E-mail com dados pessoais vazados de brasileiros é usado para extorsão

Um e-mail recheado de documentos pessoais tem assustado brasileiros. As informações utilizadas pelos golpistas são atribuídas a data brokers — instituições que oferecem serviços de análise de crédito. Na mensagem, os criminosos colocam tudo o que descobriram sobre a vítima como nome, CPF, data de nascimento, título de eleitor, endereço, conta bancária, renda e grau de risco, e pedem um valor (em bitcoins) para proteger o internauta do crime de “roubo de identidade”.

Para receber o falso serviço e ter seus dados protegidos, a vítima deve pagar 0,004 BTC — um valor que próximo de R$ 100 em bitcoin. A orientação principal é não pagar, ainda que a massa de informações corretas sobre a vítima seja um fator de convencimento bastante alto.

Fabio Assolini, analista da Kaspersky no Brasil, explica que obter os dados não é complicado. “Os criminosos podem roubar logins de acesso legítimos para esses serviços. É bastante comum encontrar golpes de phishing e trojan que roubam acessos a data broakers”, explica Assolini.

Não é possível saber de onde nem como as informações foram vazadas e os autores da mensagem têm usado desculpas diferentes para fazer a vítima cair na armadilha. Em alguns dos e-mails usam como assunto “Diretiva de Segurança de Dados” e, em outros, “O Direito de Ser Esquecido”. Em ambos os casos, trata-se de chantagem. Diferente do ransomware, que bloqueia seus arquivos e pede resgate, neste, o criminoso tem as informações e, para não usar ilegalmente, cobra a taxa.

Você recebeu um e-mail como esse?

Assolini pontua duas importantes ações caso os seus dados tenham caído nas mãos de criminosos. A primeira delas é não mandar nenhum valor, seja em bitcoins ou em moeda tradicional. Não há garantia de que não vão usar seus dados para realizar alguma fraude no futuro. “Se você pagar uma vez, podem começar a pedir ainda mais dinheiro”, alerta.

A segunda, se possível, é contratar um serviço de proteção e monitoramento. Algumas instituições oferecem esse sistema no Brasil. Toda vez que alguém consultar um CPF, o detentor deste número receberá um aviso. “É uma forma não de evitar a fraude mas de saber se usaram seus documentos para alguma coisa. Não é muito comum aqui no país, mas nos Estados Unidos é uma prática corrente”, diz.

Isso significa, também, que se alguém usar o número do seu cartão de crédito ou os seus dados para uma falsa compra, o serviço vai avisar.

Sem proteção de dados no Brasil

Para o especialista em segurança da companhia russa, os dados de todos os brasileiros estão expostos de uma maneira ou outra na Internet. “Não temos uma legislação que protege dados pessoais, não temos punição para empresas que sofrem invasões e tem os dados expostos”, critica.

Um vazamento como esse pode ter ocorrido por meio de terceiros que usam essa informação como lojas, bancos e serviços de financiamento.

Os dois lados da criptomoeda

Ainda que a moeda virtual não seja tão popular e dificulte o pagamento para quem não sabe como comprar bitcoins — limitando o total de vítimas potenciais —, o uso da criptomoeda por parte dos criminosos tem seus benefícios. Neste caso são usadas diferentes carteiras de bitcoin.

“Eles podem usar uma carteira exclusiva para cada e-mail enviado e dificultar a investigação. Neste caso não dá para somar o total obtido e fica mais difícil rastrear esses criminosos”, completa Assolini. “É a maneira preferida do criminoso porque há uma dificuldade de encontrá-lo”, disse.

A polícia faz o chamado follow the money. Se o pagamento da extorsão foi feito por conta corrente ou cartão de crédito, é fácil seguir o seu registro. Quando se trata de ciptomoeda é mais difícil. “Não é impossível, mas a dificuldade é maior. Há possibilidade de fazer o tracking disso quando movimenta-se o dinheiro e tenta-se usar de outra forma”, finaliza.

Por Melissa Cruz Cossetti, da redação – Foto: Divulgação/Kaspersky

screen-shot-2017-11-12-at-5.21.46-pm

Deixe uma resposta