Seus dados estão a salvo de ataques cibernéticos?

Um telefonema no meio da tarde, em setembro de 2018, foi o início de um tormento para a personal trainer Jéssica Nunes. No início, ela imaginou que fosse um engano ou até um trote. No entanto, logo percebeu que, além de séria, a ligação significava um grande problema. “Era uma funcionária de uma loja de móveis fazendo a cobrança de um crediário que tinha sido aberto no meu nome, em São José do Rio Preto (SP). Só que eu nunca tinha feito aquilo e sequer conheço a cidade”, conta. Segundo Jéssica, que mora em Campinas – a 350 km do lugar onde um sofá e uma estante foram comprados – um vazamento de dados como CPF, data de nascimento e e-mail, de uma loja eletrônica de artigos esportivos, ocorrido naquele mesmo ano, é uma das possíveis explicações para a estranha dívida em seu nome. “Foi um transtorno, tive que acionar uma amiga advogada, registrar boletim de ocorrência, provar que nunca tinha estado lá. No final deu tudo certo, mas tive custos e a dor de cabeça foi grande. Como eu tinha comprado um tênis na loja de artigos esportivos, imagino que os dados podem ter saído do problema que eles tiveram, só que é impossível comprovar”, lamenta.

O vazamento a que Jéssica se refere atingiu, no final de 2017 e início de 2018, quase 2 milhões de clientes do e-commerce. Quase nada perto do identificado, dias atrás, pela empresa Psafe, de segurança da informação: dados de 223,74 milhões de brasileiros caíram na rede. O número de pessoas expostas é maior do que o total de habitantes do Brasil porque, segundo a companhia, pode incluir informações de pessoas que já morreram e CPFs inativos. “É praticamente impossível que algum cidadão tenha ficado de fora. É um escândalo, um caso seríssimo e o que me choca é ver a pouca repercussão e ação das autoridades sobre isso”, observa o advogado Ronaldo Garcia, especialista em cibercrimes.

O arquivo tem 14 GB de tamanho, aparentemente foi compilado em agosto de 2019 e divulgado em um fórum famoso em expor esse tipo de informação. “O que chama a atenção foi que estava na internet aberta, e não na dark web, onde geralmente se encontram e negociam dados como esses”, explica Garcia. Já outra versão do arquivo, com mais dados, foi colocado à venda por preços que variam de US$ 0,075 a US$ 1 por CPF, dependendo da quantidade comprada. Para comprovar a autenticidade da oferta, os criminosos publicam arquivos de “exemplo”, com mil amostras de cada tipo de informação. No total, são 37 bases que incluem todo tipo de dado pessoal, incluindo RG, estado civil, lista de parentes, nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS e até foto de rosto. O pagamento é exigido somente em bitcoins — basicamente um arquivo digital que só existe online e funciona como uma moeda alternativa, dificultando o rastreamento.

Você vai gostar de saber também:

+ Existe punição para quem rouba ou compra dados?

+ Brasil criou várias ferramentas de monitoramento e cadastro

+ WhatsApp clonado? Fizeram compras com seu CPF? Saiba o que fazer se você foi clonado

Inicialmente, especulou-se que o arquivo estaria associado à Serasa Experian, mas a empresa negou. “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”, declarou a empresa por meio de uma nota. Por meio da assessoria de imprensa, a Psafe afirmou que ainda não foi possível identificar a que período os dados da base vazada correspondem e nem qual foi a fonte dessas informações. É possível, portanto, que o pacote tenha sido consolidado a partir de diversas fontes, incluindo outros vazamentos anteriores.

Mas, afinal, quem utiliza esses dados, e para quê? Segundo Garcia, as informações são uma “mina de ouro” para operações de marketing, no caso de empresas, ou fraudes, se usada por criminosos. “Todo mundo já recebeu uma ‘ligação do nada’ de uma empresa, ou e-mail ou SMS de oferta, todas sem solicitar ou preencher cadastro. Isso acaba se tornando comum porque existe, infelizmente, um mercado de informações. Quanto mais se souber daquele possível cliente, melhor. É totalmente antiético e criminoso, mas infelizmente acontece”, aponta. “Por outro lado, há os cibercriminosos, que pegam esses dados e partem para golpes ou tentativas. Aí pode ocorrer o phishing, que é o roubo de identidade online. Ao assumirem a identidade das vítimas, os criminosos podem fazer dívidas em crediário ou cartão de crédito, extorquir e enganar pessoas próximas da vítima e até criar documentos falsos”, complementa.

Com a riqueza de detalhes dos arquivos vazados agora, há risco de um aumento significativo de golpes mais sofisticados. “Os impactos desse vazamento devem se estender por anos e gerar inúmeros casos de fraudes, como abertura de contas em instituições financeiras e no varejo, além de facilitar ações de lavagem de dinheiro”, alerta Garcia. A orientação é que cada cidadão fique atento às movimentações em suas contas e registre boletim de ocorrência caso identifique alguma fraude, roubo ou tentativa de extorsão.

“Se você receber uma ligação em nome de uma empresa ou banco, com o atendente chamando pelo nome e confirmando informações pessoais suas, como CPF, endereço e até nome dos pais, tome cuidado e desconfie. Busque algum outro tipo de comprovação, não passe nenhum outro dado e, em hipótese alguma, compartilhe senhas ou entregue cartões”, recomenda Garcia. Fora isso, há algo mais a se fazer? Para o advogado, infelizmente, nada. “É algo muito delicado, porque nos deixa totalmente atados. Não existe como se antecipar, porque não sei se aquele dado que vazou vai ser usado. É uma loteria ao inverso, ainda mais em uma base tão grande de informações, como a desse vazamento. Por isso é preciso ficar atento a qualquer movimentação estranha, ligação indevida. Somos, infelizmente, todos vítimas em potencial”, lamenta Garcia.

Você pode gostar de saber:

+ WhatsApp amplia segurança para versão web com bloqueio biométrico

Investigação lenta

Apuração do vazamento de dados é iniciada, mas resultados são incertos

Demorou, mas a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou, no dia 27, sobre o vazamento de dados que expôs várias informações sigilosas de mais de 220 milhões de pessoas. A entidade, criada em 2019 para cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) e aplicar punições para quem expõe dados pessoais, afirmou estar “realizando uma investigação a respeito” para descobrir a origem do vazamento, a forma em que ele ocorreu, medidas de contenção e de mitigação adotadas em um plano de contingência e as possíveis consequências e os danos causados pela violação. Após a análise, a ANPD deve sugerir medidas cabíveis previstas na LGPD para a responsabilização e a punição dos envolvidos. Já a Secretaria Nacional do Consumidor (Senacon) notificou a Serasa Experian para pedir esclarecimentos a respeito do vazamento. A empresa nega ser a fonte dos dados, mas tem 15 dias para responder aos pedidos.

A proteção dos dados dos consumidores é de responsabilidade das empresas que os detém. Caso fique comprovado que houve falha nessa proteção, a lei prevê, como punição, desde uma advertência até multa de 2% do faturamento anual da empresa que originou o vazamento de informações, limitada a R$ 50 milhões. No entanto, as multas só estão liberadas a partir de agosto de 2021.

O criminoso mercado de dados

Estudo de empresa russa impressiona ao apontar até prontuários médicos disponíveis na deep web

Um relatório chamado “Dox, roubo, revelação. Onde seus dados pessoais vão parar?”, produzido pela empresa russa de cibersegurança Kaspersky e divulgado em dezembro do ano passado, revelou bastidores do mercado ilegal de informações na internet. Em fóruns da chamada deep web – uma parte da internet que não é indexada pelos mecanismos de busca, como o Google, e portanto fica oculta ao grande público e praticamente impossível de se rastrear – criminosos podem vender dados pessoais e informações confidenciais a partir de US$ 0,50. A investigação da Kaspersky, feita em dez fóruns e mercados internacionais clandestinos, descobriu uma ampla rede de comércio e venda ilegal de dados privados. As informações incluem selfies acompanhadas de documentos e logins de redes sociais como Facebook e Instagram, passaportes escaneados, prontuários médicos e carteiras de habilitação. Confira alguns.

— Acesso não autorizado a e-mails ou redes sociais

Cibercriminosos invadem redes sociais e contas de e-mails cobrando valores que variam de US$ 400 a US$ 800. O aumento da segurança desses serviços, como a verificação em duas etapas, tem dificultado a prática, mas sem excluir o risco do crime ocorrer. Uma dica para tentar evitar é usar senhas elaboradas e alterá-las com frequência.

— Detalhes do cartão de crédito

O roubo de dados de cartões de crédito, incluindo número, nome e código CVV, é um dos mais comuns. As informações consideradas “básicas” podem ser vendidas a preços que variam de US$ 6 a US$ 20. Com os dados, golpistas podem fazer saques, compras online e cometer fraudes. O relatório ressalta que, embora as instituições financeiras reforcem barreiras de proteção contra ataques cibernéticos, os detalhes do cartão de crédito continuam sendo o ponto de partida para a maioria dos esquemas de golpes financeiros. O uso de programas antivírus no computador e nos celulares e o cuidado na hora de fazer compras online, dando preferência a sites conhecidos de e-commerce, reduzem o risco de roubo dessas informações. Cuidado também ao digitar informações em sites de bancos e jamais utilize links enviados em e-mails ou aplicativos de mensagens, como Whatsapp. Preste atenção também em erros de português – sites de criminosos para roubos de dados frequentemente possuem erros crassos.

— Selfie com documentos

As selfies acompanhadas de documentos digitalizados são vendidos de US$ 40 a US$ 60. Eles são um prato cheio para os criminosos nos golpes em instituições que utilizam o método para verificação de identidade. É o caso de bancos digitais, de algumas redes sociais que exigem selfies para recuperação do acesso à conta e as bolsas de criptomoedas, que usam o programa para evitar a lavagem de dinheiro.

— Prontuários médicos

Uma das notícias mais estarrecedoras do levantamento é que até registros médicos estão à venda no mercado ilegal, comercializados de US$ 1 a US$ 30, dependendo da quantidade de detalhes dos pacientes. Com os prontuários, os criminosos podem obter serviços de seguro de saúde ou a compra de medicamentos sob prescrição médica.

— Digitalização da carteira de habilitação

Carteiras de habilitação escaneadas são usadas para aluguel de carros, identificação de serviços locais ou fraude em seguros. Os preços variam entre US$ 5 a US$ 25.

Continue Lendo:

+ Quadrinho na Tela: o que mudou em 154 anos de histórias em quadrinho no Brasil?