Cambistas viram "praga" dos sites de ingressos e irritam público de shows
Especialistas afirmam que bots podem ser usados nos sites de compras de ingressos; sistemas podem usar muitos CPFs para diferentes compras
A compra de ingressos para eventos online prometia comodismo: não seria mais preciso sair de casa em um dia chuvoso ou uma tarde ensolarada para garantir a entrada do espetáculo. Mas não faltam casos em que eles esgotam em poucos minutos, como o reencontro do RBD, uma semana inteira de shows do Coldplay ou o festival Lollapalooza, cuja edição 2023 começa nesta sexta-feira (24).
Ao não conseguiram ingresso para assistir ao artista preferido, fãs recorrem a uma alternativa bastante comum: a busca de bilhetes com cambistas. Mas o recurso pode sair pela culatra. Foi o caso da modelo Lívia Andrade, que foi notícia ao comprar um ingresso falso para o show do Coldplay em São Paulo.
Às vezes, os milhares de ingressos esgotam tão rapidamente que levantam suspeitas sobre fraudes e bots virtuais para o que chamam de um “esquema muito maior” de compra e venda de bilhetes.
Atuação dos cambistas
Quando não estão na porta dos estádios e casas de show, cambistas partem para o meio digital com anúncios no Instagram, Facebook e Twitter. Mas uma das formas mais usadas hoje é um site de venda e troca de ingressos chamado Viagogo, com sede nos Estados Unidos e propriedade da StubHub Holdings.
A prática no país é bastante comum para entradas em shows, festivais e até partidas de futebol. Sempre haverá uma pessoa com ingresso disponível: às vezes, com preços superfaturados, custando até três vezes o valor original. Ou muito mais barato que o normal, algo que costuma ser golpe.
Não há no Brasil uma lei específica para punir cambistas, mas eles podem ser enquadrados na Lei dos Crimes contra a Economia Popular (1.521/51), que prevê penas de seis meses a dois anos de detenção, além de multa.
Acusações de bots
À medida em que os ingressos esgotam nas plataformas oficiais, quase que instantaneamente eles estão disponíveis em outros sites ou em perfis de Instagram e Twitter.
Por exemplo, no show do RBD que acontecerá em São Paulo em outubro, todos os ingressos foram vendidos pela Eventim em poucos minutos em janeiro deste ano. O valor da pista estava em R$ 480. Já no site de venda e troca Viagogo, o bilhete é encontrado por R$ 690 no dia de publicação desta reportagem.
Pelas redes sociais, fãs acusaram a Eventim de favorecer os cambistas em um “esquema” ilegal de venda ingresso.
É óbvio q a Eventim tem esquema com os cambistas. faz nem sentido ingressos esgotarem em 1 minuto. cd pessoa leva um tempo n compra dos ingressos. Fora a fila pra entrar..Daqui a pouco esses ingressos estarão sendo vendidos em dobro no outro site q é d Eventim com os cambistas. pic.twitter.com/aEmVzmBZEg
— kahcastro🚫🐮 (@joamor27) January 27, 2023
Na época, a empresa negou qualquer esquema com cambistas e parceria com empresas que façam revenda dos ingressos.
No site, a companhia afirma que “em grandes eventos, é normal que os ingressos esgotem em apenas alguns minutos. O site da Eventim tem a capacidade de processar milhares de vendas simultaneamente”.
O Procon de São Paulo solicitou que a empresa apresentasse a comprovação da quantidade de ingressos disponibilizados à comercialização, além de dados sobre a forma de processamento e pagamento dos bilhetes vendidos. Também pediu informações detalhadas sobre os custos na aquisição de cada modalidade de ingresso.
Daniel Barbosa, especialista em segurança da informação da Eset, explicou a Byte que todo sistema, sem exceções, pode ser alvo de ataques. Caso sejam bem sucedidos, podem colocar em risco diversos pontos da estrutura do site de ingressos.
“Tendo isso em mente sim, é possível comprometer a segurança de sites de venda de ingresso”, disse. No entanto, ele admite que, por se tratar de sites independentes, não é possível saber ao certo quais sistemas de proteção usam ou não.
Ainda assim, de acordo com o presidente da Associação Brasileira de Segurança Cibernética (ABSC), Hiago Kin, é possível criar bots que se passam por compradores reais e simulam os cliques na tela, inclusive em botões de validação humana.
Os chamados “cambistas virtuais” seriam, assim, bots se passando por usuários reais, interagindo com os mecanismos de fila que frequentemente enviam notificações na tela e pedem ações para saber “se o usuário ainda está na fila”.
Estes bots automatizam todo o processo de compra, preenchendo os dados de nome, endereço e até gerando números aleatórios de CPF e RG.
"O pagamento por Pix veio como uma facilidade e mais para os bots, uma vez que os mecanismos antifraude operavam criando dados de cartão de crédito dos compradores”, disse Kim a Byte.
Como burlar compra de ingressos online
Os sites de vendas de ingresso funcionam numa lógica de limitação de compra por lotes em fila de carrinho, onde o comprador, ao adicionar ingressos no carrinho, entra em uma fila que encerra quando ele conclui o pagamento.
Kin explica que cada compra ganha um código de identificação que ordena esta compra na frente ou atrás na fila. Hoje em dia, diz ele, é possível simular com bots "qualquer comportamento humano em sites e aplicativos".
Para barrar esses problemas, existe um mecanismo de proteção que ainda não está disponível na maioria dos sites. Segundo Kin, é um sistema de autenticação contínua por uma tecnologia chamada Liveness. Nele, o comprador precisa abrir a câmera do aparelho em que está fazendo a compra para progredir na fila virtual a cada dez ou 100 posições, além de piscar com os olhos e dizer o próprio nome em voz alta.
"Faz-se necessário regulamentação e fiscalização mais apropriadas à atualidade, como, por exemplo, a obrigatoriedade da impossibilidade de se transferir os ingressos se não por um processo dentro do painel do sistema de compras, após todas as validações humanas de Liveness serem efetivadas", sugere o especialista.
Até hacker pode agir
Helder Ferrão, gerente de marketing de indústrias da empresa de segurança Akamai na América Latina, afirmou que em outras situações, cambistas podem burlar o sistema de uma forma "produtiva" com outras intenções.
"O site pode ser hackeado para impedir a venda de ingresso por alguma razão. Pensando em uma compra de uma quantidade significativa de alguma pessoa, ou um grupo de pessoas, tirar o site do ar é vantajoso porque as pessoas não conseguirão comprar e precisarão buscar de cambistas", disse.
Segundo ele, um hacker poderia usar um bot de sequestro de dados e baixar a quantidade de CPF e utilizar diferentes logins para realizar as operações.
"Por isso é vantajoso. Imagine que um site limita a dois CPFs por pessoa, o hacker utiliza 50 números distintos e compra 100 ingressos. Depois vende isso nas filas de shows", afirmou Ferrão.
Gostaria muito de entender como que os ingressos do show do #RBDTour2023 #SoyRebeldeTour acabaram no site da #Eventim, do nada, aparecem milhares no site do Viagogo. Estranho neah! Alguém remove essas bostas de bots!!! pic.twitter.com/hFLtDzs4hZ
— sweet 🌻 (@crissant15) January 27, 2023
A reportagem procurou a Eventim para comentar as acusações de fãs, mas não obteve retorno até a publicação desta reportagem. Também entramos em contato com a Viagogo para entender quais critérios a plataforma adota ao cadastrar seus vendedores, mas não conseguimos respostas.
Cambistas nas redes sociais
Não há como afirmar que cambistas usam bots em plataformas, mas os vendedores adotam as redes sociais para encontrar fãs desesperados. Segundo Barbosa, é comum que interessados busquem alternativas de compra em mercados secundários, redes sociais e canais não oficiais, criando um cenário propício para golpes e roubos.
"Os anúncios em sites não oficiais podem ser considerados o primeiro ponto de atenção, visto que os golpistas podem tentar persuadir a vítima a clicar em um link de um site falso, muitas vezes, com preços muito abaixo da média", disse.
Camila Borges, paulistana de 22 anos, contou a Byte que durante o Lollapalooza do ano passado foi uma dessas vítimas.
"Quando chegou perto do evento, dois finais de semanas antes, eu e minha prima decidimos que queríamos ir para assistir à Miley Cyrus. Fomos até a bilheteria, mas os ingressos já tinham acabado".
Foi então que ela viu um comentário no Instagram de um vendedor dizendo que possuia dois ingressos para o evento.
"O Lolla Comfort (ingresso) era R$ 1.300 cada, e ele estava vendendo os dois por R$ 800. Estava tudo certo para ser mentira, mas a gente resolveu acreditar nele", disse.
Camila conta que o cambista chegou a enviar as pulseiras para casa dela e até passar o login de acesso pela Tickets For Fun. No entanto, antes do dia do evento, o cambista sumiu, não respondia às mensagens, e elas não conseguiam registrar a pulseira no site da empresa.
Ainda assim, ela foi no dia do evento até o local do show e ao não conseguir entrar, procurou um posto de atendimento para entender o que havia acontecido, informou o CPF da compra (dado pelo cambista) e recebou a notícia de que as pulseiras tinham sido canceladas.
"Gastei dinheiro com roupa, com aplicativo, com a pulseira. Eu informei para ele que não conseguia entrar, ele me respondeu três dias depois dizendo que tinha quebrado o celular", disse.
Ela e a prima registraram um boletim de ocorrência e procuraram familiares do cambista nas redes sociais para pressionar e cobrar o dinheiro.
Dicas para não cair em golpes de ingresso online
Barbosa, da Eset, disse que os compradores virtuais precisam tomar alguns cuidados ao comprarem ingressos online fora das plataformas oficiais.
"Os criminosos possuem diversas técnicas para se passar por pessoas e empresas, portanto é preciso verificar se os vendedores são quem eles dizem ser", disse.
Em caso de comercialização de ingressos por terceiros, certifique-se que seja alguém de confiança e que possa mostrar os comprovantes de compra oficiais. E nunca forneça dados pessoais para pessoas desconhecidas.