“Tráfico de dados”: informações pessoais de brasileiros estão à venda em aplicativos; entenda o risco

Em aplicativos de mensagens, operam redes organizadas de tráfico de dados pessoais, onde criminosos utilizam automações para comercializar informações sensíveis, como CPF, endereço, nome dos pais e faixa salarial, diretamente com golpistas. A equipe do Paranaíba Mais se infiltrou nesses grupos para entender seu funcionamento e conversou com o especialista em segurança digital Fábio Borges, que explicou como essas informações são obtidas e repassadas no submundo virtual.

📲 Siga o canal de notícias do Paranaíba Mais no WhatsApp

Segundo Borges, os traficantes conseguem ter acesso à estas informações a partir de vazamento de dados, em que hackers entram nos sistemas de grandes empresas e capturam, de forma criminosa, as informações dos usuários e clientes. Esses dados passam a circular na Dark Web e, em boa parte dos casos, comercializados na internet. 

O uso criminoso dos dados

De acordo com o relatório semestral Global de Tendências de Fraude Omnichannel, da TransUnion, 40% dos brasileiros já foram alvo de tentativas de fraudes por e-mail, internet, telefone ou mensagens de texto, e 10% dos entrevistados afirmaram ter caído nestes golpes, com o prejuízo médio de R$ 6.311,00.

O estudo também aponta que o tipo de golpe mais comum é o ‘vishing’, em que criminosos fazem chamadas telefônicas se passando por empresas legítima (como operadoras de celular, planos de saúde ou instituições financeiras) para convencer a vítima a fornecer informações confidenciais, como senhas bancárias, números de cartão de crédito, CPF e outros dados pessoais. Como parte da trama dessas investidas, os golpistas apresentam informações pessoais verdadeiras de seus alvos, para passar credibilidade, como endereço, CPF, nome de parentes, etc. 

Nuno Manna, professor de 39 anos, contou em entrevista ao Paranaíba Mais que sofreu este tipo de tentativa. Recebeu uma ligação feita por um suposto funcionário do Banco do Brasil e que havia sido identificada uma compra suspeita em sua conta. Como parte da retórica, os golpistas passaram o seu CPF, nome completo, data de nascimento e endereço. Algo que, por um instante, o fez acreditar que era do banco.

“O suposto atendente me disse que, para cancelar a compra eu teria que ir ao caixa eletrônico o mais rápido possível e me perguntaram se eu poderia ir naquele momento. Eu estava próximo de um, então fui até lá. Quando cheguei pediram para mudar para uma chamada de vídeo, para poderem me orientar no procedimento. Foi só aí que percebi que se tratava de um golpe”, contou.

O “Tráfico de dados”: esquema de vendas online

Histórias como a de Manna levantam uma questão fundamental. Como os golpistas têm acesso à dados tão importantes e pessoais. Um dos meios que têm sido utilizado por golpistas são redes monetizadas de distribuição de dados em aplicativos de mensagens.

Em grupos abertos em aplicativos de mensagem, robôs virtuais de funcionamento simples têm sido utilizados para que criminosos possam vender estes dados para golpistas. 

O Paranaíba Mais se infiltrou em grupos como este no Telegram e no WhatsApp, em que estas informações são comercializadas. Com apenas o nome de uma pessoa, com o CPF, com a placa de um veículo ou o número de telefone, é possível acessar uma lista extensa de informações pessoais que, como observado na anteriormente, são de grande importância para golpistas. Basta uma única mensagem.

Entre estes dados estão nome completo dos pais, endereço, CPF, faixa salarial, e-mails, número de celular, empregos, compras online, vacinas, declaração do imposto de renda e contas na internet. 

O acesso é possível a partir de um robô virtual (também conhecido como bot), que coleta as informações em bancos de dados reunidos de forma criminosa. Para ter acesso aos dados na íntegra, é preciso realizar transferências bancárias aos administradores do grupo, que são responsáveis por programar e realizar a manutenção dos bots.

Os preços variam de acordo com o grupo e o traficante, e normalmente são baixos. O acesso aos bots é pago por dia. 

De onde vêm estes dados

De acordo com Fábio Borges, especialista em segurança de dados, as informação comercializadas nestes grupos são, anteriormente, vendidas na dark web. A dark web é a parte escondida da internet, acessível apenas com programas específicos. Tudo que é feito lá é inrrastriável o que faz com que seja conhecida por abrigar crimes virtuais e comércio ilegal. Por garantir anonimato e criptografia, pode ser usada tanto para fins legítimos quanto ilícitos.

Diariamente, compartilhamos nossos dados para fazermos compras na internet, acessar sites, realizar cadastros, entrarmos em redes de wi-fi públicas, etc. Na maior parte das vezes, estes dados são ofertados por nós mesmos, de maneira voluntária,  à empresas privadas, sejam elas de grande ou de pequeno porte. Acontece que, devido à erros técnicos de algumas dessas empresas ou, principalmente, por invasões criminosas de hackers, estes dados vão parar nas mãos de pessoas má intencionadas. 

Borges explicou ao Paranaíba Mais que estes criminosos, após terem acessos às informações, criam bancos de dados e os comercializam na dark web. Assim, pessoas, como os traficantes que vendem dados nos aplicativos de mensagens, podem comprar o acesso a estes bancos e fazer o que bem quiserem com os dados. 

Assim, no caso denunciado nesta reportagem, os administradores desses grupos de mensagem compram o acesso aos dados vazados, e criam robôs que realizam pesquisas simples e que encaminham para os compradores no WhatsApp e no Telegram. Borges também afirma que este negócio gira uma quantidade significativa de dinheiro, uma vez que os dados vazados são vendidos tanto na dark web quanto na internet. 

O que diz a lei e qual a responsabilidade dos aplicativos de mensagem

O Brasil têm um dos mais sofisticados mecanismos regulatórios e jurídicos em relação ao uso de dados: a Lei Geral de Proteção de Dados (LGPD). No entanto, segundo Borges, encontramos fragilidades na maneira com que a lei é aplicada no Brasil por falta de fiscalização. 

“De legislação, eu tenho certeza que nós temos uma das melhores do mundo, quando o assunto é proteção de dados. Afinal de contas, a nossa lei foi baseada na lei europeia, a GDPR. E a questão aqui é fiscalização mais eficiente, vamos definir assim. A ANPD, que é a Autoridade Nacional de Proteção de Dados, que cuida dessa parte, ela ainda não tem braço para fiscalizar todo mundo. Ela está indo só atrás de denúncias.”, explicou

A LGPD prevê punições à este tipo de comercialização criminosa, pois o ato infringe o artigo 7° da lei, que trata do tratamento de dados pessoais, em seu inciso I,  que diz respeito ao consentimento das pessoas no uso e o fornecimento de seus dados pessoais. Contudo, segundo Fábio, a infração desta lei não é criminal, e imputa apenas uma multa para os autores destes crimes:

“A LGPD não é uma lei criminal, ela não pune as pessoas com prisão, ela é uma lei cível, ela pune as pessoas com multas. Então, um cara que está vendendo um bote desse, por exemplo, se ele for pego e enquadrar ele na LGPD, ele vai ter uma multa altíssima. Afinal de contas, a multa é por evento. Imagina quantos milhões de dados não tem num banco de dados desse”, explica.

Outra questão importante, que vêm em mente quando pensamos que uma rede de tráfico ilegal de dados opera em aplicativos de uso diário como WhatsApp e Telegram, é o da responsabilização das plataformas digitais. Estes aplicativos de mensagem, podem ser responsabilizados por crimes cometidos dentro deles?

Borges explica que o principal entrave para que isso seja colocado em prática diz respeito à privacidade dos usuários. A criptografia criada para que os responsáveis pelas plataformas não vejam o que está sendo conversado no interior dos aplicativos, impede com que haja uma fiscalização aprofundada por parte das empresas. 

“Quando essas plataformas foram criadas, eles pensaram na privacidade. Então se você for lá dentro do WhatsApp ou dentro do Telegram, e falar ‘eu quero ver o que está acontecendo, o que são as mensagens’, eles não conseguem ver. Então por isso fica difícil de você acusar a plataforma, porque ela criou algo, vamos dizer assim, pensando no bem. Para você ter privacidade de conversa com a sua família, com esposa, filho, e ninguém fica sabendo do que vocês estão conversando. Só que é claro, tudo que é criado para o bem acaba sendo distorcido pelo mal. A mesma coisa, o WhatsApp pode ser usado para tráfico de drogas.”, explicou

Então o que pode e deve ser feito?

Como dito anteriormente, o esforço da Autoridade Nacional de Proteção de Dados é centralizado, principalmente, em denúncias. Isso faz com que sua atuação seja baseada nos casos que chegam até ela, e não necessariamente  em uma investigação ativa a respeito da violação da LGPD. 

Assim, Borges afirma que para a atuação efetiva das autoridades e para que aconteça as eventuais punições à estes criminosos, é necessário que as pessoas denunciem. Esse movimento não pode partir apenas caso as pessoas e usuários das redes de mensagem vejam seus próprios dados, pois “ quando se vê um bot desse, que está checando dados pessoais das pessoas, pode ter certeza que os seus dados também estão lá, o ideal é denunciar, fazer uma denúncia para as autoridades irem atrás.”

Outra medida importante para evitar que seus dados caiam nas mãos de criminosos é a atenção à quais empresas e instituições você está compartilhando os seus dados. Ao fornecer seus dados pessoais, é importante que você veja quais medidas estão sendo feitas para proteção das informações e, principalmente, de que maneira as empresas vão tratar os dados. Isso pode ser conferido nos “termos de uso” que aparecem em todas as vezes em que usuários fornecem seus dados às empresas.