Crimes Cibernéticos: Phishing

logo Âmbito Jurídico

Nome dos autores: Gustavo Henrique dos Santos Otoboni: Acadêmico de Direito na Universidade Brasil – Faculdade de Mirassol (e-mail: [email protected]);

Jeilton Frausto de Almeida: Acadêmico de Direito na Universidade Brasil – Faculdade de Mirassol (e-mail: [email protected]);

Matheus Campanholo: Acadêmico de Direito na Universidade Brasil – Faculdade de Mirassol (e-mail: [email protected]).

Nome do orientador: Antônio Gabriel Rodrigues: Advogado, Profº da Universidade Brasil – Faculdade de Mirassol (e-mail: [email protected])

 

Resumo: Assim como a humanidade, a tecnologia vive uma constante evolução, portanto, é imprescindível o uso dos recursos tecnológicos para nossa vida humana diária. O Marco Civil da Internet (MCI), fundamentado pela Lei nº 12.965, foi decretado em Abril de 2014 com o intuito de gerir normas, princípios, garantias e direitos dos usuários de internet no Brasil. O presente artigo dispõe-se em evidenciar sucintamente sobre a historicidade e o conceito de crimes cibernéticos, enfocando extensivamente no crime mais corriqueiro causado ultimamente na internet: “Phishing.” Salienta-se sobre o conceito Phishing, como também, sua historicidade, seus tipos de ataque, como identificar que você está sendo vítima e como se proteger desse simples ciberataque, mas, ao mesmo tempo, o mais perigoso e eficiente crime virtual da atualidade.

Palavras-chave: Internet e informática. Crimes Cibernéticos. Phishing. Marco Civil da Internet.


Abstract:
Like humanity, technology is constantly evolving, so the use of technological resources for our daily human life is essential. The Civil Internet Framework (MCI), based on Law No. 12,965, was enacted in April 2014 with the purpose of managing internet users’ standards, principles, guarantees and rights in Brazil. This article aims to briefly highlight the historicity and the concept of cybercrime, focusing extensively on the most common crime caused lately on the internet: “Phishing.” how to identify you are being victimized and how to protect yourself from this simple cyber-attack but at the same time the most dangerous and efficient cybercrime today.

Keywords: Internet and computer. Computer Crimes. Phishing. Civil Framework of the Internet.


Sumário:
Introdução. 1. Internet. 1.1 Conceito de Internet. 1.2 Historicidade. 1.3 Estatísticas. 2. Marco Civil da Internet (Lei 12.965/2014). 2.1 Conceito do Marco Civil da Internet. 2.2 Objetivo. 2.3 Regulamentação. 2.4 Princípios. 3. Crimes Cibernéticos. 3.1 Conceito de Crimes Cibernéticos. 3.2 Estatísticas. 3.3 Bem Jurídico. 3.4 Classificação. 3.5 Consumação e Tentativa. 4. Lei Carolina Dieckmann (Lei 12.737/2012). 5. Phishing. 5.1 Conceito. 5.2 Historicidade. 5.3 Principais tipos. 5.4 Principais situações envolvendo Phishing. 5.5 Como se proteger. Conclusão. Referências.


Introdução

O projeto de pesquisa apresenta quais são os tipos de crimes virtuais, seu conceito, conceito e comentários acerca do Marco Civil da Internet, elencando como base principal de pesquisa o crime de Phishing, justamente por tratar-se de ser o crime informático mais praticado da atualidade na internet.

Segundo informações da Pesquisa Nacional por Amostra de Domicílios Contínua (Pnad C), divulgada pelo Instituto Brasileiro de Geografia e Estatística (IBGE), o Brasil fechou o ano de 2016 com 116 milhões de pessoas conectadas à internet, o que corresponde há 64,7% da população. É bem provável que esses dados apontados tenham aumentado, já que a tecnologia está evidentemente aumentando com o passar dos anos, como também o acesso a ela.

O Marco Civil da Internet (MCI) foi sancionado em 23 de abril de 2014, sob o desígnio de regulamentar o uso da internet no Brasil, sendo estabelecido garantias, princípios, deveres e direitos.

É considerado por grande maioria como a “constituição da internet”. Seu texto é composto por 32 artigos em 5 capítulos.

De acordo com a cartilha do Marco Civil da Internet feita pelo Núcleo de Crimes Cibernéticos do Ministério Público do estado de São Paulo, “o Marco Civil da Internet possui cinco principais pontos, por exemplo, direitos, neutralidade, armazenamento de informações, responsabilidade e obrigações do poder público”.

A cartilha do Ministério Público do Estado de São Paulo ainda elenca que: “o decreto indicou procedimentos para o armazenamento e proteção de dados de usuários por provedores de conexão e aplicação, dispondo que deverão reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, além de ter apontado medidas no sentido de garantir a transparência na requisição de dados cadastrais pela Administração Pública.”

Notavelmente, a tecnologia no mundo vem aumentando ao longo dos anos, possibilitando que nós seres humanos adotemos esse benefício criado para facilitar nossa vida.

Entretanto, diversos crimes cibernéticos vêm ocorrendo corriqueiramente, razão pela qual, cria-se diversos mecanismos para punir e erradicar a quantidade desse tipo de crimes, como por exemplo, delegacias especializadas no assunto.

Segundo uma pesquisa realizada pelo site Oficina da Net, os crimes cibernéticos praticados atualmente com mais frequência são: calúnia, difamação, divulgação de material confidencial, ato obsceno, apologia ao crime, perfil falso, preconceito ou discriminação, pedofilia, crimes virtuais contra mulheres e crimes de ódio.

Dentre esses crimes mais habituais está o “Phishing”, que deriva do verbo fishing (pescar). Ou seja, esse criminoso “pesca” informações sigilosas e quantias financeiras das vítimas através de um furto de dados.

De acordo com o autor Sandro D’Amato Nogueira: “Phishing pode ser considerado como o envio de e-mails enganosos (com iscas), com a finalidade de disseminação de vírus, furto de dados pessoais e senhas, entre outros.” (2009, P. 45). Explicita ainda o autor que esse tipo de crime é extremamente corriqueiro, em que o criminoso manda um e-mail para a vítima que recebe, abre e consequentemente instala programas espiões que tem o intuito de furtar as senhas e os dados guardados no seu computador.

Como consta a publicação feita no portal G1 em Maio de 2019 por Altieres Rohr (fundador de um site especializado na defesa de ataques cibernéticos), a fabricante de antivírus russa Kaspersky Lab publicou um relatório no primeiro trimestre de 2019, com estatísticas sobre ataques realizados por spam (e-mails indesejados), que evidencia que o Brasil é o país com maior proporção de usuários vítimas de phishing. O relatório citado da fabricante aponta que um em cada cinco brasileiros foram vítimas desse crime cibernético.

Importante salientar que conceituados antivírus no Brasil informam os usuários em seus sites oficiais sobre possíveis soluções para prevenção do phishing, como o Avast, McAfee, etc. Entre as prevenções, estão: ter bons hábitos online e não responder links adicionados a e-mails não solicitados ou no Facebook, não abrir anexos contidos em e-mails não solicitados, proteger suas senhas, verificar a URL do website acessado (endereço do site), utilizar sempre que possível atualizações de segurança, usar soluções antispam, etc.

Diante do exposto, evidencia o estudo sobre alguns pontos importantes do Marco Civil da Internet, os crimes informáticos mais habituais do Brasil, bem como os seus conceitos e também, fala-se do principal crime virtual causado atualmente na nossa rede, “Phishing”, onde será englobado seu conceito, história, tipos de ataques, como identificar o ataque e como se proteger dele.

 

  1. Internet
    • Conceito

Internet é sinônimo de web, que significa teia ou rede. Seu significado está condicionado a uma rede mundial que permite compartilhar recursos, informações aos seus usuários, oferecendo diversos serviços, como por exemplo o World Wide Web (WWW).

  • Historicidade

Teve seu primeiro protótipo criado em 1969, nos Estados Unidos, pela criação da Advanced Research Projects Agency (Arpanet). Naquela época, seu acesso era restrito apenas aos pesquisadores e militares.

No ano de 1991, por intermédio do Ministério da Ciência e Tecnologia, a comunidade acadêmica brasileira conseguiu acesso a redes internacionais de pesquisa. Foi então que em maio de 1995, a rede foi aberta no Brasil para fins comerciais, ficando a exploração dos serviços móveis sob função da iniciativa privada.

  • Estatísticas

Foi constatado em um estudo recente feito pela UIT – União Internacional de Telecomunicações, que 51% da população mundial está conectada à internet no mundo, sendo 3,9 bilhões de pessoas aproximadamente.

No Brasil, os números também são avantajados, já que uma pesquisa realizada pelo IBGE em 2016 aponta que 116 milhões de brasileiros estão ligados a rede, contabilizando 64,7% de toda população.

Entretanto, como dizia o escritor e inventor R. Buckminster Fuller: “A humanidade está adquirindo toda a tecnologia certa por todas as razões erradas.” Isto é, se por um lado o uso da internet veio para facilitar direta ou indiretamente a vida de nós seres humanos, por outro lado ela é usada como plataforma para facilitação e consumação de crimes, os chamados “crimes cibernéticos.”

 

  1. Marco Civil da Internet (Lei 12.965/2014)

2.1      Conceito

Segundo o Art. 1º da Lei nº 12.965, de 23 de abril de 2014, o Marco Civil da Internet estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil, determinando suas diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria. (Brasil, 2014).

 

  • Objetivo

Sendo assim, após os mais variados casos de crimes cibernéticos aumentarem constantemente no nosso país, chegando até e principalmente nas figuras públicas, tendo esses casos um conteúdo midiático maior, verificou-se o ônus em criar algum mecanismo que coibisse esses criminosos informatizados para melhor atender as demandas jurídicas na esfera tecnológica do Brasil, buscando coordenar toda e qualquer matéria relacionada à internet no âmbito federal brasileiro, objetivando principalmente os princípios da privacidade, neutralidade e liberdade de expressão.

De acordo com Augusto Marcacini (2016, p. 31):

“A Lei de fato encontrou e regulou alguns fatos sociais que são fruto exclusivo da Internet – como é o caso das disposições que estabelecem a neutralidade da rede ou a responsabilidade dos provedores de Internet – mas resvalou também, e pretendeu regular, situações jurídicas que não são uma exclusividade do ciberespaço – como a privacidade, a proteção a dados pessoais ou a liberdade de expressão – embora essas possam encontrar na rede uma larga amplitude de casos concretos e, consequentemente, obter maior visibilidade midiática quando ligadas a fatos ocorridos online. Mas é difícil restringir tais situações apenas ao universo da Internet, no que o Marco Civil deixa uma sensação de incompletude, ou de um encaixe imperfeito, no trato dessas matérias”.


2.3 Regulamentação

A regulamentação do Marco Civil da Internet (Lei 12.965/2014) adveio através do Decreto nº 8.771/2016, assinado pela então presidente Dilma Rousseff, em 11 de maio de 2016.

Este decreto citado acima prescreveu que tivesse procedimentos para armazenar e proteger os dados dos usuários da rede, elencando também que as garantias da transparência quando houvesse requisição por parte da Administração Pública para conferir dados cadastrais dos respectivos usuários fossem assegurados de forma segura.

 

  • Princípios

Os princípios do Marco Civil da Internet estão especificados nos incisos do Art. 3º da sua lei, como veremos a seguir:

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:

I – garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal;

II – Proteção da privacidade;

III – proteção dos dados pessoais, na forma da lei;

IV – Preservação e garantia da neutralidade de rede;

V – Preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;

VI – Responsabilização dos agentes de acordo com suas atividades, nos termos da lei;

VII – preservação da natureza participativa da rede;

VIII – liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei.

Parágrafo único. Os princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.

Seu principal princípio é o da neutralidade da rede, que está previsto no inciso IV, Art. 3º, e depois pautado no Art. 9º. Segundo o autor Augusto Marcacini (2016, p. 41):

“Trata-se de questão fundamental, em primeiro lugar, pois diz respeito diretamente à preservação das liberdades que a Internet tem proporcionado aos seus usuários, desde sua criação; a disposição também é importante sob os ângulos da defesa da concorrência, do estímulo à inovação e da priorização de critérios meritocráticos na oferta online de produtos e serviços. Suas polêmicas derivam do forte jogo de interesses sobre a questão objeto dessa norma, ou de argumentos evidentemente equivocados sobre qual é, tecnicamente falando, o significado da neutralidade definida no texto legal”.

Dito isso, verifica-se que o principal objetivo do princípio da neutralidade do Marco Civil da Internet é garantir a isonomia dos dados dispostos para os usuários, possibilitando a mesma velocidade do tráfego na rede, buscando o livre acesso de conteúdo depositado nos mesmos dispositivos, com a mesma intensidade da informação para ambas as pessoas que acessem aquilo que foi compartilhado e publicado na internet.

 

3. Crimes Cibernéticos

3.1 Conceito

Já disse o célebre físico alemão Albert Einstein: ““Se tornou aparentemente óbvio que nossa tecnologia excedeu nossa humanidade.”

Essa frase foi dita no século XX, entretanto, parece que Einstein adivinharia o que aconteceria no nosso século atual, principalmente após a monopolização da tecnologia e a criação da internet.

Crimes Cibernéticos, também conhecidos como ciber crimes, crimes eletrônicos, crimes informáticos, etc, são aquelas condutas ilegais praticadas por criminosos através de qualquer equipamento eletrônico (computador, celular, notebook, etc.) com o intuito de produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o intuito de permitir a prática da conduta criminosa citada, como previsto no § 1º do Art. 154-A do Código Penal Brasileiro. Isto é, qualquer obtenção, adulteração ou destruição das informações pessoais dos usuários sem o seu livre consentimento, enseja sobre o cometimento do principal propósito desses criminosos.

A conduta de invadir equipamentos eletrônicos não era considerada crime no Direito Penal Brasileiro, fato esse que mudou após a criação da “famosa” Lei Carolina Dieckmann (Lei 12.737/2012), que tipificou os delitos ou crimes cibernéticos, impulsionando alterações no Código Penal Brasileiro, tendo sua previsão legal elencada no Art. 154-A do referido código.

 

3.2 Estatísticas

Foi constatado mediante relatório feito em 2017 pela Norton Cyber Security que o Brasil já é o segundo país com maior índice de casos de crimes cibernéticos no âmbito mundial. A pesquisa realizada aponta que cerca de 62 milhões de brasileiros foram vítimas desses referidos crimes, razão pela qual foi ocasionado um prejuízo inigualável de 22 bilhões de dólares.

Em 2016, estávamos em quarto lugar na lista da pesquisa feita pela mesma empresa, fato esse que modificou no ano seguinte como apontado acima, estando atualmente em segundo lugar, atrás apenas da China.

Segundo uma pesquisa realizada pelo site Oficina da Net, os crimes cibernéticos praticados atualmente com mais frequência são: calúnia, difamação, divulgação de material confidencial, ato obsceno, apologia ao crime, perfil falso, preconceito ou discriminação, pedofilia, crimes virtuais contra mulheres e crimes de ódio.

Importante salientar que de acordo com outra pesquisa realizada pela empresa de segurança digital PSafe, a quantidade de ciber ataques realizados pelo aplicativo de conversa WhatsApp teve um grande aumento no último trimestre de 2017, constituindo 44 milhões de vítimas.

Segundo dispõe a empresa Norton Cyber Security, esses ciber ataques no Brasil aumentaram extensivamente, devido a grande proporção de smartphones que vem sendo adquiridos pelos Brasileiros, pois quanto mais pessoas estiverem conectadas a rede, principalmente em uma grande quantidade de aparelhos tecnológicos, consequentemente, mais vítimas se tornarão em relação aos crimes cibernéticos.

 

3.3 Bem jurídico

De acordo com Vianna e Machado (2013, p.21):

“O bem jurídico protegido no crime propriamente informático não é a inviolabilidade dos programas (softwares), mas, sim, da informação armazenada nos dispositivos informáticos, isto é, dos dados — lembrando-se que os próprios programas são constituídos por dados. Essa inviolabilidade dos dados, por sua vez, é a manifestação do direito à privacidade e intimidade presente no art. 5º, X, da CR. A ciência que tem como objeto de estudo as informações automatizadas (dados) é a Informática. Esta é a ciência que estuda os meios para armazenar, processar e transmitir dados, ou seja, para registrar, manipular e transmitir informações automatizada”.

Sistematizando o pensamento dos autores, fica evidente que a determinação apresentada para os crimes cibernéticos, compõe-se no bem jurídica penalmente tutelado, tratando-se assim da inviolabilidade dos dados dos usuários expostos na rede. Isto é, frisa-se que os programas ora ali expostos na rede também são dados pertencentes do usuário, motivo pelo qual são desígnios de proteção por parte da lei.

 

  • Classificação

Os crimes cibernéticos são conceituados em quatro aspectos: “próprios, impróprios, mistos e mediato ou indireto.”

  1. Crimes cibernéticos próprios são aqueles em que a inviolabilidade das informações automatizadas (dados) é protegida pelo bem jurídico da norma penal. O maior exemplo a ser citado nesse aspecto de crime cibernético é a invasão dos criminosos no aparelho eletrônico das vítimas;
  2. Crimes cibernéticos impróprios são aqueles em que o principal aparato para sua que seja consumada a sua execução é o próprio computador, entretanto, não há que se falar em agravo ao bem jurídico estabelecido dos dados dos usuários. Exemplo: crimes contra a honra, sendo cometidos através do envio de um e-mail;
  3. Crimes cibernéticos mistos são aqueles decorrentes da invasão de aparelhos eletrônicos. “Ganharam status de crimes sui generis, cedida a importância do bem jurídico diverso da inviolabilidade dos dados informáticos dos usuários” (VIANNA; MACHADO, 2013, p. 34). Sua norma tutela o bem jurídico de natureza diversa, além de proteger os dados dos usuários;
  4. Segundo dispõe Vianna e Machado (2013, p. 35) “crimes cibernéticos mediatos ou indiretos são aqueles delito-fim não informático que herdou as características do delito-meio informático, realizado para configurar a própria consumação do ato em si.” Contextualizando a citação, verifica-se que o criminoso cometeu dois crimes distintos, sob a mesma consumação de um único ato em si.

 

    • Consumação e tentativa

Verifica-se que a invasão do criminoso em aparelho eletrônico será consumada com a ocorrência de seu resultado, por ser crime material. Contudo, precisamos relacionar quando os atos serão realizados na forma executória.

De acordo com Fragoso (1985, p. 251, apud VIANNA e MACHADO, 2013, p. 62):

“Tendo em vista o sistema da nossa lei, prevalece na doutrina um critério objetivo de distinção, sendo irrelevante, em princípio, o plano delituoso do agente. Materialmente constitui ato de execução aquele que inicia o ataque ao bem jurídico tutelado; formalmente, tal ato distingue-se pelo início de realização da ação típica prevista pela lei”.

Assim sendo, a consumação do ciber ataque se dá justamente no exato momento de sua invasão ao dispositivo eletrônico da vítima, com a intenção de obter, destruir, alterar os dados ou as informações dos mesmos.

A tentativa de invasão por parte do criminoso nesse dispositivo eletrônico será configurada toas às vezes em que, houver indícios da execução dos comandos da invasão, não seja ocorrido por motivos indiferentes à vontade do respectivo agente.

Nos casos de crimes cibernéticos há também o arrependimento eficaz do agente, previsto no Art. 15 do Código Penal; como também previsão de crime impossível em que o agente não será penalmente punido, mediante disposição do Art. 17 do código citado acima.

 

  1. Lei Carolina Dieckmann (Lei 12.737/2012)

A Lei 12.737/2012 – denominada Lei Carolina Dieckmann, criou o tipo penal “invasão de dispositivo informático”, adicionando no Código Penal os artigos 154-A e 154-B. Os artigos 266 e 298 dos mesmos códigos também tiveram alterações.

O Art. 154-A do Código Penal estabelece:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

  • 1oNa mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
  • 2oAumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
  • 3oSe da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

  • 4oNa hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidas.
  • 5oAumenta-se a pena de um terço à metade se o crime for praticado contra:

I – Presidente da República, governadores e prefeitos;

II – Presidente do Supremo Tribunal Federal;

III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou

IV – Dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.

O bem jurídico tutelado da Lei 12.737/2012 é a inviolabilidades dos dados informáticos, derivado do direito a privacidade e intimidade, ambos previstos pela Constituição Federal Brasileira, em seu Art. 5º, X.

O sujeito ativo é qualquer pessoa que não seja autorizada a acessar os dados do usuário no dispositivo.

O tipo objetivo é instalar e invadir e o subjetivo é que o crime só tem previsão na modalidade dolosa. A consumação será efetivada no momento da leitura, escrita ou execução dos dados das vítimas.

O crime será julgado e processado pelo JECRIM (Juizado Especial Criminal), visto que a pena é inferior a 2 anos, como estabelecido nos Arts. 60 e 61 da Lei 9.099/95.

 

  1. Phishing

5.1Conceito

“Phishing é uma maneira desonesta que Cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails falsos ou direcionando você a websites falsos”.

Em suma, nada mais é do que uma forma utilizada por hackers para, através de uma espécie de engenharia social conseguir furtar informações pessoais de um usuário da rede mundial de computadores, referidas informações são utilizadas para pratica de diversos golpes virtuais, que em sua grande maioria visam a obtenção de lucro as expensas da vítima induzida a erro.

 

5.2 Historicidade

O Termo “PHISHING” é originado de um Neologismo criado a partir do inglês fishing (pesca), uma vez que ambos se assemelham quanto a estratégia utilizada para obtenção do resultado final que nada mais é do que “fisgar o alvo”, no caso, a vítima que tem suas informações subtraídas por cybercriminosos. Não se sabe exatamente quando essa espécie de golpe virtual foi criada, contudo as primeiras notícias sobre este tipo de crime cibernético datam de 2006 quando foi dissipada em toda a rede mundial de computadores uma série de e-mails nos quais: “Basicamente, a história é sempre a mesma: uma pessoa tem uma grande quantia de dinheiro, na casa dos milhões de dólares, mas está em uma situação difícil (geralmente a prisão) e precisa de uma quantia em dinheiro para sair dessa situação. Depois, a fortuna seria dividida com quem ajudou”. O usuário que era “fisgado” fazia a transferência de uma certa quantia de dinheiro para o criminoso que ou desaparecia ou continuava o contato dizendo que precisava de quantidade ainda maior.

 

5.3 Principais tipos

Ao se tratar de “Phishing” existem inúmeras variáveis utilizadas pelos criminosos para conseguirem proceder com a obtenção das informações almejadas, ademais por se tratar de um crime virtual muito praticado atualmente, os Golpistas precisam inventar maneiras alternativas de atingir seu objetivo, utilizando-se das mais variáveis formas de “fisgar” a sua vítima. Segundo o site brasileiro de tecnologia “techtudo”, eis os principais tipos e modalidades do golpe de “Phishing” utilizados atualmente:

  1. Falsos e-mails ou mensagens

Trata-se do tipo de “Phishing” mais comum, sendo que os outros tipos de golpe acabam derivando deste. Basicamente são enviados -mails que parecem ser de empresas autenticas. O usuário recebe uma mensagem solicitando atualização de dados, sob pena de uma multa ou até dizendo que sua conta bancária pode ser desativada.

  1. Phishing do Dropbox

Sendo direcionado aos usuários que possuem conta no Dropbox, uma ferramenta utilizada para guardar arquivos e dados pessoais. Basicamente, os criminosos utilizam-se de endereços digitais falsos, que induzem o usuário a crer que estão lidando diretamente com a plataforma, ao clicar no link disponibilizado, o indivíduo é direcionado para um site falso onde ali, faz o cadastro de suas informações.

  1. Ataque aos arquivos do Google Docs

Atualmente uma das plataformas mais utilizadas por empresas para arquivar os seus dados e documentos. Através da nuvem do Google Drive são armazenadas as informações pertinentes as atividades desenvolvidas pelas empresas, sendo que o objetivo dos Hackers é, através do mesmo modus operandi utilizado no Phishing do Dropbox, obter essas informações cruciais das empresas usuárias.

  1. Peixe grande

Quando os criminosos querem atingir uma empresa específica, preliminarmente eles buscam atingir os funcionários responsáveis pelos cargos de maior importância dentro destas empresas, após terem o acesso aos e-mails destes funcionários, começam a espalhar mensagens para os outros colaboradores que em razão da subordinação encaminham todos os arquivos que lhe são solicitados, fazendo com que as valiosas informações sigilosas da empresa sejam acessadas pelos criminosos, causando danos também de ordem financeira.

  1. Phishing por ransomware

Nesta modalidade de “Phishing”, o usuário através de um link acaba instalando um malware em sua máquina, de maneira que, diferentemente das outras modalidades, essa consiste em sequestrar as informações criptografando todos os arquivos do computador da vítima, sendo que para recuperar o acesso a esses arquivos, é necessário pagar a quantia exigida pelos golpistas.

  1. Pharming

Sendo um ataque também mais direcionado principalmente a empresas, o Pharming atinge o servidor DNS, e se da através de um cavalo de troia em alguma máquina host ou diretamente na própria rede, ao acessar qualquer site, mesmo que confiável, o usuário é redirecionado a páginas da web fraudulentas, sem que tenha o conhecimento a partir daí os hackers conseguem acesso a informações de todos os usuários da rede.

  1. Bitcoins

Devido a supervalorização sofrida ultimamente pelas criptomoedas, os criminosos desenvolveram também uma forma de aplicar golpes visando esta moeda digital em específico, como segue a linha, hackers têm utilizado sites fraudulentos, fazendo-se passar por prestadores de serviços de câmbio ou então encaminham e-mails com ofertas aviltantes de compra destas moedas, porém após fazer o pagamento o usuário nada recebe.

  1. Spear Phishing

Possui a mesma finalidade de adquirir informações das vítimas, contudo é feito em menor escala uma vez que hackers enviam e-mails ou sms para o usuário contendo mensagens personalizadas onde geralmente contém os dados pessoais básicos da vítima, dessa forma o usuário não percebe se tratar de um golpe, haja vista o tratamento pessoal e que passa confiança.

  1. Smishing SMS

O smishing é um tipo de “Phishing” direcionado especificamente para telefones celular, mensagens de texto são encaminhadas, pelos criminosos que se fazem passar por grandes e conhecidas empresas, novamente ali são oferecidos prêmios e ou bonificações que, induzem o usuário a acessar o link ali contido para resgatar seu suposto prêmio, assim tendo de inserir todos os seus dados pessoais em especial os bancários.

  1. Vishing

Acompanhando a modalidade acima, esta espécie de “Phishing” é direcionada para telefones fixos ou móveis, com a produção de uma mensagem automática os criminosos atuam fazendo várias ligações para diversos números, onde se fazem passar por empresas que na grande maioria das vezes são bancos, fazendo com que a vítima transmita seus dados pessoais e bancários.

5.4 Situações envolvendo Phishing

O Centro de Estudos, Resposta e Tratamentos de Incidentes de Segurança no Brasil (CERT.br), mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, atua como um ponto central para notificações de incidentes de segurança em todo o território nacional, provendo a coordenação e o apoio no processo de resposta a incidentes, lançou em 03/05/2018 duas cartilhas contendo dicas de navegação segura para pais e crianças na internet. Nestas cartilhas constam informações que ajudam o usuário comum a identificar e se proteger de uma situação de “Phishing”. De acordo com as recomendações dos especialistas, as principais situações envolvendo Phishing na rede são:

Páginas falsas de comércio eletrônico ou Internet Banking: Nesta hipótese, ao receber um e-mail fraudulento, elencado a uma instituição financeira ou algum site que tenha relação com o comércio eletrônico, o usuário é compelido a acessar determinado link, que levará a vítima a preencher seus dados financeiros e pessoais, automaticamente solicitado por uma página falsa.

Páginas falsas de redes sociais ou de companhias aéreas: Aqui, encontra-se principalmente o meio em se obter passagens aéreas ou enviar determinadas mensagens para as companhias aéreas em que a vítima utiliza. Da mesma forma como foi exposto na situação anterior, o criminoso enviará um e-mail, manuseando a vítima a colocar seus dados financeiros e pessoais em alguma página de web falsa.

Mensagens contendo formulários: Outra hipótese caracterizada pelo envio de e-mail fraudulento. Campos pertencentes a esse link que chegará para a vítima, permitirá que a mesma preencha seus dados financeiros e pessoais, que automaticamente serão destinados aos criminosos cibernéticos.

Mensagens contendo links para códigos maliciosos: Nessa ocasião, a vítima receberá um e-mail do criminoso cibernético, pedindo para baixar um arquivo que deverá ser salvo em seu computador. Ao baixar e abrir o respectivo artigo, um código malicioso será consequentemente instalado.

Solicitação de recadastramento: Nessa última situação, elencado na cartilha pelo Cert.br (Centro de Estudos Resposta e Tratamentos de Incidentes de Segurança no Brasil), a vítima receberá um outro e-mail que nele será pedido para ser fornecido os dados financeiros e pessoais da mesma, como por exemplo, login e senha. Esse devido e-mail, será “enviado tecnicamente” pela empresa ou instituição de ensino que a vítima trabalha ou frequenta, alegando ser “necessário” o recadastramento fraudulento dos dados, iniciando-se mediante uma manutenção no sistema.

 

5.5 Como se proteger

Segundo disposição da empresa americana de informática software de segurança McAfee, os melhores métodos para proteção do Phishing são:

Inspecionar seu site e todos os endereços de e-mails recebidos: Quando a vítima recebe um e-mail do criminoso, o mesmo salientará no envio que trata-se de empresas verdadeiras e que, consequentemente, eles “trabalham” nessas empresas, como por exemplo, bancos ou lojas online. Portanto, a melhor maneira para saber realmente se o e-mail recebido é verdadeiro ou falso, é analisar o endereço do e-mail do remetente. Sendo assim, deve-se suspeitar quando a terminação do endereço não for de domínio da web de uma determinada empresa. Exemplos: ebay.com ou mcafee.com.

Evitar links de e-mail na medida do possível: Segundo a empresa McAfee, o endereço não deve começar por http://, sim por https://. Caso haja necessidade de atualização dos dados pessoais ou financeiros de qualquer pessoa, esse procedimento poderá ser realizado normalmente e manualmente pelo próprio usuário no próprio site da empresa. Sendo assim, salienta-se a empresa de segurança informática que verificar sempre se o URL de cada site, está protegido por criptografia é um ótimo meio para efetivação da proteção do golpe.

Usar soluções antispam: Concluindo os melhores métodos para proteção do Phishing, a empresa McAfee elencou que utilizar soluções antispam ajuda melhorar efetivamente a vedação da tentativa do crime cibernético. Caso o usuário não tenha antispam em seu computador, comprar um software antispam reforçaria extensamente a proteção de seus dados financeiros e pessoais. O principal objetivo desse software é proteger efetivamente o usuário dos golpes de Phishing, excluindo da caixa de entrada, e-mails caracterizados como duvidosos e/ou fraudulentos.

 

Conclusão
Diante dos avanços tecnológicos vistos diariamente, um dos que mais proporcionou novos recursos e funcionalidades foi, sem dúvida, a Internet. A mesma evolução que traz benefícios também abre portas para que pessoas mal-intencionadas usem esses recursos para enganarem pessoas, roubarem informações e dinheiro. Diante do objetivo principal de apresentar sobre a historicidade e o conceito de crimes cibernéticos, focando extensivamente no crime mais corriqueiro causado ultimamente na internet: “Phishing”.
A Internet no mundo teve início em 1969 pela ARPANET, já no Brasil tudo começou em 1988, quando a FAPESP realizou a primeira conexão à rede. De lá para cá os avanços foram constantes e o que em um primeiro momento era disponibilizado apenas para algumas entidades educacionais, agora pode ser encontrado em qualquer lugar do mundo para os fins mais variados possíveis.
É fato que a inclusão digital exerceu e ainda exerce um papel fundamental na expansão do uso da Internet. Sabe-se que os crimes de Internet evoluíram no mesmo ritmo que as demais tecnologias, e hoje não se pode tratar um ataque como sendo um simples vírus de computador, pois existe uma gama imensa de novos tipos de ataques. Os especialistas que desenvolvem meios de combater esses ataques sempre estão um passo atrás dos criminosos, pois esses desenvolvem novas tecnologias diariamente, onde o objetivo é o mesmo, fraudar o usuário. Atualmente, esses conceitos estão sendo revistos pois foi percebido que é necessário prever e combater fraudes antes mesmo que elas possam trazer prejuízos para a sociedade em geral. Verificou-se que as ferramentas de proteção de equipamentos podem evitar diversos tipos de ataques que os usuários não têm conhecimento, mas como visto, isso não é o bastante. A utilização de práticas rotineiras e visões mais críticas perante o uso da Internet são de grande auxílio nesse combate. Muitas dessas questões devem ser tratadas pelos próprios usuários, pois não há outra forma de fazer isso e, para que isso seja eficaz, o ponto de partida é o conhecimento no assunto, seja por educadores nos meios de ensino, seja por programas de incentivo do governo ou até mesmo pelas próprias pesquisas realizadas na Internet para entender quais são os riscos e como evitá-los.
Diante dos resultados obtidos na pesquisa sobre crimes cibernéticos, foi possível atentar que, diante de todos os cuidados que devemos tomar na internet, ainda sim é pouco para os problemas que qualquer navegação simples pode acarretar. Sendo que qualquer que seja a intenção de quem navegue, estamos sujeitos a crimes em um lugar onde acreditamos estar seguros, mesmo estando dentro do conforto de nossas casas.

Acredita-se que a divulgação dos resultados obtidos nesta pesquisa, assim como a cartilha de boas práticas, será de grande valia, auxiliando na conscientização da população. A própria sociedade apontou interesse em se aprofundar no assunto, indicando como principal meio de divulgação as mídias como TV, redes sociais, e-mail, blogs, sites, revistas e jornais. Contudo, como dica para trabalhos futuros sobre o assunto, pode ser criado um aplicativo para dispositivos móveis que divulgue a cartilha de boas práticas de forma dinâmica, interagindo com o usuário, e até mesmo atuando na identificação de fraudes e conteúdo impróprio. Além disso, a comparação dessa pesquisa para usuários domésticos com uma pesquisa em ambiente corporativo também pode ser válida para verificar de que formas estão sendo tratados esses problemas de crimes cibernéticos.

 

REFERÊNCIAS

VIANNA, Túlio; MACHADO, Felipe. Crimes Informáticos. Belo Horizonte: Fórum, 2013.

MARCACINI, Augusto. Aspectos Fundamentais do Marco Civil da Internet: Lei 12.965/2014. São Paulo: Edição do autor, 2016.

GONÇALVES, Victor Hugo Pereira. Marco Civil da Internet Comentado. 1ª ed. São Paulo: Atlas, 2017.

NOGUEIRA, Sandro D’Amato. Crimes de Informática. 2ª ed. Leme: BH, 2009.

GOMES, Helton Simões. In: Brasil tem 116 milhões de pessoas conectadas à internet, diz IBGE. Disponível em https://g1.globo.com/economia/tecnologia/noticia/brasil-tem-116-milhoes-de-pessoas-conectadas-a-internet-diz-ibge.ghtml. Consultado em 21 out 2019.

SILVA, Leonardo Werner. In: Internet foi criada em 1969 com o nome de “Arpanet” nos EUA. Disponível em https://www1.folha.uol.com.br/folha/cotidiano/ult95u34809.shtml. Consultado em 14 out 2019.

Brasil é o segundo país no mundo com maior número de crimes cibernéticos. Disponível em https://www.uol.com.br/tilt/noticias/redacao/2018/02/15/brasil-e-o-segundo-pais-no-mundo-com-maior-numero-de-crimes-ciberneticos.htm. Consultado em 14 out 2019.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Consultado em 18 out 2019.

BRASIL. Decreto-Lei nº 2.848 de 1940. Disponível em http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Consultado em 18 out 2019.

BRASIL. Lei 12.965 de 2014. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Consultado em 18 out 2019.

Como reconhecer e proteger-se de Phishing. Disponível em https://service.mcafee.com/webcenter/portal/oracle/webcenter/page/scopedMD/s55728c97_466d_4ddb_952d_05484ea932c6/Page29.jspx?wc.contextURL=%2Fspaces%2Fcp&locale=pt. Consultado em 29 nov 2019.

Golpes na Internet: Phishing. Disponível em https://cartilha.cert.br/golpes/. Consultado em 29 nov 2019.