DELITOS CIBERNÉTICOS: Polícia Federal Polícia Federal Superintendência Regional no Distrito Federal Grupo de Repressão a Crimes Cibernéticos Curso destinado à ATRICON: 09/10/2014
O que é Cibercrime? Crime informático, e-crime, cybercrime, crimes eletrônicos ou crime digital são termos utilizados para se referir a toda a atividade onde um computador ou uma rede de computadores é utilizada como uma ferramenta, uma base de ataque ou como meio de crime.. Disponível em: http://pt.wikipedia.org/wiki/cybercrime É a conduta ilícito-típica, porquanto prevista no ordenamento jurídico-penal pátrio, que afeta ou é afetada por (meio de) um sistema computacional ou informático
Crime Cibernético x Crime Clássico
Crime Cibernético: puro e misto
Crimes Cibernéticos Puros ação ilícita com dolo de atacar o sistema do computador, seja por meio de um ataque remoto ou de uso de sistema informático (Furlaneto Neto e Guimarães, 2003)
Crimes Cibernéticos Puros INVASÃO DE COMPUTADORES (ART. 154-A, CP) PICHAÇÃO VIRTUAL (Art. 265, CP) ATAQUE DE NEGAÇÃO DE SERVIÇO (Art. 266, 1º, CP) DISSEMINAÇÃO DE VÍRUS (Art. 154-A, 1º, CP) CÓPIA ILÍCITA DE DADOS (ART. 154-A, 3º, CP) REDES ZUMBIS (BOTNETs) (Art. 154-A, 3º, CP) COMÉRCIO DE DADOS (Art. 154-A, 4º, CP) INTERCEPTAÇÃO TELEMÁTICA (Art. 10, da Lei 9296/96) INSERÇÃO DE DADOS FALSOS EM SISTEMAS DE INFORMAÇÕES (Art. 313-A, CP) MODIFICAÇÃO OU ALTERAÇÃO NÃO AUTORIZADA DE SISTEMA DE INFORMAÇÕES (art. 313-B, CP)
Crimes Cibernéticos Impuros ou Mistos Ocorre quando o sistema informático é MEIO ou INSTRUMENTO necessário à comissão do delito
Crimes Cibernéticos Mistos FRAUDES BANCÁRIAS POR MEIO DE INTERNET BANKING ou CLONAGEM DE CARTÃO (art. 155, 4, II, CP) EXPLORAÇÃO SEXUAL CIBERNÉTICA CONTRA CRIANÇAS E ADOLESCENTES (Art. 241-A usque 241-E, do ECA) FALSA IDENTIDADE VIRTUAL (Art. 307, CP) VENDA DE MEDICAMENTOS PELA INTERNET (Art. 273, 1º, CP) CRIMES CONTRA A HONRA PRATICADOS PELA INTERNET (Art. 138, 139 e 140, CP) CYBERBULLYING (Não existe o tipo penal específico, mas podem ser aplicados os Art. 138, 139, 140, 146, 147, 307, todos do Código Penal, quando há notícia de diversas condutas praticadas em circunstâncias especiais, de forma complexa e reiterada)
Os ataques já começaram! Em 2010, Hackers brasileiros aproveitaram uma onda de ataques internacionais para atacar sites e base de dados no Brasil, principalmente, de órgãos públicos federais, com o objetivo de: Acessar e copiar dados pessoais e institucionais; Alterar o teor do site (defacement ou pichação eletrônica ); Impedir o funcionamento do site (ataques de negação de serviço ou DDOS distributed denial of service). Estas novas práticas se mantêm até hoje.
Quem são os Cibercriminosos? Motivações diversas, mas usualmente movidos por dinheiro ou ativismo; Ativistas muitas vezes são manipulados por criminosos, e servem de cortina de fumaça para a intrusão em um sistema durante ou após um ataque; Ativistas muitas vezes atacam em conjunto com internautas estrangeiros, em grupos supranacionais (Ex.:Anonymous); Muitos dos integrantes não são hackers ; Cuidado com hackers internos (Insiders)
Quais vulnerabilidades são exploradas? Computadores com software desatualizado e com Sistema Operacional pirata; No início as falhas eram relacionadas principalmente aos SO da família Windows, situação praticamente sanada; Em um segundo momento, foram exploradas falhas nos navegadores, que ainda são alvo mas em sua maioria tem um nível de segurança muito bom; Atualmente as falhas encontram-se no Adobe Flash Player e no Adobe PDF Reader, em razão da complexidade do software e de sua utilização por grande parte dos internautas no mundo
Como se proteger de ataques? Usar software que tenha origem legítima, sem cracks ou warez (pirataria). Manter os seus programas atualizados, e usar um bom antivírus (Ex. ESET NOD 32, AVIRA); Não abrir links enviados por estranhos ou que pareçam estranhos, inclusive no celular.
Dificuldades no combate ao cybercrime Morosidade na percepção do crime e na comunicação às autoridades policiais; Falta de estruturação de Equipes de Tratamento de Incidentes de Rede em órgãos governamentais, que devem ter recursos para o registros de entradas e saídas na rede, acessos a sistemas críticos e mecanismos para a prevenção e para a mitigação de ataques; Dificuldade no fornecimento de informações cadastrais do usuário à Autoridades Policiais; Lenta adaptação das empresas de Internet ao Marco Civil da Internet (Lei 12.965, de 23 de abril de 2014)
Lacuna Legal Antes da Lei de Delitos Informáticos (Lei 12.737/13), era necessário estabelecer analogias Problemas enfrentados: Impossibilidade de aplicar analogia no Código Penal para algumas condutas altamente especializadas Investigações iniciadas eram sobrestadas ou encerradas por dificuldades legais Provedores de conexão e de conteúdo na Internet não estavam preparados para atender as demandas das investigações Utilização de técnicas especiais de investigação restava prejudicada
A Lei 12.737/12 Primeira lei específica para a positivação de crimes cibernéticos; Introduziu no CPB tipos penais novos e condutas cibernéticas relacionadas a crimes já previstos: Art. 154-A e 154-B, Art. 266 e Art. 298.
Invasão de dispositivo informático Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. Destaques: Invasão (conceito amplo; força bruta ou ardil) Dispositivo Informático (capacidade de processamento e/ou armazenagem) Mecanismo de Segurança (conceito amplo; sistema operacional)
Produção de Dispositivo ou Software Ilícito 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. Destaques: Phishing (via de regra, ato preparatório para difusão de vírus) Port Scan (ato preparatório para invasão de dispositivo)
Obtenção de Informações Qualificadas e Controle Remoto 3º Se da invasão resultar a OBTENÇÃO de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o CONTROLE REMOTO não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. 4 o Na hipótese do 3 o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. Obter Dados (significado amplo) Controle Remoto (BOTNETS)
BOTNET 1) O operador da botnet envia virus e worms, infectando computadores de usuários comuns. 2) O bot no computador infectado faz o login em uma botnet do operador. 3) Um interessado em enviar spam compra os serviços da botnet. 4) A mensagem fornecida pelo interessado é espalhada pelos computadores da rede botnet. Fonte: http://pt.wikipedia.org/wiki/botnet
Causas de Aumento de Pena 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. AÇÃO PENAL Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento. Pena - detenção, de um a três anos, e multa. 1º Incorre na mesma pena quem INTERROMPE serviço telemático ou de informação de utilidade pública, ou IMPEDE ou DIFICULTA- LHE o restabelecimento. 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública. Utilidade Pública (abrangência) DDOS
Falsificação de Cartão de Crédito ou Débito Falsificação de documento particular Art. 298 Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. Falsificação de cartão Parágrafo único. Para fins do disposto no caput, EQUIPARA-SE a documento particular o cartão de crédito ou débito. (IN) Efeito prático: positivou o que antes era considerado como mero ato preparatório a furto mediante fraude ou estelionato.
Outros tipos penais cibernéticos Os crimes a seguir não estão previstos na Lei 12.737, de 2012...
Pichação Virtual (Defacement) Atentado contra a segurança de serviço de utilidade pública C.P., Art. 265 - Atentar contra a segurança ou o funcionamento de serviço de água, luz, força ou calor, ou qualquer outro de utilidade pública: Pena - reclusão, de um a cinco anos, e multa. Parágrafo único - Aumentar-se-á a pena de 1/3 (um terço) até a metade, se o dano ocorrer em virtude de subtração de material essencial ao funcionamento dos serviços. Somente tipifica quando o serviço disponível na Internet for de utilidade pública
Interceptação Telemática Art. 10. Constitui crime realizar INTERCEPTAÇÃO de comunicações telefônicas, de informática ou TELEMÁTICA, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei. Pena: reclusão, de dois a quatro anos, e multa. Lei 9.296, de 1996 Em algumas operações policiais nos últimos dois anos a PF tem identificado casos de INSIDERS que realizam interceptação telemática para acesso a dados sigilosos do órgão
Inserção de Dados Falsos em Sistema de Informações CP, Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: Pena reclusão, de 2 (dois) a 12 (doze) anos, e multa. Crime contra a Administração Pública e praticado por funcionário público autorizado. Incluído pela Lei nº 9.983, de 2000.
Modificação ou Alteração não autorizada de Sistema de Informações CP, Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente: Pena detenção, de 3 (três) meses a 2 (dois) anos, e multa. Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado Crime contra a Administração Pública e praticado por funcionário público não autorizado. Incluído pela Lei nº 9.983, de 2000.
Mudanças para combater o cybercrime A necessidade fez surgir na Polícia Federal um novo método para o combate aos crimes cibernéticos: Projeto Tentáculos
Modelo de Atuação Tradicional CADA notícia-crime = UM NOVO inquérito policial Comunicações dispersas pelo País Informações limitadas Impossibilidade de cruzamento de dados Instauração do Inquérito no local da conta-vítima Quebra de sigilo bancário/telemático Diligências executadas em outros Estados
Processos de Contestação de Débito Ano Processos Média Mensal 2006 18.727 1.561 2007 19.775 1.648 2008 48.350 4.029 2009 80.572 6.714 2010 126.164 10.514 2011 100.481 8.373 2012 58.976 4.915 2013 24.394 3.479
Novo Modelo de Atuação Projeto Tentáculos Termo de cooperação técnica DPF x Caixa Comunicação centralizada de notícias de crimes Criação de uma base de dados nacional (BNFBe) Cruzamento prévio de informações Combate prioritário à criminalidade organizada Seleção do melhor local para a investigação Estudos prospectivos para planejar atuação preventiva
Impacto na Instauração de IPLs Evolução da Quantidade de IPL's Instaurados e em Relatados INSTAURADOS RELATADOS 100.000 90.000 Início do Projeto Tentáculos 80.000 70.000 60.000 50.000 40.000 30.000 20.000 10.000-1983 1985 1987 1989 1991 1993 1995 1997 1999 2001 2003 2005 2007 2009
Evolução de Valores Internet + Clonagem R$24.975.312,13 R$12.101.159,55 R$8.657.349,51
Dados Disponíveis na BNFB Entidades 2.785.797 Ligações (pgtos., transfs., recargas etc.) 5.395.786 Processos 477.457 Contas 565.112 Pessoas 500.114 Terminais 262.091 Endereços IP 79.448 Pagamentos (Boletos) 68.679
Análise de Fraudes Eletrônicas
01 Terminal de conexão 09 contas vitimas de fraude 17 Contas beneficiárias 07 Boletos de pagamento
01 Terminal de Conexão 43 Endereços IP 45 Contas vítimas de fraude
01 Terminal SAQUE (CONV/LOT) 82 Contas vítimas de fraude
Estudos Estatísticos Prospectivos
Decréscimo do prejuízo registrado 250.000.000,00 224.889.671,23 200.000.000,00 178.628.007,81 150.000.000,00 114.583.016,19 100.000.000,00 74.199.438,57 50.000.000,00-2010 2011 2012 2013
250.000.000,00 Comparativo Ano Internet/Débito 200.000.000,00 202.706.821,80 155.762.644,06 150.000.000,00 100.000.000,00 96.866.034,19 50.000.000,00 34.868.628,61 39.259.464,78 22.182.849,43 22.865.363,75 17.554.296,73-2010 2011 2012 2013 Internet Clonagem
Valor Internet ORIGEM 2013 718.028,97 467.482,99 390.460,78 402.815,97 177.601,34 175.571,24 206.076,49 129.432,66 128.778,98 71.824,86 90.105,02 66.654,72 6.785,00 22.882,93-33.791,88 24.177,73 23.388,28 29.338,53 7.850,00 14.276,90 AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Internet DESTINO 2013 (transf. conta-conta) 464.535,38 264.752,85 248.330,31 231.240,74 202.781,12 60.210,72 48.640,41 69.420,18 - - - - 5.980,00 13.765,3612.736,41-15.846,10 18.624,02 4.400,00 3.850,00 - - - 3.000,00 - AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Débito ORIGEM 2012 41.938.277,05 6.375.558,38 7.390.948,48 7.196.641,71 1.179.162,67 3.813,88 3.501.369,46 3.775.534,34 865.533,44 340.979,49 2.741.110,27 465.376,77 53.033,96 2.269.306,78 354.408,30 AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Débito DESTINO 2012 (transf. conta-conta) 3.177.679,48 719.080,02 40.899,00 490.650,66 399.078,32 353.091,11 225.199,22 172.587,00 63.811,00 6.954,00 173.163,25 56.306,99 513.480,08 254.326,80 24.978,50-80.886,50 12.700,00 AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
30.000.000,00 Valor Mês Débito (Nacional) 25.000.000,00 23.890.478,35 21.559.594,19 22.167.803,25 20.000.000,00 16.541.489,80 15.434.183,96 18.917.028,56 16.675.246,29 15.093.756,99 14.507.325,11 15.000.000,00 14.102.942,67 13.758.606,92 12.821.381,29 12.308.201,05 12.528.885,60 12.743.005,91 11.616.322,40 11.762.562,38 11.320.255,27 10.116.236,95 10.148.689,22 10.254.245,94 9.567.270,80 10.000.000,00 8.829.434,08 8.914.631,71 9.109.001,04 7.980.957,26 7.932.413,50 16.749.143,32 17.951.346,60 11.459.745,88 11.578.050,43 13.454.562,61 11.027.632,48 5.000.000,00 5.545.611,75 4.873.670,98 4.846.145,98 4.945.851,03 6.346.994,15 4.398.408,43 5.822.529,76 4.838.155,04 4.848.921,99 4.935.874,95-370.368,96 - - - - jan fev mar abr mai jun jul ago set out nov dez 2010 2011 2012 2013
O Futuro: Projeto Oráculo Centralização de informações relacionadas a: Incidentes de rede Malwares mais ativos Fraudes eletrônicas Grupos criminosos ativos etc.
Projetos do SRCC Sistema Ferramentas Base de Dados
CASOS PRÁTICOS OPERAÇÃO ÁGORA CRUZ Julho (2014) Invasão da Base de Dados de um Órgão Público Federal disponibilizada para o público externo por meio de acesso Web. Criminoso efetuou cópia (backup) e apagou toda a base de dados de um dos servidores O acesso indevido deixou vestígios A Polícia Federal conseguiu rastrear a origem da conexão Resultado: 14 HDs apreendidos por meio de Mandados de Busca e Apreensão. O Criminoso foi interrogado e confessou o crime, esclarecendo o método utilizado.
CASOS PRÁTICOS OPERAÇÃO IB2K Set./Out. (2014) Pesquisas na Base Nacional de Fraudes Bancárias Eletrônicas do Projeto Tentáculos identificou a existência de uma ORCRIM especializada em invadir contas bancárias por meio do canal Internet Banking Entre novembro de 2012 e julho de 2013 mais de 2 milhões de reais desviados para contas de laranjas, pagamentos de boletos e recargas de celulares Os acessos indevidos deixaram rastros, assim como as contas dos laranjas e os aparelhos celulares recarregados com dinheiro das fraudes A Polícia Federal conseguiu identificar os beneficiários Resultado: 08 prisões preventivas, 10 prisões temporárias, 35 MBAs deferidos judicialmente.
Dúvidas? Stenio Santos Sousa Delegado de Polícia Federal Grupo de Repressão a Crimes Cibernéticos e-mail: grcc.df@dpf.gov.br