Com DDI falso, golpistas fingem ser brasileiros no exterior

Morando na Alemanha há cinco anos e meio, a arquiteta e urbanista Rita Buoro, de 52 anos, usa sempre o telefone e aplicativos de mensagem para falar com a família no Brasil. Em janeiro, uma pessoa usando a foto de Rita entrou em contato com a mãe dela pelo WhatsApp, pedindo ajuda para comprar um apartamento. As conversas duraram duas semanas, e, achando que estava se comunicando com a filha, a idosa de 82 anos transferiu cerca de R$ 23 mil.

Era um golpe. A pessoa do outro lado da tela não era Rita, mas as mensagens ganharam credibilidade por um detalhe: o número utilizado usava um prefixo de identificação alemão, o DDI +49. "Eu estava em um momento frágil, me separando, então estava falando pouco com a minha família no Brasil. Tinha também a questão do fuso, que impedia a comunicação de ser imediata", conta a arquiteta e urbanista.

Tentativas de golpe financeiro via aplicativos de mensagens ou ligações foram o tipo de crimes na internet e contra o patrimônio mais comum no Brasil no último ano, segundo dados revelados neste mês pelo Fórum Brasileiro de Segurança Pública (FBSP). Esse tipo de fraude atingiu cerca de 26% da população e gerou um prejuízo de R$ 25 bilhões aos brasileiros. Por hora, foram cerca de 4,5 mil vítimas. Porém, apenas três em cada dez vítimas fizeram um boletim de ocorrência.

O caso de Rita, entretanto, revela uma face a mais desse tipo de prática, ela também está atingindo brasileiros que vivem no exterior. A DW conversou com pelo menos cinco pessoas e recebeu relatos de uma dezena de casos em que foram criados números falsos, com DDI da Alemanha ou Reino Unido, para ludibriar familiares de expatriados. Em todas as situações, os criminosos utilizaram fotos reais, extraídas do Facebook e do Instagram, para criar contas no WhatsApp e iniciar conversas com os familiares no Brasil.

"Temos muitos relatos de clientes vítimas desse tipo de golpe. Tem sido frequente pessoas nos procurando para dar orientação [do que fazer]", afirma a advogada brasileira que atua na Alemanha Delaine Kühn.

Esse tipo de golpe se transformou no assunto do grupo da família do geógrafo Ricardo Paris, de 38 anos, na semana passada. Usando uma foto antiga dele, que estava nas redes sociais, um número com DDI do Reino Unido (+44) entrou em contato com a mãe, um tio e duas primas do geógrafo. A pessoa afirmava estar com um problema na conta bancária e solicitou apoio para fazer uma transferência.

Ricardo mora há cerca de dois anos e meio em Bochum, na Alemanha, e mal falava com alguns dos parentes contactados. Na mesma semana, o irmão dele também teve uma foto utilizada, desta vez com um DDI alemão. Ninguém transferiu dinheiro. "Com certeza era um brasileiro, com um telefone inglês, que sabia do meu grau de parentesco, embora eu não colocasse esses vínculos na minha lista de contatos ou nas redes sociais”, diz Ricardo Paris.

Entre dezembro do ano passado e abril deste ano, o gerente de programas Rafael Gonsalez, de 27 anos, teve a foto usada por dois números internacionais. A primeira vez foi criado um número dos Estados Unidos (DDI +1), enquanto na segunda foi usado um número alemão. Em ambos os casos, o alvo do pedido de dinheiro foi a mãe dele, que está no Brasil. A quantia solicitada era de R$ 6,7 mil. "Minha mãe começou a ‘dar corda', para pegar os dados. Eu entrei em contato, tentei falar com eles, mas eles bloquearam todos nós e pararam de mandar mensagem”, conta.

Como agem os criminosos

De acordo com especialistas em cibersegurança, os criminosos podem estar atuando em qualquer lugar do mundo. Eles se aproveitam de ferramentas disponíveis online para criar números falsos sem, necessariamente, adquirir um chip ou se registrar numa operadora – ou ainda sequer sem estar no país a cujo número está vinculado.

Essa prática é conhecida como spoofing e se caracteriza pelo uso de tecnologias capazes de alterar o código numérico que identifica um telefone fixo ou móvel, para esconder uma identidade por trás de uma ligação ou mensagem. Esse uso não necessariamente tem uma finalidade criminosa, pode ser inclusive um cuidado de segurança digital. Mas a Agência Nacional de Telecomunicações (Anatel) diz que as tecnologias têm sido utilizadas com frequência para cometer fraudes e golpes. O órgão não tem estatísticas sobre a prática.

Em lojas de aplicativos, estão disponíveis ferramentas que permitem criar um número de telefone descartável com código do exterior, conhecidos como burner number, em inglês, por cerca de cinco dólares ao mês. Por meio deles, é possível enviar mensagens ou realizar ligações sem revelar a identidade.

As ligações acontecem por meio de serviços de VoIP, sigla para Voz sobre Protocolo de Internet, tecnologia que permite realizar chamadas de voz entre computadores ou entre computadores e telefones convencionais, e é usada em plataformas como WhatsApp, Facebook Messenger e Skype. Essa tecnologia foi criada para esconder o ramal de empresas aos clientes e se tornou mais usada durante a pandemia da covid-19, quando passou a ser permitido a funcionários fazerem chamadas de trabalho usando seus celulares privados.

"Para uma operadora, é muito difícil diferenciar se uma chamada falsificada é de um funcionário ou de um criminoso. Como os números podem ser gerados com aplicativos, também não temos como coletar casos", diz Christian Fischer, porta-voz da empresa de telecomunicações Deutsche Telekom. Na Alemanha, há uma lei que obriga as operadoras a suprimir os números quando é identificado um uso indevido do prefixo alemão.

A Anatel afirmou que tem atuado em cooperação com entidades de segurança pública e justiça, além de empresas privadas, para combater e prevenir fraudes relacionadas à prestação de serviços de telecomunicações. A entidade está testando uma solução para identificação e autenticação de chamadas telefônicas já usada nos Estados Unidos e no Canadá. Por enquanto, os testes estão restritos a usuários selecionados pelas prestadoras.

Investigação dos crimes não é fácil

Não há dados compilados disponíveis, no Brasil ou na Alemanha, que atestem a quantidade de golpes financeiros envolvendo números de telefone com DDI falsos. Em parte, isso acontece porque grande parte das vítimas não chega a registrar uma queixa formal, mas também devido à dificuldade inerente a esse tipo de crime para identificar a origem e local de atuação dos criminosos.

Um levantamento feito pelo Escritório Estadual de Investigação Criminal da Renânia do Norte-Vestfália, na Alemanha, onde vivem Ricardo e Rita, mostra que, entre janeiro de 2023 e 19 de agosto deste ano, sete brasileiros relataram ter sido vítimas desse tipo de golpe. Na Alemanha, esse tipo de crime é enquadrado como fraude, com pena prevista de até cinco anos de prisão ou multa..

No Brasil, os casos são considerados estelionato, para o qual a pena varia de quatro a oito anos de prisão. A DW procurou as polícias civis e secretarias de segurança pública estaduais, mas apenas a secretaria do Tocantins retornou afirmando já ter registrado ocorrências usando números internacionais.

Registrar o boletim de ocorrência é importante, dizem as autoridades policiais de ambos os países, ainda que haja dificuldade em rastrear os criminosos. O uso de telefones com código de identificação do exterior dá um caráter transnacional a esses crimes, pois as vítimas e os criminosos podem estar em países diferentes, o que demanda uma coordenação entre os investigadores.

"Tentamos localizar os provedores de origem, mas isso leva tempo e muitos desses dados desaparecem em cerca de duas semanas", explica Daniela Dässel, porta-voz do Escritório Estadual de Investigação Criminal da Renânia do Norte-Vestfália, na Alemanha.

De acordo com a promotora Janaína Cristina de Almeida, do Ministério Público do Distrito Federal e Territórios (MPDFT), a dificuldade não arrefece se a ação é comandada do território nacional. "Ainda assim, a investigação depende de medidas judiciais como quebras de sigilo bancário e de dados. Além disso, muitas vezes, essa investigação será interestadual, considerando que o golpista raramente residirá no mesmo local em que a vítima, o que dificulta o trabalho policial", afirma.

Quando a conversa vai adiante e dados como chave PIX são fornecidos, é mais fácil chegar à origem do golpe. No caso de Rita Buoro, o número utilizado para falar com sua família era da Alemanha, mas o contato foi todo feito em português e o PIX da conta estava vinculado a um brasileiro. Com o CPF e o nome da pessoa mencionados nas mensagens trocadas pelo número falso, por exemplo, a DW chegou a uma pessoa que mantém uma empresa de frete registrada em um endereço no Complexo da Maré, no Rio de Janeiro. Rita tentou denunciar na Alemanha, chegou a enviar capturas de tela para a polícia, mas o caso não foi adiante.

Já com os dados da conta bancária enviados para a mãe de Rafael Gonzalez, a DW encontrou vínculos com uma pessoa que, segundo o Portal da Transparência, é do Rio de Janeiro.

Exposição e vazamento de dados favorecem os golpes

Independentemente das tecnologias disponíveis, é a coleta de informações que a própria vítima disponibiliza no ambiente digital que dará credibilidade às mensagens. "Eles [os criminosos] utilizam as brechas humanas para vasculhar informações privadas, como vínculos entre pessoas, locais de trabalho, endereços, preferências e gostos", explica Martina Lopez, pesquisadora de segurança informática da ESET América Latina.

Lopez lembra que a partir de dados como datas de nascimento ou de casamento é possível descobrir senhas e, por fotos, vínculos de amizade ou família. Participar de grupos nas redes sociais sobre brasileiros vivendo no exterior também é dica para os golpistas.

A advogada Juliana Makalima, de 32 anos, que mora na Alemanha, desconfia que foi por meio de um grupo no Facebook que obtiveram as informações usadas para tentar aplicar um golpe na mãe dela, que mora no Brasil. "Usaram a minha foto do Instagram, criaram um número aqui da Alemanha, e até printaram stories meus para dar mais veracidade à conversa", diz. A família conseguiu se comunicar antes de o golpe ser efetivado.

Além das informações publicadas de maneira voluntária, os cibercriminosos também se valem dos vazamentos de bases de dados de empresas privadas ou do governo. Segundo o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), em 2024 o governo brasileiro registrou 3,7 mil incidentes relacionados a vazamentos de dados. Esse foi o principal tipo de incidente cibernético registrado pelo órgão no ano.

Uma pesquisa da Cybernews, de janeiro, mostrou que dados de 223 milhões de brasileiros, inclusive de falecidos, vazaram com nomes completos, data de nascimento, sexo e número de Cadastro de Pessoas Físicas (CPF). Em 2021, um mega vazamento semelhante já havia ocorrido. Em abril, o Banco Central revelou que mais de 3 mil chaves PIX de clientes do Banco do Estado do Pará S.A. (Banpará) haviam sido expostas.

O Banco Central registrou desde 2021 pelo menos 13 incidentes envolvendo dados de PIX, sendo oito deles apenas neste ano. "Esses fragmentos de informação são suficientes para que criminosos identifiquem e abordem outras pessoas associadas à vítima sem ter de interagir com ela diretamente", afirma Martina Lopez.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) diz que os agentes de tratamentos de dados pessoais devem adotar medidas de segurança, técnicas e administrativas para proteger essas informações de acessos não autorizados. Isso inclui as instituições financeiras e também as plataformas de redes sociais. "É preciso também uma constante atualização dos marcos normativos sobre o tema que precisam cobrar dos bancos esse constante esforço de segurança, bem como definir suas responsabilidades e obrigações", lembra Leonardo Carvalho, pesquisador do FBSP.