Dados à venda: 'painel de dados' dá aos golpistas tudo de que precisam

Só o prejuízo com golpe do Pix (R$ 25 bilhões) já é maior que o de furtos e roubos de celulares (R$ 23,5 bilhões), segundo pesquisa recente do Fórum Brasileiro de Segurança Pública, encomendada pelo Datafolha.

O próprio crime organizado está de olho nos painéis. Autoridades já detectaram que membros de facções criminosas são usuários desses sites.

"O acesso a esses painéis permite que o fraudador consiga ter um maior poder de convencimento na hora de dar o golpe], em razão dos dados da vítima que ele consegue enxergar."
Thiago Chinelato, delegado da Divisão de Crimes Cibernéticos na Polícia Civil de São Paulo

Pandemia virou o jogo

A explosão de golpes que começam num painel de dados ocorreu durante a pandemia, que levou mais pessoas ao sistema bancário.

Segundo relatório do Banco Central, em cinco anos, o número de pessoas físicas com conta corrente passou de 77 milhões, em 2018, para 152 milhões em 2023 (ou 87,7% da população adulta).

São três as razões para esse aumento:

Segundo o Fórum, os crimes contra o patrimônio têm migrado das ruas (roubo a bancos, lojas e cargas) para o virtual. Os motivos? Ganhos maiores e risco zero de confronto com a polícia.

"Por trás da tela de um computador, [o criminoso] está protegido de todos os riscos associados à interação humana (...). Além disso, as novas tecnologias permitem que criminosos realizem golpes em um volume muito maior."
Anuário Brasileiro de Segurança Pública

Primórdios do painel

A cultura do painel de dados nasceu nos anos 2010, quando DVDs e pen drives com dados eram vendidos por camelôs.

Antes, dados vazados eram comercializados na surdina na "deep web" — camada da internet não visível por mecanismos de busca tradicionais.

As informações reunidas de forma ilegal eram usadas por empresas de telemarketing para vender produtos e mailing.

Ter uma página web de dados virou realidade com o Tudo Sobre Todos, que ganhou as manchetes em 2015 por reunir informações "de todos os brasileiros".

A página, hospedada em algum país estrangeiro, está no ar até hoje.

Como a ANPD (Autoridade Nacional de Proteção de Dados), responsável por investigar vazamentos, só foi criada em 2020, o TsT operou livre por um bom tempo.

Há um processo na ANPD contra a página, mas até hoje ninguém sofreu nenhuma sanção.

O órgão, a propósito, divulga processos abertos. Até o momento, só uma multa foi aplicada: uma empresa condenada por venda de dados de eleitores teve de pagar R$ 14,4 mil.

Ninguém sabe, ninguém viu

Em janeiro de 2021, mais de 220 milhões de informações caíram na rede. Eram CPFs, salários, veículos, placas de carros, números de telefone, scores de crédito.

O megavazamento de 2021 foi a origem dos painéis como conhecemos atualmente, reunindo dados de Receita Federal, INSS, Sinarm (Sistema Nacional de Armas da PF), birô de crédito Boa Vista e CadSUS (sistema que reúne dados de usuários do SUS).

Questionada, a ANPD diz que todas as "entidades que tiveram seus dados utilizados nesses painéis já foram notificadas e informaram as providências adotadas".

Se antes o mais comum eram funcionários com acesso privilegiado copiarem e venderem informações, hoje em dia os vazamentos também ocorrem por brechas nos sistemas.

"Quando os dados migraram para a nuvem, a situação piorou, pois isso facilita muito o acesso, ainda mais em sistemas com segurança falha."
Fabio Assolini, da empresa de segurança Kaspersky

A bem da verdade, muitas vezes os dados nem vazados foram. Entregamos nossas credenciais de bom grado, por exemplo, quando falamos o CPF numa loja, em troca do recebimento de ofertas.

Não existe um registro público de todos os vazamentos de dados de brasileiros.

Empresas e órgãos públicos precisam avisar a ANPD sobre ocorrências, mas como costuma "pegar" mal admitir a vulnerabilidade dos sistemas, a divulgação pública quase nunca ocorre.

Segundo Adriano Volpini, diretor de Segurança Corporativa do Itaú Unibanco e do comitê de prevenção a fraudes da Febraban, "a legislação brasileira já prevê que é preciso dar visibilidade à infração da LGPD, mas muitas empresas ainda não o fazem".

Uma nota no site da ANPD relata acessos indevidos ao sistema do INSS em 2022, vindo de três logins da AGU (Advocacia-Geral da União).

Outro processo aberto tem como alvo os bancos Itaú, Santander, Bradesco e Pan por compartilhamento de dados para ofertar empréstimos consignados.

Mas o órgão não diz quantas pessoas foram afetadas e quais foram os principais alvos.

O que tem no painel?

Para escrever esta reportagem, o UOL acessou um painel de dados. Grupos de WhatsApp e Telegram oferecem esses acessos.

Após entrar em contato com um vendedor pelo WhatsApp, a reportagem conversou em português com pessoas que tinham números de fora do país.

Escolhido o plano de assinatura, é necessário fazer um Pix, a única forma de pagamento.

Ao transferir o dinheiro, aparece o nome de uma pessoa física (em vez de uma empresa) e o aviso: "Cuidado! Essa conta já recebeu denúncias de golpe".

Segundo especialistas, trata-se de uma conta-laranja recém-criada ou "alugada" por uma pessoa para receber estes valores que, posteriormente, são repassados para facilitar a ocultação do dinheiro.

A página de acesso é hospedada fora do Brasil, o que dificulta a ação das autoridades brasileiras.

Um golpe pra chamar de seu

No painel acessado pela reportagem, era possível fazer busca por score de crédito (uma classificação usada por empresas de crédito para avaliar seu poder de compra), aniversário e renda.

Os dados não estavam 100% atualizados - na verdade, eles são a junção de diversos vazamentos. Mas o conjunto é promissor.

"Mesmo bases desatualizadas podem estar corretas, pois é incomum as pessoas mudarem de telefone ou endereço a toda hora", afirma Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética).

É assim que criminosos conseguem se passar por um amigo ou parente para pedir dinheiro pelo WhatsApp, ou ligar de uma falsa central solicitando senha ou transferência bancária para resolver um problema numa conta, ou ainda para dar o "golpe do aniversário", quando um entregador quer entregar um presente mas para recebê-lo é preciso pagar pela entrega.

"Para cada grupo existe um golpe para chamar de seu. O criminoso molda o ataque para que ele tenha a maior taxa de sucesso", explica Adriano Volpini.

Aprender a trancar a porta

É fato: dados de quase todas as pessoas estão vazados na internet, e o crime organizado vai usá-los uma hora ou outra. O que fazer?

A Lei Geral de Proteção dos Dados existe desde 2020 para dar ao cidadão o poder sobre seus dados. Mas poucos sabem direito o que significa.

"Assim como as pessoas trancam a porta antes de sair de casa, elas precisam aprender sobre cuidados de segurança digital. Os governos e as empresas têm que educar a população sobre a importância de trocar senha e não ficar cedendo dados para qualquer um."
Paulo Lara, diretor-executivo da ONG Artigo 19

Por outro lado, a ANPD, que deve fiscalizar a implementação da lei de privacidade no Brasil, precisa ser fortalecida, segundo especialistas ouvidos pela reportagem.

"A ANPD é uma autoridade recente, os funcionários vieram de outros órgãos. É um processo difícil de estruturar, ainda mais em um país continental e muito digitalizado", explica Pedro Saliba, coordenador de assimetrias e poder na Data Privacy Brasil, associação que defende direitos digitais.

Para Assolini, o maior cuidado passa pelo fortalecimento da ANPD. "Se não houver uma punição pesada a empresas e governos, eles vão continuar tratando os nossos dados de forma imprópria."