qual a pena varia de quatro a oito anos de prisão. A DW procurou as polícias civis e secretarias de segurança pública estaduais, mas apenas a secretaria do Tocantins retornou afirmando já ter registrado ocorrências usando números internacionais.

Registrar o boletim de ocorrência é importante, dizem as autoridades policiais de ambos os países, ainda que haja dificuldade em rastrear os criminosos. O uso de telefones com código de identificação do exterior dá um caráter transnacional a esses crimes, pois as vítimas e os criminosos podem estar em países diferentes, o que demanda uma coordenação entre os investigadores.

"Tentamos localizar os provedores de origem, mas isso leva tempo e muitos desses dados desaparecem em cerca de duas semanas", explica Daniela Dässel, porta-voz do Escritório Estadual de Investigação Criminal da Renânia do Norte-Vestfália, na Alemanha.

De acordo com a promotora Janaína Cristina de Almeida, do Ministério Público do Distrito Federal e Territórios (MPDFT), a dificuldade não arrefece se a ação é comandada do território nacional. "Ainda assim, a investigação depende de medidas judiciais como quebras de sigilo bancário e de dados. Além disso, muitas vezes, essa investigação será interestadual, considerando que o golpista raramente residirá no mesmo local em que a vítima, o que dificulta o trabalho policial", afirma.

Quando a conversa vai adiante e dados como chave PIX são fornecidos, é mais fácil chegar à origem do golpe. No caso de Rita Buoro, o número utilizado para falar com sua família era da Alemanha, mas o contato foi todo feito em português e o PIX da conta estava vinculado a um brasileiro. Com o CPF e o nome da pessoa mencionados nas mensagens trocadas pelo número falso, por exemplo, a DW chegou a uma pessoa que mantém uma empresa de frete registrada em um endereço no Complexo da Maré, no Rio de Janeiro. Rita tentou denunciar na Alemanha, chegou a enviar capturas de tela para a polícia, mas o caso não foi adiante.

Já com os dados da conta bancária enviados para a mãe de Rafael Gonzalez, a DW encontrou vínculos com uma pessoa que, segundo o Portal da Transparência, é do Rio de Janeiro.

<><> Exposição e vazamento de dados favorecem os golpes

Independentemente das tecnologias disponíveis, é a coleta de informações que a própria vítima disponibiliza no ambiente digital que dará credibilidade às mensagens. "Eles [os criminosos] utilizam as brechas humanas para vasculhar informações privadas, como vínculos entre pessoas, locais de trabalho, endereços, preferências e gostos", explica Martina Lopez, pesquisadora de segurança informática da ESET América Latina.

Lopez lembra que a partir de dados como datas de nascimento ou de casamento é possível descobrir senhas e, por fotos, vínculos de amizade ou família. Participar de grupos nas redes sociais sobre brasileiros vivendo no exterior também é dica para os golpistas.

A advogada Juliana Makalima, de 32 anos, que mora na Alemanha, desconfia que foi por meio de um grupo no Facebook que obtiveram as informações usadas para tentar aplicar um golpe na mãe dela, que mora no Brasil. "Usaram a minha foto do Instagram, criaram um número aqui da Alemanha, e até printaram stories meus para dar mais veracidade à conversa", diz. A família conseguiu se comunicar antes de o golpe ser efetivado.

Além das informações publicadas de maneira voluntária, os cibercriminosos também se valem dos vazamentos de bases de dados de empresas privadas ou do governo. Segundo o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), em 2024 o governo brasileiro registrou 3,7 mil incidentes relacionados a vazamentos de dados. Esse foi o principal tipo de incidente cibernético registrado pelo órgão no ano.

Uma pesquisa da Cybernews, de janeiro, mostrou que dados de 223 milhões de brasileiros, inclusive de falecidos, vazaram com nomes completos, data de nascimento, sexo e número de Cadastro de Pessoas Físicas (CPF). Em 2021, um mega vazamento semelhante já havia ocorrido. Em abril, o Banco Central revelou que mais de 3 mil chaves PIX de clientes do Banco do Estado do Pará S.A. (Banpará) haviam sido expostas.

O Banco Central registrou desde 2021 pelo menos 13 incidentes envolvendo dados de PIX, sendo oito deles apenas neste ano. "Esses fragmentos de informação são suficientes para que criminosos identifiquem e abordem outras pessoas associadas à vítima sem ter de interagir com ela diretamente", afirma Martina Lopez.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) diz que os agentes de tratamentos de dados pessoais devem adotar medidas de segurança, técnicas e administrativas para proteger essas informações de acessos não autorizados. Isso inclui as instituições financeiras e também as plataformas de redes sociais. "É preciso também uma constante atualização dos marcos normativos sobre o tema que precisam cobrar dos bancos esse constante esforço de segurança, bem como definir suas responsabilidades e obrigações", lembra Leonardo Carvalho, pesquisador do FBSP.

 

•        Como se proteger e o que fazer em caso de golpe do DDI

Golpes financeiros via aplicativos de mensagens ou ligações são o tipo de crime cibernético e contra o patrimônio mais frequentes no Brasil, de acordo com uma pesquisa do Fórum Brasileiro de Segurança Pública (FBSP). O levantamento, divulgado neste mês, mostrou que 26% dos brasileiros foram vítimas desse tipo de ação nos últimos 12 meses. Foram cerca de 4,5 mil pessoas afetadas por hora.

Não é preciso sequer estar ou morar no país para passar pela situação. Mesmo brasileiros vivendo no exterior há anos têm sido afetados. Para enganar no Brasil familiares de expatriados, os criminosos estão utilizando ferramentas disponíveis na internet e em lojas de aplicativo que permitem a criação de números falsos com código de identificação do exterior, o DDI, de países como Alemanha, Reino Unido e Estados Unidos.

A técnica, conhecida como spoofing, dá credibilidade e retarda a descoberta do golpe devido à diferença de fuso horário entre quem tem a identidade roubada e quem está recebendo as mensagens. A Agência Nacional de Telecomunicações (Anatel) está testando uma tecnologia que promete solucionar parte do problema, mas que só estará disponível no fim deste ano.

Enquanto isso, especialistas em cibersegurança entrevistados pela DW afirmam que há uma série de ações que podem ser tomadas para reduzir a exposição a esse tipo de crime, bem como ensinam a agir em caso de ser vítima. "Muitas vezes as informações utilizadas nos golpes estão disponíveis nas redes sociais. Certamente, a maior parte das pessoas clica em ‘Eu aceito' sem ler o que está escrito em termos de uso", afirma Leonardo Carvalho, pesquisador do FBSP.

Em caso de desconfiança, o professor do Departamento de Computação da Universidade Estadual Paulista (Unesp) Eduardo Morgado recomenda que não se dê nenhuma informação requisitada nas mensagens ou ligações. "Não há como evitar os golpes, porque as tecnologias estão aí, mas é preciso ter consciência de que quanto mais informações o criminoso tem, mais credibilidade ele acumula para enganar seus familiares”, diz.

Thiago Tavares, presidente e fundador da ONG SaferNet Brasil, recomenda ainda que a vítima desligue a ligação ou pare de responder as mensagens e entre em contato diretamente com as instituições financeiras e os verdadeiros contatos. Se possível, fazer chamadas de voz ou vídeo, para confirmar a identidade, também ajuda.

"É importante também denunciar aos órgãos competentes. Atualmente é difícil obter dados fiéis à magnitude do problema porque muitos não relatam esses casos", conclui Martina Lopez, pesquisadora de segurança informática da ESET América Latina.

Confira abaixo o que pode ser feito para se proteger e o que fazer em caso de ter caído nesse golpe:

<><> Como se proteger de spoofing

•        Modifique as configurações de seu telefone para rejeitar chamadas suspeitas de spam/scam;

•        Use aplicativos disponíveis tanto para iOS quanto Android que se propõem a bloquear chamadas de números suspeitos;

•        Evite, se possível, atender chamadas de números desconhecidos, ainda que tenham código de área igual ao seu ou de algum parente ou amigo;

•        Em caso de desconfiança, especialmente se o interlocutor pedir dinheiro ou informações pessoais, de forma apressada e insistente, recuse-se a fornecer qualquer informação e desligue o telefone;

•        Retorne a ligação para um número conhecido e confiável, após alguns minutos, para evitar que o golpista "prenda a ligação" e continue na linha.

<><> O que fazer se você perceber que caiu em um golpe

•        Em caso de fornecimento de informações pessoais sensíveis aos golpistas, adote o mais rápido possível medidas para inutilizá-las, como trocar suas senhas e informar à sua instituição bancária, conforme o caso;

•        Caso seja vítima ou tenha conhecimento de que criminosos estão utilizando seu número ou se passando por você, avise seus contatos e alerte para que não façam transferências ou forneçam qualquer informação pessoal;

•        Registre um boletim de ocorrência junto à Polícia Civil, se estiver no Brasil, detalhando o máximo de informações fornecidas pelo golpista, bem como informe à sua operadora de telefonia que seu número está sendo utilizado indevidamente;

•        Se o caso tiver ocorrido no exterior, registre também um boletim de ocorrência na polícia local, por crime de falsa identidade ou fraude, a depender da legislação vigente. Se o país tiver uma lei geral de proteção de dados, denuncie à autoridade fiscalizadora.

<><> Como proteger as redes sociais desse tipo de crime

•        Evite a vinculação de seu número telefônico a redes sociais de forma pública ou o fornecimento deste dado a cadastros em sites ou aplicativos não confiáveis;

•        Deve ser evitada, igualmente, a divulgação excessiva de informações pessoais que facilitem que o golpista se passe com sucesso pelo titular do número perante os seus familiares e amigos;

•        Omita informações sobre cidade de moradia e relações familiares sempre que possível;

•        Denuncie o roubo de imagens ou identidade às plataformas responsáveis pelas redes sociais;

•        Use autenticação de dois fatores (2FA) nas contas e senhas fortes e únicas;

•        Instale uma solução antivírus nos dispositivos para receber alertas de acesso desconhecido ou tentativas de login em suas contas.

 

Fonte: Deutsche Welle

 

Nenhum comentário: