O comércio de armas, drogas e dados sensíveis não é novidade na Dark Web (aliás, sabe qual é a diferença em comparação com a Deep Web? Respondemos para você, leia aqui). O que tem chamado a atenção ultimamente é a comercialização de informações de milhares de vítimas juntamente com pacotes de selfies.
Os pacotes de dados sensíveis contavam com identificação de passaporte, comprovante de endereço e selfies
A firma de segurança israelense Sixgill encontrou um “data dump” — como são chamados os despejos das “coleções” de várias pessoas que se descuidaram e deixaram suas vidas digitais à mercê de hackers e outros invasores — sendo vendido em um grande fórum russo da Dark Web. O que se diferencia das ofertas anteriores é a presenças das fotos.
“Encontramos um anúncio em um fórum de acesso fechado, que é predominantemente russo, onde alguém estava vendendo 100 mil documentos por US$ 50 mil. Esses documentos incluem identificação de passaporte, comprovante de endereço e, de forma peculiar, selfies”, conta Aled Karlinksy, da Sixgill, ao The Next Web.
Pacotes com selfies facilitam falsificação de documentos
Como sabemos, o endereço, o nome completo e os números de RG e CPF já são suficientes para dar entrada em uma série de documentos no Brasil e até mesmo preencher vários tipos de cadastros mundo afora. Com as selfies fica ainda mais fácil abrir contas em bancos e pedir cartões de crédito — especialmente nesse momento em que vivemos o boom de fintechs em todo o País.
Bandidos até mesmo vendem “pacotes mais em conta”, a US$ 70 a unidade
Segundo a Sixgill, o bandido que estava negociando as listas de dados com fotos também contava com “pacotes menores”, mais “acessíveis” aos cibercriminosos em busca de delitos em escala menor. Havia até mesmo conjuntos individuais, com apenas a identificação e a imagem, a US$ 70 cada.
Karlinsky não conseguiu identificar a fonte do despejo. "O mais fácil de obter um selfie é de telefones que contraíram malwares. Outro caminho pode ter sido um site que mantenha informações privadas e tenha sido hackeado.” Vale destacar que esse assunto fica ainda mais relevante quando lembramos que várias checagens atualmente vem sendo feitas a partir de reconhecimento visual. Até mesmo o Facebook vem testando o login a partir das selfies.
Vazamentos ajudam cibercriminosos a armazenar selfies
No começo do ano, identificação com foto de mais de 119 mil consumidores da FedEx foram vistos em um servidor público Amazon S3, operado pela Bongo Internacional — uma companhia comprada em 2014, rebatizada de FedEx Cross-Border International no ano seguinte e descontinuada no ano passado.
Eu não iria tão longe a ponto de segurar minha identidade enquanto faço uma selfie
Só para citar um exemplo mais próximo, a Netshoes admitiu ao governo dos Estados Unidos que seu banco de dados foi invadido, o que causou o vazamento de nada menos do 1,5 milhão de dados sensíveis de seus clientes. Isso aumenta a preocupação com relação às infraestruturas construídas em nuvem, o que mostra a atual fragilidade e em que direção as companhias precisam seguir para aumentar a segurança e evitar esse tipo de exposição.
Karlisnky também destaca o fato das pessoas estarem desatentas quando pedem para que elas provem quem são em ambientes digitais. “Para quem você está fazendo isso e vale a pena?”, questiona. “Eu não iria tão longe a ponto de segurar minha identidade enquanto faço uma selfie. E também sequer tiraria fotos da identidade para armazenar no telefone, pois ele pode ser infectado com um malware.”
Fontes
Categorias
