Aplicativos falsos de emprego estão sendo usados por criminosos para roubar dados pessoais como CNH (Carteira Nacional de Habilitação) e CPF e contratar financiamentos em nome das vítimas.
Já são mais de 10 mil casos sobre o tema nos tribunais brasileiros, segundo uma consulta aos diários oficiais das cortes. Os criminosos, também usando dados vazados na internet, podem fraudar contratos com o auxílio de correspondentes bancários que lucram com comissões sobre os empréstimos.
Em um dos casos, no Rio de Janeiro, os estelionatários usaram o CPF de uma moradora do Distrito Federal para financiar uma van usada no transporte irregular da baixada fluminense.
De acordo com a empresa de cibersegurança Tempest, que identificou aplicativos falsos usados em versão mais sofisticada do golpe, a vítima confirma o financiamento sem sequer perceber. A pessoa faz a verificação facial a fim de se candidatar para uma vaga, porém um vírus, na verdade, usa a biometria para validar um empréstimo veicular.
Um dos sites usados no golpe, chamado VagaFácil, pede dados como número da CNH (Carteira Nacional de Habilitação) e CPF para dar andamento à fraude.
Os criminosos usam uma técnica chamada “overlay”, que altera a tela exibida no celular. A vítima vê mensagens genéricas ligadas ao processo de recrutamento, enquanto, na verdade, aceita um contrato de financiamento.
O golpe só é possível porque os criminosos conseguem permissões sensíveis, como acesso à câmera, gravação de áudio, acesso à localização e armazenamento. De acordo com a Tempest, o vírus consegue atuar nos apps bancários de seis instituições financeiras, cujos nomes não foram divulgados.
“Nós compartilhamos as nossas descobertas com os bancos e com as autoridades do poder público”, diz Carlos Cabral, especialista em cibersegurança da Tempest.
Para se prevenir, além de não compartilhar dados pessoais em formulários e aplicativos de origem duvidosa, é possível bloquear a abertura de novos empréstimos na plataforma Registrato, do Banco Central, dizem advogados ouvidos pela reportagem.
Basta acessar a plataforma Registrato e ativar a ferramenta BC Protege+, que bloqueia a abertura de contas e operações de crédito sem autorização via plataforma Gov.br.
Os relatos que correm na Justiça mostram fraudes mais rudimentares do que o caso relatado pela Tempest. Nelas, os criminosos usam dados vazados na internet e contam com a cumplicidade de um correspondente bancário que aceita assinaturas digitais fáceis de falsificar.
Trata-se de um agente credenciado por um banco para oferecer serviços financeiros básicos, como pagamentos, saques e abertura de contas.
Em nota, a Febraban (Federação Brasileira de Bancos) diz que as instituições credenciadas seguem regras rigorosas de identificação e validação de clientes, autenticação reforçada, checagem de documentos e monitoramento de operações, em linha com normas do Banco Central do Brasil e legislação vigente. “Há investimentos contínuos em tecnologia antifraude, análise de comportamento e cooperação setorial para mitigar riscos.”
Foi assim que Sandra, sócia de um ferro-velho em Brasília que pediu para ter seu sobrenome omitido, teve seu CPF usado para o contrato de uma dívida de R$ 274.578,24, de acordo com o seu advogado Rômulo Fiuza e Mello.
Os estelionatários usaram o valor para financiar uma van, que já operava no transporte irregular de passageiros no Rio de Janeiro meses antes do financiamento. Era um veículo Mercedes-Benz, ano e modelo de 2012. O valor à vista do automóvel, R$ 126 mil, subiu para mais de R$ 274 mil com juros e impostos.
A gerente de Sandra, que a informou sobre o débito, enviou também o documento que selou o empréstimo, no qual constavam emails e endereços desconhecidos pela vítima. O contrato foi validado com uma assinatura eletrônica feita no Rio de Janeiro, enquanto Sandra estava em Brasília. O documento foi aceito pelo correspondente bancário.
De acordo com Fiuza e Mello, as vulnerabilidades usadas para abrir financiamentos fraudulentos são similares àquelas vistas nas fraudes do INSS (Instituto Nacional do Seguro Social), que funcionavam, em parte, a partir da concessão de crédito consignado não solicitado
Descoberto o escândalo previdenciário, com rombo avaliado em cerca de R$ 6 bilhões, o governo passou a cobrar biometria facial com prova de vida para confirmar as transações financeiras.
“Em processos de colegas, ouvimos casos em que os correspondentes bancários ganham cerca de R$ 700 por contrato —há um interesse em lucrar no volume”, diz o advogado.
Fraudes similares também estão no radar das autoridades policiais. A Polícia Civil de São Paulo prendeu 18 pessoas suspeitas de participar da fraude no financiamento de 278 automóveis, avaliados em R$ 22,6 milhões.
De acordo com as autoridades policiais, os criminosos usavam dados furtados e laranjas para obter financiamentos que não eram pagos. Então, negociavam as dívidas por um valor abaixo do cobrado pelos automóveis no mercado e os revendiam.
Segundo a Polícia Civil, os criminosos teriam movimentado R$ 129 milhões durante cinco anos. Além das 18 prisões nos municípios de Catanduva, São José do Rio Preto, Severínia, Paraíso e Pindorama, as autoridades apreenderam 56 veículos, 45 celulares, 198 cartões bancários, um revólver, 300 munições, joias e relógios.
PROTEJA-SE DA FRAUDE DO FINANCIAMENTO
- Acesse o Registrato, pelo site do BC, e verifique se houve operações em seu nome;
- Verifique se seus dados foram na internet; a ferramenta “Have I Been Pwned?” é uma opção;
- Confira se há permissões para aplicativos desconhecidos nas configurações do smartphone; em celulares Android, as configurações ficam na aba de aplicativos, na janela “acesso especial”, enquanto em iPhones a opção fica na aba Privacidade e Segurança;
- Caso o crime tenha se consumado, registre boletim de ocorrência e contate a sua instituição financeira;
COMO FUNCIONA O BC PROTEGE+
- Cidadão acessa a área logada do Meu BC com sua conta gov.br nível prata ou ouro com verificação em duas etapas habilitada;
- Clica no botão Gerenciar a proteção no card BC Protege+;
- Ativa a proteção no card Contas – abertura e inclusão;
- Antes de abrir uma conta ou incluir um titular ou representante em uma conta, a instituição deve consultar opção registrada para o CPF ou CNPJ; se a proteção estiver ativada, ela não poderá fazer a contratação;
- O cidadão pode ativar e desativar a proteção a qualquer momento, inclusive durante a jornada de contratação;
- O cidadão também pode ver qual instituição realizou a consulta dos seus dados no sistema;
- Para empresas, o serviço está disponível para sócios, representantes e colaboradores devidamente cadastrados no módulo de empresas da plataforma gov.br.
