"Cansado de pagar caro para ter acesso à internet, Netflix e Spotify?". "Pague R$ 100 e receba um cartão de crédito com limite de R$ 1.000 para gastar em compras". "Precisando de renda extra? Que tal vender contas Netflix? Você paga R$ 1 em cada conta e vende a R$ 20. Só precisa de celular!". "Venda de recargas para qualquer operadora a 50% do valor nas recargas de R$ 20 pra cima."
Milhares de pessoas são bombardeadas o dia inteiro por ofertas tentadoras - e ilegais - como essas em grupos e canais do Telegram, aplicativo que está sob os holofotes desde os vazamentos de mensagens trocadas entre procuradores da Lava Jato e o então juiz federal Sergio Moro.
Comunidades brasileiras no Telegram ligadas a fraudes chegam a reunir mais de 20 mil pessoas, numa espécie de "feira do rolo" gigante, quase uma dark web acessível a qualquer um.
Um ambiente onde vendedores e compradores se escondem sob o anonimato oferecido pelo aplicativo de troca de mensagens e, sem a necessidade de conhecimento técnico avançado, negociam informações pessoais, como nome da mãe, endereço e data de nascimento (além do CPF), cadastros falsos e cartões de crédito de milhões de brasileiros, que geralmente não sabem que são vítimas de fraudes.
Ainda há ofertas de internet 4G ilimitada, canais de TV pela web, contas em serviços como Netflix e Spotify por um quarto do valor cobrado oficialmente pelas empresas, além de telas falsas de sites de bancos para furtar dados de clientes.
Dinheiro falso e rifa de arma
Durante mais de seis meses, a reportagem da BBC News Brasil acompanhou ofertas, diálogos e negociações em mais de cem grupos como esses na rede social.
Em alguns deles, é possível comprar cédulas falsas - uma das ofertas promete o envio de R$ 10 mil falsificados em troca de um depósito bancário de R$ 900 - e até mesmo "contratar" saques bancários - o dinheiro é retirado pelos criminosos de contas de terceiros.
A reportagem recebeu convites para grupos de venda de drogas e até para participar da rifa de uma pistola da marca Glock.
Ao longo da apuração desta reportagem, a BBC News Brasil não fez nenhuma compra ou negociação, mas acompanhou diálogos e teve acesso a provas de que produtos ofertados funcionam de fato - o alto número de pessoas presentes nesses grupos também reforça a "credibilidade" das fraudes negociadas, segundo especialistas.
Autoridades confirmaram a existência dessas invasões e vendas ilegais de dados pessoais e sigilosos no Telegram. A maior parte das empresas vítimas desses golpes preferiram não comentar especificamente os ataques sofridos e, em resumo, dizem investir em seus sistemas de segurança.
Especialistas em cibersegurança, acadêmicos e até mesmo policiais experientes afirmam que, embora não exista anonimato absoluto na internet, há uma série de barreiras técnicas, jurídicas e logísticas que tornam quase inviável identificar e prender tantas pessoas envolvidas com crimes nesse tipo de aplicativo de mensagens.
Eles ainda ressaltam que mesmo quem não acessa a internet ou faz compras virtuais está vulnerável a essas fraudes.
Um exemplo disso é que uma das bases de dados vendidas pelos hackers são as informações contidas no CadSUS, onde estão informações como endereço, data de nascimento e telefone de todas as pessoas cadastradas no Serviço Único de Saúde nacional.
Essas informações depois são usadas, por exemplo, na falsificação de cadastros em lojas virtuais e de cartões de crédito.
Por causa de suas características, o Telegram acaba por facilitar ilegalidades que normalmente eram cometidas por meio de outras plataformas de comunicação, como IRC, ICQ, fóruns fechados, Orkut, Facebook e WhatsApp.
Como são esses grupos?
Qualquer pessoa munida de um chip de celular pode registrar uma conta no Telegram. Mas, diferentemente do que exige o WhatsApp, o uso desse aplicativo em um computador não depende de que, ao mesmo tempo, o chip esteja instalado em um celular conectado à internet. Isso, segundo especialistas, dificulta ainda mais a identificação do usuário.
Localizar tanta gente atrás de diversas barreiras, como, por exemplo, o uso de VPN (uma espécie de túnel digital que mascara a localização real do usuário), é tarefa quase inviável para a polícia.
"Isso dependeria de um acordo entre o Brasil e o país onde a empresa está sediada, acompanhado de um pedido da Polícia Federal para quebrar essa criptografia ou ter acesso aos dados dos investigados. Ainda assim, isso não garantiria o sucesso da investigação, pois o IP do computador (identificação dele na rede) pode ter sido alterado nesse meio tempo", disse um policial experiente, sob a condição de anonimato. Mas especialistas afirmam que há técnicas de investigação que podem levar à identificação de usuários.
Uma vez conectado no Telegram, o usuário pode buscar por grupos públicos ou canais de seu interesse: religiosos, políticos, relacionamentos, hackers, entre outros - há também diversos links em redes sociais com convites para essas comunidades e sites que as organizam por palavra-chave.
Outro ponto que aumenta o alcance do que é publicado no Telegram é a possibilidade de um grupo ter até 200 mil integrantes - o limite no WhatsApp é de 256. E, uma vez inserido numa comunidade que negocia fraudes, o usuário tem acesso a milhares de propostas diárias. Chega a ser difícil acompanhar o fluxo.
Num deles, é comum serem publicadas mais de 3 mil mensagens por dia, entre ofertas, contrapropostas, convites a revendedores, ofensas, piadas, memes e pornografia.
Com essa intensa troca de informações, parte da administração dessas comunidades é automatizada por meio de robôs, como a divulgação de regras de convivência e o monitoramento do respeito a elas, suporte aos clientes, gestão dos acessos aos serviços vendidos e pagamentos.
O que é negociado nesses grupos?
"Alguém puxa o nome da mãe desse cara aqui e o RG dele pra mim na humildade", pede um usuário em um dos grupos - em seguida ele oferece em troca cartões de crédito. "Pago 2 reais pra quem puxa CPF", afirma outro. "Alguém salva consultando um CPF preciso apenas da data de nascimento", pergunta um terceiro.
Essas negociações e informações trocadas ou vendidas funcionam como se fossem peças de quebra-cabeças de fraudes em produção.
Um cadastro falso, por exemplo, pode se valer de dados pessoais de terceiros coletados de alguma base de dados, como nome completo, nome da mãe, data de nascimento, endereços, números de telefone, números de documentos como RG e CPF.
Fraudadores também fazem uma análise de crédito da vítima - se a vítima tem uma alta pontuação de bom pagador nas empresas de avaliação, o nome tende a chamar menos atenção ao golpe em curso.
Os criminosos também usam cartões de crédito furtados ou falsificados, artifícios como o VPN para esconder a localização geográfica real do fraudador e transações por meio de carteiras digitais, Bitcoin ou contas correntes furtadas ou emprestadas.
Muitas das transações são feitas com valores baixos para evitar que as empresas ou pessoas lesadas percebam o que ocorreu. "Faz isso pega uns 10 cartão com um escore alto acima de 800. Tire 50 em cada um. O dono paga sem saber pq o limite é alto", recomenda um usuário.
Para facilitar o acesso a essas informações dispersas em vários órgãos públicos, hackers mais habilidosos constroem e vendem aplicativos também chamados de painéis, que reúnem os dados obtidos com a invasão de diversos bancos de dados de sites brasileiros.
Cobra-se por acesso avulso ou mensalidades. Um desses programas traz, por exemplo, informações como número do Renavam, lista de parentes, data de emissão da carteira de identidade, histórico de dívidas no SPC (Serviço de Proteção ao Crédito), além das empresas e dos sócios do pesquisado.
De fácil uso, eles são vendidos por representantes - que geralmente ganham por comissão e são recrutados nas próprias comunidades - a hackers com pouca ou quase nenhuma experiência em computação.
Estes se valem de tutoriais compartilhados em grupos, fóruns e de vídeos no YouTube para aprender como começar a cometer crimes e ganhar dinheiro.
As ofertas mais comuns são de acesso a serviços de streaming por valores bem abaixo do mercado. Um deles é o Netflix, cujo pacote mais completo é vendido oficialmente pela empresa por R$ 45,90, é encontrado por valores entre R$ 7 e R$ 13, com validade de 30 dias. Há também contas para serviços de streaming de música como Spotify.
Outra oferta muito popular nos grupos de Telegram é o IPTV, um programa capaz de liberar até 18 mil canais de TV aberta e fechada do mundo inteiro. Esses pacotes são vendidos a R$ 20 por mês, em média.
Também há serviços de planos de internet 4G ilimitada das quatro principais operadoras de telefonia móvel do país abaixo do preço de mercado: Vivo, Tim, Claro e Oi. Segundo especialistas, alguns hackers se aproveitam de brechas dos pacotes de dados que oferecem, por exemplo, acesso sem custo a redes sociais e serviços de streaming.
Isso tudo aliado à comercialização de cartões de crédito com limites de até R$ 23 mil, cédulas falsas e pacotes de pontos no Free Fire, um dos jogos online mais populares da atualidade.
Alguns dos vendedores têm tanta confiança em seus produtos que permitem ao usuário testar a "mercadoria" antes do pagamento. Mas há também golpes cometidos pelos chamados lotters, que somem com o dinheiro sem entregar o negociado e chegam a usar, por exemplo, geradores de comprovantes de depósito falsos.
Como as ilegalidades envolvidas impedem o acionamento da polícia, surgem os chamados caça-lotters, que se juntam para identificar e combater golpistas.
Um hacker com mais de dez anos de experiência que pediu para não ser identificado enviou à BBC News Brasil imagens de um dos programas que fazem recargas de celular em funcionamento. É possível observar dezenas de números recebendo créditos e outras dezenas na fila para o serviço ilegal. Ele afirmou que basta inserir um número e realizar a recarga.
Algumas vezes, as operadoras descobrem a invasão e bloqueiam a recarga irregular. O serviço fica indisponível para os hackers até eles encontrarem uma nova brecha, o que pode demorar algumas horas ou dias.
Em nota, a Claro informou que "investe constantemente em políticas e procedimentos de segurança, adotando medidas rígidas para identificar fraudes e proteger seus clientes". A empresa afirmou ainda que "quaisquer negociações ou contratações de serviços devem ser realizadas, exclusivamente, por meio dos canais oficiais da Claro, como lojas próprias, agentes autorizados e website".
Procurada, a Vivo informou que não comentaria as fraudes identificadas pela reportagem. A Oi informou que "possui políticas e diretrizes internas voltadas para proteção dos dados de seus clientes" e que aciona os órgãos competentes "quando são constatadas irregularidades ou iniciativas criminosas". Procurada, a Tim não se manifestou sobre as fraudes.
A Netflix afirmou que "emprega diversas táticas para prevenir e detectar atividades fraudulentas". "Nós usamos medidas administrativas, lógicas, físicas e gerenciais consideráveis para resguardar as informações pessoais de nossos assinantes contra perda, roubo e acessos, modificações e utilizações não autorizadas. Nós também encorajamos as pessoas a desconfiar de ofertas de terceiros para planos especiais e descontos, e a contatar nosso serviço de atendimento ao consumidor ou acessar netflix.com/security para mais informações."
Procurado, o Spotify afirma levar "toda e qualquer atividade fraudulenta em nosso serviço extremamente a sério. Estamos cientes desses tipos de ferramentas e temos várias medidas para monitorar esse tipo de atividade e proteger nossos usuários. Como qualquer plataforma grande no mercado, haverá pessoas que tentam jogar com o sistema".
A reportagem enviou à Serasa cinco prints com análises de crédito em que aparece o nome da empresa. "A Serasa trata os temas relativos a segurança da informação de maneira criteriosa e ao analisar as informações das pessoas físicas mencionadas nos 'print screens' enviados confirmamos que não encontramos seus cadastros válidos em nossos sistemas. Importante esclarecer que muitas informações veiculadas livremente no mundo digital podem ser obtidas de diversas fontes públicas e não são consideradas confidenciais", respondeu por email.
Em nota, a Polícia Federal informou que prendeu, entre 2015 e 2019, 1,3 mil suspeitos de praticar "crimes cibernéticos, como pornografia infantil e fraudes bancárias". Por outro lado, afirmou que "os dados sobre investigações de crimes cometidos por meio do Telegram não estão disponíveis".
Até 5 anos de prisão
Um analista de segurança cibernética de uma grande empresa do setor, sob condição de anonimato, afirmou que a faixa etária dos membros ativos desses grupos gira em torno de 20 anos e a grande maioria tem nível técnico iniciante.
Tenta-se manter um certo profissionalismo, ante a dificuldade de estabelecer confiança entre as partes envolvidas em atividades do tipo, com recibos, provas de que o serviço oferecido foi entregue e prints com depoimentos de clientes.
A punição, se ocorrer, pode ser pesada. Quem vende ou compra informações pessoais de terceiros nesses grupos de Telegram, por exemplo, pode responder por estelionato, crime com pena prevista entre 1 e 5 anos de prisão.
A maior parte das fraudes, segundo os especialistas, ocorre nos Estados de São Paulo e do Rio de Janeiro. A Secretaria da Segurança Pública paulista apontou para uma delegacia do Departamento Estadual de Investigações Criminais (Deic) e ressaltou a importância de que vítimas desses ataques registrem a ocorrência.
O procurador de Justiça e coordenador do Núcleo de Investigação de Delitos Cibernéticos do Ministério Público de São Paulo, Paulo Marco, disse que a falta de preparo dos órgãos públicos torna praticamente impossível prender os criminosos do Telegram.
"Há uma ignorância por parte dos membros da polícia, do Ministério Público, da Magistratura a respeito dos crimes cibernéticos e aquilo acaba sendo tratado como uma bobagem. Hoje, há uma delegacia especializada para 40 milhões de habitantes. Obviamente, é insuficiente. Temos a promessa do delegado-geral de que serão criadas dez novas delegacias com laboratórios", afirmou Marco em entrevista à BBC News Brasil.
O procurador afirmou que hoje autoridades brasileiras já têm condições de entrar no Telegram e identificar criminosos. Segundo ele, isso já foi feito em São Paulo, mas, ainda assim, as fraudes no aplicativo seguem impunes.
"A criminalidade está ganhando nessa briga de gato e rato. O direito é muito lento e a tecnologia é muito rápida. A gente trata crime como a gente tratava na década de 1940. A Polícia Federal é bem preparada e tem condições para lidar com crimes cibernéticos, mas o policial civil não foi treinado para isso", afirmou Marco.
Ele afirma que o despreparo de policiais causa a chamada "cifra negra" - termo que se refere aos crimes não declarados ou não descobertos, como, por exemplo, quando a vítima não registra o crime porque acredita que ele ficará impune.
"Você chega numa delegacia comum e (os crimes cibernéticos) são tratados como bobagem. É tratado como se aquilo não tivesse importância, como chacota. Você não tem uma promotoria especializada em crimes cibernéticos. Foi criado o Cyber Gaeco para investigar os crimes mais graves, mas não há uma promotoria especializada nisso. Não há uma Vara especializada. Não há uma Câmara dentro de um tribunal ou uma Procuradoria especializada em crimes cibernéticos", afirmou o procurador.
Mas por que é tão difícil identificar e prender esses criminosos?
Policiais e especialistas em segurança cibernética disseram à reportagem da BBC News Brasil que diversos fatores criam barreiras e tornam praticamente inviável investigar, identificar e prender os criminosos que atuam no Telegram.
O primeiro gargalo é a dificuldade de entrar em contato com os responsáveis pelo aplicativo. Enquanto o WhatsApp tem sede no Brasil e hoje é visto como um parceiro pelos órgãos de investigação, o Telegram não tem representantes no país.
Durante dias, a reportagem da BBC News Brasil tentou entrar em contato com representantes da assessoria de comunicação do aplicativo fundado pelo russo Pavel Durov, mas não obteve sucesso.
Alguns fatores favoreceram o avanço do Telegram. Muitas pessoas migraram para ele após as revelações do analista Edward Snowden sobre a ampla vigilância ilegal promovida pelo governo americano. Quedas do serviço do WhatsApp - como quando um juiz brasileiro ordenou a suspensão do serviço por 48 horas - também favoreceram a migração.
Mas o Telegram é mais seguro que o WhatsApp? Não há consenso sobre o tema. O aplicativo russo decidiu construir sua própria criptografia, medida criticada por especialistas na área.
É possível a identificação?
"Depende bastante das formas de monitoramento, das técnicas que estão sendo utilizadas, mas é possível sim identificar e chegar até quem usa o Telegram sem necessariamente precisar pedir informações ao aplicativo", explica Thiago Marques, pesquisador da Kaspersky Lab, uma das maiores empresas de cibersegurança do mundo.
Segundo ele, é possível encontrar os usuários a partir de um processo longo de investigação, que também usa dados do Telegram, mas não somente do aplicativo, cruzando diversas informações.
Há algum jeito, então, de ficar completamente fora do radar das autoridades, usando alternativas como o navegador Tor, usado para acessar a dark web?
"A segurança plena é uma fantasia. O que os profissionais especialistas em segurança tentam atingir é um patamar em que o custo de invadir o sistema seja maior do que o valor por trás desses dispositivos de segurança. Ou seja, o prêmio não valeria o esforço de ultrapassar a barreira", explica Leonardo Barbosa e Oliveira, professor do Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Minas Gerais (UFMG).
Os níveis mais profundos de privacidade que o Telegram e outros serviços oferecem estão ligados a um dos debates mais acalorados envolvendo autoridades, especialistas, acadêmicos e ativistas: se por um lado dão margem a criminosos e terroristas atuarem com mais facilidade ante forças de segurança, por outro, oferecem um porto mais seguro para dissidentes e a circulação de informação em países como China e Irã.
Hierarquia de hackers
Há diferentes níveis técnicos das pessoas que abastecem esses grupos. A maior parte não tem quase nenhum conhecimento de informática e apenas distribui o produto final.
Acima deles, estão os responsáveis por invadir ou conseguir acesso às maiores bases de dados do Brasil, como o CadSUS ou de lojas virtuais como Submarino ou Americanas, por exemplo.
Esses hackers são capazes de criar os chamados painéis, como são chamados tanto os programas que gerenciam o acesso a serviços vendidos (IPTV, recarga de celular, internet ilimitada) quanto os programas que reúnem diversas bases de dados e cruzam os dados entre si.
Por exemplo, se um mesmo CPF aparece em duas bases de dados, esse programa junta as informações contidas em ambos. Dessa forma, é possível testar se a senha cadastrada em um site de compras também é válida em outro, além do cartão de crédito ou outros documentos.
Esse é um dos motivos pelos quais especialistas em segurança digital recomendam que a mesma senha não seja cadastrada em diferentes sites.
Quanto mais informações e bancos de dados, mais caros são os painéis. Nesse ambiente, há hackers que vendem acesso a alguns painéis e outros que apenas vendem as informações contidas nele.
Por exemplo, alguns cobram uma taxa de R$ 10 para informar um CPF ou endereço de uma pessoa. Já a compra de um painel pode passar dos R$ 20 mil.
Investigadores e especialistas ouvidos pela reportagem afirmam que diversas instituições financeiras abafam casos de vazamentos de dados a fim de evitar danos à imagem da empresa e quebra de confiança dos clientes - hoje, a lei não obriga que elas notifiquem as autoridades sobre essas invasões.
Um estudo da Experian, grupo que controla a Serasa no Brasil, indicou que 72% das empresas brasileiras entrevistadas tiveram aumento de prejuízos com fraudes virtuais em 2018.
Segundo um estudo de 2017 da iDefense, braço de inteligência de cibersegurança da consultoria Accenture, os programas maliciosos que são vendidos ou compartilhados em comunidades do submundo virtual brasileiro geralmente são versões modificadas do que circula no mercado internacional.
A consultoria afirma que cibercriminosos brasileiros experientes estão aprendendo russo para conseguir fechar parcerias importantes com hackers daquele país.
Um estudo do Insikt Group, braço de cibersegurança da empresa de tecnologia Recorded Future, sobre a atuação de hackers brasileiros, publicado em abril deste ano, destacou a prática do carding, que pode envolver roubo e venda de dados de cartão de crédito, além da geração de cartões por meio de algoritmos.
Para o Insikt Group, os cibercriminosos brasileiros podem ser caracterizados em geral como "piratas", em contraponto aos mais especializados "gatunos" russos e "nerds" chineses. Mas um grupo seleto de brasileiros se equipara a hackers da China na capacidade de invadir sistemas bancários e caixas eletrônicos.
As consultorias dessa área afirmam que os principais alvos são os próprios cidadãos de seu país. Para a iDefense, há uma série de fatores para isso, como barreira linguística, a ampla oferta de oportunidades dentro do país, impunidade e forças de segurança sobrecarregadas.
Como minimizar os danos causados por esses ataques?
O especialista em segurança de dados e diretor de operações da Mandic Cloud Solutions, Fábio Sávio, diz que o usuário pode tomar alguns cuidados para ao menos diminuir os danos no caso de ser atacado por hackers.
"O primeiro ponto é o usuário não usar senhas fracas. O ideal são senhas mais de 10 caracteres, com números, letras maiúsculas e caracteres especiais", afirmou.
Ele afirma que, além de uma senha mais complexa dar mais trabalho ao hacker, combinações diferentes para contas distintas evita acesso a outras caso uma delas se torne conhecida.
Se a senha cadastrada num site de compras for a mesma do e-mail pessoal do usuário, por exemplo, o hacker poderá ter acesso a ambas - e, por consequência, a dados muito mais sensíveis e provavelmente a outras contas.
Sávio também indica que o usuário deve ativar a verificação de duas etapas em todos os aplicativos que disponibilizam essa opção. Isso faz com que o programa peça uma senha de tempos em tempos.
É importante também ativar a opção de criptografia ao usar aplicativos de trocas de mensagens. Isso evita que o hacker consiga decifrar as mensagens mesmo que ele tenha acesso ao conteúdo.
Hoje, o WhatsApp faz isso automaticamente.
O especialista diz que não é necessário deixar de usar as lojas online, mas que é preciso tomar o máximo de cuidados para não ter problemas. "O que eu faço é trocar minha senha a cada três meses. Eu tenho um programa que armazena senhas e me avisa quando eu preciso mudar. Dá trabalho, mas dá mais segurança", afirmou.
Por último, ele diz que é sempre bom desconfiar de comportamentos diferentes. Por exemplo, se o seu banco mandou SMS ou um e-mail pedindo para clicar em um link, e ele não costuma fazer isso, você não deve clicar. "Se você não entrou no bankline por um problema, por que clicaria num link de recuperação de senha? O segredo é desconfiar", afirmou Sávio.
Há diversas alternativas disponíveis na internet para descobrir se você foi vítima de alguma invasão de grandes bases de dados, caso do site Have I Been Pwned?, por exemplo, além de serviços de empresas como a Serasa Experian, que oferecem o monitoramento de seu CPF a fim de saber se ele usado em fraudes.