Módulo 6

INVESTIGAÇÃO E FRAUDES
COM SERVIÇOS AVANÇADOS

Objetivos do módulo
Ao final deste módulo, você deverá ser capaz de:
• Identificar as tecnologias mais atuais que estão sendo utilizadas em práticas cri-
minosas;
• Saber as ações a serem tomadas nos casos em que criminosos utilizam recursos
avançados de tecnologia na prática de delitos;
• Orientar usuários a se prevenirem das ações maléficas decorrentes de tecnolo-
gias avançadas;
• Identificar em que situações é possível utilizar uma interceptação e que tipo de
interceptação é o mais adequado;
• Identificar em que situações é possível localizar um criminoso, o produto de um
crime ou uma vítima, se valendo de recursos tecnológicos.

Estrutura do módulo
Este módulo possui as seguintes aulas:
Aula 1 – Engenharia social e malwares;
Aula 2 – Interceptação telefônica e telemática;
Aula 3 – Serviços VoIP (Voice over IP – Voz sobre IP);
Aula 4 – Rastreamento de dispositivos móveis.
 AULA 1
Engenharia social e
malwares
6.1 Engenharia Social
Engenharia social é a técnica utilizada para le-
vantar informações de qualquer pessoa desconhecida.
Nessa técnica, o atacante vale-se da fragilidade da vítima
para conseguir informações imprescindíveis para o início
de um ataque.
Sobre o assunto, descreveram Wendt e Jorge:
[...] é a utilização de um conjunto de técnicas
destinadas a ludibriar a vítima, de forma que
ela acredite nas informações prestadas e se
convença em fornecer dados pessoais nos
quais o criminoso tenha interesse ou a execu-
tar alguma tarefa e/ou aplicativo.
[...] geralmente os criminosos simulam fazer par-
te de determinada instituição confiável, como
bancos, sites e grandes lojas, órgãos do gover-
no ou outros órgãos públicos para que a vítima
confie nos falsos dados apresentados, o que na
verdade, será a isca para que sejam fornecidas
as referidas informações.
[...] Nestas situações o ponto nevrálgico é a falta
de conscientização do usuário de computado-
res sobre os perigos de acreditar em todas as
informações que chegam até ele. (2012, p. 21).
De acordo com o Centro de Estudos, Respostas e
Tratamento de Incidentes e Segurança no Brasil (CERT.br),
a engenharia social é:
[...] um método de ataque, onde alguém faz uso
da persuasão, muitas vezes abusando da inge-
nuidade ou confiança do usuário, para obter
informações que podem ser utilizadas para ter
acesso não autorizado a computadores ou in-
formações. (Qual é a página e o ano)
O sucesso ou fracasso na utilização dessa técni-
ca depende da criatividade do atacante e da fragilidade da
vítima ou do sistema a ser atacado. O atacante pode utili-
zar apelos físicos ou psicológicos, ou seja, no primeiro caso
explorando o lixo que pode conter muita informação so-
bre possíveis vítimas ou se passando por outra pessoa ao
telefone e no segundo caso, valendo-se da fragilidade sen-
timental da vítima, caso típico do sequestro falso, seguido
de extorsão; bem como de características inerentes ao ser
humano, tais como medo, curiosidade, simpatia, ganância,
entre outros.
De sorte que as autoridades policiais também se
valem desta técnica nos casos em que se infiltram no am-
biente criminoso, criando estórias coberturas, para manter
contato e levantar informações importantes para investi-
gações criminais.
6.2 Spam e phishing
scam
A facilidade de comunicação trazida pelos apli-
cativos de mensagens eletrônicas e-mail, trouxe também
facilidades para a questão da propaganda comercial. Nesse
contexto, surgiram as mensagens denominadas “SPAM”.
O fato é que os atacantes e criminosos presentes
na Internet utilizam esse vasto campo de propagandas co-
merciais indesejadas, que praticamente todos os usuários
da Internet recebem, para introduzir mensagens contendo
anexos contaminados ou links para páginas maliciosas.
Especialmente os usuários mais leigos, não sabem diferen-
ciar entre o que de fato é propaganda comercial e o que faz
parte de mensagens maliciosas, sendo fáceis presas para
os criminosos.
Então, os atacantes enviam suas mensagens ma-
liciosas, tentando disfarçá-las de mensagens comerciais
comuns (SPAMs), ou simulando ser mensagens originadas
de instituições conhecidas, tais como órgãos do governo,
bancos ou empresas comerciais conhecidas, para milhões
de usuários da Internet, sabendo que estatisticamen-
te, uma pequena parcela dos usuários que receberem as
mensagens vão acessá-las indiscriminadamente sem saber
o risco que correm.
Serviços mais atacados/informações mais procuradas.
Ao procedimento de tentar angariar vítimas em
potencial para os mais variados tipos de fraudes, denomi-
na-se “phishingscam”, derivando da palavra inglesa fishing
(pescaria, em português), já que com esse procedimento,
o atacante executa a “engenharia social”, obtendo dados
valiosos da vítima, tais como informações pessoais e se-
nhas bancárias. É como uma verdadeira pescaria, onde o
atacante é o pescador colocando iscas para os peixes, que
são as vitimas.
Dessa forma, as mensagens sempre contêm algo
chamativo como promessas de grandes lucros, fotos de ce-
lebridades da moda, notícias e boatos de grande audiência,
orçamentos de produtos com custo abaixo do mercado,
apelos sexuais, avisos de dívidas, multas, ou de qualquer
órgão do governo local e assim por diante. O limite é a cria-
tividade do atacante.
A figura a seguir mostra de um lado (direito) os
tipos de serviços mais atacados e de outro (esquerdo) as
informações mais procuradas pelos atacantes.
Exemplos de páginas falsas
6.3 Malwares
O termo “Malware” vem da junção de parte das
palavras inglesas “Malicious” e “Software”. Então, qual-
quer software malicioso é considerado um malware. Nos
primórdios da informática (antes mesmo da Internet), al-
gumas pragas deste tipo foram criadas para infectar má-
quinas, e ganharam o nome de “vírus de computador”, ten-
do como principal meio de propagação as mídias externas
como os disquetes.
A precursora de todos os outros tipos de malwa-
res foi o chamado “vírus de boot”, que surgiu nos anos
80 e tinha como objetivo basicamente causar prejuízos,
fazendo sistemas inteiros pararem de funcionar e ocasio-
nando perdas de dados. A forma de infecção era através
dos disquetes que eram lidos e gravados em computado-
res diferentes, propiciando a oportunidade de propagação
da praga. Os sucessores foram os chamados worms, que
tinham como característica a autopropagação via rede ou
serviços de rede.
Um dos tipos de malwares mais ofensivos são os
cavalos de troia ou trojan horses, pois têm como
características possibilitar que o terminal infec-
tado seja acessado e controlado pelo atacante
remotamente. O nome é devido ao fato de que
a praga se instala por meio de ações da vítima
que pressupõe estar recebendo um “presente” e
aceita fazer algumas ações tais como abrir ane-
xos contaminados ou clicar em links que levam
à infecção.
A partir do momento em que se instala em um
computador, o cavalo de troia compromete todo
o sistema infectado, expondo as informações
pessoais que os usuários locais digitam, deixan-
do os recursos do terminal expostos para o uso
do atacante para que dali possa atacar outras ví-
timas.
Outro tipo de praga muito ofensivo são os cha-
mados keyloggers. O termo vem do inglês e sig-
nificar “registrador de teclado”. Isto significa que
esse tipo de malware é capaz de registrar todas
as teclas digitadas pelos usuários, inclusive as
senhas pessoais e bancárias.
A maioria dos phishingscam funciona em con-
junto com keyloggers, um complementando o objetivo do
outro. O phishing abre caminho para a infecção do sistema
da vítima e o keylogger leva as informações importantes
da vítima para o atacante. Uma variante interessante do
keylogger são os screenloggers, que são capazes de moni-
torar todo o conteúdo que aparece na tela do computador
da vítima.
Há inúmeras variantes dos malwares supracita-
dos, cada uma com sua característica particular e seu po-
der de penetração, destruição e prejuízos. Com o advento
da Internet, a propagação dessas pragas tornou-se ainda
mais fácil e possibilitou o surgimento de ainda mais moda-
lidades de softwares maliciosos.
Um dos tipos de malware mais atual e que uti-
liza com mais propriedade as facilidades da Internet para
agir são os “botnets”, que são capazes de se autopropagar,
infectar milhões de máquinas e fazê-las trabalhar como ro-
bôs, aliando forças para executar ataques de negação de
serviços (deixar páginas web importantes fora do ar) ou
disfarçar a real origem de ataques.
Para saber mais sobre os tipos de malwares, ataque e ata-
cantes, leia a cartilha de segurança para Internet: http://
cartilha.cert.br/malware/
LEMBRE-SE!
Todo o cuidado é pouco para os usuários de
serviços da Internet. Por isso, é importante adotar al-
guns métodos de prevenção e orientar as pessoas a uti-
lizarem esses métodos para dificultar a ação dos crimi-
nosos e evitar que sejam vítimas desse tipo de fraude.
6.4 Prevenção
contra malwares
Um trabalho importante para as autoridades e
que traz bons resultados no sentido de diminuir a quanti-
dade de vítimas de fraudes iniciadas por malwares é a ação
preventiva junto à população. Isso pode ser efetivado por
meio da distribuição de panfletos com orientações de pre-
venção (exemplo: panfleto PCDF/DICAT) http://pt.scribd.
com/doc/12838586/Cartilha-Monitoramento-Eletronico)
e realização de palestras em ambientes onde há grande nú-
mero de usuários de computadores e Internet, tais como,
colégios, faculdades e grandes empresas.
Veja a seguir as principais orientações para evitar
malwares.
PRINCIPAIS ORIENTAÇÕES PARA
EVITAR MALWARES
1. TER UM ANTI-VIRUS INSTALADO E MANTÊ-LO
SEMPRE ATUALIZADO.
2. NÃO CLICAR EM LINKS SUGERIDOS POR E-MAIL.
3. NÃO EXECUTAR OU ABRIR ANEXOS CONTIDOS
EM MENSAGENS ELETRÔNICAS NÃO SOLICITA-
DAS.
4. NÃO NAVEGAR EM SITES PERIGOSOS: sites de
pornografia, sites hacker/cracker, sites que ofere-
cem dinheiro fácil.
5. NÃO FAZER COMPRAS EM SITES DESCONHECI-
DOS.
6. NÃO EXPOR DADOS PESSOAIS, PRINCIPALMEN-
TE AO PARTICIPAR DE PROMOÇÕES E SORTEIOS.
7. NÃO MANTER CONTATOS COM PESSOAS ES-
TRANHAS VIA BATE-PAPO OU CHAT.
8. NÃO COMPRAR SOFTWARES PIRATAS OU NÃO
BAIXÁ-LOS DE SITES DESCONHECIDOS.
9. MANTER O SITEMA OPERACIONAL E DEMAIS
SOFTWARES E PLUGINS SEMPRE ATUALIZADOS.
10. EVITAR SITES DE COMPARTILHAMENTO
DE APLICATIVOS, FOTOS, FILMES E MÚSICAS VIA
P2P (KazAA, e-mule, napster, etc).
Hamman (2011) descreveu em seu artigo “As
coisas mais perigosas que você pode fazer na Internet”, as
seguintes ações mais maléficas:
• MANTER-SE CONTECTADO;
• NÃO ATUALIZAR APLICATIVOS;
• PROCURAR ESCAPULIDAS DE FAMOSOS;
• BAIXAR FILMES E SOFTWARES ILEGAIS;
• PROCUAR POR CONTEÚDO ADULTO;
• JOGOS ON-LINE E ARMADILHAS ESCONDIDAS;
• NÃO CUIDAR DA PRIVACIDADE NAS REDES SOCIAIS;
 • ACESSAR REDES WIFI DESCONHECIDAS;
• USAR A MESMA SENHA PARA TUDO;
• CLICAR EM LINKS CHAMATIVOS DE PROMO-
ÇÕES OU VANTAGENS APARENTES.
6.5 Investigação com
trojan e botnets
O tratamento dado pelas autoridades com rela-
ção a crimes onde o autor utiliza malwares para atingir o
objetivo é tentar rastrear a origem do crime analisando as
ações do malware passo-a-passo. Esse tipo de análise é fei-
ta em ambiente virtual isolado e exclusivamente prepara-
do para esse fim. Por isso, a ação deve ser tomada somente
por pessoas especializadas, tais como peritos criminais da
área de informática ou especialistas na área que dispo-
nham de toda a infraestrutura necessária.
As ferramentas mais úteis nesse caso são os sof-
twares que analisam quais arquivos e registros do sistema
operacional são acessados pelo malware e os “sniffers”,
(SNIFFERé um aplicativo capaz de capturar e registrar -
podendo até analisar - o conteúdo dos datagramas que
trafegam na rede ou em pontos específicos dela. Eventual-
mente podem ser utilizados para fins criminosos) que são
verdadeiros farejadores ou analisadores de tráfego de rede
que possibilitam um estudo detalhado (bit-a-bit) da parte
de tráfego suspeito.
Essas ferramentas vão ajudar a autoridade a
identificar qual o ponto de comunicação do malware com
o mundo exterior, ou seja, para onde ele envia as informa-
ções que colhe. Pode ser uma conta de e-mail, um servidor
de arquivos, um banco de dados clandestino, um site na In-
ternet ou qualquer aparato que possa guardar as informa-
ções furtadas de forma segura para que sejam acessadas
posteriormente pelo criminoso. Esse trabalho é denomi-
nado “análise comportamental do malware”. Além disso,
também pode ser efetuada, com ferramentas específicas, a
chamada “engenharia reversa”, que é a análise do código
do software para entender seu funcionamento.
A nova legislação (leis 12.735/2012
e 12.737/2012), que está em vigor desdeabril
de 2013, além de tornar criminosa a ação de
confeccionar malwares e disseminá-lo, tam-
bém discorre sobre a criação em todas as po-
lícias judiciárias das Unidades da Federação
de delegacias especializadas, que certamente
poderão desenvolver um excelente trabalho
ao analisar a origem de malwares.
Outra preocupação para as equipes de inves-
tigação são as botnets. BOTNET é um conjunto de com-
putadores de usuários leigos que são infectados por meio
de um malware, permitindo ao atacante controlar cada
máquina infectada com o objetivo de fazê-la trabalhar
parcialmente a seu favor ou usá-la em ataques a alvos es-
pecíficos. Como já foi comentado, nesses casos o atacante
infecta vários usuários leigos que nem sabem que estão in-
fectados, abrindo brechas para que o atacante utilize seus
computadores como força para um ataque de DDoS (Dis-
tributedDenyof Service ou Negação de Serviço Distri-
buída). É um tipo de ataque a servidores de aplicações na
Internet que tem o objetivo de deixar o serviço alvo do ata-
que indisponível. O ataque DDoS é feito por vários com-
putadores distribuídos na rede. O atacante faz com que as
milhares de máquinas infectadas trabalhem como verda-
deiros zumbis, inundando sites com inúmeras requisições
simultâneas. Assim, o site atacado não consegue suprir a
demanda de requisições e sai do ar.
O atacante também pode utilizar as máquinas
infectadas como proxies, ou seja, intermediárias de sua
ação. Desta forma, ele conseguiria disfarçar a verdadeira
origem e localização do crime, dificultando a investigação
ou até mesmo impossibilitando-a. De sorte que montar
botnets não é um procedimento simples, sendo dominado
por uma minoria de criminosos. Por outro lado, a utilização
de proxies não é exclusiva das botnets. Há redes de web-
proxies abertas na Internet para qualquer usuário gratuita-
mente (por exemplo: TOR, VIDÁLIA). http://www1.folha.
uol.com.br/folha/informatica/ult124u590569.shtml, ht-
tps://www.torproject.org/
Usar um serviço desses faz com que o endere-
ço IP de origem seja alterado, impossibilitando o rastre-
amento. Numa analogia mais rotineira, seria como al-
terar a placa de um veículo e utilizá-lo na prática de um
crime, mas com uma enorme vantagem, pois no caso de
veículos há fiscalização constante que, num dado mo-
mento capturará o infrator, enquanto na Internet não
há fiscalização, tampouco legislação que proíba esta
prática.
Esse tema é alvo de discussões nos fóruns sobre
o “marco civil” da Internet, conforme você estudou no mó-
dulo 2. Felizmente, a utilização de proxies ainda não é uma
prática rotineira para os criminosos da Internet, por isso
não entraremos em detalhes sobre este tema.
 AULA 2
Interceptação
telefônica e telemática
2.1 Interceptação na
forma legal
Interceptar significa desviar uma cópia de todo
o sinal elétrico de comunicação de áudio, vídeo ou dados
que o alvo tem acesso, recebido ou enviado por ele, para
que seja gravado em mídia e analisado pela autoridade
competente numa investigação criminal.
A interceptação de comunicações telefônicas e
telemáticas é prevista no inciso XII, art. 5º da Constituição
Federal e regulamentada pela Lei Federal 9.296/1996.
A interceptação de uma comunicação só deve
ser realizada mediante ordem judicial e só pode ser con-
cretizada com a colaboração do provedor de acesso ao
serviço de voz ou dados. Qualquer interceptação que fuja
disso será considerada ilegal e não servirá como prova no
processo judicial.
2.2 Interceptação
telefônica
No caso de linha interceptação de sinais de áu-
dio de linhas telefônicas (fixas ou celulares), o procedi-
mento já está consolidado há algum tempo e vem sendo
muito bem utilizado em investigações e processos judi-
ciais, sendo atualmente a principal fonte de investigação
das polícias judiciárias em todo o mundo.
Com o advento da portabilidade numérica, tor-
nou-se impossível prever a operadora ou o provedor de
acesso responsável pela linha telefônica do alvo, sem con-
sultar um banco de dados apropriado e atualizado.
Assim, o primeiro passo para a efetivação de
uma interceptação é descobrir o número da linha tele-
fônica ou identificação do serviço de acesso à Internet
que o alvo utiliza para efetuar as comunicações envol-
vendo o crime investigado, para, a partir daí, solicitar
à operadora ou provedor responsável que proceda a
interceptação e o desvio da comunicação para a autori-
dade competente.
É claro que, a autoridade competente terá que
contar com equipamentos preparados para receber, gravar
e dar possibilidade de análise do conteúdo para as equipes
de investigação responsáveis. Existem várias plataformas
já consolidadas no meio jurídico como sistemas robustos
para análise de sinais interceptados, sendo os principais
o sistema Guardião, o sistema Sombra e o sistema Verity.
Além disso, as operadoras de telefonia celular disponibili-
zam o sistema VIGIA (com configurações individuais para
cada operadora), onde é possível verificar extratos telefô-
nicos dos alvos, dados cadastrais de interlocutores e ERBs
utilizadas pelo alvo.
Para saber mais sobre interceptação telefônica,
http://www.advivo.com.br/blog/luisnassif/como-sao-fei-
tas-as-interceptacoes-telefonicas
2.3 Descobrindo
a operadora
de telefonia
ou provedor
responsável
Se for uma linha telefônica, de posse do número
da linha, para descobrir o provedor é necessário consultar
um dos sites de informação em tempo real. Sugerimos o
site oficial da ABR. http://consultanumero.abr.net.br/con-
sultanumero/consulta/consultaSituacaoAtual
Se o número da linha telefônica não for conheci-
do, ou se o acesso for via rádio, TV a cabo, energia elétrica
ou outro meio seria necessário fazer um trabalho investi-
gativo junto à vizinhança do alvo para obter informações
que identifiquem o acesso e o provedor.
2.4 Interceptação
de aparelhos
celulares pelo
identificador
Em várias situações, o alvo utiliza vários chips de
telefonia celular em um mesmo aparelho, afinal o preço
dos chips e a facilidade em adquiri-los tem sido um facilita-
dor, além de auxiliar o criminoso na intenção de despistar
a polícia. Nesses casos, é possível que seja feita a intercep-
tação do aparelho celular, independentemente da linha
telefônica habilitada no momento.
É claro que é necessário que seja de conhecimen-
to o IMEI – International Móbile EquipmentIdentity (iden-
tificador único do dispositivo móvel celular) do aparelho a
ser interceptado. Essa informação muitas vezes só é possí-
vel após a primeira interceptação efetuado apenas com o
número da linha telefônica, e a partir daí a operadora po-
derá indicar o IMEI do(s) aparelho(s) que utilizou(aram) a
linha alvo.
OBSERVAÇÕES:
1. Os aparelhos telefônicos com mais de um
chip têm um IMEI para cada chip a ser habili-
tado, ou seja, na verdade são mais de um apa-
relho acoplados a apenas um conjunto fone/
microfone dentro do mesmo invólucro.
2. Com a venda de aparelhos falsificados, cresce
a incidência de uso de um mesmo IMEI para
vários aparelhos. Isso pode fazer com que uma
interceptação de IMEI capte mais de um alvo,
inviabilizando juridicamente o processo de in-
terceptação, já que o sigilo de terceiros alheios
à investigação poderia estar sendo quebrado.
2.5 Interceptação
telemática
No caso de interceptações de sinais de dados
(lembre-se que sinais de áudio também podem ser trafega-
dos como sinal de dados) ainda não há uma padronização
de procedimentos, já que este tipo de interceptação é mais
raro e difícil de ser implementado, dando margem a vários
tipos de tecnologia.
Os tipos de equipamentos e a quantidade de tec-
nologias utilizadas pelos provedores dificultam a padroniza-
ção de um procedimento único para todas as operadoras.
O serviço de dados sobre redes de telefonia ce-
lular está se estabilizando com a tecnologia de terceira ge-
ração (3G) e já está em andamento a quarta geração, que
chegará em breve com novos protocolos e tecnologias que
trarão 100MBits/s para o smartphone.
Isso tornará mais viável financeiramente a utili-
zação de serviços avançados como voz sobre dados, tra-
zendo à tona a tendência de que o serviço de voz tradicio-
nal vá sendo gradativamente substituído pelos serviços de
VoIP, já que a qualidade do serviços das novas redes 4G
será muito melhor e com um custo relativamente baixo.
Além disso, os grandes eventos previstos para
o Brasil nos próximos anos tendem a trazer muito inves-
timento, e, consequentemente, acelerar ainda mais o pro-
cesso de evolução tecnológica.
2.7 Dificuldades
e limitações da
interceptação
telemática
É importante frisar que as interceptações telemá-
ticas oferecem algumas limitações e dificuldades, tais como:
• A interceptação não mostra o conteúdo da tela
do alvo tal como foi efetuado no local. Não
equivale a uma filmagem da tela do alvo. Não
se pode ver os movimentos do mouse do alvo;
• Ainda não há solução que implementa a re-
montagem do conteúdo interceptado se o
mesmo for criptografado. Por exemplo, pá-
ginas de bancos (HTTPS), comunicações via
skype ou whatsapp, entre outros aplicativos
do gênero têm conteúdo criptografado;
• A interceptação telemática requer da polícia
acesso a grande recurso computacional e lar-
gura de banda. Atualmente, as operadoras
oferecem links de até 100Mbits/s na casa de
usuários residenciais. Se um alvo trafega a esta
velocidade, a autoridade interceptante terá
que ter um link com uma largura de banda
ainda maior para conseguir interceptar todo o
conteúdo sem perdas;
• Os processos burocráticos impostos pela le-
gislação e normas administrativas de governo
muitas vezes atrasam o processo de aquisição
de serviços e recursos tecnológicos de última
geração. Ao contrário disso, os provedores fre-
quentemente utilizam equipamentos com tec-
nologia de última geração, dificultando para a
equipe de investigação efetuar o tratamento da
informação coletada no alvo da interceptação;
• As operadoras de telefonia não têm nenhuma
padronização tecnológica, de equipamentos
ou protocolos de entrega das informações in-
terceptadas, sendo necessário que a autorida-
de tenha um arsenal de tecnologias para cobrir
cada caso.
 AULA 3
Serviço VoIP (Voice over
IP – Voz sobre IP)
3.1 Níveis do serviço
VoIP
O serviços de VoIP não tem padronização ou nor-
matização formal. Por isso, vem sendo oferecido das mais
diversas formas e nos mais diversos níveis. Pode ser consi-
derado VoIP, desde um usuário que utiliza um aplicativo de
comunicação instantânea por áudio no seu computador, tais
No cenário de VoIP temos as ligações de compu-
tador para computador via Internet, utilizando uma rede
social qualquer. Ou ligações de Internet para a rede telefô-
nica convencional ou vice-versa.
Então, o primeiro requisito para um serviço de
VoIP completo é que o provedor interligue-se com as redes
como MSN, SKYPE, GTALK, etc, com um fone de ouvido e
microfone, até uma grande operadora de telecomunicações
que oferece o serviço de telefonia VoIP, passando por empre-
sas de todos os portes que utilizam esta tecnologia para fa-
zer ligações internas entre suas sedes e externas para todo o
mundo, valendo-se da Internet para baratear custos. A ima-
gem a seguir exemplifica esta questão.
Internet e a RTPC (Rede de Telefonia Pública Comutada).
Muitas operadoras de telefonia têm feito esse papel, assim
como pequenas empresas que estão entrando no mercado.
Assim, como a Internet é global e o atacante cri-
minoso ainda tem possibilidade de acessos remotos, é pos-
sível que um crime seja cometido acessando a rede telefô-
nica a partir de qualquer local do mundo via Internet. Esse
é um recurso muito utilizado pelos estelionatários.
Neste cenário, é possível que o fraudador com-
pre um número de linha telefônica com um código DDD/
DDI de qualquer parte do mundo e acesse de qualquer ou-
tro local. Isso pode confundir a vítima e a autoridade que
investigará futuramente, tornando a identificação da real
origem do criminoso muito mais difícil.
3.2 Como o criminoso
se beneficia do
serviço VoIP
Na maioria das vezes o criminoso, quase sempre
estelionatário, se vale da facilidade de acessar a rede tele-
fônica por meio da Internet de qualquer parte do mundo.
O criminoso então pode contratar os serviços de uma das
operadoras e ganhar um número telefônico convencio-
nal com qualquer código DDD que queira. Desta forma, o
criminoso pode originar e receber chamadas de qualquer
lugar do mundo via Internet. Não há um local de instala-
ção física para esta linha telefônica, embora ela receba um
código DDD convencional.
Neste caso, a única possibilidade de identi-
ficar a localização do alvo é por meio do endereço IP
que ele utilizou para acessar a Internet e conectar-se
à operadora que oferece o serviço a ele. Neste caso, é
preciso contar com a sorte de a operadora ter esta in-
formação, já que não há lei que a obrigue. Outra fonte
de informação seria a forma como o criminoso efetua o
pagamento do serviço.
Os estelionatários costumam utilizar esse servi-
ço para despistar a autoridade policial publicando um nú-
mero de telefone com DDD diferente da sua localização.
Se a autoridade policial não tiver conhecimento ou apoio
técnico para desvendar, poderá levar muito tempo até se
inteirar sobre o assunto e descobrir o truque.
 AULA 4
Rastreamento de
dispositivos móveis

4.1 Situações de chip de tecnologia celular (atualmente – 2013 – rede 3G

crimes envolvendo de voz, texto e dados) ou a rede GPS (Global Position Sys-
dispositivos móveis tem) já incluso na maioria dos smartphones modernos.
Frequentemente uma equipe de investigação As redes móveis baseadas em Bluetooth, WiFi
depara-se com situações onde a vítima ou comunicante de e WiMax são rastreáveis apenas utilizando o endereço IP,
um crime relata o envolvimento de um dispositivo móvel por isso o método utilizado na localização de dispositivos
em um crime. ligados a essas redes é o mesmo das redes fixas, já que a
As situações mais rotineiras dos dispositivos mó- ligação delas à Internet é, de fato, fixa, sendo móvel apenas
veis são as descritas a seguir: os terminais dos usuários. Os ataques sofridos por esses
• O dispositivo móvel foi furtado/roubado (no- tipos de rede são efetivados por meio da exploração do
tebook ou smartphone); descuido ou da fragilidade do usuário final. O estudo da
exploração dessas redes não será tratado neste curso, mas
• O aparelho celular foi levado junto com vítima num possível módulo avançado a ser desenvolvido futu-
de sequestro relâmpago; ramente.
• O criminoso está fazendo contato via celular: A figura a seguir ilustra bem este tema.
qual a localização dele?
• O criminoso está em deslocamento (área ur-
bana, área rural ou estrada) ou faz um mesmo
caminho diário;
• O dispositivo móvel está na posse de pessoa
desaparecida;
• O alvo troca de chip ou troca de aparelho: IMEI
- *#06#.
4.2 A tecnologia
móvel
Os dispositivos móveis rastreáveis geralmente
são os ligados à rede de telefonia celular, por meio de um
 Na rede celular, geralmente é possível contar
com as operadoras de telefonia móvel (TIM, CLARO, OI,
VIVO ou NEXTEL), que mediante mandado judicial terá
obrigação de fornecer informações sobre a localização
aproximada do dispositivo móvel investigado. Esta locali-
zação é dada através da identificação da antena com a qual
o alvo está se comunicando num dado momento.
4.3 A distribuição
das antenas
As operadoras de telefonia móvel mantêm uma
área de cobertura distribuindo antenas denominadas ERBs
(Estação Rádio Base). A cobertura do sinal geralmente visa
As figuras anteriores mostram o deslocamento
do dispositivo móvel em direção a áreas atendidas por
outras antenas (ERBs). Quando o dispositivo móvel sai da
área atendida por uma ERB (hexágono) e passa para a área
de outra antena, aquele terminal passa a ter contato com
outra antena. Esse procedimento de troca de ERB é chama-
do “handoff” ou “handover”.
A operadora que disponibiliza o serviço ao ter-
minal móvel tem condições de manter um registro de to-
das as ERBs e cada terminal que se comunica com cada
uma delas. Essa informação é o que mais interessa em caso
o lucro da empresa, logo, é baseada na demanda, que evi-
dentemente é maior nas áreas urbanas das grandes cida-
des. As áreas rurais e pequenas cidades muitas vezes são
atendidas por força da Agência Reguladora (Anatel), sendo
quase sempre precariamente atendidas.
As ERBs são distribuídas espaçadamente de for-
ma a cobrirem áreas denominadas células (daí o nome “ce-
lular”). Como o sinal de radiofrequência é muito instável
e depende de diversas variáveis ambientais como relevo,
chuva e umidade do ar, o sinal de cada ERB varia muito.
O formato hexagonal serve apenas como modelo didático
para projetos e estudo, mas na prática o formato da célula
tem aparência que lembra mais uma ameba (algo total-
mente irregular).
de investigações. Com ela a equipe de investigação pode
identificar uma área geográfica onde poderia efetuar bus-
cas para localização de um terminal investigado.
É bom lembrar que um dispositivo móvel celu-
lar geralmente se comunica com a ERB mais próxima, mas
se há uma ocupação total dos canais e ele está numa área
onde há possibilidade de se comunicar com outras ERBs
mais distantes, certamente isso ocorrerá. Essa situação não
é rara de acontecer, já que as redes das operadoras estão
atualmente atuando no limite de demanda. A equipe de
investigação deve estar atenta.
4.4 O rastreamento
da ERB e azimute
O importante aqui é saber que as operadoras
têm condição de identificar com qual antena (ERB) o dis-
positivo móvel está se comunicando e disponibilizar essa
informação para a autoridade policial, que a partir daí terá
condições de diminuir a área de busca pelo alvo ou confir-
mar uma suspeita anteriormente identificada. A área de
4.5 Intersecção de
ERBs e intensidade
do sinal
Algumas operadoras são capazes dar uma esti-
mativa de intensidade do sinal recebido do aparelho mó-
busca vai depender da área de cobertura da ERB com que
o alvo está se comunicando.
A maioria das ERBs mais modernas funcionam
com três antenas direcionais que cobrem cerca de 120
graus (dos 360 graus do círculo em torno da antena) cada
uma. A operadora pode disponibilizar o parâmetro cha-
mado “azimute”, que dá ideia da direção em torno da ERB
na qual o alvo deve estar. Veja a imagem a seguir.
vel, o que poderia dar uma ideia da distância que o alvo
deve estar a partir da distância radial da antena ou ainda
pode saber que o sinal do aparelho móvel está sendo cap-
tado por outras antenas próximas, concluindo que o alvo
deve estar numa área de intersecção dessas antenas.
 Assim, a operadora pode ajudar a autoridade po-
licial a diminuir muito a área de busca. Em alguns casos
pode-se chegar a uma precisão muito boa e determinar o
local onde o alvo está com uma margem de erro de poucos
metros.
Nem todos os casos podem ser resolvidos dessa
maneira. Muitas vezes, a operadora alega que os equipa-
mentos não geram essas informações.
4.6 Rastreamento
com GPS
Os dispositivos GPS (Global Position System) es-
tão presentes na maioria dos smartphone modernos, em
notebooks, tablets e em muitos veículos também.
Nestes casos, é possível ter uma localização exa-
ta de um dispositivo como esses que estiver ligado a um
crime ou criminoso.
No caso de furtos de equipamentos, que muito
comum. Há aplicativos que garantem a segurança do dis-
positivo. Muitos deles são disponibilizados gratuitamente
pelos próprios fabricantes do dispositivo bastando ao usu-
ário que habilite esta funcionalidade. Existem aplicativos
disponíveis no mercado que ao serem instalados no dis-
positivo móvel podem dar a localização exata do equipa-
mento furtado e inclusive tirar fotos e enviar ao dono via
e-mail.
4.7 Dificuldades e
facilidades
Ressalta-se que, tanto nos equipamentos celula-
res como nos GPS o criminoso tem a possibilidade de des-
ligar o equipamento ou retirar a bateria para que ele não se
comunique e não emita sinal que facilite o rastreamento.
Por outro lado, a maioria dos usuários de celu-
lar não sabe, mas a operadora pode inserir um dispositivo
furtado numa lista negra, de forma que ele jamais volte a
ser habilitado em qualquer operadora de telefonia. Isso
tornaria o furto sem atração para os criminosos. O proce-
dimento é muito mais preventivo do que repressivo e não
contribui com a investigação criminal, pelo contrário tor-
na impossível que o autor, ou terceiro ligado a ele, volte a
utilizar o equipamento, dando margem ao rastreamento.
De qualquer forma, é interessante orientar as vítimas e a
população em geral a efetuar esse procedimento.
 FINALIZANDO
• Engenharia social é a técnica utilizada para levantar informações de qualquer
pessoa desconhecida. Nessa técnica, o atacante vale-se da fragilidade da vítima
para conseguir informações imprescindíveis para o início de um ataque.
• A facilidade de comunicação trazida pelos aplicativos de mensagens eletrôni-
cas e-mail, trouxe também facilidades para a questão da propaganda comercial.
Nesse contexto surgiram as mensagens denominadas “SPAM”.
• Um dos tipos de malware mais ofensivos são os cavalos de troia ou trojan hor-
ses, pois têm como características possibilitar que o terminal infectado seja
acessado e controlado pelo atacante remotamente.
• O tratamento dado pelas autoridades com relação a crimes onde o autor utiliza
malwares para atingir o objetivo é tentar rastrear a origem do crime analisando
as ações do malware passo-a-passo. Esse tipo de análise é feita em ambiente
virtual isolado e exclusivamente preparado para esse fim.
• A interceptação de uma comunicação só deve ser realizada mediante ordem
judicial e só pode ser concretizada com a colaboração do provedor de acesso ao
serviço (de voz ou dados). Qualquer interceptação que fuja disso será conside-
rada ilegal e não servirá como prova no processo judicial.
• As operadoras de telefonia móvel mantêm uma área de cobertura distribuin-
do antenas denominadas ERBs(Estação Rádio Base). As ERBs são distribuídas
espaçadamente de forma a cobrirem áreas denominadas células (daí o nome
“celular”).
• O importante aqui é saber que as operadoras têm condição de identificar com
qual antena (ERB) o dispositivo móvel está se comunicando e disponibilizar
essa informação para a autoridade policial, que a partir daí terá condições de
diminuir a área de busca pelo alvo ou confirmar uma suspeita anteriormente
identificada.
• Os dispositivos GPS (Global Position System) estão presentes na maioria dos
smartphone modernos, em notebooks, tablets e em muitos veículos também.
 GABARITO
MÓDULO 1
1 - (x) Registro de eventos com endereços IP, datas e horas.
2 - (x) registro de endereços eletrônico, data e hora de
acesso do usuário.
3 - (x) unir esta informação a outras obtidas por meio tradi-
cional para apontar a autoria.
4 - (x) endereço IP, endereço URL e endereço de E-mail.
5. F / F / V / V
MÓDULO 2
1 - ( x ) A “lei dos cybercafés” não especifica as punições
para quem não cumpre as normas vigentes e não estabe-
lece o órgão governamental competente para fiscalizar o
cumprimento.
2 - ( x ) Por meio do endereço IP é possível definir a região
onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informações sobre criminosos na
Internet são os provedores de acesso e os provedores de
serviço na Internet.
4 - ( x ) O MLAT é um acordo de assistência legal mútua
entre os países que facilita o levantamento de informações
em ambiente estrangeiro.
MÓDULO 3
1 - Orientação para resposta:
Provedores de serviços são as empresas que fornecem al-
gum tipo de serviços na Internet, tais como e-mail, portal
de notícias, chat, comunicação instantânea, entretenimen-
to, comércio eletrônico, homebank, entre outros. Esses
provedores podem apontar qual o endereço IP utilizado
pela conexão onde o suspeito de um crime utilizou a Inter-
net para acessar o serviço no momento da prática delitu-
osa. As maiores empresas do ramo são Google, Microsoft,
Yahoo, UOL, entre outras.
Provedores de acesso são as empresas que disponibilizam
os meios físicos de transmissão de dados e os equipamen-
tos de rede de comunicação que possibilitam ao usuário
acessar a Internet. Esses provedores podem identificar o
endereço completo de instalação do acesso à Internet que
utilizou determinado endereço IP na respectiva data e ho-
rário do fato delituoso. As maiores empresas neste ramo
são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
2 - (x) Os provedores sempre guardam os registros de
eventos por 5 anos, de acordo com a legislação vigente no
Brasil.
3 - ( x ) Endereços IP dinâmicos são compartilhados entre
os vários clientes de um provedor de acesso de forma que
é extremamente necessário que sejam vinculados a data
e horário para que o cliente responsável seja identificado.
4 - Orientação para resposta:
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa de
leitura de e-mail ou seu serviço de webmail). Identifique o IP
válido que equivale ao IP da conexão de origem da mensagem.
Utilize sites de geo-localização de IP como http//en.utrace.de
para identificar a localização geográfica aproximada.
5 - Orientação para resposta:
Expanda o cabeçalho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa
de leitura de e-mail ou seu serviço de webmail). Identifi-
que o IP válido que equivale ao IP da conexão de origem
da mensagem. Utilize sites de geo-localização de IP como
http//en.utrace.de para identificar a localização geográfica
aproximada.
6 - Orientação para resposta:
6.1. Pesquise nos sites http://registro.br ou http://whois.sc
para identificar o provedor responsável por cada um dos
endereços IP fornecidos pela Microsoft. Utilize a tabela
de conversão para converter os horários de uso dos en-
dereços IP dos timezones da Microsoft para os brasileiros
(atente-se para a questão do horário de verão).
6.2. utilize sites de geo-localização para identificar a região
aproximada dos endereços IP.
MÓDULO 4
1. (x) Na Internet, principalmente em sites de redes sociais,
geralmente são descartados como fonte de informação em
investigações porque os perfis são fechados e não expõem
o usuário.
2. (x) Busca sistemática equivale à fazer pesquisas fre-
quentes e lidar com os crimes na Internet mesmo que não
haja nenhum registro oficial de vítimas.
MÓDULO 5
1 - (x) Os computadores a serem apreendidos devem ser
imediatamente puxados da tomada.
2 - Orientação para resposta
Lembre-se de que o computador pode conter aplicativos
de criptografia e que o conteúdo está somente na me-
mória volátil. Lembre-se também que o dispositivo ar-
mazenado deve ser preservado para que não seja conta-
minado após o início da operação de busca e apreensão.
Lembre-se ainda que a análise do material apreendido
não deve ser feita no dispositivo original, mas sim em
uma cópia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identi-
ficados, catalogados, fotografados e cuidadosamente des-
critos.
MÓDULO 6
1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-
vos não originais.
2. (x) A engenharia reversa trabalha tentando descobrir
como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicação criptografada
não é possível acessar o conteúdo por meio de intercepta-
ção telemática.
4. b / d / a / h / f / e / g / c