Golpistas vendem ilegalmente dados sensíveis de empresas e cidadãos brasileiros. Golpes envolvem sites falsos, engenharia social e violação da LGPD.
Uma investigação recente da ISH Tecnologia identificou uma sofisticada operação criminosa voltada à comercialização de dados sensíveis de empresas e cidadãos brasileiros. A ação se dá por meio de APIs clandestinas e plataformas web que operam como verdadeiros “serviços de assinatura” para criminosos digitais.
As informações são vendidas de forma organizada, com planos escalonáveis que oferecem acesso a dados como CPF, endereço, vínculos profissionais e até nomes de familiares. A facilidade de uso e o aspecto “profissional” das plataformas demonstram um grau elevado de estrutura no esquema.
Engenharia Social
Segundo a ISH, os golpistas utilizam táticas de engenharia social combinadas com a clonagem de sites para enganar suas vítimas. Um dos exemplos mais alarmantes é a falsa campanha “Indeniza Brasil”, que simula um programa governamental de restituição financeira. O objetivo? Induzir os usuários a pagar uma taxa para então receber a indenização do governo. Além disso, é possível que ele roube outras informações sensíveis, como endereços e outros documentos.
Outra artimanha envolve páginas que imitam serviços populares, como rastreamento de encomendas dos Correios, simulando entregas supostamente atrasadas. Os criminosos aproveitam APIs para validar CPFs, consultar dados pessoais e montar abordagens cada vez mais críveis.
Golpes que se alimentam de dados reais
Com posse de informações obtidas ilegalmente, os criminosos podem ligar para uma vítima fingindo ser sua instituição bancária, passando uma sensação de credibilidade ao ter posse de alguns dos seus dados. Ou ainda, com nome, CPF, número e endereço, solicitar portabilidade de linhas telefônicas para interceptar códigos de autenticação e aplicar golpes mais elaborados.
Além do site falso, outro meio pelo qual a API que rouba os dados é vendida são grupos em aplicativos de mensagens, onde são oferecidos pacotes com consultas a CEPs, e-mails, telefones, entre outros serviços ilegais. Nas mãos de outros criminosos, podem dar origem a uma série de golpes extremamente sofisticados.
Venda de dados em plataforma
As APIs também são vendidas por meio de uma plataforma web, que conta com site e aplicativo mobile. São oferecidos diversos planos de assinatura, a partir dos quais os criminosos podem consultar uma série de dados.
A ISH detectou uma falha de segurança na plataforma web, revelando credenciais de acesso no próprio código da aplicação. A partir disso, foi possível simular pesquisas por CNPJs e CPFs e comprovar a gravidade da exposição. No caso do CNPJ, em uma única requisição, apareceram uma série de dados de funcionários da empresa — inclusive os que já foram desligados.
Já para buscas por CPF, são exibidos uma série de informações como os nomes dos pais da vítima, o que apenas reforça a gravidade desses dados caindo na mão de criminosos.
Riscos para a sociedade
O acesso a esses dados coloca em risco toda a sociedade. As informações vazadas podem ser usadas para:
Abrir contas bancárias falsas;
Solicitar empréstimos e realizar realizar transações fraudulentas;
Aplicar golpes de engenharia social, nos quais golpistas se passam por familiares ou representantes de empresas para extorquir vítimas;
Clonagem de identidade e aplicação de golpes em nome das vítimas;
Crimes físicos com base em localização e rotina;
Phishing altamente personalizado com base nas informações vazadas.
O impacto é agravado pela facilidade de acesso aos dados, permitindo que diversos tipos de atores mal-intencionados, de cibercriminosos individuais a grupos especializados em fraudes, comprem pacotes de consulta e apliquem os golpes.
Ilegalidade
O esquema viola diretamente a Lei Geral de Proteção de Dados (LGPD), além de incorrer em crimes previstos no Código Penal Brasileiro e na Lei de Crimes Cibernéticos (Lei 12.737/2012). Entre as infrações estão:
Coleta e tratamento de dados sem consentimento;
Falta de transparência sobre origem das informações;
Violação dos princípios da LGPD: finalidade, adequação, necessidade e segurança, todos exigidos pela lei.
Golpistas vendem ilegalmente dados sensíveis de empresas e cidadãos brasileiros. Golpes envolvem sites falsos, engenharia social e violação da LGPD.
Uma investigação recente da ISH Tecnologia identificou uma sofisticada operação criminosa voltada à comercialização de dados sensíveis de empresas e cidadãos brasileiros. A ação se dá por meio de APIs clandestinas e plataformas web que operam como verdadeiros “serviços de assinatura” para criminosos digitais.
As informações são vendidas de forma organizada, com planos escalonáveis que oferecem acesso a dados como CPF, endereço, vínculos profissionais e até nomes de familiares. A facilidade de uso e o aspecto “profissional” das plataformas demonstram um grau elevado de estrutura no esquema.
Engenharia Social
Segundo a ISH, os golpistas utilizam táticas de engenharia social combinadas com a clonagem de sites para enganar suas vítimas. Um dos exemplos mais alarmantes é a falsa campanha “Indeniza Brasil”, que simula um programa governamental de restituição financeira. O objetivo? Induzir os usuários a pagar uma taxa para então receber a indenização do governo. Além disso, é possível que ele roube outras informações sensíveis, como endereços e outros documentos.
Outra artimanha envolve páginas que imitam serviços populares, como rastreamento de encomendas dos Correios, simulando entregas supostamente atrasadas. Os criminosos aproveitam APIs para validar CPFs, consultar dados pessoais e montar abordagens cada vez mais críveis.
Golpes que se alimentam de dados reais
Com posse de informações obtidas ilegalmente, os criminosos podem ligar para uma vítima fingindo ser sua instituição bancária, passando uma sensação de credibilidade ao ter posse de alguns dos seus dados. Ou ainda, com nome, CPF, número e endereço, solicitar portabilidade de linhas telefônicas para interceptar códigos de autenticação e aplicar golpes mais elaborados.
Além do site falso, outro meio pelo qual a API que rouba os dados é vendida são grupos em aplicativos de mensagens, onde são oferecidos pacotes com consultas a CEPs, e-mails, telefones, entre outros serviços ilegais. Nas mãos de outros criminosos, podem dar origem a uma série de golpes extremamente sofisticados.
Venda de dados em plataforma
As APIs também são vendidas por meio de uma plataforma web, que conta com site e aplicativo mobile. São oferecidos diversos planos de assinatura, a partir dos quais os criminosos podem consultar uma série de dados.
A ISH detectou uma falha de segurança na plataforma web, revelando credenciais de acesso no próprio código da aplicação. A partir disso, foi possível simular pesquisas por CNPJs e CPFs e comprovar a gravidade da exposição. No caso do CNPJ, em uma única requisição, apareceram uma série de dados de funcionários da empresa — inclusive os que já foram desligados.
Já para buscas por CPF, são exibidos uma série de informações como os nomes dos pais da vítima, o que apenas reforça a gravidade desses dados caindo na mão de criminosos.
Riscos para a sociedade
O acesso a esses dados coloca em risco toda a sociedade. As informações vazadas podem ser usadas para:
O impacto é agravado pela facilidade de acesso aos dados, permitindo que diversos tipos de atores mal-intencionados, de cibercriminosos individuais a grupos especializados em fraudes, comprem pacotes de consulta e apliquem os golpes.
Ilegalidade
O esquema viola diretamente a Lei Geral de Proteção de Dados (LGPD), além de incorrer em crimes previstos no Código Penal Brasileiro e na Lei de Crimes Cibernéticos (Lei 12.737/2012). Entre as infrações estão: