Golpes 101: um guia para proteger a sua empresa
PMEs sofrem 365 tentativas de golpe por minuto. E novas formas de tentar ludibriar o empreendedor nascem todos os dias. Conheça as principais tramoias – e as táticas para defender-se delas.
onheça o inimigo como a ti mesmo.” A citação, de Sun Tzu, provavelmente é uma das mais reproduzidas na história. Vira e mexe a frase do estrategista chinês pinta em discursos motivacionais, tatuagens de procedência duvidosa, conversas de bar, sermões paternais & derivados.
Claro, a obsessão com o trecho — e com A Arte da Guerra, tratado militar ao qual ela pertence — faz sentido. Dois milênios e meio depois, a obra ainda é uma das principais referências sobre planejamento e liderança, e um dos primeiros a abordar a importância de conhecer muito bem a ameaça antes de enfrentá-la.
Além de ser uma boa metáfora para a vida no geral, também funciona para os micro, pequenos e médios empreendedores. Esses tipos de negócios são especialmente suscetíveis a cair nos mais diversos golpes, justamente por não terem tanta estrutura para se defender ou não ter conhecimento de que são, sim, possíveis vítimas.
E o que não faltam são ameaças. A Kaspersky, empresa especializada em cibersegurança, registrou 1,92 milhões de tentativas de golpes em pequenas e médias empresas entre outubro de 2022 e outubro de 2023. São assustadores 365 ataques por minuto.
Mas nem tudo está perdido: numa pesquisa feita com 5 mil clientes, o especialista em crimes digitais Wanderson Castilho observou que, de 10 pessoas que escaparam de golpes, 8 já sabiam da existência deles anteriormente. Informação, então, é a maior arma.
Por isso, honrando a máxima de Sun Tzu, conversamos com especialistas, associações e empresas do ramo para detalhar quais os principais golpes que vêm acontecendo com os empreendedores. Vamos lá.
MEIs
Taxa fake de abertura
Neste golpe, estelionatários montam sites com URLs parecidas com a do governo (https://www.gov.br), decorados com logos oficiais, e pedem um pagamento de taxa para que o empreendedor realize a abertura da empresa.
Boletos de Troia
Esses boletos geralmente têm o logo da Caixa Econômica Federal — se for uma cópia do DAS-MEI, pago mensalmente pelos microempreendedores, também vem acompanhado do logo do Simples Nacional. Chegam em PDF no WhatsApp ou no e-mail. Eles capricham na linguagem, usando termos supertécnicos (raramente utilizados por órgãos oficiais), e oferecem apenas a opção de pagamento por Pix.
Associação fantasma
Também se trata da cobrança de taxas falsas por boleto – que pode chegar por meios eletrônicos ou pelo correio mesmo. A diferença é que nesses casos o golpista não tenta se passar pelo governo, mas por alguma associação fictícia de empresas, cobrando uma taxa de adesão e dando a entender que é obrigatório ser filiado para manter o CNPJ.
Pendências misteriosas com o Leão
Golpistas mandam um e-mail demandando alguma correção no DASN-SIMEI — a Declaração Anual de Faturamento para microempreendedores, que serve para informar seu faturamento do ano anterior. Isso ou qualquer alerta de pendência com a Receita Federal. Além de exigir dados pessoais e bancários do cidadão (como CPF, RG, ou número do cartão, por exemplo), essas mensagens também podem “redirecionar” o empreendedor por meio de um link contaminado, que pode infectar seu computador e roubar informações confidenciais (mais sobre isso adiante).
Empréstimos de araque
Essas tentativas são feitas por todos os lados: sites falsos, WhatsApp, SMS, ligação, e-mail, sinal de fumaça… Os golpistas oferecem valores de empréstimos a taxas atrativas e condições flexíveis — e somem assim que conseguem seus dados bancários para realizar a transferência do valor.
Para não cair nessa
Anote aí: só existe um lugar para fazer a formalização da sua empresa: o https://www.gov.br. E é sempre totalmente gratuito. Também não é obrigatório contribuir com nenhuma associação depois de formalizar sua empresa — só se você quiser, claro.
Pelo seu CNPJ, ao acessar o site do governo, você tem acesso a todos os pagamentos que deve fazer. Caso tenha um contador, ele irá te enviar diretamente todos os boletos necessários para o pagamento. E relembrar é viver: o microempreendedor tem apenas uma taxa mensal a pagar, o DAS (que custa de R$ 70,60 a R$ 76,60, a depender da atividade), e anualmente o DASN-SIMEI, que comentamos anteriormente. Fora isso, é golpe!
Sobre as mensagens diretas, o Governo Federal e associações de prestígio (como o Sebrae e Serasa, por exemplo) não usam o WhatsApp de forma ativa. Ou seja: a não ser que você tenha feito um aceno prévio e autorizado esse método de comunicação pelo site, eles não entrarão em contato com você diretamente. Quem inicia o papo é sempre o empreendedor, acessando um link que está disponível no site oficial das associações. Por isso, desconfie de comportamentos de cobrança “pessoa física” (naquele estilo bem de agiota mesmo) quando o assunto é o seu CNPJ.
Hoje, as empresas estão utilizando cada vez mais ferramentas “informais” — como o próprio WhatsApp — para entrar em contato e oferecer produtos e serviços ao consumidor, é verdade. Nesse caso, fique de olho no famigerado selinho verde. Ele serve para identificar que aquela conta comercial foi autenticada pela própria plataforma de mensagens. Governo Federal, Sebrae e Serasa possuem.
Em relação a e-mails e SMSs, o ideal mesmo é descartar qualquer um com aviso de pendência no CNPJ. A Receita Federal não envia mensagens sem autorização prévia do contribuinte — muito menos entra em contato direto por telefone.
No caso de empréstimos, priorize negociações presenciais, e busque instituições consolidadas no mercado. Caso decida fazer o processo pela internet, tenha aquele mesmo cuidado com as URLs, certificando-se de que é o site oficial da instituição financeira. É importante que você desconfie de propostas com taxas muito atrativas e com condições fáceis de aceitar. Parece bom demais para ser verdade? Provavelmente é mesmo.
Sim, sabemos: depois de ler os detalhes dos golpes, evitá-los pode parecer óbvio. Mas lembre-se de que, em todos esses casos, os criminosos apelam para uma tática extremamente eficaz: o senso de urgência.
Para um empreendedor que dorme e acorda preocupado com as finanças do seu negócio, receber uma mensagem em tom apocalíptico, que ameaça a integridade do CNPJ, acaba mexendo na parte emocional, a parte racional nem fica sabendo. Justamente por isso, os valores cobrados geralmente não são altos — no susto, fazer o pagamento rapidinho para se livrar da pendência parece ser a melhor estratégia de lidar com o problema.
Wanderson Castilho conta que sempre passa para os clientes a regra dos 3Ps: pare, pense e pesquise. Quando surgir alguma pendência, irregularidade ou taxa da qual você não tinha conhecimento, pare tudo o que está fazendo. Antes de pagar o valor, firmar o empréstimo ou seja lá o que for, dê alguns minutos do seu tempo para pensar: eu já recebi essa cobrança antes? De onde está vindo? Esses juros estão compatíveis com os do mercado?
Por fim, pesquise se aquilo realmente faz sentido. “Com os meus clientes, percebo que a esmagadora maioria dos golpes teria sido evitada com essa regra simples. Bastam 10 minutos do seu tempo para driblar o prejuízo financeiro e a dor de cabeça”, diz Castilho.
PMEs
Claro, não só de microempreendedor vive o inimigo. No caso das pequenas e médias empresas, ainda que a maior parte também dependa de deslizes humanos para acontecer, os golpes são um pouco mais complexos.
Aí entramos de cabeça no campo da segurança digital. Outro levantamento realizado pela Kaspersky mostrou que 27,5% dos empreendedores não tinham a cibersegurança como prioridade no orçamento.
Para Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, o maior desafio da cibersegurança no país é cultural. “As empresas se comparam com grandes organizações, concluindo erroneamente que, por serem pequenas, não são tão atraentes”, explica.
Mas o ponto comparativo não deve ser as empresas gigantes, e sim o cidadão comum. Pensando na conta bancária de uma pessoa física, a movimentação financeira de uma empresa (independentemente do tamanho que tenha) faz os olhos do cibercrime brilharem. Vamos conhecer as táticas mais comuns a seguir.
Rouba-senha
Você já deve ter ouvido esse termo em algum momento: “phishing”. É uma variação da palavra “pescar” em inglês. Isso porque os golpistas enviam e-mails que emulam alguma atividade rotineira da empresa — como pagamentos, comunicados, pedidos de atualização de dados — e tentam induzir o funcionário a morder a isca, clicando em um link adulterado. Esse link instala um software maligno (malware, aos mais íntimos) no computador da empresa, e consegue acesso às senhas, consequentemente, outros dados sensíveis.
Ransomware
Em vez de explorar eventuais vacilos dos funcionários, os criminosos miram nas vulnerabilidades dentro da própria estrutura cibernética da firma, como senhas fracas (que podem permitir o acesso à VPN) e programas desatualizados ou pirateados.
A palavra “ransom” (resgate, em inglês) já diz tudo sobre a praga. Os criminosos buscam acesso ao seu computador por meio dessas pontas soltas e, quando conseguem, bloqueiam o sistema da empresa e cobram para liberá-lo. É como um sequestro mesmo.
Ameaças internas
Esse golpe também envolve ação humana. Mas o criminoso não vem de fora, e sim de dentro da empresa. Funcionários com intenções maliciosas podem roubar dados corporativos (como listas de clientes, por exemplo), e vender a outras empresas ou golpistas interessados. Isso compromete não só as informações do negócio, mas as dos clientes também.
Táticas de defesa
Apesar de serem mais atrativas do que pessoas físicas ou MEIs, as PMEs também têm mais condições de se proteger. Vamos, então, às boas práticas.
Evite senhas baseadas em informações óbvias e fáceis de encontrar, como seu nome, sua data de nascimento, ou telefone. E, claro, não use a mesma chave para toda porta.
Para não esquecer, você pode anotá-las em uma nota protegida por senha no seu celular. Há também programas de gerenciamento de senhas, geralmente pagos, que reúnem todas as palavras-chave num lugar só – e que dá para acessar apenas após um processo de autenticação de dois fatores. Assim, você não precisa se preocupar em lembrar cada senha, só da chave-mestra.
A equipe da Kaspersky verificou que, dos 18 softwares criminosos mais comuns contra pequenas e médias empresas, 8 deles envolvem pirataria. Ainda que possa parecer uma economia de grana naquele momento, esse é um daqueles casos em que o barato sai muito, mas muito caro. O ideal é buscar alternativas originais e em linha com as finanças da empresa, e manter os programas atualizados, já que eles aprimoram sua segurança com o tempo.
O ideal mesmo é bloquear as tentativas antes mesmo que elas cheguem em você ou em um de seus funcionários. Procure, então, instalar uma boa solução de segurança para bloquear o acesso a mensagens ou links maliciosos. Existem diversas alternativas no mercado voltadas às pequenas e médias empresas.
E sempre use uma VPN (Virtual Private Network), especialmente quando estiver acessando algo confidencial da empresa (seja dentro ou fora do escritório). Elas criam uma conexão segura entre a sua máquina e o sistema da companhia.
Em relação às fraudes internas, dá para limitar os acessos às informações importantes da empresa apenas para funcionários específicos, que precisam impreterivelmente daquelas informações para trabalhar.
Além disso, é recomendável que todos os funcionários passem por um treinamento mais profundo em relação à segurança digital. As empresas que vendem softwares de segurança oferecem esse tipo de curso.
Caí num golpe. E agora?
O primeiro passo é registrar um Boletim de Ocorrência na delegacia e, em casos mais graves, formalizar junto à Receita Federal um processo para “cancelamento de ofício do CNPJ por vício” (perdão pela rima). Ele serve para deixar registrado no governo que informações da sua empresa foram usadas indevidamente, e pode ser feito com a ajuda de um advogado.
Nos golpes com boletos falsos, o Sebrae recomenda fortemente que você entre em contato pela ouvidoria do site e faça uma denúncia, detalhando exatamente o que aconteceu. A associação divulga regularmente novos conteúdos gratuitos contando sobre novos golpes que estão acontecendo no mercado. O azar de um pode ser a sorte de outro. No caso de ciberataques, como o ransomware, o empreendedor que queira salvar o sistema da empresa (sem desembolsar a grana requisitada) pode contratar um software de resgate.
Segundo a Kaspersky, a solução mais completa para esse tipo de situação é a de “operações de segurança de detecção e resposta de endpoint”, ou EDR. Empresas de cibersegurança oferecem esse serviço. Ele funciona como um antivírus tradicional, só que mais completo. O software é instalado no sistema da companhia para combater a ameaça, investigando como ela entrou, onde esteve, o que está fazendo agora e, claro, o que é possível fazer para tirar o invasor do controle.
No mais, é implementar tudo aquilo que já conversamos aqui e partir para a guerra. Continue se atualizando sobre novos golpes e comece a se munir de uma boa solução de segurança digital, senhas mais fortes, funcionários treinados. É trabalhoso, mas fundamental para preservar duas das coisas mais importantes para o empreendedor: seu negócio e a sua privacidade. Sun Tzu ficaria orgulhoso.
*Contribui Pollyana Dietz, analista de comunicação do Sebrae e Caio Rocha, diretor de produtos da Serasa Experian.