Golpistas fingem ser de banco em SMS, usam dados de vítimas e ninguém é punido

“Compra aprovada no cartão Bradesco/Casas Bahia, no valor de R$ 2.799. Ligue para contestar”. O tipo de texto, com pequenas variações, é disparado em massa via SMS ou WhatsApp e, segundo reportagem do portal UOL, caracterizou um fenômeno irritante e banalizado no Brasil: o golpe em que os criminosos fingem ser de um banco ou uma empresa de cobrança para explorar o medo das pessoas e, na lábia, convencê-las a fazer um Pix, uma transferência bancária ou a clicar em link malicioso.

O lucro desses golpistas é alto, e o risco de serem pegos é baixo, porque é quase impossível descobrir o dono da linha de celular usada para aplicar o golpe. E, apesar de os métodos dos criminosos serem conhecidos, não há dados precisos sobre quantos golpes são registrados na polícia, quantos são punidos ou qual a estratégia para combatê-los.

O portal UOL entrou em contato com órgãos da Justiça e de segurança pública, representantes das operadoras e do setor bancário e especialistas em segurança digital e recebeu respostas vagas sobre as consequências para um crime que é considerado um dos mais bem sucedidos para as quadrilhas: 25% do público que recebe as mensagens cai. São 1.150 vítimas por hora no Brasil, segundo pesquisa Datafolha com o Fórum de Segurança Pública.

A taxa é a mais alta da categoria e gera um prejuízo médio de R$ 863 por pessoa. Só o golpe do Pix já roubou R$ 25 bilhões das pessoas —superando furtos e roubos de celulares (R$ 23,5 bilhões), segundo dados do Anuário Brasileiro de Segurança Pública de 2024.

Apesar da gravidade, o registro de boletins de ocorrência ainda é baixo —só 16% das vítimas de golpes com Pix ou boletos formalizaram a denúncia.

O golpe

Mensagens simulam cobranças ou movimentações bancárias. O primeiro passo é estabelecer contato com a vítima. Para isso, o criminoso liga ou manda SMS usando da chamada técnica da engenharia social, que significa manipular e gerar pânico para convencer alguém a agir sem pensar. “Induzem a vítima a acreditar que está em ‘apuros’ e, após ganhar confiança, desviam valores das contas”, explica Alessandro Gonçalves Barreto, delegado coordenador do Laboratório de Operações Cibernéticas da Secretaria Nacional de Segurança Pública.

“Como minha mãe costuma comprar produtos nessa loja, meu pai foi confiando. Ela tinha ido ao supermercado e, quando voltou, ele comentou: ‘Querida, já paguei aquela conta que estava atrasada lá naquela loja’. Minha mãe na hora percebeu que era golpe”, conta uma professora paulistana de 37 anos, que preferiu não se identificar. “A transação começou com um SMS e, depois, o golpe foi concluído pelo telefone. A gente tentou ligar de volta, mas a ligação nunca completava. Ele perdeu quase R$ 700.”

Para tornar o contato mais real, criminoso usa código curto falso. O SMS das empresas para disparo em massa costuma vir de um número de três a seis dígitos —por exemplo, o número “38383”. Mas os criminosos já conseguem forjar para que as mensagens enviadas por eles também apareçam assim. É o chamado “código curto fraudulento” ou SMS pirata. Então, a vítima não tem como saber se é um disparo de marketing, um aviso dos correios ou uma cobrança bancária de verdade.

Golpista se passa pelo banco usando informações vazadas: Eles simulam uma conversa oficial, fingindo ser uma central bancária ou de cartão, e tudo fica altamente convincente, porque conseguem acessar dezenas de dados vazados sobre as pessoas —CPF, renda, parentes, registro de bom pagador, etc. Existem mais de 1 bilhão de registros de brasileiros vazados ou roubados facilmente acessáveis em painéis de dados na internet, segundo levantamento da Tenable, empresa de cibersegurança. A assinatura desse tipo de painel de dados custa entre R$ 30 e R$ 350 ao mês, como revelou o UOL Prime.

Disparo em massa para que alguém clique em link malicioso ou faça Pix: Em geral, há envio em massa de mensagens com ofertas falsas, cobranças e solicitações de dados bancários. Em alguns casos, o golpista faz ligação de falsa central telefônica, que imita o número de telefone do banco ou da empresa original. Pode haver ainda instalação de softwares de acesso remoto —o chamado “golpe da mão fantasma”. O objetivo é sempre convencer alguém a cair no golpe e transferir o dinheiro.

Como os criminosos se safam

SMS é disparado de número ‘fantasma’, o que impede a identificação do criminoso. Os envios em massa de SMS são feitos por empresas que usam linhas de celular com registros falsos. Ou seja, os criminosos usam o mesmo painel citado acima para pegar dados pessoais e comprar planos pré-pagos nas operadoras em nome de pessoas físicas.

Registro falso dificulta que o golpista seja identificado e punido: Cheque sua fatura: há grandes chances de encontrar nela números desconhecidos que usaram seus dados para habilitar uma linha. O UOL encontrou recorrentemente em um plano familiar de São Paulo até quatro linhas pré-pagas “estranhas”, com DDDs do litoral e do interior paulista, que ninguém do grupo havia contratado.

Cancelamento depende da ação do dono da linha, que precisa ativamente entrar em contato com a operadora. Procuradas, as operadoras, responsáveis por tornar o processo de compra mais seguro e controlado, se recusaram a comentar e não explicaram por que é tão fácil contratar um plano pré-pago usando dados roubados.

Crime organizado também criou o próprio sistema de operadoras e plataformas para executar o crime: Segundo especialistas, as tecnologias usadas são consideradas avançadas até por quem trabalha no setor e exploram a fragilidade do sistema de SMS: envolvem spoofing (técnica de enganar o usuário), proxies (servidor intermediário) e VPNs (rede de conexão privada e criptografada) para mascarar a origem de chamadas e mensagens e dificultar a identificação e a punição.

“Sistemas de SMS e chamadas são frágeis desde sua concepção, não foram projetados com segurança robusta, o que dificulta a implementação de mecanismos modernos de proteção. Além disso, muitos golpistas operam fora do país, complicando ainda mais o rastreamento. Mas existem ferramentas, usadas em outros países, que identificam o autor do golpe, como Stir/Shaken [protocolo de autentificação], RCD [Rich Call Data, informação enriquecida da ligação] e inteligência artificial para analisar padrões”, diz Luiz Henrique Barbosa, especialista em segurança digital.

A desterritorialização do estelionato dificulta a investigação. “A vítima faz o boletim de ocorrência em um estado, e a investigação aponta que o endereço de IP é de outro. É necessária uma carta de cooperação entre as polícias para o avanço das investigações”, explica Túlio Bueno de Alckmin Morais, delegados de polícia de São Paulo.

Ninguém se responsabiliza

Ausência de dados reflete lacuna operacional, diz Alexander Coelho. Especialista em direito digital e proteção de dados, ele explica que a LGPD e o Marco Civil da Internet exigem das empresas o registro de atividades, mas para fins de auditoria e investigação, não para um banco público de fraudes.

Anatel diz que o fornecimento de códigos curtos é responsabilidade das operadoras. A própria Agência Nacional de Telecomunicações diz que exige que as operadoras monitorem e previnam o envio de SMS fraudulentos e que elas têm a obrigação de fornecer ferramentas para que os consumidores bloqueiem mensagens indesejadas. Mas não há informações de como essa fiscalização é feita.

“A organização, a distribuição e o controle dos códigos curtos estão a cargo das prestadoras de SMP [serviço de telefonia móvel], que podem utilizá-los para efetuarem envios massivos de SMS, como celebrarem acordos para empresas terceirizadas comercializarem pacotes de envios de SMS para interessados em divulgação de marketing, promoções, etc.”, diz a Anatel.

Anatel não forneceu dados sobre uso desses códigos, mas reconheceu aumento das denúncias sobre fraudes. A agência diz que estuda novas medidas de controle, como mecanismos de autenticação, plano de gerenciamento de SMS e criação de lista de códigos suspeitos. Mas ainda não há qualquer previsão para isso.

Descumprimento das medidas da Anatel pode resultar em sanções. Ao UOL, o presidente da Anatel, Carlos Manuel Baigorri, disse que multas podem chegar a R$ 50 milhões. Há também o risco de extinção da autorização para prestação de serviço de telecomunicações de prestadora considerada conivente com as práticas criminosas. A Anatel disse que já multou empresas por casos de golpes, mas não deu detalhes.

Fiscalizar os códigos é obrigação das operadoras, mas Anatel deveria fiscalizar operadoras. As operadoras devem garantir que os códigos curtos usados no disparo sejam legítimos. Caso sejam enviados sem consentimento ou envolvendo fraude, o consumidor deve acionar a operadoras e a Anatel. Mas, segundo João Valença, advogado especializado em crimes cibernéticos, o uso desses código fraudulento indica uma falha na supervisão das operadoras, que deveriam ser responsabilizadas.

“A regulamentação atual carece de um mecanismo que obrigue tanto operadoras quanto órgãos públicos a divulgar estatísticas regulares sobre golpes”, diz Alexander Coelho.

O UOL procurou as três principais operadoras, Tim, Claro e Vivo, que transferiram a questão para a Conexis Brasil Digital, sindicato nacional das empresas de telecomunicação. Em nota, a entidade disse apenas que as operadoras seguem “rígidos critérios de segurança” e “as melhores práticas disponíveis” e atuam “sempre que verificam suspeitas de irregularidades, aperfeiçoando continuamente os procedimentos contra fraudes”.

Bancos, por meio da Febraban, encaminham periodicamente para a Anatel os números usados em golpes. A Federação Brasileira de Bancos informou cerca de 800 números nos últimos seis meses e pediu que fossem bloqueados.

A Secretaria de Segurança Pública de São Paulo diz que intensificou ações contra falsas centrais e pede registro de BOs.

O que fazer

Quem foi vítima pode buscar ressarcimento. Em casos de cobranças indevidas (como assinaturas) e prejuízos financeiros e emocionais, o consumidor tem o direito de cancelar serviços não autorizados sem custo e buscar compensação por danos morais, de acordo com o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados.

Confira as orientações da agência para que se proteger contra fraudes e golpes no ambiente digital:

• Desconfie das mensagens: Evite clicar em links ou fornecer informações pessoais.
• Verifique a autenticidade: Confirme a veracidade com a instituição mencionada, pelos canais oficiais.
• Proteja seu celular: Mantenha-o atualizado e use senhas fortes.
• Não dê dados sensíveis: Instituições legítimas não costumam solicitar senhas, dados bancários ou pedir a instalação de apps. Nunca passe informações pessoais por SMS ou ligações.
• Bloqueie mensagens spam: A maioria dos celulares já oferece esse tipo de bloqueio. Veja aqui diversas formas de fazer isso.
• Denuncie: Caso receba mensagem ou ligação suspeitas, reporte à operadora e, se necessário, às autoridades.

Os sinais dos golpes

Júlio Concilio, professor do Ibsec (Instituto Brasileiro de Segurança Cibernética), lista os sinais mais comuns:

• Sensação de urgência para que você tome atitude sem pensar.
• Pedidos de dinheiro, para pagar conta ou fazer Pix.
• Dívidas vindas de instituições financeiras ou lojas virtuais citando débitos em conta ou cartão de crédito.
• Erros ortográficos e falas informais em ligações e mensagens de texto.
• Links com promoções e ofertas de produtos com preços muito abaixo do mercado.

O post Golpistas fingem ser de banco em SMS, usam dados de vítimas e ninguém é punido apareceu primeiro em Folh BV.