“Me senti num filme de terror; parecia um pesadelo”. É assim que a empresária Aryana Marinho resume o que sentiu, logo após descobrir que a conta da sua loja de roupas infantis no Instagram foi hackeada.  

O golpe foi registrado na tarde do último dia 16 de dezembro, após Aryana receber uma suposta mensagem do suporte do Instagram pelo direct (mensagem privada), informando, em inglês, que sua conta estaria infringindo algumas regras da rede social.  

“Perguntei pra eles o que seriam essas infrações e eles responderam imediatamente: ‘Estamos verificando’. E disseram que, para isso, eu precisava fazer a autenticação da conta. Eu, inocente, cliquei na página que eles mandaram”.  

Nervosa, temendo perder mais de 700 postagens e 22 mil seguidores, acabou fornecendo informações sigilosas. “Era como se fosse uma página oficial do Instagram, com seguidores, e eu acreditei. Na mensagem, tinha um local pra login e senha. No momento em que coloquei minha senha, já recebi automaticamente um e-mail dizendo que eu tinha sido deslogada da minha conta no Instagram”.  

Cerca de 10 segundos depois, o e-mail e telefone cadastrados na conta da loja foram modificados. "Eles conseguiram desativar a autenticação de dois fatores e depois ativaram. Isso quer dizer que alguém pegou a minha conta. Na mesma hora, eu entrei no meu Instagram e todas as fotos tinham sido deletadas. Eu não acreditei, fiquei sem chão”, relembra. 

Prejuízos 

A empresária dividiu a angústia com a sócia Elida Rosalmeida. “A gente ficou arrasada porque são quatro anos pagando modelo, fotos profissionais, estúdio. Você se sente, de fato, invadida; é uma sensação de assalto mesmo”. 

Segundo Aryana, além do prejuízo nas postagens, a conta hackeada afetou a estabilidade do negócio, pois o Instagram se tornou a principal ferramenta de vendas da loja durante a pandemia de Covid-19. 

“Apesar de ter loja física, a gente trabalha muito com vendas virtuais e delivery. Então, no momento em que nossa conta foi hackeada, nosso faturamento reduziu 75% e de um dia para o outro”. 

As empresárias também se preocuparam em ter outros dados furtados. A partir da senha do Instagram, os hackers poderiam acessar a conta bancária da loja, por exemplo, “porque tudo é lincado”, afirma Aryana. 

Sequestro digital 

Apesar de não invadir outras contas, o hacker entrou em contato com as empresárias no dia seguinte ao golpe. Na ocasião, ele chegou a cobrar 5 mil dólares para devolver a conta, tal como a encontrou. Mas em bitcoin, uma moeda exclusivamente digital e mais difícil de ser rastreada.  

“Os países são diferentes e a maneira de pagar é o bitcoin”, justificou o hacker em mensagem enviada ao WhatsApp da loja.  

Durante a conversa, o valor exigido caiu para 250 dólares. “Foi um sequestro virtual mesmo. Bloqueei ele e não fale mais nada. Não dei um real porque não tinha nenhuma segurança que ele iria devolver minha conta. E, mesmo que desse, eu estaria alimentando um crime". 

Tão logo perceberam o golpe, as sócias contrataram um advogado para assessorá-las juridicamente. “Entrei em contato com o advogado e ele disse que tinha que fazer B.O. (Boletim de Ocorrência), comunicar à Polícia Federal, à Interpol e ao FBI porque geralmente são pessoas de outros países que hackeam as contas”. 

Conta recuperada 

Elas também entraram em contato com o suporte do Instagram e seguiram o passo a passo para informar a invasão da conta. Mas, devido à alta incidência de fraldes do tipo, sabiam que a resposta poderia demorar dias ou até meses. Para não comprometer o negócio, resolveram partir para um ‘plano B’. 

Após indicação, as empresárias contrataram os serviços de um especialista em segurança digital e, dentro de quatro dias após o ocorrido, conseguiram reaver a conta. “Essa pessoa conseguiu trazer todas as fotos de volta, valeu a pena”.  

Para Aryana, a experiência deixou a lição de “nunca confiar nesses e-mails ou mensagens que pedem pra você colocar senha, pra fazer login, por mais verídico que pareça”. 

Como proceder  

O problema das empresárias foi solucionado. Mas o que novas vítimas devem fazer diante de golpes como esse?   

Presidente da Comissão de Direito da Tecnologia da Informação da OAB-CE, André Peixoto diz que a melhor opção ainda é a prevenção, pois existe uma “dificuldade adicional” quando se fala em internet.  

Com o crescimento do comércio eletrônico (e-commerce), os golpes no mundo digital se tornaram mais frequentes e elaborados. Logo, “não é impossível, mas bastante difícil identificar o infrator”. 

“Da mesma forma que a gente tem hoje a cultura de ter cuidado com segurança quando abre uma loja física, com muro, cerca, câmeras, temos que passar a ter a mesma cultura para as nossas contas que são tão valiosas. Pra onde o dinheiro está indo, o criminoso vai atrás, por isso é tão importante investir em segurança da informação”.

Outra medida de precaução imprescindível é evitar, ao máximo, compartilhar a senha de acesso da conta. Sobretudo, para estranhos. Mesmo dentro da empresa, repasse a senha somente para poucas pessoas e de confiança.  

“Desconfie sempre de ligação que vêm de terceiros dizendo que você tem que fornecer tal coisa agora, que a sua conta foi invadida, que você tem que ganhar um prêmio”. O ideal é não responder e checar diretamente com a rede social ou com o banco se a informação procede. E contar com a ajuda de profissionais, seja da área jurídica, de Tecnologia da Informação (T.I.) ou de segurança da informação.  

Além não pagar nenhum tipo de resgate que venha, porventura, a ser exigido, é importante se precaver, fazendo um backup dos seus arquivos e contatos, a cada duas semanas, indica o advogado especialista em Propriedade Intelectual e Direito Digital, Roberto Reial. 

“Em hipótese nenhuma, pague o resgate exigido. Mesmo que (o hacker) devolva os dados, nada comprova que ele já não colocou algum vírus, por exemplo, ou uma ferramenta que não possa aplicar de novo o golpe em você", alerta. 

Segundo ele, o usuário da rede social também deve manter o hábito de, a cada dois meses, modificar a senha de acesso. O ideal é que seja uma senha forte, que não contenha informações óbvias, como iniciais do próprio nome ou data de nascimento.  

Registros

Se constatou que é vítima, o cidadão deve fazer um Boletim de Ocorrência (B.O.) digital, descrevendo de forma detalhada tudo o que aconteceu. Além do B.O., há opção de fazer a queixa-crime. “O B.O. vai registrar a ocorrência e a queixa-crime vai ter como consequência uma investigação criminal acerca daqueles fatos narrados”, diferencia Peixoto.  

Outra providência importante é fazer prints da tela, registrando conversas, desde a abordagem até uma possível extorsão. E guardar todos os registros originais possíveis no WhatsApp, Instagram, e-mails, mensagens SMS, etc., para auxiliar o trabalho pericial. 

Também é possível fazer uma ata notarial. Alguns cartórios, inclusive, disponibilizam esse requerimento pela internet. “A ata notarial vai comprovar que você, enquanto verdadeiro dono daquele perfil, está comunicando ao tabelião, que tem boa-fé, de que você não tem mais controle sobe aquele perfil e está sendo prejudicado. Portanto, se alguém cometer algum crime utilizando aquele perfil, você, a partir daquele momento, está isento disso porque você é vítima”, explica Reial.

Vantagem ilícita 

No caso das empresárias, não houve crime de invasão, pois o criminoso recebeu a senha da própria vítima. Mas o hacker deu encaminhamento ao crime de estelionato, pois tentou obter “para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento”, conforme disposto no Art. 171 do Código Penal. A pena para crimes do tipo é a reclusão de um a cinco anos e o pagamento de multa, com possibilidade ainda de reparação civil.  

Mesmo que o golpe seja aplicado no Brasil por um hacker no exterior, o mesmo deverá responder pelo crime à Justiça brasileira, pois foi aqui onde ele gerou o prejuízo.  

Conforme o Art.154-A da Lei Nº 12.737/2012, também é considerado crime "invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita". A pena prevista é detenção de três meses a um ano e multa.

DN