Digital Fraud, Data Leakage, Threat Intelligence

Vazamentos e vendas de dados pessoais: por que ficar alerta

Por André Luiz R. Silva em
COMPARTILHAR

Foram muitas as notícias e comentários em 2015 sobre o site “Tudo sobre todos”, que tornava públicos dados pessoais dos brasileiros – como endereço, CPF, nome completo e outros. À época pouco se debatia sobre proteção de dados, mas é inegável como informações pessoais expostas podem causar preocupações e danos severos. Em 2019, a situação não parece menos grave: existem verdadeiros esquemas de vendas desses dados, de todos os tipos e tamanhos.

 

O valor de um conjunto de letras e números


À primeira vista, falar seu CPF e seu endereço é algo corriqueiro. Só que, em conjunto, essas informações são muito valiosas para os cibercriminosos. Para ter uma noção do quão visadas são, basta pesquisar por “gerador” no Google que o resultado da busca já mostra o tamanho do interesse no assunto:

gerador-google
Se tais dados são procurados e até mesmo "produzidos artificialmente", é porque os originais têm muito valor. Em alguns casos encontrados, as informações completas de uma única pessoa podem ser vendidas por valores que chegam a R$ 50,00. A conclusão desse cenário é visível: se existem bandidos dispostos a pagar tal quantia, certamente esses dados são usados em esquemas muito lucrativos.  

É preciso notar, entretanto, que as “mãos certas” que lidam com esses dados também devem ser as mais atentas: a LGPD (Lei Geral de Proteção de Dados, nº 13.709/2018) e mesmo a europeia GDPR (General Data Protection Regulation) deixam claro que empresas que lidam com dados pessoais de clientes são responsáveis pelo cuidado no manuseio dessas  informações. Com a recente criação da ANPD (Autoridade Nacional de Proteção de Dados), a possibilidade de que sejam aplicadas multas severas aos descumpridores já é realidade.

 

Esquemas criminosos de venda


O processo de comercialização de dados pode ser dividido em três etapas. Primeiro, a aquisição indevida das informações; depois, a venda em grupos ou marketplaces específicos; e, então, o uso dos dados para fins fraudulentos. Cada “etapa” tem peculiaridades bem interessantes:

Aquisição dos dados

Um cibercriminoso pode trilhar diversos caminhos para obter acesso a informações pessoais – por isso, cabe aqui lembrar como é importante o monitoramento da exposição de dados da sua empresa, que deve ser um dos pilares de um bom programa de compliance e gestão de riscos. Alguns vetores de ataque usados para obter esses dados são:

  • Páginas falsas que capturam dados de clientes interessados em empréstimo por taxas muito abaixo do mercado (estelionatos digitais)
  • Chatbots de atendimento que simulam serviços de empresas com marcas conhecidas
  • Vagas falsas de emprego com ofertas de altos salários usando a marca de grandes empresas
  • Sistemas falhos que permitem acesso a bases de clientes ou cidadãos (como do CadSUS)

 

Venda dos dados

Feita a coleta, a venda dos dados pode ocorrer em grupos fechados ou em marketplaces especializados na deep e dark web. Em alguns casos existem encomendas, e então os dados não são diretamente expostos nesses marketplaces.

Existem grupos organizados que compram dados que futuramente serão usados em documentos falsos ou para abrir contas em serviços financeiros (abertura de conta, pedido de crédito, etc).

Aqui, um exemplo de “pedido” (com indicações de preferências):

compra-dados-deep-web

Esses problemas também aparecem principalmente na forma de centrais e painéis de consulta. Esses sites funcionam como um serviço profissional para complementar dados pessoais necessários para realizar um golpe digital. Um exemplo:

painel-de-consulta-deep-web

A indicação “Abaixo as consultas contratadas em seu plano” mostra como o mesmo vendedor faz diversos formatos de seu produto. Na central dessa imagem (com tarjas por causa da sensibilidade), algumas das opções de páginas a serem acessadas são as de consultas a CPF, CNPJ, RG, nome do pai, CEP e até mesmo pontuações de serviços de crédito.

Uso fraudulento dos dados

A principal atividade feita pelos criminosos a partir dos dados coletados é a criação de contas-laranja. Essas contas também são vendidas na deep e dark web, uma vez que tenham sido validadas. Em alguns casos, o fraudador contrata cartões de crédito e faz compras usando uma identidade que não é sua.

Os dados podem, ainda, servir de base para a criação de documentos falsos – os moldes editáveis de RG e CNH, por exemplo, são também vendidos em deep e dark web.

 

Monitorar para proteger o consumidor


As três etapas do processo criminoso de uso de dados pessoais on-line deixam rastros e devem ser monitoradas constantemente. A responsabilidade maior recai sobre as empresas atingidas, que têm o dever cuidar corretamente dos dados de clientes, em alinhamento com a LGPD e a GDPR.

Na Axur, nossos robôs protegem sua marca on-line: a deep e dark web é diariamente escaneada (e possui alertas automatizados) com o Threat  Intelligence. Já os alertas de vazamentos de credenciais corporativas podem virar alertas instantâneos com o Hashcast. Assim, você pode evitar acessos indevidos e ter controle sobre os dados que saem da sua empresa.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!