This post is also available in: Português
Nos Estados Unidos, é intrigante a facilidade com a qual é possível criar pedidos falsos de auxílio emergencial pela pandemia. O que o Brasil pode fazer para evitar o problema?
Quando um método eficaz de ganhar um dinheiro desonesto se torna amplamente conhecido, fóruns e redes de bate-papo clandestinos tendem a se multiplicar, principalmente com mais e mais fraudadores entrando no esquema. E é exatamente isso que parece estar acontecendo em vários estados dos EUA, que lutam para combater milhares de falsas reivindicações da Assistência de Desemprego Pandêmica (PUA, na sigla em inglês). Sem querer, vários estados estão facilitando o acesso de criminosos ao vazar dados pessoais de seus cidadãos, a partir dos próprios sites criados para registrar os pedidos.
Na semana passada, o Serviço Secreto dos EUA alertou para uma “fraude maciça” contra os programas estaduais desse benefício, observando que registros falsos de uma organização criminosa nigeriana podem acabar custando centenas de milhões de dólares em perdas.
Desde então, vários fóruns criminosos on-line e canais de bate-papo focados em fraudes financeiras estão repletos de posts que vendem tutoriais sobre como desviar esses fundos. Por aproximadamente US$ 50, é possível aprender a burlar esse sistema em diferentes estados, seguindo instruções sobre a melhor forma de evitar que a solicitação fake seja sinalizada como suspeita. Para piorar, alguns governos não estão se esforçando o suficiente para combater o problema.
Um investigador federal, que está ajudando a rastrear a origem desses crimes, disse que muitos estados têm poucos controles para identificar padrões em registros fraudulentos, como pagamentos múltiplos indo para as mesmas contas bancárias – ou registros feitos para pessoas diferentes tendo o mesmo e-mail.
Em muitos casos, os depósitos estão entrando em contas nas quais o nome do beneficiário não corresponde ao nome da conta bancária. Ao mesmo tempo, muitos estados reduziram drasticamente a quantidade de informações necessárias para solicitar com sucesso o pedido de benefício.
“Os mais atingidos são os estados que não perguntam onde você trabalhou”, disse o investigador. “Antes, eles tinham uma lista completa de perguntas sobre o seu empregador anterior, e você precisava mostrar que estava tentando encontrar trabalho. Mas agora, devido ao agravamento da pandemia, não existe esse requisito. Eles eliminaram todos os controles que tinham, e agora estão apenas retirando dinheiro com base no número do Seguro Social, nome e alguns outros detalhes”.
Mina de ouro do mal
No início desta semana, a empresa de segurança de e-mail Agari detalhou uma operação de fraude ligada ao grupo de crimes cibernéticos chamado de Scattered Canary. Há informações de que o grupo tem apresentado centenas de reivindicações bem-sucedidas, todas usando basicamente o mesmo endereço de e-mail.
“Scattered Canary usam ‘contas pontuais’ do Gmail para criar contas em massa em cada site”, escreveu Patrick Peterson, da Agari. “O grupo conseguiu criar dezenas de contas nos sites oficiais dos governos estaduais”.
O problema é que eram poucas as informações necessárias para enviar uma solicitação, sendo apenas o nome, data de nascimento, endereço e número do Seguro Social. Nesse contexto, em um mês o Scattered Canary conseguiu pelo menos 174 pedidos fraudulentos de desemprego – somente no estado de Washington. Essas reivindicações permitiam receber até US$ 790 por semana, totalizando mais de 20 mil dólares em um período de 26 semanas.
Defeitos nos sites oficiais
Vários estados sofreram problemas de segurança nos sites da Assistência de Desemprego Pandêmica (PUA), que expuseram detalhes pessoais de cidadãos que estavam solicitando o seguro. Talvez o exemplo mais intrigante venha do estado de Arkansas, cujo site expôs os números de registro no serviço social e contas bancárias de cerca de 30.000 pessoas.
Um jornal local alertou as autoridades depois de ouvir de um programador que estava solicitando o benefício de forma autêntica, e descobriu que podia ver os dados de outros candidatos simplesmente alterando uma pequena parte do URL do site. Os pedidos dele para resolver o problema foram ignorados e, quando publicados no jornal, o governador do estado acusou o programador de infringir a lei.
Como evitar
No Brasil, quando os cidadãos se deparam com grandes formulários solicitando dezenas de informações, é comum ouvir reclamações sobre o trabalho que isso exige. O exemplo norte-americano mostra como é necessário haver uma quantidade de dados que permita identificar com precisão uma pessoa nos registros, evitando pagamentos indevidos.
A questão é que, em alguns casos, no Brasil as restrições são tantas que o oposto pode estar acontecendo: gente de menos recebendo benefícios que existem por conta da pandemia. Entretanto, os casos que acontecem nos Estados Unidos servem de alerta para duas situações difíceis de equilibrar: a necessidade de tornar mais ágeis os pedidos e pagamentos, mantendo ao mesmo tempo seguros e eficientes os sistemas que gerenciam todo o processo.
This post is also available in: Português
