Vazamentos de Dados Pessoais Online

Recentemente, um incidente sem precedentes aconteceu no Brasil. Dados como CPF, nome completo, endereço residencial e diversas outras informações pessoais dos brasileiros vazaram em fóruns da Web e da Darkweb.

Embora o vazamento esteja sendo atribuído por algumas pessoas a um gigante do setor de crédito, ainda não há provas definitivas se a fonte dos dados foi mesmo a empresa. A empresa nega e, provavelmente, terá que se defender dessas acusações nos tribunais conforme a Lei Geral de Proteção de Dados, que entrou em vigor em 2020 e prevê multas de até 2% do faturamento total da empresa em casos de vazamento de dados.

A punição e multa não é um privilégio de grandes empresas. Qualquer organização pode sofrer um processo caso não esteja pronta para tal. Segundo apontado por especialistas, a base de dados vazada, neste caso, reúne informações de mais de 230 milhões de brasileiros. Ou seja, uma base com mais CPFs do que a população inteira do Brasil. Este fato é possível porque há dados de pessoas que não estão mais vivas.

Há inúmeras possibilidades para o uso criminoso destes dados, desde extorsão até compras e empréstimos indevidos em nome das pessoas.

Montamos abaixo uma lista com 8 dicas importantes que as pessoas e empresas precisam ficar atentas ao abrir e-mails, hoje o principal método utilizado para roubar dados pessoais. É importante que tanto as empresas quanto os usuários se previnam contra estes possíveis golpes que podem surgir a partir destas informações.

 

1 – Altere a senha dos serviços em nuvem

A primeira dica é que caso você utilize seu sobrenome, endereço ou CPF todo ou em parte como senha para qualquer serviço, mude imediatamente para uma senha nova. Se possível uma senha forte com caracteres especiais letras maiúsculas, minúsculas e números. Muitas vezes, só o que hackers precisam é de acesso a algum serviço como e-mail, sistema de mensagens ou qualquer plataforma onde possam acessar conversas ou se passar por outra pessoa.

 

2 – Verifique a origem de e-mails e mensagens recebidas

Uma fraude muito comum é quando hackers se fazem passar por uma empresa e enviam um boleto ou ordem de pagamento falsa para a pessoa. Quando eles têm acesso a dados como seu CPF, e-mail endereço, entre outros, este golpe pode ficar ainda mais real. Por isso, priorize o pagamento de boletos e faturas impressos diretamente da página oficial ou aplicativo do fornecedor.

Em alguns casos, os criminosos podem utilizar um domínio de e-mail semelhante ao original, como por exemplo @saopaulo.iptu.gov.br, dando a entender que são a instituição solicitante. Eles podem trocar uma letra apenas substituindo o “i” por “l” e vice-versa. Portanto, é importante estar atento ao e-mail e ao domínio de origem, não olhando apenas ao nome no cabeçalho da mensagem (display name).

 

3 – Cuidado com os provedores

Tenha um domínio próprio e dê preferência para provedores que permitam adicionar camadas extra de proteção, não sendo uma espécie de “caixa preta”. Muitos provedores baratos possuem serviços de e-mail básicos incluídos em sua oferta, mas frequentemente estes serviços possuem um grau de proteção próximo de zero. Alguns deles ainda não permitem que o cliente contrate uma solução de proteção para e-mails de um terceiro, não permitindo a configuração de endereços MX externos. Ao gerenciar o endereço MX, por exemplo, é possível contratar uma proteção mais especializada como o HSC Mailinspector Cloud.

 

4 – Contrate uma proteção especializada

Mesmo que o seu provedor possua uma camada de proteção, como é o caso do Google e do Microsoft 365, que fornecem ferramentas de segurança nativamente, frequentemente estas plataformas são alvo e também origem de ataques. Muitas vezes hackers invadem contas de outras empresas que estão dentro da mesma plataforma e enviam e-mails a partir da conta invadida. A plataforma considera a origem segura, pois a origem é ela mesma, neste caso, e isso dificulta a identificação da mensagem como ameaça.

No entanto, algumas ferramentas especializadas como o HSC Mailinspector, possuem uma integração com essas plataformas (veja mais sobre integração com Microsoft 365 aqui) a nível da API que permite a filtragem de mensagens externas e internas, mesmo dentro de um mesmo domínio, minimizando substancialmente a probabilidade de recebimento de fraudes por e-mail.

 

 

5 – Invista em conscientização

Grandes empresas já utilizam esta estratégia e, cada vez mais, as organizações estão treinando seus usuários para que possam identificar possíveis e-mails com risco de phishing ou fraude.
Há no mercado empresas especializadas em treinamento e também há soluções de proteção de e-mail como o HSC Mailinspector que já incluem ferramentas de treinamento e conscientização de usuários em suas plataformas.

Aqui na HSC, costumamos falar que o usuário sempre é o elo mais sensível quando se trata de fraude, e não há uma corrente mais forte do que seu elo mais fraco. Entenda melhor como os ataques evoluíram e atualmente tem o usuário como principal alvo. Temos um Webinar que fala sobre a Evolução das ameaças que pode ser assistido aqui.

 

6 – Controle o fluxo de informações

6- Se você usa o e-mail para enviar boletos, solicitações de pagamento ou outras operações para seus clientes, procure informar sempre os mesmos de qual é a origem dos envios, o seu domínio e se possível, use uma senha para abrir os documentos. Isso irá ao menos dificultar a vida dos cibercriminosos.

 

7 – Filtre os e-mails de saída

As ferramentas padrão utilizadas por provedores, comumente não realizamna saída, a mesma filtragem que utilizada para os e-mails recebidos. Porém a filtragem de saída é extremamente importante para que você possa garantir que caso uma conta seja invadida sua empresa não se torne uma fonte de propagação de ameaças.

 

8 – Crie políticas de prevenção contra vazamento de dados

É extremamente importante que sua empresa possa assegurar que dados importante de usuários e clientes não vazem, principalmente depois da implantação da Lei Geral de Proteção de dados no Brasil (LGPD). No âmbito desta lei, empresas podem sofrer severas penas e multas que podem chegar a milhões de reais no caso de incidentes como o que vimos. Caso seja confirmado que a origem dos dados vazados, a empresa poderá ser processada e ainda ter uma multa de 2% do faturamento total no ano.

Por isso, é imprescindível que a empresa possua este controle no e-mail e também em outras plataformas onde os dados estejam como banco de dados, planilhas, etc. O HSC Mailinspector já inclui esta funcionalidade de auditoria de e-mails e DLP tanto nos planos Cloud quanto nas implantações On Premises. Veja a demonstração na prática:

 

A HSC atua há mais de 10 anos no mercado de cyber security, sendo líder de mercado em proteção para e-mails. Atualmente protegemos algumas das instituições mais respeitadas da América Latina, como Banco do Brasil e Serpro, só para citar algumas. Para saber mais entre em contato com nossos especialistas e conheça as tecnologias desenvolvidas por nós.

Assine nossa Newsletter!

Receba por e-mail os nossos melhores conteúdos sobre segurança da informação.

    Seus dados pessoais vazaram! E agora, o que fazer?

    tempo de leitura: 6 min