NetWorld - Blog

Autoridades são quem deve cuidar de casos de vazamento de dados; pessoas precisam redobrar a atenção para evitar golpes

Os dados estão na rede: cópia dos documentos, endereços, perfil econômico, ocupação, fotos de rosto, vínculo familiar e tantas outras informações sensíveis disponíveis para qualquer um mal-intencionado botar as mãos. O que fazer diante de um vazamento de dados assim? Quando não é só trocar a senha, a atenção deve ser redobrada.

O vazamento de dados mais recente: 223 milhões de CPFs

O último vazamento de dados que se tem notícia é o de 223,74 milhões de brasileiros (incluindo falecidos) que pode ter sido compilado em agosto de 2019. A origem do vazamento ainda não foi identificada, alguns indícios apontam para a Serasa Experian, justamente pelo conteúdo do compilado.

A base está à venda em um fórum, com pagamento feito via bitcoin, e contém desde dados básicos (nome, CPF, e-mail, endereço), até fotos de rosto, informações de imposto de renda, dependentes familiares, renda e poder aquisitivo de cada pessoa.

Como saber se meus dados foram vazados

Em especial para o vazamento acima, o site Fui Vazado! indica se o CPF está no banco de dados e quais informações estão disponíveis sobre a pessoa física. Ao Tecnoblog, o desenvolvedor da página afirma que não coleta os dados da consulta. A ferramenta também não exibe os dados em si, apenas “Sim” e “Não” para as categorias.

Este é um site que faz a busca em uma base de dados vazada. Não dá para garantir que não existam outros compilados com informações pessoais pela internet afora, seja na rede aberta, na dark web ou deep web.

Em caso de e-mail e senha, os vazamentos mais comuns, o Have I Been Pwned ajuda ao buscar nas listas que já estão públicas. Em seguida, informa se já vazaram ou não.

O que fazer em caso de vazamento de dados

Quando o e-mail ou senha estão expostos, o caminho é mais fácil e menos doloroso:

• Para a senha: troque a combinação por outra mais segura e use um método de verificação em duas etapas;
• Para o e-mail: evite abrir links e anexos de remetentes desconhecidos, redobre a atenção para as mensagens recebidas.

Aliás, redobrar a atenção é essencial em caso de vazamentos. Porque, uma vez que os dados ficam expostos, públicos, é quase impossível tirá-los da internet. Portanto, tentativas de golpes, que já são comuns, passam a ficar ainda mais bem elaboradas, considerando que as informações que golpistas têm das pessoas são precisas, confundindo o usuário durante a abordagem.

Os golpes mais comuns para ficar de olho

Diversas práticas de golpe na internet já são conhecidas e ainda assim enganam usuários na rede:

1. Phishing: quando o mal-intencionado tenta obter as credenciais de uma pessoa ao enganá-la, com recursos de engenharia social e persuasão, se passando por um funcionário de uma empresa, um parente ou alguém próximo. Por isso o nome “phishing”, de “pesca”;
2. Spoofing: traduz-se como “pegadinha” e é bem semelhante ao phishing. Ocorre quando o golpista se passa pelo usuário legítimo detentor das informações e tenta acessar contas, servidores, fazer compras ou roubar identidades da vítima. É o que ocorre em casos de SIM swap.
3. SIM swap: quando o golpista transfere o número de uma pessoa para outro cartão SIM em branco. Ele liga na operadora se passando pela vítima, alegando que perdeu o acesso ao chip anterior e solicita a troca. Na chamada, confirma os dados para autenticar a identidade e o atendente faz a transferência. Também pode ser feito por criminosos dentro da própria agência.
4. Brushing scam: trata-se de vendas falsas feitas via internet. Uma loja cria um perfil falso com dados reais de um consumidor (nome e endereço), envia qualquer objeto para o suposto cliente (para validar a entrega) e, em seguida, faz uma avaliação positiva da compra. Outros clientes legítimos são enganados com as avaliações falsas e compram no site.

Todas essas práticas têm um elemento em comum: informação. Seja para se passar por uma vítima ou tentar enganá-la para conseguir os dados.

No caso do SIM swap, por exemplo, após o momento em que o golpista tem acesso ao celular da vítima, pode tentar a recuperação de senha de contas online (e-mail, redes sociais) ou acessar o WhatsApp para aplicar outros golpes: como o do empréstimo de amigos e parentes.

Como se proteger

Todos estão sujeitos às práticas acima e mesmo que não esteja em uma base de dados vazada, pode ser uma vítima. Em golpes de informação, a melhor defesa é a própria informação: analisar e desconfiar de qualquer mensagem, ligação ou outra forma de contato recebida.

Se o contato foi feito por email, deve-se verificar atentamente o endereço do remetente. É um endereço conhecido? Não tem nenhum caractere estranho? E o que pede o e-mail, para instalar algo ou acessar um site? Se o contato não for conhecido ou esperado, a melhor ação é enviar para a lixeira e marcar como spam.

Exemplo, em um comunicado do Google, o email deve vir de no-reply@accounts.google.com, é fraude quando o e-mail vem de no-reply@accounts.google.scroogle.com ou algo parecido.

Caso tenha o usuário tenha acessado um link e chegou em um site no qual tem conta ou pretende criar uma, é importante verificar a URL (o endereço) antes de digitar qualquer credencial.

Em ligações telefônicas é complicado verificar a identidade da outra pessoa na linha. A saída é desconfiar se o funcionário pedir informações sensíveis (senhas, número de cartão de crédito e código de segurança). Uma alternativa é pedir o protocolo da ligação e depois retornar o contato com a empresa (por um número oficial), informando o protocolo para retomar o atendimento.

Já virou obrigação ativar a verificação em duas etapas em todos os serviços usados na internet e, sempre que possível, com um aplicativo gerador de códigos únicos, especialmente no WhatsApp. Uma vez que os dados estão expostos, tentar uma recuperação de senha com as informações vazadas pode ser o primeiro caminho de um hacker para o roubo de identidade.

Transações e cadastros indevidos

Usar o aplicativo do cartão de crédito ou ativar as notificações por SMS é uma boa maneira de manter o olho nas transações feitas. Dessa forma, assim que uma compra inautêntica for realizada, deve-se entrar em contato com a instituição emissora do plástico para relatar a fraude.

Dica: Comprar em lojas online com o cartão virtual é mais recomendado, pela facilidade de exclusão e evitar estar em outros vazamentos.

O site Cadastro Pré (cadastropre.com.br) permite ao cliente verificar em quais operadoras ele tem uma linha de telefone ativa, apenas digitando o CPF. Infelizmente, não mostra “quantos” números estão ativos e não engloba operadoras virtuais, apenas telefones da Algar, Claro, Oi, Sercomtel, TIM e Vivo. No entanto, qualquer ajuda é bem-vinda para reconhecer cadastros não autorizados.

E quanto à LGPD, posso fazer algo?

Segundo o especialista em direito digital Adriano Mendes, cabe à Autoridade Nacional de Proteção de Dados (órgão responsável pela LGPD), o Procon, a Secretaria Nacional do Consumidor e ao Ministério Público investigar vazamentos e punir os responsáveis.

O que é LGPD? [Lei Geral de Proteção de Dados Pessoais]

Enquanto pessoa física, Mendes explicou ao Tecnoblog que não há procedimentos específicos a serem realizados, a não ser que haja danos concretos, prejuízos reais (por abertura de linhas de crédito ou dívidas em nome da vítima, por exemplo). Nesse caso, cabe uma indenização por danos morais.

No Tecnocast 177 — O grande vazamento de dados, Rafael Zanatta, diretor da Associação Data Privacy Brasil, diz que não é de responsabilidade de cada pessoa assinar serviços de monitoramento ou se desesperar, mas sim ficar atenta aos futuros golpes.

O que a gente tem que esperar enquanto indivíduos é uma resposta coletiva a esse problema — uma estruturação de uma plataforma em que eu possa perguntar “meu CPF está aí?”, é algo que a própria empresa responsável ou em última análise o governo, deve estruturar. E aí, utilizar esses recursos para promover um tipo de apoio, inclusive com dicas para saber como é que se identifica uma fraude de identidade, como é que você se protege melhor.