Topo

'Eu vendo segurança': ele espiona e hackeia suspeitos de fraudar empresas

Luiza Sigulem/UOL
Imagem: Luiza Sigulem/UOL

De Tilt, em São Paulo

20/03/2023 04h00

Ao longo de seus 34 anos, Fernando Camargo Cândido viu muita gente passando a perna nos outros. Só não imaginava que construiria seu negócio inteiro em cima dessas rasteiras. E seria bem pago por isso. O suficiente para viajar todo final de semana, passear em uma moto Yamaha XJ6 banhada a ouro e receber seus clientes em um escritório com maçanetas de mármore, com uísque Johnny Walker Blue Label.

Webdesigner e desenvolvedor de apps, o programador foi para um ramo menos popular do mundo computacional — o "pentesting", um trabalho feito normalmente por hackers éticos, contratados para detectar e mostrar as brechas em empresas e indicar como corrigi-las antes que criminosos as explorem.

Para a maioria dos "pentesters", o trabalho tem pouca adrenalina. São longas as horas percorrendo linhas de código. No caso de Fernando, o computador é só o começo. Ele se infiltra em empresas, instala câmeras espiãs, microfones ocultos, escutas telefônicas e até rastreadores. Muitas vezes, olha no fundo dos olhos do suspeito. Tudo para coletar provas das fraudes.

Sistema não funciona se o resto não funcionar

Natural de São Paulo, Cândido viveu exposto a computadores desde cedo. E teve uma introdução ao seu futuro ganha-pão aos 12 anos, no jogo de RPG online Tibia. Um jogador o levou até uma armadilha, que o fez perder todo o progresso no game.

"Fiquei muito bolado, não vou mentir. Primeiro eu falava, 'que filho da puta esse cara, né?'. Depois, quis aprender como funcionava."

A vida profissional, no entanto, só começou aos 16 anos. Dono de lojas de manutenção de eletrônicos em Embu das Artes, cidade da região metropolitana da capital paulista, o pai o inscreveu em diversos cursos básicos para aprender webdesign e programação web.

"Ele sempre me orientou assim: ?Eu só te dou ajuda até os 18 anos?."

Em 2009, já tinha clientes. Montava sites e cuidava de redes sociais para pequenos negócios na zona leste de São Paulo. Cobrava de R$ 600 a R$ 1,2 mil mensais. Após poucos meses, porém, os clientes dispensavam seus serviços. Mesmo com o trabalho entregue corretamente, os sites não davam o lucro esperado. E os empresários culpavam Cândido.

"O cliente não monta um site para perder dinheiro. Mas, quando ele cria e a grana não entra, acha que a culpa é minha. Mas TI não funciona se o resto não funcionar", explica.

Foi suspeitando que o problema estava no negócio que descobriu a primeira fraude em seus clientes, uma empresa de serviços de motoboy. Muitas pessoas atendidas por um certo entregador só ligavam uma vez. Vendo o padrão se repetir por semanas, ligou para o motoboy suspeito e simulou ser um cliente reclamando do preço. Na resposta do entregador, a prova da fraude:

"Faz essa corrida agora por R$ 20. Na próxima, me chama direto no meu celular. Faço por R$ 15."

Fraudes não impactavam só o cliente

Em 2013, ele mudou seu modelo de negócio para atender lojas virtuais por serem mais rentáveis, pois pagavam um percentual sobre as vendas online. Chegava a tirar até R$ 35 mil mensais. Em alguns meses, porém, seu faturamento chegava a ser R$ 10 mil menor, devido à queda do resultado dos sites.

A partir daí, toda vez que topava com inconsistências no retorno dos clientes, buscava entender se o problema não estava, na verdade, no sistema utilizado. Se encontrasse a falha, corrigia. No meio do caminho, porém, acabava descobrindo que o erro era humano e intencional.

"Quando essa porcentagem [de faturamento menor] veio pra mim, percebi que deveria observar todas as áreas da empresa. Se alguma tivesse roubando, eu também perderia dinheiro. Eu nunca posso acusar alguém de roubo. Então sempre dou um toque, uma sugestão," explica, apontando que isso sempre leva a uma investigação.

Em uma destas oportunidades, Cândido trabalhou com uma distribuidora de bebidas, que tinha lucro abaixo do esperado para alguns lotes de destilados. Acontece que funcionários da área logística adulteravam a data de descarte do produto e inseriam no sistema de controle um prazo inserido dois meses menor que o real.

Como era praxe a empresa descartar as bebidas vencidas, os funcionários faziam isso para levar para casa produtos em bom estado. Assim, podiam vender tudo no mercado paralelo.

Cândido detectou a fraude ao auditar o site da empresa e cruzar os dados diretamente com a fornecedora. Como a data de validade do lote de bebida era diferente, encontrou o esquema.

Engenheiro social por acidente

[object Object] - Luiza Sigulem/UOL - Luiza Sigulem/UOL
Fernando Camargo Cândido, pentester, em seu escritório no centro de São Paulo
Imagem: Luiza Sigulem/UOL

O que era só precaução virou negócio. Satisfeitos por descobrirem fraudes, os clientes indicavam Cândido a conhecidos que suspeitavam de fraudes. A partir daí, não bastavam provas coletadas por telefonema ou em gráficos e relatórios. Ele passou a se infiltrar nos locais de trabalho.

Os serviços começaram simples: na hora do almoço, fingia ser um técnico de manutenção e instalava um "keylogger", programa que espiona tudo o que é digitado, no computador dos suspeitos. Outras vezes, simulando ser um funcionário novo na empresa, seguiu colegas para instalar microfones nos locais onde os fraudadores conspiravam.

Foi assim que se flagrou empregados se reunindo com fornecedores de produtos da empresa para inflar preços artificialmente e ficar com o sobrepreço.

Nesta mesma época, o programador esbarrou no conceito de Engenharia Social, durante a graduação em marketing, na extinta Faculdade Flamingo. Popular entre golpistas, a prática é uma manipulação psicológica para extrair informações ou induzir a ações. Mas ele não gosta da associação negativa.

"É exatamente o que eu fazia antes, só que sem este nome. Mas é inverso: eu uso a engenharia social para descobrir mentirosos.", argumenta.

O golpe é como um jogo

Com casos mais complexos batendo à porta, ele passou a seguir mais protocolos, que iam desde checar e-mails até analisar equipamentos de vigilância. E produzir a própria tecnologia: para investigações maiores, produziu grampos e câmeras com placas programáveis em Arduíno.

Hoje, ele não faz auditorias sozinho. Atua com uma equipe de três pessoas, que caçam inconsistências em tabelas, relatórios e outros documentos. O corpo a corpo presencial ainda é com ele.

A versatilidade também o fez repaginar o guarda-roupa. Para lidar com diferentes classes sociais, aprendeu a se vestir de todo jeito, "de malandro a playboy".

Mesmo com conhecimento prático do mundo das fraudes, nem ele é imune de ser enganado. E confessa: já caiu em mais de uma. "Desde compra de passagem aérea em site falso até desenvolver página para cliente que nunca me pagou", lamenta. Mesmo frustrado, ele admite que não pensa em dar o troco.

"Para mim, a fraude é igual a um jogo. Quando eu caio, estudo bem o que fez elas darem certo."

Fico triste quando pego alguém em fraude

A linha de trabalho que Cândido seguiu pode até parecer coisa de espião ou detetive. Para ele, a semelhança para por aí mesmo:

"Detetive parece uma prática ostensiva, de agressividade. Não é isso que eu faço. Eu sou consultor de tecnologia. O que eu vendo é defesa, é segurança", argumenta.

No entanto, por trás da postura investigativa há um homem desapontado ao lidar com tantas fraudes e esquemas de corrupção. Isso é especialmente trágico, diz ele, quando os investigados possuem relações pessoais com os clientes. A revelação não resultará apenas na demissão, mas também causará uma crise de confiança.

"O cliente muitas vezes não sabe ver todas as áreas. Ele só é empresário. Então ele coloca pessoas que ele confia. Então ele confia no rapaz do financeiro, da logística, da contabilidade."

Em um dos casos, ele instalou câmeras ocultas na casa de pessoas que suspeitavam que a trabalhadora doméstica cometia pequenos furtos. O flagra do roubo veio. A família e a empregada mantinham relação de longa data. "Até doações eles já tinham feito para ela", diz.

"Sinto tristeza quando vejo que pessoas muito bacanas cometem irregularidades para tirar vantagem de coisas simples. E fico mais triste ainda porque, às vezes, as pessoas que estão acima delas são pessoas que ajudaram, fizeram de tudo por elas", lamenta.