Semana passada, aqui mesmo no blog da e-Safer, falamos sobre como o Brasil está em primeiro lugar nas invasões por ransomware. Devido a desinformação de muitas pessoas e o uso de softwares não confiáveis, os cibercriminosos conseguem infectar mais máquinas e atacar até mesmo empresas grandes e governamentais. Caso queira ler o relatório na íntegra e conferir os estudos de caso dessas invasões, clique aqui.
Mais além do sequestro de dados, outro grande problema que enfrentamos são as vendas de dados sensíveis na dark web. Por ser mais difícil de acessar e não estar sujeita a regulamentações, a dark web pode ser um lugar muito perigoso, onde informações sensíveis e dados pessoais podem ser vendidos em grande quantidade para qualquer outro usuário, independentemente da sua intenção – seja utilizá-los para atividades ilegais ou até mesmo infiltrar os donos das informações e subtrair quantidades de dinheiro.
Quais foram as informações descobertas?
De acordo com um levantamento feito pela NordVPN, uma empresa especialista em cibersegurança, somente nestes oito meses do ano de 2023, foram roubados e vendidos cerca de 144 mil cartões de pagamentos. Essa pesquisa também faz um ranking de países afetados, com os Estados Unidos em primeiro lugar, cerca de 3,5 milhões de dados. Em segundo, temos a Índia, seguido pelo Reino Unido e México.
O Brasil ocupa uma alta posição no ranking de países afetados pelo crime em todo o mundo – quinto lugar. Quando consideramos países somente na América do Sul, sua posição sobe ainda mais – primeiro lugar entre os países que mais sofrem roubos e fraudes de cartões.
Segundo a pesquisa, o preço médio por uma unidade roubada é vendida por R$42,25 e, de acordo com o levantamento feito há alguns meses, ainda existem 92 mil dados de cartões de pagamentos à venda ilegalmente. Além disso, mais de 6 milhões de unidades encontradas nas redes anônimas de internet detectaram que 2 em cada 3 cartões, ou 66,7% deles, possuem pelo menos algumas informações privadas das vítimas, entre elas, endereço, número de telefone, e-mail ou até mesmo o número de documentos como identidade e CPF. No Brasil, 48 mil unidades possuiam o número de telefone das vítimas. De acordo com a NordVPN, a estimativa é de que, com a venda total dos bancos de dados que foram encontrados, os criminosos conseguiram ganhar mais de 18,5 milhões de dólares (equivalente a 92,6 bilhões de reais.)
Adrianus Warmenhoven, consultor de segurança cibernética da NordVPN, a presença de informações tão pessoais presentes nessas vendas de cartões tornam uma situação grave ainda mais crítica: ‘No passado, as fraudes com cartões de pagamento eram feitas por meio de força bruta. Hoje, eles são roubados usando métodos mais sofisticados, como phishing e malware, que podem culminar no roubo de identidade da vítima.’
Como funcionam esses ataques de phishing?
Os ataques de phishing são um tipo de cibercrime que se baseia na engenharia social para enganar os usuários e obter informações confidenciais, como senhas, números de cartão de crédito e informações pessoais. Esses ataques geralmente envolvem a criação de mensagens ou sites falsos que imitam entidades legítimas, como bancos, redes sociais ou empresas de e-mail, com o objetivo de convencer as vítimas a revelar informações sensíveis ou enganá-las de que estão usando um serviço legítimo, e que podem preencher os dados tranquilamente.
Baseando-se em suas preferências de busca e comportamento online, os criminosos conseguem personalizar o ataque para que suas vítimas acreditem na mensagem que irão receber. Dessa forma, eles se utilizam de emails, mensagens de texto, redes sociais ou até mesmo uma ligação telefônica.Essa mensagem geralmente inclui elementos de urgência ou medo para motivar a vítima a agir rapidamente, sem que ela tenha tempo de analisar a situação ou possa pedir ajuda de alguém mais experiente.
Dessa forma, a vítima deve geralmente clicar em um link ou baixar um anexo. Depois, preencher senhas e colocar dados confidenciais como número do cartão de crédito ou informações como CPF, RG, entre outras.
Exemplo de ataque por phishing:
Imagine receber uma ligação do seu banco. A pessoa te informa que há uma atividade suspeita em sua conta e que você precisa verificar suas informações de login imediatamente para evitar o bloqueio do cartão. Ela te passa uma ‘suposta compra’ que acabou de ser feita e que, como você sabe que não foi você, pode ter vindo de um cartão clonado ou de alguém utilizando seus dados.
Para que ela possa te ajudar a resolver este problema, ela te passa um link de um site que se parece exatamente com o site real do banco, com logotipos idênticos e um formulário de login.
Ao pedir para que você preencha os dados enquanto espera na linha, eles criam uma sensação de urgência, fazendo com que você acredite que precisa agir rapidamente. Sem suspeitar, você clica no link e insere suas credenciais bancárias. No entanto, o site falso captura suas informações e as envia para os criminosos. Eles acabam fazendo exatamente aquilo que diziam ser o problema.
Com as informações de login em mãos, os criminosos podem acessar sua conta bancária e realizar transações fraudulentas, causando prejuízos financeiros significativos e uma enorme dor de cabeça.
Portanto, para evitar cair em ataques de phishing e tentar manter seus dados fora das listas que estão à venda na dark web, é fundamental verificar cuidadosamente a autenticidade das mensagens e sites, não clicar em links suspeitos, nunca fornecer informações confidenciais em resposta a solicitações de e-mail não solicitadas ou ligações repentinas. Mantenha seu software de segurança e antivírus atualizados, e sempre verifique a fonte daqueles que estão pedindo as suas informações. A conscientização e a educação são ferramentas essenciais na luta contra os ataques de phishing, e a e-Safer está sempre alerta para te ajudar e te informar sobre os acontecimentos no mundo da cibersegurança.
Para saber mais e ficar por dentro, nos siga em nossas redes sociais e acompanhe as postagens aqui em nosso blog!
