NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Vazamento de CPFs deixa usuários mais vulneráveis a golpes - Veja como se proteger
08 FEV 2021

Vazamento de CPFs deixa usuários mais vulneráveis a golpes - Veja como se proteger


Mundo Conectado - 6/2/2021 - [gif]


Autor: Ana Luiza Pedroso
Assunto: Segurança na Internet

Dados de milhões de brasileiros foram expostos, deixando as pessoas vulneráveis

Recentemente, os dados de CPFs de 223 milhões de brasileiros vazaram. O impacto imediato é a vulnerabilidade das informações dessas pessoas. As primeiras ações já começaram a ser sentidas. Algumas mensagens, ligações, e-mails, com boletos estão sendo enviados, se passando por empresas reais. Isso pode gerar uma série de problemas, principalmente financeiros.

Hoje, o Brasil conta com 212 milhões de habitantes. Ou seja, a quantidade de informações reveladas é maior que as pessoas que vivem hoje no Brasil. O motivo disso acontecer é pelo fato de que os dados revelados são até mesmo de pessoas que já faleceram. De qualquer maneira, é mais provável que seus dados estão expostos, que não.

Para manter a sua segurança, esse é um momento de desconfiar de qualquer cobrança. Fique atento a promoções muito especiais, com vantagens muito grandes, que exigem qualquer depósito. Os golpistas se passam por empresas reais, com CNPJ brasileiro e, costumeiramente, serviços que o cidadão já contrata.

Pode parecer que os hackers são pessoas que vão invadir sua conta, com o uso de muita tecnologia. A verdade é que a maioria dos golpes não são feitos de forma refinada. O que acontece é um pedido. A pessoa má intencionada entre em contato com a vítima de forma cordial, solicitando as informações, usando algum tipo de isca. 

Há alguns macetes para entender os golpes e evitar cair neles. Vamos dar algumas dicas e exemplos para que situações mais graves não aconteçam

Principais golpes

Os principais golpes que estão acontecendo estão relacionados aos benefícios dos trabalhadores. Muitos golpistas acessam o aplicativo Caixa Tem - que está organizando o pagamento do auxílio emergencial e saque do FGTS -, informando e-mail falso e sacando todo o dinheiro. 

Algo que também está acontecendo é contato com boletos. As pessoas má intencionadas simulam um serviço - como assinaturas de operadoras -, e enviam cobranças "atrasadas". Na imagem abaixo há um exemplo. O usuário recebeu um boleto de uma conta que, supostamente, estaria atrasada.

O grande ponto de desconfiança foi de que a conta não estava no nome da pessoa que estava levando o golpe. Apesar de contratar o serviço, não é seu nome que consta no contrato, como o e-mail sugere. Toda a estética é exatamente idêntica ao que a Claro realmente envia aos seus clientes, inclusive os links para redes sociais e contas disponíveis.

Quando receber algum tipo de contato assim, a ação é apenas ignorar. Exclui a mensagem, e-mail, desliga a ligação. Caso haja a insistência, entre em contato de forma independente com a operadora (ou qualquer empresa) e cheque sua situação. Vale também denunciar esses contatos. O que não é recomendado é dar mais informações, ou ainda, enviar as quantias solicitadas. 

Nesse momento, é muito importante manter os dados dos apps atualizados. Isso vale tanto para o do FGTS, Caixa Tem, ou qualquer banco que tenha saldo. Assim, quando outra pessoa acessar a sua conta, você será notificado por algum dos canais.

Recebeu alguma mensagem, ligação, ou e-mail solicitando confirmação de dados, pagamentos que não fazem sentido, contratação de serviço - ignore. Há sinais que indicam que essas interações não estão sendo feitas por canais oficiais. Por mais real que pareça, há algumas características que não podem ser replicadas. Vamos citar cada um deles.

Como evitar cair em golpes

Há sinais que mostram que é golpe. No caso de boletos enviados por e-mail, por exemplo, o primeiro indício é qual o endereço do emissor desta conta. Usando o mesmo exemplo falado acima, é possível ver logo no início do e-mail que se trata de contatos fraudulentos.

Na imagem acima, circulamos o e-mail do emissor. Você pode ver que está enviado de: contato@web-notes-br.com. Esse é o primeiro sinal que a conta não é oficial da Claro.

É pouco provável que um contato oficial não tenha o nome da empresa. Citando exatamente o mesmo exemplo, a Claro se comunica com seus clientes por meio de e-mails que terminam com @minhaclaro.com.br. Poderia ser outra empresa, que usaria o seu próprio nome após o @. Você pode checar dentro da sua própria caixa de entrada por qual canal a empresa se comunica. Ou ainda, fazer uma breve pesquisa.

Na imagem abaixo está um contato oficial, feito pela mesma empresa, para comparar. É comum que as empresas usem e-mails diferentes por cada setor, mas há um padrão nesses contatos.

O fato é, qualquer pessoa pode fazer um Gmail, Hotmail, Yahoo, etc. Agora, é impossível usar um contato profissional, identificado pelo nome da empresa após o @. Outra dica é que a maioria das empresas já possuem aplicativos próprios. Eles exigem login e senha, o que torna o contato mais seguro. Faça o download dos boletos via esses canais oficiais sempre que possível.

Como saber se meu CPF foi vazado

Depois da informação de que os dados de milhões de brasileiros estava exposto, muitas pessoas ficaram curiosas para checar se seus dados foram divulgados. Lembrando que, o número de dados disponível de vazamento, é maior que a população do Brasil, o que torna quase impossível alguma informação do seu CPF não ter vazado.

Para ajudar na checagem, um programador criou um site dedicado para verificar se suas informações foram vazadas ou não. O site é Fui Vazado e solicita apenas o seu CPF e sua data de nascimento para fazer a consulta. O responsável pela criação do site é Allan Fernando Armerlin da Silva Moraes, que abriu o código para comprovar que é uma opção sem más intenções.

O Fui Vazado oferece um relato completo de quais informações foram divulgadas, ou não. Mas, há algumas discussões sobre a segurança desse site. Alguns especialistas em segurança afirmam que esse pode ser um modo de validar que a pessoa está viva, por exemplo. Embora não tenha nenhuma opção que confirme isso, hackers poderiam deduzir essa informação.

Fica o alerta de que há algumas ressalvas quanto o uso do site. Foram encontradas algumas vulnerabilidades no código e, o sistema não é criptografado. Por esse motivo, nem todos os especialistas indicam a consulta.

Quem preferir, também pode checar diretamente no Serasa. Nesse caso, o foco será nas informações estritamente relacionadas a vida financeira de cada um. No site Fui Vazado fica mais fácil de entender quais informações foram disponibilizada. Há organização por ser separado em categorias, o que facilita a compreensão.

Essas informações são valiosas para saber, principalmente, quais canais estão mais vulneráveis. Se o seu número de telefone foi divulgado, isso pode indicar que é por onde os golpistas podem chegar até você. O mesmo vale para e-mail, endereço, etc. Além disso, confirmação de dados que você sabe que estão disponíveis agora.

Contato com golpes

Costumeiramente, os hackers enviam iscas. Elas podem ser contas, benefícios, promoções, entre muitas outras. Quanto mais informações os golpistas tiverem a respeito do usuário, mais fácil será encontrar um meio para conversar. Pensando nisso, essas informações vazadas tornam a segurança muito prejudicada.

Se a sua ocupação foi revelada, por exemplo, pode haver contato relativos a sua profissão. Vale a pena ficar atento a esses indícios. Confira com cuidado quais informações você sabe que estão disponíveis. Considere também que uma breve busca em rede social também revela muito sobre seus hábitos, gostos e mais.

Mostramos o exemplo de uma isca com conta de uma operadora, mas elas são as mais diversas possíveis. Pode ser código promocional para desconto, depósito de "investimento", uma possível "confirmação" de dados de cartão para pagamentos de serviços que você assina, entre muitos outros.

Denúncia

Um modo para evitar que outras pessoas caiam no mesmo golpe que foi enviado a você é denunciar. Há delegacias especializadas para crimes virtuais, mas a delegacia de polícia registra o Boletim de Ocorrência nessas situações normalmente.

Segundo o JusBrasil"a recomendação é que a vítima procure, em primeiro lugar, uma Delegacia Especializada em Crimes Eletrônicos da sua região para registrar um boletim de ocorrência". Cada estado possui o seu próprio contato para realizar essas denúncias.

Em São Paulo, por exemplo, é possível fazer a denúncia via e-mail, pelo endereço webpol@policia-civ.sp.gov.br. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) também recebe encaminhamento de denúncias sobre mensagens fraudulentas. O contato pode ser feito via mail-abuse@cert.br. Para realizar o início do processo é necessário enviar uma cópia do e-mail original e comunicar a instituição que está sendo utilizada como isca no golpe. Há ainda outros canais que podem ser usados para denunciar essas situações.

E-mails para denúncias:

phishing@cais.rnp.br
artefatos@cais.rnp.br
crime.internet@dpf.gov.br
webpol@policia-civ.sp.gov.br (contato apenas em crimes de São Paulo)
mail-abuse@cert.br

Dicas práticas

Para resumir, vamos fazer um combo com 10 passos para aumentar a segurança. Os dados já estão disponíveis, isso é fato. Não há o que fazer em relação a isso. Mas, você pode se proteger de todas as maneiras possíveis.

Primeiro passo: não forneça suas senhas, e-mails de confirmação, PINs, códigos de validação para NINGUÉM
Segundo passo: verifique qual número entrou em contato, qual o DDD, (contas comerciais geralmente possuem números curtos)
Terceiro passo: cheque qual o e-mail que te enviou a informação (se houver @empresa.com é mais confiável)
Quarto passo: faça perguntas: apenas questionando e não respondendo é suficiente para que o próprio golpista encerre a chamada
Quinto passo: proteja as suas senhas, mude-as com frequência e deixe seus aplicativos (principalmente de banco) atualizados
Sexto passo: desconfie. Se a oferta for boa demais, se ganhou prêmios que não participou, qualquer coisa é sinal de que você pode cair em golpe
Sétimo passo: nunca, em hipótese alguma, faça depósitos para números desconhecidos, ou para contratação de algo
Oitavo passo: procure os canais oficiais. Se há algum contato estranho, ligue para a empresa, ou envie um e-mail para um endereço de contato oficial
Nono passo: mantenha os aplicativos com dados atualizados, principalmente de cartões de crédito, contas e auxílios
Décimo passo: troque senhas com frequência e verifique suas contas

Você já caiu em algum golpe? Algum golpista já entrou em contato por algum meio? Sabe de alguma segurança extra para evitar problemas? Deixe sua contribuição nos comentários!

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso