O submundo do cibercrime é uma máquina bem oleada cuja atividade está avaliada em vários milhares de milhões de dólares. De acordo com a Cybersecurity Ventures, em breve o cibercrime será inclusivamente mais rentável do que o comércio global de todas as principais drogas ilegais em conjunto.
Em websites da dark web, cibercriminosos compram e vendem grandes quantidades de dados roubados, bem como as ferramentas usadas para os obter. Estima-se que atualmente circulem nestes websites cerca de 24 mil milhões de nomes de utilizador e passwords obtidos ilegalmente. Entre os dados mais procurados estão dados de cartões bancários recentemente roubados, que são depois comprados em massa agentes criminosos para cometer fraude de identidade.
A escala do mercado de compra e venda destes dados é difícil de avaliar. Mas os administradores do maior mercado clandestino “reformaram-se” recentemente após terem ganho cerca de 358 milhões de dólares.
1. Phishing
O phishing é uma das técnicas mais populares para os cibercriminosos roubarem dados. Na sua forma mais simples, é um truque em que o hacker se faz passar por uma entidade legítima (por exemplo, um banco, um fornecedor de comércio eletrónico, ou uma empresa de tecnologia) para o enganar e o levar a divulgar os seus dados pessoais, ou a descarregar malware involuntariamente.
Muitas vezes encorajam os utilizadores a clicar num link ou a abrir um anexo. Por vezes, ao fazê-lo, o link ou anexo leva o utilizador a uma página de phishing - onde será encorajado a introduzir informações pessoais e financeiras. Numa avaliação recente, concluiu-se que o phishing atingiu um máximo histórico no primeiro trimestre de 2022.
As técnicas de phishing têm evoluído nos últimos anos. Em vez de um email, hoje pode receber um texto malicioso (SMS) de um hacker que finge ser uma empresa de entregas, uma agência governamental, ou outra organização de confiança. Os agentes criminosos podem até telefonar-lhe, mais uma vez fingindo ser uma fonte de confiança, com o objetivo de obter os detalhes do seu cartão. O phishing por SMS (smishing) mais do que duplicou em 2021 em comparação com o ano anterior, enquanto o phishing por voz (vishing) também aumentou, de acordo com uma estimativa.
2. Malware
O cibercrime no submundo é um enorme mercado, não só para dados mas também para malware. Ao longo dos anos, diferentes tipos de código malicioso têm sido concebidos para roubar informação. Alguns registam as suas teclas - por exemplo, ao digitar os detalhes do cartão num site de comércio eletrónico ou bancário. Como é que os agentes criminosos obtêm estas ferramentas no seu sistema?
Os emails ou textos de phishing são um método popular. Os anúncios online maliciosos são outro. Noutros casos, podem comprometer sites populares e esperar que os utilizadores os visitem. Este tipo de malware “drive-by-download” é instalado assim que se visita o site comprometido. O malware de roubo de informação é também muitas vezes escondido dentro de aplicações móveis com aspeto legítimo, mas maliciosas.
3. “Skimming” digital
Por vezes, os hackers também instalam malware nas páginas de pagamento de sites de comércio eletrónico. Estes são invisíveis para o utilizador, mas irão roubar os detalhes do seu cartão à medida que são introduzidos. Não há muito que os utilizadores possam fazer para se protegerem, além de comprarem apenas com marcas e websites de grandes nomes, que provavelmente serão mais seguros. As deteções de “skimming” digital aumentaram 150% entre maio e novembro de 2021.
4. Violações de dados
Por vezes, os detalhes do cartão são roubados diretamente às empresas com quem se faz negócio. Pode ser um prestador de cuidados de saúde, uma loja de comércio eletrónico, ou uma empresa de viagens. Esta é uma forma mais rentável de fazer as coisas do ponto de vista dos hackers, porque num ataque eles têm acesso a um enorme conjunto de dados.
Por outro lado, com campanhas de phishing, têm de roubar a indivíduos um por um - embora estes ataques sejam normalmente automatizados. Nos EUA, 2021 foi um ano recorde para as violações de dados.
5. Wi-Fi público
Quando está fora de casa, pode ser tentador navegar na web gratuitamente em hotspots públicos de Wi-Fi - em aeroportos, hotéis, cafés, e outros espaços partilhados. Mesmo que tenha de pagar para aderir à rede, pode não ser seguro se os hackers tiverem feito o mesmo. Eles podem usar este acesso para espiar os seus dados à medida que os introduz.
Como manter os dados do seu cartão bancário a salvo
Felizmente, há muitas maneiras de mitigar o risco de dados do seu cartão chegarem às mãos erradas. A ESET sugere que considere o seguinte como um bom ponto de partida:
- Esteja alerta: nunca responda, clique em links, ou abra anexos de emails não solicitados. Eles podem estar “armadilhados” com malware. Ou podem levá-lo a páginas de phishing com aspeto legítimo, onde será encorajado a introduzir os seus dados.
- Não divulgue quaisquer detalhes pelo telefone, mesmo que a pessoa do outro lado pareça convincente. Pergunte de onde estão a ligar e depois volte a ligar para essa organização para verificar - embora não utilize quaisquer números de contacto que lhe deem.
- Não utilize a Internet em Wi-Fi público, especialmente sem uma rede privada virtual. Se for necessário, não faça nada que exija a introdução dos detalhes do cartão (por exemplo, compras online).
- Não guarde os detalhes do cartão em sítios de compras online ou outros, embora isto ajude a poupar tempo em futuras visitas. Isto reduzirá as hipóteses de os dados do seu cartão serem tomados em caso de violação dessa empresa, ou se a sua conta for sequestrada.
- Instale anti-malware, incluindo proteção anti-phishing, de um fornecedor de segurança reputado como a ESET em todos os computadores portáteis e outros dispositivos.
- Utilize autenticação de dois fatores em todas as contas sensíveis. Isto reduz as hipóteses de os hackers as abrirem com passwords roubadas/“phished”.
- Descarregue apenas aplicações de lojas legítimas (como a Apple App Store, ou Google Play).
- Se estiver a fazer compras online, faça-o apenas em sites com HTTPS (deve exibir um cadeado na barra de endereços do navegador ao lado do URL). Isto significa que há menos hipóteses de os dados poderem ser intercetados.
Finalmente, é uma boa prática manter todas as suas contas bancárias e cartões debaixo de olho. Se detetar quaisquer transações suspeitas, informe imediatamente a equipa de fraude do seu banco/fornecedor de cartões. Algumas aplicações permitem-lhe agora “congelar” todos os gastos com cartões específicos até poder verificar se houve uma falha de segurança. Há muitas maneiras de cibercriminosos obterem os detalhes dos nossos cartões, mas também há muito que podemos fazer para os manter à distância.