Em janeiro desse ano, mais precisamente no dia 11, não havia quem não ficasse surpreendido com a notícia de que os dados de mais de 223 milhões de brasileiros estavam sendo comercializados livremente na deep web e que a possível origem dessa base seria de uma das maiores empresas de birô de crédito no País. Mas há uma série de questões que foram alardeadas e que trago para discussão nesse artigo. A primeira delas é: a base de dados não estava sendo vendida no submundo da rede, mas sim em fóruns na internet, conforme evidencia o anúncio abaixo.
Ao entrar em contato com o cibercriminoso, ele afirma que a base que vem sendo comercializada contém dados compilados até agosto de 2019, tem mais de 2 terabytes de informações e demorou cerca de um ano e meio para ser consolidada. Mais uma evidência abaixo.
Após diversas análises realizadas nos arquivos de amostra que nos foi fornecida, bem como no programa que o atacante disponibiliza para acesso aos dados, chegamos a algumas considerações a respeito:
Primeiramente o fato de que os dados não estavam sendo comercializados na deep web e sim em um fórum que é facilmente acessado por qualquer pessoa e se encontra, inclusive, indexado no Google. Além disso, vale destacar que esse fórum existe desde março de 2015, o que, convenhamos, não é nenhuma novidade para a maior parte das empresas de inteligência cibernética.
O ator em questão está cadastrado no site desde o dia 14 de julho do ano passado e suas postagens são, até o momento, relacionadas a comercialização de dados, conforme demonstramos na tela a seguir.
Quando questionado sobre valores a resposta foi idêntica em diversas mensagens trocadas com o autor e os nossos perfis, demonstrando claramente uma padronização e uma espécie de template para as respectivas mensagens, com lotes variando entre USD 100 e USD 2.000. Novamente, evidenciamos abaixo.
Análise dos Dados
Para selecionar quais dados devem constar no lote adquirido, conforme antecipei, é necessário a execução de um programa fornecido pelo cibercriminoso. Ele permite a escolha do perfil de dados, classe econômica, ou apenas dos demais campos de interesse. Importante ressaltar que o ator limita a quantidade máxima de 10 escolhas de um total de 37 disponíveis para consultas de CPF, além de outros 17 específicos para CNPJ, conforme apresentado nas imagens a seguir:
Aqui entra um outro ponto controverso: o programa disponibilizado foi analisado por diversos pesquisadores renomados na indústria de segurança da informação e em nenhuma análise foi identificada nenhuma atividade maliciosa no artefato, ao contrário do que alguns jornalistas apontaram em diversas reportagens que acompanhei sobre o tema.
O fato é que os dados sim estão disponíveis, porém há muito tempo consegue-se adquirir a mesma quantidade de informação por um valor até mais barato do que esse cibercriminoso fornece. Por incrível que possa parecer, essas informações podem ser adquiridas de forma lícita por meio de diversos birôs de serviço disponíveis no mercado. Ou, se formos pensar no “mercado ilícito”, faz muito tempo que ouvimos falar do famoso CD-ROM da Receita Federal sendo comercializado nas ruas do centro de São Paulo ou até mesmo os painéis de consulta vendidos por diversos fraudadores por preços que circulam na casa dos R$ 120 por mês, independente do número de consultas, conforme pode-se observar na imagem abaixo.
Se fizermos uma conta simples neste último exemplo, onde consigamos automatizar a consulta de um CPF por segundo (algo que, para os padrões atuais, é extremamente lento para fins de automatização), teríamos a seguinte equação:
60 seg x 60 min x 24 horas x 30 dias = 2.592.000 de CPFs por R$ 120 um valor bem mais em conta para um criminoso que pretende utilizar-se desses dados para a prática de atos ilícitos. Para conseguirmos o total dos 223 milhões, gastaríamos algo em torno de 86 meses e um total de R$ 10.320.
Obviamente, podemos reduzir o tempo com mais equipamentos em paralelo e com a automatização – aqui foi apenas um exercício para demonstrar que um atacante consegue chegar no mesmo volume de dados por um valor bem abaixo do que o que estava sendo ofertado. E com um detalhe importante: base com dados atualizados e com um conjunto maior do que o limite de 10 campos.
Outro ponto bastante controverso é sobre a origem dos dados, pois o atacante diz que são de um dos maiores birôs nacionais. Porém é importante ressaltar que existem campos no conjunto de informações que não existem na estrutura de dados deste birô, o que reforça a teoria que a base é um aglomerado de vários conjuntos de informação que possivelmente pertencem a mais de uma empresa. Portanto, afirmar que o conteúdo disponibilizado nas amostras é fruto de apenas uma empresa em específico beira o amadorismo, pois os documentos que foram divulgados em sua maioria eram peças de marketing sobre o funcionamento de produtos e serviços.
Talvez o ponto mais crítico se refere a origem das imagens de faces que foram disponibilizadas nas amostras.
O fato é que os dados, de alguma forma, vazam e continuam vazando até o momento e de diversas empresas. A preocupação agora é saber o que será feito com as nossas informações. É importante ficar atento a e-mails, mensagens em aplicativos, SMS e telefonemas suspeitos. Acompanhar faturas de cartões de crédito e de outros serviços contratados. Um dos sites que pode ajudar no sentido de identificar contas bancárias abertas em seu CPF bem como chave pix cadastrada é o Registrato do Banco Central.
Precisamos ficar atentos as notícias que, ao invés de informar, têm sido pautadas no terror e sensacionalismo, gerando mais incertezas e medos e menos informação aos cidadãos.
Obviamente todos os casos de vazamento merecem ser apurados pelas autoridades e os autores devidamente responsabilizados. Mas cabe a imprensa e aos analistas a incumbência apenas de narrar o acontecimento, e não produzir conteúdo sensacionalista.
Autor: Thiago Bordini – Diretor de Inteligência Cibernética do Grupo New Space