Polícia Federal

Superintendência Regional no Distrito Federal

Grupo de Repressão a Crimes Cibernéticos

Curso destinado à ATRICON: 09/10/2014

DELITOS CIBERNÉTICOS:

Polícia Federal

O que é Cibercrime?

“Crime informático, e-crime, cybercrime, crimeseletrônicos ou crime digital são termos utilizados parase referir a toda a atividade onde um computador ouuma rede de computadores é utilizada como umaferramenta, uma base de ataque ou como meio decrime.”. Disponível em:http://pt.wikipedia.org/wiki/Cybercrime

É a conduta ilícito-típica, porquanto prevista noordenamento jurídico-penal pátrio, que afeta ou éafetada por (meio de) um sistema computacional ouinformático

Crime Cibernético x Crime Clássico

Crime Cibernético: puro e misto

Crimes Cibernéticos Puros

ação ilícita com dolo de atacar o sistema do

computador, seja por meio de um ataque remoto

ou de uso de sistema informático (Furlaneto Neto

e Guimarães, 2003)

Crimes Cibernéticos Puros

INVASÃO DE COMPUTADORES (ART. 154-A, CP)

PICHAÇÃO VIRTUAL (Art. 265, CP)

ATAQUE DE NEGAÇÃO DE SERVIÇO (Art. 266, §1º, CP)

DISSEMINAÇÃO DE VÍRUS (Art. 154-A, §1º, CP)

CÓPIA ILÍCITA DE DADOS (ART. 154-A, §3º, CP)

REDES ZUMBIS (BOTNETs) (Art. 154-A, §3º, CP)

COMÉRCIO DE DADOS (Art. 154-A, §4º, CP)

INTERCEPTAÇÃO TELEMÁTICA (Art. 10, da Lei 9296/96)

INSERÇÃO DE DADOS FALSOS EM SISTEMAS DE INFORMAÇÕES (Art. 313-A, CP)

MODIFICAÇÃO OU ALTERAÇÃO NÃO AUTORIZADA DE SISTEMA DE INFORMAÇÕES (art. 313-B, CP)

Crimes Cibernéticos Impuros ou

Mistos

Ocorre quando o sistema informático é MEIO ou

INSTRUMENTO necessário à comissão do delito

Crimes Cibernéticos Mistos

FRAUDES BANCÁRIAS POR MEIO DE INTERNET BANKINGou CLONAGEM DE CARTÃO (art. 155, §4, II, CP)

EXPLORAÇÃO SEXUAL CIBERNÉTICA CONTRA CRIANÇASE ADOLESCENTES (Art. 241-A usque 241-E, do ECA)

FALSA IDENTIDADE VIRTUAL (Art. 307, CP)

VENDA DE MEDICAMENTOS PELA INTERNET (Art. 273, §1º,CP)

CRIMES CONTRA A HONRA PRATICADOS PELA INTERNET(Art. 138, 139 e 140, CP)

CYBERBULLYING (Não existe o tipo penal específico, maspodem ser aplicados os Art. 138, 139, 140, 146, 147, 307, todosdo Código Penal, quando há notícia de diversas condutaspraticadas em circunstâncias especiais, de forma complexa ereiterada)

Os ataques já começaram!

Em 2010, Hackers brasileiros aproveitaramuma onda de ataques internacionais paraatacar “sites” e base de dados no Brasil,principalmente, de órgãos públicosfederais, com o objetivo de:

Acessar e copiar dados pessoais einstitucionais;

Alterar o teor do site (defacement ou“pichação eletrônica”);

Impedir o funcionamento do site (ataques denegação de serviço ou DDOS – distributed

denial of service).

Estas novas práticas se mantêm até hoje.

Quem são os Cibercriminosos? Motivações diversas, mas usualmente movidos

por dinheiro ou ativismo;

Ativistas muitas vezes são manipulados porcriminosos, e servem de cortina de fumaça paraa intrusão em um sistema durante ou após umataque;

Ativistas muitas vezes atacam em conjunto cominternautas estrangeiros, em grupos supra-nacionais (Ex.:Anonymous);

Muitos dos integrantes não são “hackers”;

Cuidado com “hackers” internos (Insiders)

Quais vulnerabilidades são

exploradas? Computadores com software desatualizado e com

Sistema Operacional pirata;

No início as falhas eram relacionadas principalmenteaos SO da família Windows, situação praticamentesanada;

Em um segundo momento, foram exploradas falhasnos navegadores, que ainda são alvo mas em suamaioria tem um nível de segurança muito bom;

Atualmente as falhas encontram-se no Adobe FlashPlayer e no Adobe PDF Reader, em razão dacomplexidade do software e de sua utilização porgrande parte dos internautas no mundo

Como se proteger de ataques?

Usar software que tenha origem legítima, sem

cracks ou warez (pirataria).

Manter os seus programas atualizados, e usar

um bom antivírus (Ex. ESET NOD 32, AVIRA);

Não abrir links enviados por estranhos ou que

pareçam estranhos, inclusive no celular.

Dificuldades no combate ao

cybercrime Morosidade na percepção do crime e na

comunicação às autoridades policiais;

Falta de estruturação de Equipes de Tratamento deIncidentes de Rede em órgãos governamentais, quedevem ter recursos para o registros de entradas esaídas na rede, acessos a sistemas críticos emecanismos para a prevenção e para a mitigação deataques;

Dificuldade no fornecimento de informaçõescadastrais do usuário à Autoridades Policiais;

Lenta adaptação das empresas de Internet ao MarcoCivil da Internet (Lei 12.965, de 23 de abril de 2014)

Lacuna Legal

Antes da Lei de Delitos Informáticos (Lei 12.737/13),

era necessário estabelecer analogias

Problemas enfrentados:

Impossibilidade de aplicar analogia no Código Penal

para algumas condutas altamente especializadas

Investigações iniciadas eram sobrestadas ou

encerradas por dificuldades legais

Provedores de conexão e de conteúdo na Internet não

estavam preparados para atender as demandas das

investigações

Utilização de técnicas especiais de investigação restava

prejudicada

A Lei 12.737/12

Primeira lei específica para a positivação de

crimes cibernéticos;

Introduziu no CPB tipos penais novos e

condutas cibernéticas relacionadas a crimes já

previstos: Art. 154-A e 154-B, Art. 266 e Art. 298.

Invasão de dispositivo informático

Destaques:

Invasão (conceito amplo; “força bruta” ou ardil)

Dispositivo Informático (capacidade de processamento e/ou

armazenagem)

Mecanismo de Segurança (conceito amplo; sistema operacional)

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à

rede de computadores, mediante violação indevida de mecanismo de

segurança e com o fim de obter, adulterar ou destruir dados ou informações

sem autorização expressa ou tácita do titular do dispositivo ou instalar

vulnerabilidades para obter vantagem ilícita.

Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

Produção de Dispositivo ou Software Ilícito

Destaques:

Phishing (via de regra, ato preparatório para difusão de vírus)

Port Scan (ato preparatório para invasão de dispositivo)

§1º Na mesma pena incorre quem produz, oferece, distribui, vende

ou difunde dispositivo ou programa de computador com o intuito de

permitir a prática da conduta definida no caput.

§ 2º Aumenta-se a pena de um sexto a um terço se da invasão

resulta prejuízo econômico.

Obtenção de Informações

Qualificadas e Controle Remoto

Obter Dados (significado amplo)

Controle Remoto (BOTNETS)

§ 3º Se da invasão resultar a OBTENÇÃO de conteúdo de

comunicações eletrônicas privadas, segredos comerciais ou

industriais, informações sigilosas, assim definidas em lei, ou o

CONTROLE REMOTO não autorizado do dispositivo invadido:

Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui

crime mais grave.

§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se

houver divulgação, comercialização ou transmissão a terceiro, a

qualquer título, dos dados ou informações obtidos.

BOTNET

1) O operador da botnet envia virus e worms, infectando

computadores de usuários comuns.

2) O bot no computador infectado faz o login em uma botnet do

operador.

3) Um interessado em enviar spam compra os serviços da botnet.

4) A mensagem fornecida pelo interessado é espalhada pelos

computadores da rede botnet.

Fonte: http://pt.wikipedia.org/wiki/Botnet

Causas de Aumento de Pena

§ 5º Aumenta-se a pena de um terço à metade se o crime for

praticado contra:

I - Presidente da República, governadores e prefeitos;

II - Presidente do Supremo Tribunal Federal;

III - Presidente da Câmara dos Deputados, do Senado Federal, de

Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito

Federal ou de Câmara Municipal; ou

IV - dirigente máximo da administração direta e indireta federal,

estadual, municipal ou do Distrito Federal.”

AÇÃO PENAL

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede

mediante representação, salvo se o crime é cometido contra a

administração pública direta ou indireta de qualquer dos Poderes da

União, Estados, Distrito Federal ou Municípios ou contra empresas

concessionárias de serviços públicos.”

Interrupção ou perturbação de

serviço telegráfico, telefônico,

informático, telemático ou de

informação de utilidade pública

Utilidade Pública (abrangência)

DDOS

Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico

ou telefônico, impedir ou dificultar-lhe o restabelecimento.Pena - detenção, de um a três anos, e multa.

§ 1º Incorre na mesma pena quem INTERROMPE serviço telemático

ou de informação de utilidade pública, ou IMPEDE ou DIFICULTA-

LHE o restabelecimento.

§ 2º Aplicam-se as penas em dobro se o crime é cometido por

ocasião de calamidade pública.

Falsificação de Cartão de Crédito ou

Débito

Efeito prático: positivou o que antes era considerado como

mero ato preparatório a furto mediante fraude ou estelionato.

Falsificação de documento particular

Art. 298 Falsificar, no todo ou em parte, documento particular ou

alterar documento particular verdadeiro:Pena - reclusão, de um a cinco anos, e multa.

Falsificação de cartão

Parágrafo único. Para fins do disposto no caput, EQUIPARA-SE a

documento particular o cartão de crédito ou débito. (IN)

Outros tipos penais cibernéticos

Os crimes a seguir não estão previstos

na Lei 12.737, de 2012...

Pichação Virtual (Defacement)

Somente tipifica quando o serviço disponível na Internet for de

utilidade pública

Atentado contra a segurança de serviço de utilidade pública

C.P., Art. 265 - Atentar contra a segurança ou o funcionamento

de serviço de água, luz, força ou calor, ou qualquer outro de utilidade

pública:

Pena - reclusão, de um a cinco anos, e multa.

Parágrafo único - Aumentar-se-á a pena de 1/3 (um terço) até a

metade, se o dano ocorrer em virtude de subtração de material

essencial ao funcionamento dos serviços.

Interceptação Telemática

Em algumas operações policiais nos últimos dois anos a PF

tem identificado casos de INSIDERS que realizam interceptação

telemática para acesso a dados sigilosos do órgão

Art. 10. Constitui crime realizar INTERCEPTAÇÃO de comunicações

telefônicas, de informática ou TELEMÁTICA, ou quebrar segredo da

Justiça, sem autorização judicial ou com objetivos não autorizados

em lei.

Pena: reclusão, de dois a quatro anos, e multa.

Lei 9.296, de 1996

Inserção de Dados Falsos em

Sistema de Informações

Crime contra a Administração Pública e praticado por

funcionário público autorizado. Incluído pela Lei nº 9.983, de

2000.

CP, Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção

de dados falsos, alterar ou excluir indevidamente dados corretos nos

sistemas informatizados ou bancos de dados da Administração

Pública com o fim de obter vantagem indevida para si ou para outrem

ou para causar dano:

Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.

Modificação ou Alteração não autorizada

de Sistema de Informações

Crime contra a Administração Pública e praticado por

funcionário público não autorizado. Incluído pela Lei nº 9.983,

de 2000.

CP, Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou

programa de informática sem autorização ou solicitação de autoridade

competente:

Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.

Parágrafo único. As penas são aumentadas de um terço até a metade

se da modificação ou alteração resulta dano para a Administração Pública ou

para o administrado

Mudanças para combater o cybercrime

A necessidade fez surgir na Polícia Federal um

novo método para o combate aos crimes

cibernéticos: Projeto Tentáculos

Modelo de Atuação Tradicional

CADA notícia-crime = UM NOVO inquérito policial

Comunicações dispersas pelo País

Informações limitadas

Impossibilidade de cruzamento de dados

Instauração do Inquérito no local da conta-vítima

Quebra de sigilo bancário/telemático

Diligências executadas em outros Estados

Processos de Contestação de Débito

Ano Processos Média Mensal

2006 18.727 1.561

2007 19.775 1.648

2008 48.350 4.029

2009 80.572 6.714

2010 126.164 10.514

2011 100.481 8.373

2012 58.976 4.915

2013 24.394 3.479

Novo Modelo de Atuação

Projeto Tentáculos

Termo de cooperação técnica DPF x Caixa

Comunicação centralizada de notícias de crimes

Criação de uma base de dados nacional (BNFBe)

Cruzamento prévio de informações

Combate prioritário à criminalidade organizada

Seleção do melhor local para a investigação

Estudos prospectivos para planejar atuação preventiva

Impacto na Instauração de IPLs

-

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000

100.000

1983 1985 1987 1989 1991 1993 1995 1997 1999 2001 2003 2005 2007 2009

Evolução da Quantidade de IPL'sInstaurados e em Relatados

INSTAURADOS RELATADOS

Início do Projeto Tentáculos

Evolução de Valores

Internet + Clonagem

R$12.101.159,55

R$24.975.312,13

R$8.657.349,51

Dados Disponíveis na BNFB

Entidades 2.785.797

Ligações (pgtos., transfs., recargas etc.) 5.395.786

Processos 477.457

Contas 565.112

Pessoas 500.114

Terminais 262.091

Endereços IP 79.448

Pagamentos (Boletos) 68.679

Análise de Fraudes Eletrônicas

01 Terminal de conexão

09 contas vitimas de fraude

17 Contas beneficiárias

07 Boletos de pagamento

01 Terminal de Conexão

43 Endereços IP

45 Contas vítimas de fraude

01 Terminal SAQUE (CONV/LOT)

82 Contas vítimas de fraude

Estudos Estatísticos Prospectivos

224.889.671,23

178.628.007,81

114.583.016,19

74.199.438,57

-

50.000.000,00

100.000.000,00

150.000.000,00

200.000.000,00

250.000.000,00

2010 2011 2012 2013

Decréscimo do prejuízo

registrado

22.182.849,43 22.865.363,75 17.554.296,73

34.868.628,61

202.706.821,80

155.762.644,06

96.866.034,19

39.259.464,78

-

50.000.000,00

100.000.000,00

150.000.000,00

200.000.000,00

250.000.000,00

2010 2011 2012 2013

Comparativo Ano Internet/Débito

Internet Clonagem

6.785,00 22.882,93

-

129.432,66

71.824,86

128.778,98

177.601,34

24.177,73

390.460,78

33.791,88

90.105,02

23.388,28

66.654,72

402.815,97

175.571,24

29.338,53

7.850,00

467.482,99

206.076,49

14.276,90

718.028,97

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO

Valor Internet ORIGEM 2013

- - - -

60.210,72

464.535,38

5.980,00

248.330,31

264.752,85

13.765,36

-12.736,41

48.640,41

4.400,00 15.846,10 18.624,02

3.850,00 - - -

202.781,12

3.000,00 -

231.240,74

69.420,18

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO

Valor Internet DESTINO 2013 (transf. conta-conta)

1.179.162,67

3.813,88

3.501.369,46

6.375.558,38

3.775.534,34

865.533,44

7.390.948,48

340.979,49

2.741.110,27

465.376,77

7.196.641,71

53.033,96

2.269.306,78

354.408,30

41.938.277,05

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO

Valor Débito ORIGEM 2012

40.899,00

225.199,22

399.078,32

719.080,02

172.587,00

353.091,11

63.811,00

490.650,66

6.954,00 56.306,99

173.163,25

513.480,08

254.326,80

24.978,50 -80.886,50

3.177.679,48

12.700,00

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO

Valor Débito DESTINO 2012 (transf. conta-conta)

10.116.236,95

11.320.255,27

13.758.606,92

18.917.028,56

16.675.246,29

14.507.325,11 15.093.756,99

21.559.594,19

16.749.143,32

17.951.346,60

23.890.478,35

22.167.803,25

14.102.942,67

15.434.183,96

16.541.489,80

12.308.201,05 12.821.381,29

11.762.562,38 12.528.885,60 12.743.005,91

11.459.745,88 11.578.050,43

13.454.562,61

11.027.632,48 11.616.322,40

10.148.689,22 10.254.245,94 9.567.270,80

7.980.957,26 8.829.434,08 8.914.631,71 9.109.001,04

5.822.529,76

4.838.155,04 4.848.921,99 4.935.874,95 4.873.670,98 4.846.145,98 4.945.851,03 5.545.611,75

7.932.413,50

6.346.994,15

4.398.408,43

370.368,96 - - - -

-

5.000.000,00

10.000.000,00

15.000.000,00

20.000.000,00

25.000.000,00

30.000.000,00

jan fev mar abr mai jun jul ago set out nov dez

Valor Mês Débito (Nacional)

2010 2011 2012 2013

O Futuro: Projeto Oráculo

Centralização de informações relacionadas a:

Incidentes de rede

Malwares mais ativos

Fraudes eletrônicas

Grupos criminosos ativos

etc.

Projetos do SRCC

Sistema

Ferramentas Base de

Dados

CASOS PRÁTICOS

OPERAÇÃO ÁGORA CRUZ – Julho (2014)

Invasão da Base de Dados de um Órgão Público Federal disponibilizada

para o público externo por meio de acesso Web.

Criminoso efetuou cópia (backup) e apagou toda a base de dados de um

dos servidores

O acesso indevido deixou vestígios

A Polícia Federal conseguiu rastrear a origem da conexão

Resultado: 14 HDs apreendidos por meio de Mandados de Busca e

Apreensão. O Criminoso foi interrogado e confessou o crime, esclarecendo

o método utilizado.

CASOS PRÁTICOS

OPERAÇÃO IB2K – Set./Out. (2014)

Pesquisas na Base Nacional de Fraudes Bancárias Eletrônicas do Projeto

Tentáculos identificou a existência de uma ORCRIM especializada em

invadir contas bancárias por meio do canal Internet Banking

Entre novembro de 2012 e julho de 2013 mais de 2 milhões de reais

desviados para contas de “laranjas”, pagamentos de boletos e recargas de

celulares

Os acessos indevidos deixaram rastros, assim como as contas dos

“laranjas” e os aparelhos celulares recarregados com dinheiro das fraudes

A Polícia Federal conseguiu identificar os beneficiários

Resultado: 08 prisões preventivas, 10 prisões temporárias, 35 MBAs

deferidos judicialmente.

Stenio Santos SousaDelegado de Polícia Federal

Grupo de Repressão a Crimes Cibernéticos

e-mail: grcc.df@dpf.gov.br

Dúvidas?