Megavazamentos tendem a ocorrer com mais frequência por causa da falta de cuidado das empresas na exposição de seus dados. Vulnerabilidade virou prato cheio para criminosos, que capturam informações e as comercializam na dark web.
O ano mal começou e o Brasil já ostenta um incômodo recorde que, de certo, afetará diretamente a vida de grande parte dos cidadãos. Na segunda quinzena de janeiro, a Polícia Federal (PF) revelou um megavazamento de dados digitais que expôs 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, segundo estimativa da consultoria Syhunt, resultando no maior evento criminoso do mundo cibernético, até aqui, registrado na história do País – e um dos maiores do mundo. A estimativa dos especialistas aponta que cerca de 40 mil CPFs e 23 mil CNPJs estejam sendo divulgados tanto pelas profundezas da dark web, acessível apenas por meio do navegador TOR, como pela deep web – ambiente impossível de ser acessado via mecanismos de busca e indexação, como o Google. Para quem atua na área de cibersegurança, o ataque não foi surpresa. “Não tenho conhecimento de outro caso que envolvesse tantas pessoas. No ano passado, houve 397,42 milhões de credenciais (logins, senhas e dados pessoais) roubadas, e a estimativa para este ano é de que surjam outros megavazamentos, em razão da falta de cuidados das empresas no armazenamento dos dados de seus clientes”, alerta Fábio Ramos, CEO da Axur, principal empresa em monitoramento e reação a riscos digitais da América Latina. “Desde 2018, jamais erramos em nossas projeções”, enfatiza o CEO.
Ao longo de 2020, diversos sinais previamente evidenciavam a fragilidade das empresas, tanto na esfera da iniciativa privada como na do setor público. Em junho, o site de classificados de empregos Catho teve 200 dados de clientes surrupiados. No mês seguinte, o estrago foi ainda maior: cerca de 20 milhões de informações pessoais de clientes da agência de viagens online Hotel Urbano vazaram e acabaram expostas na dark web. E, para fechar dezembro, em decorrência de uma falha do sistema de segurança do Ministério da Saúde, os nomes de 243 milhões de pessoas cadastradas no SUS [Sistema Único de Saúde] foram vazados. Segundo Ramos, o brasileiro médio não tem a exata noção da importância de seus dados pessoais: “As informações roubadas são valiosas e comercializadas na dark web”.
Ao contrário do que ocorre nos Estados Unidos, casos como esses raramente chegam aos nossos tribunais. Em 2018, o governo norte-americano estabeleceu uma multa de US$ 650 milhões à gestora de crédito Equifax pelo vazamento das informações de 147 milhões de consumidores. No Brasil, uma penalidade em equivalentes proporções teria possibilidades nulas de êxito, de acordo com Ramos. “Não há uma legislação específica para crimes cibernéticos. Os casos descobertos acabam sendo tipificados como estelionato por causa da dificuldade de obter provas sobre a autoria das pessoas. Os contingentes das polícias Civil e Federal são reduzidos e estão focados em crimes digitais que atentem contra a vida, como indução ao suicídio. É comum vermos na dark web fotos de criminosos com tornozeleira eletrônica, zombando das autoridades”, lamenta o especialista.
No caso do recente megavazamento, diz Fábio Ramos, os indícios iniciais recaíram sobre a gestora de dados de crédito Serasa Experian, em razão de documentos encontrados nas investigações. Para o advogado Renato Opice Blum, consultor de proteção de dados da FecomercioSP, a hipótese mais provável é que a operação tenha sido ação que envolveu a coleta de dados de diversos órgãos públicos. “Não há sinais exatos de que tenha partido do Serasa. A intenção dos criminosos foi dar a sensação que o vazamento veio de um único banco de dados”, afirma. Em ofício enviado no fim de janeiro à Polícia Civil de São Paulo, o Procon-SP pediu que a Divisão de Crimes Cibernéticos instaure um inquérito para apurar o caso. As duas instituições devem trabalhar em colaboração para investigar o ocorrido.
Em nota, a Serasa negou que as informações tenham vazado de seus bancos de dados. “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas nos quais o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas, e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”, declarou a empresa.
Nem mesmo a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) deverá ser suficiente para coibir a ação dos criminosos. “As punições para crimes de vazamento não estão claras na lei, assim como quem será o órgão responsável pela fiscalização. Nos casos de vazamentos de órgãos públicos, como o do Ministério da Saúde, o governo vai pagar multa?”, polemiza o CEO da Axur. Na perspectiva do executivo, a complexidade na formulação de penas de reclusão para os criminosos envolve ainda um emaranhado de questões paralelas que podem agravar o problema, caso os condenados convivam com presidiários ligados ao crime organizado. Opice Blum concorda que a LGPD por si só não é suficiente, mas acrescenta que há outras formas de combate. “Existem os Tribunais de Contas nas esferas federal, estadual e municipal, a possibilidade de uma CPI no Congresso e a presença do Ministério Público em uma eventual ação civil pública de interesse difuso e coletivo”, afirma. Segundo o advogado, a principal contribuição da LGPD será fomentar a importância da cultura de proteção digital entre as pessoas e as empresas.
Atualmente, tramita no Congresso o Projeto de Lei 2.638/2020, de autoria do deputado Marcelo Ramos (PL/AM). O projeto altera o artigo 115 do Código Penal e estipula pena de quatro a dez anos para crimes eletrônicos, com acréscimo de dois terços da pena caso o servidor usado esteja fora do Brasil. Ramos observa que a maior parte dos provedores fica na Rússia, em países do Leste Europeu e nações asiáticas, que, em comum, contam com uma legislação frágil e uma estrutura criminosa robusta. Ainda não há data prevista para votação.
Quem nunca se sentiu tentado a clicar em um link enviado por e-mail, ou banner de algum site, com uma proposta irresistível? Muitos dos que cederam à tentação provavelmente foram alvos de phishing, como é conhecida a técnica de capturar dados alheios por meio de uma página falsa criada na dark web. Segundo o levantamento Atividade Criminosa Online no Brasil, da Axur, em 2020 foram registrados 48.137 casos do tipo, o que representa uma alta de 99,23% em relação aos 24.161 casos registrados em 2019. Os roubos digitais ocorreram com mais frequência nos primeiros meses da pandemia de covid-19, com sites oferecendo informações de alerta e itens como máscaras e álcool em gel, práticas novamente retomadas pelos criminosos na época do lançamento do “coronavoucher” e que tornaram a subir na Black Friday. “Os criminosos recorrem à persuasão por meio da chamada ‘engenharia social’, que nada mais é do que formas de ludibriar o consumidor. É importante ficar atento para não clicar em e-mails e mensagens que peçam recursos a causas que tenham fortes apelos emocional e social”, alerta Fábio Ramos.
A artimanha usada envolve a criação de uma página falsa na dark web, que se torna navegável por meio de um servidor exclusivo. Desavisado, o internauta é conduzido para tal endereço, que muitas vezes tem nome semelhante a uma marca conhecida, e preenche inadvertidamente os seus dados, que são capturados pelos hackers. O relatório da Axur mostra que aproximadamente 45% dos casos de golpe virtual em datas especiais envolvem transações de e-commerce.
Para atuar no combate aos crimes digitais, a Axur criou a campanha Quarentena Sem Fraudes, pela qual o consumidor denuncia uma página fraudulenta (na web ou nas redes sociais) e a empresa busca o provedor ou a empresa responsável (Facebook, Twitter, Instagram, etc.), conforme o caso. “Fazemos uma denúncia qualificada, e a página é logo removida. Foram mais de 500 mil páginas em 2020.”
Por sua vez, o volume de arquivos maliciosos (conhecidos como “malwares”) que se infiltram na máquina para capturar dados bancários estiveram em baixa, aponta o relatório. A explicação está na eficiência das ferramentas de proteção do sistema bancário e na dificuldade tecnológica de criar malwares capazes de burlar as normas de segurança. O recém-lançado PIX, contudo, não escapou da criatividade dos criminosos. Disponível desde novembro, ainda não agrupa dados, mas já foram observadas ocorrências em sites falsos de leilões virtuais, nos quais os ladrões criam uma área com uma chave de código QR falsa e recebem o depósito da vítima. Por se tratar de uma transação online, tem havido dificuldade em identificar os criminosos.
Apesar das estratégias de engenharia social, é possível diminuir o risco digital em ações aparentemente banais. No caso de cartões de crédito, por exemplo, é prudente jamais utilizar senhas com sequências numéricas (como “123456”) ou menção a clubes de futebol (“mengocampeao” ou “timaocampeao”).
Em redes sociais, em especial no Instagram, vale ficar atento ao uso de domínios similares aos de marcas conhecidas. É comum o criminoso recorrer ao Google Ads a fim de atrair o incauto para páginas falsas antes mesmo que o dono da empresa tome conhecimento. Algo mais recorrente em aparelhos celulares, uma vez que não exibem a URL (endereço na web) completa do site.
Uma prática recente mira como alvo as pousadas e os hotéis. Funciona assim: o criminoso começa a acompanhar os passos dos seguidores de determinado estabelecimento (por meio de suas curtidas) e envia uma mensagem ao consumidor com uma promoção atrativa, que, por sua vez, o direciona para uma página falsa.
Estão em alta, também, golpes com aplicativos falsos de relacionamento voltados voltados ao público LGBTQIA+. Em uma das situações, o usuário é induzido a pagar taxa de adesão para acesso aos perfis supostamente cadastrados. Daí o termo phishing, do inglês, surgido da década de 1990 e alteração de fishing, isto é, “pescaria”.
Para as empresas, Opice Blum recomenda que sejam seguidas rigorosamente as normas da LGPD e da Autoridade Nacional de Proteção de Dados (ANPD), em paralelo com as regras de compliance, que institui a figura do encarregado de proteção, que pode ser um grupo de especialistas. “É fundamental que sejam seguidas as normas de segurança ISO 27000 e ISO 27001, da ABNT”, afirma.