Quanto tempo demora para que um cibercriminoso use informações roubadas?

Apesar de ser óbvio que hoje em dia a informação é poder, meio de pagamento e fonte de renda, existem pessoas que continuam achando que a sua identidade digital não é algo tão valioso e, por isso, não merece cuidados especiais. É muito comum escutarmos comentários como “para quem o meu nome completo pode ser importante?” ou “o que outras pessoas podem ganhar caso saibam o meu email?”

No entanto, sabemos que o cibercrime tem montado o seu próprio negócio de compra e venda de informações pessoais e que as contas de serviços online, como redes sociais, emails, sites de relacionamento ou de e-commerce também possuem um valor.

Imagine que cada vez que uma empresa como o Yahoo, Twitter, LinkedIn, Ashley Madison ou eBay sofre uma brecha de segurança ou um ciberataque e roubam informações de usuários, todos esses dados são, em seguida, comercializados ou mesmo vazados e publicados na Internet.

No entanto, o que acontece depois? O que um cibercriminoso ou golpista faz com esses dados?

A Comissão Federal de Comércio dos Estados Unidos (FTC) queria encontrar a resposta e, para isso, publicou informações falsas, que pareciam ser de centenas de cidadãos do país, em um site que foi previamente usado para o vazamento de credenciais. Durante a segunda vez que fizeram isso, os cibercriminosos apenas demoraram nove minutos para começar a tentar acessar a essas contas vazadas.

No total, houve mais de 1.200 tentativas de acesso aos detalhes de emails, métodos de pagamento associado e números de cartão de crédito. “Os ladrões de identidade tentaram usar os cartões de crédito de nossos clientes falsos para comprar diversas coisas, incluindo roupas, jogos, assinaturas para encontros online e pizza”, explica o artigo de Ari Lazarus da FTC.

Dessa forma, ficou claro que: “Os criminosos estão ativamente buscando qualquer credencial de usuário que possam encontrar; se os dados de sua conta se tornam públicos, os usarão”.

A base de dados falsa que a instituição criou parecia bastante real, já que se baseava nos registros do censo nacional e continham endereços de diversos lugares dos Estados Unidos, emails com estruturas habituais, números de telefone que correspondiam com os endereços, e um dos três tipos de método de pagamento (um serviço online, uma carteira de bitcoins ou um cartão de crédito).

O que posso fazer para limitar o risco?

Assim como a FTC, destacamos o duplo fator de autenticação como a melhor opção. Dessa forma, é possível impedir que os ladrões possam usar as suas credenciais, considerando que sempre faltará o segundo fator de autenticação que apenas você possui; por exemplo, uma mensagem para o seu smartphone ou token.

Caso não tenha esse mecanismo ativado e sua senha seja vazada, é fundamental que essa chave seja segura, com letras maiúsculas, minúsculas e caracteres especiais. Por que? Porque se os criminosos roubarem uma base de senhas criptografadas com hash, e a sua senha for fraca ou previsível, como “password” ou “123456”, será mais fácil desvendá-las por meio do ataque de força bruta.