A sensação é de derrota, impotência, talvez. Ser enganado na internet tira não só dinheiro de sua conta-corrente, mas também a falsa sensação de segurança. É como ser assaltado na rua: a diferença é que você está sentado na cadeira de casa enquanto alguém leva sua grana. E o pior? Na maioria das vezes, a vítima pode achar que o erro foi completamente dela. Um passo errado no lugar errado para ficar com a conta-corrente vazia — o único lado bom disso é que não há uma arma apontada para você.

*Para visualizar melhor esta reportagem, acesse via computador

O cibercrime no Brasil gira em torno de R$ 32 bilhões, de acordo com dados da Symantec, uma fatia alta quando consideramos os R$ 400 bilhões que rodaram em todo o mundo em 2016. A pergunta-chave quando olhamos para esses dados é a seguinte: como o Brasil, um país que ainda se encontra longe de tantos outros quanto a tecnologia e infraestrutura, é um dos principais vetores desse dinheiro? Mais ainda: como o Brasil possui organizações cibercriminosas tão refinadas, com braços em instituições privadas e até governamentais? Algumas das respostas você vai conferir nesta reportagem, apurada em colaboração com a equipe do TecMundo e a equipe de reportagem do Fantástico, da Rede Globo.

Se deixarmos de lado os malwares e ransomwares, acontecem dois tipos de golpe no Brasil que lesam gravemente os cidadãos: phishing e desvios de cartões de crédito — o primeiro, mirando contas de banco e logins de eCommerce. Ambos os golpes atingem pessoas de várias idades e cargos profissionais: o primeiro se baseia na ingenuidade de usuários de internet e o segundo, em um sistema de desvio de cartão que ocorre dentro dos Correios.

Quem são essas pessoas?

Imagine que você tem um conhecimento amplo em programação — ou pelo menos um grande interesse para aprender mais sobre isso. Agora, como a maioria dos brasileiros, você ganha um péssimo salário e não possui qualquer tipo de esperança de melhora — pior: em muitos casos, pessoas dependem de você para alimentação e moradia. Ganhar um troco extra ou uma boa grana é apenas um trabalho "fácil e rápido" quando falamos sobre fraudes online. Entendeu o dilema moral existente? É um crime não violento, sem sangue e, por isso, atrai tantos jovens sem perspectiva rápida de ascensão social. É uma questão que envolve diversos setores ilícitos no Brasil e no mundo, uma falha governamental e uma desigualdade que gera o crime.

Cibercriminosos devem ser julgados como manda a Lei, mas você pode fazer uma reflexão além disso para entender o motivo de eles existirem.

Por outro lado, há o desejo por dinheiro e a ganância — e ela também leva pessoas capacitadas à transgressão. Existem verdadeiros profissionais e pessoas com perspectiva de trabalho que não enxergam problemas ao lesar um cidadão, tanto de maneira monetária quanto psicológica.

É nesse espectro que o hacking se divide: hackers que atuam de forma ética e buscam brechas em sites para correção; hackers que atuam pela diversão, realizando defaces pelo "Lulz"; e cibercriminosos que atuam buscando benefício próprio — dinheiro ou reputação. Cibercriminosos devem ser julgados como manda a Lei, mas você pode fazer uma reflexão além disso para entender o motivo de eles existirem.

Quando falamos em "atuações" dentro do crime virtual, nesse contexto se encontram os carders: criminosos que pegam e clonam dados de cartão de crédito, atuando com fraudes online. É sobre a ação deles que você vai entender um pouco mais agora.

Conversamos com Fabio Assolini, analista sênior de segurança da Kaspersky Lab, para entender também quem é o carder no Brasil, se pudéssemos definir um padrão. "Os carders, em sua maioria, são homens. Quanto à faixa etária, ela costuma variar de acordo com a região do país, mas engloba de jovens menores de idade até homens de 50 anos. A maioria deles não possui um nível de escolaridade alto, normalmente sem qualquer graduação".

Dinheiro rápido e fácil enquanto tudo é feito com segurança, sem a exposição do criminoso. Esses são os principais pontos que levam jovens e adultos ao crime virtual, de acordo com Assolini. "Tem pouco risco, o risco é baixo quando comparamos com assaltantes de rua ou outros tipos de fraude", adicionou.

Quando falamos sobre os maiores carders do Brasil, por exemplo, visualize milhões como saldo bancário

O pior desse cenário: é fácil virar carder. É fácil entrar para o crime virtual. Uma pessoa com tendência a cair nesse mundo pode com tranquilidade aprender como realizar fraudes e clonar contas e cartões em alguns sites na internet. "Para você ter ideia, existem cursos para ensinar as pessoas a clonar cartões. Para o iniciante na área, é menos perigoso ele começar com essa abordagem online — diferente de carders que desviam PVC ou colocam aparelhos para roubar dados em caixa eletrônico. Existe cibercriminoso que vive de vender cursos para novatos, vive de passar esse conhecimento", explicou Assolini.

Os cursos podem ser encontrados na internet com valores entre R$ 200 e R$ 500. Eles envolvem aulas sobre como praticar ataques DDoS, realizar engenharia social e golpes de phishing, clonar cartões, utilizar e penetrar Keyloggers, spam em massa, criar sites fakes, trabalhar com DNS, Proxy, Shell, Auto infect e até aulas para entender gírias de carders. "Para um criminoso que está começando e não tem conhecimento, é um negócio. Eles facilitam esse ingresso do novato", disse o analista de segurança.

De acordo com a apuração feita pelo TecMundo e pelo Fantástico, os peixes pequenos do mundo do crime virtual fazem milhares de reais por mês. Quando falamos sobre os maiores carders do Brasil, por exemplo, visualize milhões como saldo bancário.

Tudo começa com um phishing

O phishing é a maneira mais comum para obter dados sensíveis e específicos de cidadãos. Por exemplo, logins e senhas de internet banking e eCommerce. Também é o modo de operação que oferece os resultados em massa de maneira mais fácil e rápida. Metade do trabalho de um criminoso é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou/perdeu algum prêmio ou dinheiro e, normalmente, um link acompanhante para você resgatar o valor — atrasos na conta, vouchers ou saques indevidos também são utilizados como pescaria. O golpe acontece quando você entra nesse link.

A mensagem falsa que é espalhada via SMS, email, aplicativos mensageiros ou redes sociais para milhares de usuários leva a vítima a entrar em páginas falsas. Muito bem montadas e diagramadas, na maioria das vezes, essas páginas possuem campos de inserção de dados. Quando o usuário, ingênuo e desavisado, preenche os espaços com dados sensíveis, como nome completo, telefone, CPF e números de contas bancárias (até senhas de segurança de cartões), o golpe é finalizado com sucesso e o cibercriminoso recebe essas informações para usar da maneira que quiser.

O phishing é uma das técnicas mais usadas pelo cibercrime no Brasil

Outra técnica também muito usada, principalmente por carders, envolve Keylogger: tipos de software instalados em computadores e smartphones para roubar senhas. Eles fazem isso ao capturar todas as teclas digitadas em dispositivos. Contudo, para não obter as mensagens desnecessárias de WhatsApp ou Facebook, cibercriminosos sofisticados utilizam Keyloggers que ficam ativos apenas quando a vítima acessa sites/apps pré-definidos, como bancos ou eCommerce.

Os vídeos que você acompanha durante esta reportagem mostram exatamente isso: desde o trabalho de desenvolvimento do phishing, seja em SMS ou site falso, até o recebimento desses dados de usuários ingênuos. Assim que a vítima clica no link, ela é redirecionada para um site falso que simula um eCommerce ou uma página de banco. Ao completar os campos de inserção com dados sensíveis, o golpe é finalizado.

As vendas

Após conseguir os dados de cidadãos em golpes de phishing e Keylogger, o cibercriminoso compila essas informações e as vende para outras pessoas. Um dos mercados mais ativos é o de venda de contas de eCommerce.

E não são poucas as lojas que acabam envolvidas nessas fraudes; de acordo com a apuração, é possível encontrar contas de Casas Bahia, Magazine Luiza, Centauro, Ponto Frio, Peixe Urbano, Extra Online, Fast Shop, eFácil, OLX, Marisa, Sky, Aliexpress, Groupon, Mobbly, Saraiva, Pedidos Já, Riachuelo, Ricardo Eletro, Kabum, HP, iRecarga, Netshoes, Saldo, Netflix, PagSeguro e BCash. Os preços variam entre R$ 10 a unidade e pacotes de 10 logins por R$ 70.

Ao depositar o dinheiro, o comprador recebe do fraudador um documento com as seguintes informações: login e senha, cartão de crédito, CVV, nome completo e CPF.

É preciso ressaltar, contudo, que as lojas citadas não são culpadas por esse esquema e também não foram invadidas por hackers black hat. Essas contas vendidas, como já citado, são de usuários inocentes que acabam caindo em golpes de phishing e Keyloggers.

Qualquer pessoa, com o contato certo e o dinheiro na mão, consegue adquirir uma "conta vítima" no WhatsApp ou no Facebook

As vendas de contas acontecem em grupos formados no WhatsApp e no Facebook. Algo que anteriormente ficava "escondido" em fóruns e sites específicos da Deep Web, distante do acesso comum, agora é largamente alardeado por todos os cantos da internet. Qualquer pessoa, com o contato certo e o dinheiro na mão, consegue adquirir uma "conta vítima" no WhatsApp ou no Facebook.

Vale notar que não é qualquer conta que serve: os criminosos vendem apenas logins e senhas de vítimas que já realizaram compras anteriormente. Dessa maneira, a nova compra, realizada de maneira ilegal, passa nos mecanismos de segurança dos eCommerces sem maiores problemas.

O golpe ainda vai um pouco além: bancos de dados online são invadidos e acessados a qualquer momento. Estamos falando de CADSUS (Sistema de Cadastramento de usuários do SUS), Instituto Nacional do Seguro Social (INSS), Departamento Nacional de Trânsito (Denatran), Serasa, Detran, Receita Federal, registro de usuários da Oi, Vivo, TIM, Claro, NET, Sky e até mesmo phishing de internet banking — o TecMundo publicou a reportagem Brasil Exposed com as provas mostrando como isso funciona, e você pode conferir nos links anteriores. Dessa maneira, caso algumas informações não venham no phishing feito pelo criminoso, ele pode recorrer aos bancos de dados online.

É preciso notar, antes de irmos adiante, que muitos carders possuem canais de YouTube e colocam vídeos ensinando como realizar essas invasações. Além disso, é fácil encontrar sites desenvolvidos pelos mesmos carders oferecendo o serviço de busca de dados de maneira gratuita. Uma busca rápida no YouTube indica alguns canais que oferecem o serviço gratuitamente para seguidores: "Sam Hacking Programmer", "Dark Hacking", "SmokeFX" e "PlayerMonster Official". Ou seja: é cada vez mais fácil conseguir os dados pessoais de cidadãos.

OLHO: No final das contas, quem sai mais prejudicado desse esquema? O cidadão fraudado

No final de 2016, conversamos com Omar Jarouche, gerente de Inteligência Estatística da ClearSale (empresa especializada no desenvolvimento de soluções antifraude para o comércio eletrônico) para entender exatamente como são obtidos e usados esses dados.

"De fato, é muito fácil conseguir essas informações na internet. Para habilitar uma linha telefônica, emitir um cartão de crédito ou até mesmo contratar um seguro, tudo o que você precisa é dos dados cadastrais de alguma pessoa. Às vezes, o fraudador quer abrir uma conta-corrente em um banco só para conseguir um comprovante de endereço e, posteriormente, adquirir um chip para praticar outras atividades criminosas, como efetuar um sequestro", explica Jarouche. "As pessoas não precisam se preocupar em esconder ou apagar suas informações da internet, até porque isso é algo impossível de ser feito. O importante é que as empresas se protejam contra o uso indevido dessas informações. Dessa forma, vamos sufocando esse mercado [de tráfico de dados]. Se o criminoso não consegue mais comprar pela internet, habilitar um cartão ou adquirir uma linha telefônica, esse tipo de atividade criminosa tende a diminuir".

Cartões de crédito são desviados nos Correios Imagem 1 de 6 Cartões de crédito são desviados nos Correios Imagem 2 de 6 Cartões de crédito são desviados nos Correios Imagem 3 de 6 Cartões de crédito são desviados nos Correios Imagem 4 de 6 Cartões de crédito são desviados nos Correios Imagem 5 de 6 Cartões de crédito são desviados nos Correios Imagem 6 de 6

No final das contas, quem sai mais prejudicado desse esquema? O cidadão fraudado. Enquanto as lojas online possuem seguradoras que cobrem os prejuízos quando ocorrem fraudes, os cidadãos que caem em golpes de phishing, em boa parte das vezes, acabam arcando com os custos.

Comerciantes do crime

Muitos vendedores de logins em eCommerces também se aproveitam do acesso para revender produtos. São smartphones, tablets, peças de roupas, televisores e gadgets variados que são comprados nas lojas online e revendidos nos grupos de WhatsApp e Facebook. Como eles recebem o produto e não são pegos? Basta colocar um endereço-laranja como entrega, e o resto é história.

Ao olhar os preços, é possível entender também o motivo de esse mercado existir. Novamente, voltamos ao ponto do poder aquisitivo. Sem condições de pagar por produtos mais caros, recheados de valor de marca e impostos, o nicho de pessoas que buscam os mercados cinza e negro cresce. As tabelas de preços desses aparelhos que você poderá ver nas imagens mostram como praticar esse crime pode ser atraente.

Um iPhone 7 Plus, celular da Apple que custa em torno de R$ 4 mil, pode ser comprado por apenas R$ 1,6 mil nesses grupos. O Moto G5, um dos aparelhos que mais saem das lojas, custa só R$ 450 no mercado negro, enquanto as varejistas vendem por R$ 900 a unidade.

Os preços continuam atraentes em outros produtos: PlayStation 4 Pro de R$ 2,3 mil por R$ 500. Televisor de 42 polegadas com média de R$ 1,5 mil por R$ 500. Samsung J5 de R$ 600 por R$ 250.

A criptografia de ponta a ponta no WhatsApp não permite que a empresa entregue os dados de conversas para a Justiça

Obviamente, encontrar esses grupos no WhatsApp pode ser mais difícil: você precisa conhecer alguém que já participou para entrar ou descolar o número de algum administrador do grupo para entrar. Além disso, o WhatsApp passa maior segurança para os participantes: a criptografia de ponta a ponta não permite que a empresa entregue os dados para a Justiça — basta lembrar dos casos em que o aplicativo foi tirado do ar no Brasil.

Cartões de crédito são desviados nos Correios Imagem 1 de 7 Cartões de crédito são desviados nos Correios Imagem 2 de 7 Cartões de crédito são desviados nos Correios Imagem 3 de 7 Cartões de crédito são desviados nos Correios Imagem 4 de 7 Cartões de crédito são desviados nos Correios Imagem 5 de 7 Cartões de crédito são desviados nos Correios Imagem 6 de 7 Cartões de crédito são desviados nos Correios Imagem 7 de 7

O problema está no Facebook: alguns grupos de vendedores de logins e carders estão ativos na rede social de Mark Zuckerberg e cooptam novos parceiros e clientes por lá mesmo. Diferente do WhatsApp, o Facebook não possui criptografia nos grupos — e a equipe de segurança da rede social teria plena consciência de que esse crime ocorre dentro de seus servidores. Então, a provável única pergunta sem resposta: por que o Facebook não bane os perfis e apaga os grupos de mercado negro na rede social?O sentimento ao ser roubado no âmbito virtual é similar ao de ser roubado no mundo real. "Essa compra não foi realizada por mim. Fiquei com um sentimento de indignação. Eu não conseguia entender como conseguiram realizar a compra com meu acesso, não tinha qualquer percepção". Esse comentário foi realizado por uma fonte do TecMundo que teve uma conta de eCommerce acessada e valores debitados da conta-corrente — você pode ler mais sobre isso aqui. A diferença, felizmente, é que não há armas por perto.

O esquema de desvio de cartões de crédito nos Correios

Praticamente todas as correspondências trocadas no Brasil passam pelos Correios. A empresa pública federal, apesar dos tempos modernos, ainda lida com bilhões de cartas anualmente. Além disso, a empresa gerencia encomendas de todos os tipos, entre elas, cartões de crédito.

Os motivos para eles estarem nas agências dos Correios, principalmente, são as emissões de novos cartões e as entregas de 2° via. Não há um dado indicando quantos retângulos de PVC giram nos Correios durante um mês ou um ano, mas, como você pode imaginar, o fluxo é bem alto.

Uma fonte anônima mostrando como funciona um novo esquema de desvio de cartões de créditos enviou imagens e vídeos para a produção do TecMundo e do Fantástico. Por questões de segurança, o nome e a profissão da fonte não serão revelados.

O que existe dentro de diversas agências é um procedimento com algumas etapas:

1) Cartões de crédito são identificados e oferecidos para grupos de carders, que pagam um valor X para funcionários dos Correios

Após o recebimento do cartão de crédito, com número da conta, agência e nome completo em mãos, os carders se utilizam de bancos de dados online para obter todas as informações necessárias da vítima — uma quadrilha, presa em 2014 pela Operação Corrieu da Polícia Federal, também utilizava uma "central de telemarketing" falsa para pegar as senhas de vítimas; mais detalhes abaixo. No caso, CPF, RG, nomes de parentes, endereço, data de nascimento etc. Sendo assim, fica fácil para o carder se passar pela vítima, entrar em contato com o banco ou ir até um caixa eletrônico e alterar a senha do cartão.

2) Funcionários do Correios desviam o cartão comprado por carders e o repassam para carteiros que fazem parte do esquema

Carteiros que também estão envolvidos nesse esquema depositam os cartões de PVC em endereços de compradores ou endereços-laranja de carders — vale notar que, algumas vezes, a carta com os dados não é entregue por um carteiro-laranja, ela apenas volta a circular pelo processo padrão e legal. Outro modus operandi é apenas fotografar a frente e o verso do cartão, enviando a imagem para carders via email ou apps mensageiros — mesmo sem o cartão PVC em mãos, ainda é possível realizar compras online.

3) Carders com cartão de crédito/informações em mãos realizam a venda para o comprador final via WhatsApp ou Facebook

Carders montam grupos no WhatsApp ou no Facebook para gerenciar clientes e levar o esquema para mais pessoas. É comum o alarde de novas "remessas" e "promoções", como um produto legal.

4) Comprador final recebe o cartão desviado

O comprador final, que também acaba fazendo parte desse esquema, recebe o cartão desviado ou clonado de duas maneiras: fisicamente ou via imagens. Estas são enviadas por email ou apps mensageiros, com fotos do cartão e dados da vítima. Já na etapa do cartão físico, quando o PVC é postado para um endereço de comprador, ele é repassado por um carteiro que acabou se envolvendo no esquema e também recebe uma fatia desse dinheiro.

É exatamente dessa maneira que um comprador de cartão desviado recebe o produto em casa: o cartão de crédito físico e uma folha sulfite com todos os dados da vítima — ou, como citado, fotos mostrando CC, CVV e informações diversas para compra.

Ainda, é preciso notar que essa prática não é novidade: em 2014, a Polícia Federal realizou a Operação Corrieu na cidade de Santos, litoral de São Paulo. O caso envolvia uma das maiores quadrilhas especializadas em desvios de cartões nos Correios para utilização em fraudes, que possuía até uma central de telemarketing para roubar as senhas de vítimas. O resultado foi a condenação de 12 pessoas por crimes praticados entre julho de 2013 até novembro de 2014. Segundo dados da FEBRABAM, esse golpe causou um prejuízo de R$ 20 milhões aos bancos, com uma movimentação de 150 até 300 cartões de crédito por semana.

A principal diferença do esquema mostrado nesta reportagem para a operação Corrieu é a facilidade de comunicação entre carders e clientes, a qual permite que os desvios ocorram por todo o Brasil dentro dos Correios, não apenas no litoral paulistano. Atualmente, aplicativos como o WhatsApp e redes sociais como o Facebook são verdadeiras entidades entre a sociedade, então o trabalho dos carders ficou mais fácil no que toca à obtenção de novos clientes.

Preços de cartões

Extremamente atraentes. O trabalho dos carders costuma fazer sucesso entre os clientes porque as ofertas são atraentes. Com apenas R$ 150, um comprador consegue adquirir um cartão PVC com limite de saque/gasto de R$ 500. Mais "interessante" ainda: por R$ 1,3 mil, é possível ter um cartão com limite de R$ 10 mil — bandeiras Visa ou Mastercard.

Uma das tabelas de preços recebidas pela reportagem foi repassada para clientes no dia 14 de agosto de 2017. Os preços que você vê já incluem o valor de envio do cartão de crédito pelo SEDEX para todo o Brasil. Existem variações de preços entre tabelas, mas a média é praticamente a mesma.

Cartão de crédito com limite de R$ 500: pode ser comprado por R$ 150

Cartão de crédito com limite de R$ 1 mil: pode ser comprado por R$ 200

Cartão de crédito com limite de R$ 2 mil: pode ser comprado por R$ 300

Cartão de crédito com limite de R$ 3 mil: pode ser comprado por R$ 400

Cartão de crédito com limite de R$ 4 mil: pode ser comprado por R$ 500

Cartão de crédito com limite de R$ 5 mil: pode ser comprado por R$ 900

Cartão de crédito com limite de R$ 10 mil: pode ser comprado por R$ 1.300

Se você achou os valores baratos, a tabela de cartões de crédito enviados como imagem via email ou WhatsApp mostra preços ainda mais baixos — isso porque não envolve o trabalho de enviar o PVC ao cliente.

Cartão Classic com débito mínimo de R$ 300: R$ 50

Cartão Gold/Platinum com débito mínimo de R$ 800: R$ 80

Cartão Black com débito mínimo de R$ 1,5 mil: R$ 100

Cartão Corporate/Business com débito mínimo de R$ 1,8 mil: R$ 120

Cartão Infinite com débito mínimo de R$ 2 mil: R$ 150

O débito mínimo, nesta tabela, indica o valor garantido que o cliente terá ao realizar a compra. Ou seja: ainda existe a chance, por exemplo, de você realizar uma compra superior aos R$ 300 em eCommerces gastando apenas R$ 50 — são R$ 300 garantidos por R$ 50.

O TecMundo entrou em contato com Itaú, Bradesco e Santander sobre as fraudes realizadas em cartões de crédito, mas todos se negaram a responder até o fechamento desta reportagem. Já o Banco do Brasil argumentou que "o BB não abre esses dados, que são considerados confidenciais". Contudo, o BB repassou algumas pistas: 95% das perdas operacionais por fraudes estão abaixo dos R$ 5 mil, enquanto 1% se enquadra em valores acima dos R$ 25 mil.

Ainda, o BB vem sofrendo um aumento de transações fraudadas. No primeiro trimestre de 2015, o número foi de 14,9 milhões de fraudes, enquanto o quarto trimestre de 2016 registrou 17,5 milhões. Com isso, as ações de segurança também aumentaram, segundo os gráficos enviados. "O Banco desenvolve ações visando à mitigação das perdas operacionais nos canais de atendimento, bem como atua na recuperação de valores subtraídos", explicou o BB.

Outros bancos que entramos em contato, o Nubank e o Neon, tomaram um caminho similar ao BB e comentaram que não revelam esses dados. O Nubank ainda nos enviou este posicionamento: "Estamos constantemente preocupados em oferecer cada vez mais segurança para nossos clientes. Utilizamos de nossa tecnologia e de um grande volume de dados para atingir os melhores níveis de segurança do mercado. Temos atualmente diversos sistemas e modelos de prevenção e detecção de fraudes e, recentemente, iniciamos um projeto para a coleta de dados de geolocalização. Com a permissão dos clientes, poderemos utilizar essa informação para melhoria dos serviços prestados. A geolocalização não é a nossa única fonte de informações, mas ela ajuda a melhorar nossa capacidade de identificar e prevenir a ocorrência e efetivação de fraudes por cibercriminosos".

Cartões de crédito são desviados nos Correios Imagem 1 de 15 Cartões de crédito são desviados nos Correios Imagem 2 de 15 Cartões de crédito são desviados nos Correios Imagem 3 de 15 Cartões de crédito são desviados nos Correios Imagem 4 de 15 Cartões de crédito são desviados nos Correios Imagem 5 de 15 Cartões de crédito são desviados nos Correios Imagem 6 de 15 Cartões de crédito são desviados nos Correios Imagem 7 de 15 Cartões de crédito são desviados nos Correios Imagem 8 de 15 Cartões de crédito são desviados nos Correios Imagem 9 de 15 Cartões de crédito são desviados nos Correios Imagem 10 de 15 Cartões de crédito são desviados nos Correios Imagem 11 de 15 Cartões de crédito são desviados nos Correios Imagem 12 de 15 Cartões de crédito são desviados nos Correios Imagem 13 de 15 Cartões de crédito são desviados nos Correios Imagem 14 de 15 Cartões de crédito são desviados nos Correios Imagem 15 de 15

Outras formas de crime no Facebook

Além de o Facebook e o WhatsApp estarem se tornando um maná de clientes interessados em cartões de crédito desviados, muitas pessoas utilizam esses meios para buscar maneiras de entrar no mundo do crime ou refinar o próprio modus operandi. É comum, por exemplo, grupos de carders indicarem grupos de outras atividades ilícitas, como a venda de terminais adulterados de processamento de dados de cartões — sim, estamos falando de maquininhas que roubam dados e também são ofertadas nos grupos.

Um dos grupos que nos foram revelados no WhatsApp se chama "Falcon das Kineta". Nele, é possível adquirir uma maquininha adulterada que pega os dados do cartão de crédito da vítima por R$ 500 com "lara". "Lara" seria "laranja", uma máquina com registro/endereço falso. O preço mais baixo de uma máquina adulterada, sem endereço-laranja, é de R$ 200.

Já no Facebook, é fácil identificar inúmeros grupos de carders: "Alcapone Infoccs", "Douglas Winchester", "Gancho CCS", "ReidasNotasFake", "Choice Fakes", "Gregory Trampos", "Vortex", "Atlantic Carders", "Firma JJ", "Trampos 171", "Trampos Certos", "The Black", "Trampo X Jokers", "Carders Brasil" etc.

O Facebook é um celeiro para o crime digital: por lá, são realizadas desde vendas de produtos até cursos para iniciantes no cibercrime

Além dos serviços de venda de contas-correntes para saque de dinheiro ou compra em eCommerces, os grupos costumam vender outros serviços ilegais, que vão desde venda de diplomas, notas falsas, drogas, remédios até CNH, RH e papel-moeda — com marca-d’água e medidas de segurança. Ainda é possível encontrar os tais "chupa-cabra" ou "skimmers" (termo internacional): um dispositivo falso que é colocado em caixas eletrônicos de bancos para puxar os dados de um cartão utilizado.

Também não há qualquer tipo de preocupação sobre postagem de fotos mostrando o serviço, como você pode ver nas imagens. O trabalho ilegal é alardeado como algo comum.

O preocupante, quando falamos sobre os grupos no Facebook, é a falta de controle da rede social sobre o conteúdo gerado e trocado em seus servidores. Obviamente, a venda de produtos ilegais (drogas, armas, documentos falsos, contas etc.) fere os termos de serviço e de privacidade. Também não estamos falando de grupos novos: alguns deles atuam há mais de 1 ano dentro do Facebook. Dessa maneira, podemos pensar em apenas dois cenários: a equipe de segurança/moderação do Facebook é falha ou faz vista grossa.

Sobre isso, o Facebook respondeu da seguinte maneira: "Nossos Padrões de Comunidade proíbem o uso do Facebook para facilitar ou organizar atividades criminosas que causem danos financeiros a pessoas ou negócios, e removemos qualquer conteúdo desse tipo assim que ficamos cientes. Encorajamos as pessoas a denunciarem conteúdos questionáveis na plataforma para que nossos especialistas possam revisar esses materiais rapidamente".

As consequências legais

O TecMundo entrou em contato com Renato Opice Blum, do escritório especializado em direito digital Opice Blum e coordenador do curso de direito digital do Insper, para entender como a legislação brasileira enxerga o esquema de cartão de crédito desviado demonstrado anteriormente.

"Tudo isso tem como objetivo final ter a vantagem indevida. É o típico crime de estelionato, a fim de enganar a instituição financeira e a vítima. É o famoso 171", comenta Renato, destacando que "o uso indevido do cartão de crédito de outra pessoa cabe como atividade criminosa".

O Decreto-lei nº 2.848, no artigo 171, diz o seguinte: "Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento".

Renato Opice também comentou que a Lei Carolina Dieckmann (nº 12.737/2012), nascida em 2012, "trouxe uma nova figura que não existia — ela agora abrange até quem fabrica e falsifica cartões de créditos". Especificamente, a Lei Carolina Dieckmann diz o seguinte:

Art. 154-A - Invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

Art. 266 - Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública - Pena - detenção, de 1 a 3 anos, e multa.

Art. 298 - Falsificação de documento particular/cartão - Pena - reclusão, de 1 a 5 anos e multa.

Sobre o caso demonstrado na reportagem, Renato Opice Blum comentou que os envolvidos podem pegar uns bons anos de reclusão: "Pena de 1 a 5 anos. Isso não impede que a instituição financeira também entre com processo por danos morais e materiais em separado. Por outro lado, quando mais pessoas entram nesse esquema, a cena começa a aumentar. Podemos chegar à associação criminosa, que é uma figura mais intensa e pode aumentar a pena de 1 a 3 anos — então você soma com a pena de estelionato".

O crime é praticado não apenas por quem vende as contas e os cartões, mas também por quem os compra. Os clientes desses cibercriminosos são coniventes, como indica o advogado. "Quem compra também pratica o crime. A pessoa, sabendo disso, também está dentro dessa cadeia dolosa de estelionato. Há a organização criminosa que desvia e o sujeito que recebe o cartão que usa — é possível projetar até crime de recepção se ele não usar o cartão".

O que você pode fazer

Todo o cenário apresentado acima pode parecer um pouco distópico, já que tudo "parece perdido". O que fazer quando criminosos são capazes de conseguir os seus dados facilmente? Bom, existem alguns pontos que ajudam a mitigar essas ações, minimizar um possível impacto sofrido na sua conta-corrente e até prevenir que você seja alvo de cibercriminosos.

Como prevenção, falamos especificamente dos golpes de phishing. É a velha máxima: desconfie dos links para cadastro que você recebe em redes sociais, em mensageiros, SMS e, principalmente, em banners de sites. Caso você queira se registrar em um serviço, mexer com internet banking ou realizar alguma compra via eCommerce, prefira buscar os canais oficiais nas redes sociais (normalmente acompanhados de símbolos de verificação) ou digitar os links oficiais na barra URL do navegador. Evite colocar os seus dados em sites recebidos de desconhecidos. Além disso, principalmente quando falamos sobre bancos, as instituições dificilmente mandam mensagens via SMS para você digitar dados sensíveis em algum site. Fique esperto.

Sempre desconfie de links desconhecidos e promoções tentadoras enviadas via WhatsApp, email e Facebook

Aplicativos para smartphone, seja para Android, iOS ou Windows Phone, também são potenciais "sugadores de dados pessoais". Por isso, você precisa tomar alguns cuidados na hora do download. O primeiro (e o mais importante) passo: nunca baixe apps fora das lojas oficiais de cada plataforma. Cada sistema possui uma equipe de segurança que fica de olho em possíveis aplicativos maliciosos nas lojas oficiais.

Ainda assim, dentro de lojas oficiais, procure reviews/análises pela internet do aplicativo que você deseja baixar. Procure opiniões de amigos e se tiver qualquer dúvida sobre a integridade do app, não faça o download — afinal, os relatos de apps maliciosos na Google Play Store e Apple App Store apenas aumentam.

Agora, se você tomou consciência de que enviou os seus dados para um golpe de phishing, vale a pena trocar as senhas do serviço em questão. Caso tenha sido um golpe bancário, além de informar o gerente de sua conta sobre o caso, é preciso ficar ligado nas futuras movimentações na sua conta-corrente.

Um retrato completo do Brasil?

É inegável que as ações criminosas realizadas no mundo virtual refletem erros cometidos no mundo real. A porta de entrada para o crime na internet é a mesma: uma sociedade discriminatória, a falta de educação e formação e o abismo entre classes existente no Brasil. Paulo Freire já havia dado essa letra há um bom tempo, quando disse que "se a educação sozinha não transforma a sociedade, sem ela, tampouco a sociedade muda".

Como você soube no começo desta reportagem, a maioria dos cibercriminosos brasileiros são homens maiores de idade com nível de escolaridade baixo. Obviamente, existem exceções. Porém, estamos falando de homens que não tiveram o suporte necessário do Estado e, talvez, da sociedade, para não considerarem o crime como opção.

O Brasil ainda engatinha quando falamos sobre o mundo virtual e suas implicações, contudo o problema se esconde nas ruas. Nesta tela para a qual você olha, temos apenas um jogo de gato e rato igual ao mundo real. Tudo não passa de uma simulação — que em alguns anos poderá movimentar mais dinheiro que o crime comum.