Cibercrime organizado: o lucrativo negócio dos “scam call centers”
A Polícia Civil do Rio de Janeiro identificou e prendeu, no final de março, uma quadrilha especializada em aplicar o golpe do empréstimo consignado utilizando uma nova estratégia.
A Polícia descobriu uma espécie de “call center” no qual 16 pessoas aplicavam golpes pelo telefone. A profissionalização das fraudes on-line com o uso de “scam call centers” (call centers especializados em fraudes pelo telefone ou internet) é um fenômeno que já se consolidou em algumas partes do mundo, e que, agora, está chegando ao Brasil.
Processos automatizados, equipes organizadas, controle de metas e indicadores, bônus por performance, fluxos de trabalho bem definidos e eficientes. Essa não é a descrição de uma grande empresa, mas sim de uma atividade criminosa extremamente lucrativa que vem se multiplicando nos últimos anos. Durante 2022, somente nos Estados Unidos, os call centers especializados em fraudes pelo telefone (“scam call-centers”) lucraram mais de dez bilhões de dólares seguindo uma mesma metodologia.
No final de 2021, Brenda, uma idosa de 72 anos que morava sozinha no estado do Tennessee, recebeu uma ligação de uma empresa se identificando como suporte técnico do seu computador. Do outro lado da linha, falava um homem com sotaque indiano, relatando que foi identificada a presença de um vírus e que o seu dispositivo estaria comprometido por hackers. Assim, haveria risco iminente de roubo de credenciais de acesso e de dados pessoais, justificando a ligação e a necessidade de adotar medidas corretivas com urgência, incluindo a contratação de um firewall. Enquanto explica o ocorrido utilizando uma série de termos técnicos, o atendente informa que, felizmente, a empresa possui um programa de descontos para pessoas idosas, do qual Brenda poderia se beneficiar para adquirir proteção vitalícia.
Convencida da ameaça e disposta a corrigir o problema, Brenda foi orientada a preencher um cheque no valor indicado pelo atendente, exibi-lo na webcam e, após, enviá-lo pelo correio ao endereço indicado. Enquanto isso, ela seria transferida para Mickey Jones, profissional do suporte técnico que iria realizar os reparos.
Seu telefone tocou novamente e, embora Brenda aguardasse a chamada do “técnico”, não era Mickey ou a empresa “Nastech IP Security” quem estava ligando. A ligação foi feita pelo investigador particular Ansar Hamed, hacker especializado em identificar vulnerabilidades e em denunciar esquemas fraudulentos como aquele do qual Brenda quase foi vítima. Hamed (ou James Boiler, como se identifica nos vídeos) faz parte de um grupo de hackers que compartilha vídeos combatendo diretamente essas organizações criminosas, e desmontando os esquemas de fraude organizados.
Brenda não sabia, mas a sua ligação estava sendo acompanhada por James desde o início. Na verdade, ele já vinha monitorando e documentando as atividades daquele call center específico havia algum tempo, com o objetivo de invadir e destruir os dispositivos utilizados pelos criminosos. Mesmo quando há sucesso, geralmente em poucos dias a operação é reerguida, e o trabalho de James recomeça.
Cientes da repercussão que os vídeos ganharam na Internet, os golpistas profissionais vêm tomando mais cuidado com as câmeras dos laptops e, inclusive, cobrindo ou removendo completamente as câmeras e sistemas de segurança internos dos call centers para evitar que sejam invadidos.
Alertada a tempo por James, a tentativa de golpe foi frustrada, e Brenda foi orientada a não atender novas ligações vindas da suposta empresa. Em casos como esse, nos quais a “venda” é perdida, os fraudadores ainda realizam novas tentativas: a vítima recebe mensagens e correios de voz, sendo acusada de cometer fraude e ameaçando a adoção de medidas judiciais diante do cancelamento do cheque. Por vezes, a vítima acaba cedendo, e realiza o pagamento.
A chamada fraudulenta de Brenda foi feita a partir de uma sala comercial no bairro de Salt Lake, em Calcutá, na Índia. A região é considerada um polo mundial de “scam call-centers”, e, durante a pandemia, as operações desses centros foram adaptadas para o formato remoto, utilizando ferramentas de comunicação online para troca de mensagens. Como aconteceria em um call-center presencial e regular, as conversas basicamente giram em torno das ligações realizadas, pedidos de suporte técnico e questões como informar sobre uma pausa ou intervalo para o café.
Quanto aos cheques, a equipe contava com uma lista de dezenas de endereços com os respectivos limites de recebimento, e orientavam as vítimas de acordo. Os cheques eram endereçados a empresas de lavagem de dinheiro nos Estados Unidos, as quais atuavam em parceria com os fraudadores indianos.
Do outro lado da chamada, alegando trabalhar para uma empresa de cibersegurança vinculada a uma big tech, estava Ananta: um indiano por volta dos 35 anos de idade, responsável por coordenar o call-center com mais de 70 “funcionários”. Essas pessoas eram organizadas em sete equipes com seus respectivos supervisores, e eram dispostas em uma planilha de performance individual. Ao lado de cada nome, uma descrição detalhada da performance, com quantidade de ligações, lucro bruto e o valor pendente para atingir a meta individual. A meta desse grupo em particular era levantar, anualmente, dez milhões de dólares.
Aqueles “colaboradores” com pior performance recebiam orientações específicas do supervisor da equipe, responsável também por avaliações individuais e feedback, igualmente planilhados e registrados. Os supervisores das equipes ainda são responsáveis por outras atividades básicas de gestão: controle de jornada, relatórios, follow up, encontros semanais de equipe, acompanhamento de “vendas” pendentes, e assim por diante.
Os roteiros, por sua vez, são criados e pensados especificamente para despertar a sensação de urgência no “cliente” (como os fraudadores se referem às suas vítimas), e os atendentes seguem cuidadosamente aquilo que está no script. A engenharia social é uma técnica empregada por criminosos virtuais para induzir usuários a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites infectados.
Ligações supostamente do suporte técnico alegando vírus e riscos de segurança, como ocorreu com Brenda, são apenas uma dentre as diversas opções de roteiro. Por isso, muitos desses “scam call-centers” não utilizam, necessariamente, técnicas hackers; isso não é necessário quando a própria vítima fornece os seus dados e acessos.
Uma estratégia bastante utilizada pelos fraudadores, por exemplo, é informar a vítima de que seus dados e conta bancária foram comprometidos por um hacker, e que é preciso transferir todo o dinheiro para uma conta segura. A conta, na verdade, pertence ao grupo criminoso, e geralmente está localizada em outro país.
Contudo, não raramente a engenharia social é utilizada em conjunto com outras técnicas: o grupo que tentou fraudar Brenda, por exemplo, também se conectava ao dispositivo da vítima para acessar seus arquivos pessoais e coletar informações. Outros grupos se conectam à webcam de laptops para monitorar a vítima e operar o computador remotamente quando o dispositivo não está sendo utilizado.
As técnicas de engenharia social utilizadas incluem o phishing, técnica na qual o atacante envia um e-mail disfarçado de empresa ou serviço legítimo para solicitar informações pessoais, e o baiting, que, por sua vez, envolve o uso de informações sensacionalistas ou a oferta de recompensas para atrair vítimas para clicar em links maliciosos.
Esses ataques podem ser altamente sofisticados e difíceis de detectar, mesmo para pessoas atentas. Muitas vezes, eles são projetados para parecerem autênticos e legítimos, usando técnicas como o spoofing, em que uma pessoa ou programa se identifica com sucesso como outro falsificando dados, para obter uma vantagem indevida ou ilícita. Com isso é possível, por exemplo, falsificar o número de telefone do remetente de uma chamada.
Nem os próprios fraudadores estão imunes à engenharia social: frequentemente James utiliza essa mesma técnica para invadir dispositivos dos scam call-centers e obter acesso aos arquivos. Também foi assim que, especialmente durante a pandemia, ele foi capaz de obter acesso às câmeras de notebooks e de circuitos internos de segurança, expondo osrostos e identidades das pessoas envolvidas no esquema.
As fraudes por telefone não são novidade para o brasileiro, assim como os call-centers (já que o país lidera há anos o ranking mundial de países com mais ligações de spam). No entanto, essa estrutura organizada em “scam call-centers”, muitas vezes, funcionando 24 horas por dia, ainda é mais comum em outros países, como na Índia e na Nigéria. As ligações normalmente são dirigidas ao Reino Unido ou aos Estados Unidos, ou outros países cujo idioma seja o inglês, e os alvos preferidos são pessoas vulneráveis ou idosas.
Além disso, a existência de call centers fraudulentos pode representar um risco para a segurança nacional, já que muitos desses golpes estão ligados a atividades criminosas mais amplas, como lavagem de dinheiro, tráfico de drogas e financiamento do terrorismo.
Nesses casos, as agências governamentais locais e internacionais podem ter autoridade para intervir e desmantelar essas operações.
No entanto, a aplicação da lei em relação aos scam call centers pode ser complicada, já que muitas dessas empresas operam em diferentes países e podem estar sujeitas a diferentes leis de proteção de dados e privacidade. A falta de harmonização entre as leis pode tornar difícil a aplicação da lei e a responsabilização dos criminosos, mesmo quando identificados.
As autoridades podem precisar colaborar com outras agências internacionais e implementar estratégias de cooperação transnacional para rastrear e processar cibercriminosos. Um dos principais tratados internacionais adotados para que isso seja possível é a Convenção de Budapeste sobre Cibercrime, adotada pelo Conselho da Europa em 2001. A Convenção é o primeiro tratado internacional a tratar especificamente dos cibercrimes e estabelece uma série de normas e medidas para lidar com esses crimes e foi ratificada por mais de 60 países, incluindo o Brasil, que aderiu à Convenção recentemente.
Nela, são estabelecidas normas para a criminalização de cibercrimes específicos, como acesso não autorizado a sistemas de computador, fraude, pornografia infantil e ataques a infraestruturas críticas. O tratado também inclui disposições para a cooperação internacional em investigações e na obtenção de evidências digitais, como o compartilhamento de informações, a extradição de suspeitos e o fornecimento de assistência jurídica mútua.
As autoridades governamentais também podem desempenhar um papel fundamental na criação de um ambiente de negócios mais seguro e justo. Isso pode incluir a implementação de programas de conscientização e educação para empresas e indivíduos sobre os riscos e as melhores práticas de segurança da informação.
Sob esse último aspecto, a iniciativa privada pode desempenhar um papel igualmente importante, com empresas e escritórios de advocacia preocupando-se em promover uma cultura de cibersegurança e em investir na conscientização de colaboradores, parceiros e clientes. Somente com uma cultura de privacidade robusta seremos capazes de evitar que o Brasil se torne mais um polo dos “scam call centers”.
*Amanda Cunha e Mello Smith Martins é advogada, pesquisadora do Legal Grounds Institute.
Sobre o Legal Grounds Institute
As novas tecnologias de informação ao transformar e criar novas formas de comunicação individual e coletiva, redimensionam e reconfiguram a infraestrutura sobre a qual se constrói a esfera pública democrática. Para que os valores democráticos e de liberdade individual prevaleçam nessa nova esfera, o Brasil enfrenta vários desafios em relação à regulação das comunicações, mídias e proteção de dados pessoais. O Legal Grounds Institute pretende enfrentar esses desafios, junto a organizações públicas e privadas, ambicionando criar arquiteturas jurídicas de regulação que assegurem os valores democráticos e os direitos fundamentais.
*Amanda Cunha e Mello Smith Martins é advogada, pesquisadora do Legal Grounds Institute.