Aplicativos falsos de trabalho estão sendo usados por criminosos para roubar dados pessoais porquê CNH (Carteira Pátrio de Habilitação) e CPF e contratar financiamentos em nome das vítimas.
Já são mais de 10 milénio casos sobre o tema nos tribunais brasileiros, segundo uma consulta aos diários oficiais das cortes. Os criminosos, também usando dados vazados na internet, podem fraudar contratos com o auxílio de correspondentes bancários que lucram com comissões sobre os empréstimos.
Em um dos casos, no Rio de Janeiro, os estelionatários usaram o CPF de uma moradora do Província Federalista para financiar uma van usada no transporte irregular da baixada fluminense.
De congraçamento com a empresa de cibersegurança Tempest, que identificou aplicativos falsos usados em versão mais sofisticada do golpe, a vítima confirma o financiamento sem sequer perceber. A pessoa faz a verificação facial a termo de se candidatar para uma vaga, porém um vírus, na verdade, usa a biometria para validar um empréstimo veicular.
Um dos sites usados no golpe, chamado VagaFácil, pede dados porquê número da CNH (Carteira Pátrio de Habilitação) e CPF para dar curso à fraude.
Os criminosos usam uma técnica chamada “overlay”, que altera a tela exibida no celular. A vítima vê mensagens genéricas ligadas ao processo de recrutamento, enquanto, na verdade, aceita um contrato de financiamento.
O golpe só é provável porque os criminosos conseguem permissões sensíveis, porquê chegada à câmera, gravação de áudio, chegada à localização e armazenamento. De congraçamento com a Tempest, o vírus consegue atuar nos apps bancários de seis instituições financeiras, cujos nomes não foram divulgados.
“Nós compartilhamos as nossas descobertas com os bancos e com as autoridades do poder público”, diz Carlos Cabral, técnico em cibersegurança da Tempest.
Para se prevenir, além de não compartilhar dados pessoais em formulários e aplicativos de origem duvidosa, é provável bloquear a introdução de novos empréstimos na plataforma Registrato, do Banco Mediano, dizem advogados ouvidos pela reportagem.
Basta acessar a plataforma Registrato e ativar a instrumento BC Protege+, que bloqueia a introdução de contas e operações de crédito sem autorização via plataforma Gov.br.
Os relatos que correm na Justiça mostram fraudes mais rudimentares do que o caso relatado pela Tempest. Nelas, os criminosos usam dados vazados na internet e contam com a cumplicidade de um correspondente bancário que aceita assinaturas digitais fáceis de falsificar.
Trata-se de um agente credenciado por um banco para oferecer serviços financeiros básicos, porquê pagamentos, saques e introdução de contas.
Em nota, a Febraban (Federação Brasileira de Bancos) diz que as instituições credenciadas seguem regras rigorosas de identificação e validação de clientes, autenticação reforçada, checagem de documentos e monitoramento de operações, em risco com normas do Banco Mediano do Brasil e legislação vigente. “Há investimentos contínuos em tecnologia antifraude, estudo de comportamento e cooperação setorial para mitigar riscos.”
Foi mal Sandra, sócia de um tarega em Brasília que pediu para ter seu sobrenome postergado, teve seu CPF usado para o contrato de uma dívida de R$ 274.578,24, de congraçamento com o seu jurisconsulto Rômulo Fiuza e Mello.
Os estelionatários usaram o valor para financiar uma van, que já operava no transporte irregular de passageiros no Rio de Janeiro meses antes do financiamento. Era um veículo Mercedes-Benz, ano e padrão de 2012. O valor à vista do carro, R$ 126 milénio, subiu para mais de R$ 274 milénio com juros e impostos.
A gerente de Sandra, que a informou sobre o débito, enviou também o documento que selou o empréstimo, no qual constavam emails e endereços desconhecidos pela vítima. O contrato foi validado com uma assinatura eletrônica feita no Rio de Janeiro, enquanto Sandra estava em Brasília. O documento foi aceito pelo correspondente bancário.
De congraçamento com Fiuza e Mello, as vulnerabilidades usadas para furar financiamentos fraudulentos são similares àquelas vistas nas fraudes do INSS (Instituto Pátrio do Seguro Social), que funcionavam, em secção, a partir da licença de crédito consignado não solicitado
Revelado o escândalo previdenciário, com rombo medido em tapume de R$ 6 bilhões, o governo passou a cobrar biometria facial com prova de vida para confirmar as transações financeiras.
“Em processos de colegas, ouvimos casos em que os correspondentes bancários ganham tapume de R$ 700 por contrato —há um interesse em lucrar no volume”, diz o jurisconsulto.
Fraudes similares também estão no radar das autoridades policiais. A Polícia Social de São Paulo prendeu 18 pessoas suspeitas de participar da fraude no financiamento de 278 automóveis, avaliados em R$ 22,6 milhões.
De congraçamento com as autoridades policiais, os criminosos usavam dados furtados e laranjas para obter financiamentos que não eram pagos. Logo, negociavam as dívidas por um valor inferior do cobrado pelos automóveis no mercado e os revendiam.
Segundo a Polícia Social, os criminosos teriam movimentado R$ 129 milhões durante cinco anos. Além das 18 prisões nos municípios de Catanduva, São José do Rio Preto, Severínia, Paraíso e Pindorama, as autoridades apreenderam 56 veículos, 45 celulares, 198 cartões bancários, um revólver, 300 munições, joias e relógios.
PROTEJA-SE DA FRAUDE DO FINANCIAMENTO
- Acesse o Registrato, pelo site do BC, e verifique se houve operações em seu nome;
- Verifique se seus dados foram na internet; a instrumento “Have I Been Pwned?” é uma opção;
- Confira se há permissões para aplicativos desconhecidos nas configurações do smartphone; em celulares Android, as configurações ficam na aba de aplicativos, na janela “chegada próprio”, enquanto em iPhones a opção fica na aba Privacidade e Segurança;
- Caso o violação tenha se consumado, registre boletim de ocorrência e contate a sua instituição financeira;
COMO FUNCIONA O BC PROTEGE+
- Cidadão acessa a espaço logada do Meu BC com sua conta gov.br nível prata ou ouro com verificação em duas etapas habilitada;
- Clica no botão Gerenciar a proteção no card BC Protege+;
- Ativa a proteção no card Contas – introdução e inclusão;
- Antes de furar uma conta ou incluir um titular ou representante em uma conta, a instituição deve consultar opção registrada para o CPF ou CNPJ; se a proteção estiver ativada, ela não poderá fazer a contratação;
- O cidadão pode ativar e desativar a proteção a qualquer momento, inclusive durante a jornada de contratação;
- O cidadão também pode ver qual instituição realizou a consulta dos seus dados no sistema;
- Para empresas, o serviço está disponível para sócios, representantes e colaboradores devidamente cadastrados no módulo de empresas da plataforma gov.br.
