Polícia Federal
Superintendência Regional no Distrito Federal
Grupo de Repressão a Crimes Cibernéticos
Curso destinado à ATRICON: 09/10/2014
DELITOS CIBERNÉTICOS:
Polícia Federal
O que é Cibercrime?
“Crime informático, e-crime, cybercrime, crimeseletrônicos ou crime digital são termos utilizados parase referir a toda a atividade onde um computador ouuma rede de computadores é utilizada como umaferramenta, uma base de ataque ou como meio decrime.”. Disponível em:http://pt.wikipedia.org/wiki/Cybercrime
É a conduta ilícito-típica, porquanto prevista noordenamento jurídico-penal pátrio, que afeta ou éafetada por (meio de) um sistema computacional ouinformático
Crimes Cibernéticos Puros
ação ilícita com dolo de atacar o sistema do
computador, seja por meio de um ataque remoto
ou de uso de sistema informático (Furlaneto Neto
e Guimarães, 2003)
Crimes Cibernéticos Puros
INVASÃO DE COMPUTADORES (ART. 154-A, CP)
PICHAÇÃO VIRTUAL (Art. 265, CP)
ATAQUE DE NEGAÇÃO DE SERVIÇO (Art. 266, §1º, CP)
DISSEMINAÇÃO DE VÍRUS (Art. 154-A, §1º, CP)
CÓPIA ILÍCITA DE DADOS (ART. 154-A, §3º, CP)
REDES ZUMBIS (BOTNETs) (Art. 154-A, §3º, CP)
COMÉRCIO DE DADOS (Art. 154-A, §4º, CP)
INTERCEPTAÇÃO TELEMÁTICA (Art. 10, da Lei 9296/96)
INSERÇÃO DE DADOS FALSOS EM SISTEMAS DE INFORMAÇÕES (Art. 313-A, CP)
MODIFICAÇÃO OU ALTERAÇÃO NÃO AUTORIZADA DE SISTEMA DE INFORMAÇÕES (art. 313-B, CP)
Crimes Cibernéticos Impuros ou
Mistos
Ocorre quando o sistema informático é MEIO ou
INSTRUMENTO necessário à comissão do delito
Crimes Cibernéticos Mistos
FRAUDES BANCÁRIAS POR MEIO DE INTERNET BANKINGou CLONAGEM DE CARTÃO (art. 155, §4, II, CP)
EXPLORAÇÃO SEXUAL CIBERNÉTICA CONTRA CRIANÇASE ADOLESCENTES (Art. 241-A usque 241-E, do ECA)
FALSA IDENTIDADE VIRTUAL (Art. 307, CP)
VENDA DE MEDICAMENTOS PELA INTERNET (Art. 273, §1º,CP)
CRIMES CONTRA A HONRA PRATICADOS PELA INTERNET(Art. 138, 139 e 140, CP)
CYBERBULLYING (Não existe o tipo penal específico, maspodem ser aplicados os Art. 138, 139, 140, 146, 147, 307, todosdo Código Penal, quando há notícia de diversas condutaspraticadas em circunstâncias especiais, de forma complexa ereiterada)
Os ataques já começaram!
Em 2010, Hackers brasileiros aproveitaramuma onda de ataques internacionais paraatacar “sites” e base de dados no Brasil,principalmente, de órgãos públicosfederais, com o objetivo de:
Acessar e copiar dados pessoais einstitucionais;
Alterar o teor do site (defacement ou“pichação eletrônica”);
Impedir o funcionamento do site (ataques denegação de serviço ou DDOS – distributed
denial of service).
Estas novas práticas se mantêm até hoje.
Quem são os Cibercriminosos? Motivações diversas, mas usualmente movidos
por dinheiro ou ativismo;
Ativistas muitas vezes são manipulados porcriminosos, e servem de cortina de fumaça paraa intrusão em um sistema durante ou após umataque;
Ativistas muitas vezes atacam em conjunto cominternautas estrangeiros, em grupos supra-nacionais (Ex.:Anonymous);
Muitos dos integrantes não são “hackers”;
Cuidado com “hackers” internos (Insiders)
Quais vulnerabilidades são
exploradas? Computadores com software desatualizado e com
Sistema Operacional pirata;
No início as falhas eram relacionadas principalmenteaos SO da família Windows, situação praticamentesanada;
Em um segundo momento, foram exploradas falhasnos navegadores, que ainda são alvo mas em suamaioria tem um nível de segurança muito bom;
Atualmente as falhas encontram-se no Adobe FlashPlayer e no Adobe PDF Reader, em razão dacomplexidade do software e de sua utilização porgrande parte dos internautas no mundo
Como se proteger de ataques?
Usar software que tenha origem legítima, sem
cracks ou warez (pirataria).
Manter os seus programas atualizados, e usar
um bom antivírus (Ex. ESET NOD 32, AVIRA);
Não abrir links enviados por estranhos ou que
pareçam estranhos, inclusive no celular.
Dificuldades no combate ao
cybercrime Morosidade na percepção do crime e na
comunicação às autoridades policiais;
Falta de estruturação de Equipes de Tratamento deIncidentes de Rede em órgãos governamentais, quedevem ter recursos para o registros de entradas esaídas na rede, acessos a sistemas críticos emecanismos para a prevenção e para a mitigação deataques;
Dificuldade no fornecimento de informaçõescadastrais do usuário à Autoridades Policiais;
Lenta adaptação das empresas de Internet ao MarcoCivil da Internet (Lei 12.965, de 23 de abril de 2014)
Lacuna Legal
Antes da Lei de Delitos Informáticos (Lei 12.737/13),
era necessário estabelecer analogias
Problemas enfrentados:
Impossibilidade de aplicar analogia no Código Penal
para algumas condutas altamente especializadas
Investigações iniciadas eram sobrestadas ou
encerradas por dificuldades legais
Provedores de conexão e de conteúdo na Internet não
estavam preparados para atender as demandas das
investigações
Utilização de técnicas especiais de investigação restava
prejudicada
A Lei 12.737/12
Primeira lei específica para a positivação de
crimes cibernéticos;
Introduziu no CPB tipos penais novos e
condutas cibernéticas relacionadas a crimes já
previstos: Art. 154-A e 154-B, Art. 266 e Art. 298.
Invasão de dispositivo informático
Destaques:
Invasão (conceito amplo; “força bruta” ou ardil)
Dispositivo Informático (capacidade de processamento e/ou
armazenagem)
Mecanismo de Segurança (conceito amplo; sistema operacional)
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à
rede de computadores, mediante violação indevida de mecanismo de
segurança e com o fim de obter, adulterar ou destruir dados ou informações
sem autorização expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita.
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
Produção de Dispositivo ou Software Ilícito
Destaques:
Phishing (via de regra, ato preparatório para difusão de vírus)
Port Scan (ato preparatório para invasão de dispositivo)
§1º Na mesma pena incorre quem produz, oferece, distribui, vende
ou difunde dispositivo ou programa de computador com o intuito de
permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão
resulta prejuízo econômico.
Obtenção de Informações
Qualificadas e Controle Remoto
Obter Dados (significado amplo)
Controle Remoto (BOTNETS)
§ 3º Se da invasão resultar a OBTENÇÃO de conteúdo de
comunicações eletrônicas privadas, segredos comerciais ou
industriais, informações sigilosas, assim definidas em lei, ou o
CONTROLE REMOTO não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui
crime mais grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se
houver divulgação, comercialização ou transmissão a terceiro, a
qualquer título, dos dados ou informações obtidos.
BOTNET
1) O operador da botnet envia virus e worms, infectando
computadores de usuários comuns.
2) O bot no computador infectado faz o login em uma botnet do
operador.
3) Um interessado em enviar spam compra os serviços da botnet.
4) A mensagem fornecida pelo interessado é espalhada pelos
computadores da rede botnet.
Fonte: http://pt.wikipedia.org/wiki/Botnet
Causas de Aumento de Pena
§ 5º Aumenta-se a pena de um terço à metade se o crime for
praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de
Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito
Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal,
estadual, municipal ou do Distrito Federal.”
AÇÃO PENAL
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede
mediante representação, salvo se o crime é cometido contra a
administração pública direta ou indireta de qualquer dos Poderes da
União, Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos.”
Interrupção ou perturbação de
serviço telegráfico, telefônico,
informático, telemático ou de
informação de utilidade pública
Utilidade Pública (abrangência)
DDOS
Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico
ou telefônico, impedir ou dificultar-lhe o restabelecimento.Pena - detenção, de um a três anos, e multa.
§ 1º Incorre na mesma pena quem INTERROMPE serviço telemático
ou de informação de utilidade pública, ou IMPEDE ou DIFICULTA-
LHE o restabelecimento.
§ 2º Aplicam-se as penas em dobro se o crime é cometido por
ocasião de calamidade pública.
Falsificação de Cartão de Crédito ou
Débito
Efeito prático: positivou o que antes era considerado como
mero ato preparatório a furto mediante fraude ou estelionato.
Falsificação de documento particular
Art. 298 Falsificar, no todo ou em parte, documento particular ou
alterar documento particular verdadeiro:Pena - reclusão, de um a cinco anos, e multa.
Falsificação de cartão
Parágrafo único. Para fins do disposto no caput, EQUIPARA-SE a
documento particular o cartão de crédito ou débito. (IN)
Pichação Virtual (Defacement)
Somente tipifica quando o serviço disponível na Internet for de
utilidade pública
Atentado contra a segurança de serviço de utilidade pública
C.P., Art. 265 - Atentar contra a segurança ou o funcionamento
de serviço de água, luz, força ou calor, ou qualquer outro de utilidade
pública:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único - Aumentar-se-á a pena de 1/3 (um terço) até a
metade, se o dano ocorrer em virtude de subtração de material
essencial ao funcionamento dos serviços.
Interceptação Telemática
Em algumas operações policiais nos últimos dois anos a PF
tem identificado casos de INSIDERS que realizam interceptação
telemática para acesso a dados sigilosos do órgão
Art. 10. Constitui crime realizar INTERCEPTAÇÃO de comunicações
telefônicas, de informática ou TELEMÁTICA, ou quebrar segredo da
Justiça, sem autorização judicial ou com objetivos não autorizados
em lei.
Pena: reclusão, de dois a quatro anos, e multa.
Lei 9.296, de 1996
Inserção de Dados Falsos em
Sistema de Informações
Crime contra a Administração Pública e praticado por
funcionário público autorizado. Incluído pela Lei nº 9.983, de
2000.
CP, Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção
de dados falsos, alterar ou excluir indevidamente dados corretos nos
sistemas informatizados ou bancos de dados da Administração
Pública com o fim de obter vantagem indevida para si ou para outrem
ou para causar dano:
Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.
Modificação ou Alteração não autorizada
de Sistema de Informações
Crime contra a Administração Pública e praticado por
funcionário público não autorizado. Incluído pela Lei nº 9.983,
de 2000.
CP, Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou
programa de informática sem autorização ou solicitação de autoridade
competente:
Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.
Parágrafo único. As penas são aumentadas de um terço até a metade
se da modificação ou alteração resulta dano para a Administração Pública ou
para o administrado
Mudanças para combater o cybercrime
A necessidade fez surgir na Polícia Federal um
novo método para o combate aos crimes
cibernéticos: Projeto Tentáculos
Modelo de Atuação Tradicional
CADA notícia-crime = UM NOVO inquérito policial
Comunicações dispersas pelo País
Informações limitadas
Impossibilidade de cruzamento de dados
Instauração do Inquérito no local da conta-vítima
Quebra de sigilo bancário/telemático
Diligências executadas em outros Estados
Processos de Contestação de Débito
Ano Processos Média Mensal
2006 18.727 1.561
2007 19.775 1.648
2008 48.350 4.029
2009 80.572 6.714
2010 126.164 10.514
2011 100.481 8.373
2012 58.976 4.915
2013 24.394 3.479
Novo Modelo de Atuação
Projeto Tentáculos
Termo de cooperação técnica DPF x Caixa
Comunicação centralizada de notícias de crimes
Criação de uma base de dados nacional (BNFBe)
Cruzamento prévio de informações
Combate prioritário à criminalidade organizada
Seleção do melhor local para a investigação
Estudos prospectivos para planejar atuação preventiva
Impacto na Instauração de IPLs
-
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
100.000
1983 1985 1987 1989 1991 1993 1995 1997 1999 2001 2003 2005 2007 2009
Evolução da Quantidade de IPL'sInstaurados e em Relatados
INSTAURADOS RELATADOS
Início do Projeto Tentáculos
Dados Disponíveis na BNFB
Entidades 2.785.797
Ligações (pgtos., transfs., recargas etc.) 5.395.786
Processos 477.457
Contas 565.112
Pessoas 500.114
Terminais 262.091
Endereços IP 79.448
Pagamentos (Boletos) 68.679
224.889.671,23
178.628.007,81
114.583.016,19
74.199.438,57
-
50.000.000,00
100.000.000,00
150.000.000,00
200.000.000,00
250.000.000,00
2010 2011 2012 2013
Decréscimo do prejuízo
registrado
22.182.849,43 22.865.363,75 17.554.296,73
34.868.628,61
202.706.821,80
155.762.644,06
96.866.034,19
39.259.464,78
-
50.000.000,00
100.000.000,00
150.000.000,00
200.000.000,00
250.000.000,00
2010 2011 2012 2013
Comparativo Ano Internet/Débito
Internet Clonagem
6.785,00 22.882,93
-
129.432,66
71.824,86
128.778,98
177.601,34
24.177,73
390.460,78
33.791,88
90.105,02
23.388,28
66.654,72
402.815,97
175.571,24
29.338,53
7.850,00
467.482,99
206.076,49
14.276,90
718.028,97
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Internet ORIGEM 2013
- - - -
60.210,72
464.535,38
5.980,00
248.330,31
264.752,85
13.765,36
-12.736,41
48.640,41
4.400,00 15.846,10 18.624,02
3.850,00 - - -
202.781,12
3.000,00 -
231.240,74
69.420,18
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Internet DESTINO 2013 (transf. conta-conta)
1.179.162,67
3.813,88
3.501.369,46
6.375.558,38
3.775.534,34
865.533,44
7.390.948,48
340.979,49
2.741.110,27
465.376,77
7.196.641,71
53.033,96
2.269.306,78
354.408,30
41.938.277,05
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Débito ORIGEM 2012
40.899,00
225.199,22
399.078,32
719.080,02
172.587,00
353.091,11
63.811,00
490.650,66
6.954,00 56.306,99
173.163,25
513.480,08
254.326,80
24.978,50 -80.886,50
3.177.679,48
12.700,00
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Valor Débito DESTINO 2012 (transf. conta-conta)
10.116.236,95
11.320.255,27
13.758.606,92
18.917.028,56
16.675.246,29
14.507.325,11 15.093.756,99
21.559.594,19
16.749.143,32
17.951.346,60
23.890.478,35
22.167.803,25
14.102.942,67
15.434.183,96
16.541.489,80
12.308.201,05 12.821.381,29
11.762.562,38 12.528.885,60 12.743.005,91
11.459.745,88 11.578.050,43
13.454.562,61
11.027.632,48 11.616.322,40
10.148.689,22 10.254.245,94 9.567.270,80
7.980.957,26 8.829.434,08 8.914.631,71 9.109.001,04
5.822.529,76
4.838.155,04 4.848.921,99 4.935.874,95 4.873.670,98 4.846.145,98 4.945.851,03 5.545.611,75
7.932.413,50
6.346.994,15
4.398.408,43
370.368,96 - - - -
-
5.000.000,00
10.000.000,00
15.000.000,00
20.000.000,00
25.000.000,00
30.000.000,00
jan fev mar abr mai jun jul ago set out nov dez
Valor Mês Débito (Nacional)
2010 2011 2012 2013
O Futuro: Projeto Oráculo
Centralização de informações relacionadas a:
Incidentes de rede
Malwares mais ativos
Fraudes eletrônicas
Grupos criminosos ativos
etc.
CASOS PRÁTICOS
OPERAÇÃO ÁGORA CRUZ – Julho (2014)
Invasão da Base de Dados de um Órgão Público Federal disponibilizada
para o público externo por meio de acesso Web.
Criminoso efetuou cópia (backup) e apagou toda a base de dados de um
dos servidores
O acesso indevido deixou vestígios
A Polícia Federal conseguiu rastrear a origem da conexão
Resultado: 14 HDs apreendidos por meio de Mandados de Busca e
Apreensão. O Criminoso foi interrogado e confessou o crime, esclarecendo
o método utilizado.
CASOS PRÁTICOS
OPERAÇÃO IB2K – Set./Out. (2014)
Pesquisas na Base Nacional de Fraudes Bancárias Eletrônicas do Projeto
Tentáculos identificou a existência de uma ORCRIM especializada em
invadir contas bancárias por meio do canal Internet Banking
Entre novembro de 2012 e julho de 2013 mais de 2 milhões de reais
desviados para contas de “laranjas”, pagamentos de boletos e recargas de
celulares
Os acessos indevidos deixaram rastros, assim como as contas dos
“laranjas” e os aparelhos celulares recarregados com dinheiro das fraudes
A Polícia Federal conseguiu identificar os beneficiários
Resultado: 08 prisões preventivas, 10 prisões temporárias, 35 MBAs
deferidos judicialmente.
Stenio Santos SousaDelegado de Polícia Federal
Grupo de Repressão a Crimes Cibernéticos
e-mail: [email protected]
Dúvidas?