Grupo faz roubo milionário usando senhas e QR Code de banco

Criminosos roubavam senhas e dados bancários de clientes, e usavam engenharia social para obter QR Code de token no celular

Felipe Ventura
• Atualizado há 3 anos
Crime

O MPDFT (Ministério Público do Distrito Federal e Territórios) denunciou à Justiça 22 integrantes de uma quadrilha que roubava dados bancários de clientes e usava engenharia social para convencer as vítimas a enviar um QR Code que permite realizar transações no smartphone. O prejuízo foi de R$ 1,1 milhão só no DF.

Os indivíduos são acusados de crimes como furto mediante fraude, lavagem de dinheiro e invasão de dispositivo. A denúncia foi feita pelo Ncyber (Núcleo Especial de Combate a Crimes Cibernéticos), ligado ao MPDFT, e partiu da Operação XCoderX deflagrada pela Polícia Civil do DF em fevereiro.

A quadrilha atuava no Distrito Federal, Paraíba, Santa Catarina e São Paulo, de acordo com o Ministério Público, e era dividida em células:

  • alguns dos integrantes ficavam encarregados de obter dados de contas bancárias — incluindo saldo, limites de empréstimo e senha de acesso — com a ajuda de programadores que desenvolviam malware;
  • outros membros do grupo faziam a engenharia social, fingindo serem funcionários do banco e alegando a necessidade de realizar operações de segurança;
  • além disso, algumas pessoas emprestavam as próprias contas bancárias para receber o dinheiro roubado das vítimas; elas ganhavam uma comissão, ficando com parte do valor.

Quadrilha usava spoofing e roubava QR Code

O delegado Giancarlos Zuliani, da Polícia Civil do DF, explica em comunicado que os criminosos usavam spoofing para exibir o número de “um banco tradicional do Distrito Federal” no celular das vítimas durante as chamadas telefônicas. O nome da instituição financeira não foi revelado.

“Durante as ligações, os criminosos se passavam por funcionários do banco e questionavam as vítimas sobre transações bancárias suspeitas”, disse Zuliani. Elas “acabavam digitando os números de suas contas e as senhas no teclado de seus telefones, sendo que tais dados eram capturados pelos criminosos”.

O golpe ia além: as vítimas eram orientadas a irem até um caixa eletrônico para gerar um QR Code e enviá-lo por WhatsApp. Alguns bancos exigem que você use esse código para validar o token de acesso no smartphone. Os criminosos já tinham o número da conta e a senha; com mais essa informação, eles eram capazes de fazer transferências através do app para celular.

“Nesta etapa, a organização criminosa simulava o protocolo de atendimento telefônico da instituição, inclusive, com o uso do número oficial utilizado pelo banco para contato com seus correntistas”, diz Leonardo Otreira, promotor de Justiça e coordenador do Ncyber, em comunicado.

A Polícia Civil identificou 37 vítimas no Distrito Federal, com prejuízo estimado em R$ 1,1 milhão. Como o golpe afetou pessoas em outros estados, o valor total certamente é maior. Por exemplo, uma das contas usadas para receber dinheiro das vítimas movimentou mais de R$ 6 milhões.

Os criminosos faziam transferências fracionadas para diversas contas, a fim de dificultar a descoberta; e usavam uma gráfica e uma loja de vidros para justificar a origem do dinheiro.

Leia | Como usar o Lockwatch, app que "tira foto do ladrão"

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.