De acordo com a empresa de segurança Trend Micro, o roubo de identidade é atualmente uma mina de ouro para os cibercriminosos: alcançou a maior alta de todos os tempos em 2016, com prejuízos de até US$16 bilhões causados por fraudes e roubos de identidade.
O roubo de identidade já é um problema em si, mas o dano real e tangível usualmente acontece depois do ataque quando o hacker usa as informações roubadas para fins maliciosos. Sendo assim, a Trend Micro foi além e decidiu investigar a fundo onde exatamente essas informações poderiam parar.
Elas são vendidas em mercados clandestinos? Talvez reunidas com outras informações roubadas e vendidas para empresas legítimas? Usadas para fraude em pagamentos?
Origens
Antes no entanto, a empresa fez um mapeamento de como estas informações podem ser roubadas. A pesquisa demonstrou que, em termos de predominância, a perda ou roubo de dispositivos foi a primeira causa para o roubo de informações. A atividade de hackers, disseminação de malware e vazamentos internos foram também razões bem classificadas no ranking de causas.
Métodos que causaram o maior número de roubo de dados entre o período de janeiro de 2005 a abril de 2015:
- 41% perda ou roubo de dispositivos;
- 25% malware ou hacking;
- 12% vazamento interno de dados.
Roubo de dados no Brasil
No Brasil, as informações pessoais dos cidadãos são vendidas em vários fóruns da Internet como já reportado no relatório “Subindo na Hierarquia”. Sites como “TudoSobreTodos” ou o Telefone Ninja, que viraram notícia no passado, são frequentemente vistos. Além disso, grandes listas e bancos de dados possivelmente vazados de sistemas do governo, transportes, saúde e dados de cartão de crédito são comercializados.
Considerando sua própria segurança, o hacker prefere vender os dados do que usá-los diretamente para cometer fraudes (sendo que esta opção torna o cibercriminoso mais facilmente rastreável).
De acordo com Fernando Mercês, pesquisador sênior de ameaças e segurança da Trend Micro, a tendência desse comércio é infelizmente aumentar, já que milhares de empresas, instituições financeiras e serviços ao cidadão realizam as transações pela Internet, para facilitar a oferta. Os cibercriminosos aproveitam desta grande massa de volume de dados na Internet para explorar os sistemas onde a segurança é falha e acabaram criando um novo mercado paralelo de venda de informações.
Tipos de dados furtados no Brasil
Normalmente, o tipo de informação roubada dita o lugar em que elas irão parar. Dependendo da origem dos dados roubados, estas informações podem ser usadas com diferentes intenções por hackers e cibercriminosos.
Informação Pessoal Identificável
A informação pessoal identificável (na sigla em inglês, PII) são os dados que podem ser usados para identificar, localizar ou contatar uma pessoa específica. Exemplos: datas de nascimento, endereços, número de CPF, telefone e todos os outros dados que são usados para distinguir ou identificar uma pessoa.
É o tipo de dado mais suscetível à roubo e altamente versátil em termos de como os cibercriminosos podem usar a informação. Os hackers frequentemente investem em ataques maliciosos que impactam a vítima diretamente, como a realização de empréstimos ou solicitação de cartões de créditos no nome do indivíduo roubado. Por outro lado, as vítimas também podem sofrer impactos de forma indireta quando sua PII é vendida para empresas de marketing especializadas em campanhas de spam.
Dados financeiros
Incluem informações bancárias, dados para cobrança, informações de seguros e outros dados que podem ser usados para acessar contas ou processar transações financeiras.
Um cibercriminoso pode usá-las para atividades maliciosas simples, como pagar contas, realizar transações fraudulentas online e transferir dinheiros das contas bancárias da vítima. Grupos hackers mais dedicados podem até mesmo para criar cartões de créditos falsos para seu próprio uso.
Registros Médicos
As informações de assistência médica incluem prontuários hospitalares, seguro saúde e outras informações relacionadas. As informações da assistência médica podem ser potencialmente usadas para comprar remédios que não são vendidos sem prescrição médica específica. Isto pode levar ao vício, especialmente quando se trata de casos relacionados ao uso de medicamentos “tarja-preta” vendidos apenas sob prescrição médica.
Histórico educacional
Inclui os dados de uma pessoa com base em seu histórico educacional do ensino médio e superior. Um hacker pode usar as informações educacionais para expor os usuários ao risco de chantagem e extorsão.
De maneira parecida, os cibercriminosos também podem usar estas informações para realizar ataques de phishing fingindo serem estudantes ou funcionários de uma instituição acadêmica.
Cartões de pagamento
Os dados dos cartões de débito e crédito podem permitir que o hacker faça compras imediatas e transações online com base nas informações encontradas no cartão. O cibercriminoso pode acessar informações bancárias, contas de faturamento, informações de seguros e que podem ser usados para acessar contas ou processar transações financeiras.
O quanto vale uma informação pessoal?
O preço das informações roubadas depende do quão útil elas são para os estelionatários. A Trend Micro listou alguns preços para dados roubados descobertos durante a pesquisa nos mercados clandestinos do cibercrime (os preços são em dólares):
- As informações pessoais identificáveis são usualmente vendidas em uma base de US$1 por linha;
- Digitalizações completas de documentos como passaportes, carteiras de habilitação, contas de água e luz, e outras estão disponíveis para compra a partir de US$10 a US$35 por documento digitalizado;
- As credenciais de login para bancos em todo o mundo são vendidas entre US$200 e US$500 nos mercados da deep web;
- Contas antigas de eBay (com anos de histórico de transação) são vendidas por até US$300 cada. As contas mais antigas são menos suscetíveis à marcação de transações suspeitas.
O que pode ser feito para mitigar o roubo de dados?
- Fortes medidas de segurança: usuários devem certificar-se de que os dados contidos nos dispositivos não sejam facilmente acessíveis ao implementar proteções anti-roubo;
- Não clique em links suspeitos, programas ou aplicações: usuários devem estar conscientes de qualquer link ou email suspeito de segurança;
- Limite a exposição de informações pessoais na Internet: os usuários devem expor o mínimo da vida pessoal no ambiente online.
