Ganhar dinheiro com dados roubados é crime. Mesmo que seja encoberto por motivações políticas ou ideológicas e seja qualificado de “hacktivismo”. Juntar tentativas de ganhar dinheiro com dados roubados na internet, à criação de fugas de informação que denunciaram casos importantes de corrupção, pode até atribuir qualidades de heroísmo ao crime, mas não o retira da lista dos delitos digitais que mais têm crescido nos últimos anos.
O resultado deste crescimento foi a criação de um mercado negro de dados na dark web, um local na rede que está inacessível aos browsers comuns e onde são praticados vários delitos. Para os especialistas em segurança, a invasão à privacidade dos dados pessoais e empresariais é quase inevitável e um bom plano de proteção tem de incluir obrigatoriamente uma estratégia para atenuar os resultados dessa invasão.
Até agora, as empresas portuguesas são as menos afectadas por problemas de cibersegurança na União Europeia. Segundo um estudo divulgado no início deste ano pelo Eurostat, o roubo de informação confidencial parece ter afectado apenas 1% dos 8% de empresas que identificaram problemas com a sua segurança. Podemos então ficar mais descansados? Nem por isso. Quando falamos no mercado negro dos dados digitais, as fronteiras geográficas garantem pouca ou nenhuma proteção.
Ganhar dinheiro com dados roubados é um negócio global
Nos últimos anos vieram a lume casos famosos de roubos ou de exposição pública de dados privados que envolveram grandes empresas norte americanas. O caso do escândalo que envolveu o Facebook e a Cambridge Analytica, ou o caso da cadeia hoteleira Marriot, ambos conhecidos em 2018, são um bom exemplo disso.
No primeiro caso foram afectados 87 milhões de perfis de utilizadores do Facebook, entre os quais cerca de 60 mil perfis portugueses. Ainda que esta fuga apenas tenha provocado embaraços empresariais e políticos no território americano, a verdade é que os utilizadores da rede em todo o mundo também tinham lá os seus dados.
No segundo caso, os dados acedidos, diziam respeito a cerca de 500 milhões de clientes da famosa rede hoteleira Marriot, que possui 5700 unidades em cerca de 110 países, inclusive Portugal. No que diz respeito às bases de dados de grandes empresas como estas, ainda que os dados dos utilizadores portugueses possam não ter grande interesse para os piratas locais, a verdade é que também eles ficam expostos ao negócio do mercado de dados.
Que dados são roubados, a quem e para quê?
Segundo os relatórios das empresas de cibersegurança, os sites de e-commerce são os que mais sofrem com os ataques de pirataria, seguidos de perto pelas companhias aéreas, os bancos e os hotéis. Na cauda dos sites mais procurados pelos piratas, aparecem os dos serviços de comunicação online como as redes sociais e também os jogos. Que dados valem mais no mercado negro?
Cartões e sistemas de pagamento
Estes são os dados mais valiosos para os piratas: informações sobre cartões de crédito ou de débito e detalhes de pagamento como passwords ou identificação de clientes. Estes são dados que podem ser utilizados para aceder a plataformas e concretizar essa informação em valor.
Ajudam a fazer transações diretas nas contas bancárias, a fazer negócios com as milhas aéreas nas companhias de aviação, trocando-as por viagens e reservas em hotéis, e na compra direta de mercadorias para uso próprio ou para revenda.
Neste caso as compras tanto podem privilegiar artigos de electrónica mais caros, como vales de presente nas diferentes lojas a que agora o pirata tem acesso. Tudo o que tenha procura e possa ser revendido.
Documentos fiscais e oficiais
Seguros de saúde, passaportes ou números de segurança social são também dados bastante valorizados no mercado negro. Permitem forjar novas identidades ou, por exemplo, dar acesso a serviços e até a fontes de financiamento em nome alheio.
São dados fáceis de cruzar com as fotografias dos donos verdadeiros ou outras informações suas publicadas nas redes sociais e que tornam qualquer ladrão de identidade capaz de criar histórias absolutamente credíveis.
Dados privados
Dados como nome completo, data de nascimento, moradas e números de telefone ou e-mails são dos dados menos valiosos neste mercado, porque a oferta é muito grande. Os próprios donos costumam disponibiliza-los livremente nas redes sociais o que tornou a sua procura menor.
Mas, ainda assim, podem ser valorizados por piratas pacientes, que pretendam combinar vários tipos de informação sobre a mesma pessoa e depois, se valer a pena, avançar para pedidos de resgate ou outros crimes.
Ganhar dinheiro com dados roubados: como funciona o mercado?
Depois do roubo, o hacker verifica se lhe saiu a sorte grande nos dados que conseguiu obter. Dados de login e pagamentos de contas chorudas, fotos, mensagens ou e-mails privados valiosos e comprometedores são o petróleo dos dados roubados. Desde adultérios entre indivíduos anónimos ou personalidades públicas, a casos de corrupção graves ou segredos industriais cujos donos podem pagar bem para manter no silêncio, tudo se pode utilizar para ganhar algum dinheiro.
Na maior parte dos casos, o pirata revende a terceiros os dados de valor que obteve. Esta venda aos chamados “correctores” de dados permite-lhe distanciar-se do crime e tornar o seu seguimento mais difícil. Assim, é possível encontrar à venda na dark web, em serviços que parecem funcionar como verdadeiros serviços de e-commerce, desde contas Paypall ou eBay, a assinaturas do Netflix, ou cartões bancários. Também é possível “comprar” produtos derivados da pirataria, como cartões de presente Amazon ou de outras lojas comprados pelos utilizadores “falsos”.
Os preços, esses parecem estar cada vez mais acessíveis à medida que os dados chegam em abundância a este mercado. De acordo com o relatório publicado o ano passado pela VPN Overview, um site holandês que investiga questões de cibersegurança, uma conta Paypal no valor de 10,000 euros pode custar apenas 1 000, um cartão bancário cujo valor ronde os 900 euros pode custar apenas 70, e dados pessoais como nome, morada, número de telefone e historial sobre o crédito podem valer apenas entre 35 a 180 euros.
Como se pode proteger?
A evolução da tecnologia tem dado luta aos piratas. A autenticação com dois factores e os cartões com chip associados dificultaram bastante a tarefa dos hackers e é provável que novas tecnologias venham a surgir para assegurar maior protecção.
Mas no que à pirataria diz respeito, o grande ponto de entrada dos piratas na rede ainda reside no comportamento individual de cada um de nós. Temos de ser cautelosos no que abrimos e clicamos online, mas principalmente na gestão que fazemos das nossas passwords.
Nunca repita o mesmo login para vários sites, feche os seus perfis em sites que já não utiliza e recorra a serviços que o informem se os seus endereços de email já foram listados como tendo sido comprometidos em alguma altura. Deixamos-lhe aqui a indicação de um dos mais antigos, o Have I Been Pwned? que lhe dá conselhos de como agir sem ter de deitar fora a conta comprometida. Ajude a travar os “carteiristas” da web.