Não importa o período da história; bandidos costumam seguir a trilha do dinheiro. Al Capone fez fortuna na época da Lei Seca negociando, claro, bebidas. E os traficantes atuais migram de uma droga para outra guiados pela busca de uma substância sempre mais barata – e geralmente mais letal – para maximizar os lucros. Nos últimos tempos, com a web mudando a vida de empresas e consumidores, várias gangues passaram a seguir essa trilha. Isso é conhecido. A novidade, agora, é que eles estão seguindo a onda da convergência digital, que mistura meios online e tradicionais. O resultado é uma categoria mais sofisticada de crimes, que começa na internet, mas inclui inúmeros aspectos off line da vida das vítimas.
Os bandidos estão aprendendo uma lição já conhecida por companhias e governos: a de que a informação vale ouro. Os meios para obter isso incluem desde explorar brechas de segurança em bancos de dados de empresas e órgão públicos até cooptar ex-funcionários e colaboradores internos. Organizados, os novos larápios vasculham dados pessoais escancarados pelos usuários nas redes sociais e roubam senhas em sites de serviços de análise de crédito. Com o cruzamento das informações, as gangues criam dossiês digitais de seus alvos potenciais, às vezes trocando informações com outros golpistas pela própria web. Um exemplo dessa convergência digital do crime é a venda de CDs com bancos de dados, tanto na internet como em locais físicos. Entre os focos estão as imediações da rua Santa Ifigênia, em São Paulo.
Segundo Fábio Assolini, analista da Kaspersky, empresa de software de segurança, é possível, com R$ 100, comprar um CD com dados dos contribuintes do INSS de todo o Brasil, junto com a base de dados de telefones do estado de São Paulo. Existem até bancos personalizados, com filtros como profissão, cidade e região. “Todos esses vetores vêm servindo como combustível para o crime tradicional, que cada vez mais se alia ao cibercrime”, diz Assolini.
Assalto a mansões
Em dezembro, hackers descobriram uma falha no site do Ministério do Trabalho e copiaram todo o banco de dados com os cadastros de cidadãos. Em seguida, criaram aplicativos que automatizavam as consultas a essa base. As ferramentas foram divulgadas em sites e fóruns de criminosos na internet. A Kaspersky descobriu a brecha e avisou as autoridades, que corrigiram a falha, conta Assolini. “mas era tarde e o estrago estava feito”. Procurado pelo Valor, o Ministério do Trabalho não se manifestou até o fechamento desta edição.
Outro incidente, no fim de 2009, afetou clientes do programa de fidelidade da TAM. Informações pessoais foram usadas em e-mails falsos, enviados em nome da companhia aérea, o que tornava o golpe mais verossímil. As mensagens traziam um arquivo que deveria ser baixado pelo cliente para, supostamente, imprimir um bônus com passagens gratuitas. Na verdade, o arquivo instalava códigos maliciosos nas máquinas dos usuários. Por meio de sua assessoria, a TAM afirmou que não houve invasão dos sistemas da companhia e que os dados dos clientes foram preservados.
Outro exemplo recente envolve uma quadrilha que atuava no centro de São Paulo. Os bandidos anotavam placas de carros de luxo e cruzavam esses números com dados de departamentos de trânsito obtidos em sites de hackers e CDs ilegais. Com isso, obtinham informações mais completas sobre os motoristas, o que ajudou em uma série de assaltos a mansões na capital paulista.
Sinais de ostentação
José Mariano de Araújo Filho, delegado-supervisor da unidade de inteligência do Departamento Estadual de Investigações Criminais (Deic), observa que o acesso a dados pessoais vem alimentando toda sorte de práticas ilícitas. Entre elas estão sequestros e obtenção de documentos falsos. Em São Paulo, o delegado atuou em um caso no qual a vítima descobriu uma empresa aberta em seu nome no Rio Grande do Sul. O negócio em questão tinha muitas dívidas na região. “A própria vítima revelou que seu computador havia sido infectado meses antes”, diz Mariano.
Para Leandro Bissoli, especialista em direito digital e vice-presidente da PPP Advogados, os crimes na internet são praticamente os mesmos do mundo real, com a diferença que a tecnologia traz mais recursos e menos riscos para seus autores. “É possível fraudar alguém em outro estado, e até país, sem que essa pessoa desconfie”, explica.
Um dos maiores riscos é se expor demais na web. Foi o que aconteceu com uma consumidora que externou em redes sociais seu descontentamento com o atraso na entrega de um produto adquirido em uma loja virtual. Uma quadrilha que seguia seu perfil ligou para ela, simulando ser da loja em questão. Obteve o número de seu cartão de crédito, que foi usado em diversas fraudes.
As redes criminosas estão se tornando tão poderosas que passaram a se identificar por nomes como CyberSkyNet e FullNetWork. Elas trocam informações em fóruns especiais – geralmente criptografados –, nos quais exaltam suas ações e publicam fotos com armas e dólares.
Sinais de ostentação, aliás, parecem ser outro traço comum a bandidos de todas as épocas – de Capone aos traficantes dos morros cariocas e, agora, aos novíssimos golpistas “convergentes”.
***
Lei de proteção de dados pessoais
A falta de uma legislação específica sobre proteção de dados pessoais no Brasil favorece o avanço dos crimes cometidos a partir da internet. Não há, por exemplo, qualquer norma que obrigue as empresas atacadas a relatar incidentes referentes a vazamento de informações de seus clientes. Dependendo do setor em que atua, a companhia poderá ter de ressarcir o prejuízo, para resguardar sua imagem, mas muitos casos vão parar na Justiça ou em entidades de defesa do consumidor.
Para especialistas consultados pelo Valor, esse cenário contribui para que a maioria dos incidentes não venha à tona, o que mascara a real dimensão do problema. “Isso faz com que muitas empresas não tenham tanto cuidado com a guarda dos dados de seus clientes”, diz Maria Cristina Cortez, advogada especialista em tecnologia da informação do escritório Trench, Rossi e Watanabe.
Entre os poucos casos no Brasil que chegaram ao conhecimento do público está o da LG, ocorrido em janeiro. Por uma falha de segurança, um link no site da fabricante, que dava acesso ao manual do celular LG GT540, expôs os dados de 71 mil clientes. Em nota ao Valor, a companhia informou que o fato foi comunicado às autoridades e ao público e que reforçou seus processos internos de segurança.
Eduardo D´Antona, diretor da Panda Security para a América Latina, diz que as investigações policiais são dificultadas porque o crime virtual envolve a participação de diversos atores, em diferentes estágios. “Existe uma cadeia com fornecedores que oferecem serviços ao longo do processo. Criou-se um mercado de atacado e varejo no cibercrime”, diz D´Antona.
José Matias, gerente de suporte técnico para a América Latina na McAfee, ressalta a agilidade de comunicação dos criminosos. “É duro acompanhar. Eles usam um site por alguns dias e logo migram para outros domínios.”
Leandro Bissoli, vice-presidente da PPP Advogados, acrescenta como fatores complicadores a variedade e extensão dos crimes cometidos por essa cadeia. Isso dificulta atribuir determinado dano a um vazamento de dados específico.
Diante das ocorrências, a advogada Maria Cristina cita o anteprojeto de lei de proteção de dados pessoais, do Ministério da Justiça. Submetido a consulta pública até 30 de abril, o anteprojeto recolheu sugestões para uma proposta de regulação, que será encaminhada ao Congresso Nacional. Entre as sugestões do texto está a aplicação de multas que podem chegar a 20% do faturamento bruto das empresas que não relatarem casos de vazamento de dados.
******
Da Redação do Valor Econômico