“Tome cuidado com os seus dados pessoais”. “Muito cuidado com os dados do seu cliente”.
Já repetimos essas frases e suas variações incontáveis vezes quando falamos sobre as melhores formas de prevenir os mais diversos tipos de fraudes abordados aqui no Blog da Konduto.
Bem, só que este alerta não perde a validade, ainda mais em tempos de pandemia do novo coronavírus e dezenas de golpes de phising rolando à solta. Inclusive, um incidente recente que teve ampla divulgação na mídia e virou até meme nas redes sociais serviu para evidenciar como nossos dados pessoais têm poder.
O caso general Heleno
O protagonista do episódio foi o general Augusto Heleno, ministro do Gabinete de Segurança Institucional (GSI). No dia 31 de março, ele usou suas redes sociais para divulgar uma boa notícia: estava curado do novo corona.
Para comprovar aos seguidores e à sociedade como um todo o seu diagnóstico, o general compartilhou o resultado do exame. Só que se esqueceu de um detalhe: o documento continha seu nome completo, RG, CPF e data de nascimento.
Aí o estrago estava feito. Por um lado, não faltou gente tirando sarro da situação. Em poucas horas, o ministro do governo Jair Bolsonaro foi filiado a partidos de oposição, cadastrado como mesário voluntário, tornou-se sócio do Vasco da Gama e até assinou um serviço de streaming.
Só que por outro lado, como mostrou o Instagram @fujadafraude, os profissionais de prevenção à fraude tiveram de agir rápido, pois inúmeros golpes pipocaram com as informações do general: de tentativas de compras no e-commerce até abertura de cadastros.
E o número do telefone?
Bora para mais um exemplo do poder dos dados pessoais. Um repórter do prestigiado jornal norte-americano The New York Times passou para um especialista em segurança cibernética o próprio número do telefone celular e lançou o desafio: o que seria possível descobrir sobre a vida dele apenas com essa informação?
O pesquisador, então, conectou o número do jornalista a um banco de dados on-line que cobra US$ 5 pelo acesso a registros públicos. Em seguida, fez uma busca completa pela web e alcançou uma trilha de dados que o levou a descobrir as seguintes informações abaixo:
Endereço residencial atual do repórter (com dados de metragem, custo e impostos da propriedade), onde ele morou nos dez anos anteriores, informações sobre um imóvel hipotecado, os nomes completos dos pais, da irmã e da tia dele, além de números de telefone anteriores (incluindo o fixo da casa dos pais) e a sua folha de antecedentes criminais.
Portanto, o jornalista descobriu nesta ótima reportagem (leia aqui na íntegra) que, apenas com o número do telefone, alguém mal-intencionado seria capaz de levantar um volume de informação suficiente para tentar responder perguntas de segurança e invadir suas contas on-line, realizar ataques sofisticados de phishing contra ele e seus familiares, dentre outros crimes.
O paradoxo dos dados
É chocante ver o que é possível fazer com tão poucos dados, como mostram os exemplos acima. Mas, ao mesmo tempo, conseguir informações básicas das pessoas já não é algo que só um hacker 3.0 é capaz de obter.
O próprio GSI, a pasta do General Heleno, defendeu o ministro da seguinte forma após o episódio do exame: “Não há necessidade de qualquer operação de inteligência para obtenção de CPF e identidade de qualquer cidadão. São, praticamente, dados de domínio público. Qualquer prédio comercial com portaria organizada tira cópia da identidade de quem entra no edifício”.
A afirmação faz certo sentido, mas o melhor, evidentemente, é não facilitar, seja você pessoa física ou jurídica – basta ver os danos financeiros e à reputação das empresas que sofreram vazamento de dados nos últimos anos.
Portanto, não é recomendável que um ministro poste seus dados da forma que o general fez da mesma maneira que você nunca deve postar uma foto de sua passagem aérea no Facebook, só para citar um exemplo de prática recorrente.
Agora voltando ao caso do The New York Times. O número de telefone hoje é um identificador até mais valioso que o seu nome completo. Olhe aí pro seu aparelhinho: aí dentro tem seu e-mail, sua conta bancária, suas redes sociais, os mais variados apps… Por isso, pense bem antes de compartilhar o número no primeiro pedido.
Nós que combatemos fraude também estamos fazendo nossa parte. Tanto que validar dados cadastrais (nome, telefone e e-mail do comprador) é apenas uma das camadas de segurança que usamos na análise de risco dos e-commerces e pagamento digitais – e uma das mais básicas, diga-se.
Para combater o crime on-line nos dias de hoje de forma eficiente (e determinar se um pedido é bom ou ruim), também é preciso contar com algoritmos de machine learning, monitorar o comportamento de navegação e usar milhares de variáveis.
Mas não minimize o poder dos dados pessoais…