EXISTEM TRÊS TIPOS DE PESSOAS: O INTELIGENTE QUE
APRENDE COM A EXPERIENCIA ALHEIA, O IGNORANTE QUE APRENDE COM A PRÓPRIA
EXPERIÊNCIA E O IDIOTA QUE NÃO APRENDE NUNCA.
Na mesma medida em que escancarou as portas de um
maravilhoso mundo novo, a ultraconectividade expôs nossos dados pessoais à ação
predadora da bandidagem digital. Segundo uma estimativa que Veja publicou
na semana passada, 2,2 milhões de terabytes de dados são gerados diariamente no
ambiente on-line — para armazenar “apenas” 1 terabyte de informação, seriam
precisos 695 000
disquetes de 3½” / 1.44 MB ou 1.5 mil CD-ROMs, de modo que basta
fazer as contas para ter uma ideia do tamanho da encrenca.
Para ninguém dizer que depois de Pelé, no futebol,
e de Senna, na F1, nossa banânia jamais voltou a se destacar no
que quer que fosse (além de “dedo podre” do eleitorado, que é o grande responsável
pela péssima qualidade de nossos governantes), esta republiqueta de almanaque
quebrou um recorde extraordinário no mês passado, quando foi alvo do maior
ataque cibernético da história — maior até agora, porque os casos se
sucedem em velocidade assustadora.
Inicialmente, a empresa de segurança PSafe — fundada
por Marco DeMello,
que trabalhou dez anos na Microsoft e foi um dos responsáveis pela criação do
Hotmail — detectou o vazamento de 40 milhões de CNPJs de
empresas nacionais, mas uma investigação posterior revelou que o cibercriminoso
havia se apoderado também de 223 milhões de CPFs — número superior ao da
população tupiniquim, pois incluía documentos de pessoas mortas —, bem como de
outras informações sensíveis e valiosas. A PSafe conseguiu contato com o
autor do crime, que alegou ter extraído os dados do sistema da Serasa
Experian, mas não foi possível descobrir a identidade do criminoso pelo
fato de a
conversa ter ocorrido na Dark Web. A Serasa disse que realizou
uma investigação interna e que não encontrou evidências de que seus sistemas
foram comprometidos.
Como desgraça pouca é bobagem, a PSafe anunciou mais recentemente outro vazamento bombástico, desta vez envolvendo 102 milhões de contas de celular das operadoras de telefonia Vivo e Claro. Independentemente da origem, são casos preocupantes e que podem levar a uma série de outros crimes.
De acordo com Thiago Bordini, diretor de inteligência cibernética do grupo New Space, a base de dados contém informações compiladas até agosto de 2019 — mais de 2 TB de dados — e demorou cerca de um ano e meio para ser consolidada. Esses dados não estavam sendo vendidos no submundo da rede, mas sim num fórum que existe desde março de 2015 e pode ser acessado por qualquer internauta, até porque está indexado no Google.
O “hacker” em questão está cadastrado no site
desde o dia 14 de julho do ano passado e suas postagens são, até o momento,
relacionadas a comercialização de dados. Quando questionado sobre valores, a
resposta foi idêntica em diversas mensagens trocadas com o autor e os perfis
usados por Bordini, demonstrando claramente uma padronização e uma
espécie de template para as respectivas mensagens, com lotes variando entre US$
100 e US$ 2.000. Para selecionar quais dados devem constar no lote adquirido, é
necessária a execução de um programa fornecido pelo cibercriminoso, que permite
escolher o perfil de dados, a classe econômica e/ou demais campos de interesse.
O criminoso limita a quantidade máxima de 10 escolhas de um total de 37
disponíveis para consultas de CPF, além de outros 17 específicos para CNPJ.
O programa disponibilizado foi analisado por diversos
pesquisadores renomados na indústria de segurança da informação e em
nenhuma análise foi identificada qualquer atividade maliciosa no artefato,
ao contrário do que alguns jornalistas apontaram em diversas reportagens. Os
dados estão, sim, disponíveis, mas há muito tempo consegue-se adquirir a mesma
quantidade de informação por um valor inferior ao que esse cibercriminoso pede.
Por incrível que pareça, essas informações podem
ser obtidas de forma lícita por meio de diversos birôs de serviço
disponíveis no mercado. Demais disso, faz muito tempo que se ouve falar do
famoso CD-ROM da Receita Federal sendo comercializado nas ruas
do centro de São Paulo ou até mesmo os painéis de consulta, vendidos por
diversos fraudadores por mensalidades em torno de R$ 120,
independentemente do número de consultas.
Fazendo uma conta simples, em se conseguindo
automatizar a consulta de um CPF por segundo (algo que, para
os padrões atuais, é extremamente lento para fins de automação), tem-se a
seguinte equação: 60s x 60min x 24h x 30 dias = 2.592.000 de CPFs por R$ 120 —
um valor bem mais em conta para um criminoso que pretenda se valer desses dados
para seus propósitos ilícitos. Para obter o total dos 223 milhões, seria gasto
algo em torno de 86 meses e um total de R$ 10,3 mil. É possível reduzir o tempo
com mais equipamentos em paralelo e com a automação — o que se demonstrou aqui
foi apenas que um atacante consegue chegar ao mesmo volume de dados por
um valor bem inferior, com a base atualizada e com um conjunto maior do que o
limite de 10 campos.
Outro ponto controverso é a origem dos dados.
O atacante diz que são de um dos maiores birôs nacionais, mas é importante
ressaltar que alguns campos no conjunto de informações não existem na estrutura
de dados do tal birô, reforçando a teoria de que a base é um aglomerado
de vários conjuntos de informações que possivelmente pertencem a mais de uma
empresa. Afirmar que o conteúdo disponibilizado nas amostras é fruto de
apenas uma empresa em específico beira o amadorismo, pois os documentos
divulgados eram, em sua maioria, peças de marketing sobre o funcionamento de
produtos e serviços. A questão é que os dados vazam de alguma forma, e
continuam vazando até o momento, de diversas empresas. Resta saber o que
será feito com nossas informações.
Observação: É importante ficar atento a emails, mensagens em aplicativos, SMS e telefonemas suspeitos. Acompanhar faturas de cartões de crédito e de outros serviços contratados. Um dos sites que pode ajudar no sentido de identificar contas bancárias abertas em seu CPF bem como chave Pix cadastrada é o Registrato, do Banco Central. Notícias pautadas no terror e sensacionalismo geram mais incertezas e medos do que informação aos cidadãos. Todos os casos de vazamento merecem ser apurados pelas autoridades, e seus autores, devidamente responsabilizados. Mas cabe a imprensa e aos analistas a incumbência apenas de narrar o acontecimento, e não produzir conteúdo sensacionalista.
Recente relatório da empresa americana de segurança digital McAfee (fundada pelo doidivanas que criou um dos primeiros softwares antivírus comerciais) calculou que o cibercrime gerou prejuízos de US$ 1 trilhão à economia mundial ao longo de 2020 (cerca de 1% do PIB de todos os países). O Brasil só perde para a Turquia em número de ataques, e os riscos aumentaram durante a pandemia, devido ao home office. Redes domésticas de computadores são mais suscetíveis a invasões, e o avanço do comércio eletrônico — outra consequência da Covid) também abriu o apetite dos malfeitores. Tanto é assim que os ataques ao varejo online aumentaram 53,6% em 2020, na comparação com 2019, segundo a empresa de antifraude digital ClearSale, que analisou 106 bilhões de operações digitais e identificou 3,5 milhões de tentativas de fraude.
No ano passado, o TSE, o Ministério da Saúde
e a Embraer, entre outros, foram alvos de invasões. Também em 2020, uma
brecha simples de segurança expôs dados pessoais de clientes do banco digital Nubank (links de cobrança
em redes sociais foram indexados nas buscas do Google sem que os
clientes ou o banco soubessem). Outro gigante exposto foi a Uber — maior
empresa de aluguel de carros do mundo —, que teve dados como nome, email e telefone
de 57 milhões de usuários roubados em 2016. Além da crise de imagem, a
empresa teve de pagar multa de US$ 148 milhões às autoridades americanas.
A figura do hacker/cracker
tende a ser associada à de nerds solitários, que agem à sorrelfa, na calada da
noite e escondidos em porões sujos e escuros. Mas os cibercriminosos modernos
trabalham para grupos organizados, geralmente em expediente comercial, apoiados
por sistemas de inteligência artificial, e costumam manejar uma enorme base de
dados e alimentar bots (robôs), cujos algoritmos são otimizados para mínima
resistência: quando cruzam com um
segundo fator de autenticação, eles desistem e pulam para a próxima
vítima.
Outra lenda antiga apontava sites pornôs como o paraíso
dos criminosos digitais. Na verdade, eles atacam praticamente todos os tipos de
conteúdo e qualquer pessoa está vulnerável, seja rica, seja pobre, famosa ou
anônima. No Brasil, a nova LEI GERAL DE
PROTEÇÃO DE DADOS, sancionada em setembro de 2020, tentará dar maior
segurança às informações pessoais, obrigando as empresas a edificar barreiras
que evitem, ou pelo menos limitem, os ataques digitais. Não será tarefa fácil:
os recursos tecnológicos disponíveis não têm sido suficientes para inibir os
bandidos cibernéticos. Eles continuam a agir livremente em meio à assombrosa
quantidade de dados que transitam a cada segundo na internet.
Marco DeMello, presidente da PSafe, diz
que não quer posar de “profeta do apocalipse”, mas vê os dois megavazamentos
de dados descobertos por sua empresa como alertas importantes. Em
entrevista ao GLOBO desde São Francisco, nos EUA, onde está
baseado, o executivo ele alerta que o crime é muito organizado nestes
vazamentos, e que, apesar de o problema ser global, a situação é mais é ainda
pior no Brasil, pois falta de cultura de proteção de dados e por um
descasamento de investimentos, e os novos ataques, baseados tanto em
engenharia social quanto em inteligência artificial, são muito sofisticados.
A situação, que já era grave, ficou ainda pior porque os cibercriminosos estão evoluindo em suas técnicas, táticas e organização. Agora existe uma máfia, extremamente organizada, que emerge da deep web para roubar dados e trocar por bitcoins. De novo: não estamos lidando com adolescentes encapuzados, que, de algum, tentam invadir a empresa de alguém. Essa é uma imagem fictícia, talvez funcione para Hollywood, para seriados. No mundo real, o que se tem é uma máfia extremamente organizada, bem equipada e não raro patrocinada por governos.