quarta-feira, 6 de abril de 2016

Derrubem a porta a machadadas! Primeiro caso de fraude digital no Brasil

Que eu me lembre, este caso foi o primeiro de fraude digital que teve repercussão na mídia, pelo menos em São Paulo. A história voltou na minha cabeça por um motivo muito interessante e engraçado. Outro dia eu estava em uma empresa, quando encontrei uma pessoa que lhes prestava serviço de suporte técnico. Eu estava ali por causa da implantação de um sistema e precisava dos seus serviços para auxiliar a configuração dos PCs para o referido sistema. Em um dado momento teve início o seguinte diálogo:

- Eu estou me lembrando de você, você não é o Xandó?
   

- Sim sou eu mesmo, também tenho uma vaga lembrança, mas não consigo me lembrar de onde.

- Eu jamais poderia me esquecer.

- Como assim??

Voltando o filme <<<<<<. Retornemos para ano de 1995. A Internet ainda não tinha decolado, muito menos nascido no Brasil. Pululavam os BBSs nessa época, sendo que em São Paulo o MANDIC BBS era o maior, mais organizado e mais profissional de todos. Eu era usuário desde o começo, em 1990, e como fora um dos primeiros usuários tinha uma grande proximidade com Aleksandar Mandic. Por conta disso eu era “organizador” da área de Windows do BBS, como ser fosse um “moderador” aqui do ForumPCs. Provocava debates, respondia perguntas, etc.
  

Nesta época o Mandic, visionário como sempre foi tinha implantado no BBS um sistema de 0800 que estimulava e permitia pessoas de outros estados acessarem o sistema (para não gastar muito dinheiro em interurbanos cobrando uma tarifa de telefonia mais baixa). Além disso, já aceitava cartões de crédito para pagar a assinatura. Foi o primeiro sistema on-line pago no Brasil. Até então os BBSs eram todos de hobistas, pessoas que faziam por diversão e por isso mesmo gratuitos.

Nessa época eu já começava a ouvir falar, como se fosse um boato que se propaga de boca em boca, de soslaio, que havia programas sendo pegos na internet para gerar números de cartão de crédito. PAUSA : explicação importante, como se acessava a internet se não havia internet no Brasil? No mundo já existia. No BBS tinha um recurso estranho e de difícil uso, que permitia fazer FTP não online. Uma mensagem era enviada para uma conta especial do BBS com os dados para o FTP, endereço, usuário, senha, nome da pasta, nome do arquivo e se TUDO estivesse certo, se o arquivo não fosse grande demais, no DIA SEGUINTE, com uma boa dose de sorte o arquivo requerido era enviado para a sua caixa de mensagens do BBS.

Os espertalhões de plantão já começavam a colocar as manguinhas de fora e se aventuravam nessa praia. Acho que era meio inconseqüente, meio na ingenuidade, mas não deixava de ser um crime o uso desses programas. O Mandic acumulava prejuízos por conta destes “espertos”. Eles faziam assinaturas no seu serviço usando estes cartões fraudulentos. Faziam todos os downloads que podiam.

Na época cada usuário só podia acessar 60 minutos. Com este expediente criminoso eles faziam várias assinaturas e usavam o dia inteiro, ocupando linhas de telefone (acesso via modem – claro!). No dia seguinte ao ser processado o cartão (não havia validação online nessa época) estes eram negados pela administradora e a assinatura cancelada, mas usuários legítimos ficavam sem conseguir usar o sistema que gerava muitas reclamações.

O Mandic já estava cansado destes espertalhões. Precisava arrumar um jeito de pegar um deles e fazer do caso um exemplo. Quem conhece o Mandic sabe de sua incrível tenacidade e persistência. Ele passava horas analisando os LOGs do sistema para descobrir alguma pista. Um belo dia ele achou um belo rastro e pegou o fio da meada, pelo menos de um dos meliantes.

Um dos fraudadores não só usava os cartões fajutos como não queria gastar nem os impulsos do telefone. Este em especial começou a acessar o sistema pelo número 0800. Este tipo de serviço apresenta uma conta detalhada, com todas as ligações, número que discou, dias, horários etc.

O Mandic conseguiu achar e cruzar alguns dados da conta telefônica com o LOG do BBS. Dizem que a mente criminosa tem um padrão definido. Isso de fato aconteceu. O bandidinho virtual fazia inscrições no BBS com nomes do tipo JOHN SMITH, senha BURRO, WILLIAM JONHSON, senha BABACA, PAUL BRIAN, senha ESTÚPIDO, e assim por diante. Eram nomes em inglês e as senhas era insultos de algum tipo, como se dirigidas ao próprio Mandic. Estas inscrições tinham seus cartões recusados e insistentemente outros usuários com nomes e senhas assim eram criados. Mas seu azar, seu erro, foi querer dar todos os golpes de uma só vez. Usar a linha 0800 deixou a chance de cruzar os dados do log e associar estes usuários falsos com um número de telefone (denunciado pela conta do 0800).


Pronto, já ele sabia atrás de quem ele deveria ir. O valor da fraude era baixo. Este fulano tinha feito 10 ou 15 inscrições, a valores como R$ 30 por mês (algo perto de R$ 300 a R$ 450). Mas não era só um, eram vários que faziam isso. O Mandic, queria pegar alguém e dar o exemplo, por isso não mediu esforços. Acionou seu advogado, que conseguiu mandado judicial para ir atrás dos dados do fulano. Descobriram, por este caminho, nome completo e endereço do indivíduo.

Os membros do ForumPCs que são advogados podem explicar melhor, mas pelo que entendi precisavam obter provas mais concretas contra o fraudador. Por causa disso o advogado conseguiu um mandado de busca e apreensão, na casa do camarada, para colher mais provas. As execuções destas diligências judiciais são feitas com o apoio da polícia. E precisam ter um “perito” para dar apoio técnico e obtenção de provas. Adivinhem quem foi o escolhido para ser o “perito” para investigar a casa e o computador do fraudador? EU!! Fiquei sem jeito e meio preocupado, jamais me imaginei fazendo este tipo de coisa. Mas o Mandic confiava em mim. Fui formalmente convocado por seu advogado e pelo delegado para esta missão.

No dia combinado apresentei-me na delegacia de do bairro de Pinheiros em São Paulo. O delegado, o advogado, três policiais, e acho que mais um agente do poder judiciário, mais eu mesmo, nos reunimos para obter as instruções. O delegado tomou a palavra:

- É uma operação de rotina. Os policiais acompanharão apenas para garantir que o mandado judicial será cumprido. Isso é muito comum. O perito vai nos acompanhar e ao obtermos acesso à residência do meliante, daremos cobertura para que você possa efetuar o seu trabalho de colher as provas necessárias. O investigado pode se recusar a colaborar. Às vezes nem nos deixam entrar.
 

Ai ouvi a “pérola”, que dá título a este texto:

- Se houver resistência, não há problema. Estamos acostumados, isso é muito normal. Os policiais levam consigo machados. Se não abrirem a porta por bem, derrubem a porta a machadadas e deixem o oficial de justiça e o perito fazerem seus trabalhos!!!
     

Pensei comigo, que encrenca que eu fui me meter!!! Mas vamos lá. Chegamos a um condomínio de prédios de bom nível, no bairro de Interlagos em São Paulo. É incrível como um mandado judicial é eficiente! Entramos no prédio sem que fosse necessário sequer interfonar para o apartamento do indivíduo. Será que eu impus tanto respeito?? Nada disso. Provavelmente a visão de três policiais armados, um dos quais com um machado na mão ajudou um bocado! Chegamos à porta do apartamento e tocamos a campainha. Não houve resposta. Tocamos de novo. Mais trinta segundos se passaram, sem resposta. Um dos policiais falou :

- Vamos arrombar!! Prepare o machado!!
     

Quando achei que ia assistir a esta cena bizarra, a porta foi aberta. Não foi necessário destruir nem derrubar a porta (para o alívio de uns e desapontamento de outros). O dono da casa, um rapaz de trinta e poucos anos não estava. Quem atendeu ao oficial de justiça foi sua esposa. Coitada de sua mulher. Deu pena ver sua expressão ao ver entrar em sua casa, um monte de pessoas, incluindo policiais armados e machado na mão. Conversando com ela, que estava “branca” como cera de tanto susto, descobrimos que o dono da casa tinha um serviço de assistência técnica de PCs.

Naquele instante eu não sabia exatamente o que fazer. Fui passo a passo imaginando como levantaria as provas necessárias. Localizei o PC, modem e linha telefônica. Tomei assento e comecei a fazer o meu trabalho. Identifiquei o software de comunicação (havia dois – o TELIX e o PROCOMM), havia números de telefone de acesso ao Mandic BBS cadastrados nos programas. Achei vários arquivos ZIP que pareciam ter sido pegos no BBS, numa pasta de downloads. Todos os arquivos do Mandic BBS tinham dentro do ZIP um TXT com o logotipo e propaganda do BBS. Localizar este TXT nos arquivos ZIP foi moleza. Era a prova final de que precisávamos. Tinha o PC, tinha o programa de comunicação, tinha o BBS registrado nos programas e havia arquivos comprovadamente baixados pelo sistema. Na época usuários visitantes do BBS podiam ter acesso sem pagar, mas não tinham direito a fazer nenhum download. Não tinha como negar. Isso comprovava tudo. O fulano estava encrencado!!

O PC foi desmontado e confiscado. Neste meio tempo chegou o dono da casa que tinha sido chamado por sua esposa. Ele manifestou grande surpresa. Informalmente inquirido negou tudo. Disse que nunca acessara o Mandic BBS como assinante. Não era isso que diziam as provas – conta de telefone 0800 e as evidências do PC do rapaz. O objetivo da “visita” era colher provas, mas o JOHN SMITH (vou chamá-lo assim a partir de agora – inspirado em seus nomes de inscrição fraudulentos) continuava a negar tudo. Ele se colocou a disposição de nos acompanhar a delegacia para prestar mais esclarecimentos. Ele teria que ir de toda forma! Por bem ou por mal, com machadada ou sem machadada!
   

Voltamos todos para a delegacia, com as provas e o próprio JOHN SMITH. Burocracias cumpridas, depoimentos tomados. Lá pelas tantas ficamos sentados, num tipo de sala de espera, EU e JONH SMITH, frente a frente. Travei um breve diálogo com ele:

- Olha eu não tenha nada pessoal contra você. Fui convocado para fazer um trabalho, a perícia de seu micro e tentei fazê-lo da melhor forma possível.

- Tudo bem. Entendo a sua posição. Eu só queria entender o que está acontecendo. Não faço a menor idéia do porquê disso tudo!
      

Nesta hora o próprio Mandic já estava na delegacia (ele não participara da operação de busca e apreensão). Não tinha mais motivo para eu estar ali. O Mandic me disse que seu advogado ia tentar trazer a imprensa à delegacia para que houvesse alguma cobertura sobre o assunto. Se tinha uma coisa que eu não queria era aparecer. Fui embora. Soube depois que a delegacia ficou como um formigueiro, lotado de pessoas da imprensa, jornais, rádio, etc. Não tenho certeza se foi o primeiro caso “policial” de fraude digital no Brasil ou em São Paulo. Se não foi a primeira foi uma das primeiras.

O Mandic obteve o resultado que queria. O ocorrido ganhou página inteira (capa!) no caderno de informática do jornal O ESTADO DE SÃO PAULO, grande destaque em outros jornais da cidade, caso citado em vários noticiários e estações de rádio. Soube depois que o “perito” fora procurado para entrevistas. Ufa! Ainda bem que eu tinha caído fora. O Mandic e seu advogado respeitaram meu pedido, de não citar meu nome neste caso. Não queria meu nome envolvido com isso, nem precisava. Não era e nunca foi minha atividade profissional participar deste tipo de situação.

O Mandic gastou uma grana preta com o processo e advogado. Com certeza dezenas de vezes mais que os R$ 450 que ele tinha sido ludibriado pelo JOHN SMITH. Mas ele atingiu seu objetivo. Com todo este “barulho” e publicidade, caiu a ZERO o número de fraudes no Mandic BBS por vários meses. Depois de algum tempo as fraudes voltaram a acontecer, talvez pela habitual memória curta do brasileiro, ou pela mudança do perfil do larápio virtual. Já na fase da Internet, como todos sabem, fraudes de todos os tipos só aumentaram. SPAM, PHISHING, roubo de identidade, etc. Infelizmente foi a evolução natural deste tipo de atividade criminosa.


Avançando o filme >>>>>>. Estamos novamente no presente. Continuando o diálogo com a pessoa que disse que me conhecia, lá no comecinho deste texto.

- Você esteve na minha casa.
    

- Na sua casa?? Nossa! Desculpe-me. Não me lembro mesmo.

- Você esteve lá com a polícia, foi investigar o meu PC, lembrou?

- Nossa cara. Que situação!! Agora me lembrei de tudo. Olha eu nunca quis te prejudicar, só fiz o trabalho que fui convocado a realizar!  Mas depois o que aconteceu?? Não fiquei sabendo!!

- Tive que responder a um processo, contratar advogado. Foram meses de dor de cabeça, depoimentos, audiências, ameaça de prisão… Um imenso desgaste e sofrimento. Depois dessa canseira toda, o próprio Mandic não quis mais levar o assunto para frente e o processo foi retirado. Mas olha, foi um super desgaste!! Minha família ficou muito abalada. Graças a Deus isso está no passado, passou, acabou! Retomei a minha atividade profissional, que ficara prejudicada. Agora está tudo bem.

- Mas foi uma bobeira, se queimar por conta de uma dúzia de assinaturas do BBS!!?!?!

- Se eu te contar, você não vai acreditar! Eu fiquei totalmente atônito com o que aconteceu. Não sabia MESMO como aquilo tinha acontecido. Depois descobri tudo. Meu filho, na época com 12 anos tinha ouvido falar do BBS, que era legal que podia fazer download de programas... Mas como ele ia fazer a assinatura? Um amigo dele, um japonesinho, super esperto e inteligente, já era hacker desde essa idade. O japonesinho disse que sabia como usar cartão de credito sem pagar nada! Eles dois na maior inocência (mais inocente o meu filho que de fato não tinha essa maldade) usaram o tal programa para gerar números de cartão de crédito fraudulentos. Usavam o meu PC quando eu não estava em casa. Eu até já tinha acessado o Mandic BBS, mas como visitante, não tinha assinatura. Eles iam fazendo assinaturas. Quando eram cortados faziam outra assinatura e mais outra, e mais outra. QUE BOBAGEM!! Tive que chamar os pais do amigo e ter uma conversa com eles. Foi muito chato. Meu filho foi duramente repreendido. Ele tinha que perceber que aquilo que estavam fazendo não era correto. Ficou sem usar computador por muito tempo por conta disso, como um dos vários castigos que ele teve. Hoje ele é grande, faz faculdade. É um ótimo garoto, e tem um excelente caráter.

- Nossa que história! Eu jamais poderia imaginar que tinha sido isso que aconteceu! Que experiência hein!!??

Essa é a história. Eu e JOHN SMITH demos boas risadas lembrando-nos do que nos acontecera há mais de 10 anos. Foi muita coincidência termos nos encontrado neste dia e termos descoberto um cliente em comum. Ele no papel da empresa que presta assistência e suporte e eu implantando um sistema. Eventualmente ainda nos encontramos por lá. JOHN SMITH é um cara super sério, um excelente profissional, e sem querer e principalmente sem saber foi o pivô de um dos primeiros casos de fraude digital no Brasil!!

Ainda bem que não foram necessários os machados, não acham?

================================**FIM**================================
================================**FIM**================================


UM DOS COMENTÁRIOS DA COLUNA – lá no FORUMPCs

O REAL AUTOR DO DELITO APARECEU E CONTOU A HISTÓRIA!!

(respondeu em um dos comentários da coluna - era usuário do ForumPCs)

Olá a todos,

Primeiramente gostaria de me apresentar. Sou realmente o filho de JOHN SMITH, como foi chamado meu pai pelo Xandó nessa matéria.

Hoje tenho 27 anos, sou gerente de TI e gerente de exportação (áreas totalmente diversificadas) de uma indústria. Sou um apaixonado por tecnologia, porém computadores para mim atualmente, somente para uso profissional. Sou também, piloto privado de avião (minha maior paixão desde criança).

Bom, voltando ao assunto; Como o Xandó citou, meu pai não tinha conhecimento das coisas que eu aprontava em casa enquanto ele não estava. Antes de sair de casa, ele trancava o computador (Lembram daquela chave que você conseguia travar o funcionamento da CPU?) mas eu, sabia onde ficava a chave reserva...... destravava a máquina e passava horas usando. Umas duas horas antes dele chegar em casa, eu desligava o computador para dar tempo de esfriar o monitor, para não dar pistas de que usei a máquina.

Lembro-me direitinho, naquela época nosso computador era um 386 DX 40 com 8MB de RAM.... MS DOS 6.22 e Windows 3.11 para Workgroup (heheheheh faz tempo...), só para constar, era top de linha.

Meu amigo da escola, o tal japonês, tinha inclusive a própria BBS... tenho que reconhecer que o cara era bom mesmo. Um certo dia, ele chegou na escola com uma lista de números que eu não tinha ideia do que eram. Ele me explicou que eram números de cartões de crédito inativos, ou seja, nunca conseguiriam ser processados pela operadora pois nunca haviam sido confeccionados, dessa forma, não debitando na conta de ninguém o valor da assinatura.

No começo, ele ia lá em casa e acessávamos a Mandic para baixar programas para montarmos a tal BBS que ele já estava desenvolvendo... Eu queria muito naquela época aprender e colaborar nesse desenvolvimento.

Depois de um certo tempo, comecei a usar sozinho e baixava os programas, grava em disquetes (5 1/4 ou 3 1/2 .... heheheh) e passava para ele. E assim foi até o dia que tudo aconteceu.

Lembro-me como se fosse hoje quando o nosso advogado conseguiu com que eu fosse até a delegacia dar depoimento. Lembro-me de estar muito nervoso, pois fora a primeira vez que pisara em uma delegacia. Comecei a falar ... horários, usuários que eu cadastrava, arquivos que baixara, etc.

Depois disso, creio que o Mandic tenha retirado o processo.

Sinceramente, não tenho certeza se todo o alarde público foi para repreender os outros que faziam a mesma coisa que eu, ou foi simplesmente um ato publicitário, uma vez que exatamente uma semana antes do acontecido, a polícia americana havia prendido Kevin Mitnik (Primeiro Hacker descoberto nos USA), ou seja, se os americanos conseguiram, eu também consigo.

Bom, mas isso não vem ao caso. Reconheço desde aquela data que fiz besteira, me arrependo, e muito pelo que fiz pois além de ter prejudicado alguém, prejudiquei a minha própria família.

Mas sempre temos que ver o lado bom da história. Com esse fato duas coisas muito importantes aconteceram comigo para que eu me tornasse quem eu sou hoje.

Primeiramente aprendi a pensar duas vezes antes de fazer qualquer coisa, pois de bobeira você pode se prejudicar e a segunda coisa boa é que, passado todo o episódio meus mais me colocaram para trabalhar de verdade, e desde então não parei de trabalhar, aprender e crescer profissionalmente. Hoje tenho 13 anos de carteira de trabalho assinada, onde comecei como auxiliar de produção e hoje tenho um cargo de confiança da empresa (fato esse, muito dificil de se ver em pessoas da minha idade).

Para finalizar, gostaria de dizer que meus pais são pessoas muito honestas, corretas e boas ..... o grande vilão da história fui eu.

Xandó, parabéns pela matéria...... quando li, senti-me revivendo aqueles momentos de angústia, medo do que iria acontecer, etc.


Achei extremamente profissional a sua imparcialidade.

PS: Peço desculpas for esse texto enorme, mas podem ter certeza que encurtei o máximo que pude, pois isso é papo para horas e horas.



8 comentários:

  1. Que história heim! Muito obrigado por compartilhar conosco Fávio! E a propósito, que falta nos faz o ForumPCs, até hoje me sinto órfão de um bom site de notícias, de um bom fórum e de toda aquela galera gente boa que frequentava aquele espaço. Depois que o B.Piropo parou de escrever para o TechTudo só me sobrou o teu blog para relembar aqueles bons tempos! Abração!

    ResponderExcluir
    Respostas
    1. É mesmo Tiago! Que história maluca e que falta faz o ForumPCs, muuuuuito mesmo! Espero poder contar com você por aqui!!! Grande abraço

      Excluir
    2. Claro mestre! Pouco comento mas estou sempre por aqui! Não nos abandone também!! :D

      Excluir
  2. Este comentário foi removido pelo autor.

    ResponderExcluir
  3. Baita caso.
    também sou outro órfão do FORUMPCS.

    ResponderExcluir
  4. Sou advogado e gostei muito de ler o relato, que também é de interesse jurídico. Vou compartilhar no meu Facebook, para que todos conheçam essa capítulo da informática e do Direito no Brasil. Parabéns e abraço!

    ResponderExcluir