Golpes digitais aplicados a partir de redes sociais invadidas

As redes sociais tornaram um ambiente favorável para a prática de golpes digitais a partir de perfis invadidos. Os invasores, utilizando da boa imagem do proprietário da conta, criam cenários para ludibriar os demais usuários e buscam obter vantagens ilícitas, principalmente econômicas.

Este artigo visa explicar as duas formas mais utilizadas pelos invasores para invadir perfis em redes sociais, recomendações sobre medidas a serem adotadas e algumas decisões judiciais sobre o tema.

Quais são as formas utilizadas para invadir uma conta na rede social?
Destacam-se duas principais formas utilizadas para invadir contas em redes sociais: o emprego de técnicas de engenharia social e a clonagem do chip (golpe SIM swap).

A primeira forma refere-se ao emprego de técnicas de engenharia social, ou seja, quando uma pessoa tenta convencer outra a executar ações que a levam a fornecer informações, privilegiadas ou não, ou seguir passos que facilitem a efetivação de golpes.

Para tanto, os invasores criam cenários falsos para conseguirem captar a atenção das vítimas. Após, despertam algum gatilho de emergência para conseguir obter alguma informação, como compartilhamento de credenciais, senhas, códigos SMS entre outros. Neste caso, o proprietário do perfil possui uma participação relevante para a ocorrência do golpe.

Já em relação à forma utilizada que envolve a transferência de titularidade do chip de celular, conhecida como SIM swap, consiste na alteração do titular responsável pelo número de celular e é promovida envolvendo a operadora telefônica.

É de conhecimento geral que os aplicativos de mensagens, como Whatsapp e Telegram, utilizam o número de celular para ingresso, não havendo outra forma de se conectar à rede senão o número de celular, com a confirmação de uma chave recebida por SMS ou ligação.

Em adição aos aplicativos de mensagens já mencionados, diversas redes sociais e provedores de e-mail disponibilizam a utilização do número de celular como forma de acesso às contas nas respectivas plataformas, também com a confirmação de uma chave recebida via SMS ou ligação.

Dessa forma, para compreendermos o golpe SIM swap, precisamos, primeiramente, entender a origem de seu nome.

Em tradução livre, SIM swap significa troca do cartão SIM (subscriber identity module — módulo de identificação do assinante), ou seja, o SIM swap é a alteração do assinante identificado pelo chip cuja titularidade foi transferida. Dito isso, a execução da troca de titularidade depende de atuação de prepostos da operadora de telefone, a qual, de alguma forma, promove a modificação do assinante identificado pelo chip objeto do pedido, mediante solicitação de terceiro, sem a verificação de identidade do real proprietário da conta.

Após ter controle sobre o número de celular de uma pessoa mediante a aquisição de um novo chip, o praticante do golpe pode obter acesso às contas que a vítima tenha cadastrado o número do seu celular, podendo se comunicar com os contatos dela, além de fazer publicações em nome da vítima, muitas vezes se locupletando indevidamente.

Independente da forma empregada, depois de assumir o controle da conta, o invasor busca alterar o e-mail e número de telefone da rede social, fazendo com que a vítima tenha dificuldades na recuperação, em especial por ausência de suporte por parte da rede social. Em seguida, os invasores continuam aplicando golpes nos seguidores do proprietário do perfil.

Um dos golpes mais conhecidos decorrentes da invasão de um perfil no Instagram envolve a divulgação de supostos investimentos por meio de transferência pela ferramenta PIX, os quais terão lucro e retorno rápidos. Após visualizarem as publicações, pessoas transferem dinheiro aos golpistas e nunca recebem o dinheiro de volta, o que pode afetar negativamente a imagem daquele cujo perfil é utilizado para perpetuação das práticas ilícitas, especialmente se o prejudicado for alguém que depende de renome para garantir seu sustento, como profissionais liberais, influencer etc.

Outro golpe comumente aplicado a partir da invasão é a divulgação de móveis e eletrodomésticos que supostamente estão à venda.

Recomendações para conseguir recuperar a conta invadida
A partir do momento que o usuário verificar que a sua conta foi invadida, ele precisa buscar o procedimento disponibilizado pela rede social para recuperar o seu acesso.

No caso do Instagram, o usuário pode solicitar um link de login, após confirmar a titularidade da conta, mediante a realização de um procedimento disponível. Uma das formas de realizar a confirmação, para casos que a conta conta que possui fotos em que a vítima aparece, é por meio de uma selfie de vídeo virando o rosto para diferentes direções. Para saber mais sobre ele, clique aqui.

No caso do Twitter, recomenda-se que seja solicitado a redefinição de senha ou buscar o suporte. Sobre o procedimento, verifique aqui.

Além disso, a vítima deve avisar familiares, amigos e conhecidos que a conta está invadida, evitando maiores danos; realizar um Boletim de Ocorrência; e reunir provas da invasão e conteúdos que foram publicados no perfil.

Se o usuário não conseguir recuperar, a opção mais recomendada para restabelecer o acesso à conta é mediante a distribuição de um processo judicial. Para isso, a vítima deve procurar um advogado especializado para realização da ação judicial e adoção de outras medidas cabíveis.

Decisões judiciais sobre o tema
Em muitos casos, o usuário não consegue recuperar a sua conta pelos meios disponibilizados pela plataforma. Assim, precisam buscar o Poder Judiciário para obter a resolução do problema, judicializando o assunto.

Na maioria das ações judiciais sobre o tema, os magistrados obrigam as plataformas a restabelecerem o acesso do usuário à conta invadida. Em alguns casos, são realizados pedidos de danos morais e materiais. Tais pedidos são analisados conforme cada caso.

Em relação às invasões ocorridas a partir do golpe SIM swap, é possível envolver a operadora de telefonia celular no polo passivo da demanda, já que sem a troca do chip não seria possível gerar todos os demais danos.

Cumpre destacar algumas jurisprudências do Tribunal de Justiça do Estado de São Paulo sobre o tema:

"APELAÇÃO. AÇÃO DE OBRIGAÇÃO DE FAZER C/C INDENIZAÇÃO POR DANOS MORAIS. INSTAGRAM. CONTA INVADIDA E "HACKEADA" POR CRIMINOSOS. Invasores acessaram a conta da autora na plataforma do INSTAGRAM e passaram a oferecer produtos por preços abaixo do mercado. Usuária perdeu acesso à conta. Letargia do FACEBOOK mesmo diante das reclamações administrativas. Sentença de parcial procedência. Inconformismo de ambas as partes. FORTUITO INTERNO. Aplicação do CDC à casuística. Autora que percebeu a invasão de sua conta no INSTAGRAM. Notificou a ré, que não apresentou solução. Obrigação de fazer mantida. DANOS MORAIS. Ocorrência. Situação que superou o mero dissabor. A autora foi tolhida do uso de sua rede social, que passou a ser utilizada para a prática de crimes contra seus seguidores. Angústia diante da inércia da ré. Recuperação da conta se deu somente após ordem judicial. Os contratempos daí advindos que não podem ser imputados como meros transtornos. Indenização mantida em R$ 5.000,00". (Apelação Cível 1126789-86.2021.8.26.0100 j. 16/01/2023)
"APELAÇÃO. Ação de obrigação de fazer c/c indenização por danos morais. Sentença que julgou parcialmente procedente a ação. Inconformismo da parte ré. Invasão de conta do Instagram por terceiro e realização de vendas fraudulentas. Relação de consumo (artigos 2º e 3º, do CDC). Alegação de culpa exclusiva da usuária e de terceiro, pelo acesso indevido. Responsabilidade pela guarda da senha de acesso do usuário e disponibilização de ferramentas de segurança e de recuperação da conta aos usuários. Inversão do ônus da prova aplicada ao caso (artigo 6º, VIII, do CDC). Ausência de prova da culpa da parte autora quanto à guarda de sua senha, bem como da disponibilização de canais de atendimentos adequados. Usuária que tentou solucionar a questão pelos canais de atendimento da ré sem sucesso. Privação do uso de sua conta por mais de um mês. Verificada a má prestação dos serviços, nos termos do artigo 14, do CDC. Desvio produtivo do consumidor reconhecido. Dano moral configurado. Situação que desborda do mero aborrecimento cotidiano. 'Quantum' que deve ser reduzido para R$5.000,00. Valor que se mostra adequado em vista das circunstâncias do caso concreto a reparar o dano sofrido evitando o enriquecimento ilícito. Sucumbência da ré. Princípio da causalidade. Súmula nº326, do C. STJ. Sentença reformada em parte. Recurso parcialmente provido". (Apelação Cível 1006709-55.2022.8.26.0554; j. 29/09/2022).

Assim, são diversos os entendimentos [1] dos tribunais a respeito da responsabilidade das empresas pela invasão das contas de redes sociais com objetivo de perpetuação de golpes digitais.

Conclusão
É muito importante que o proprietário do perfil busque a retomada do seu acesso à conta invadida. As consequências que podem ser citadas pela não recuperação de uma conta de rede social invadida são: a) utilização indevida da imagem da vítima, b) acesso aos dados existentes na conta, e c) perpetuação de golpes que utilizam meios digitais para divulgação, aumentando exponencialmente o número de vítimas.

Se o perfil for de uma pessoa jurídica ou um influencer digital, um dos possíveis reflexos é a responsabilização da respectiva pessoa em caso de danos causados pelos invasores a um consumidor, por exemplo, tendo em vista a responsabilidade objetiva da pessoa jurídica no que se refere aos riscos da atividade empresarial.

Portanto, em razão do avanço irrefreável das tecnologias voltadas para meios de comunicação digitais, nota-se, cada vez mais, a possibilidade de invasões em perfis de redes sociais e a consequente ocorrência de reflexos patrimoniais, seja para pessoas naturais ou jurídicas, motivo pelo qual é fundamental a conscientização a respeito dos mecanismos de segurança no ambiente virtual e como agir em casos de incidentes como invasões.