O que é "brushing" e o que ele tem a ver com o envio de sementes da Ásia?
Sem tempo, irmão
- Centenas de brasileiros receberam sementes pelos correios
- Encomenda pode ser sinais da prática de brushing, típica de e-commerce
- A fraude usa dados verdadeiros para vender produto falso e impulsionar empresa
- Informações vêm de vazamentos ou de venda de base de dados entre empresas
- LGPD pode ser a arma tupiniquim para lutar contra brushing aqui
Mais de 200 casos de entrega de pacotes de sementes não solicitados foram registrados pelo Ministério da Agricultura em 23 Estados brasileiros, todos originários da Ásia, de lugares como Malásia e Hong Kong. O fato inusitado colocou os brasileiros em alerta: as sementes representam um risco? Por que isso está acontecendo? Esse tipo de "encomenda" não é bem uma novidade para quem está por dentro dos esquemas do comércio eletrônico: pode se tratar de um esquema fraudulento chamado "brushing" (do verbo espalhar, em inglês).
Nenhuma autoridade nacional bateu o martelo sobre a intenção de quem enviou as sementes ao Brasil e outras partes do mundo. Tudo indica que é "brushing", mas a suspeita de bioterrorismo ou contaminação não foi totalmente descartada — embora a própria Embaixada da China no Brasil tenha alertado sobre indícios de fraude das etiquetas de endereçamento.
O que é brushing e para que serve?
O envio de mercadorias não solicitadas serve para registrar compras falsas e impulsionar um determinado lojista dentro de plataformas do tipo marketplace —um site que vende produtos de várias lojas.
"Nos marketplace, os compradores têm muita voz e fazem parte da base de dados estatísticos. Se muita gente compra, muita gente avalia. Ganha mais destaque quem tiver mais avaliações", explica Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética.
Em geral, esses sites possuem validadores que cruzam outras informações para saber se as avaliações feitas pelo consumidor são verdadeiras. Por isso, a fraude, para funcionar, usa dados de pessoas de verdade.
"[Os golpistas] criam um perfil fake usando endereço e outros dados reais. Eles conseguem validar a compra, mas não foi o dono dos dados quem comprou e avaliou o produto", explica Kalinka Castelo Branco, professora do Instituto de Ciências Matemáticas e de Computação (ICMC) da USP, em São Carlos
Isso serve para burlar o sistema de avaliação, de modo que o próximo possível cliente que pesquisar pelo produto impulsionado encontre avaliações positivas e uma empresa com boa reputação.
"Às vezes, ele não vai me entregar nada, vai me entregar um tijolo dentro da caixa ou... sementes", diz a professora da USP.
Fartura de acesso aos dados
Nada disso é novo. No Brasil, este tipo de fraude está começando agora, mas isso acontece há anos em marketplaces como Alibaba e Ebay.
Kin, especialista em análise de perfis alvos de ataques hacker, conta que lida com brushing há mais de 12 anos. "Antigamente, tinha gente que recebia caixas cheias de isopor com algum peso em casa. Agora estão usando sementes porque, provavelmente, alguém por lá teve essa ideia", diz.
Esses lojistas mal intencionados pegam dados verdadeiros de quem já comprou pela internet, geralmente vazados e disponível para compra na deep web (sites que não aparecem nas buscas). Para você ter uma ideia, calcula-se que 1,4 bilhão de logins e senhas de serviços como Netflix, LinkedIn, Minecraft e Badoo já foi exposto em sites assim.
- Seus dados valem de US$ 5 a US$ 10 mil no submundo da internet
- Identidades de bebês valem centenas de dólares na dark web
- Pesquisadores conseguiram comprar 530 mil senhas do Zoom
O professor de Segurança e Auditoria da ESPM, Osmany Arruda, te propõe um teste: vá no serviço de busca no seu navegador e digite "CV + RG + CPF". "Você não vai acreditar no que vai vir de currículo com tudo, com o nome completo e tudo", adverte.
Ele usou esse exemplo para dizer que informações como CPF, RG, telefone e endereço são fáceis de serem encontradas por aí. Existem outras maneiras (mais sofisticadas) de pegar seus dados sem que você se dê conta disso e usar suas informações para esquemas fraudulentos.
"A grande maioria desses vazamentos vêm de e-commerces menores que não tem políticas claras, maturidade, segurança suficiente, ou de cadastros feitos em sites que não têm uma boa reputação. Também podem acontecer vazamentos em grandes magazines, que vez ou outra são noticiados", conta.
Para evitar que seus dados caiam em mãos erradas, os especialistas ouvidos por Tilt aconselham:
- Verifique se o site que você está comprando tem um selo de validação de segurança;
- Evite senhas padrão em sites do tipo marketplace e troque a sua senha ao menos uma vez por ano;
- Não saia dando seus dados para qualquer pessoa, seja na balada (que às vezes pedem RG e CPF), seja em pesquisas de rua em instituições não reconhecidas;
- Não compartilhe dados pessoais nas redes sociais, e isso vale até para o seu story no Instagram marcando a sua casa;
- Use plataformas como Pag Seguro e Pay Pal para fazer compras pela internet, já que elas reduzem a quantidade de informações que você precisa compartilhar com outras plataformas (dá até para mandar entregar no endereço cadastrado nessa plataformas, sem você precisar colocar o seu)
- Compre sempre de sites que tenham boa reputação.
"Você precisa ter a consciência que, se tiver que fazer uma transação pela internet, ela nunca vai ser 100% segura —mas na loja física ela também não é, você pode ser assaltado no meio do caminho. A gente tem que saber dos riscos e evitar o máximo colocar informações à disposição dos mal intencionados", afirma Branco, da USP.
LGPD é arma contra "brushing"?
A professora afirma que a pessoa não precisa entrar na deep web para ter essas bases de dados, já que empresas comercializam os nossos dados para outras sem a gente nem saber. No caso do Brasil, agora temos a LGPD (Lei Geral de Proteção de Dados) para evitar essa prática.
"Mas é claro que o site chinês não vai cumprir as leis de proteção de dados do Brasil, então nesse caso as pessoa estão por sua própria conta em risco", afirma.
A LGPD muda essa prática de venda de dados entre empresas, mas isso vai levar um tempo, segundo Osmany Arruda, da ESPM.
"Ela ainda está obscura por causa da ANPD [Agência Nacional de Proteção de Dados] que ainda não está funcionando, mas as multas estão acontecendo. E ainda existe outro ponto importante: as empresas que não tomarem cuidado com isso vão deixar de trabalhar com parceiras porque se eles compartilham esse dado de maneira ilegal todo mundo pode ser penalizado", disse.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.