A engenharia social ou, nas palavras de Spencer Toth Sydow — engenhosidade social —, é uma modalidade de ataque cibernético consistente em induzir alguém a erro mediante a comunicação de informações falsas valendo-se de meios de comunicação digitais. A finalidade deve ser induzir essa pessoa a emitir determinado comportamento, assim permitindo ou facilitando a obtenção de vantagem indevida, que pode se dar em detrimento do próprio alvo ou de terceiros. A prática de engenharia social pode configurar, mas não se limita aos crimes de estelionato eletrônico (artigo 171 §2°-A CP), falsidade ideológica (artigo 299 CP), uso de falsa identidade (artigo 307 CP), invasão de dispositivo informático (artigo 154-A CP), ou ainda um ilícito civil ou administrativo, a menos que esteja sob uma excludente de ilicitude.
Como exemplo de excludente de ilicitude, tem-se o exercício regular de direito por parte de um analista de segurança da informação que realiza um pentest (teste de penetração) autorizado em favor de uma empresa. Imagine-se que o analista (pentester) ligue para a empresa se passando por um gerente e peça acesso a informações sigilosas ao funcionário que o atende. Influenciado pela suposta autoridade do interlocutor, o funcionário acaba entregando dados sensíveis e de alto valor para a empresa.
Ainda, pode-se considerar presente a causa de justificação do exercício regular de direito na conduta de um policial que, agindo sob atuação encoberta ou estória-cobertura, assume uma persona com certos atributos no meio social e assim engana um investigado ou uma testemunha. Com isso, o agente obtém informações para uma investigação criminal, as quais dificilmente seriam obtidas se ele se apresentasse como policial.
Raio-X dos golpes digitais
Fora do âmbito das causas de justificação, a maior parte dos ataques de engenharia social que ocorrem na atualidade são criminosos e estão em recrudescimento. Devido à recente virtualização da vida em sociedade e a ausência de controle estatal sobre as plataformas de comunicação digitais, parte da criminalidade de rua, especialmente assaltantes e traficantes, migrou para a prática de estelionatos virtuais. Do ponto de vista do criminoso, é muito menos arriscado em termos de morte e prisão cometer golpes por meio do WhatsApp do que armar-se e sair para roubar.
Sem aprofundar o debate criminológico, mas intentando provocar discussões, tem-se que os estelionatos virtuais são em grande parte praticados dentro das prisões. Isso porque o Estado falha em barrar a entrada de celulares nos presídios, os quais funcionam em sua maior parte com estrutura extremamente precária. Nesse sentido, o STF reconheceu o estado de coisas inconstitucional do sistema penitenciário brasileiro (STF — ADPF 347).
Dados do Instituto DataSenado apontam que os golpes digitais vitimaram 24% dos brasileiros com mais de 16 anos entre outubro de 2023 e setembro de 2024. Mais de 40,85 milhões de pessoas perderam dinheiro em função de algum crime cibernético, como clonagem de cartão, fraude na internet ou invasão de contas bancárias. O cenário é alarmante e exige atuação do Estado em diversos níveis para um combate efetivo, o que até o momento não tem sido feito.
Estratégias dos golpes
As táticas de engenharia social mais comumente aplicadas se baseiam em falsa identidade e se dão por meio das redes sociais. O criminoso se passa por alguém familiar da vítima, ou com poder, ou oferece uma suposta vantagem “tentadora”. Há também aqueles que exploram o medo da vítima, passando-se por integrantes de organizações criminosas, fazendo ameaças, casos em que há progressão criminosa para o crime de extorsão (artigo 158 do CP). A maioria dos casos se resume em construir deliberadamente uma narrativa falsa para influenciar o comportamento da vítima.
Há, por outro lado, a engenharia social tecnicamente sofisticada, que envolve criar sites falsos, com domínios similares aos sites verdadeiros. Há ainda o envio de e-mails fraudulentos, se passando por empresas, enviando boletos falsos ou links contaminados com malwares para roubo de credenciais e senhas. Existem muitos nomes e tipos destes golpes, podendo ser categorizados em geral como phishing. São ainda categorizados como smishing quando praticados por SMS e vishing quando praticados por chamadas de voz.
Muitos são os obstáculos da persecução penal em alcançar os crimes praticados mediante engenharia social. Os criminosos possuem amplo acesso a dados de terceiros de boa-fé para serem usados como interpostas pessoas. Em fóruns na Dark Web e principalmente em comunidades do aplicativo Telegram, são disponibilizados e comercializados inúmeros dados e documentos pessoais extraviados. Com estes dados e documentos em mãos, os golpistas criam cadastros telefônicos, e-mails, contas bancárias e perfis de redes sociais, tornando a investigação criminal altamente custosa.
Uso de plataformas sociais
A regulação das plataformas de mídias sociais no Brasil é incipiente e a pauta do progresso nesse campo divide opiniões. Fato é que a facilidade de se criar contas nessas plataformas sem uma verificação criteriosa de identidade favorece a atuação dos criminosos. As políticas de KYC (Know Your Customer) das redes sociais são fracas, ou pelo menos são declaradamente fracas. As big techs conhecem profundamente as preferências dos usuários com relação a produtos e anúncios, mas quando se trata de auxiliar o poder público na resolução de crimes, essa eficiência não existe. Nesse sentido destaca-se o Telegram, que usa de manobras jurídicas para evitar fornecer dados dos usuários às autoridades, entregando apenas dados cadastrais (número telefônico e endereço de IP) e sob ordem judicial. Segundo reportagem do portal Olhar Digital, até 2024 nem isso o Telegram entregava, mas devido à prisão de seu fundador na França, passou a “colaborar” com as autoridades.
A engenharia social representa uma ameaça ao patrimônio e aos dados pessoais dos cidadãos. Combater estes ataques cibernéticos não é tarefa fácil, principalmente porque facilitados pelo uso desregulamentado das tecnologias da informação e da comunicação. Os vetores de ataque são vulnerabilidades humanas, portanto a educação digital da população deve possuir papel de destaque no enfrentamento a estas práticas. Além disso, é necessária a cooperação entre empresas de tecnologia e o poder público, bem como um aprimoramento da legislação sobre mídias digitais, convergindo para um uso mais responsável da tecnologia. Em um contexto de crescente digitalização das relações sociais e econômicas, compreender os mecanismos da engenharia social e fortalecer os instrumentos de investigação e prevenção torna-se imperativo para a efetividade da persecução penal e para a proteção do patrimônio e da privacidade dos cidadãos.
______________________________________
Referências
BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Diário Oficial da União, Rio de Janeiro, 31 dez. 1940.
BRASIL. SENADO FEDERAL. . Golpes digitais atingem 24% da população brasileira, revela DataSenado. 2024. Disponível aqui.
BRASIL. Supremo Tribunal Federal. Arguição de Descumprimento de Preceito Fundamental nº 347. Relator: Ministro Marco Aurélio. Brasília, DF de 2023. Diário Oficial da União. Brasília.
OLHAR DIGITAL (São Paulo). Telegram entregou dados de 1.008 brasileiros às autoridades. 2025. Disponível aqui.
SYDOW, Spencer Toth. Curso de Direito Penal Informático: partes geral e especial. 4. ed. São Paulo: Juspodivm, 2023.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login