Topo

Seus dados devem estar sendo vendidos na internet, então faça um B.O e mais

Getty Images/iStockphoto
Imagem: Getty Images/iStockphoto

Vinícius de Oliveira e Fabiana Uchinaka

De Tilt, em São Paulo

07/12/2021 10h40Atualizada em 08/12/2021 12h54

Sem tempo, irmão

  • Dados de milhões de brasileiros estão à venda na internet custando até R$ 200
  • Especialistas aconselham monitoramento de CPF para ser avisado de vazamentos
  • Evitar cadastro em sites suspeitos e fornecer informações por telefone também são importantes

Se você comprovou que os seus dados fazem parte dos milhões que vazaram e estão sendo vendidos na internet (comece checando nesta ferramenta do Google), a primeira coisa a fazer é um boletim de ocorrência. "Assim como é importante fazer um boletim de ocorrência quando você perde um documento. Ter isso em mãos serve para se resguardar caso aconteça alguma fraude", diz Mathias Naganuma, especialista em defesa cibernética.

A advogada Giselle Truzzi, especialista em direito digital, sugere ainda reportar o incidente a órgãos de defesa do consumidor, Ministério Público e à ANPD (Autoridade Nacional de Proteção de Dados) por meio de seus canais de atendimento.

Dados completos de milhões de brasileiros podem ser acessados em sites por qualquer pessoa disposta a pagar cerca de R$ 200, revelou reportagem da "Folha de S.Paulo". Nome completo, RG, CPF e data de nascimento são adquiridos com muita facilidade, sem necessidade de acessar a deep web ou contatar hackers.

É preocupante, mas já mostramos em Tilt que as informações disponíveis sobre você não param por aí —e elas possuem muito mais valor quando são enriquecidas.

Pessoas ou empresas especializadas podem fazer uma coleta maciça de todos nossos dados públicos (técnica chamada de raspagem) e cruzar com outros vazados. A varredura consegue associar, classificar e organizar as informações coletadas, usando softwares especiais.

Para você ter uma ideia, o número de pessoas que tiveram dados vazados ultrapassa o número de pessoas vivas no mundo —isso porque muitas das informações são de pessoas que já morreram. Já vazou salário, escore de crédito (consultado por lojas quando o consumidor faz compras), cheques sem fundos, placas de veículos e até o tipo de combustível usado.

Outro vazamento teria exposto fotos de documentos, endereço e nome de mães de 227 milhões de brasileiros. "É um dado valioso por ser frequentemente solicitado em etapas de validação de serviços online", reportou a empresa de cibersegurança Syhunt, que identificou o megavazamento e monitora esse tipo de ação.

No vazamento do Facebook de 2018, por exemplo, foram expostas informações como:

  • Email, celular, nome de usuário e data de nascimento
  • Gênero
  • Tipos de dispositivos em que você acessou o Facebook
  • A língua em que você usa o Facebook
  • Status de relacionamento
  • Religião
  • Cidade de nascimento e cidade atual
  • Trabalho e educação
  • 10 mais recentes localizações que você fez check-in ou que foi marcado
  • 15 buscas mais recentes que você procurou na barra do Facebook
  • Pessoas e páginas que você segue no Facebook

Já são mais de 9 bilhões de senhas expostas, que viram dinheiro no comércio ilegal da dark web (pacotes de dados valem até US$ 10 mil no submundo da internet e identidades de bebês custam centenas de dólares).

"Com seus dados pessoais em mãos, é possível efetuar diversos cadastros. Só com RG e CPF, dá para cadastrar um celular pré-pago, por exemplo", alerta Waldo Gomes, diretor da NetSafe Corp, empresa especialista em segurança digital.

Como agem os golpistas

O mais comum de acontecer, porém, é o cruzamento de dados. Ou seja, golpistas buscam o seu nome nas redes sociais, descobrem detalhes da sua vida pessoal e se passam por você. É assim que funciona o famoso golpe da "clonagem" de WhatsApp que solicita transferência de dinheiro para os seus contatos.

Mas o prejuízo pode ser muito maior, diz Naganuma. "Podem comprar produtos com seu CPF, pedir financiamento, solicitar cartão de crédito, abrir empresas fraudulentas, entre outras coisas", diz. Outro golpe comum é roubar sua identidade para sacar seu FGTS.

As principais fontes de dados são as postagens nas redes sociais, mas também entram dados públicos de uma lista de aprovados num concurso ou faculdade, de quem ganhou um sorteio na internet, de PDFs, de uma reclamação ou comentário numa página, de um processo judicial ou de cadastros de CNPJs... Além disso, os robôs conseguem acessar informações escondidas (mas acessíveis) no código-fonte de uma página.

A partir de um nome, se chega ao CPF e, com ele, ao título de eleitor. Ou seja, ao colégio eleitoral e à zona de votação.

Junta uma informação aqui, outra ali. Está feito o seu perfil.

Já vazou. E agora?

A melhor maneira de evitar problemas no futuro é ter cuidado com sites de cadastro e reportar às autoridades que seus dados podem ser usados de maneira maliciosa. Além disso, mantenha-se alerta.

Desconfie principalmente de ligações e não dê qualquer informação por telefone. Desligue o telefone e use um aplicativo oficial para checar diretamente com a instituição se a informação solicitada é mesmo necessária. Ou ligue para a central de atendimento para verificar o processo de cadastramento.

Como mostra a reportagem da "Folha", a maior parte dos dados de brasileiros à venda na internet hoje são de cadastros de órgãos governamentais, como CadSUS, Senatran (Secretaria Nacional de Trânsito), Receita Federal, INSS (Instituto Nacional de Segurança Social) e Sinarm (Sistema Nacional de Armas), da Polícia Federal.

Então, mude todas as suas senhas nos sites e continue alerta para possíveis tentativas de golpes — use senhas fortes. Não esqueça também de apagar as senhas armazenadas na sua conta do Google ou no navegador, além de informações de cartão de crédito.

Acompanhe rotineiramente extratos bancários e do cartão de crédito, recomenda Cristina Moreira Nunes, professora de redes da PUC-RS (Pontifícia Universidade Católica do Rio Grande do Sul).

Aplicativos bancários também costumam pedir, além de dados básicos, uma foto da pessoa segurando seu documento para ela provar que é ela mesma. Para Eduardo Schultze, líder de Threat Intelligence da Axur, outra empresa de cibersegurança, fique de olho:

"O mais indicado que é a selfie com o documento seja tirada na hora e não que a pessoa possa fazer upload de uma foto do celular", diz. "Os uploads são perigosos porque qualquer pessoa pode subir qualquer foto, então pode ser usada uma foto de um terceiro, podem ser usados dados de outras pessoas."

Outra dica é estranhar consultas atípicas ao CPF, diz Alexandre Bonatti, diretor de engenharia da empresa de cibersegurança Fortinet.

Você pode consultar o serviço Registrato, do Banco Central, para verificar diversas informações sobre as atividades financeiras relacionadas ao seu CPF. No site, dá para ver dados sobre cheques sem fundo, empréstimos, abertura de contas, chaves Pix, dentre outros.

Ela reúne não apenas todas as contas em instituições financeiras vinculadas ao documento, como também se há chaves Pix, empréstimos ou dívidas de cartão no seu nome. Em caso de divergências, é necessário entrar em contato o quanto antes com o banco em questão.

Cheque no Cadastro Pré-Pago, canal de consulta da Anatel, se alguém criou uma conta de celular pré-paga no seu nome;

Outra ferramenta são os serviços pagos de monitoramento, como o Serasa Premium, que fornece informações sobre sua vida financeira e faz alertas quando seus dados vazam na internet e quando instituições financeiras consultam seu CPF, o que pode ser um indicativo de que alguém esteja tentando usar seus dados indevidamente.

No caso de golpes envolvendo o saque indevido do FGTS, o Idec (Instituto Brasileiro de Defesa do Consumidor) aconselha que você acompanhe seu benefício pelo aplicativo oficial da Caixa Econômica Federal. Lá você pode cadastrar uma conta bancária e, caso um golpista tente sacar o dinheiro usando o seu CPF, o saldo vai para a sua conta, não para a dele;

Fique esperto e evite mais dor de cabeça

Verifique bem onde você anda inserindo os seus dados. "A responsabilidade da guarda dos dados é de quem está utilizando. Por isso, verifique se trata-se de um site seguro, crie senhas distintas para acesso e evite o compartilhamento de dados em redes sociais", diz Waldo Gomes.

Faça uma limpeza periódica em seu celular, apagando aplicativos que não usa mais. "Precisamos ter o hábito de excluir estas contas que não usamos mais para deixar de fazer parte daquela base de dados. Isso nos deixa menos expostos", explica Bruno Bioni, fundador do Data Privacy Brasil. Antes de deletar o app, apague sua conta e cadastro nele.

Uma das principais fontes de golpes, o Whatsapp deve ter sempre a identificação em duas etapas ativada. Só este recurso já resolve grande parte das tentativas de golpe e clonagem, porque cria uma senha que deverá ser digitada periodicamente ao ler as mensagens.

E não custa repassar a lista abaixo sempre:

  • Mantenha seu antivírus em dia;
  • Não clique em links que pareçam suspeitos ou que você não sabe de onde veio;
  • Troque suas senhas com frequência;
  • Crie senhas seguras;
  • Reavalie quais contas e sites você não usa mais e acione a LGPD: peça para ter seus dados removidos da base da empresa