Cibersegurança: Empresa revela esquema ilegal de venda de dados de empresas e usuários no Brasil

Um agente malicioso vende ilegalmente milhares de dados sensíveis brasileiros, por meio de uma plataforma online de fácil utilização. É o que revela um novo levantamento da ISH Tecnologia, principal empresa nacional de cibersegurança.

O golpe é aplicado por meio da utilização de uma API que realiza a checagem de CPF, clonagem de páginas e engenharia social. Em um dos exemplos coletados pela ISH, o ataque (que parece partir de um grupo, e não indivíduos desarticulados) se passa por uma campanha falsa conhecida como “Indeniza Brasil”, que supostamente permite o saque de valores a receber. O programa, cujo alerta já foi dado pelo próprio Governo Federal, é completamente fictício.

A intenção do site falso é induzir a vítima ao pagamento de uma taxa, para então receber a indenização do governo. Também é possível que ele roube outras informações sensíveis, como endereços e outros documentos. A ISH destaca que, além do Governo Federal, a API é utilizada para criar outros sites falsos, que parecem reais, como um que simula entregas supostamente atrasadas dos Correios.

Um agente malicioso pode, por exemplo, ligar para uma vítima fingindo ser sua instituição bancária, passando uma sensação de credibilidade ao ter posse de alguns dos seus dados. Ou então, tendo nome, CPF, número e endereço, pedir a portabilidade da linha telefônica e, bem-sucedido, interceptar códigos de autenticação para aplicar diversos outros golpes.

Outros métodos

Além do site falso, outro meio pelo qual a API que rouba os dados é vendida são grupos em aplicativos de mensagens. No exemplo abaixo, uma série de serviços ilegais são anunciados. Nas mãos de outros criminosos, podem dar origem a uma série de golpes extremamente sofisticados.

Por fim, as APIs também são vendidas por meio de uma plataforma web, que conta com site e aplicativo mobile. São oferecidos diversos planos de assinatura, a partir dos quais os criminosos podem consultar uma série de dados:

Nesse último caso, a ISH detectou uma falha de segurança no desenvolvimento da página web, que permitiu acesso a credenciais expostas no código da aplicação. Para efeito de análise, a empresa pesquisou por um determinado CNPJ e um CPF, para ilustrar o tamanho do risco representado pela campanha criminosa.

No caso do CNPJ, a requisição exibe uma série de dados de uma série de funcionários da empresa, inclusive alguns que já foram desligados. Já no CPF, estão coletadas informações como os nomes dos pais da vítima, o que apenas reforça a gravidade desses dados caindo na mão de criminosos.

Impacto

A ISH explica que a disponibilidade e comercialização de dados sensíveis de cidadãos brasileiros, como o que é oferecido no esquema criminoso, representa um risco seríssimo à segurança e privacidade da população. A exposição dessas informações não só viola direitos fundamentais garantidos pela LGPD (Lei Geral de Proteção de Dados), como serve de ponto de partida para uma série de outros golpes, como:

Fraudes bancárias: Com informações como CPF, dados financeiros e endereços, criminosos podem abrir contas falsas, solicitar empréstimos e realizar transações fraudulentas. 

Golpes de engenharia social: Com dados detalhados, atacantes podem se passar por familiares ou representantes de empresas para extorquir vítimas. 

Clonagem de identidade: Documentos e informações pessoais podem ser utilizados para forjar identidades e aplicar golpes em nome das vítimas. 

Phishing altamente personalizado: Com base nas informações vazadas, criminosos podem criar e-mails, SMS ou ligações altamente convincentes para roubar credenciais bancárias, senhas e outras informações sensíveis.

Exposição a crimes físicos: Informações como endereço residencial e rotina de trabalho podem ser utilizadas por criminosos para sequestros, extorsões e assaltos direcionados. 

Além disso, a facilidade de acesso aos dados permite que diversos tipos de atores mal-intencionados, de cibercriminosos individuais a grupos especializados em fraudes, comprem pacotes de consulta e apliquem os golpes.

Ilegalidade

A LGPD estabelece regras claras sobre o uso, armazenamento e compartilhamento de dados pessoais, garantindo que toda operação envolvendo essas informações tenha uma base legal e seja realizada com o consentimento do titular. O serviço investigado infringe a legislação de diversas formas: 

Coleta e tratamento de dados sem consentimento: Nenhum dos titulares dos dados autorizou seu uso ou comercialização;

Ausência de transparência: A plataforma não informa a origem dos dados, nem permite que os cidadãos solicitem a remoção de suas informações;

Violação de princípios da LGPD: A comercialização desses dados fere os princípios da finalidade, adequação, necessidade e segurança, todos exigidos pela lei.   

Além da LGPD, esse serviço pode ser enquadrado em crimes previstos no Código Penal Brasileiro e na Lei de Crimes Cibernéticos (Lei nº 12.737/2012 - "Lei Carolina Dieckmann"), incluindo invasão de dispositivo informático e estelionato.

Por fim, a ISH destaca que a comercialização de dados pessoais não só é ilegal, como um sério risco à segurança de milhões de brasileiros, ao impulsionar diversas fraudes em grande escala.

A denúncia desse mercado paralelo é fundamental para proteger a população, garantir a aplicação da legislação vigente e evitar que essas informações continuem sendo utilizadas para fraudes cada vez mais sofisticadas. 

Sobre a ISH Tecnologia      

A ISH Tecnologia, parte do grupo ISH Tech, foi fundada em 1996 e é líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Com mais de 900 colaboradores e 600 clientes de todos os setores da economia, a empresa ocupa a 19ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert.