Professional Documents
Culture Documents
INVESTIGAÇÃO E FRAUDES
COM SERVIÇOS AVANÇADOS
Objetivos do módulo
Ao final deste módulo, você deverá ser capaz de:
• Identificar as tecnologias mais atuais que estão sendo utilizadas em práticas cri-
minosas;
• Saber as ações a serem tomadas nos casos em que criminosos utilizam recursos
avançados de tecnologia na prática de delitos;
• Orientar usuários a se prevenirem das ações maléficas decorrentes de tecnolo-
gias avançadas;
• Identificar em que situações é possível utilizar uma interceptação e que tipo de
interceptação é o mais adequado;
• Identificar em que situações é possível localizar um criminoso, o produto de um
crime ou uma vítima, se valendo de recursos tecnológicos.
Estrutura do módulo
Este módulo possui as seguintes aulas:
Aula 1 – Engenharia social e malwares;
Aula 2 – Interceptação telefônica e telemática;
Aula 3 – Serviços VoIP (Voice over IP – Voz sobre IP);
Aula 4 – Rastreamento de dispositivos móveis.
AULA 1
Engenharia social e
malwares
6.1 Engenharia Social [...] um método de ataque, onde alguém faz uso
Engenharia social é a técnica utilizada para le- da persuasão, muitas vezes abusando da inge-
vantar informações de qualquer pessoa desconhecida. nuidade ou confiança do usuário, para obter
Nessa técnica, o atacante vale-se da fragilidade da vítima informações que podem ser utilizadas para ter
para conseguir informações imprescindíveis para o início acesso não autorizado a computadores ou in-
de um ataque. formações. (Qual é a página e o ano)
Sobre o assunto, descreveram Wendt e Jorge: O sucesso ou fracasso na utilização dessa técni-
ca depende da criatividade do atacante e da fragilidade da
[...] é a utilização de um conjunto de técnicas vítima ou do sistema a ser atacado. O atacante pode utili-
destinadas a ludibriar a vítima, de forma que zar apelos físicos ou psicológicos, ou seja, no primeiro caso
ela acredite nas informações prestadas e se explorando o lixo que pode conter muita informação so-
convença em fornecer dados pessoais nos bre possíveis vítimas ou se passando por outra pessoa ao
quais o criminoso tenha interesse ou a execu- telefone e no segundo caso, valendo-se da fragilidade sen-
tar alguma tarefa e/ou aplicativo. timental da vítima, caso típico do sequestro falso, seguido
[...] geralmente os criminosos simulam fazer par- de extorsão; bem como de características inerentes ao ser
te de determinada instituição confiável, como humano, tais como medo, curiosidade, simpatia, ganância,
bancos, sites e grandes lojas, órgãos do gover- entre outros.
no ou outros órgãos públicos para que a vítima De sorte que as autoridades policiais também se
confie nos falsos dados apresentados, o que na valem desta técnica nos casos em que se infiltram no am-
verdade, será a isca para que sejam fornecidas biente criminoso, criando estórias coberturas, para manter
as referidas informações. contato e levantar informações importantes para investi-
[...] Nestas situações o ponto nevrálgico é a falta gações criminais.
de conscientização do usuário de computado-
res sobre os perigos de acreditar em todas as
informações que chegam até ele. (2012, p. 21). 6.2 Spam e phishing
scam
De acordo com o Centro de Estudos, Respostas e
Tratamento de Incidentes e Segurança no Brasil (CERT.br), A facilidade de comunicação trazida pelos apli-
a engenharia social é: cativos de mensagens eletrônicas e-mail, trouxe também
facilidades para a questão da propaganda comercial. Nesse Ao procedimento de tentar angariar vítimas em
contexto, surgiram as mensagens denominadas “SPAM”. potencial para os mais variados tipos de fraudes, denomi-
O fato é que os atacantes e criminosos presentes na-se “phishingscam”, derivando da palavra inglesa fishing
na Internet utilizam esse vasto campo de propagandas co- (pescaria, em português), já que com esse procedimento,
merciais indesejadas, que praticamente todos os usuários o atacante executa a “engenharia social”, obtendo dados
da Internet recebem, para introduzir mensagens contendo valiosos da vítima, tais como informações pessoais e se-
anexos contaminados ou links para páginas maliciosas. nhas bancárias. É como uma verdadeira pescaria, onde o
Especialmente os usuários mais leigos, não sabem diferen- atacante é o pescador colocando iscas para os peixes, que
ciar entre o que de fato é propaganda comercial e o que faz são as vitimas.
parte de mensagens maliciosas, sendo fáceis presas para
os criminosos. Dessa forma, as mensagens sempre contêm algo
chamativo como promessas de grandes lucros, fotos de ce-
Então, os atacantes enviam suas mensagens ma- lebridades da moda, notícias e boatos de grande audiência,
liciosas, tentando disfarçá-las de mensagens comerciais orçamentos de produtos com custo abaixo do mercado,
comuns (SPAMs), ou simulando ser mensagens originadas apelos sexuais, avisos de dívidas, multas, ou de qualquer
de instituições conhecidas, tais como órgãos do governo, órgão do governo local e assim por diante. O limite é a cria-
bancos ou empresas comerciais conhecidas, para milhões tividade do atacante.
de usuários da Internet, sabendo que estatisticamen-
te, uma pequena parcela dos usuários que receberem as A figura a seguir mostra de um lado (direito) os
mensagens vão acessá-las indiscriminadamente sem saber tipos de serviços mais atacados e de outro (esquerdo) as
o risco que correm. informações mais procuradas pelos atacantes.
2.1 Interceptação na acesso responsável pela linha telefônica do alvo, sem con-
forma legal sultar um banco de dados apropriado e atualizado.
Interceptar significa desviar uma cópia de todo Assim, o primeiro passo para a efetivação de
o sinal elétrico de comunicação de áudio, vídeo ou dados uma interceptação é descobrir o número da linha tele-
que o alvo tem acesso, recebido ou enviado por ele, para fônica ou identificação do serviço de acesso à Internet
que seja gravado em mídia e analisado pela autoridade que o alvo utiliza para efetuar as comunicações envol-
competente numa investigação criminal. vendo o crime investigado, para, a partir daí, solicitar
A interceptação de comunicações telefônicas e à operadora ou provedor responsável que proceda a
telemáticas é prevista no inciso XII, art. 5º da Constituição interceptação e o desvio da comunicação para a autori-
Federal e regulamentada pela Lei Federal 9.296/1996. dade competente.
A interceptação de uma comunicação só deve É claro que, a autoridade competente terá que
ser realizada mediante ordem judicial e só pode ser con- contar com equipamentos preparados para receber, gravar
cretizada com a colaboração do provedor de acesso ao e dar possibilidade de análise do conteúdo para as equipes
serviço de voz ou dados. Qualquer interceptação que fuja de investigação responsáveis. Existem várias plataformas
disso será considerada ilegal e não servirá como prova no já consolidadas no meio jurídico como sistemas robustos
processo judicial. para análise de sinais interceptados, sendo os principais
o sistema Guardião, o sistema Sombra e o sistema Verity.
2.2 Interceptação Além disso, as operadoras de telefonia celular disponibili-
telefônica zam o sistema VIGIA (com configurações individuais para
No caso de linha interceptação de sinais de áu- cada operadora), onde é possível verificar extratos telefô-
dio de linhas telefônicas (fixas ou celulares), o procedi- nicos dos alvos, dados cadastrais de interlocutores e ERBs
mento já está consolidado há algum tempo e vem sendo utilizadas pelo alvo.
muito bem utilizado em investigações e processos judi-
ciais, sendo atualmente a principal fonte de investigação
das polícias judiciárias em todo o mundo. Para saber mais sobre interceptação telefônica,
Com o advento da portabilidade numérica, tor- http://www.advivo.com.br/blog/luisnassif/como-sao-fei-
nou-se impossível prever a operadora ou o provedor de tas-as-interceptacoes-telefonicas
2.3 Descobrindo 2. Com a venda de aparelhos falsificados, cresce
a operadora a incidência de uso de um mesmo IMEI para
de telefonia vários aparelhos. Isso pode fazer com que uma
ou provedor
responsável interceptação de IMEI capte mais de um alvo,
inviabilizando juridicamente o processo de in-
Se for uma linha telefônica, de posse do número terceptação, já que o sigilo de terceiros alheios
da linha, para descobrir o provedor é necessário consultar à investigação poderia estar sendo quebrado.
um dos sites de informação em tempo real. Sugerimos o
site oficial da ABR. http://consultanumero.abr.net.br/con- 2.5 Interceptação
sultanumero/consulta/consultaSituacaoAtual telemática
Se o número da linha telefônica não for conheci- No caso de interceptações de sinais de dados
do, ou se o acesso for via rádio, TV a cabo, energia elétrica (lembre-se que sinais de áudio também podem ser trafega-
ou outro meio seria necessário fazer um trabalho investi- dos como sinal de dados) ainda não há uma padronização
gativo junto à vizinhança do alvo para obter informações de procedimentos, já que este tipo de interceptação é mais
que identifiquem o acesso e o provedor. raro e difícil de ser implementado, dando margem a vários
tipos de tecnologia.
2.4 Interceptação Os tipos de equipamentos e a quantidade de tec-
de aparelhos nologias utilizadas pelos provedores dificultam a padroniza-
celulares pelo ção de um procedimento único para todas as operadoras.
identificador
O serviço de dados sobre redes de telefonia ce-
Em várias situações, o alvo utiliza vários chips de lular está se estabilizando com a tecnologia de terceira ge-
telefonia celular em um mesmo aparelho, afinal o preço ração (3G) e já está em andamento a quarta geração, que
dos chips e a facilidade em adquiri-los tem sido um facilita- chegará em breve com novos protocolos e tecnologias que
dor, além de auxiliar o criminoso na intenção de despistar trarão 100MBits/s para o smartphone.
a polícia. Nesses casos, é possível que seja feita a intercep-
tação do aparelho celular, independentemente da linha Isso tornará mais viável financeiramente a utili-
telefônica habilitada no momento. zação de serviços avançados como voz sobre dados, tra-
zendo à tona a tendência de que o serviço de voz tradicio-
É claro que é necessário que seja de conhecimen- nal vá sendo gradativamente substituído pelos serviços de
to o IMEI – International Móbile EquipmentIdentity (iden- VoIP, já que a qualidade do serviços das novas redes 4G
tificador único do dispositivo móvel celular) do aparelho a será muito melhor e com um custo relativamente baixo.
ser interceptado. Essa informação muitas vezes só é possí-
vel após a primeira interceptação efetuado apenas com o Além disso, os grandes eventos previstos para
número da linha telefônica, e a partir daí a operadora po- o Brasil nos próximos anos tendem a trazer muito inves-
derá indicar o IMEI do(s) aparelho(s) que utilizou(aram) a timento, e, consequentemente, acelerar ainda mais o pro-
linha alvo. cesso de evolução tecnológica.
OBSERVAÇÕES:
2.7 Dificuldades
1. Os aparelhos telefônicos com mais de um e limitações da
chip têm um IMEI para cada chip a ser habili- interceptação
tado, ou seja, na verdade são mais de um apa- telemática
relho acoplados a apenas um conjunto fone/ É importante frisar que as interceptações telemá-
microfone dentro do mesmo invólucro. ticas oferecem algumas limitações e dificuldades, tais como:
• A interceptação não mostra o conteúdo da tela ainda maior para conseguir interceptar todo o
do alvo tal como foi efetuado no local. Não conteúdo sem perdas;
equivale a uma filmagem da tela do alvo. Não • Os processos burocráticos impostos pela le-
se pode ver os movimentos do mouse do alvo; gislação e normas administrativas de governo
• Ainda não há solução que implementa a re- muitas vezes atrasam o processo de aquisição
montagem do conteúdo interceptado se o de serviços e recursos tecnológicos de última
mesmo for criptografado. Por exemplo, pá- geração. Ao contrário disso, os provedores fre-
ginas de bancos (HTTPS), comunicações via quentemente utilizam equipamentos com tec-
skype ou whatsapp, entre outros aplicativos nologia de última geração, dificultando para a
do gênero têm conteúdo criptografado; equipe de investigação efetuar o tratamento da
• A interceptação telemática requer da polícia informação coletada no alvo da interceptação;
acesso a grande recurso computacional e lar- • As operadoras de telefonia não têm nenhuma
gura de banda. Atualmente, as operadoras padronização tecnológica, de equipamentos
oferecem links de até 100Mbits/s na casa de ou protocolos de entrega das informações in-
usuários residenciais. Se um alvo trafega a esta terceptadas, sendo necessário que a autorida-
velocidade, a autoridade interceptante terá de tenha um arsenal de tecnologias para cobrir
que ter um link com uma largura de banda cada caso.
AULA 3
Serviço VoIP (Voice over
IP – Voz sobre IP)
3.1 Níveis do serviço como MSN, SKYPE, GTALK, etc, com um fone de ouvido e
VoIP microfone, até uma grande operadora de telecomunicações
O serviços de VoIP não tem padronização ou nor- que oferece o serviço de telefonia VoIP, passando por empre-
matização formal. Por isso, vem sendo oferecido das mais sas de todos os portes que utilizam esta tecnologia para fa-
diversas formas e nos mais diversos níveis. Pode ser consi- zer ligações internas entre suas sedes e externas para todo o
derado VoIP, desde um usuário que utiliza um aplicativo de mundo, valendo-se da Internet para baratear custos. A ima-
comunicação instantânea por áudio no seu computador, tais gem a seguir exemplifica esta questão.
No cenário de VoIP temos as ligações de compu- Internet e a RTPC (Rede de Telefonia Pública Comutada).
tador para computador via Internet, utilizando uma rede Muitas operadoras de telefonia têm feito esse papel, assim
social qualquer. Ou ligações de Internet para a rede telefô- como pequenas empresas que estão entrando no mercado.
nica convencional ou vice-versa. Assim, como a Internet é global e o atacante cri-
Então, o primeiro requisito para um serviço de minoso ainda tem possibilidade de acessos remotos, é pos-
VoIP completo é que o provedor interligue-se com as redes sível que um crime seja cometido acessando a rede telefô-
nica a partir de qualquer local do mundo via Internet. Esse criminoso pode originar e receber chamadas de qualquer
é um recurso muito utilizado pelos estelionatários. lugar do mundo via Internet. Não há um local de instala-
Neste cenário, é possível que o fraudador com- ção física para esta linha telefônica, embora ela receba um
pre um número de linha telefônica com um código DDD/ código DDD convencional.
DDI de qualquer parte do mundo e acesse de qualquer ou- Neste caso, a única possibilidade de identi-
tro local. Isso pode confundir a vítima e a autoridade que ficar a localização do alvo é por meio do endereço IP
investigará futuramente, tornando a identificação da real que ele utilizou para acessar a Internet e conectar-se
origem do criminoso muito mais difícil. à operadora que oferece o serviço a ele. Neste caso, é
preciso contar com a sorte de a operadora ter esta in-
3.2 Como o criminoso
formação, já que não há lei que a obrigue. Outra fonte
se beneficia do de informação seria a forma como o criminoso efetua o
serviço VoIP pagamento do serviço.
Na maioria das vezes o criminoso, quase sempre Os estelionatários costumam utilizar esse servi-
estelionatário, se vale da facilidade de acessar a rede tele- ço para despistar a autoridade policial publicando um nú-
fônica por meio da Internet de qualquer parte do mundo. mero de telefone com DDD diferente da sua localização.
O criminoso então pode contratar os serviços de uma das Se a autoridade policial não tiver conhecimento ou apoio
operadoras e ganhar um número telefônico convencio- técnico para desvendar, poderá levar muito tempo até se
nal com qualquer código DDD que queira. Desta forma, o inteirar sobre o assunto e descobrir o truque.
AULA 4
Rastreamento de
dispositivos móveis
As figuras anteriores mostram o deslocamento de investigações. Com ela a equipe de investigação pode
do dispositivo móvel em direção a áreas atendidas por identificar uma área geográfica onde poderia efetuar bus-
outras antenas (ERBs). Quando o dispositivo móvel sai da cas para localização de um terminal investigado.
área atendida por uma ERB (hexágono) e passa para a área É bom lembrar que um dispositivo móvel celu-
de outra antena, aquele terminal passa a ter contato com lar geralmente se comunica com a ERB mais próxima, mas
outra antena. Esse procedimento de troca de ERB é chama- se há uma ocupação total dos canais e ele está numa área
do “handoff” ou “handover”. onde há possibilidade de se comunicar com outras ERBs
A operadora que disponibiliza o serviço ao ter- mais distantes, certamente isso ocorrerá. Essa situação não
minal móvel tem condições de manter um registro de to- é rara de acontecer, já que as redes das operadoras estão
das as ERBs e cada terminal que se comunica com cada atualmente atuando no limite de demanda. A equipe de
uma delas. Essa informação é o que mais interessa em caso investigação deve estar atenta.
4.4 O rastreamento busca vai depender da área de cobertura da ERB com que
da ERB e azimute o alvo está se comunicando.
O importante aqui é saber que as operadoras A maioria das ERBs mais modernas funcionam
têm condição de identificar com qual antena (ERB) o dis- com três antenas direcionais que cobrem cerca de 120
positivo móvel está se comunicando e disponibilizar essa graus (dos 360 graus do círculo em torno da antena) cada
informação para a autoridade policial, que a partir daí terá uma. A operadora pode disponibilizar o parâmetro cha-
condições de diminuir a área de busca pelo alvo ou confir- mado “azimute”, que dá ideia da direção em torno da ERB
mar uma suspeita anteriormente identificada. A área de na qual o alvo deve estar. Veja a imagem a seguir.
4.5 Intersecção de vel, o que poderia dar uma ideia da distância que o alvo
ERBs e intensidade deve estar a partir da distância radial da antena ou ainda
do sinal pode saber que o sinal do aparelho móvel está sendo cap-
Algumas operadoras são capazes dar uma esti- tado por outras antenas próximas, concluindo que o alvo
mativa de intensidade do sinal recebido do aparelho mó- deve estar numa área de intersecção dessas antenas.
Assim, a operadora pode ajudar a autoridade po- ário que habilite esta funcionalidade. Existem aplicativos
licial a diminuir muito a área de busca. Em alguns casos disponíveis no mercado que ao serem instalados no dis-
pode-se chegar a uma precisão muito boa e determinar o positivo móvel podem dar a localização exata do equipa-
local onde o alvo está com uma margem de erro de poucos mento furtado e inclusive tirar fotos e enviar ao dono via
metros. e-mail.
MÓDULO 1
1 - (x) Registro de eventos com endereços IP, datas e horas. MÓDULO 3
2 - (x) registro de endereços eletrônico, data e hora de 1 - Orientação para resposta:
acesso do usuário. Provedores de serviços são as empresas que fornecem al-
3 - (x) unir esta informação a outras obtidas por meio tradi- gum tipo de serviços na Internet, tais como e-mail, portal
cional para apontar a autoria. de notícias, chat, comunicação instantânea, entretenimen-
to, comércio eletrônico, homebank, entre outros. Esses
4 - (x) endereço IP, endereço URL e endereço de E-mail. provedores podem apontar qual o endereço IP utilizado
5. F / F / V / V pela conexão onde o suspeito de um crime utilizou a Inter-
net para acessar o serviço no momento da prática delitu-
osa. As maiores empresas do ramo são Google, Microsoft,
MÓDULO 2 Yahoo, UOL, entre outras.
1 - ( x ) A “lei dos cybercafés” não especifica as punições Provedores de acesso são as empresas que disponibilizam
para quem não cumpre as normas vigentes e não estabe- os meios físicos de transmissão de dados e os equipamen-
lece o órgão governamental competente para fiscalizar o tos de rede de comunicação que possibilitam ao usuário
cumprimento. acessar a Internet. Esses provedores podem identificar o
2 - ( x ) Por meio do endereço IP é possível definir a região endereço completo de instalação do acesso à Internet que
onde o criminoso utilizou a Internet. utilizou determinado endereço IP na respectiva data e ho-
3 - ( x ) A maior fonte de informações sobre criminosos na rário do fato delituoso. As maiores empresas neste ramo
Internet são os provedores de acesso e os provedores de são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
serviço na Internet.
4 - ( x ) O MLAT é um acordo de assistência legal mútua 2 - (x) Os provedores sempre guardam os registros de
entre os países que facilita o levantamento de informações eventos por 5 anos, de acordo com a legislação vigente no
em ambiente estrangeiro. Brasil.
3 - ( x ) Endereços IP dinâmicos são compartilhados entre investigações porque os perfis são fechados e não expõem
os vários clientes de um provedor de acesso de forma que o usuário.
é extremamente necessário que sejam vinculados a data 2. (x) Busca sistemática equivale à fazer pesquisas fre-
e horário para que o cliente responsável seja identificado. quentes e lidar com os crimes na Internet mesmo que não
4 - Orientação para resposta: haja nenhum registro oficial de vítimas.
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa de MÓDULO 5
leitura de e-mail ou seu serviço de webmail). Identifique o IP
válido que equivale ao IP da conexão de origem da mensagem. 1 - (x) Os computadores a serem apreendidos devem ser
Utilize sites de geo-localização de IP como http//en.utrace.de imediatamente puxados da tomada.
para identificar a localização geográfica aproximada. 2 - Orientação para resposta
5 - Orientação para resposta: Lembre-se de que o computador pode conter aplicativos
Expanda o cabeçalho de uma mensagem de sua caixa de e- de criptografia e que o conteúdo está somente na me-
-mail pessoal (identifique como proceder no seu programa mória volátil. Lembre-se também que o dispositivo ar-
de leitura de e-mail ou seu serviço de webmail). Identifi- mazenado deve ser preservado para que não seja conta-
que o IP válido que equivale ao IP da conexão de origem minado após o início da operação de busca e apreensão.
da mensagem. Utilize sites de geo-localização de IP como Lembre-se ainda que a análise do material apreendido
http//en.utrace.de para identificar a localização geográfica não deve ser feita no dispositivo original, mas sim em
aproximada. uma cópia feita bit-a-bit.
6 - Orientação para resposta: 3 - (x) Todos os dispositivos apreendidos devem ser identi-
ficados, catalogados, fotografados e cuidadosamente des-
6.1. Pesquise nos sites http://registro.br ou http://whois.sc critos.
para identificar o provedor responsável por cada um dos
endereços IP fornecidos pela Microsoft. Utilize a tabela
de conversão para converter os horários de uso dos en- MÓDULO 6
dereços IP dos timezones da Microsoft para os brasileiros 1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-
(atente-se para a questão do horário de verão). vos não originais.
6.2. utilize sites de geo-localização para identificar a região 2. (x) A engenharia reversa trabalha tentando descobrir
aproximada dos endereços IP. como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicação criptografada
MÓDULO 4 não é possível acessar o conteúdo por meio de intercepta-
1. (x) Na Internet, principalmente em sites de redes sociais, ção telemática.
geralmente são descartados como fonte de informação em 4. b / d / a / h / f / e / g / c