Uma fraude virtual é um ato enganoso ou de má fé cometido através da internet, que tem como objetivo enganar ou lesar outra pessoa para ter algum tipo de vantagem, principalmente financeira. Ela está descrita no artigo 171 do Código Penal Brasileiro, que abrange um universo complexo, com diversos crimes e penas relacionadas a crimes virtuais.
Ademais, a fraude virtual pode causar danos irreparáveis ao patrimônio da vítima ou da empresa, sejam eles psicológicos, financeiros e de imagem. Então, muito mais do que uma simples invasão a um sistema, ela pode desestabilizar toda uma organização, sobretudo se ela não tiver um olhar atento a esse tema e um sistema de prevenção.
Vale salientar que o setor do e-commerce cresceu 75% no início da pandemia, segundo relatório da Mastercard SpendingPulse. Esse aumento se deu após as medidas de isolamento impostas pelo período e facilidade em realizar compras ou outros serviços online.
Para complementar esse dado, foi percebido através da pesquisa realizada pela ConQuist Consultoria que 71% dos brasileiros preferem realizar compras online, por conta da experiência. Ou seja, requisitos como agilidade, simplificação, eficiência, humanização e entendimento das necessidades são vistos como fundamentais no atendimento online.
Contudo, não podemos negar que, apesar dos benefícios citados, pessoas que realizam serviços online estão mais propensas a sofrerem algum tipo de fraude virtual. Segundo o Laboratório de cibersegurança da PSafe, mais de 150 milhões de brasileiros já caíram numa fraude virtual através de aplicativos e sites falsos.
E quando nos referimos aos tipos de fraude virtual, os criminosos estão mais especializados.
Os tipos mais comuns de fraude virtual são:
Boletos Falsos: Esse é um tipo comum de falsificação no Brasil atualmente. Através dessa modalidade, o código de barras é manipulado no documento e o dinheiro pago cai automaticamente na conta do golpista.
Roubo de dados em sites falsos: Hoje existem quadrilhas especializadas em criação de sites falsos, idênticos aos originais, para roubar dados confidenciais das pessoas. Após o roubo, é possível realizar várias fraudes.
Compras de linhas telefônicas: Outra fraude virtual comum no Brasil é a contratação de linhas de telefone fixo ou móvel com dados pessoas íntegras. Aliás, com os mesmos dados roubados, é possível realizar empréstimos e entrar em financiamentos.
Aberturas de empresas: Além das fraudes virtuais mencionadas, é possível abrir empresas com o nome de uma pessoa qualquer. Essas vítimas são conhecidas como “laranjas”.
Pedidos de empréstimos e financiamentos: Como já foi dito, é possível não só abrir uma empresa como fazer pedidos de financiamentos e empréstimos com valores altos. Basta utilizar os documentos de pessoas físicas.
O Brasil é um dos países com mais fraudes por ataques virtuais no mundo, segundo o relatório Fraud and Abuse Report da Arkose Labs, empresa norte-americana especializada em segurança da informação. E ao mesmo tempo em que a pandemia do coronavírus possibilitou o aumento do uso de ferramentas digitais, também abriu portas para a propagação de ciberataques.
Segundo o Instituto Datafolha, 57% das organizações brasileiras são vítimas de fraude virtual e ataques cibernéticos, com uma frequência média a alta. Contudo, a pesquisa ainda revela que 32% dessas empresas possuem setores dedicados à cibersegurança e apenas 80% delas acreditam que a segurança digital é importante. Outro dado preocupante é que 39% dos entrevistados não consideram os investimentos em segurança de dados como uma prioridade.
Embora a consciência sobre a gravidade das fraudes virtuais esteja sendo formada, as ações internas são consideradas pequenas, frente às ameaças existentes. De acordo com Estanislau Bassols, Gerente Geral da Mastercard:
“Investir em cibersegurança é importante para trazer confiança para gestão dos negócios e credibilidade diante de clientes e parceiros. […] Hoje, mais do que nunca, os consumidores desejam interações simples, rápidas e seguras com quem se relaciona online. Por isso, cabe às organizações endereçarem este ponto internamente”, diz.
Quando se trata de ataques cibernéticos, o cenário brasileiro é assustador, pois apresenta ano a ano novos números. Para se ter noção, o Brasil é destaque numa lista com outros países que sofrem com ataques automatizados e fraudes manuais.
Só em 2017, o país sofreu uma tentativa de fraude virtual a cada 16 segundos, segundo o relatório do Serasa Experian. Ademais, entre fevereiro de 2019 e 2020, houve um aumento de 308,17% no phishing, um tipo de golpe no qual o usuário é redirecionado para sites falsos por meio de links enviados pelas redes sociais, SMS e Whatsapp.
As principais motivações do fraudador são:
Isso é o que diz o estudo Pesquisa Perfil do Fraudador no Brasil, realizado pela KPMG. Esse levantamento contribui para o desenvolvimento de estratégias que levem à prevenção, detecção e busca por soluções em casos de fraudes.
Com o aumento no uso da tecnologia e conexões digitais, os riscos cibernéticos aumentaram de forma significativa, promovendo também um acesso facilitado do fraudador. Sendo assim, a porcentagem dos crimes são essas:
O setor público é o alvo mais procurado pelos cibercriminosos para fraudes virtuais, é o que diz o estudo da Trend Micro, empresa de tecnologia de segurança virtual. Ora, quanto mais desprotegido for o sistema, mais interessante ele se torna para os criminosos.
Contudo, mesmo com esforços gerados pelas tecnologias de defesa, o Supremo Tribunal de Justiça (STJ) ficou inoperante no final de 2020 por conta de um ataque hacker. Isso ocorreu após um ataque de ransomware, uma espécie de vírus que rouba os dados de uma máquina para manipulá-los e depois pedir um valor de resgate.
Outro caso recente foi o ataque aos sistemas do Supremo Tribunal Federal (STF), que teve o seu próprio site derrubado para evitar que informações sigilosas fossem roubadas.
Sem dúvidas, essas situações causaram transtornos aos operadores do direito e cidadãos, uma vez que envolveu a tentativa de extração de dados públicos.
Em suma, tudo isso revela a necessidade de uma mudança cultural e de pensamento na sociedade brasileira sobre o tema segurança virtual. E essa mudança tão esperada pode começar pela implementação de novas leis na legislação brasileira.
Até pouco tempo, a legislação brasileira não possuía uma lei específica para punir criminosos que cometem fraude virtual. Sendo assim, as condutas que feriam a esfera pessoal e íntima eram julgados com base no Código Penal, que está vigente desde 1940, período no qual não existiam redes sociais e internet.
Contudo, em 2021, foi sancionado o Projeto de Lei nº 4.554/2020, que determina a ampliação de penas para crimes de estelionato e furto derivado do uso de dispositivos eletrônicos como tablets, computadores e celulares. Essa lei altera o Código Penal e cria uma nova pena de reclusão que vai de quatro a oito anos para crimes de furto digital, como violação de senhas e mecanismo de segurança, como também uso de programas invasores.
Ademais, a lei ainda delibera que se houver o roubo de informações sigilosas e segredos comerciais de empresas privadas, pode ser acrescida uma multa juntamente com a pena de reclusão.
Além de estar atento a essas leis, o escritório online pode recorrer à Lei Geral de Proteção de Dados Pessoais ( LGPD) para se alinhar aos padrões de segurança digital e evitar que dados sensíveis da empresa e dos clientes caiam em mãos erradas.
Os 10 principais ataques cibernéticos que acontecem no país são:
O backdoor é uma espécie de cavalo de tróia (Trojan), que permite que o invasor tenha acesso ao sistema infectado, bem como o controle remoto sobre ele. Esse tipo de ataque cibernético possibilita ao cibercriminoso o poder de executar programas, modificar ou deletar arquivos, enviar e-mails em massa e instalar softwares maliciosos.
Vale dizer que o backdoor já pode vir instalado num app ou desenvolvedores de sistema. Contudo, nem sempre eles são nocivos, uma vez que podem ser utilizados por programadores para manutenções ou atualizações.
Mas, quando acessados por usuários mal intencionados, eles podem ser perigosos para a segurança de dados do seu sistema. Ou seja, mais uma preocupação para o escritório de advocacia virtual que não deseja cair numa fraude virtual.
Já o phishing é um método que se aproveita da ingenuidade e confiança de um usuário para roubar os seus dados. Sendo assim, o cibercriminoso finge ser uma pessoa ou instituição confiável para enganar essa pessoa.
Ademais, esse tipo de fraude virtual pode acontecer de várias maneiras, seja em links falsos enviados por e-mail ou conversas através de mensagens instantâneas. Além disso, o objetivo é roubar informações confidenciais.
Por exemplo, o seu cliente pode receber um e-mail, pedindo para que ele insira informações sigilosas, como dados pessoais e senha de banco. Nesse caso, é muito importante que você oriente o seu cliente a não abrir nenhum e-mail suspeito ou clicar num link estranho, supostamente enviado pelo seu escritório.
Na prática do spoofing, os criminosos costumam falsificar endereços de DNS, de IP e de e-mails. No geral, eles simulam fontes de IP, editar o cabeçalho do e-mail para que assim ele pareça legítimo e modificam o DNS para que o usuário seja redirecionado a outro endereço de IP.
Embora o Phishing e o Spoofing sejam parecidos, eles são tecnicamente diferentes. Enquanto o primeiro é um recurso de engenharia social e possui o objetivo de roubar informações confidenciais do usuário, o segundo tem como objetivo roubar a identidade da pessoa e agir como se fosse outro indivíduo.
Contudo, os dois podem atuar juntos. Por exemplo, o criminoso pode enviar um link por e-mail, com identidade falsa, e levar o usuário da internet a um site de banco falso. Ali, a pessoa irá digitar as informações financeiras e ter os dados roubados.
Esse ataque é usado por hackers para forçar o servidor a transmitir páginas que ele não tem acesso. Em outras palavras, o usuário só pode acessar links dispostos no site, mas se a URL for modificada manualmente e testada várias vezes, pode-se chegar a um endereço restrito.
Ataque DoS (Denial Of Service)
O ataque DoS, também conhecido como negação de serviço, deixa o servidor ou um computador sobrecarregado. Por esse motivo, ele pode ficar indisponível, atrapalhando as atividades do local que dependam da máquina.
Já no ataque DoS, ou ataque de negação de serviço distribuído, há um computador mestre dominando outras máquinas simultaneamente. Essa é uma técnica mais avançada que o ataque anterior.
Aqui o fraudador terá acesso ao hardware da máquina e poderá influenciar diretamente a memória RAM. O recurso é bastante utilizado por hackers que desejam acessar essa memória para fins criminosos.
No eavesdropping, o hacker irá utilizar sistemas de e-mail distintos, serviços de internet e de telefonia para roubar os dados das pessoas e usá-los indevidamente. O que o criminoso faz é bisbilhotar as informações do sistema, sem necessariamente modificar as informações.
No ataque chamado de decoy, o hacker simula um programa, no qual o usuário irá depositar o seu login e senha. Posteriormente, essas informações podem ser usadas pelo criminoso.
Por fim, o shoulder surfing significa”espiar sobre os ombros”e se refere ao ato de olhar a tela enquanto o usuário acessa informações sigilosas.