Com uma frequência cada vez maior, recebemos a notícia de que um grande vazamento de dados foi descoberto. Muitos deles com diversos dados pessoais sensíveis e, em alguns casos, até fotos. Mas, quais são as implicações de ter o CPF vazado?
Para as empresas, essas ocorrências têm um custo bastante elevado. Segundo o relatório “Custo de uma violação de dados” de 2021, o custo total médio de vazamentos em empresas com mais de 25 mil funcionários é de US$ 5,3 milhões. Esse valor é dividido entre as multas que a empresa paga pelo ocorrido, mas também pela quantidade de negócios perdidos.
Na outra ponta, elas também são afetadas nas operações fraudulentas com dados obtidos ilegalmente. Segundo um estudo da LexisNexis Risk Solutions, no Brasil cada transação fraudulenta custa em média 3,68 vezes o valor da operação perdida, como abertura de uma conta bancária ou portabilidade de celular.
Neste artigo, entenda quais são as implicações do vazamento de dados pessoais, as fraudes mais comuns usando essas informações e os caminhos que a empresa pode adotar para mitigar o sucesso dos criminosos.
CPF vazado: como isso acontece?
Os vazamentos de dados acontecem quando informações de usuários são indevidamente acessados e divulgados ou repassados a terceiros. Diversos fatores podem levar a um caso dessa natureza, como falhas de segurança, problemas no sistema, ações internas, acidentais ou não, ou ataques de hackers.
Por existirem tantas situações que geram riscos de vazamentos é que a normativa da Lei Geral de Proteção de Dados determina que as empresas que lidam com dados pessoais sensíveis adotem as melhores práticas de segurança. Dentre elas, está o uso de firewalls, antimalware, antivírus, tokens de verificação e tecnologia criptografada.
Ainda assim, os fraudadores estão constantemente mudando de estratégia. Segundo dados do MIT Sloan Review Brasil, os vazamentos já são um serviço disponibilizado na dark web e que pode ser contratado por terceiros. Também foram mapeadas ações de CAaaS, os Cyberattacks-as-a-service, ou “ataques cibernéticos como serviço”.
Esses “profissionais” são contratados justamente para realizar ações de roubo e vazamento de dados. As informações vazadas passam depois por um processo de enriquecimento, que cruza dados lícitos e ilícitos, como explica o artigo:
Os milhares de dados vazados do governo, por exemplo, foram enriquecidos com fotos extraídas de sites públicos do Tribunal Superior Eleitoral (TSE). Ao vazamento de números de mais de 100 milhões de registros telefônicos se somaram os dados obtidos com engenharia social do WhatsApp, um por um.
Tudo é feito de forma muito organizada e, na grande maioria, sem rastros, dificultando os rumos das investigações, mas facilitando, cada vez mais, as ações de fraudadores.
O histórico de dados vazados no Brasil
No primeiro trimestre de 2022, dois usuários de internet tiveram seus dados vazados por segundo. Ainda que seja muito, esse número representa uma melhora: no último trimestre de 2021, eram seis vazamentos por segundo, segundo dados da Surfshark.
Ranking de vazamento de dados no mundo, por trimestre, no último ano
No Brasil, em 2022, estamos na 12ª posição entre os países que mais contabilizaram vazamentos de dados no primeiro trimestre do ano, com cerca de 200 mil informações vazadas. Esse também é um saldo positivo: é 80% menor que o valor acumulado no final de 2021, quando estávamos na 5ª posição.
Ranking de vazamento de dados no primeiro trimestre de 2022
De 2018 para 2019, houve um aumento de vazamento de dados em 493%, segundo um estudo do MIT. De 3 casos alarmantes, o Brasil saltou para 16 situações de risco por ano. Em 2019, um hacker leiloou dados de 92 milhões de brasileiros. Nesse banco de dados, estavam informações como CPF, nome completo, nome da mãe, data de nascimento e mais.
Apenas em 2021, aconteceram dois megavazamentos — grandes operações que colocam em risco a cibersegurança dos cidadãos. Como revelado pelo Estadão, em um deles foram vazados 233 milhões de CPFs — número maior que a população total no país, indicando que até dados inativos estavam na lista.
Dentro do 1 TB de informações, havia cerca de um milhão de imagens de rostos de pessoas. Era possível pagar US$ 500 dólares para acessar até 10 categorias de dados de todas as pessoas da lista, que incluía o presidente da república e 12 ministros do STF.
Ainda que os valores atuais representem uma queda, não podemos esquecer que todas as informações vazadas até hoje permanecem disponíveis na internet de alguma forma — a grande maioria delas na deep web.
5 fraudes cometidas com dados vazados, como CPF
O que há de muito grave no vazamento de CPFs é que eles são uma numeração única, cadastrada em diversos programas federais e capaz de identificar cada pessoa individualmente. Então, além de ser um dado identificável, ele torna mais fácil o cruzamento de informações produzindo uma base cada vez mais completa.
Dessa forma, os fraudadores têm em mãos todas as informações sobre as vítimas, o que aumenta as chances de engano dos sistemas de cadastro de empresas com serviços financeiros, por exemplo.
Veja algumas das fraudes mais comuns que podem ser cometidas a partir de um CPF vazado, quando combinado com outros dados pessoais:
Boletos falsos
Com os dados das vítimas em mãos, os fraudadores elaboram e enviam boletos falsos para os clientes que, sem perceber a diferença, realizam o pagamento.
As empresas perdem aquele pagamento e os consumidores sofrem com o prejuízo.
Contratação de empréstimo
Diversos processos foram facilitados para levar maior comodidade aos clientes de bancos e instituições financeiras. Por exemplo, em muitos deles, os dados necessários para realizar um empréstimo são apenas CPF, RG, comprovante de renda e de residência.
Muitas pessoas já tiveram todas essas informações vazadas, então, para os criminosos, basta apenas encontrá-las na dark web. Se o empréstimo for solicitado pelo celular, por exemplo, basta que eles informem tudo corretamente para aumentar a chance de que a operação seja aprovada.
Alterações cadastrais e novo cartão de crédito
Com os dados da vítima em mãos, os fraudadores entram em contato com as empresas e solicitam alterações cadastrais. O que estão fazendo é colocar o próprio endereço nas informações do cliente.
Como a maioria dos estabelecimentos faz a conferência de identidade usando alguns dados específicos, basta que ele informe tudo para que a operação prossiga. Alguns dias depois, os fraudadores entram em contato novamente, pedem a segunda via do cartão de crédito e recebem a entrega na própria casa.
Abertura de conta
Uma ação que tem se tornado cada vez mais comum é o uso de CPFs e dados vazados para abrir contas em nome de outras pessoas. Elas podem ser feitas diretamente nos aplicativos dos bancos ou instituições financeiras.
As chamadas “contas laranja” são posteriormente usadas em outros crimes, como saques do Pix. Nesses casos, o fraudador tem acesso ao celular ou à conta bancária da vítima e faz transferência via Pix. De posse do cartão, o dinheiro é rapidamente sacado e, fora das contas, não existem mais registros do caminho percorrido pelo dinheiro.
Em maio de 2021, Roberto Campos Neto, presidente do Banco Central, disse que a instituição pretende apertar os bancos para frear as fraudes envolvendo o Pix, sobretudo nos casos de fontes receptoras criadas com documentos de terceiros.
💡Leia mais: Fraude Pix: 4 principais tipos e medidas de segurança
Portabilidade de celular
Outra fraude recorrente feita a partir dos dados de terceiros são as portabilidades de número de celular, também chamada de SIM Swap. Os fraudadores entram em contato com a operadora e fazem a solicitação de portabilidade utilizando os dados da vítima, para solicitar o bloqueio daquele chip e a reativação do número em outro.
De posse do número, fica fácil fazer a troca de senhas, acessar apps e até confirmar autenticação de dois fatores em determinados aplicativos, devido ao envio de token ou confirmação por SMS.
Como prevenir a empresa de fraudes com CPF vazado?
Em entrevista ao UOL, Juliana Oms, advogada e analista de pesquisas do programas de direitos digitais do Instituto Brasileiro de Defesa do Consumidor, listou três atitudes centrais que as empresas podem seguir para proteger os dados dos consumidores:
-
-
- Adotar medidas de segurança e administrativas aptas a proteger os dados, para evitar acessos não autorizados ou situações acidentais de vazamento;
- Mesmo que o país ainda não tenha adotado medidas técnicas específicas, seguir padrões internacionais consolidados em proteção de dados;
- Estabelecer regras de boas práticas por meio de um código de conduta específico a ser adotado na empresa.
-
Essas iniciativas também podem ser adotadas no momento da coleta de dados para autorizar uma transação financeira. Por exemplo, indo além da verificação de dados no onboarding e adotando outras medidas, como a confirmação por outro dispositivo ou a biometria de voz.
Sistema antifraude
Uma medida importante e bastante recomendada é a adoção de um sistema antifraude.
Para além de medidas pontuais, o sistema permite adotar uma combinação de tecnologias para barrar a ocorrência de fraude. Assim, mesmo que a abordagem do fraudador mude, as chances de que a sua empresa seja capaz de identificar a ação enganosa são maiores.
Conheça mais sobre esse sistema e veja como levá-lo para a sua empresa:
A seguir, você vai aprender sobre: