Por Threat Intelligence Team

1. Introdução

Um ponto importante para a monetização dos golpes financeiros aplicados por estelionatários é onde receber o valor transferido pelas vítimas, sejam elas pessoas que estão tentando adquirir algum produto ou serviço, ou pessoas que estejam sofrendo extorsão mediante sequestro relâmpago, conhecido, atualmente, como ‘golpe do Amor’ ou ‘sequestro do Pix’. Nesse cenário, entra o uso das contas correntes digitais de “laranjas” ou apenas “lara” (Imagem 1) como costumam se referir às contas abertas em nome de terceiros.

Imagem 1. Anúncio de vendas de contas “Laras” no grupos do Telegram.

 

2. O laranja voluntário

2.1 Panorama

O que são laranjas voluntários? São indivíduos que, conscientemente, repassam dados de suas contas correntes digitais para criminosos utilizarem para recebimentos de valores de atividades ilegais (Imagem 2).

Imagem 2. Laranja voluntário se voluntariando para alugar conta no grupo do Facebook.

Apesar de terem consentido em repassar os dados bancários para obter alguma vantagem, muitas vezes, eles não sabem a real natureza do dinheiro que será depositado em suas contas, podendo ser dinheiro de transações fraudulentas ou até relacionados com o tráfico de drogas. O acordo entre as partes, em geral, é de que uma menor porcentagem do valor ficará com o titular da conta corrente utilizada para o recebimento.

Existem grupos em redes sociais em que a oferta de “aluguel” destas contas é abertamente divulgada e negociada (Imagem 3).

Imagem 3. Laranja voluntário emprestando conta para transações fraudulentas no grupo do Facebook.

2.2 Valores

Não há um valor pré-estabelecido para o aluguel das contas correntes digitais. É comum ver uma negociação de porcentual. Vimos anúncios de pessoas buscando interessados em emprestar a conta com uma taxa de 45% do valor depositado (Imagem 4), enquanto os que ofertam suas contas não deixam claro o porcentual de sua taxa (Imagem 5). Acreditamos que essa negociação possa chegar a uma média de divisão meio a meio entre o estelionatário e o dono da conta.

Imagem 4. Anunciante em busca de voluntário para depositar em conta transações fraudulentas, dividindo o percentual do dinheiro que entra na conta.
Imagem 5. Laranja voluntário alugando conta pra ganhar um percentual do dinheiro.

2.3 Oferta e demanda de aluguel de contas para transações

Problemas financeiros podem ser os motivadores da oferta de contas correntes digitais pessoais para o uso em atos desconhecidos. Porém, alegar desconhecimento da finalidade não isenta a responsabilidade. É bem comum encontrar em grupos da rede social Facebook (Meta) pessoas oferecendo sua conta para aluguel. Há casos em que o locador exibe até os cartões, todos em seu nome, das contas que tem para alugar, apelando para o fato de que precisa pagar suas contas em aberto (Imagem 6).

Imagem 6. Laranja voluntário buscando alguém que alugue sua conta para poder pagar seu aluguel.

Pouco menos comum do que pessoas que queiram alugar suas contas são os criminosos que procuram por indivíduos que aceitem participar de esquemas emprestando a conta para receber algum ganho do que for depositado nela. Os anunciantes não deixam claro qual a origem do dinheiro (Imagem 7).

Imagem 7. Anunciante em busca de Laranja voluntário para depósito com metade dos ganhos.

2.4 Busca por voluntários para emprestar o rosto (uso de dados de terceiros)

Uma outra modalidade de laranja voluntário é o que pode ser chamado de “rosto laranja”, no qual o fraudador coopta pessoas que terão seus rostos usados para validar a abertura de contas correntes digitais (Imagem 8). Com o uso de documentos falsos, criados utilizando a fotografia da pessoa cooptada, o fraudador abre a conta e gera um link para que o laranja faça a validação de prova de vida e confirmação de imagem para abrir a conta. Com a conta aberta o fraudador solicita empréstimos e, após receber os valores, promete pagar R$2.000,00 (dois mil reais) por cada contrato de empréstimo aprovado (Imagem 9).

Imagem 8. Fraudador em busca de pessoas para uso de suas imagens.
Imagem 9. Fraudador em busca de rosto laranja e pagando por cada foto ou vídeo.

3. O laranja involuntário

3.1 Panorama

Um comércio bastante movimentado é o da venda de “contas laranja” ou apenas “lara” (Imagem 10). Cibercriminosos mais experientes e persistentes conseguem formas de abrir contas correntes digitais com dados de terceiros sem que estes terceiros tenham ciência do uso indevido dos seus dados pessoais.

Imagem 10. Cibercriminoso vendendo contas correntes criadas em nome de terceiros.

3.2 Valores

Por ser um comércio bem divulgado os valores das contas variam de vendedor para vendedor, pois muitos levam em conta as referências pessoais de bom vendedor que possuem dentro dos grupos e canais em que acontecem as transações. O valor inicial divulgado para uma conta digital é de módicos R$ 20,00 (Imagem 11), enquanto o maior valor visto nos anúncios foi de R$ 250,00 (Imagem 12).

Imagem 11. Cibercriminoso vendendo contas laranja, com fotos e endereço dos donos.
Imagem 12. Cibercriminoso vendendo contas laranja por até R$250,00 no grupo do Facebook.

3.3 Roubo e uso indevido de documentos de terceiros

Uma das formas utilizadas pelos fraudadores no momento da abertura das contas é o uso indevido de dados pessoais de terceiros, incluindo fotos de documentos e fotos das pessoas segurando seus documentos próximos ao rosto, conhecido no meio como “Kit Bico” (Imagem 13).

Imagem 13. Fraudador vendendo “Kit Bico” com ou sem selfie.

Estes documentos são obtidos de diversas formas. Uma das formais mais conhecidas são os golpes de engenharia social, na qual o atacante solicita as fotos e dados completos ao ofertar, por exemplo, uma falsa vaga de emprego, ou podem, também, serem obtidos através de acesso indevido à base de dados expostas na internet (Imagem 14).

Imagem 14. Cibercriminoso vendendo dados expostos de vítimas.

De posse desses dados e fotos eles ficam buscando por bancos que tenham menos mecanismos de segurança implementados no onboarding de novos clientes.

3.4 Interesse em bancos com menos fatores de segurança

Apesar de não ser uma regra, bancos digitais menores podem ter uma maturidade de segurança baixa para a proteção de seus negócios online. Com isso, uma das principais dificuldades deles pode ser o processo de avaliação da prova de vida e titularidade do candidato a abertura de conta digital. Fraudadores costumam procurar informações sobre quais bancos estariam mais suscetíveis a falhas nos processos de abertura da conta digital (Imagens 15 e 16). É também comum ver conversas entre cibercriminosos, nas quais é discutido facilidades de onboarding de determinados bancos digitais (Imagem 17). Como também fazem a venda de esquemas em que ensinam em quais bancos e quais técnicas devem ser utilizadas para cada alvo.

Imagem 15. Fraudadores buscando informações para execução de possíveis fraudes.
Imagem 16. Fraudadores buscando informações para execução de possíveis fraudes.
Imagem 17. Fraudadores trocando informações para a execução de possíveis fraudes.

3.5 Criação de contas em CPF específico

Outra vertente das contas laranja são as contas abertas por fraudadores utilizando os dados de um terceiro, previamente, selecionado pela pessoa que está contratando o serviço de abertura de conta digital de forma fraudulenta (Imagens 18 e 19). Nesta modalidade, os “clientes” buscam por quem abra contas digitais em CPF e bancos específicos com intuitos possivelmente bem definidos. Acredita-se que essas contas solicitadas sirvam para receber transferências de fundos de contas de investimentos, corretoras de criptomoedas e também empréstimos bancários.

Imagem 18. Fraudador criando conta laranja em CPF de terceiros em específico.
Imagem 19. Fraudador ofertando a abertura de conta laranja em CPF de terceiros em específico.

Para a abertura desse tipo de conta laranja podem ser utilizados documentos editáveis que se assemelham muito ao original, ou também cópias dos documentos originais, e são enviados para os aplicativos dos bancos utilizando modificações nos aplicativos (Imagem 20) que fazem com que a galeria de imagens do celular seja aberta ao invés da câmera frontal, assim o atacante pode selecionar a imagem do documento previamente salvo no aparelho e fazer o envio para que seja validada a abertura da conta. Esse processo é conhecido entre eles como “Burlador” (Imagem 21).

Imagem 20. Aplicativos usados para burlar o processo de envio de fotos.
Imagem 21. Fraudador descrevendo pequenos detalhes do uso do “burlador”.

3.6 O uso dos “burladores de selfie”: a cereja do bolo

Com a popularização dos smartphones, os bancos se tornaram mais uma ferramenta dentro do celular e, nesse mundo digital, a abertura de conta corrente também está largamente difundida e utilizada. Assim, as relações ficaram mais distantes entre o correntista e o bancário, profissional treinado para reconhecer tentativas de fraudes e golpes. Agora, máquinas tentam identificar se realmente é uma pessoa verdadeira que está do outro lado do aparelho.

No início, a abertura da conta através do celular só solicitava uma foto dos documentos, aos poucos foi evoluindo pedindo também uma foto/selfie do titular, depois uma foto segurando perto do rosto o seu documento de RG ou CNH. Atualmente, um dos maiores avanços foi o pedido do vídeo selfie (Imagem 22), no qual instruções aleatórias são enviadas para a pessoa que está tentando abrir a conta, tal como piscar, sorrir, olhar para cima ou para os lados e também mover a cabeça nas direções indicadas.

Imagem 22. Fraudador buscando informações e informando sua limitação de ter apenas a imagem estática.

Para burlar o envio dos documentos e fotos os fraudadores recorreram a aplicativos instalados no celular que interceptavam a chamada de um aplicativo de banco tentando acessar a câmera frontal e ao invés disso abria a galeria de imagens, entre eles estão: Forgery Camera, Gallery Camera e o Fake Camera. Porém, isso logo foi solucionado nos aplicativos dos principais bancos de modo que essas técnicas mais simples não funcionavam mais. Surgiu, então, entre os cibercriminosos o uso do APP Cloner, aplicativo que faz uma modificação do APK original do banco escolhido. Para isso, era necessário usar o aplicativo cuja principal função era editar as funções do aplicativo original e, assim, abrir a galeria de fotos ao invés de abrir a câmera para selfie (Imagens 23 e 24).

Imagem 23. Conversa sobre o uso de aplicativo para burlar processo de onboarding.
Imagem 24. Fraudador vendendo “Kit Bico” e também ofertando burladores de selfie.

Mais adiante foi visto o uso de emuladores de celular, entre eles: MEmu, Android Studio, Bluestack, LD Player, para facilitar a execução das fraudes, aumentando a escala dos golpes (Imagem 25). Além dos emuladores de celular, outros aplicativos como o ManyCam, são utilizados para emular uma webcam no smartphone virtualizado. Assim, uma imagem estática pode ser enviada no lugar da foto através do aplicativo.

Imagem 25. Fraudador exibe o uso de um emulador de smartphone.

O surgimento da validação com prova de vida parecia ser um grande baque para os fraudadores, uma vez que as tecnologias conhecidas e divulgadas até o momento só facilitaram a subversão usando imagens estáticas. Veio então o uso de aplicativos que fazem a animação de fotos em tempo real, tal como o Avatarify. Agora de posse apenas de uma foto da vítima escolhida para ser o laranja, o atacante pode, utilizando seus próprios movimentos de cabeça e expressões faciais, se passar pela vítima e com isso subverter de forma definitiva o validador, trazendo vida à fotografia.

Imagem 26. Exibição de vídeo mostrando funcionando do burlador de selfie
Imagem 27. Fraudadores vendendo cursos e burladores para burlar selfie com movimento facial.

Diante deste cenário, novos desafios foram impostos para as equipes de desenvolvimento dos aplicativos dos bancos digitais. Evoluções visando identificar essas tentativas de fraudes no processo de onboarding ou formalização de empréstimos, onde estão sendo utilizados softwares citados e outros ainda não tão amplamente divulgados e assim, com base nesses conhecimentos, desenvolverem aplicações mais seguras e resilientes na tentativa de identificar as fraudes nas provas de vida remotamente, forma vital de proteger contra a abertura de contas de laranja utilizadas amplamente nos golpes atuais.