NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Fraudes pela internet: o crescimento de uma ameaça global
27 ABR 2004

Fraudes pela internet: o crescimento de uma ameaça global






Arquivo - Clipping 2004

27 de abril de 2004

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Já dizia o poema de Carlos Drummond de Andrade que no "meio do caminho tinha uma pedra, tinha uma pedra no meio do caminho". Parafraseando os versos do poeta mineiro ao cenário digital, parece que "a pedra no caminho" dos negócios eletrônicos está diretamente relacionada com o crescimento das ações fraudulentas.

Para se ter uma idéia do tamanho do problema, estimativas do Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI) revelam que os prejuízos causados pelas fraudes atingiram um valor superior a 100 milhões de reais. "E em 2004 esse valor deve ser maior pelo que temos visto nesses primeiros quatro meses", alerta Ricardo Theil, diretor-presidente do IPDI.

A afirmação do especialista se materializa nos números obtidos através das estatísticas realizadas trimestralmente pelo grupo de resposta a incidentes de segurança NIC BR Security Office (NBSO), ligado ao Comitê Gestor da Internet no Brasil (CGI-Br).

E esses indicadores são, ao mesmo tempo, assustadores e alentadores. Assustadores porque, em 2003, o grupo recebeu 593 denúncias de fraudes e somente nos três primeiros meses de 2004 esse indicador passou para expressivos 796.

Mas a explicação para esse aumento pode ser vista de forma positiva: os usuários brasileiros estão denunciando tais crimes. "Essas estatísticas são de incidentes voluntariamente reportados e o aumento das notificações de fraudes se deu, em parte, pelo fato de as reportagens e prisões estarem estimulando os usuários de internet a reportar este tipo de atividade", revela Cristine Hoepers, analista de segurança sênior do NBSO.

Porém, engana-se quem pensa que esse tipo de ação criminosa seja uma exclusividade na internet brasileira. Nos EUA, por exemplo, levantamento recente realizado pelo Anti-Phishing Working Group, associação formada por grandes instituições financeiras, empresas de comércio eletrônico e provedores de serviços de internet para combater tal prática, revela que o número de fraudes notificadas para o grupo cresceu 43% no período de fevereiro e março desse ano.

O elo mais fraco

Alguns estudos e a vivência de especialistas na área revelam que a cultura em segurança da informação ainda não é seguida à risca pelos usuários de internet, causando quebra de confiabilidade, integridade e disponibilidade, principalmente, nas transações ocorridas pela web. "Infelizmente o elo mais fraco somos nós os usuários", diz Ricardo Theil.

Ele acrescenta ainda que o meio digital não criou nenhum novo tipo de fraude. "Todas elas são velhas conhecidas da sociedade. A internet possui três características novas e únicas que potencializam as ameaças do mundo digital: Automação, Ação a Distância e Propagação da Técnica. Cada uma dessas características é ruim e a três juntas são horrorizantes", ressalta.

Segundo o executivo, a internet potencializou o universo de quem pode ser atingido pelas fraudes. "Hoje, existem no Brasil cerca de dez milhões de pessoas que usam serviços financeiros via web e cerca de 2,5 milhões que fazem compras on-line", diz.

Engenharia social, spam, proxies abertos etc

A tática usada pelos criminosos é a mesma nos últimos meses: disseminação em massa de mensagens maliciosas que utilizam a engenharia social para induzir usuários de internet a fornecerem dados sensíveis sobre suas informações sigilosas.

Além da engenharia social, Cristine Hoepers, do NBSO, cita outras técnicas utilizadas pelos fraudadores. "Cabe destacar: envio de spams, utilização de proxies abertos para envio destes spams, invasão de servidores de DNS vulneráveis etc", revela.

A especialista explica que mesmo utilizando apenas ferramentas e técnicas amplamente conhecidas, os criminosos estão explorando a falta de conhecimentos aprofundados da maior parte dos usuários e o fato de acreditarem no conteúdo das mensagens que são enviadas pela web. "Esta combinação faz com que àqueles que não dominam os aspectos técnicos em geral sejam ludibriados pelos e-mails falsos, sites clonados e outros subterfúgios utilizados", alerta.

A ação das autoridades no Brasil

Mesmo sem contar com uma legislação específica que puna os crimes de informática, as autoridades do país já prenderam e condenaram alguns dos criminosos que vinham aplicando tais golpes pela internet.

O caso mais expressivo até o momento foram as condenações de Guilherme Amorim de Oliveira Alves e de Evânancy Soares de Alcântara por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001) cometidos via internet. A sentença foi proferida no final de 2003 pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul.

Além dessa condenação, podemos destacar as operações realizadas pela Polícia Federal no ano passado. No final de novembro, dez suspeitos de integrar uma das maiores quadrilhas especializadas em fraudes na internet foram presos no litoral do Piauí, segundo reportagem de Mauro Albano da Agência Folha. Ainda em novembro, a Delegacia de Defraudações e Falsificações de Fortaleza prendeu Josenias Barbosa dos Santos, acusado de liderar uma dessas quadrilhas.

Todas essas ações representam a continuidade da operação "Cavalo de Tróia", realizada pela Polícia Federal no início de novembro, nos estados do Pará, Goiás, Maranhão e Piauí. Segundo nota oficial divulgada pela Polícia Federal na época, a operação "culminou com a descoberta de crackers que criaram sites e programas de computador capazes de capturar senhas e outras informações pessoais de clientes que movimentavam as contas a partir da internet".

A Polícia Federal informou que tal "investigação resultou na expedição de 33 mandados de busca e apreensão, seis mandados de prisão preventiva e 30 mandados de prisão temporária" e "o perfil dos fraudadores presos era bem variado, incluindo um escrivão da Polícia Civil do Pará". Em 2003, diz ainda nota da PF, "a ação da quadrilha movimentou cerca de 30 milhões de reais. Em um único dia, uma empresa foi fraudada em cerca de 350 mil reais, apuraram os policiais".

Para se ter uma idéia, a ação de fraudadores de internet em Parauapebas (Pará) - região considerada sede dessas quadrilhas - é antiga. Em novembro de 2001, a Polícia Federal desencadeou outra grande operação, denominada "Cash Net" e reunindo 70 policiais, que resultou na prisão de 17 pessoas acusadas de desviaram cerca de 100 milhões de reais pela web.

Fortalecendo sua cultura em segurança

Para se proteger de tais ameaças, Cristine Hoepers relata que é essencial que os usuários entendam os ataques de engenharia social e mudem seu comportamento ao usar a Internet. "Uma boa leitura sobre o assunto é a Parte IV da Cartilha de Segurança para Internet, que aborda os temas de engenharia social e fraudes", recomenda.

Outra boa pedida é o checklist com recomendações de segurança nessa área criado pelo Computer Security Incident Response Team (CSIRT) da Universidade Estadual de Campinas (Unicamp). Confira algumas das orientações:

  1. As grandes organizações nunca enviam mensagens para seus clientes solicitando informações como senha eletrônica e CPF, por exemplo. Portanto, ao receber supostas mensagens dessas instituições pedindo tais dados, simplesmente desconsidere, pois é uma tentativa de fraude.
  2. Caso você receba um e-mail supostamente enviado por uma instituição financeira e o conteúdo dessa mensagem for um formulário pedindo informações sobre seus dados, simplesmente desconsidere, pois é uma tentativa de fraude.
  3. Nunca clique em links pré-prontos que chegam em mensagens de correio eletrônico. Sempre que você utilizar os serviços on-line, digite você mesmo o endereço do site.
  4. Não confie no endereço eletrônico que vem escrito no campo "FROM:" da mensagem. Segundo os especialistas da Unicamp, ele é facilmente forjado, além de ser mais uma tática utilizada pelos golpistas para dar credibilidade à fraude.
  5. Caso queira denunciar a fraude recebida, envie a mensagem para a Polícia Federal (ctr@dpf.gov.br) e para o Grupo de Resposta a Incidentes para a Internet brasileira, NIC-BR (nbso@nic.br). É importante que você envie os seguintes dados: o cabeçalho completo da mensagem recebida, o link em que se encontra o arquivo suspeito e até mesmo o próprio arquivo para que seja feita uma análise.

Portanto, não esqueça! Apesar de nenhum sistema garantir 100% de segurança eletrônica, seguir medidas básicas, como as citadas pelos especialistas nesta reportagem, contribuem para o afastamento da maioria das ameaças e riscos da web. Previna-se!

Saiba mais:

Estatísticas Anti-Phishing Working Group (em pdf)

Estatísticas do NBSO 1º Trimestre de 2004

Cartilha de Segurança para Internet

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso