Investigação da Kaspersky em dez fóruns e mercados internacionais clandestinos revela que é possível comprar dados privados a partir de US$ 0,50.
Por apenas US$ 0,50 (cerca de R$ 2,5), um criminoso pode comprar carteiras de identidade ou credenciais de acesso a plataformas de streaming de pessoas que foram vítimas de um cibercrime ou vazamento de dados. Com investimento pouco maior – a partir de US$ 6 –, é possível ter acesso a passaportes escaneados ou detalhes de cartões de crédito. O menu disponível no mercado ilegal da internet inclui ainda selfies acompanhadas de documentos (US$ 40 a 60), ou prontuários médicos (US$ 1 a US$30). Estas descobertas foram feitas por nossa equipe de análises e pesquisa (GReAT).
O relatório “Dox, roubo, revelação. Onde seus dados pessoais vão parar?” é resultado de investigações realizadas em dez fóruns e mercados clandestinos online. A amostra inclui postagens compartilhadas durante o terceiro trimestre de 2020 e que revelam detalhes desse mercado.
Há duas grandes consequências para vítimas de compartilhamento público de dados pessoais. Além da comercialização, outra ameaça é o doxing – quando as informações são usadas para constranger, agredir ou colocar a pessoa atingida em perigo.
“Algumas pessoas têm maior probabilidade de serem vítimas de doxing, como jornalistas, influenciadores digitais, ativistas, advogados, profissionais da indústria do sexo e policiais. Para as mulheres, pode representar ainda ameaças e abusos verbais. Para os policiais, perigo direto para sua segurança física. Não raras vezes, o doxing pode levar as pessoas a ter de abandonar os seus empregos”, diz Fabio Assolini, nosso analista de segurança sênior.
Mesmo com esses perigos, mais de 30% dos brasileiros se consideram comuns demais para serem hackeados. Só que, na prática, o cenário é outro. Com os casos de vazamento massivos de dados cada vez mais frequentes, informações de pessoas “anônimas” chegam em maior número às mãos de cibercriminosos.
Sobre as demais consequências da exploração indevida de dados pessoais, o relatório explica que eles também podem ser usados para extorsão, aplicação de golpes e esquemas de phishing, além do roubo direto de dinheiro. Determinados tipos de dado, como o acesso a bancos de dados de contas pessoais ou senhas, podem ser utilizados não apenas para ganhos financeiros, mas também para causar prejuízos de reputação e outros danos sociais.
“Peço que todos reavaliem seus hábitos online, tendo como referência os riscos que a informação vazada pode representar em sua vida. Em nosso relatório, vemos que os dados têm valor para o cibercrime e as operações Data Broker e Peregrino III da Polícia Civil demonstraram como as gangues usam as informações pessoais e fotos dos perfis para clonar o WhatsApp das vítimas de vazamento de dados e extorquir seus amigos e familiares. Apenas uma operação policial dessas estimou um prejuízo de R$ 500 mil”, analisa Assolini.
O valor dos dados pessoais
Confira abaixo os principais dados comercializados no mercado clandestino online, os valores (em dólar) e os motivos para essa procura por criminosos.
- Carteira de identidade: US$ 0,50 a US$ 10
Podem ser usados em uma variedade de golpes, como inscrição em aplicativos de serviços, ou para obter acesso a outras informações confidenciais que podem ser usadas posteriormente para fins criminosos. - Digitalizações de passaporte: US$ 6 a US$ 15. Em alguns países, os passaportes são aceitos como substitutos aos documentos de identidade, inclusive para receber serviços financeiros, registrar uma reclamação em uma loja ou receber um empréstimo. Em outros casos, também podem ser usados para identificação em plataformas internacionais, como bolsas de criptomoedas, gerando interesse para grupos especializados em fraudes.
- Digitalização da carteira de habilitação: US$ 5 a US$ 25. Podem ser usados para aluguel de automóveis, identificação para serviços locais ou fraude em seguros.
- Selfie com documentos: US$ 40 a US$ 60. Algumas organizações aderem aos chamados programas “Conheça Seu Cliente” (KYC, em inglês), que exigem verificação de identidade para várias operações. Por exemplo, as bolsas de criptomoeda empregam essa prática para evitar a lavagem de dinheiro. Algumas redes sociais exigem selfies com documentos quando os usuários precisam recuperar o acesso à conta. Já alguns bancos pedem que funcionários tirem fotos como essas ao entregar cartões de crédito na casa dos clientes.
- Prontuários médicos: US$ 1 a US$ 30. São dados muito procurados, pois permitem uma variedade de atividades fraudulentas, como a obtenção de serviços de seguro de saúde ou compra de medicamentos sob prescrição.
- Detalhes do cartão de crédito: US$ 6 a US$ 20. Informações completas do cartão de crédito, incluindo nome, número e código CVV, podem ser usadas para saque ou comprar produtos online. Ainda que os novos sistemas bancários antifraude venham dificultando a prática desse crime, os detalhes do cartão de crédito continuam sendo o ponto de partida para a maioria dos esquemas de fraude financeira.
- Contas de bancos digitais ou de PayPal: US$ 50 a US$ 500. Ambos fornecem acesso direto às contas das vítimas, com o PayPal sendo mais usado para criminosos que querem lavar dinheiro e sacar sem que haja verificação de segurança.
- Serviços de assinatura: US$ 0,50 a US$ 8. O acesso a plataformas populares de conteúdo, streaming ou games está em alta demanda. E as credenciais de assinatura roubadas não são vendidas apenas no mercado ilegal da internet, podendo também ser encontradas em fóruns escondidos na web.
- Acesso não autorizado a e-mails ou contas de redes sociais: US$ 400 a US$ 800. O aumento da segurança das redes sociais e dos serviços de e-mail, como a dupla autenticação, também dificultou essas práticas. Como resultado, a maioria dessas ofertas nos mercados ilegais são, ironicamente, golpes contra outros cibercriminosos.
Dicas para proteger seus dados
- Esteja ciente dos sites e e-mails de phishing e utilize uma solução de segurança com função anti-phishing.
- Sempre verifique as configurações de permissões nos aplicativos que você usa para minimizar a probabilidade de seus dados serem compartilhados ou armazenados por terceiros, e sem o seu conhecimento.
- Use a autenticação de dois fatores. Lembre-se de que é mais seguro usar um aplicativo que gera códigos únicos do que receber o segundo fator por SMS. Se precisar de segurança adicional, invista em uma chave de hardware 2FA.
- Sempre considere como o conteúdo que você compartilha na internet pode ser interpretado e usado por outras pessoas.
Via Kaspersky