Escolar Documentos
Profissional Documentos
Cultura Documentos
CRIMES CIBERNÉTICOS:
OS PRINCIPAIS RISCOS E TÉCNICAS BÁSICAS DE
PREVENÇÃO
POLÍCIA CIVIL DE MINAS GERAIS
ACADEMIA DE POLÍCIA CIVIL DE MINAS GERAIS
CRIMES CIBERNÉTICOS:
OS PRINCIPAIS RISCOS E TÉCNICAS BÁSICAS DE PREVENÇÃO
Coordenação Geral
Yukari Miyata
Subcoordenação Geral
Marcelo Carvalho Ferreira
Coordenação Didático-Pedagógica
Rita Rosa Nobre Mizerani
Conteudistas:
Guilherme da Costa Oliveira Santos
Larissa Dias Paranhos
Samuel Passos Moreira
Produção do Material:
Polícia Civil de Minas Gerais
Revisão e Edição:
Divisão Psicopedagógica – Academia de Polícia Civil de Minas Gerais
Reprodução Proibida
SUMÁRIO
6 REFERÊNCIAS .................................................................................................... 49
1 A SOCIEDADE E O USO DA INTERNET
Além desses riscos, outro grande problema que pode ser apontado em relação
aos usuários da internet é a falsa crença de que estão seguros e de que nenhum
criminoso conseguirá identificar o seu dispositivo (notebook, smartphone, tablet, TV
ou videogame) na rede, em meio a inúmeros outros equipamentos. É exatamente
esse sentimento que atrai os atacantes, uma vez que os usuários acabam não
adotando as medidas de prevenção essenciais para garantir uma navegação segura.
Conhecer todos esses riscos aos quais podemos estar expostos e saber como
nos prevenir é de suma importância para não sermos vítimas e, para isso, neste curso,
além de medidas de segurança básicas, serão apresentados os principais crimes
virtuais (cuja prática cresce de forma assustadora e exponencial), buscando-se
esclarecer as formas de identificar cada um dos golpes e as medidas preventivas que
devem ser adotadas, incluindo técnicas simples para a coleta de informações que
podem auxiliar a Polícia Civil do Estado de Minas Gerais (PCMG), ou outro órgão da
Segurança Pública, a identificar e prender os criminosos responsáveis.
Antes de iniciar a análise desses golpes, para que você possa compreender
como ocorrem as investigações criminais no mundo virtual e contribuir para identificar
os golpistas, criminosos, invasores, atacantes e demais pessoas mal-intencionadas,
é de suma importância conhecer alguns conceitos básicos que estão diretamente
relacionados com os usuários da internet e suas respectivas ações, sobretudo no
tocante à troca de informações.
5
2 CONCEITOS IMPORTANTES PARA A COLETA DE PROVAS NA WEB
1º. Terminal
De acordo com a Lei do Marco Civil (art. 5º, II), terminal é
o computador ou qualquer dispositivo que se conecte à
Internet (ex.: smartphone, tablet, smart Tv, servidor). Então,
para que todos se familiarizem com essa expressão,
neste curso, vamos sempre utilizar TERMINAL para
indicar o computador, o celular, o tablet, etc.
4º. Internet
< Em termos técnicos, a internet é o sistema formado pelo conjunto de protocolos
lógicos (como o IPV4 e o IPV6), estruturado em escala mundial, para uso público e
irrestrito, com o fim de possibilitar a comunicação de dados entre terminais por meio
de diferentes redes (LMC, art. 5º, I).
7
7º. Registro de conexão
Para cada conexão à internet que você faz, é criado um registro, composto pelo IP
que você usou [através do seu terminal], a porta lógica (se o seu IP era IPV4), a data, o
horário do início e término do seu acesso e o fuso horário. Esse conjunto de
informações é o chamado registro de conexão, log de conexão ou log de acesso.
O registo de conexão, portanto, identifica o exato momento em que você (ou outra
pessoa com a sua senha) acessou a internet.
9
3 OS PRINCIPAIS CRIMES PRATICADOS NO AMBIENTE VIRTUAL
10
Fique sabendo:
O QUE É ENGENHARIA SOCIAL? É uma técnica empregada por golpistas para induzir usuários
desavisados a repassarem dados confidenciais (senhas e dados de cartões de crédito), infectar
seus terminais com malwares [conceito no capítulo 4] ou abrir links para sites infectados.
Ao contrário do que muitos pensam, não é necessário qualquer equipamento de tecnologia
avançada para realizar essa atividade. Na verdade, a engenharia social é simplesmente uma
manipulação psicológica do usuário, de modo a convencê-lo a fazer o que o criminoso quer,
burlando procedimentos de segurança básicos. Não se restringe ao meio virtual.
Um exemplo clássico de ataque de engenharia social ocorre quando criminosos, passando-se por
funcionários de uma instituição bancária, ligam para clientes informando que o sistema do banco
está sendo atualizado e, por isso, é preciso que eles acessem o link que foi enviado por torpedo
SMS (mensagem de texto) para o celular e digitem os dados da sua conta e senha. Nenhum banco
realiza esse procedimento. Na verdade, os que os golpistas fazem é convencer os clientes daquele
banco a fornecerem os dados sigilosos das suas respectivas contas para, depois, aplicarem outros
golpes, como, por exemplo, acessar a própria conta e desviar o dinheiro ali disponível para
outras contas ou, até mesmo, contratar empréstimos.
Para fazer a análise dos principais crimes virtuais, vamos iniciar com a
pornografia envolvendo crianças e adolescentes, que, sem dúvida, está entre as mais
graves formas de violência. Diariamente, somos bombardeados com diversas notícias
sobre a pornografia infantojuvenil; inúmeros criminosos (muitas vezes, pessoas que
antes não levantavam qualquer suspeita) são presos por delitos dessa natureza e,
infelizmente, as vítimas podem ser nossos filhos, filhas, sobrinhos, sobrinhas,
coleguinhas de escola e outras crianças e adolescentes do nosso convívio.
A pornografia infantojuvenil é crime previsto nos arts. 240 a 241-E do Estatuto
da Criança e do Adolescente (ECA) – Lei nº 8.069, de 13 de julho de 1990 – e em sua
prática incluem-se todas as pessoas que apresentam,
produzem, fotografam, filmam, vendem, oferecem,
trocam, divulgam ou publicam, adquirem, possuem ou
armazenam por qualquer meio de comunicação
(inclusive a internet) esse tipo de conteúdo, ou seja,
fotografias, vídeos e outros registros que contêm
cenas de sexo explícito ou pornográfica1 envolvendo
meninos e meninas. Também é crime aliciar, assediar,
1A expressão “cena de sexo explícito ou pornográfica” compreende qualquer situação que envolva
criança ou adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição dos órgãos
genitais de uma criança ou adolescente para fins primordialmente sexuais (ECA, art. 241-E).
11
instigar ou constranger, por qualquer meio de comunicação, criança, para com ela
praticar ato libidinoso. Por fim, adulterar ou fazer montagens em fotografia, vídeo
ou outra forma de representação visual para simular participação de criança ou
adolescente em cena de sexo explícito ou pornográfica caracteriza pornografia.
12
Para a prática desses crimes, é muito comum os criminosos solicitarem às
crianças e adolescentes que ativem suas webcams ou câmeras do celular para que
suas imagens possam ser capturadas. Em outras situações, os criminosos, através
de conversas com os menores, conseguem obter informações
particulares sobre suas famílias (endereço, nome dos pais e onde
trabalham, se possuem irmãos, a escola em que estudam); enviam
presentes; e, depois, sob ameaças de matá-los ou causar-lhes algum
mal grave (ou à família), obrigam o menino ou menina a enviar conteúdo pornográfico.
Há, ainda, casos em que os criminosos marcam encontros pessoais com as
crianças e adolescentes, seja depois da escola, no cinema ou parque. Esses
encontros, infelizmente, são uma oportunidade para a prática de abusos sexuais e,
até mesmo, sequestros.
Para evitar novas vítimas da pornografia infantojuvenil, é muito importante que
os pais e responsáveis estejam atentos às atividades e atitudes diárias dos menores
de idade. Além de realizar denúncias aos órgãos e instituições competentes – como
a PCMG –, é essencial orientar as crianças e adolescentes para que possam desfrutar
das facilidades e oportunidades do mundo virtual com responsabilidade e sabendo
como proceder diante de todos os possíveis riscos de contato com pessoas mal-
intencionadas e conteúdo impróprio. Mantenham sempre um DIÁLOGO
ABERTO. “Crianças devem acessar serviços, jogos e redes sociais e assistir a vídeos
adequados à sua idade. Devem ainda ser
monitoradas pelos pais ou responsáveis”
(MPMG, 2019, p. 8). É possível criar filtros nos
celulares, tablets e jogos online. Há várias formas
de monitorar ou impedir o acesso a conteúdos
impróprios para crianças e adolescentes.
De imediato, 1) Verifique todos os canais por meio dos quais a criança ou adolescente teve
contato com o possível criminoso e não apague nenhuma das conversas e conteúdos (vídeos ou
fotos) compartilhados. 2) Se o diálogo se deu em uma rede social, por exemplo, copie a URL 2 (link)
2
URL significa Uniform Resource Locator (Localizador Padrão de Recursos) e, neste curso, será
utilizada apenas para indicar o endereço ou link de um site, como, por exemplo,
www.policiacivil.mg.gov.br.
13
do perfil e o nome do usuário (veja como fazer mais adiante). 3) Tire cópia de todas as conversas
e demais conteúdos; salve em um CD ou pendrive, se for preciso. 4) Anote o(s) dia(s), horário(s) e
a cidade(s)/UF(s) em que o menor estava durante as conversas com o suposto criminoso. 5) De
posse dessas informações e, se possível, acompanhado do menor de idade, dirija-se à Delegacia
mais próxima e registre um boletim de ocorrência.
COMO SALVAR A URL (ou LINK) DE UM PERFIL? Uma das primeiras medidas a ser adotada
quando ocorre a prática de um crime em uma rede social é coletar os dados do titular da conta ou
perfil. E isso a própria vítima pode fazer. Tratando-se de crime praticado no Facebook ou
Instagram, por exemplo, deve-se coletar de imediato a URL (ou link) da conta a ser investigada, isto
é, o seu endereço web completo.
Quando o acesso ao Facebook é feito através de um computador, a URL pode ser identificada
na barra de endereços do navegador, conforme imagem abaixo:
Agora, basta
armazenar uma cópia
do link, por exemplo,
no e-mail, enviá-lo
para alguém pelo
14
Esses dados também podem ser coletados no aplicativo do celular:
Agora, basta
armazenar uma
Esse é um procedimento deve ser usado em relação a quaisquer crimes praticados nessas
redes sociais. É muito simples e representa uma ajuda muito importante para a investigação criminal.
NÃO SE ESQUEÇA!
15
3.2 Clonagem do WhatsApp
Fique sabendo:
O QUE É NAVEGADOR? Navegador (ou Browser) é um programa criado para permitir navegar
pela internet. É o que torna possível o acesso a sites, como um caminho que leva até o que você
procura na rede. Exemplos de navegadores são o Internet Explorer, o Google Chrome e o Mozila
Firefox (WEBSHARE, 2020).
16
Em seguida, o golpista, passando-se por um
funcionário da OLX, entra em contato com a vítima e
solicita a confirmação dos seus dados pessoais (nome
completo, CPF, RG e endereço), bem como o fornecimento
do código de 6 dígitos, informando, por exemplo, que o
código é necessário para ativar (validar) o anúncio ou
informa que houve algum problema no próprio anúncio
e, para resolver, é preciso fornecer o código. Sabendo,
agora, os números do código verificador, o criminoso digita-o no WhatsApp instalado
em seu celular e consegue desviar a conta da vítima para o seu aparelho, concluindo
o chamado golpe da “clonagem do WhatsApp”. Neste mesmo momento, a vítima perde
o seu acesso ao aplicativo.
Com esse acesso fraudulento, o criminoso passa para a execução da segunda
parte do golpe: a obtenção da vantagem financeira. Em resumo, o golpista, passando-
se pela vítima, conversa com parentes, esposa(o), namorado(a), amigos, clientes e
colegas de trabalhos da vítima e afirma que está com dificuldades para pagar algum
boleto ou acessar a sua conta bancária, ou teve o limite diário de transações
extrapolado, ou problemas no cartão de crédito, solicitando que aquela pessoa (a
nova vítima) realize a transação, com a garantia de que fará o reembolso no dia
seguinte.
A vítima, acreditando estar conversando com o(a) amigo(a), filho(a), pai, mãe,
esposo(a), paga o boleto ou realiza a transferência para a conta do golpista (ou de um
“laranja”), consumando-se mais um crime.
A constatação de que houve um golpe, normalmente, somente ocorre quando
a primeira vítima (o verdadeiro titular do WhatsApp) consegue contato com as demais.
Infelizmente, ações como essa têm sido muito recorrentes e, para identificá-las
e evitar a sua prática, algumas medidas precisam ser
adotadas:
1. Mantenha ativa a “Confirmação em duas etapas” da sua
conta do WhatsApp. Se ainda não ativou, pare um pouquinho,
e faça:
17
FAÇA VOCÊ MESMO!
COMO ATIVAR A ‘CONFIRMAÇÃO EM DUAS ETAPAS’? Para ativar esse recurso no WhatsApp
abra: Configurações (Android) / Ajustes (iOS) > Conta > Confirmação em duas etapas >
ATIVAR.
Ao ativar esse recurso, você pode inserir o seu endereço de e-mail. Caso você esqueça o seu
PIN de seis dígitos, o WhatsApp enviará um link a esse e-mail para desativar a ‘Confirmação em
duas etapas’. Isso também ajudará você a proteger sua conta e suas informações.
2. Jamais forneça para qualquer pessoa o código verificador que você recebe via SMS
em seu celular. No texto da mensagem, é informado que o código se refere ao
WhatsApp e o site da OLX não exige código algum para ativar anúncios.
3. Desconfie de pessoas que peçam para você fazer pagamentos e/ou transferências
bancárias em caráter de urgência.
4. Confirme se a pessoa com quem você está conversando e está te fazendo esse pedido
é realmente quem diz ser. Ligue; faça perguntas que somente ela saberá responder;
confirme a identidade dela.
Esse golpe tem como alvo quaisquer pessoas que anunciam a venda de algum
produto em plataformas digitais, como, por exemplo, o site do Mercado Livre.
18
Resumidamente, o crime ocorre da seguinte maneira: o estelionatário identifica
um produto do interesse dele e, no espaço do site destinado às ‘Perguntas e
Respostas’, sob o pretexto de buscar mais detalhes para uma possível negociação,
solicita telefone e e-mail do vendedor (a vítima), que, desinformado das regras de
privacidade da plataforma ou ignorando-as, fornece as informações solicitadas.
A vítima, então, recebe um falso e-mail do Mercado
Livre informando que a mercadoria foi vendida e deve ser
enviada para o endereço indicado. As mensagens contêm
frases como “Seu produto foi vendido” ou “Você
vendeu!”, como na imagem:
É comum que no e-mail falso haja instruções para
pausar o anúncio e enviar o comprovante de postagem da
Endereço
para onde
deve ser
20
CAÍ NO GOLPE. O QUE EU FAÇO?!
1) Não apague os e-mails recebidos. 2) Tire cópia integral desses e-mails, das mensagens
trocadas em aplicativos de mensagens (se houver), do anúncio publicado contendo a mensagem do
suposto criminoso pedindo o seu telefone e e-mail e do comprovante de postagem da mercadoria.
3) Anote o(s) dia(s), horário(s) e a cidade(s)/UF(s) em que você estava durante as conversas com
o suposto criminoso. 4) Relacione os telefones utilizados pelo possível criminoso para fazer contato
com você. 5) Dirija-se à Delegacia de Polícia mais próxima, levando todos esses documentos, e
registre um boletim de ocorrência.
Outra prática criminosa que tem feito inúmeras vítimas é o chamado golpe do
anúncio duplicado ou golpe do intermediador de vendas, que ocorre em sites de
compra e venda de produtos e serviços, como, por exemplo, a OLX, e, em regra, tem
como alvo vendedores de carros e motos.
Aqui, o estelionatário, para executar o golpe, coleta o telefone da vítima (o
vendedor) no próprio anúncio do veículo divulgado e entra em contato,
demonstrando o seu interesse em adquiri-lo. Após dar início à negociação, o criminoso
solicita ao vendedor que retire o anúncio do site3 e, de posse das informações do carro
ou moto (dados técnicos, estado de conservação, fotos, localização, etc.), cria, de
forma ardilosa e sem o conhecimento do vendedor, um novo anúncio, que, desta
vez, possui um valor inferior àquele divulgado no anúncio original, o que acaba
despertando o interesse de potenciais compradores.
O golpista informa ao vendedor (primeira vítima)
possibilidade de ver o carro (ou moto) antes de fechar o negócio, mas lhe informa
que a pessoa que comparecerá ao encontro é um terceiro (na verdade, o vendedor –
3 Algumas vítimas já relataram que os golpistas não pediram que seus anúncios originais fossem
retirados da plataforma e, mesmo assim, criaram o anúncio fraudulento.
21
primeira vítima) e que deve manter silêncio quanto aos valores acordados,
22
FUI VÍTIMA. O QUE FAZER?!
Não apague nenhuma das conversas realizadas com o possível criminoso (WhatsApp, e-mail,
Facebook...).
Se você for o vendedor, 1) Tire cópia de todas as conversas com o possível golpista. 2) Anote
o(s) dia(s), horário(s) e a cidade(s)/UF(s) em que você estava durante as conversas com o suposto
criminoso. 3) Relacione todos os números de telefones utilizados pelo suspeito para se comunicar
com você. 4) Dirija-se à Delegacia de Polícia mais próxima, levando todos esses documentos, e
registre um boletim de ocorrência.
Se você for o comprador, 1) Verifique se o anúncio do veículo ainda está ativo no site da OLX e,
em caso positivo, tire uma cópia da página e anote a URL do anúncio (www.olx.com.br/... [e todo o
restante de caracteres]). 2) Tire cópia de todas as conversas com o possível golpista, bem como do
comprovante de pagamento realizado (depósito ou transferência). 3) Anote o(s) dia(s), horário(s) e
a cidade(s)/UF(s) em que você estava durante as conversas com o suposto criminoso. 4) Anote os
dados bancários da conta indicada pelo suspeito para fazer o pagamento. 5) Relacione todos os
números de telefones utilizados por ele para se comunicar com você. 6) Dirija-se à Delegacia de
Polícia mais próxima, levando todos esses documentos, e registre um boletim de ocorrência.
4Com essas informações, criminosos conseguem realizam transações, burlar bloqueios de segurança,
desbloquear cartões de crédito e realizar a confirmação de dados pessoais da vítima.
24
COMO PESQUISAR UM DOMÍNIO? Para fazer a pesquisa, acesse o site www.registro.br e Clique
em Tecnologia > Ferramentas > Serviço de diretório Whois > Digite o domínio > Clique na
lupa para pesquisar.
Na consulta,
aparecem o nome
da empresa, o
De imediato, 1) Verifique se o site ou anúncio ainda está ativo e, em caso positivo, copie a URL
(www...). 2) Tire cópia da página (print), bem como do boleto bancário ou dados do pagamento (se
usado um cartão de crédito) ou conta bancária (se o pagamento se deu por depósito ou
transferência) e do comprovante de pagamento. 3) De posse dessas informações, dirija-se à
Delegacia de Polícia mais próxima e registre um boletim de ocorrência.
IMPORTANTE! Se o pagamento foi feito com cartão de crédito, entre em contato com a
empresa responsável pela Bandeira do seu cartão e verifique a possibilidade de bloquear o
pagamento. Por outro lado, se o pagamento foi realizado através de depósito ou
transferência, verifique junto ao gerente da sua conta se é possível bloquear o valor na
conta beneficiária (do criminoso ou de um “laranja”). Essas medidas podem contribuir para
identificar o golpista responsável e recuperar o valor perdido.
O golpe do boleto falso é outro crime cuja prática vem aumentando no País e
ocorre, sobretudo, mediante o envio por e-mails. Mas, considerando o crescimento do
comércio eletrônico, é bastante comum, também, a prática desse golpe através de
redes sociais, WhatsApp, sites falsos, etc. Vários são os truques usados para enganar a
vítima e induzi-la a pagar o documento
fraudulento (ALVES, 2019).
No Estado de Minas Gerais, grande parte
dos crimes envolvendo boletos falsos ocorre da
seguinte forma: a vítima recebe, em seu e-mail,
5 O Procon é responsável pela coordenação da Política Estadual das Relações de Consumo e mantém
uma lista de sites cujo acesso deve ser evitado, devido à quantidade de reclamações de consumidores
lesados em suas compras. Muitos desses sites enquadram-se como como páginas falsas.
26
um boleto verdadeiro de determinada compra feita ou serviço
contratado. Antes de efetuar o pagamento, a vítima recebe novo e-
mail contendo outro boleto, agora, com valor inferior. No texto do
e-mail, informa-se que houve um erro no cálculo de algum
imposto ou que o cliente ganhou um desconto.
O cliente, acreditando ter realmente recebido o boleto da empresa responsável
pelo produto ou serviço, realiza o pagamento. Algum tempo depois, ele começa a
receber cobranças da empresa, argumentando não ter sido o boleto quitado. Sem
entender o que está ocorrendo, a vítima informa que fez o pagamento e envia o
comprovante para a empresa, momento em que é constatada a fraude no boleto.
Nestes casos, golpistas, usando técnicas criminosas, identificam os hábitos de
pessoas e, quando surge a possibilidade, aplicam esse tipo de golpe. Em alguns
casos, clientes de uma mesma empresa recebem boletos falsos.
Esses boletos falsos possuem o formato bastante semelhante ao dos
boletos originais, mas apresentam algumas pequenas diferenças, que apontam
terem sido os dados manipulados, principalmente, em relação ao código de barras,
no qual constam os dados da conta bancária que receberá o valor a ser pago. Com a
adulteração do código de barras, os fraudadores conseguem fazer com que o dinheiro
da vítima vá para contas bancárias dos próprios golpistas ou de “laranjas”.
Para evitar ser vítima desses crimes, é de suma importância adotar algumas
medidas de segurança, dentre as quais estão:
1. Observe se os seus dados (nome, CPF, endereço) constantes no boleto estão
corretos e se há algum erro de português ou formatação.
2. Verifique se os últimos números do código de barras correspondem ao valor do
documento. Se forem diferentes, há uma grande chance de se tratar de uma fraude.
3. Confira se os 3 primeiros números do código de barras correspondem ao banco
cuja logomarca aparece no boleto.
27
Fonte: ALVES, Paulo. Golpe do boleto falso: sete dicas para não cair em armadilhas.
1) Não apague o e-mail possivelmente fraudulento recebido. 2) Imprima uma cópia integral
desse e-mail, bem como do boleto e do comprovante de pagamento. 3) Dirija-se à Delegacia de
Polícia mais próxima e, levando todos esses documentos, registre um boletim de ocorrência.
28
3.7 Golpe do falso leilão
6 Em muitos casos, quando as vítimas questionam o porquê de a conta bancária ser de uma pessoa
física, o falsário responde que a conta pertence ao próprio leiloeiro ou a algum funcionário da empresa.
Verifique essa informação.
29
falso, foi acrescida a palavra ‘leilao’ ao nome e o domínio utilizado foi o ‘.com’ (e não
‘.com.br’), indicando que o site está hospedado em servidor situado fora do Brasil.
Estes detalhes são bastante simples, mas, se não identificados, podem levar
inúmeros clientes a caírem no golpe do falso leilão.
Geralmente (não é uma regra), sites falsos de leilão têm domínios terminados
1) Verifique se o site ainda está ativo e copie a URL (www...). 2) Tire cópia da página do site,
bem como do comprovante de pagamento e das conversas realizadas via aplicativo WhatsApp (ou
outro meio) com o possível falsário. 3) Anote o(s) dia(s), horário(s) e a cidade(s)/UF(s) em que você
estava durante as conversas com o suposto criminoso. 4) Relacione os números de telefones com
os quais manteve contato com o suspeito. 5) De posse de todas essas informações e documentos,
dirija-se à Delegacia de Polícia mais próxima e registre um boletim de ocorrência.
forma com que não tenha mais acesso. Se esses usuários não
tiverem ‘backups’ (cópias) dos arquivos, acabam perdendo todas
as suas informações.
Na maioria das vezes, a invasão ocorre durante o período
da noite ou madrugada e, na manhã, quando o usuário tenta
1) Não apague os e-mails ou mensagens recebidas. 2) Imprima uma cópia integral desses e-
mails e/ou mensagens. 3) Reúna outros documentos e provas que possam identificar os golpistas,
incluindo possíveis acessos não autorizados ao seu sistema. 4) Dirija-se à Delegacia mais próxima,
levando todos esses documentos, e registre um boletim de ocorrência.
32
quantias em dinheiro para o golpista, através da conta bancária indicada (do próprio
33
1) Não apague nenhuma das conversas realizadas (WhatsApp, e-mail, Facebook...) com o
possível criminoso. 2) Tire cópia de todas essas conversas e comprovantes de depósitos ou
transferências bancárias realizadas. 3) Anote o(s) dia(s), horário(s) e a cidade(s)/UF(s) em que você
estava durante as conversas com o criminoso. 4) Relacione todos os números de telefones
utilizados pelo suspeito para se comunicar com você. 5) Anote os dados das contas bancárias para
as quais enviou dinheiro (nome do titular, CPF, banco, agência e conta). 6) Dirija-se à Delegacia de
Polícia mais próxima, levando todos esses documentos, e registre um boletim de ocorrência.
3.10 Sextorsão
Assim que determinada foto é compartilhada pela vítima, ela é ameaçada com
o fim de que envie mais fotos ou, até mesmo, para que participe de um encontro sexual
34
real (ao vivo), em troca de não terem suas fotos divulgadas para familiares, amigos,
colegas de escola ou trabalho. As intimidações podem extrapolar a publicação do
conteúdo íntimo, abarcando ameaças de matar a
família da vítima ou outras pessoas conhecidas,
inclusive o companheiro(a) atual. “Algumas vezes,
os golpistas não têm qualquer conteúdo comprometedor
da vítima em mãos, mas utilizam mecanismos bastante
convincentes para que ela realmente acredite no golpe”
(COELHO, 2018).
Com o fácil acesso à internet e, principalmente, às redes sociais, através de
simples smartphones, ficou mais fácil a troca de fotos e vídeos íntimos e, em virtude
disso, crianças e adolescentes vêm sendo vítimas desse crime, o que
exige cuidado e atenção redobrados por parte dos pais e
responsáveis. Muitas vezes, tal como relatado quando tratamos da
pornografia infantojuvenil, o ciclo de abusos pode se prolongar
por muitos anos e a criança ou adolescente, com medo de as ameaças se
concretizarem, acabam cedendo aos pedidos dos criminosos e demoram a pedir
ajuda dos próprios pais e da Polícia.
A sextorsão é uma forma grave de violência, que, infelizmente, pode levar a
consequências extremas, como o suicídio.
Para evitar ser vítima da sextorsão, atente-se para as seguintes dicas:
1. Evite compartilhar suas fotos e vídeos íntimos com quaisquer pessoas.
Infelizmente, há vários métodos e técnicas para invadir os terminais e obter seus
conteúdos íntimos.
2. Evite manter esse tipo de conteúdo no seu terminal ou em nuvem. Se o seu celular for
roubado, o ladrão pode ter acesso a todo o conteúdo. “Além disso, caso o usuário
salve automaticamente todas as fotos recebidas na nuvem e tenha sua senha
roubada, essas imagens também podem ser expostas” (COELHO, 2018).
3. Desconfie de desconhecidos que enviam convites de amizade sem qualquer
razão aparente.
4. Evite fazer chamadas de vídeo com pessoas que não conhece; elas podem se exibir e
exigir que você faça o mesmo. Suas imagens podem ser capturadas e o criminoso
ameaçar de divulgá-las para amigos e parentes em troca de dinheiro. Ele pode,
inclusive, fazer montagens.
5. Tenha sempre um antivírus instalado e atualizado em seu terminal e, de preferência,
mantenha a webcam coberta e desligada enquanto não estiver sendo utilizada.
35
1) Não apague nenhuma das conversas realizadas com o possível criminoso. 2) Se a conversa
tiver ocorrido no Facebook, Messenger, Instagram, Direct ou outra rede social, copie o nome e o link
do perfil (já ensinamos como fazer). 3) Tire cópia de todas as conversas, dos comprovantes de
depósitos ou transferências bancárias acaso realizadas. 4) Anote o(s) dia(s), horário(s) e a
cidade(s)/UF(s) que você estava durante as conversas com o suposto criminoso. 5) Relacione todos
os números de telefones utilizados pelo suspeito para se comunicar com você. 6) Anote os dados
das contas bancárias para as quais enviou dinheiro (se for o caso), incluindo nome do titular, CPF,
banco, agência e conta. 7) Dirija-se à Delegacia de Polícia mais próxima, levando todos esses
documentos, e registre um boletim de ocorrência.
36
4 OUTROS RISCOS NO USO DA INTERNET
A. Exploração de vulnerabilidades
É quando o atacante, aproveitando-se de uma vulnerabilidade (má configuração de
programas, serviços ou equipamentos de rede, por exemplo), tenta executar ações
maliciosas, como invadir o sistema ou acessar informações confidenciais.
D. Interceptação de tráfego
É a técnica de monitorar os dados que
trafegam em redes de computadores,
utilizando, para tanto, programas chamados de sniffers (OLIVEIRA, 2003). O objetivo,
por exemplo, pode ser roubar senhas ou números de cartões de crédito.
38
4.2 Códigos Maliciosos (malwares)
2017).
Dentre os tipos de códigos maliciosos existentes, podem-se citar os seguintes:
A. Vírus
É um programa (ou parte de um programa) com
instruções “maldosas” para alterar dados ou sistemas,
destruir, alterar arquivos e programas, ou executar
funções inesperadas em um sistema computacional ou
em dispositivo informatizado (JESUS; MILAGRE, 2016).
Para ser ativado (e realizar alguma ação), não basta que
você tenha o vírus no terminal; é preciso executar o programa ou arquivo que o
contém. Um exemplo de vírus são arquivos infectados enviados por e-mails, que, ao
serem abertos, infectam outros arquivos e programas e envia cópias de si mesmo
para os e-mails encontrados na lista de contatos (CERT.br, 2017).
B. Worm
É um tipo de código malicioso mais perigoso que um vírus comum, pois ele se
propaga rapidamente e isso ocorre sem controle da vítima, isto é, não exige que a
vítima abra o arquivo infectado ou execute o programa. Assim que o worm contamina
um terminal, o programa malicioso cria cópias de si mesmo em vários locais do
sistema e alastra-se para outros terminais, por meio da internet, de mensagens,
conexões locais, dispositivos USB ou arquivos. Em geral, o objetivo do criminoso é
roubar dados do usuário ou de empresas e podem ser transmitidos através de
arquivos corrompidos ao acessar uma página suspeita (STIVANI, 2018).
C. Bot e botnet
Bot é um programa com mecanismos de comunicação com o invasor, que permitem
que ele seja controlado de forma remota. O processo de infecção e propagação é
bastante similar ao do worm, pois pode se propagar automaticamente, explorando
vulnerabilidades de programas já instalados em terminais. O equipamento infectado
se torna um “zumbi” e pode receber instruções maliciosas para, por exemplo, furtar
39
dados do terminal. A Botnet, por sua vez, é uma rede de computadores composta por
vários bots prontos para receber comandos maliciosos (BARÃO; VILAR, 2016).
D. Spyware
É um malware espião criado para monitorar as atividades online, o histórico e os
dados pessoais, a fim de repassar informações para terceiros. Esse tipo de código
malicioso é um dos mais perigosos que existe, pois ele busca informações sigilosas
que podem ser usadas para variados fins e, até mesmo, o furto de senhas pessoais,
informações bancárias ou de cartões de crédito (ARAÚJO, 2019).
E. Backdoor
É um tipo de código malicioso que permite o retorno do invasor a um terminal
comprometido, através da inclusão de serviços criados ou modificados para este fim
(JESUS; MILAGRE, 2016). Trata-se de uma porta de acesso criada pelo criminoso no
sistema do terminal da vítima a partir da instalação não autorizada de um programa e
que permite o seu retorno para ações futuras, através de acessos remotos.
Geralmente, é instalado a partir de uma falha de segurança e colocado de forma a
não ser notado pela vítima.
G. Rootkit
É um conjunto de técnicas e programas, na maioria das vezes maliciosos, criados
para esconder ou camuflar e assegurar a presença de um invasor ou outros códigos
maliciosos em um terminal comprometido. A título de exemplo, um rootkit pode
comprometer um programa navegador, que, quando é executado, também aciona
uma função que abre uma porta da máquina (backdoor) para ser acessada por outro
invasor atacante (JESUS; MILAGRE, 2016).
40
comuns ações maliciosas por eles executadas, segue um QUADRO-RESUMO:
CÓDIGOS MALICIOSOS
Vírus Worm Bot Trojan Spyware Backdoor Rootkit
Como é obtido:
Recebido automaticamente pela rede ✔ ✔
Recebido por e-mail ✔ ✔ ✔ ✔ ✔
Baixado de sites na Internet ✔ ✔ ✔ ✔ ✔
Compartilhamento de arquivos ✔ ✔ ✔ ✔ ✔
Uso de mídias removíveis infectadas ✔ ✔ ✔ ✔ ✔
Redes sociais ✔ ✔ ✔ ✔ ✔
Mensagens instantâneas ✔ ✔ ✔ ✔ ✔
Inserido por um invasor ✔ ✔ ✔ ✔ ✔ ✔
Ação de outro código malicioso ✔ ✔ ✔ ✔ ✔ ✔
Como ocorre a instalação:
Execução de um arquivo infectado ✔
Execução explícita do código malicioso ✔ ✔ ✔ ✔
Via execução de outro código malicioso ✔ ✔
Exploração de vulnerabilidades ✔ ✔ ✔ ✔
Como se propaga:
Insere cópia de si próprio em arquivos ✔
Envia cópia de si próprio automaticamente pela rede ✔ ✔
Envia cópia de si próprio automaticamente por e-
✔ ✔
mail
Não se propaga ✔ ✔ ✔ ✔
Ações maliciosas mais comuns:
Altera e/ou remove arquivos ✔ ✔ ✔
Consome grande quantidade de recursos ✔ ✔
Furta informações sensíveis ✔ ✔ ✔
Instala outros códigos maliciosos ✔ ✔ ✔ ✔
Possibilita o retorno do invasor ✔ ✔
Envia spam e phishing ✔
Desfere ataques na Internet ✔ ✔
Procura se manter escondido ✔ ✔ ✔ ✔
Fonte: CERT.br. Cartilha de Segurança para a Internet. (2017).
41
4.3 Spam
O spam é uma prática que afeta 100% dos usuários da internet e, infelizmente,
não há como evitar, apenas minimizar os danos que eles podem causar. Traduzindo-se
de forma literal para o português, spam (Sending and Posting Advertisement in Mass)
significa “enviar e postar publicidade em massa” (ALENCAR, 2016).
Na prática, o spam é a mensagem eletrônica enviada por spammers (pessoas
responsáveis pelo envio) para o usuário sem sua permissão ou sem o seu desejo em
recebê-lo. Normalmente, os spams tem cunho comercial e são enviados por e-mail
7Nem todas essas características podem estar presentes ao mesmo tempo em um mesmo spam. Além
disso, é possível que haja spams que não atendam às propriedades citadas, podendo, eventualmente,
ser um novo tipo (CERT.br, 2017).
42
aparecem vazios ou com apelidos/nomes genéricos, como “amigo@” e
"suporte@".
Apresentam no campo Assunto (Subject) palavras com grafia errada ou
suspeita: a maioria dos filtros antispam utiliza o conteúdo deste campo
para barrar e-mails com assuntos considerados suspeitos. No entanto, os
spammers adaptam-se e tentam enganar os filtros colocando neste campo
conteúdos enganosos, como “vi@gra” (em vez de “viagra”).
Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa
de confundir os filtros antispam e de atrair a atenção dos usuários, os
spammers costumam colocar textos alarmantes, atraentes ou vagos demais,
como “Sua senha está inválida”, “A informação que você pediu” e
“Parabéns”.
Oferecem opção de remoção da lista de divulgação: alguns spams
tentam justificar o abuso, alegando que é possível sair da lista de
divulgação, clicando no endereço anexo ao e-mail. Este artifício, porém,
além de não retirar o seu endereço de e-mail da lista, também serve para
validar que ele realmente existe e que é lido por alguém [...] (CERT.br, 2017).
43
adota no seu cotidiano, tais como: comprar apenas em lojas
confiáveis; ter atenção com as pessoas ao seu redor quando vai ao
banco; não fornecer a senha dos seus cartões para ninguém; não
deixar a porta da sua casa aberta; não deixar que crianças e
adolescentes falem com estranhos ou vá a lugares perigosos
sozinhos; contratar sistemas de monitoramento de câmeras e alarme para proteger a
sua casa.
De maneira geral, para minimizar os riscos aos quais podemos ser expostos na
internet, a adoção de alguns mecanismos de segurança se faz necessária. Esses
mecanismos contribuem, por exemplo, para identificar
uma pessoa, empresa ou programa; ativar fatores de
autenticação (assegurando que determinada pessoa é
quem ela diz ser); autorizar a realização de certas
ações; e, proteger informações contra alterações e
acessos não autorizados.
A. Política de segurança
São as regras sobre os direitos e responsabilidades de cada uma das partes
envolvidas (usuários e instituições, por exemplo) no tocante à segurança dos recursos
computacionais utilizados e as sanções às quais estão sujeitos, caso não as
cumpram. A política de segurança pode tratar de senhas (número de caracteres,
composição e periodicidade de troca), privacidade (define regras de tratamentos de
informações pessoais), confidencialidade (define se as informações podem ser
divulgadas a terceiros) e outros assuntos importantes. Esteja sempre atento à política
de segurança dos sites acessados e serviços contratados na internet, bem como às
suas possíveis alterações ao longo do tempo, para não ser pego de surpresa
(CERT.br, 2017).
B. Notificação de incidentes e abusos
O incidente de segurança é todo evento adverso, confirmado ou suspeito,
relacionado à segurança de sistemas de computação ou redes de computadores, tais
como a tentativa de usar ou acessar sem autorização sistemas ou dados; a tentativa
de indisponibilizar serviços; modificar sistemas e desrespeitar a política de segurança
de uma instituição (CERT.br, 2017). É de suma importância notificar a instituição ou
pessoa responsável sempre que detectada a existência desses incidentes ou abusos.
44
abusos, se existir um para aquela rede)
e o grupo de segurança e abusos da
rede a qual você está conectado (seja
um provedor, empresa, universidade ou
outro tipo de instituição) (CERT.br,
2017).
C. Contas e senhas
Atualmente, o mecanismo de autenticação mais
utilizado para controlar o acesso a sites e serviços
ofertados na web é o uso de contas e senhas, por
meio das quais os vários sistemas conseguem
identificar que é você quem está realizando o acesso
e definir as ações que você pode executar.
A proteção de uma senha é essencial para uma
navegação segura e essa segurança é colocada em
risco (podendo facilitar a identificação da senha), por
exemplo, ao utilizar um equipamento infectado; acessar um site falso; ser
enganado por técnicas de engenharia social; através da captura do movimento
dos dedos no teclado ou dos cliques do mouse em teclados virtuais; ou, até
mesmo, pelo simples acesso a arquivos onde ela esteja armazenada.
Em determinadas situações, suas senhas devem ser alteradas IMEDIATAMENTE,
como, por exemplo, se o seu equipamento onde elas estão armazenadas for roubado;
se você utilizar um mesmo padrão de senhas para acessar determinados sites e
desconfiar que alguma delas foi descoberta; sempre que adquirir equipamentos
acessíveis pela rede, como um roteador e dispositivos bluetooth, que possuem
senhas-padrão.
Além da proteção básica das suas senhas, deve-se saber criar senhas “FORTES”.
D. Criptografia
É a arte da escrita secreta, isto é, uma técnica para codificar dados que, depois,
serão decodificados pela decriptografia. Existem criptografias fracas, que são fáceis
de decifrar, e outras fortes, que são difíceis e, num primeiro momento, impossíveis de
Fique sabendo:
Para criar senhas “Fortes”, 3 dicas são essenciais:
1ª. Use números aleatórios (quanto mais ao acaso forem os números melhor).
2ª. Abuse da grande quantidade de caracteres (quanto mais longa for a senha mais difícil será
descobri-la).
3ª. Escolha diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil
será descobri-la).
ler (OLIVEIRA, 2003). Em regra, a criptografia é usada para que você proteja dados
45
contra acessos indevidos, sejam aqueles que precisam ser transmitidos via internet
ou armazenados em um equipamento.
F. Ferramentas antimalware
São softwares que buscam detectar e, então, anular ou extrair códigos maliciosos
de um equipamento (computador, tablet, celular). Antivírus, Antispyware, Antirootkit e
Antitrojan são exemplos de ferramentas dessa natureza (ROCHA, 2015). Há, também,
ferramentas específicas para cada um dos tipos de códigos maliciosos.
G. Firewall pessoal
Em rede de computadores, o firewall funciona como uma “parede de fogo”; é um
recurso responsável por filtrar toda a informação que chega a uma rede, garantindo
sua segurança. Na hipótese de o filtro considerar algum dado malicioso, ele não
poderá ser acessado e será bloqueado automaticamente (COSTA, 2020).
O firewall pessoal garante um nível de segurança
a mais para o equipamento, com o bloqueio (e
registro) de tentativas de acessos não autorizadas,
incluindo invasões e exploração de vulnerabilidades
existentes.
Além de outras funções, o firewall pessoal
também pode evitar que um malware já existente no
dispositivo se propague.
H. Filtro antispam
Normalmente, já vem integrado a grande parte dos Webmails e programas leitores
de e-mails e permite separar os e-mails desejados daqueles indesejados (spams)
(CERT.br, 2017).
46
Ao utilizar o seu celular:
A. Tenha guardado marca, modelo, IMEI e número de série do seu aparelho
Ao usar navegadores Web:
(geralmente essas informações estão disponíveis na caixa dele). Anote
A. Mantenha-o
também o PIN atualizado
e PUK doechip ative(vema configuração para fazer
no cartão entregue atualizações
pela operadora).
B. Utilize um bom código alfanumérico (letras e números). Evite padrões de
automaticamente, inclusive de complementos que estejam instalados.
B. Seja
desenhocuidadoso ao usar(em
“screenlocks” cookies caso ou
Android) deseje ter mais
códigos privacidade.
numéricos como “1234”,
C. Se
“0000” oupor
optar afins. Jamaisque
permitir useoum telefone sem
navegador gravecódigo de bloqueio.
as suas senhas, tenha a
C. certeza
Utilize ade cadastrar uma
autenticação chave
de dois mestra
fatores e de
em jamais
todas esquecê-la.
as suas contas de redes
D. Mantenha seu computador seguro (CERT.br, 2017).
sociais e serviços de internet (Facebook, Instagram, Twitter, Gmail, Icloud,
etc.).
D. Habilite a ‘Confirmação em duas etapas’ no aplicativo do WhatsApp.
E. Sempre habilite o Touch ID (leitor de impressão digital), reconhecimento
facial ou senha para todos os aplicativos que suportam.
F. Habilite o PIN (código) do chip (no iPhone esta configuração fica em
Ajustes > Celular > PIN do SIM). Dessa forma, será solicitada uma senha
sempre que seu chip for colocado em outro aparelho.
G. Desabilite a visualização do conteúdo de notificações em geral quando o
aparelho estiver bloqueado. Essa medida é muito importante e evita que
o criminoso tenha acesso aos recentes códigos, mensagens e e-mails
recebidos (MERCÊS, 2019).
Essas são apenas algumas dicas de segurança que você deve adotar no seu
dia a dia. O importante é manter-se sempre informado; novas formas de
golpes podem surgir e você pode antecipar a sua prevenção.
Ao acessar Webmails:
1) Cuidado para não ser vítima de phishing (golpe para
Ao realizar transações bancárias e acessar sites de Internet Banking:
obter os seus dados confidenciais). Digite a URL
A. Certifique-se de utilizar uma conexão segura e ano
diretamente procedência
navegadordoesite.tenha cuidado quando
B. Digite o endereço diretamente clicar em links recebidos por mensagens
E se eu perder meu celular ou ele for roubado /existentes
no navegador web; nunca clique em links eletrônicas.
furtado?
em uma página ou mensagem.2) Crie senhas “fortes” para acessar o seu Webmail.
1) Ligue para a sua operadora e informe o ocorrido. Ela irá
C. Nunca forneça senhas ou dados 3)pessoais
bloquear Configure
o chip.a terceiros,
opções de principalmente
recuperação por telefone.
de senha como um e-
D. Desconsidere mensagens de mail
bancos alternativo
com os ou
quaisum número
você não de celular.
tem relação,
2) Cancele os seus cartões de crédito que estejam vinculados ao
especialmente quando solicitarem
aparelho seus
4) Evite(Apple dados
acessar pessoais
Pay,seu Webmail
Android ouem
Pay,a terminais
instalaçãodePay,
Samsung de
terceiros e,
dentre
módulos de segurança. outros). se
Hárealmente
casos emfor quenecessário, ative oApple
ladrões utilizam modoPayde navegação
e similares
E. Na dúvida, sempre entre em para anônima.
contato
fazer compras
com a Central
ou pedirdecomida
Relacionamento
em aplicativos
do seu
como iFood
banco ou diretamente com oe seu
Uber gerente.
Eats.
5) Certifique-se de utilizar conexões seguras. Evite redes
F. Não faça transações bancárias
3) Faça aum partir
Wi-Fi públicas.
de equipamentos
boletim de ocorrênciadenaterceiros
Delegaciaou Wi-Fi
mais próxima.
públicas. Você vai precisar dos dados de seu aparelho:
6) Mantenha o seu dispositivo seguro (CERT.br, 2017). marca, modelo,
G. Verifique, regularmente, o extrato da sua conta e do seu cartão de crédito e, se
IMEI e número de série.
detectar um lançamento 4)suspeito,
Desconecteentreo em contato imediatamente
dispositivo das suas contas com deo e-mail,
seu redes
banco ou com a operadora sociais
do seu cartão.
e outros serviços (ex.: Gmail, Facebook, Instagram,
H. Antes de instalar qualquer módulo
Twitter,de
Spotify, etc.). verifique se o autor do módulo é
segurança,
realmente o seu banco.5) Programe para deletar os dados pelo site do fabricante (Google,
I. Mantenha o seu equipamento Apple, etc.)seguro
sempre (MERCÊS, 2019).2017).
(CERT.br,
47
Se você tiver dúvidas ou precisar de ajuda, procure a Delegacia de Polícia mais
próxima de você.
48
6 REFERÊNCIAS
ALVES, Paulo. Golpe do boleto falso: sete dicas para não cair em armadilhas.
TechTudo, 20 de outubro de 2019. Disponível em:
<https://www.techtudo.com.br/listas/2019/10/golpe-do-boleto-falso-sete-dicas-para-
nao-cair-em-armadilhas.ghtml>. Acesso em: 1º jul. 2020.
ARAÚJO, Giulia. O que é spyware? Entenda como age o 'app espião' e veja como
se proteger. TechTudo, 07 de julho de 2019. Disponível em:
<https://www.techtudo.com.br/noticias/2019/07/o-que-e-spyware-entenda-como-age-
o-app-espiao-e-veja-como-se-proteger.ghtml>. Acesso em: 02 jul. 2020.
BARÃO, Rafael Eduardo; VILAR, Gustavo Pinto. Exames em malwares. In: VELHO,
Jesus Antônio (org.). Tratado de Computação Forense. Campinas, SP: Millennium,
2016. p.409-446.
COELHO, Taysa. O que é sextorsão? Entenda o crime que envolve imagens de teor
sexual. TechTudo, 03 de dezembro de 2018. Disponível em:
<https://www.techtudo.com.br/noticias/2018/12/o-que-e-sextorsao-entenda-o-crime-
que-envolve-imagens-de-teor-sexual.ghtml>. Acesso em: 30 jun. 2020.
MERCÊS, Fernando. O que fazer antes que seu celular seja roubado. Mente
Binária, 14 de maio de 2019. Disponível em:
<https://www.mentebinaria.com.br/artigos/o-que-fazer-antes-que-seu-celular-seja-
roubado-r44/>. Acesso em: 03 jul. 2020.
ROCHA, Marcelo Hugo da. Manual de Dicas: Analista e Técnico do INSS. São
Paulo: Saraiva, 2015.
VALENTE, Jonas. Brasil tem 134 milhões de usuários de internet, aponta pesquisa.
Agência Brasil, Brasília, 26 de maio de 2020. Disponível em:
<https://agenciabrasil.ebc.com.br/geral/noticia/2020-05/brasil-tem-134-milhoes-de-
usuarios-de-internet-aponta-pesquisa>. Acesso em: 30 jun. 2020.