O que fazer em caso de vazamento de dados pessoais?
Autoridades são quem deve cuidar de casos de vazamento de dados; pessoas precisam redobrar a atenção para evitar golpes
Os dados estão na rede: cópia dos documentos, endereços, perfil econômico, ocupação, fotos de rosto, vínculo familiar e tantas outras informações sensíveis disponíveis para qualquer um mal-intencionado botar as mãos. O que fazer diante de um vazamento de dados assim? Quando não é só trocar a senha, a atenção deve ser redobrada.
Índice
Quando o e-mail ou senha estão expostos, o caminho é mais fácil e menos doloroso:
- Para a senha: troque a combinação por outra mais segura e use um método de verificação em duas etapas;
- Para o e-mail: evite abrir links e anexos de remetentes desconhecidos, redobre a atenção para as mensagens recebidas.
Aliás, redobrar a atenção é essencial em caso de vazamentos, uma vez que os dados ficam expostos, é quase impossível tirá-los da internet. Portanto, tentativas de golpes, que já são comuns, passam a ficar ainda mais bem elaboradas, considerando que as informações que golpistas têm das pessoas são precisas, confundindo o usuário durante a abordagem.
Os golpes mais comuns para ficar de olho
Diversas práticas de golpe na internet já são conhecidas e ainda assim enganam usuários na rede:
Phishing
Quando o mal-intencionado tenta obter as credenciais de uma pessoa ao enganá-la, com recursos de engenharia social e persuasão, se passando por um funcionário de uma empresa, um parente ou alguém próximo. Por isso o nome “phishing”, uma alusão a “fishing”, o que se traduz para “pescaria”.
Spoofing
Traduz-se como “pegadinha” e é bem semelhante ao phishing. Ocorre quando o golpista se passa pelo usuário legítimo detentor das informações e tenta acessar contas, servidores, fazer compras ou roubar identidades da vítima. É o que ocorre em casos de SIM swap.
SIM swap
Quando o golpista transfere o número de uma pessoa para outro cartão SIM em branco. Ele liga na operadora se passando pela vítima, alegando que perdeu o acesso ao chip anterior e solicita a troca. Na chamada, confirma os dados para autenticar a identidade e o atendente faz a transferência. Também pode ser feito por criminosos na própria agência.
Brushing scam
Trata-se de vendas falsas feitas via internet. Uma loja cria um perfil falso com dados reais de um consumidor (nome e endereço), envia qualquer objeto para o suposto cliente (para validar a entrega) e, em seguida, faz uma avaliação positiva da compra. Outros clientes legítimos são enganados com as avaliações falsas e compram no site.
Todas essas práticas têm um elemento em comum: informação. Seja para se passar por uma vítima ou tentar enganá-la para conseguir os dados.
No caso do SIM swap, por exemplo, após o momento em que o golpista tem acesso ao celular da vítima, pode tentar a recuperação de senha de contas online (e-mail, redes sociais) ou acessar o WhatsApp para aplicar outros golpes: como o do empréstimo de amigos e parentes.
Como se proteger nesses casos
Todos estão sujeitos às práticas acima e mesmo que não esteja em uma base de dados vazada, pode ser uma vítima. Em golpes de informação, a melhor defesa é a própria informação: analisar e desconfiar de qualquer mensagem, ligação ou outra forma de contato recebida.
Se o contato foi feito por e-mail, deve-se verificar atentamente o endereço do remetente. É um endereço conhecido? Não tem nenhum caractere estranho? E o que pede o e-mail, para instalar algo ou acessar um site? Se o contato não for conhecido ou esperado, a melhor ação é enviar para a lixeira e marcar como spam ou como phishing.
Por exemplo, em um comunicado do Google, o e-mail deve vir de no-reply@accounts.google.com, é fraude quando o e-mail vem de no-reply@accounts.google.scroogle.com ou algo parecido.
Links
Caso o usuário tenha acessado um link e chegou em um site no qual tem conta ou pretende criar uma, é importante verificar a URL (o endereço) antes de digitar qualquer credencial. Algumas URLs ficam muito semelhantes à original, o que acaba gerando mais confusão. Então, atenção ao máximo.
Ligações telefônicas
Em ligações telefônicas é complicado verificar a identidade da outra pessoa na linha. A saída é desconfiar se o funcionário pedir informações sensíveis (senhas, número de cartão de crédito e código de segurança).
Uma alternativa é pedir o protocolo da ligação e depois retornar o contato com a empresa (por um número oficial), informando o protocolo para retomar o atendimento.
Senha em aplicativos
Já virou obrigação ativar a verificação em duas etapas em todos os serviços usados na internet e, sempre que possível, com um aplicativo gerador de códigos únicos, especialmente no WhatsApp. Uma vez que os dados estão expostos, tentar uma recuperação de senha com as informações vazadas pode ser o primeiro caminho de um hacker para o roubo de identidade.
Transações e cadastros indevidos
Usar o aplicativo do cartão de crédito ou ativar as notificações por SMS é uma boa maneira de manter o olho nas transações feitas. Dessa forma, assim que uma compra inautêntica for realizada, deve-se entrar em contato com a instituição emissora do plástico para relatar a fraude.
Dica: Comprar em lojas online com o cartão virtual é mais recomendado, pela facilidade de exclusão e evitar estar em outros vazamentos.
O site Cadastro Pré (cadastropre.com.br) permite ao cliente verificar em quais operadoras ele tem uma linha de telefone ativa, apenas digitando o CPF. Infelizmente, não mostra “quantos” números estão ativos e não engloba operadoras virtuais, apenas telefones da Algar, Claro, Oi, Sercomtel, TIM e Vivo. No entanto, qualquer ajuda é bem-vinda para reconhecer cadastros não autorizados.
Outra plataforma, o Registrato do Banco Central, também permite ao consumidor consultar quais contas bancárias, financiamentos e empréstimos estão atrelados a um CPF ou CNPJ. A ferramenta é gratuita e só exige um cadastro prévio a partir do aplicativo de uma das instituições financeiras credenciadas (Banco do Brasil, Bradesco, Caixa Econômica, Itaú, Santander, Sicoob ou Sicredi).
Vazamento de dados expôs 223 milhões de CPFs
Em 2021, um enorme vazamento de dados afetou 223,74 milhões de brasileiros (incluindo falecidos), e pode ter sido compilado em agosto de 2019. A origem do vazamento ainda deixa dúvidas, alguns indícios apontam para a Serasa Experian, justamente pelo conteúdo do compilado. A base ainda está à venda na web aberta e deep web.
Em especial para o vazamento acima, o site Fui Vazado! indica se o CPF está no banco de dados e quais informações estão disponíveis sobre a pessoa física. Ao Tecnoblog, o desenvolvedor da página afirma que não coleta os dados da consulta. A ferramenta também não exibe os dados em si, apenas “✅” e “❌” para as categorias.
Este é um site que faz a busca em uma base de dados vazada. Não dá para garantir que não existam outros compilados com informações pessoais pela internet afora, seja na rede aberta, na dark web ou deep web.
Em caso de e-mail e senha, os vazamentos mais comuns, o Have I Been Pwned ajuda ao buscar nas listas que já estão públicas. Em seguida, informa se já vazaram ou não.
E quanto à LGPD, posso fazer algo?
Segundo o especialista em direito digital Adriano Mendes, cabe à Autoridade Nacional de Proteção de Dados (órgão responsável pela LGPD), o Procon, a Secretaria Nacional do Consumidor e ao Ministério Público investigar vazamentos e punir os responsáveis.
Enquanto pessoa física, Mendes explicou ao Tecnoblog que não há procedimentos específicos a serem realizados, a não ser que haja danos concretos, prejuízos reais (por abertura de linhas de crédito ou dívidas em nome da vítima, por exemplo). Nesse caso, cabe uma indenização por danos morais.
No Tecnocast 177 — O grande vazamento de dados, Rafael Zanatta, diretor da Associação Data Privacy Brasil, diz que não é de responsabilidade de cada pessoa assinar serviços de monitoramento ou se desesperar, mas sim ficar atenta aos futuros golpes.
O que a gente tem que esperar enquanto indivíduos é uma resposta coletiva a esse problema — uma estruturação de uma plataforma em que eu possa perguntar “meu CPF está aí?”, é algo que a própria empresa responsável ou em última análise o governo, deve estruturar. E aí, utilizar esses recursos para promover um tipo de apoio, inclusive com dicas para saber como é que se identifica uma fraude de identidade, como é que você se protege melhor.
Com informações: Kaspersky.