BURRICE E MALDADE JAMAIS FORAM TERMOS ANTAGÔNICOS.
Pesquisadores da Check
Point descobriram que uma campanha de phishing deixou
mais de 1.000 credenciais corporativas, roubadas através do acesso das vítimas
a uma página de login falsa da marca Xerox, acessíveis a qualquer
internauta que fizesse uma busca no Google. Mas não é só: soube-se
recentemente que um enorme vazamento de dados expôs mais de 200 milhões de
CPFs e é considerado o mais crítico dos últimos anos, pois oferece o
nome completo do titular do documento, além de foto, telefone, email, salário,
informações de FGTS, INSS e Bolsa Família, entre outras informações sigilosas.
Neste caso específico são dois vazamentos separados: um
contém os dados de automóveis e informações limitadas de cada número do
CPF e está em livre circulação na internet, disponível, inclusive para
download; o outro, mais abrangente, mas com distribuição limitada, inclui
dados de escolaridade, benefícios do INSS e programas sociais (como o Bolsa
Família), renda e score de crédito — lista que estima se o cidadão é
bom pagador, consultada por lojas e instituições de crédito — e cheques sem
fundos, entre outros. Há ainda dados de 104 milhões de veículos
automotivos, de placas até o tipo de combustível usado, segundo a PSafe
— uma das empresas que identificou o vazamento.
Observação: O número de cadastros vazado
supera a população brasileira (estimada em 212 milhões) porque os dados incluem
pessoas falecidas. Não há, por outro lado, CPFs de nascidas em 2020, além
de não ser possível afirmar que todas as pessoas nascidas antes de 2019 foram
expostas. É possível que o pacote tenha sido consolidado a partir de
diversas fontes, incluindo outros vazamentos anteriores. Ao longo dos anos,
diversas informações pessoais de brasileiros têm circulado inclusive entre
empresas que, sem ter obrigação de proteger estes dados, decidiram divulgá-los.
Um terceiro conjunto de dados que está à venda contém
informações sobre empresas, incluindo as mesmas informações atreladas ao CPF.
A intenção dos criminosos é comercializar as informações, mas a oferta não
cobre a integralidade dos dados, ou seja, só é possível comprar trechos. Para
comprovar a autenticidade, eles publicaram arquivos de ‘exemplo‘
com mil amostras de cada tipo de informação. Muitas das ofertas de dados
publicadas indicam a fonte da informação (uma seguradora ou um banco,
por exemplo), caso em que não há indicação de uma fonte específica.
No caso do phishing, o modus operandi foi
o seguinte: os atacantes enviaram às potenciais vítimas um email com um
arquivo HTML em anexo, com a capacidade de "driblar" o
filtro de ATP (Proteção Avançada contra Ameaças) do Office
365. Ao clicar no documento, os internautas eram redirecionados para uma
página de login falsa da Xerox. As senhas e endereços de email
informados eram enviados e armazenados em um arquivo de texto hospedado em
servidores comprometidos. O problema é que o Google indexou
esses documentos, tornando as informações acessíveis para que se desse ao
trabalho de fazer uma busca na Web.
As informações podem ser acessadas na internet aberta
mediante o pagamento de US$ 1 por CPF. Com os dados em mãos, estelionatários
confeccionam documentos falsos, adulteram fotos para burlar sistemas, invadem
contas bancárias e de programas sociais do Governo Federal — como o app da Caixa
— e por aí vai.
Em face do exposto, recomenda-se cuidado com domínios similares
a seus correspondentes legítimos. Diferencia uma página fake da verdadeira nem
sempre é simples, mas se houver erros ortográficos nas mensagens que levam a
essas páginas... Enfim, jamais clique em links ou baixe arquivos recebidos de remetentes
desconhecidos, ou ao menos cheque o URL do site para onde o link redireciona e
o email do remetente da mensagem.
Caso tenha interesse em algum produto ou
serviço anunciado nessas mensagens, não siga os links promocionais. Pesquise
no Google (ou outro buscador) pelo nome da empresa desejada e
siga o link (ou um dos links) sugerido(s) na página de resultados.
Redobre os cuidados com as famosas promoções
imperdíveis e ofertas especiais — sobretudo quando o
produto ou serviço é oferecido por um valor muito abaixo do preço de mercado —,
que são criadas para engabelar internautas desavisados. Se não tiver certeza de
que a página é real e segura, não forneça informações pessoais nem realize
pagamentos. Aliás, convém efetuar transações financeiras somente através dos canais
oficiais do banco. Demais disso:
Não compartilhe conteúdo íntimo: apesar de
ser cada vez mais comum a troca de imagens e vídeos de conteúdo erótico entre
casais ou pretendentes, a recomendação é para não compartilhar conteúdo íntimo
com ninguém. Ainda assim, caso escolha compartilhar, faça-o apenas depois de
conhecer minimamente a outra pessoa.
Desconfie de aplicativos que prometem destruir
mensagens ou arquivos: mesmo que o aplicativo exiba informações de que
destrói mensagens e arquivos depois de determinado tempo, existem muitas formas
de recuperar essas informações, seja usando aplicativos de terceiros, seja
acessando pastas de sistema dentro do celular.
Não deixe contas logadas: seja em
computadores públicos, de terceiros ou mesmo em seu próprio computador, clique
em Sair (ou algo que o valha) para interromper a conexão
sempre que você não for mais utilizar aplicativos, redes sociais ou serviços
oferecidos por websites. Caso alguém eventualmente venha a acessar o
dispositivo e uma conta estiver logada, o acesso a mensagens e arquivos
presentes será irrestrito.
Cuidado com a nuvem: muitos serviços em
nuvem, como drives ou emails, fazem sincronia automática de seus conteúdos.
Caso armazene conteúdo íntimo em qualquer dispositivo, configure os serviços em
nuvem para que não façam sincronia automática — ou desabilite o recurso,
garantido que seja salvo na nuvem somente aquilo inserir manualmente.
Proteja celulares e aplicativos: boa parte
do conteúdo íntimo é produzido através do smartphone, razão pela qual é preciso
manter o dispositivo protegido. Portanto, habilite a criptografia e configure o
bloqueio de tela para que libere o acesso apenas mediante senha, PIN, padrão ou
reconhecimento biométrico.
Observação: Também é possível proteger o
acesso a emails, programas de troca de mensagens, drives, bancos etc.,
configurando uma conta de acesso específica para aplicativos, que deve ter uma
senha exclusiva. Alguns sistemas operacionais já possuem essa opção embutida e
permitem configurar uma senha de acesso para os apps que você desejar.
Proteja seu computador: assim como os
smartphones, PCs precisam ser protegidos mediante senhas de acesso,
criptografia de disco e bloqueio de tela por inatividade.
O desenvolvedor Allan Fernando Armelin da Silva
Moraes, de 18 anos, criou um site onde os interessados podem verificar se
seus dados foram vazados, mas especialistas estão divididos quanto à legalidade
e segurança do serviço.
Continua...