Vazamentos de dados são uma ameaça crescente para as empresas e um verdadeiro pesadelo para seus clientes. De acordo com informações mais recentes, somente em 2024 foram registrados 3.158 incidentes públicos nos Estados Unidos - quase atingindo o recorde histórico. Como consequência, mais de 1,3 bilhão de notificações de vazamentos de dados precisaram ser enviadas às vítimas, sendo que mais de 1 bilhão estavam relacionadas a cinco megavazamentos, cada um com mais de 100 milhões de registros comprometidos.

E a má notícia é que isso é apenas a ponta do iceberg. Existem muitas outras formas de suas informações pessoais identificáveis (PII) caírem nas mãos erradas. Uma vez que esses dados circulam no submundo do cibercrime, é só questão de tempo até serem usados em tentativas de golpe de identidade.

O que está em jogo?

De quais dados estamos falando? Eles podem incluir:

  • Nomes e endereços;
  • Números de cartão de crédito ou débito;
  • Números de CPF, RG ou outros documentos de identificação;
  • Dados bancários;
  • Informações de planos de saúde;
  • Detalhes de passaporte ou carteira de motorista;
  • Logins de contas on-line pessoais e corporativas.

Uma vez que seus dados pessoais são roubados, seja em um megavazamento de dados ou por meio de outros métodos, é bem provável que essas informações sejam vendidas ou compartilhadas para uso em diversos tipos de fraude. Isso pode incluir desde compras ilegais até o roubo de contas (ATO), criação de contas falsas ou golpes de phishing criados para obter ainda mais dados sensíveis. Em alguns casos, informações reais são combinadas com dados gerados por máquinas para formar identidades sintéticas, que são mais difíceis de detectar pelos filtros antifraude.

E esse é um negócio lucrativo. De acordo com a Javelin Strategy & Research, golpes de identidade causaram um prejuízo de US$ 47 bilhões aos norte-americanos somente em 2024.

Como funciona o roubo de identidade?

Golpes de identidade, no fim das contas, giram em torno de dados. Mas como os cibercriminosos conseguem obter essas informações? Se eles não estão roubando grandes volumes de dados de empresas com as quais você se relaciona, os principais meios usados em ataques direcionados contra indivíduos incluem:

  • Phishing / Smishing / Vishing: Clássicos ataques de engenharia social que podem chegar por diferentes canais — como e-mails (phishing), mensagens de texto (smishing) e até ligações telefônicas (vishing). Os criminosos usam técnicas já conhecidas para enganar a vítima e levá-la a clicar em links maliciosos, fornecer dados pessoais ou abrir anexos infectados. Eles costumam se passar por empresas ou instituições conhecidas, utilizando logotipos oficiais e artifícios como falsificação de número de telefone (caller ID) ou de domínio (spoofing).
  • Skimming digital: Para roubar dados do seu cartão, cibercriminosos podem inserir códigos maliciosos em páginas de sites populares de comércio eletrônico (ou similares). Esse processo é totalmente invisível para a vítima e acontece no momento da compra.
  • Wi-Fi público: Redes Wi-Fi públicas e não seguras podem facilitar ataques do tipo "man-in-the-middle", onde suas informações pessoais são interceptadas. Cibercriminosos também podem configurar hotspots falsos para coletar dados e redirecionar as vítimas para sites falsos.
  • Malware: O malware infostealer está se tornando um problema crescente tanto para usuários corporativos quanto para consumidores. Ele pode ser instalado sem que a vítima perceba, por meio de vários mecanismos, incluindo mensagens de phishing, downloads automáticos de sites infectados, jogos piratas, anúncios no Google ou até aplicativos aparentemente legítimos, como softwares falsos para videoconferências. A maioria dos infostealers coleta arquivos, fluxos de dados, detalhes de cartões, criptomoedas, senhas e até as teclas digitadas.
  • Malvertising: Anúncios maliciosos podem ser programados para roubar informações, às vezes sem que o usuário precise interagir com eles.
  • Sites maliciosos: Sites de phishing podem ser falsificados para parecerem legítimos, inclusive com domínios falsos. No caso de downloads automáticos (drive-by-downloads), basta o usuário visitar uma página comprometida e o malware será instalado de forma covertida. Frequentemente, esses sites maliciosos são promovidos para o topo dos rankings de busca, aumentando sua exposição, graças a técnicas de SEO (otimização para mecanismos de busca) falsas.
  • Aplicativos maliciosos: Malware, incluindo trojans bancários e infostealers, pode se disfarçar de aplicativos legítimos, com riscos particularmente altos fora das lojas de aplicativos oficiais, como o Google Play.
  • Perda/roubo de dispositivos: Se o seu dispositivo for perdido e não tiver proteção adequada, cibercriminosos podem invadi-lo em busca de dados pessoais e financeiros.

Como prevenir golpes de identidade

A maneira mais óbvia de prevenir golpes de identidade é evitar que os criminosos tenham acesso às suas informações pessoais e financeiras desde o início. Isso exige uma série de medidas que, quando aplicadas juntas, podem garantir essa proteção de forma eficaz. Confira algumas dicas:

  • Use senhas fortes e únicas: Escolha uma senha diferente para cada site, aplicativo e conta, e armazene-as em um gerenciador de senhas, que as lembrará para você de forma prática. Para reforçar a segurança, ative a autenticação de dois fatores (2FA) nas suas contas on-line. Isso significa que, mesmo que um criminoso obtenha sua senha, ele não conseguirá usá-la. O uso de um aplicativo de autenticação ou de uma chave de segurança física é a melhor opção para o 2FA.
  • Instale um software de segurança: Utilize software de segurança de um fornecedor confiável para todos os seus dispositivos. Ele será responsável por escanear e bloquear aplicativos e downloads maliciosos, detectar e bloquear sites de phishing, além de sinalizar atividades suspeitas, entre várias outras funcionalidades.
  • Seja cético: Fique sempre atento aos sinais de alerta de phishing: uma mensagem não solicitada que pede uma ação rápida, contendo links clicáveis ou anexos para abrir. O remetente pode usar truques como sorteios com prazos curtos ou alertas de que uma multa será aplicada se você não responder o mais rápido possível.
  • Use apenas aplicativos de sites legítimos: Prefira as lojas oficiais de aplicativos, como a Apple App Store e o Google Play, para reduzir sua exposição a aplicativos maliciosos. Sempre verifique as avaliações e as permissões antes de fazer o download.
  • Cuidado com o Wi-Fi público: Evite redes Wi-Fi públicas ou, se não for possível, evite acessar contas sensíveis enquanto estiver conectado. De qualquer forma, use uma VPN para aumentar sua segurança.

O que fazer ao ser vítima de um vazamento de dados?

Em relação aos vazamentos de dados de terceiros, pouco pode ser feito, além de optar por não salvar seus dados de pagamento e informações pessoais ao fazer compras. Isso reduz o que os criminosos podem roubar caso consigam invadir uma empresa com a qual você se relaciona. No entanto, adotar uma abordagem proativa também é importante. Alguns produtos de proteção de identidade monitoram a dark web em busca de suas informações para verificar se já foram vazadas. Caso haja um vazamento, isso pode lhe dar tempo para cancelar cartões, alterar senhas e tomar outras precauções. Também é importante ficar atento a atividades suspeitas em suas contas bancárias.

Outras etapas após um vazamento de dados incluem:

  • Congelar seu crédito: Faça isso junto às três principais agências de crédito. Isso impede que elas compartilhem seu relatório de crédito com terceiros, o que significa que criminosos não poderão abrir novas contas em seu nome.
  • Avisar ao seu banco: Congele seus cartões (isso pode ser feito através da maioria dos aplicativos bancários), reporte golpes e solicite cartões substitutos.
  • Registrar um boletim de ocorrência: Avise a polícia. Ao divulgar seu caso oficialmente, você pode ajudar outras pessoas.
  • Alterar seus dados de login: Troque qualquer senha comprometida e ative a autenticação de dois fatores (2FA).

O golple de identidade continua sendo uma ameaça porque é relativamente fácil para os criminosos começarem a obter lucros consideráveis. Ao reduzir as possibilidades que eles têm de acessar nossas informações pessoais, podemos dificultar o trabalho dos adversários e, com sorte, manter nossas vidas digitais seguras.