Menor chefiava quadrilha

que furtava pela Internet

Uma das quadrilhas de estelionatários especializados em aplicar golpes através de "sites" bancários falsos foi desmantelada há dias pelo Departamento de Investigações sobre Crime Organizado (DEIC) da polícia paulista. Mas, há outros bandos ainda em ação na Internet. No final desta matéria, está indicada a maneira de identificar a verdadeira procedência dos falsos "e-mails" enviados por esses gatunos.

O Deic surpreendeu dois homens e um adolescente em plena ação, graças a um denunciante anônimo que enviou aos policiais um CD com dados de contas correntes do Banco do Brasil, acompanhado de uma carta com todos os dados relativos aos ladrões. Os computadores utilizados pelos quadrilheiros foram apreendidos na cidade de Atibaia-SP pelo delegado Válter Abreu, do Deic.

Essa autoridade informou ao repórter Marcelo Godoy, de O ESTADO DE S. PAULO, que dois métodos eram empregados para retirar dinheiro das contas e clonar cartões de crédito. Num deles, e-mails introduziam vírus nos computadores de correntistas incautos ao serem abertos. Esse vírus, depois, criava na tela um falso teclado virtual (igual ao verdadeiro) quando a vítima entrava no "site" do banco para acessar sua conta. Os dados então digitados eram capturados pelo vírus e enviados para um e-mail de provedor holandês. Com isso, os bandidos surripiavam até R$ 2 mil de cada conta e clonavam cartões.

No segundo tipo de golpe, os "hackers" entravam no sistema de segurança de um provedor. Ali programavam a armadilha: "A primeira página na tela do computador da vítima era a do banco, mas, a partir da segunda, o acesso era desviado para uma página fantasma", revelou o delegado. Quando o correntista tentava concluir o acesso, recebia mensagem de erro. Ao refazer a operação, voltava automaticamente à página oficial do banco.

"A falha de segurança não era do banco, mas dos provedores", disse o delegado. Os criminosos presos estavam prontos para atacar também o Real/ABN Amro Bank mediante essa artimanha.

O cabeça tem 17 anos

Mais nove suspeitos estão sendo investigados como prováveis participantes do esquema fraudulento arquitetado pelo menor T.G.S., de 17 anos, e pelo programador de computadores Carlos Alberto Bueno, de 23. Este criou o vírus usado no golpe. Já fora acusado de extorsão por ter invadido o "site" de uma empresa para, depois, lhe oferecer serviços como consultor de segurança.

O menor e Bueno estudaram como aplicar os golpes durante dois anos e freqüentaram salas de bate-papo para trocar informações com "hackers". Conseguiram assim elaborar o esquema para obter os dados e senhas das vítimas, mas não sabiam como abrir contas correntes para transferir o dinheiro sem ser descobertos. Foi então que obtiveram a ajuda do comerciante Reginaldo Eugênio Baldim, de 34 anos.

"O Baldim, que já havia sido preso por estelionato, providenciou as contas para as quais ia o dinheiro desviado", revelou o delegado Válter Abreu. Resta descobrir se Baldim "alugou" contas correntes verdadeiras ou usou documentos falsos para abri-las. O Deic identificou quatro das contas do grupo. Ao depor, o comerciante negou as acusações e afirmou que só daria sua versão em juízo.

Bueno e Baldim tiveram prisão decretada pela Justiça. O adolescente também está detido. Os dois primeiros são acusados de formação de quadrilha, estelionato e corrupção de menor. Poderão ainda ser indiciados por lavagem de dinheiro. Bueno foi detido em casa, trabalhando no falso "site", e confessou o crime,

Outros bandos ainda agem

Há outras quadrilhas agindo na Internet com métodos semelhantes ou diferentes dos empregados pelos estelionatários flagrados pelo Deic, mas sempre com o mesmo objetivo: rapinar a conta corrente de incautos.

Após aquelas prisões, o Banco Central (BC) detectou um novo "e-mail" falso que está sendo enviado a correntistas do Banco do Brasil, Caixa Econômica Federal, Banco Itaú e Banco Real. Assinada por um funcionário inexistente, a mensagem pede o envio de dados para recadastramento.

A Assessoria de Imprensa do BC emitiu nota, dizendo: "O BC alerta que esses e-mails não devem ser respondidos sob hipótese nenhuma". Por sua vez, os bancos reafirmaram que não enviam "e-mails" para recadastramento.

No mês passado, o BC detectou outra versão de mensagem fraudulenta, pretensamente assinada por seu presidente, Henrique Meirelles.

Uma regra básica, além daquela indicada pelo BC, é jamais acessar um "site" bancário através de um "link" colocado em qualquer mensagem recebida.

Como identificar procedência

O especialista Giordani Rodrigues, preocupado com a escalada de golpes via e-mails, também distribuiu um alerta pela Web. Sob o título "Como

identificar a procedência de e-mail fraudulento", diz ele:

"Não se iluda com os endereços de e-mail e nomes que aparecem no campo do remetente das mensagens eletrônicas. Qualquer pessoa com um mínimo de conhecimento do funcionamento do serviço de correio eletrônico sabe fazer com que um endereço de e-mail forjado apareça, por exemplo, com o nome do seu banco. Funciona da mesma forma como você associa seu próprio nome a qualquer endereço de e-mail que escolhe ao assinar um provedor de Internet.

"Mas há uma maneira praticamente infalível de verificar de onde partiu qualquer mensagem eletrônica, não importa quão forjada ela tenha sido: basta aprender a ler as informações presentes no cabeçalho (header) do e-mail. Estas informações normalmente não estão aparentes, mas é simples chegar até elas. Os procedimentos abaixo servem para acessar o cabeçalho das mensagens recebidas com a versão 6.0 (a mais recente) do Outlook Express, um dos softwares para gerenciamento de e-mail mais usados no mundo. Para outros softwares de uso comum, você poderá encontrar links para explicações aqui.

"1 - Dê um duplo clique na mensagem para abri-la

"2 - Clique no item "Arquivo" e depois em "Propriedades"

"3 - Na janela que se abre, clique na guia "Detalhes"

"Feito isto, você verá um monte de símbolos e informações aparentemente ininteligíveis, mas que escondem dados preciosos para quem souber interpretá-los. Abaixo está o exemplo real do cabeçalho de uma mensagem fraudulenta que circulou no Brasil há alguns meses, imitando uma mensagem legítima da Receita Federal (o endereço de e-mail do destinatário foi suprimido para proteger pessoas inocentes):

Return-path:

Envelope-to: (suprimido)

Delivery-date: Mon, 10 Mar 2003 03:55:41 -0300

Received: from mail by viper.ism.com.br with spam-scanned (Exim 3.35 #2)

id (suprimido)

for (suprimido); Mon, 10 Mar 2003 03:55:41 -0300

Received: from "200 228 90 152" (helo=receita.fazenda.gov.br)

by viper.ism.com.br with smtp (Exim 3.35 #2)

id (suprimido)

for (suprimido); Mon, 10 Mar 2003 03:55:37 -0300

From: "Receita Federal - RECEITANET"

To: (suprimido)

Subject: Receita Federal Faça Sua Declaração de IR

Sender: "Receita Federal - RECEITANET"

Mime-Version: 1.0

Content-Type: text/html; charset="ISO-8859-1"

Date: Thu, 9 Mar 2000 06:59:49 -0300

Reply-To: "Receita Federal - RECEITANET"

"Perceba que há várias referências ao endereço real do site da Receita. No entanto, todas estas referências caem por terra quando se analisa o IP do remetente. IP significa Protocolo da Internet em inglês, e se refere ao número que está associado a uma determinada máquina conectada à Internet num determinado momento. O IP é único no mundo para cada usuário, por isso não pode haver dois usuários com o mesmo IP no mesmo instante. Para encontrarmos o IP de quem nos enviou a mensagem, via de regra devemos procurar no cabeçalho, de baixo para cima, pela primeira linha onde está escrita a palavra "received" (recebido, em inglês). No nosso exemplo, há duas linhas com esta palavra, significando que a mensagem foi recebida por dois servidores antes de chegar ao computador do destinatário. A primeira linha de baixo para cima (assinalada em vermelho), que é a que nos interessa, traz a seguinte informação: Received: from 200 228 90 152 (helo=receita.fazenda.gov.br)

"Tudo que nos importa é o número 200.228.90.152. Este é o IP do computador de onde a mensagem partiu e é este número que nos revelará a verdadeira origem do e-mail, mesmo que as outras informações apontem para origens diferentes.

"Nosso próximo passo é consultar bancos de dados online, que nos fornecerão a resposta de que precisamos. No Brasil, todos os IPs nacionais (geralmente iniciados por 200) podem ser consultados no site www.registro.br, que é o endereço do órgão que centraliza o registro de todos os domínios terminados em ".br". Se você inserir o IP acima no site do Registro.br, verá que ele está associado a um provedor de Internet de uma cidade do interior do Pará e não à Receita Federal, cujos servidores centrais estão em Brasília.

"O IP poderia ser de um cliente do provedor, ou o servidor da empresa poderia ter sido usado à revelia de seu proprietário, devido a falhas de configuração, invasão ou outros problemas de segurança. Portanto, não se deve tirar conclusões precipitadas. Mas uma coisa é certa: a mensagem não partiu da Receita Federal e qualquer oferta que ela tenha trazido em nome do órgão pode ser encarada como falsa.

"Faça alguns testes e habitue-se a verificar o cabeçalho de mensagens das quais você desconfia. Provavelmente você se surpreenderá com os resultados e com a possibilidade de, em minutos, verificar por conta própria a autenticidade de um e-mail com uma margem mínima de erro."

Mensagem para O JORNAL

Volta à 1.ª página