Insights > Blog

Vazamentos de dados aprimoram golpes online e intensificam atuação da polícia.

Autoridades fortalecem investigações sobre o cibercrime e conseguem prender suspeitos; por outro lado, especialistas alertam para os riscos da exposição de informações.

Casos recentes de grandes vazamentos de dados, que expuseram informações de centenas de milhões de brasileiros, acendem um alerta ainda maior para a sofisticação de golpes virtuais. Munidos de mais informações valiosas sobre pessoas e empresas, cibercriminosos estão aprimorando os crimes digitais. Ao mesmo tempo, a polícia tem intensificado sua atuação e vem fechando o cerco contra crimes digitais. No entanto, especialistas alertam: todo cuidado é pouco.

Marco DeMello, CEO da PSafe, empresa de segurança digital que detectou dois megavazamentos recentes, classifica o momento atual como “pandemia digital”. “Cada colaborador remoto se transforma em um ponto a mais de vulnerabilidade”, disse, ao Valor Econômico, em referência ao crescimento do trabalho no modelo home office em meio ao isolamento social na pandemia.

Essas informações que circulam em fóruns criminosos na internet ajudam a criar táticas ainda mais convincentes para enganar usuários e fazer novas vítimas. “Antes a abordagem era genérica, mas hoje vem com nome completo e CPF”, lembra Alexandre Bonatti, diretor de engenharia da Fortinet, fornecedora de tecnologias de cibersegurança, também ao Valor. “A probabilidade de uma pessoa cair num golpe desses, mesmo informada, é muito maior”, ressalta.

A empresa de segurança cibernética Cipher alerta que os vazamentos de dados estimulam a criação de práticas novas e mais convincentes de abordagem às vítimas de crimes digitais. Por exemplo, basta um endereço de e-mail e uma combinação de senhas para que um cibercriminoso entre na conta de um cliente de e-commerce, abrindo uma porta para o acesso a outros dados. Na pior das hipóteses, os dados são fornecidos pelo próprio usuário, enganado por alguém que tem parte das informações necessárias e faz contato direto, se passando por atendente de uma loja virtual, ou operadora de cartão, por exemplo.

Outra preocupação é o surgimento de sites que prometem revelar a interessados se seus dados estão disponíveis no “mercado” digital. E, mais uma vez, internautas podem cometer o erro de informar nome completo, números de documentos e outros elementos que serão usados para novos golpes.

Na última semana, a Polícia Federal prendeu em Uberlândia (MG) o homem suspeito de ser o responsável pelo maior vazamento de dados já registrado no Brasil. As investigações apuraram que, em janeiro, milhões de dados sigilosos de pessoas físicas e jurídicas -como CPF e CNPJ, nome completo e endereço- foram ilicitamente disponibilizados. Foram colocados à venda, em fóruns na dark web (área oculta na internet onde cibercriminosos acessam de forma anônima para a prática de crimes digitais), mais de 223 milhões de CPFs, além de informações detalhadas como nomes, endereços, renda, imposto de renda, fotos, beneficiários do Bolsa Família e scores de crédito.

A PF informou que foi identificado o suspeito pela prática dos delitos de obtenção, divulgação e comercialização dos dados, bem como um segundo hacker, que estaria vendendo os dados por meio das redes sociais. A PF informou também que cumpriu cinco mandados de busca e apreensão e um mandado de prisão preventiva nos municípios de Petrolina (PE).

Outra ação coordenada pelo poder público é a Divisão de Crimes Cibernéticos (DCCIBER). Criada em outubro do ano passado como parte da estrutura do Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil do Estado de São Paulo, a unidade também iniciou inquérito para apurar o megavazamento. Segundo o delegado Carlos Ruiz, responsável pela 3ª Delegacia de Polícia sobre Violação de Dispositivos Eletrônicos e Redes de Dados da DCCIBER, atualmente estão sendo investigados mais de 700 casos de crime organizado operando em meios digitais. Um dos principais ataques, segundo o delegado, são os casos de ransomware, o chamado sequestro de dados, quando hackers bloqueiam o acesso da vítima ao computador, exigindo pagamento de um “resgate” para liberar o acesso. “Recebemos de três a quatro ocorrências mensais”, informa.

PERIGO CONSTANTE

Apesar da prisão dos responsáveis e do aumento das investigações por parte das autoridades, infelizmente os riscos ainda estão correndo no mundo digital. O principal cuidado, segundo especialistas em cibersegurança, é com a chamada engenharia social, técnica usada por criminosos para induzir o usuário a fornecer informações confidenciais. A Febraban ressalta que as quadrilhas têm se especializado nesse tipo de ação baseada na captura de dados pessoais, após conquistar a confiança de clientes desavisados.

Neste tipo de ataque, os criminosos abusam da ingenuidade ou confiança do usuário para obter informações que podem ser usadas para que tenham acesso não autorizado a computadores ou informações bancárias. “Hoje, 70% dos golpes feitos no mundo digital estão relacionados a engenharia social”, informa Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da Febraban.

Fernando Amatte, diretor de Red Team Services da Cipher, recomenda que é preciso desconfiar de telefonemas suspeitos, prestar atenção a ligações de números desconhecidos e se recusar a divulgar qualquer tipo de informação pessoal sem ter certeza de que se trata de um contato confiável. O especialista alerta também para o cuidado com postagens em redes sociais. “Uma imagem que conste nome, número de documento ou outro dado relevante, pode ser o primeiro passo para um hacker chegar a alguém.”

Outra orientação de Amatte para minimizar os riscos é não divulgar dados em sites não verificados ou conversar com pessoas que ligam de números desconhecidos ou identificados como spam. “Em caso de dúvida, é melhor ‘derrubar’ a ligação e acionar os números oficiais das instituições financeiras, operadoras de serviços ou lojas virtuais. Mudar senhas frequentemente, diversificar chaves e utilizar autenticação em dois níveis também estão entre as principais iniciativas que ajudam a combater fraudes virtuais”, diz Amatte.

Para o pesquisador de segurança Daniel Barbosa, da empresa de cibersegurança Eset, os últimos incidentes servem de alerta e reflexão sobre o papel tanto das empresas como dos órgãos de fiscalização nesses tipos de casos. Ele comenta que é de se esperar que os casos de vazamentos de dados ganhem destaque na imprensa, principalmente após a Lei Geral de Proteção de Dados (LGPD) entrar em vigor, mas não podemos esquecer que esses tipos de incidentes exigem o acompanhamento e ações efetivas por parte dos órgãos de fiscalização, como é o caso da Autoridade Nacional de Proteção de Dados (ANPD), autarquia criada para fiscalizar e regulamentar a lei de proteção de dados. “É fundamental que as empresas e serviços possam efetivamente garantir a segurança dos dados fornecidos pelos clientes, cumprindo com as determinações da LGPD que devem ser fiscalizadas por tais órgãos”, enfatiza Barbosa.

Em vigor desde setembro do ano passado, a LGPD é mais um elemento que busca trazer maior proteção aos usuários na internet. A partir de agosto deste ano, as sanções previstas na LGPD poderão ser aplicadas pela ANPD, incluindo multas de até R$ 50 milhões.

Como parte da estruturação da sua atuação, a ANPD assinou nesta semana um acordo de cooperação técnica com a Secretaria Nacional do Consumidor (Senacon), do Ministério da Justiça e Segurança, para proteger os dados do consumidor no Brasil. Por meio desse acordo, as duas entidades pretendem alinhar esforços e reforçar as fiscalizações, de forma a evitar incidentes como vazamento de dados. “Tanto a ANPD quanto a Senacon buscarão a uniformização de entendimentos e uma atuação coordenada no endereçamento de reclamações de consumidores. A atuação conjunta é especialmente importante nos casos relacionados a incidentes de segurança envolvendo dados pessoais de consumidores”, informou a Senacon.

O presidente da ANPD, Waldemar Gonçalves Ortunho Junior, lembrou que a entidade foi criada há apenas quatro meses e que o acordo será “um marco para o Brasil”, em prol do consumidor. “A ANDP não tem espírito punitivo, mas de educação e de mudança de cultura, para mostrar às empresas que o respeito aos dados do consumidor é muito importante”, disse, ao defender a inclusão de outras instituições nessa rede de proteção de dados.

SEGURANÇA DA INFORMAÇÃO NO SETOR FINANCEIRO

A segurança da informação é uma das prioridades do setor bancário no Brasil. Segundo estimativa da Febraban, os bancos investem cerca de R$ 2 bilhões anualmente para fortalecer sistemas de tecnologia da informação voltados para segurança, valor que corresponde a cerca de 10% dos gastos totais do setor com tecnologia.

De olho nesse crescimento das tentativas de golpes digitais, as instituições reforçaram nos últimos meses as ações de conscientização digital contra fraudes. Uma das iniciativas foi a realização da Semana da Segurança Digital, liderada pela Febraban em parceria com 30 bancos associados, para divulgação de dicas de prevenção contra as principais fraudes e golpes digitais. Foram duas edições da Semana em 2020 e, neste ano, a primeira foi realizada em fevereiro.

Outra iniciativa relevante do setor é a criação do Laboratório de Segurança Cibernética, inaugurado pela Febraban em setembro de 2020, o primeiro do tipo feito para o Sistema Financeiro Nacional, e que integra equipes de vários bancos associados à instituição. O objetivo é unir forças em ações de prevenção, identificação e combate ao crime digital. A estrutura permite que as instituições financeiras melhorem a eficiência de compartilhamento de informações técnicas e promovam o treinamento e aperfeiçoamento de profissionais para atuar no combate às ameaças virtuais em ações colaborativas e integradas voltadas para proteção e solução de incidentes cibernéticos.

*Com informações da Agência Brasil.

Por: FEBRABAN – via Capital Informação – Assessoria de imprensa.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

Vazamentos de dados aprimoram golpes online e intensificam atuação da polícia.

Autoridades fortalecem investigações sobre o cibercrime e conseguem prender suspeitos; por outro lado, especialistas alertam para os riscos da exposição de informações.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais