Publicado originalmente no Jota em 11/05/2021.
Créditos da foto: Pexels.com
Apesar da pandemia, o Bitcoin, criptomoeda mais conhecida no mundo, bateu recordes de valorização, chegando a uma incrível taxa de 303% no ano, passando de US$ 7.300,00 para US$ 29.433,00[1].
Contudo, não é só nesse aspecto que a criptomoeda tem se destacado. Os cibercriminosos também as utilizam para suas atividades criminosas, especialmente pelas suas características de pseudoanonimicidade e facilidade para envio de fundos de forma instantânea para qualquer lugar do mundo. Segundo o relatório “The 2021 Crypto Crime Report[2]” da Chainanalys – uma empresa especializada na tecnologia blockchain -, o ano de 2020 foi o segundo ano com maiores valores enviados e recebidos em função de atividades ilícitas, com um total de US$ 10 bilhões, correspondente a 0,34% de toda atividade com criptomoedas no mundo.
O ano com maiores valores envolvidos continua sendo 2019, que chegou a 21,4 bilhões de dólares, representando 2,1% de todas as transações em criptomoedas feitas naquele ano. O relatório, no entanto, destaca três boas notícias: (i) o uso de criptomoedas para atividades criminosas está caindo; (ii) a fatia de transações por cibercriminosos é bem pequena em relação ao total de transações feitas com criptomoedas; e (iii) o valor transacionado em criptomoedas por atividades ilícitas é muito menor do que o valor envolvido em atividades financeiras tradicionais. Contudo, o uso de moedas digitais, especialmente o Bitcoin, acaba sendo uma forma de monetizar a atividade criminosa na Internet.
Principais tipos de crimes que utilização transações em criptomoedas
E quais seriam os principais tipos de crimes que usaram criptomoedas? Em 2020, 54% do montante transacionado foi originado por fraudes (scam), totalizando US$ 2,6 bilhões. Em seguida, aparece o mercado da Dark Web, com US$ 1,7 bilhões, e ransomware, com US$ 350 milhões. Mas o valor recebido por ransomware em 2020 cresceu mais de quatro vezes em relação a 2019, tornando-se uma grande fonte de preocupação para as empresas que, em face da pandemia, passaram a adotar o teletrabalho como regra, muitas vezes flexibilizando políticas e medidas de segurança.
Lavagem de dinheiro é a principal motivação para o crime se utilizar de criptomoedas. O objetivo dos cibercriminosos é usá-las nas transações por atividades ilíticas, que acabam sendo ocultadas pelas características inerentes à tecnologia blockchain, e transformá-las em dinheiro, colocando-o “licitamente” em circulação no sistema financeiro tradicional. Claro que não se trata somente de receber os valores em sua carteira digital e vender as criptomoedas, como investidores comuns fazem. Há uma rede de prestadores de serviço especializados em lavagem de dinheiro, como corretoras ou plataformas, que trabalham com criptomoedas e que não seguem regras de austeridade e compliance ou que têm regras mais flexíveis que possibilitam a utilização de seus serviços para fins ilícitos, a exemplo de jogos de azar e de ativos de alto risco (high-risk exchanges).
Em relação aos países que recebem os maiores volumes de criptomoedas de atividades ilícitas, os top 5 são: Estados Unidos, Rússia, China, África do Sul e Reino Unido. Um dos pontos que merecem atenção é que a Rússia é o país que mais recebe fundos originados no mercado da Darknet, enquanto a China recebe grande parte dos valores obtidos por crimes originados por ransomware.
2020: o ano da explosão do ransomware
Segundo a Kaspersky, ransomware é um software malicioso que infecta o computador e exibe mensagens exigindo o pagamento de um resgate para fazer o sistema voltar a funcionar[3]. É um tipo de malware que objetiva obter recursos financeiros e pode ser instalado por meio de links fraudulentos em mensagens de e-mail, mensagens instantâneas, redes sociais ou sites maliciosos. Em 2020, de acordo com o relatório da ChainAnalysis, o valor pago por vítimas de ransomware cresceu 311% em relação a 2019, alcançando US$ 350 milhões em criptomoedas.
A situação é agravada por uma nova modalidade de serviço de “aluguel” de ransomware, conhecida como RaaS – Ransomware as a Service. Com esse tipo de serviço, muitos cibercriminosos que desenvolvem ransomware permitem que outros criminosos com menos conhecimento técnico utilizem o RaaS, pagando parte do valor subtraído das vítimas, em caso de ataque bem-sucedido. Essa nova modalidade criminosa de serviço na nuvem levou ao aumento do número de casos e acabou criando dois tipos de ataque: o ataque tradicional e sofisticado, direcionado a grandes organizações ou a alvos geopolíticos e governamentais; e os ataques RaaS, cujo alvos são organizações e valores menores, realizadas por cibercriminosos com menor capacidade técnica – utilizando-se da facilidade do serviço na nuvem (RaaS).
No Brasil, em novembro de 2020, tivemos um ataque de ransomware ao Superior Tribunal de Justiça (STJ). Naquela ocasião, o cibercriminoso teve acesso aos sistemas do STJ e criptografou todos os dados, inclusive o sistema de processo eletrônico da Corte. Os criminosos chegaram a deixar uma mensagem em formato de texto, pedindo um resgate pelo sequestro digital[4]. O STJ, porém, preferiu recorrer aos backups e restaurar todo o sistema computacional, o que acabou levando vários dias. Nos dias seguintes ao ataque ao STJ, outros ataques foram noticiados, ao Ministério da Saúde e à Secretaria de Economia do Distrito Federal. Tais ataques refletem a tendência de setores alvos dos ransomwares em 2020: varejo, saúde e governo (segundo a empresa de cibersergurança SonicWall[5]).
E como se inicia um ataque de ransomware? Segundo relatório da empresa de segurança cibernética Proofpoint, 88% de todas as mensagens com links e anexos infectados por malware chegam aos usuários por meio de e-mails[6]. Outra pesquisa, da Cyxtera Tecnnologies[7], similarmente, aponta que 90% dos ataques de ransomware utilizam o e-mail como porta de entrada para as organizações. Fato é que os golpes por meio de e-mail phishing[8] têm ficado cada vez mais sofisticados e personalizados, o que acaba aumentando a efetividade dos ataques.
Legislação brasileira
Com a escalada de crimes cibernéticos, a legislação brasileira acabou tendo que se adaptar para acomodar e tipificar tais ações ilícitas. Nesse sentido, duas leis acabaram sendo sancionadas em 2012, alterando o Código Penal e instituindo penas para crimes cibernéticos, como invasão de computadores, fraudes e disseminação de malwares[9]. A primeira foi a Lei dos Crimes Cibernéticos (Lei nº 12.737/12), que tipificou cibercrimes como invasão de computadores, roubo de dados e credenciais e ataque de negação de serviço, acrescendo os artigos 154-A, 154-B, 266 e 298 ao Código Penal. Essa lei, que ficou conhecida como “Lei Carolina Dieckmann”, definiu penas variam de 3 meses a dois anos de prisão[10]. A comercialização ou transmissão a terceiros de material obtido com a invasão de privacidade pode aumentar essa pena de um a dois terços.
A segunda lei é a 12.735/12 que tipifica condutas realizadas por meio de sistema eletrônico, digital ou similares, praticadas contra sistemas informatizados e similares. A lei também cria, no âmbito da política judiciária, equipes especializadas no combate a crimes cibernéticos.
Contudo, está em tramitação na Câmara o PL 5.278/2020, que altera a pena para os crimes cibernéticos, passando a ser de quatro a dez anos de reclusão, além de multa.
Em 2014, surgiu o Marco Civil da Internet (Lei 12.965/2014), que regula direitos e deveres dos internautas, trazendo como grande inovação a definição de que a retirada de conteúdos da Internet deve se dar por meio de ordem judicial, exceto em caso de pornografia de vingança. Neste caso, o interessado pode solicitar a retirada do conteúdo diretamente ao serviço de hospedagem, que deve ser atendido de forma imediata. O Marco Civil também definiu que os Juizados Especiais são os órgãos competentes para decidir pela ilegalidade ou não de determinado conteúdo. Na Câmara, está em tramitação o PL 3956/20 que dispõe sobre a criação de Juizados Especiais Criminais Digitais, que terão a competência para tratar de crimes cibernéticos[11].
Em relação à regulamentação das criptomoedas, o cenário é ainda mais incipiente. No Brasil, temos a Instrução Normativa nº 1.888 da Receita Federal que obriga que agentes intermediadores declarem mensalmente todas as operações em criptoativos realizadas pelos seus clientes. Além disso, há projetos de lei em tramitação, como o PL 2.303/15, no Senado, que dispõe sobre a inclusão das moedas virtuais na definição de “arranjos de pagamento” sob supervisão do Banco Central. Na Câmara, há o PL 3.825/19, que regulamenta operações financeiras com moedas virtuais em plataformas eletrônicas e o PL 3.949/2019 que dispõe sobre transações e condições de funcionamento das exchanges de criptoativos, além de alterar a Lei de Lavagem de dinheiro (Lei nº 9.613/98), dentre outras.
A pandemia trouxe novos desafios, não somente para a área da saúde pública e para governantes. Há também o desafio da segurança da informação em um cenário em que o trabalho remoto se tornou a regra, expandindo o chamado perímetro de segurança das organizações. O perímetro agora praticamente não existe, uma vez que os colaboradores estão trabalhando de suas casas, acessando os recursos tecnológicos que estão dentro das organizações.
Além disso, a possibilidade de utilizar serviços de ransomware disponíveis na nuvem (RaaS) e a escalada do preço das criptomoedas, tornam a atividade ilícita mais atrativa, permitindo uma monetização rápida, por meio de operadoras e plataformas coniventes com os cibercriminosos. E para dar um tempero final nessa receita maligna, soma-se a isso a – muitas vezes ineficaz – legislação brasileira, com penas brandas, bem como a precariedade em relação a instituições de investigação e combate ao cibercrime, insuficientes em recursos humanos com qualificação técnica e equipamentos adequados.
A revolução digital pela qual passa o mundo requer o envolvimento e comprometimento de todos, desde as autoridades e organizações, até chegar aos colaboradores e usuários finais, para que tenhamos um ambiente digital com mais segurança para todos.
Referências bibliográficas
ARAÚJO, Fábio Lucena de. Aspectos Jurídicos no Combate e Prevenção ao Ransomware. Revista do Ministério Público do Estado do Rio de Janeiro, Rio de Janeiro, v. 1, n. 71, p. 93-118, jan. 2019. Disponível em: https://www.mprj.mp.br/documents/20184/1287128/Fabio_Lucena_de_Araujo.pdf. Acesso em: 23 mar. 2021.
CHAINANALYSIS. The 2021 Crypto Crime Report. 2021. Disponível em: https://go.chainalysis.com/rs/503-FAP-074/images/Chainalysis-Crypto-Crime-2021.pdf. Acesso em: 22 mar. 2021.
CROWDSTRIKE. 2021 Global Threat Report. 2021. Disponível em: https://go.crowdstrike.com/rs/281-OBQ-266/images/Report2021GTR.pdf. Acesso em: 22 mar. 2021.
FOGLIATTO, Juliana. Os crimes cibernéticos e os meios que a polícia utiliza para a identificação dos criminosos. 2019. Disponível em: https://jus.com.br/artigos/77225/os-crimes-ciberneticos-e-os-meios-que-a-policia-utiliza-para-a-identificacao-dos-criminosos. Acesso em: 23 mar. 2021.
[1] https://economia.uol.com.br/noticias/redacao/2021/01/07/bitcoin-valorizacao-risco-perspectivas.htm#:~:text=O%20bitcoin%20foi%20um%20dos,%2C%20uma%20alta%20de%20303%25.
[2] CHAINANALYSIS. The 2021 Crypto Crime Report. 2021. Disponível em: https://go.chainalysis.com/rs/503-FAP-074/images/Chainalysis-Crypto-Crime-2021.pdf. Acesso em: 22 mar. 2021.
[3] https://www.kaspersky.com.br/resource-center/definitions/what-is-ransomware
[4] https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/337701/39-dias-apos-o-ataque-cibernetico-ao-stj–reflexoes-e-desafios
[5] https://tiinside.com.br/19/03/2021/relatorio-mostra-que-brasil-e-o-nono-pais-que-mais-sofreu-ransomware-em-2020/
[6] https://olhardigital.com.br/2019/11/08/seguranca/e-mails-com-url-malicioso-representam-quase-90-das-mensagens-com-malware/
[7] https://www.hscbrasil.com.br/ataque-de-ransomware-no-brasil/#:~:text=Segundo%20informa%C3%A7%C3%B5es%20veiculadas%20na%20m%C3%ADdia,at%C3%A9%20a%20pr%C3%B3xima%20segunda%2Dfeira.
[8] São e-mails fraudulentos que se parecem com as mensagens legítimas, mas ocultam os golpes que pretendem roubar informações pessoais, como senhas e credenciais de acesso. No cenário deste artigo, seriam utilizados para instalar o ransomware no computador ou rede do destinatário do e-mail.
[9] https://www.cnj.jus.br/crimes-digitais-o-que-sao-como-denunciar-e-quais-leis-tipificam-como-crime/
[10] https://blog.g7juridico.com.br/crimes-na-internet-quais-sao-as-leis-para-esses-casos/
[11] https://www.camara.leg.br/noticias/695840-proposta-cria-juizados-especiais-para-crimes-digitais/