Sesc SP

EVANILDO DA SILVEIRA

A cada segundo, 18 pessoas ao redor do mundo são vítimas de algum tipo de crime pela internet, totalizando 1,5 milhão de casos todos os dias, com prejuízos que podem chegar à casa dos bilhões de dólares. São delitos que vão de ameaças, difamação, injúrias e calúnias a roubo de dados pessoais, estelionato e fraudes financeiras. Apesar disso, poucos países dispõem de legislação específica para combater e punir os chamados crimes cibernéticos. No caso do Brasil, grandemente afetado, só no fim do ano passado o governo federal promulgou duas leis relativas a esse tipo de delito, a 12.737 – a chamada Lei Carolina Dieckman – e a 12.735, ambas de 30 de novembro, que tipificam as condutas praticadas contra ou por meio dos sistemas de informática.

Dados sobre a criminalidade cibernética não faltam. O “Norton Cybercrime Report”, realizado todos os anos pela Symantec, uma das líderes mundiais no fornecimento de soluções de segurança para sistemas de informática, é um dos estudos mais importantes do mundo sobre o assunto. O levantamento com data de 2012, por exemplo, colheu relatos pessoais de mais de 13.018 adultos, entre 18 e 64 anos, de 24 países. É desse trabalho que retiramos os dados que abrem esta reportagem.

O levantamento traz, no entanto, muitas outras informações. Uma delas, por exemplo, é que cada vítima perde, em média, US$ 197, o que faz com que essa modalidade criminosa seja mais onerosa que as necessidades semanais de alimentos de uma família de quatro pessoas. No total, os custos globais do crime cibernético chegam a US$ 110 bilhões anuais. No Brasil, estima-se que, só no ano passado, mais de 28 milhões de pessoas tenham sido vítimas dessa ação delituosa.

Além do “Norton Cybercrime Report”, a Symantec executa um outro levantamento, o “Internet Security Threat Report”, ou “Relatório sobre Ameaças à Segurança na Internet”, traçado a partir de dados de uma rede que monitora a ocorrência de ataques em mais de 200 países e territórios, por meio de uma combinação de produtos e serviços da empresa, bem como fontes de informações de terceiros. “A última edição do relatório, lançada em 2012, mostra que o número de delitos desse tipo cresceu 36% em 2011 em relação a 2010”, relata André Carrareto, estrategista em segurança da Symantec para o Brasil. “Foram 4.597 por dia na rede analisada por nós.”

O Brasil, dizem, é o quarto maior do mundo no quesito “Fonte de Atividade Maliciosa”, atrás dos Estados Unidos, China e Índia. “Na América Latina, o país é seguido, no ranking, por Argentina, Colômbia, México e Chile”, destaca Carrareto. “Em um ano, a Symantec bloqueou 5,5 bilhões de ataques, um aumento de 81% em relação a 2010. No mesmo período, detectamos 403 milhões de variantes exclusivas de malware (programas maliciosos, como vírus ou cavalos de troia, instalados de forma ilícita e que põem o computador em risco), um crescimento de 41% em relação a 2010.”

Perdas bilionárias

No Brasil, um dos principais levantamentos sobre crime cibernético é realizado pela Federação Brasileira de Bancos (Febraban). No entanto, ele só cobre os delitos praticados contra os próprios bancos e seus clientes. Sua mais recente edição, divulgada em novembro passado, estima que as perdas das instituições bancárias nacionais devido a esse tipo de crime tenham alcançado no decorrer de 2012 a soma de R$ 1,4 bilhão. Segundo César Faustino, coordenador da Subcomissão de Prevenção a Fraudes Eletrônicas da entidade, esse valor é 6,7% menor que o aferido em 2011, quando os prejuízos causados por golpes em canais eletrônicos de atendimento ao cliente (telefone, internet, mobile banking, caixas eletrônicos, cartões de crédito e de débito) atingiram R$ 1,5 bilhão. “Cabe lembrar que o volume, embora expressivo, representa menos de 0,007% das transações bancárias”, esclarece a Febraban por meio de sua assessoria de imprensa.

O professor Sandro Melo, coordenador do curso de redes de computadores da BandTec, faculdade de tecnologia da informação do Colégio Bandeirantes, em São Paulo, tem outros dados, todos fornecidos pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, mantido pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), do Comitê Gestor da Internet no Brasil. “Em 2011, fechamos o ano com 399.515 incidentes, sendo 12,64% fraudes e, na maioria, delitos com o objetivo de ganhos financeiros”, diz. “Já em 2012, esse número ficou em 356.946 incidentes relatados, dos quais 11,5% foram catalogados como fraudes.”

Além de levantar dados e números, esses estudos, tanto os realizados por empresas globais como os elaborados no Brasil, também servem para apontar tendências e sinalizar para onde os criminosos cibernéticos estão voltando suas atenções e dirigindo seus ataques. O mais recente “Symantec Intelligence Report”, por exemplo, mostrou que, ao contrário do que se imagina, a principal informação procurada pelos delinquentes virtuais é o nome próprio da vítima e não suas senhas pessoais (que ficaram em segundo lugar) ou as informações financeiras (em nono).

Segundo Carrareto, isso está acontecendo porque grande parte dos serviços online tem estabelecido um maior número de restrições de segurança. “Então, os criminosos se apropriam das informações pessoais – nome e data de nascimento, por exemplo – como brecha inicial para confirmar outros dados e, assim, obter algum tipo de vantagem, seja ela financeira ou de outro tipo (tais como propagar calúnias pelas redes sociais)”, explica.

O levantamento da Febraban também confirmou mudanças na atuação dos fraudadores. Uma das estratégias típicas dos golpistas, o envio de trojans (“cavalos de troia”) que se instalam no computador do usuário e são usados para o roubo de dados pessoais, está perdendo espaço na preferência dos malfeitores. Eles estariam optando pelo phishing (uso de mensagens instantâneas, por e-mail ou SMS, que visam roubar dados da vítima) e pelo pharming (direcionamento para páginas falsas na internet, que simulam os sites oficiais de empresas ou bancos e extraem informações do usuário.)

Perigo nas redes sociais

Em termos globais, o “Relatório sobre Ameaças à Segurança na Internet” da Symantec diverge um pouco das conclusões da Febraban. O levantamento constatou, por exemplo, que os spams – e-mails indesejados que podem carregar vírus e outras ameaças – estão virando coisa do passado. Agora, para lançar seus ataques, os delinquentes estão se voltando para as redes sociais, das quais o Facebook e Orkut são as mais conhecidas.

De acordo com o relatório, a própria natureza dessas redes faz o usuário supor, incorretamente, que não está em risco. Devido às técnicas de engenharia social e à natureza viral das redes de relacionamentos, é muito mais fácil para as ameaças se propagarem nelas de uma pessoa para outra. Os dispositivos móveis, como celulares e smartphones, são outros alvos que começam a entrar na mira dos cibercriminosos por se tratar de plataformas cada dia mais populares e com um número crescente de usuários – potenciais vítimas, aos olhos dos malfeitores.

Nesse aspecto, os dados do “Norton Cybercrime Report” batem com os do “Relatório sobre Ameaças à Segurança na Internet”. Um em cada cinco adultos com vida online (21%) foi vítima de fraudes no ambiente social ou móvel e 39% sofreram ataques de malwares, diz o documento. Além disso, 15% relatam que alguém invadiu seu perfil e se passou por eles; um em cada dez foi vítima de golpe ou links falsos em plataformas colaborativas e quase um terço (31%) recebeu uma mensagem de texto de um estranho solicitando que clicasse em determinado link ou discasse um número desconhecido para ter acesso a uma caixa postal de voz.

Os estudos estão mostrando que os interesses dos bandidos se diversificaram. Até recentemente, os ataques avançados eram dirigidos principalmente a sites e portais de governos e a empresas públicas ou privadas de grande porte. Em seu relatório de 2011, no entanto, a Symantec verificou que mais de 50% desses crimes focaram estabelecimentos com menos de 2,5 mil funcionários e quase 18% se voltaram para aqueles com quadro funcional inferior a 250 empregados. Em 2012, o número de delitos contra as pequenas e médias empresas (PMEs) dobrou, subindo para 36%.

Como se explica essa mudança? Os especialistas dizem que as organizações menores podem estar virando um alvo porque estão na cadeia de suprimentos ou no ambiente de negócios das grandes companhias, e também devido ao fato de ser menos protegidas. “Além disso, 58% dos ataques agora miram não executivos, mas funcionários das áreas de recursos humanos, vendas e relações públicas”, diz o relatório. “Indivíduos nesses cargos podem até não ter acesso direto às informações, mas servem de link dentro da empresa. Eles também são fáceis de identificar online por invasores e estão sendo usados para aceitar solicitações e anexos de fontes desconhecidas.”

A incorporação, cada vez maior, de tecnologias de mobilidade, computação em nuvem e virtualização para armazenar e proteger as informações são outros fatores, apontados pela Symantec, que colaboram para o aumento de ataques a empresas menores. A “Pesquisa 2012 sobre Preparo para Casos de Desastres nas PMEs”, também da Symantec, realizada com 2.053 empresas de 30 países, das quais 75 brasileiras, mostra que mais de um terço delas explora os dispositivos móveis para uso profissional. No Brasil, 47% das empresas ouvidas também já estão discutindo a implementação de servidores virtualizados.

Mudança de perfil

Assim como os tipos de crimes e os alvos estão mudando, o perfil dos delinquentes cibernéticos vem passando por alterações. Lá atrás, no começo da popularização da internet, eles eram jovens, na faixa entre 16 e 35 anos. Agora, o ambiente virtual vem atraindo malfeitores mais velhos, que antes atuavam essencialmente no ambiente físico. “Eles estão percebendo que já não adianta cavar um buraco na parede do banco, porque o dinheiro não está mais lá”, explica Rony Vainzof, vice-presidente do Conselho de Segurança da Informação da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP). “Então, estão cada vez mais cooptando pessoas jovens para as práticas ilícitas, porque precisam do conhecimento que elas, muitas vezes, assimilam da própria internet.”

Leonardo Bonomi, diretor de Suporte e Serviços da Trend Micro, uma das líderes globais em segurança em nuvem, traz dados sobre o perfil dos delinquentes virtuais que vão ao encontro do que Vainzof afirma. “Antigamente, dizia-se que os criminosos eram pessoas que tinham conhecimento de tecnologia, elaboravam códigos e espalhavam vírus pela web”, diz. “Hoje, é mais comum identificá-los em quadrilhas de crime organizado, que utilizam a internet como mais uma fonte de renda dentre as que já possuem. Elas invadem empresas, roubam informações corporativas, como projetos, documentos e investigações, e vendem para o mercado negro. Por isso, os ataques direcionados – encomenda e roubo de informações específicas e sigilosas de uma empresa – crescerão nos próximos anos.”

Apesar de serem os alvos preferidos, as empresas não são as únicas vítimas. Pessoas comuns também não escapam dos malfeitores. Foi o que aconteceu com Wanderley Correia, executivo de contas de uma agência de comunicação na capital paulista. No ano passado, ele comprou uma passagem de ida e volta de São Paulo a Londrina, pelo site de uma companhia aérea. Pagou, na promoção, R$ 300 com um cartão de crédito.

No mês seguinte, Correia teve uma surpresa desagradável. “Quando fui conferir o extrato, havia uma compra de uma passagem para Madri, na mesma empresa aérea, no valor de R$ 2.400”, conta. “Procurei a administradora, que estornou o valor e me deu outro cartão, dessa vez com chip. Não adiantou. Nos meses seguintes, apareceram várias compras e gastos em restaurantes de cidades em que eu não tinha estado. Felizmente, a administradora estornou todas as despesas que eu não tinha feito.”

Foi para tentar diminuir a ocorrência de crimes dessa natureza ou, pelo menos, punir seus autores, que o governo promulgou as duas leis de novembro do ano passado. Elas foram sancionadas pela presidente Dilma Rousseff e publicadas no “Diário Oficial da União” em 3 de dezembro de 2012, com prazo de 120 dias para entrar em vigor. As novas normas jurídicas alteram o Código Penal, definindo os ataques cibernéticos e determinando as respectivas penas. Elas tipificam delitos como a invasão de computadores, o roubo de senhas e de conteúdos de e-mail, a derrubada proposital de sites e o uso de dados de cartões de débito e crédito sem autorização do titular.

A nova legislação pune os crimes menos graves, como “invasão de dispositivo informático”, com detenção por três meses a um ano, além de multa, acrescentando de um sexto a um terço à pena se a invasão causar prejuízo econômico. Ataques que redundem no acesso a “comunicações eletrônicas privadas, segredos comerciais ou industriais e informações sigilosas” têm punição mais pesada. Se for considerado culpado, o delinquente pode ser condenado a seis meses a dois anos de prisão, mais multa. A legislação prevê ainda o aumento da pena de um a dois terços, caso tenha ocorrido “divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos”.

Na opinião dos especialistas em segurança de ambientes virtuais, as novas regras vêm em boa hora. “Elas representam um grande avanço contra esse tipo de crime e são extremamente bem-vindas”, elogia Bonomi, observando que, como os delitos não estavam tipificados em lei, era muito difícil penalizar alguém por um ataque na internet. Ele acredita que a legislação prestes a entrar em vigor fará com que o cidadão se sinta mais protegido, além de facilitar o trabalho da polícia, a abertura de processos e a penalização de malfeitores. “A web é um ambiente amplo e, por isso mesmo, torna difícil localizar os criminosos, mas a nova lei deve inibir os delitos”, diz o diretor da Trend Micro.

Nem todos pensam assim. “Apenas a existência de legislação não garante que ela será plenamente aplicada e que os resultados sejam os esperados”, alerta Flávio Carvalho, diretor de Serviços da Arcon, empresa especializada em gerenciamento de segurança da informação. Ele salienta que é preciso esperar os primeiros julgamentos para avaliar, na expectativa de que a Justiça tenha a agilidade necessária para julgar esse tipo de delito, já que sua desenvoltura não é compatível com a ligeireza do mundo digital.

Enquanto esse dia não chega, as próprias empresas e pessoas podem tomar suas precauções, não descuidando da segurança. Entre os principais cuidados, o professor Melo, da BandTec, recomenda não abrir e-mails que não foram solicitados e mensagens de pessoas desconhecidas nem executar programas de fontes não confiáveis. “Além disso, não se devem usar programas piratas nem acessar sites suspeitos, e tampouco lançar mão de computadores de terceiros para acessar informações pessoais ou executar operações financeiras.” Ele afirma, também, que é fundamental manter o sistema operacional e os aplicativos atualizados e ter bons programas de segurança (antivírus e firewall pessoal). Resumindo, conforme conselho de Vainzof, da FecomercioSP, devemos desconfiar de tudo na internet. “Os criminosos cibernéticos estão cada vez mais sofisticados e ousados”, ele pondera.

Não só a Justiça, a indústria da informática e as empresas e instituições estão atentas à questão. O cinema também já explora há um bom tempo o assunto, em filmes como Hackers – Piratas de Computador, de 1995, estrelado por Angelina Jolie e Jonny Lee Miller. A fita conta a história de Zero, um jovem que, aos 11 anos, havia tirado de cena mais de 1,5 mil computadores em Wall Street, levando o caos ao mundo das finanças. É ficção, mas não está longe do que pode de fato ocorrer. Qualquer um, mesmo um adolescente – se for mal intencionado e tiver conhecimentos suficientes de informática – pode causar um estrago considerável a partir da internet.