Em denúncia enviada ao
TecMundo terça-feira (5), hackers pegaram mais de 17 mil nomes completos,
com email, número CPF, RG, endereço (cidade e estado) e data de nascimento de
consumidores da Netshoes. São diversos os golpes que podem ser realizados com
estas informações, desde o phishing "customizado" até uma engenharia
social mirando o roubo de dados bancários.
No total, são dados de 17.908
clientes enviados em quatro documentos postados no Pastebin. O hacker que
enviou os documentos se identifica como "DFrank" e comentou o
seguinte ao TecMundo:
"Queremos as companhias
encerrem o discurso de que os dados de consumidores estão seguros. As pessoas
não podem continuar sendo enganadas pelas empresas, acreditando que seus dados
pessoais são seguros".
Dfrank comentou que
"explorou vulnerabilidades na plataforma para acessar os dados". Sem
querer entrar em detalhes, o atacante disse que obteve acesso "usando uma
técnica que se chama fuzzing para se infiltrar no código-fonte". O fuzzing
é uma técnica normalmente automatizada ou semi-automatizada. Ela promove dados
inválidos e aleatórios como entradas em programas — o mais comum é que o
fuzzing encontre falhas mais simples em programas.
De acordo com Renato Marinho,
pesquisador chefe da Morphus Labs, a engenharia social "desde a abertura
de contas bancárias para obtenção de crédito a tentativa de recuperação de
credenciais de acessos a serviços on-line da vítima, são muitos os cenários de
risco envolvendo o uso de informações como essas e técnicas de engenharia
social".
Enquanto os
hackers comentam que tiveram acesso aos dados por causa de um ataque, é bem
possível que, na verdade, isso não passe de um phishing.
Caso você não
saiba, phishing é um dos métodos de ataque mais antigos, já que "metade do
trabalho" é enganar o usuário de computador ou smartphone. Como uma
"pescaria", o cibercriminoso envia um texto indicando que você ganhou
algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link
acompanhante para você resolver a situação. O phishing também pode ser
caracterizado como sites falsos que pedem dados de visitantes. A armadilha
acontece quando você entra nesse link e insere os seus dados sensíveis —
normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —,
como nome completo, telefone, CPF e números de contas bancárias.
A própria
Netshoes comentou o seguinte ao TecMundo: "A Netshoes afirma que não foram identificados quaisquer
indícios de invasão aos sistemas da empresa e que os dados referidos não
incluem informações bancárias, de cartões de crédito, ou senhas de acesso. A
companhia reforça seu compromisso com a segurança de seus ambientes
tecnológicos, a fim de garantir a proteção de todas as informações de sua base
de consumidores. A empresa tem como prática disponibilizar conteúdo aos
seus clientes sobre potenciais crimes cibernéticos e segurança da informação.
Inclusive, envia frequentemente orientações para mitigar ameaças
digitais".
Para manter a integridade de
suas contas, seja de ecommerce, redes sociais ou internet banking, utilize
sempre senhas longas. Além disso, caso você tenha caído em algum golpe
bancário, é necessário ficar atento ao extrato e entrar em contato com o seu
gerente, que lhe ajudará nos próximos passos.
TecMundo
Nenhum comentário:
Postar um comentário
Reflita, analise e comente