logo

Segurança e liberdade para a sua rotina jurídica

Conhecer o Astrea Conhecer o Astrea
O que é o spoofing? >

Entenda o que é e como funciona o spoofing

Entenda o que é e como funciona o spoofing

26 out 2023
Artigo atualizado 30 out 2023
26 out 2023
ìcone Relógio Artigo atualizado 30 out 2023
Spoofing é a prática de falsificar informações ou identidades, geralmente com intenções fraudulentas, enganosas ou maliciosas. Isso pode envolver a falsificação de números de telefone, endereços de e-mail, endereços IP ou outros dados para enganar pessoas, sistemas de segurança ou sistemas de autenticação

Segundo dados do Dfndr Lab, um laboratório especializado em cibersegurança da PSafe, em 2020, mais de 5 milhões de brasileiros foram alvo de spoofing. Isso resultou em uma média de mais de 15 mil vítimas diariamente em todo o Brasil. Apenas em clonagem de WhatsApp foram 641 mil brasileiros. 

Essa prática ganhou notoriedade especialmente quando membros da força-tarefa Lava Jato foram vítimas de prática semelhante, o que levou à divulgação pública de suas conversas pelo Intercept Brasil.

Não por menos, no mundo digital em que vivemos, a segurança cibernética se tornou uma preocupação constante para cidadãos, autoridades e, igualmente, para o Poder Judiciário. 

Neste artigo, convidamos você leitor a entender o que é e como funciona o spoofing, como essa prática afeta nossas vidas digitais e como o Direito tem lidado com essa ameaça crescente!

O que é spoofing?

Spoofing é uma técnica ou prática cibernética que envolve a falsificação de informações, identidades ou dados com o objetivo de enganar pessoas, sistemas de segurança, ou sistemas de autenticação

Essa atividade é geralmente realizada por criminosos cibernéticos com intenções fraudulentas, maliciosas ou enganosas. O termo “spoofing” é derivado da palavra em inglês “spoof“, que significa falsificar ou imitar.

Como funciona o spoofing?

A realização de spoofing envolve diversas técnicas e métodos, dependendo do tipo de spoofing que está sendo executado, mas quase sempre envolvem algum aspecto de engenharia social. 

Os mais tradicionais são o Caller ID Spoofing, E-mail Spoofing, IP Spoofing e GPS Spoofing. Aqui estão alguns exemplos dos tipos mais comuns de spoofing e como eles são realizados:

Caller ID Spoofing 

Trata-se da modificação do telefone do remetente da chamada. Para falsificar o número de telefone de origem de uma chamada telefônica, os criminosos geralmente usam serviços ou aplicativos que permitem a seleção de um número falso. 

Assim, insere-se um número de telefone diferente do original, fazendo com que a vítima acredite que a chamada vem de outra fonte, usualmente confiável. 

Email Spoofing 

Para falsificar o remetente de um e-mail, os criminosos manipulam os cabeçalhos do e-mail, incluindo o campo “De” (From), para que pareça que a mensagem está vindo de uma fonte confiável. 

Isso pode ser feito com relativa facilidade por meio de ferramentas de envio de e-mail ou manipulação dos cabeçalhos. Isso pode enganar a vítima e levá-la a abrir um e-mail malicioso ou a fornecer informações confidenciais.

IP Spoofing

Nesse tipo de spoofing, os criminosos falsificam o endereço IP de origem de um pacote de dados. Isso é geralmente usado em ataques de negação de serviço distribuído (DDoS), onde o objetivo é ocultar a verdadeira origem do ataque, tornando-o mais difícil de rastrear. 

Isso pode ser usado para ocultar a verdadeira origem de um ataque, dificultando a identificação do invasor.

GPS Spoofing 

Falsificar os sinais de GPS envolve a manipulação de informações de localização enviadas para um dispositivo receptor GPS, como um smartphone ou veículo autônomo. Isso pode ser usado para enganar o dispositivo e fazê-lo acreditar que está em um local diferente. 

O GPS Spoofing envolve a transmissão de sinais falsos de GPS para enganar um dispositivo receptor, como um smartphone. 

Isso pode fazer com que o dispositivo pense que está em um local diferente do que realmente está, o que pode ser usado para acessar produtos e serviços disponíveis em apenas uma localidade.

Qual é a diferença entre o spoofing e phishing?

Spoofing e phishing são duas práticas cibernéticas distintas, embora frequentemente sejam usadas em conjunto em ataques online.

O spoofing é uma técnica que envolve a falsificação de informações ou identidades para enganar pessoas, sistemas de segurança ou sistemas de autenticação. O objetivo principal é mascarar a verdadeira origem de uma ação, comunicação ou transação online.

Já o phishing é uma tática específica de ataque cibernético que envolve a criação de mensagens fraudulentas, como e-mails ou mensagens de texto, que se passam por fontes legítimas para enganar as vítimas. O objetivo é convencer as pessoas a divulgar informações pessoais, como senhas, números de cartão de crédito ou dados bancários.

Nesse contexto, o spoofing é uma técnica geral de falsificação de informações ou identidades, enquanto phishing é um tipo específico de ataque que utiliza a falsificação para enganar as pessoas

Dessa forma, enquanto spoofing abrange várias técnicas de falsificação, incluindo falsificação de chamadas telefônicas, falsificação de endereços IP e outros, o phishing geralmente envolve o envio de mensagens enganosas por e-mail, mensagem de texto ou outros meios de comunicação. 

No spoofing, o foco principal é ocultar a verdadeira origem ou identidade, enquanto no phishing, o foco é enganar as vítimas para que elas divulguem informações pessoais ou financeiras.

Por fim, um aspecto interessante é que o spoofing pode ser usado tanto para fins maliciosos quanto para atividades legítimas (como manter a privacidade online), enquanto phishing é sempre uma atividade maliciosa.

Advogue com segurança
Viva com liberdade

Quanto antes você contrata, menos você paga

Aproveitar desconto *Confira o regulamento
flag blackfriday 2024 flag blackfriday 2024

Aspectos jurídicos do spoofing e a responsabilidade das plataformas:

Ao se aprofundar na responsabilidade das plataformas digitais em situações de spoofing, a advogada Amanda Cavallaro apresenta caso bastante corriqueiro, mas interessante. 

Em síntese, o golpista ingressa em determinado marketplace de produtos e monitora novos anúncios on-line, colhendo informações ali disponíveis. Em seguida, entra em contato com o vendedor do produto, afirmando ser um membro da plataforma e que necessita que informe um código de verificação enviado por SMS sob a alegação de que houve um problema no serviço.

A vítima, que não possui conhecimento técnico, confirma os dados, sucumbindo ao golpe. Na realidade, jamais se tratou de confirmação de dados, mas de uma concessão de acesso a sua conta de mensagens instantâneas, repassando acesso aos dados, conversas, contatos e imagens pessoais.

Em seguida, e com as informações obtidas, o criminoso solicita aos contatos que façam transações bancárias ou realizem pagamentos em seu benefício. Nesse ínterim, até que a vítima consiga acionar a plataforma para que esta adote as medidas necessárias, o dano já foi configurado, sendo, em muitos casos, irreversível. 

É de extrema importância destacar os papéis desempenhados pelas plataformas que tornam possível a prática do spoofing

Primeiramente, devemos abordar a responsabilidade dos marketplaces, que servem como a porta de entrada para esse tipo de golpe. Nesse contexto, as plataformas projetadas com o objetivo de facilitar transações de produtos, sejam eles novos ou usados, enfrentam a perspectiva de responsabilização. 

Isso ocorre devido à falta de etapas de aceitação específicas para divulgação dos dados pessoais do usuário, o que não os alerta devidamente sobre as potenciais consequências da exposição de informações sensíveis. A implementação de um processo de aceitação específico, no qual os usuários sejam informados e conscientizados sobre os riscos envolvidos, poderia ser uma medida eficaz para garantir uma maior segurança aos usuários.

Além disso, é necessário acentuar que entre o usuário (vítima) e a plataforma de marketplace há relação de consumo e, desta forma, estão sujeitas ao regime de responsabilidade específico. 

Ao positivar a teoria do risco do empreendimento para as relações de mercado, o artigo 14 do Código de Defesa do Consumidor, conjugado com o artigo 927 do Código Civil, faz evidente a responsabilidade de tais plataformas à vítima dos ataques digitais.

Nesse sentido, importa ressaltar que não há de se falar nem mesmo em culpa concorrente da vítima, uma vez que ela mesma foi levada a crer na legitimidade das comunicações em razão das falhas.

O reconhecimento de que a ocorrência spoofing implica na responsabilidade do fornecedor, porém, está mais bem pacificado nas relações bancárias. Julgado interessante é o seguinte:

JUIZADO ESPECIAL CÍVEL. CONSUMIDOR. FRAUDE POR TERCEIRO. TÉCNICAS DE ENGENHARIA SOCIAL, PHISHING E SPOOFING. FORTUITO INTERNO. RESPONSABLIDADE OBJETIVA. DEVER DE RESTITUIR. RECURSO CONHECIDO E NÃO PROVIDO. 1. Trata-se de recurso inominado interposto pelo réu em face da sentença que julgou parcialmente procedentes os pedidos iniciais para condená-lo a reembolsar à requerente o montante de R$29.900,00 (vinte nove mil e novecentos reais), referente às transferências e compras realizadas indevidamente. Em seu recurso, alega que a conduta do cliente foi determinante para a perpetração do golpe, tratando-se o caso de fortuito externo, o que afasta o dever de indenizar. Acrescenta que não há falha no sistema de segurança do banco, tendo em vista que foi a vítima que permitiu o acesso dos golpistas ao seu dispositivo móvel. Pede a reforma da sentença e a improcedência do pedido acolhido. 2(…) 5. Narra a autora que em 18/06/2021 um funcionário do Banco do Brasil entrou em contato questionando sobre compras realizadas em seu cartão. Aduz que, após o funcionário confirmar diversos dados, informou ser necessário retirar o seu aparelho para uma perícia e que deveria entrar em contato com a central de atendimento para bloquear sua conta. Afirma que após algumas horas entendeu que se tratava de um golpe e que se dirigiu até uma agência do banco, onde constatou que, mesmo sem as senhas e sem os acessos, foram retirados diversos valores da sua conta: R$4.000,00 em compra com cartão, R$1.000,00 em compra com cartão, TED no valor de R$14.900,00, três pixs realizados, sendo um no valor de R$3.200,00, outro no valor de R$2.500,00 e outro de R$4.300,00, cujo o valor total atingiu o montante de R$29.900,00 (vinte e nove mil e novecentos reais). Por fim, conta que além das transferências, compras e pixs, foram realizados dois empréstimos em seu nome, sendo um no valor de R$7.697,14 e outro no valor de R$45.794,00. 6. Da narrativa dos autos e documentos juntados é possível verificar que a autora foi vítima de fraude por terceiro realizada por meio das técnicas de engenharia social, phishing e spoofing. Ao contrário do que alega o recorrente, não foi utilizado o cartão/plástico da autora nas transações. A fraude ocorreu em razão da falha no seu sistema de segurança, primeiro ao permitir que terceiros tivessem acesso a todos os dados bancários do recorrido e segundo ao permitir que terceiros movimentassem a conta. (…).
(TJ-DF 07144370720228070020 1671009, Relator: GISELLE ROCHA RAPOSO, Data de Julgamento: 06/03/2023, Segunda Turma Recursal, Data de Publicação: 14/03/2023)

No caso acima, tem-se o uso de spoofing e phishing utilizados em conjunto. Mais interessante ainda, todo o golpe utilizou exclusivamente a engenharia social, com a obtenção de informações sem que houvesse a invasão do dispositivo mediante técnicas tradicionais de hacking. Em outras palavras, o criminoso fez com que a vítima entregasse “de bom grado” o acesso ao telefone e informações internas.

Apesar disso, verificou-se que a instituição bancária não exerceu o dever de segurança pelo qual é remunerada para fazer. Ao contrário, possibilitou a contratação de empréstimos pessoais e transferências de alto valor, dissonantes do padrão de uso da vítima. Dessa forma, o TJDF reconheceu o dever de indenizar os danos materiais sofridos pela vítima.

Conclusão:

Em conclusão, o spoofing é uma prática cibernética que envolve a falsificação de informações e identidades com o propósito de enganar pessoas, sistemas de segurança e sistemas de autenticação. Ao longo do texto, viu-se como a prática é realizada, especialmente nos contextos de Caller ID Spoofing, Email Spoofing, IP Spoofing e GPS Spoofing.

Além disso, discutimos a diferença entre spoofing e phishing, destacando como ambos representam ameaças significativas à segurança cibernética, mas com focos distintos: o spoofing na falsificação de identidades e o phishing na tentativa de roubo de informações pessoais.

Finalmente, reconhecemos a importância de entender o spoofing e suas implicações legais. Os advogados desempenham um papel crucial na investigação e no litígio relacionados a esse tipo de crime cibernético, buscando justiça para as vítimas e garantindo que os infratores sejam responsabilizados.

Em um mundo digital em constante evolução, a conscientização sobre o spoofing e a adoção de medidas de segurança cibernética são essenciais para proteger nossos dados pessoais e garantir a integridade de nossas comunicações e transações online.

Mais conhecimento para você

Se você gostou deste texto e deseja seguir a leitura em temas sobre direito e advocacia, vale a pena conferir os seguintes materiais:  

Gostou do artigo e quer evoluir a sua advocacia?

Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️

Ao se cadastrar você declara que leu e aceitou a política de privacidade e cookies do site.

Este conteúdo foi útil pra você? Conta aqui nos comentários 😉

Conheça as referências deste artigo

CAVALLARO, Amanda. Spoofing: de quem é a culpa do golpe do WhatsApp clonado? Disponível em: https://martinelliguimaraes.com.br/spoofing-whatsapp/ . Acesso em: 27 set. 2023.

MADEIROS, Henrique. Brasil: 18 milhões de pessoas foram afetadas por golpes em dispositivos móveis. Disponível em “https://www.mobiletime.com.br/noticias/17/04/2020/brasil-18-milhoes-de-pessoas-foram-afetadas-por-golpes-em-dispositivos-moveis-em-marco/. Acesso em: Acesso em: 27 set. 2023.

TJ-DF 07144370720228070020 1671009, Relator: GISELLE ROCHA RAPOSO, Data de Julgamento: 06/03/2023, Segunda Turma Recursal, Data de Publicação: 14/03/2023.


Social Social Social

Advogado (OAB 97692/PR). Bacharel em Direito pela Universidade Federal do Paraná - UFPR e Mestre em Direito Econômico e Desenvolvimento pela PUC/PR. Sou membro do Núcleo de Pesquisas em Políticas Públicas e Desenvolvimento Humano (NUPED) e sócio fundador da Martinelli...

Ler mais
Tem algo a dizer?

Deixe seu comentário e vamos conversar!

0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Bullets
aurum recomenda

Conteúdos para elevar sua atuação na advocacia

Separamos os principais artigos sobre advocacia e tecnologia para você!

Ícone E-mail

Assine grátis a Aurum News e receba uma dose semanal de conteúdo gratuito no seu e-mail!

Ao se cadastrar você declara que leu e aceitou a política de privacidade e cookies do site.