A mesma NordVPN publicou, na metade do ano passado, outro relatório mostrando que, pelo menos, 144 mil cartões de pagamento tinham sido roubados e vendidos na deep web no primeiro semestre de 2023. O número inseria o Brasil no topo da lista de fraudes e golpes desse tipo entre os países da América do Sul. Cada cartão vale, dentro do sistema, perto de R$ 40.

Dados como esses têm ligado um alerta não apenas em pessoas comuns, mas também no ambiente empresarial — que, além de administrar informações privadas de colaboradores, também se preocupam com vazamentos de segredos institucionais, como patentes, ou mesmo com a revenda de produtos em mercados ilegais, que geralmente acontece em uma área ainda mais inóspita da deep web: a dark web.

Um pouco mais de profundidade

“A ‘atração’ da dark web está na sua privacidade”, destaca Kelly Carvalho, assessora econômica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP). “Desde o acesso inicial até todo o tráfego que se faz ali, tudo é feito de forma anônima, o que abre espaço para criminosos atuarem com bastante liberdade”, completa.

Kelly explica como a internet pode ser desenhada na forma de uma pirâmide. No topo, está a surface web, onde se situam os grandes portais de notícias, todo o e-commerce, sites de empresas e instituições públicas, aplicativos e mesmo sistemas internos de companhias, como as várias intranets. É uma área pequeníssima se comparada à web inteira — e que, por isso mesmo, foi associada nos últimos anos à parte de fora de um imenso iceberg. Em um segundo patamar, está a deep web, já “submersa”, porque é acessível apenas por softwares específicos, como o Tor. Ali, só se entra na maioria dos espaços com logins e senhas fornecidos por usuários anônimos que circulem pelo sistema, enquanto os sites têm menos aparência de portais e mais com modelos de arquivos, que também só podem ser abertos mediante identificação. É na parte mais recôndita dessa área que está a dark web. “Nela, os domínios são compostos por sequências de números e letras sem sentido, que só são acessados por quem tem credenciais adequadas”, explica Kelly. “Se você não tem uma ferramenta poderosa de proteção dos seus dados, entrar ali é estar bastante vulnerável a ataques.”

É na dark web que boa parte dos mercados ilícitos de informação têm se organizado. “É um espaço ‘seguro’, porque completamente anônimo, para que vender e comprar serviços oferecidos por hackers, como invadir um sistema empresarial, por exemplo”, explica Bruno Aghazarm, consultor de Direito Digital do escritório Henneberg, Ferreira e Linard.

A FecomercioSP listou, em janeiro, os principais riscos da dark web às empresas [veja quadro ao fim da reportagem]. Dentre eles, o mais grave envolve roubos de dados institucionais e financeiros, como estudos de mercado ou circuitos de pagamento, que geralmente têm acessos a cartões de crédito e contas bancárias. O intuito desse tipo de invasão é que se chama de ransomware: sequestro de informações que só são devolvidas mediante resgastes altíssimos — que, na maioria dos casos, são consumados.

Para se ter uma ideia, em 2022, a consultoria de pesquisas Veeam constatou que, em 75% das ocorrências envolvendo ransomware, as empresas vitimizadas toparam pagar aos invasores para acessar os dados novamente. “É um tipo de crime que, de fato, democratizou o roubo de informações”, analisa o diretor de Tecnologia da empresa, Danny Alan. “Isso exige a colaboração de organizações em todos os setores para maximizar a capacidade de recuperar dados sem pagar pelo resgate, até porque fazer o pagamento não é uma estratégia de proteção das informações”, completa. 

Essa não é uma afirmação trivial: a consultoria russa Kaspersky publicou uma pesquisa também em 2022 mostrando que, dentre as empresas que já foram alvo desse tipo de sequestro, quase todas (88%) definiram, após serem atacadas, que pagariam o resgate se sofressem novos ataques. E considerando o volume de invasões — cerca de 1,8 mil companhias passaram por situações como essa em 2023, segundo a ISH Tecnologia —, o montante total envolvido nessas transferências tende a ser muito alto.

Especialistas já apontaram que o ransomware é, na verdade, um “serviço” vendido na dark web em que os hackers podem oferecê-lo de forma anônima também mediante pagamento, geralmente em criptomoedas, que são descentralizadas e não deixam rastros às instituições financeiras. O contraditório é que, em muitos casos, os invasores não têm conhecimento técnico necessário para, em seguida, proceder com a “encomenda”. E, então, usam outro serviço também encontrado apenas na rede obscura. “Como é relativamente fácil encontrar, nesses locais, códigos fontes de ransomwares antigos que não são mais disparados, muitos grupos aproveitam essas informações, fazem correções pontuais e disparam versões atualizadas e mais perigosas”, explica Caíque Barquetta, analista da ISH.

Aghazarm adiciona outra camada a esse debate. Ele observa que, de um lado, há certa proteção estabelecida em grandes sistemas institucionais, que impedem que colaboradores façam o download de softwares que dão acesso à web profunda, como o Tor. No entanto, não há parâmetros de segurança estabelecidos para lidar com funcionários que usam a posição para roubar dados e, depois, vendê-los em mercados na dark web. “Nesse caso, a empresa precisa vasculhar para saber se suas informações estão vazadas ali.”

Segundo Kelly, da FecomercioSP, há ainda o temor de ver a empresa envolvida em algum tipo de mercado ilegal involuntariamente. Era, da mesma forma, o medo de Célia Pinheiro. “Tem alguns casos de hackers que usam os dados institucionais como forma de ‘limpar’ negociações ilícitas na dark web. A própria demanda por dados que circula ali também tem esse objetivo”, explica. O problema, de acordo com ela, é que há poucas ferramentas que permitem verificar se esse uso indevido dos dados empresariais está acontecendo nos limites da internet. Um dos raros serviços existentes hoje é o da Serasa, cujo objetivo é principalmente antecipar fraudes: a ferramenta criada por ela consegue encontrar informações de pessoas e empresas dentro da dark web, e só. “Cabe, então, a quem teve os dados vazados se proteger”, continua a assessora da Federação.

A própria Serasa dá algumas dicas do que fazer em caso positivo: acompanhar o extrato bancário com frequência, avisando a instituição bancária do vazamento, evitar a todo custo compartilhar informações pessoais e substituir todas as senhas de acesso da surface web por acessos mais complexos — o Google tem, inclusive, um serviço de criação de senhas que ajuda nesse sentido. É o que Célia Pinheiro, de São Caetano do Sul, tem feito desde a metade do ano passado. “Até agora, não houve nenhuma nova tentativa de fraude, mas sei que é questão de tempo”, lamenta.

Cinco riscos envolvendo a dark web para empresas

RANSOMWARE: roubo de dados, incluindo informações pessoais, detalhes de cartões de crédito e credenciais de login, que, depois, são vendidos na rede oculta para encaminhar ataques cibernéticos ou sequestros. As empresas vitimadas só acessam novamente suas informações após pagamento de resgates.

COMÉRCIO ILEGAL: mercados ilícitos que abrigam a venda e compra de produtos e serviços ilegais, como drogas, armas, documentos falsos, listas de informações e malware, afetando a segurança e a reputação de empresas.

PROTEÇÃO DE MARCA: venda de produtos falsificados que prejudicam a reputação das marcas e resultam em perdas financeiras.

INTELIGÊNCIA COMPETITIVA: vazamento de informações empresariais confidenciais sobre estratégias de negócios, inovações, estudos de mercado e segredos comerciais que podem afetar a competitividade de nichos inteiros.

MEIOS DE COMUNICAÇÃO ANÔNIMOS: contatos anônimos que oferecem vantagens ou promovem chantagens, como a contratação de serviços ilícitos de ataques cibernéticos ou exposição de conteúdos pessoais.