0R$0,00
0
person with mask sitting while using a computer

Empresas e pessoas comuns são vítimas de crime cibernético. Nessa hora, o que fazer?

0 Direito, Interesse Geral, Tecnologia

Empresas e instituições da área da saúde, das finanças, de alimentos e bebidas, lojas do varejo, órgãos do setor público, nada, nenhum campo da economia está a salvo dos ataques cibernéticos por grupos que fazem espionagem com o objetivo de se apropriar de segredos industriais, chantagear, obter vantagens políticas, econômicas ou de outro tipo. Recente estudo mostra que, na América Latina, o Brasil tem sido o maior alvo desses ataques. Mas essas invasões de privacidade também acontecem no meio social, em computadores pessoais, para a obtenção, por exemplo, de imagens e dados sigilosos, que podem ser usados para fins de extorsão. Esta matéria reúne informações úteis que podem ajudar empresas e cidadãos a proteger os dados que guardam em seus dispositivos informáticos.

Brasil, alvo principal

Uma empresa especializada em cibersegurança fez um mapeamento das investidas de dupla extorsão pela internet que aconteceram na América Latina de janeiro a julho de 2020. Nesse período, pelo menos 17 desses grupos estavam atuando no Brasil, país alvo de 51% dos ataques detectados. Essas e outras constatações integram o mais recente relatório divulgado pela Apura, e que teve como foco as investidas de grupos de ransomware – um tipo de software (malware) que se instala em computadores e sistemas, faz a encriptação e o roubo dos dados. Em seguida, os grupos ameaçam difundir tais dados na chamada dark web e exigem o pagamento de valores como resgate. “São ataques que objetivam principalmente o lucro, raramente têm motivações políticas ou de espionagem”, ressalta o fundador e CEO da empresa, Sandro Süffert, profissional com mais de 25 anos de experiência na área.

De acordo com o documento, foram identificados ataques que vitimaram 137 organizações na América Latina, no período. Deste total, 71 – ou 51% – se deram no Brasil. O México, que registrou 21 ocorrências, é o segundo da lista. Dos 20 países da região, houve casos em 11. “Brasil e México são os dois maiores países do bloco; por estarem na liderança do bloco, era algo previsível”, afirma Süffert. “Mesmo assim, há casos em países mais pobres, como Honduras e El Salvador.”

Grupos

No Brasil também foi identificada a maior quantidade (17) de grupos de ransomware em atuação. México (10), Argentina (sete) e Peru (seis) vêm na sequência. Tanto no país como na região, o grupo mais ativo, no período, foi o denominado “Prometheus”. Ainda segundo o especialista, faz parte da estratégia desses grupos a alteração frequente de nome.

“O ‘Prometheus’, que é uma variação do ransomware ‘Thanos’, iniciou a divulgação dos seus ataques em fevereiro de 2021 e a última publicação identificada sobre alguma empresa foi em 13 de julho de 2021. Por meio da análise de código das ameaças, suspeita-se que os criminosos tenham mudado o nome da operação para ‘Spook’”, acredita Süffert.

As empresas e as instituições da área de saúde estiveram entre os principais alvos. Na avaliação do especialista, uma demonstração da absoluta “falta de escrúpulos” dos grupos de ransomware. Ele justifica a análise: “Mesmo durante uma pandemia [de Covid-19], em que serviços de saúde se fizeram mais necessários, empresas da área foram atacadas e extorquidas como qualquer outra”.

Süffert sublinha que a ameaça dos ransomwares é ainda mais grave do que a constatada pelo levantamento. “Há, atualmente, cerca de 1.025 amostras de ransomware identificadas. Apenas uma pequena parcela dessas amostras é utilizada por grupos que praticam os ataques de dupla extorsão. Isso significa que o número real de vítimas é muito maior”, considera.

Alguns dados do relatório

  • 137 empresas vítimas de ataques cibernéticos de dupla extorsão, na América Latina
  • 23 grupos praticaram os ataques
  • 17 deles atuando no Brasil
  • 71 empresas vítimas, no Brasil
  • 11 dos 20 países da América Latina com ciberataques verificados
  • 21 vítimas feitas pelo grupo “Prometheus” e 17 pelo “Pysa”
  • 20 empresas da área de saúde, em toda a região, foram vítimas
  • 16 indústrias, 13 empresas de alimentos e bebidas, 12 de finanças, 12 organizações do setor público e 10 do varejo estão entre os segmentos com maior ocorrência

Os grupos de ransomware identificados nos casos do Brasil foram: Avaddon, Conti, DarkSide, Egregor, Everest, LockBit, MAZE, Mount Locker, Nefilim, NetWalker, Prometheus, Pysa, Ragnar_Locker, Ragnarok, RansomEXX, Sekhmet, Sodinokibi (Revil).

Pessoas comuns também sofrem crimes cibernéticos

As empresas não são os únicos alvos de invasão de privacidade. O cidadão comum também tem informações sigilosas furtadas de seus computadores, notebooks e demais dispositivos eletrônicos. Às vezes, ele não tem certeza de que esse crime, de fato, aconteceu. Apenas suspeita. As leis brasileiras que tratam do assunto é muito recente. Foram criadas para proteger a vítima, identificar e punir os invasores. De toda forma, é sempre bom prevenir e o advogado João Francisco Gonçalves dá dicas a respeito, além de explicar o estado atual da legislação pertinente.

Falando sobre privacidade

A Constituição Federal, no seu art. 5.º, inciso X, garante:

  • “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

A invasão de privacidade pode envolver diversas situações, o que também molda as penas conforme a gravidade da ação. Alguns tipos de invasão de privacidade são:

  • Invasão de privacidade no trabalho: revistar bolsas dos funcionários ou instalar câmeras que registram momentos íntimos – como banheiros e refeitórios – ou que focalizem a filmagem apenas em pessoas específicas.
  • Invasão de privacidade domiciliar: construir estrutura que permita visualizar o interno ou externo da casa vizinha, ou então, a entrada sem permissão em território alheio.
  • Invasão cibernética: compartilhar vídeos e fotos digitais ou invadir a conta de terceiros, sem autorização.

A invasão de privacidade se constitui em crime. A invasão cibernética (assim como o posterior vazamento das informações furtadas pela invasão, se houver) enquadra-se no crime de invasão de dispositivo informático, tipificado no art. 154-A do Código Penal Brasileiro, Decreto-Lei 2.848, de 07/12/40.

Em 27/05/2021, foi publicada a Lei 14.155/2021 que alterou o Art. 154-A do Código Penal Brasileiro, para determinar, de forma mais clara e precisa, o crime de invasão de dispositivos informáticos, estando estes ou não na rede de computadores/internet.

A redação anterior era a seguinte:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

Com a Lei 14.155/2021 a redação passou a ser a seguinte:

“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.

Explicando, antes de 27/05/2021, se não houvesse violação indevida de mecanismos de segurança, tais como senhas ou firewall, não havia crime, assim como, se o proprietário do dispositivo invadisse o mesmo quando em uso de terceiros ou mesmo se alguém invadisse tendo o usuário deixado o dispositivo ligado.

A nova redação criminaliza a invasão mesmo que o usuário do dispositivo forneça a senha de acesso ou deixe o dispositivo ligado.

Entende-se por “invasão” o ato de ingressar, penetrar ou apossar-se.

A penalidade foi aumentada e, dependendo dos agravantes, pode chegar a 12 anos, no caso de furto, por exemplo.

No crime de invasão de dispositivo informático, conforme prevê o artigo 154-B, a ação penal é pública condicionada à representação, conforme o art. 39 do Código de Processo Penal, para pessoas físicas e jurídicas de direito privado. No caso, a vítima tem que fazer uma representação na justiça.

Se, além da invasão de dispositivo informático, tivermos também um caso de furto (art. 155) e se, no decorrer do tempo, o autor do furto vazar os dados obtidos ou utilizar os mesmos para tirar vantagens, econômicas ou não, o autor da invasão pode incorrer em outros crimes tipificados no Código Penal Brasileiro, como estelionato (art. 177), chantagem (art. 158) e outros.

Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:

Pena – reclusão, de um a quatro anos, e multa

§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo. (Incluído pela Lei nº 14.155, de 2021)

§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso: (Incluído pela Lei nº 14.155, de 2021)

I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional; (Incluído pela Lei nº 14.155, de 2021)

II – aumenta-se de 1/3 (um terço) ao dobro, se o crime é praticado contra idoso ou vulnerável. (Incluído pela Lei nº 14.155, de 2021)

Provas

Se a vítima for fazer a denúncia, através de representação, será necessário se munir de provas para sustentar sua acusação. O primeiro passo é fazer um Boletim de Ocorrência relatando o ocorrido.

É importante que a vítima também consulte um especialista de TI (Tecnologia da Informação) para saber se existe algum indício ou prova do furto de dados ou a instalação de programas, arquivos ou vírus que tenham como finalidade roubar dados.

Como prevenir

Na opinião de Gonçalves, os usuários de dispositivos informáticos devem tomar alguns cuidados para evitar que as invasões aconteçam:

  1. Nunca empreste o seu computador ou outro dispositivo informático. Mas, se for inevitável, crie diferentes usuários em sua máquina, um para o dono e outro para o visitante, por exemplo.
  2. Coloque senhas nos seus arquivos mais importantes.
  3. Consulte periodicamente um especialista de TI, para proteger seu computador e receber sugestões de segurança.
  4. Tenha um programa antivírus de qualidade instalado.

Em caso de ação processual, Gonçalves recomenda sempre consultar um advogado de confiança.

Imagem em destaque: Hacker. Crédito Pexels

About The Author

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *