Em janeiro deste ano, um médico gaúcho procurou a Polícia Civil em Porto Alegre depois de ser alvo de uma tentativa de golpe pela internet. Após uma série de fraudes, criminosos tentavam transferir os investimentos que ele mantinha numa conta bancária. A polícia descobriu que havia outras vítimas do mesmo grupo criminoso.
Esses médicos tiveram dados roubados, contas bancárias invadidas e contas abertas em seu nome pelos criminosos. Com isso, eles conseguiam acessar investimentos feitos pelas vítimas.
A investigação deste caso pelo Departamento Estadual de Repressão aos Crimes Cibernéticos deu início à Operação Medici Umbra, que chega nesta terça-feira (4) a sua quarta fase. Desta vez, os investigadores do Rio Grande do Sul identificaram um empresário, suspeito de ser o responsável por financiar os hackers que invadiam bancos sigilosos de dados e roubavam as informações para serem usadas em fraudes eletrônicas.
Foram cumpridos cinco mandados de prisão preventiva em municípios de São Paulo e em Brasília (DF), com apoio da Polícia Civil nestes Estados. Quatro suspeitos foram presos até o momento.
A análise aprofundada dos materiais apreendidos nas fases anteriores permitiu que a polícia conseguisse chegar ao topo do esquema, dentro da hierarquia do grupo. Foi possível mapear a estrutura de comando, identificando o suspeito de ser o líder e financiador, os seus principais fornecedores de dados, incluindo um infiltrado em bancos, e seus gerentes operacionais. Esta fase é chamada de Medici Umbra IV — CEO e Insider, justamente por conta dos principais investigados.
Chamado de CEO, um dos investigados é um empresário de 39 anos de Barueri (SP), apontado como o "cérebro" e financiador de toda a operação. Conforme a polícia, ele não executava pessoalmente as invasões, mas contratava e pagava criminosos especialistas em tecnologia — como um programador preso numa operação anterior contra golpes — a fim de obter e programar dados de forma ilícita para posterior revenda. Os dados eram utilizados, segundo a investigação, para os mais variados crimes virtuais. Entre eles, o golpe contra os médicos no Rio Grande do Sul, que deu a origem à investigação.
— No curso da investigação, a gente conseguiu atingir desde a ponta do iceberg, que são os golpistas, que realizam, executam os golpes, até a estrutura logística por trás desse ramo de crime, que são os golpes virtuais. Atingindo desde o painelista, que é aquela pessoa que automatiza grupos de Telegram e vende acessos aos golpistas, para que tenham dados das vítimas, até o hacker, que rouba dados em plataformas governamentais e, por último, agora, quem financiava essa estrutura para que hackers roubassem os dados — afirma o delegado Eibert Moreira Neto, diretor do Departamento de Repressão a Crimes Cibernéticos da Polícia Civil.
A investigação identificou um esquema que está sendo chamado de "lavagem de dados". Isso porque, neste caso, segundo a polícia, esse empresário patrocinava os ataques hackers nessas plataformas de dados para posteriormente juntar a outros bancos legalizados.
Assim, eles potencializam os dados e revendem as informações para empresas que vendem créditos, vendem consórcios. Essas bases servem para alimentar esse ramo de venda de produtos e serviços, omitindo, de certa forma, de onde vieram esses dados
EIBERT MOREIRA NETO
Delegado de Polícia
O empresário foi flagrado em áudios negociando a compra de dados bancários. Além dele, a polícia tem como alvo em Brasília (DF) um homem de 31 anos. Ele é funcionário de uma empresa de tecnologia da informação, que presta serviços para diversas instituições financeiras. Segundo a polícia, ele é suspeito de utilizar o seu acesso profissional para extrair dados sigilosos (bases de consórcios) diretamente dos sistemas bancários. Os nomes dos investigados não foram divulgados pela polícia.
Outros alvos
Além das ordens contra os dois alvos principais, a polícia cumpre em Franca (SP) mandado contra um homem de 21 anos. Ele é apontado como um dos fornecedores de APIs (interfaces de programação de aplicativos) de dados ilícitos. Segundo a investigação, ele usava criptomoedas para pagamento a programadores e pela aquisição de bancos de dados.
Em Barueri, a operação tem como alvo outro investigado de 18 anos. Ele atuava como gerente de operações e intermediário direto da liderança, repassando ordens, cobrando metas e discutindo detalhes técnicos, inclusive a tentativa de invasão a sistemas. Na mesma cidade, um suspeito de 28 anos foi identificado como recrutador de hackers para o grupo e como guardião, responsável pelo armazenamento de dados ilícitos.
Negociação de bancos de dados
A polícia identificou o envolvimento de um programador de 26 anos, preso em Pernambuco em setembro. Ele é suspeito de atuar como hacker e invadir sistemas governamentais. Entre os alvos dele estavam bancos de dados da Justiça. A polícia obteve áudios do empresário investigado nesta etapa, nos quais ele negocia a aquisição dos bancos de dados ilícitos com o programador:
— Cadê as, as bases de consórcio? As bases de consórcio chegam a valer R$ 20 mil, R$ 30 mil. Cadê as bases? Me manda as bases. Eu preciso olhar isso para mandar pro nosso cliente, para ele visualizar se ele vai, vai ter interesse em comprar. Isso é aquisição direta.
A conversa segue:
— Pode ter certeza que tem base que vale até R$ 1 milhão. Entende? Tudo depende do que tem de retorno, qual a quantidade de linhas, o que que é o material. Por que material velho o mercado já tá cheio. Quem trabalha com isso aí hoje, ele não confia em nada, porque ninguém tem base nova. Se você tá dizendo que tem, eu quero ver... E o cliente, ele paga R$ 1 milhão, R$ 500 mil, paga o que for necessário se a informação for verídica, tá bom?
O programador então responde:
— As de consórcio que eu peguei tinha de 2018, aí tô extraindo hoje da Fazenda, (cita três bancos).
Em outra conversa obtida, em 10 de setembro, o hacker envia a mensagem abaixo para o investigado de Brasília, identificado como "insider":
"Oh vê se tu consegue as database de consórcio ai tu manda pra mim que eu vou tentar fazer uma ligação aqui e tentar apresentar elas. Manda umas amostras também e o download dela. Eu vou fazer uma ligação aqui, agora. Quais são os bancos mesmo?"
O investigado de Brasília responde:
"Lá a do (cita banco) eu já baixei, faltou (cita outros quatro bancos). Mas aí to no aguardo pô, tem que cair alguma coisa pra mim, já tem mandei um monte de base pô, vê o que tu consegue fazer aí, beleza? Mas a do consórcio tá limpinha, zero bala, acho que uma database daquela tem que ser mais de R$ 50 mil, porque tem muito dado, tem conta, tem nome CPF, tem coisa pra caramba, email, número de telefone, tudo atualizadinho".
Em outro trecho de áudio obtido pela polícia, os investigados trocam novas mensagens sobre o esquema criminoso, em que relatam que seriam pagos R$ 15 mil para cada base de dados ilegal entregue:
— Essas bases aí da, do consórcio, eu tenho um cliente pra aquisição delas, mas tem que entregar até amanhã. Então, o que estamos dizendo? Você vai receber R$ 15 mil por uma base do (cita banco), mais 15 do (cita banco), mais 15 do (cita banco). Cada uma delas vai ser vendido por R$ 45 mil. Então, meu irmão, se você tiver que rodar a noite aí sem dormir pra resolver isso, que resolva, pra que amanhã cedo eu sente com o cliente e feche esse negócio e a gente fique bem com relação a isso, tá bom?
Fases anteriores
A Operação Medici Umbra teve três fases anteriores. Ao menos 15 pessoas foram presas de forma preventiva ao longo da investigação.
Família do crime
Em 17 de junho, a Delegacia de Repressão a Crimes Patrimoniais Eletrônicos do RS deflagrou a primeira fase da Operação Medici Umbra em São Paulo contra os suspeitos de integrarem a mesma quadrilha.
Foram cumpridos cinco mandados de prisão preventiva e três de busca e apreensão. A investigação apontou uma mulher de 28 anos como a líder deste grupo. Ela tem passagem pela polícia por estelionato mediante fraude eletrônica em Pernambuco e no Amazonas.
Também foram alvo dos mandados de prisão preventiva o companheiro dela de 34 anos, além de seus outros dois irmãos, de 32 e 29 anos, e o cunhado de 34 anos.
— São cinco pessoas de uma mesma família e todos eles são especializados em praticar golpes em ambiente virtual. É a verdadeira família do crime — afirmou o delegado Eibert Moreira Neto.
Segundo o delegado João Vitor Heredia, da Delegacia de Crimes Patrimoniais Eletrônicos, o grupo invadia a conta de e-mail das vítimas, depois conseguia, com isso, acesso à conta do gov.br.
— Nas contas gov.br, essa organização criminosa tinha acesso a uma grande massa de documentos pessoais desses médicos, inclusive o Imposto de Renda. A partir desses dados, abriam contas em nomes das vítimas em bancos e corretoras. Então, buscavam fazer transferências das contas verdadeiras para as contas novas abertas a partir da fraude — explica o delegado.
O nome de Medici Umbra significa "a sombra dos médicos", em alusão aos criminosos que agiam como espécie de sombras, utilizando a identidade e a reputação de médicos para cometer os crimes.
Sósias e inteligência artificial
Em 12 de agosto, os policiais atacaram outro braço da organização, que seria responsável por conseguir "sósias" para o esquema. Foram presas três pessoas de forma preventiva e cumpridos outros três mandados de busca e apreensão em São Paulo (SP), em Ananindeua (PA) e em Vila Velha (ES).
Na capital paulista, foi alvo um homem responsável por recrutar pessoas semelhantes às vítimas e utilizar as imagens delas para a produção de documentos falsos. Segundo a polícia, o grupo também fazia uso de inteligência artificial para alterar as imagens dessas pessoas, para que elas ficassem mais parecidas com os médicos. Eles conseguiam inclusive passar por verificações de biometria facial com o uso de selfies alteradas.
— Nós tínhamos esse indivíduo em São Paulo, que cooptava moradores de rua que tivessem alguma semelhança com as nossas vítimas aqui no RS e, com emprego de inteligência artificial, modificavam os rostos dessas pessoas para que ficassem parecidas com as nossas vítimas — explica Moreira Neto.
Hacker preso
O alvo da terceira fase da investigação foi um homem de 26 anos, morador de Porto de Galinhas (PE) e responsável por invadir sistemas governamentais. O hacker foi um dos presos na operação. Entre os alvos dele estavam bancos de dados da Justiça.
Durante a investigação, os agentes apreenderam documentos que indicam armazenamento de informações sigilosas da Justiça e um arquivo com 239 milhões de dados de chaves Pix.
