Investigação da empresa em dez fóruns e mercados internacionais clandestinos revela que é possível comprar dados privados a partir de US$ 0,50
Por apenas US$ 0,50 centavos, um criminoso pode comprar carteiras de identidade ou credenciais de acesso a plataformas streaming de pessoas que foram vítimas de um cibercrime ou vazamento de dados. Com investimento um pouco maior – a partir de US$ 6 –, é possível ter acesso a passaportes escaneados ou detalhes de cartões de crédito.
O menu disponível no mercado ilegal da internet inclui ainda selfies acompanhadas de documentos (US$ 40 a 60), ou prontuários médicos (US$ 1 a US$30). Estas descobertas foram feitas pela equipe de análises e pesquisa (GReAT, em inglês) da Kaspersky.
As constatações acabam de ser publicadas no relatório “Dox, roubo, revelação. Onde seus dados pessoais vão parar?” e são resultado de investigações realizadas em dez fóruns e mercados clandestinos online. A amostra inclui postagens compartilhadas durante o terceiro trimestre de 2020 e que revelam detalhes desse mercado.
De acordo com os especialistas da Kaspersky, existem duas grandes consequências para vítimas de compartilhamento público de dados pessoais. Além da comercialização, outra ameaça é o doxing, que ocorre quando as informações são usadas para constranger, agredir ou colocar a pessoa atingida em perigo.
“Algumas pessoas têm maior probabilidade de serem vítimas de doxing, como jornalistas, influenciadores digitais, ativistas, advogados, profissionais da indústria do sexo e policiais. Para as mulheres, o doxing pode representar ainda ameaças e abusos verbais. Para os policiais, também significa perigo direto para sua segurança física. Não raras vezes, o doxing pode levar as pessoas a ter de abandonar os seus empregos”, comenta Fabio Assolini, analista de segurança sênior da Kaspersky no Brasil.
Mesmo com esses perigos, mais de 30% dos brasileiros se consideram comuns demais para serem hackeados, segundo uma pesquisa da Kaspersky divulgada em agosto. Só que, na prática, o cenário é outro.
Com os casos de vazamento massivos de dados cada vez mais frequentes, informações de pessoas “anônimas” chegam em maior número às mãos de cibercriminosos, cujos interesses por elas são diversos.
Sobre as demais consequências da exploração indevida de dados pessoais, o relatório explica que eles também podem ser usados para extorsão, aplicação de golpes e esquemas de phishing, além do roubo direto de dinheiro.
Segundo a publicação, determinados tipos de dados, como o acesso a bancos de dados de contas pessoais ou senhas, podem ser utilizados não apenas para ganhos financeiros, mas também para causar prejuízos de reputação e outros danos sociais.
“Peço que todos reavaliem seus hábitos online, tendo como referência os riscos que a informação vazada pode representar em sua vida. Em nosso relatório, vemos que os dados têm valor para o cibercrime e as operações Data Broker e Peregrino III da Polícia Civil demonstraram como as gangues usam as informações pessoais e fotos dos perfis para clonar o WhatsApp das vítimas de vazamento de dados e extorquir seus amigos e familiares.”
“Apenas uma operação policial dessas estimou um prejuízo de R$ 500 mil. E os golpes vão continuar acontecendo, até que a maioria dos brasileiros aprenda a dar importância para sua segurança digital e passe a se proteger melhor”, analisa Assolini.
Confira abaixo os principais dados comercializados no mercado clandestino online, os valores (em dólar) e os motivos para essa procura por criminosos, segundo a investigação da Kaspersky.
Dados da carteira de identidade: US$ 0,50 a US$ 10
Podem ser usados para uma variedade de golpes, como inscrição em aplicativos de serviços, ou para obter acesso a outras informações confidenciais que podem ser usadas posteriormente para fins criminosos.
Digitalizações de passaporte: US$ 6 a US$ 15
Em alguns países, os passaportes são aceitos como substitutos aos documentos de identidade, inclusive para receber serviços financeiros, registrar uma reclamação em uma loja ou receber um empréstimo. Em outros casos, também podem ser usados para identificação em plataformas internacionais, como bolsas de criptomoedas, gerando interesse para grupos especializados em fraudes.
Digitalização da carteira de habilitação: US$ 5 a US$ 25
Podem ser usados para aluguel de automóveis, identificação para serviços locais ou fraude em seguros.
Selfie com documentos: US$ 40 a US$ 60
Algumas organizações aderem aos chamados programas “Conheça Seu Cliente” (KYC, em inglês), que exigem verificação de identidade para várias operações. Por exemplo, as bolsas de criptomoeda empregam essa prática para evitar a lavagem de dinheiro.
Algumas redes sociais exigem selfies com documentos quando os usuários precisam recuperar o acesso à conta. Já alguns bancos pedem que funcionários tirem fotos como essas ao entregar cartões de crédito na casa dos clientes.
Prontuários médicos: US$ 1 a US$ 30
São dados muito procurados, pois permitem uma variedade de atividades fraudulentas, como a obtenção de serviços de seguro de saúde ou compra de medicamentos sob prescrição.
Detalhes de dados do cartão de crédito: US$ 6 a US$ 20
Informações completas do cartão de crédito, incluindo nome, número e código CVV, podem ser usadas para saque ou comprar produtos online. Ainda que os novos sistemas bancários antifraude venham dificultando a prática desse crime, os detalhes do cartão de crédito continuam sendo o ponto de partida para a maioria dos esquemas de fraude financeira.
Contas de bancos digitais ou de PayPal: US$ 50 a US$ 500
Ambos fornecem acesso direto às contas das vítimas, com o PayPal sendo mais usado para criminosos que querem lavar dinheiro e sacar sem que haja verificação de segurança.
Serviços de assinatura: US$ 0,50 a US$ 8
O acesso a plataformas populares de conteúdo, streaming ou games está em alta demanda. E as credenciais de assinatura roubadas não são vendidas apenas no mercado ilegal da internet, podendo também ser encontradas em fóruns escondidos na web.
Acesso não autorizado a e-mails ou contas de redes sociais: US$ 400 a US$ 800
O aumento da segurança das redes sociais e dos serviços de e-mail, como a dupla autenticação, também dificultou essas práticas. Como resultado, a maioria dessas ofertas nos mercados ilegais são, ironicamente, golpes contra outros cibercriminosos.
Leia a íntegra do relatório Dox, roubo, revelação. Onde seus dados pessoais vão parar? no Securelist.
Para minimizar os riscos de ter suas informações e dados pessoais roubadas, a Kaspersky recomenda:
- Esteja ciente dos sites e e-mails de phishing e utilize uma solução de segurança com função anti-phishing, como o Kaspersky Security Cloud, que irá boquear seu acesso a páginas fraudulantes.
- Sempre verifique as configurações de permissões nos aplicativos que você usa para minimizar a probabilidade de seus dados serem compartilhados ou armazenados por terceiros, e sem o seu conhecimento;
- Use a autenticação de dois fatores. Lembre-se de que é mais seguro usar um aplicativo que gera códigos únicos do que receber o segundo fator por SMS. Se precisar de segurança adicional, invista em uma chave de hardware 2FA;
- Use uma solução de segurança confiável, como o Kaspersky Password Manager, para gerar e proteger senhas exclusivas para cada conta, e resista à tentação de reutilizar a mesma senha várias vezes;
- Para descobrir se alguma das senhas que você usa para acessar suas contas online foi comprometida, use uma ferramenta como o Kaspersky Security Cloud. O recurso de Verificação de Conta permite inspecionar possíveis vazamentos de dados nas contas. Se for detectado um vazamento, a solução fornece informações sobre as categorias de dados que podem estar disponíveis publicamente para que a pessoa afetada possa tomar as medidas apropriadas;
- Sempre considere como o conteúdo que você compartilha na internet pode ser interpretado e usado por outras pessoas.
7 dicas para não errar no seu projeto de LGPD
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.
O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.br