Há cerca de sete meses, a empresária Célia Pinheiro* foi informada pelo banco onde mantém conta que o seu nome havia aparecido, de repente, no pedido de financiamento de um automóvel. O processo já estava no fim, aprovado por várias instâncias internas, quando a gerência de produtos estranhou o fato de dias antes ter ouvido da própria Célia que ela não tinha interesse em trocar de carro. “Quando eles me ligaram, já estavam duvidando que fosse eu mesma”, relembra. A solicitação foi recusada, mas ela decidiu investigar como o seu nome quase fora implicado em um empréstimo de cerca de R$ 100 mil na mesma instituição bancária da qual é cliente há quase duas décadas. Foi quando descobriu que o golpe fracassado era apenas a ponta do iceberg. “O CNPJ do meu negócio estava rodando em grupos profissionais de estelionato na dark web, e eles já tinham tentado de tudo: pediram dinheiro emprestado, acessaram os dados da Receita Federal, implicaram a empresa com outras, de outros nichos, e até conseguiram comprar produtos que não têm nada a ver com o que eu vendo, usando minha razão social”, continua ela, que administra uma loja de eletroeletrônicos em São Caetano do Sul, na Região Metropolitana de São Paulo (RMSP).
Desde então, Célia vive um dilema: de um lado, não conseguiu tirar as informações vazadas da dark web e, assim, convive com a iminência de uma fraude envolvendo o negócio vingar em algum momento — deixando-a no prejuízo. Por isso, ela permanece em contato constante com os bancos nos quais tem finanças. Por outro lado, teme que os criminosos consigam envolver a empresa em algum tipo de trama ilegal, como usá-la para lavar dinheiro ou comprar e vender produtos ilegais, como drogas e armas. A preocupação toda já teve efeitos sobre a própria saúde. “Estou convivendo com alopecia há quatro meses por causa do estresse que passei.”
Muitas histórias parecidas acontecem diariamente no País. Há alguns anos, a consultoria Beeping Computer publicou um relatório mostrando que os dados de pelo menos 92 milhões de brasileiros estavam à venda na deep web, como números do CPF ou endereços, por exemplo. À época, a empresa ainda encontrou vendedores anônimos oferecendo acesso a informações de qualquer cidadão do País a partir de pistas iniciais mínimas, como o número do telefone. Em um dos anúncios encontrados, um usuário dizia que, com apenas um nome completo, poderia encontrar e fornecer dados sobre patrimônio (veículos, imóveis, participação em empresas) e sobre a vida pessoal de qualquer um, como documentos, relações familiares e contatos.
A mesma NordVPN publicou, na metade do ano passado, outro relatório mostrando que, pelo menos, 144 mil cartões de pagamento tinham sido roubados e vendidos na deep web no primeiro semestre de 2023. O número inseria o Brasil no topo da lista de fraudes e golpes desse tipo entre os países da América do Sul. Cada cartão vale, dentro do sistema, perto de R$ 40.
Dados como esses têm ligado um alerta não apenas em pessoas comuns, mas também no ambiente empresarial — que, além de administrar informações privadas de colaboradores, também se preocupam com vazamentos de segredos institucionais, como patentes, ou mesmo com a revenda de produtos em mercados ilegais, que geralmente acontece em uma área ainda mais inóspita da deep web: a dark web.
“A ‘atração’ da dark web está na sua privacidade”, destaca Kelly Carvalho, assessora econômica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP). “Desde o acesso inicial até todo o tráfego que se faz ali, tudo é feito de forma anônima, o que abre espaço para criminosos atuarem com bastante liberdade”, completa.
Kelly explica como a internet pode ser desenhada na forma de uma pirâmide. No topo, está a surface web, onde se situam os grandes portais de notícias, todo o e-commerce, sites de empresas e instituições públicas, aplicativos e mesmo sistemas internos de companhias, como as várias intranets. É uma área pequeníssima se comparada à web inteira — e que, por isso mesmo, foi associada nos últimos anos à parte de fora de um imenso iceberg. Em um segundo patamar, está a deep web, já “submersa”, porque é acessível apenas por softwares específicos, como o Tor. Ali, só se entra na maioria dos espaços com logins e senhas fornecidos por usuários anônimos que circulem pelo sistema, enquanto os sites têm menos aparência de portais e mais com modelos de arquivos, que também só podem ser abertos mediante identificação. É na parte mais recôndita dessa área que está a dark web. “Nela, os domínios são compostos por sequências de números e letras sem sentido, que só são acessados por quem tem credenciais adequadas”, explica Kelly. “Se você não tem uma ferramenta poderosa de proteção dos seus dados, entrar ali é estar bastante vulnerável a ataques.”
É na dark web que boa parte dos mercados ilícitos de informação têm se organizado. “É um espaço ‘seguro’, porque completamente anônimo, para que vender e comprar serviços oferecidos por hackers, como invadir um sistema empresarial, por exemplo”, explica Bruno Aghazarm, consultor de Direito Digital do escritório Henneberg, Ferreira e Linard.
A FecomercioSP listou, em janeiro, os principais riscos da dark web às empresas [veja quadro ao fim da reportagem]. Dentre eles, o mais grave envolve roubos de dados institucionais e financeiros, como estudos de mercado ou circuitos de pagamento, que geralmente têm acessos a cartões de crédito e contas bancárias. O intuito desse tipo de invasão é que se chama de ransomware: sequestro de informações que só são devolvidas mediante resgastes altíssimos — que, na maioria dos casos, são consumados.
Para se ter uma ideia, em 2022, a consultoria de pesquisas Veeam constatou que, em 75% das ocorrências envolvendo ransomware, as empresas vitimizadas toparam pagar aos invasores para acessar os dados novamente. “É um tipo de crime que, de fato, democratizou o roubo de informações”, analisa o diretor de Tecnologia da empresa, Danny Alan. “Isso exige a colaboração de organizações em todos os setores para maximizar a capacidade de recuperar dados sem pagar pelo resgate, até porque fazer o pagamento não é uma estratégia de proteção das informações”, completa.
Essa não é uma afirmação trivial: a consultoria russa Kaspersky publicou uma pesquisa também em 2022 mostrando que, dentre as empresas que já foram alvo desse tipo de sequestro, quase todas (88%) definiram, após serem atacadas, que pagariam o resgate se sofressem novos ataques. E considerando o volume de invasões — cerca de 1,8 mil companhias passaram por situações como essa em 2023, segundo a ISH Tecnologia —, o montante total envolvido nessas transferências tende a ser muito alto.
Especialistas já apontaram que o ransomware é, na verdade, um “serviço” vendido na dark web em que os hackers podem oferecê-lo de forma anônima também mediante pagamento, geralmente em criptomoedas, que são descentralizadas e não deixam rastros às instituições financeiras. O contraditório é que, em muitos casos, os invasores não têm conhecimento técnico necessário para, em seguida, proceder com a “encomenda”. E, então, usam outro serviço também encontrado apenas na rede obscura. “Como é relativamente fácil encontrar, nesses locais, códigos fontes de ransomwares antigos que não são mais disparados, muitos grupos aproveitam essas informações, fazem correções pontuais e disparam versões atualizadas e mais perigosas”, explica Caíque Barquetta, analista da ISH.
Aghazarm adiciona outra camada a esse debate. Ele observa que, de um lado, há certa proteção estabelecida em grandes sistemas institucionais, que impedem que colaboradores façam o download de softwares que dão acesso à web profunda, como o Tor. No entanto, não há parâmetros de segurança estabelecidos para lidar com funcionários que usam a posição para roubar dados e, depois, vendê-los em mercados na dark web. “Nesse caso, a empresa precisa vasculhar para saber se suas informações estão vazadas ali.”
Segundo Kelly, da FecomercioSP, há ainda o temor de ver a empresa envolvida em algum tipo de mercado ilegal involuntariamente. Era, da mesma forma, o medo de Célia Pinheiro. “Tem alguns casos de hackers que usam os dados institucionais como forma de ‘limpar’ negociações ilícitas na dark web. A própria demanda por dados que circula ali também tem esse objetivo”, explica. O problema, de acordo com ela, é que há poucas ferramentas que permitem verificar se esse uso indevido dos dados empresariais está acontecendo nos limites da internet. Um dos raros serviços existentes hoje é o da Serasa, cujo objetivo é principalmente antecipar fraudes: a ferramenta criada por ela consegue encontrar informações de pessoas e empresas dentro da dark web, e só. “Cabe, então, a quem teve os dados vazados se proteger”, continua a assessora da Federação.
A própria Serasa dá algumas dicas do que fazer em caso positivo: acompanhar o extrato bancário com frequência, avisando a instituição bancária do vazamento, evitar a todo custo compartilhar informações pessoais e substituir todas as senhas de acesso da surface web por acessos mais complexos — o Google tem, inclusive, um serviço de criação de senhas que ajuda nesse sentido. É o que Célia Pinheiro, de São Caetano do Sul, tem feito desde a metade do ano passado. “Até agora, não houve nenhuma nova tentativa de fraude, mas sei que é questão de tempo”, lamenta.
RANSOMWARE: roubo de dados, incluindo informações pessoais, detalhes de cartões de crédito e credenciais de login, que, depois, são vendidos na rede oculta para encaminhar ataques cibernéticos ou sequestros. As empresas vitimadas só acessam novamente suas informações após pagamento de resgates.
COMÉRCIO ILEGAL: mercados ilícitos que abrigam a venda e compra de produtos e serviços ilegais, como drogas, armas, documentos falsos, listas de informações e malware, afetando a segurança e a reputação de empresas.
PROTEÇÃO DE MARCA: venda de produtos falsificados que prejudicam a reputação das marcas e resultam em perdas financeiras.
INTELIGÊNCIA COMPETITIVA: vazamento de informações empresariais confidenciais sobre estratégias de negócios, inovações, estudos de mercado e segredos comerciais que podem afetar a competitividade de nichos inteiros.
MEIOS DE COMUNICAÇÃO ANÔNIMOS: contatos anônimos que oferecem vantagens ou promovem chantagens, como a contratação de serviços ilícitos de ataques cibernéticos ou exposição de conteúdos pessoais.