O Brasil sofre um fenômeno criminal silencioso: o crescimento desmedido dos golpes eletrônicos. Embora o enredo mude do “golpe do Pix” para o da falsa central de segurança do banco ou do “golpe da mão invisível” para o falso consignado, o ponto em comum entre todos é o dossiê pronto sobre as vítimas que os criminosos têm nas mãos, o que amplia suas chances de sucesso. Esse cenário só é possível graças ao acesso das quadrilhas a dados vazados de cadastros públicos ou privados, o que denuncia o grau de exposição dos brasileiros.
Pesquisa da Tenable, empresa americana especializada em gerenciamento de exposição cibernética, aponta que 984,7 milhões de dados foram vazados no Brasil no ano passado. Isso representa 112 terabytes de informações expostas no país, volume que representa 43% dos 257 terabytes em todo o mundo, de acordo com o Relatório do Cenário de Ameaças feito pela Tenable.
As raras investigações policiais que enfrentaram o problema revelaram que o nicho do mercado ilegal de venda de dados tem sido explorado por jovens hackers, que enxergaram a alta lucratividade dessa atividade sem necessariamente ter que correr os riscos inerentes às outras atividades ilegais.
Os vazamentos mais comuns ocorrem em decorrência de ataques em grandes empresas, como operadoras de celular e bases governamentais, como INSS e Receita Federal. Mas investigações já demonstraram que os criminosos têm acesso até a câmeras de OCR (reconhecimento de placas de carros), gerenciadas pelo Córtex, sistema do Ministério da Justiça. Esse sistema permite a leitura de placas de veículos por milhares de câmeras espalhadas por rodovias, pontes, túneis, ruas e avenidas do país, permitindo rastrear alvos móveis em tempo real.
“A segurança de informação das instituições públicas e privadas do Brasil funciona, infelizmente, com a política da porta arrombada. Só se tomam providências quando são hackeados e têm os dados vazados. Sistemas críticos têm falhas gritantes de segurança e os administradores e desenvolvedores não têm know-how para mitigar as falhas”, lamenta Wanderley Abreu, o Storm, empresário e ex-hacker que invadiu a Nasa aos 17 anos.
Dados na internet
Do vazamento dos dados à abordagem da vítima, há uma sequência de crimes. O primeiro é cometido pelo vazador, que rouba as informações de alguma base e faz a negociação. Esse material, vindo de diversas fontes, vai para as mãos de um hacker que monta um painel, uma espécie de site, e oferece de forma organizada esses dados no mercado paralelo. Por fim, chega-se ao estelionatário, que compra uma senha de acesso e seleciona as vítimas e o tipo de golpe a ser aplicado de acordo com o perfil da base.
Os mesmos painéis são usados para montagem de dossiês ou levantamentos da rotina de pessoas, especialmente autoridades, a serem ameaçadas. Há ainda casos em que o hacker invade mais de uma base de dados e monta os dossiês juntando as informações colhidas e deixando uma armadilha quase impossível de ser identificada pela vítima, tamanho o número de detalhes.
“Com acesso aos detalhes da vida pessoal de qualquer pessoa, o golpista fica muitas vezes em casa, tomando uma cerveja, enquanto liga para as vítimas. De tantas ligações no dia, um ou dois acabam caindo e o crime está consumado”, relata um investigador da polícia que já atuou em inquéritos contra esse tipo de quadrilha.
Sem repressão, o mercado do dado clandestino atua livremente no mundo digital, com a audácia de divulgar até tabela de preços. O site www.detetivevirtual.net, por exemplo, cobra R$ 85 por “investigação” de CPF. Ele se diz “especialista em informações cadastrais” e oferece enviar dados direto para o número de WhatsApp do cliente.
A internet está infestada de painéis do gênero, identificados pela polícia como tendo forte indício de fraude, como pastebin.com, i-find.org, painelempresarial.business, entre outros. Com acesso a eles, os criminosos conseguem selecionar as vítimas por faixa etária, classe social e renda. Ainda conseguem identificar número de celulares de parentes e até os carros que têm na garagem.
Apesar de ser fácil achar esses serviços numa rápida pesquisa na internet, eles são expressamente vedados pela Lei Geral de Proteção de Dados Pessoais (LGPD). A proteção dos dados pessoais é considerada uma garantia fundamental pela Constituição Federal. Quando os dados são vazados a partir de bases públicas e o vazamento provoca exposição e dano a uma pessoa, o Estado pode ser responsabilizado no campo cível, nos termos do artigo 37 da Constituição. Caso algum servidor público tenha participado dolosamente do vazamento, pode ser responsabilizado por crime.
.png)