'Painel de dados' dá aos golpistas tudo de que precisam
Basta seu nome ou número de telefone. Com esse naco de informação, é possível saber onde você mora, seu CPF, sua renda, seus parentes, se você é bom pagador e até achar fotos suas na internet. Tudo numa tela só.
Essas informações são reunidas no que se convencionou chamar de "painel de dados", um site que é a origem de boa parte dos golpes virtuais -- a modalidade de crime que mais cresce no Brasil.
Criminosos chegam fácil a esse paraíso de informações. Por meio de assinatura (que varia de R$ 30 a R$ 350) protegida com login e senha, esses sites reúnem dados vazados ou roubados de órgãos públicos e empresas privadas.
De acordo com levantamento da Tenable, uma empresa de cibersegurança, junto a profissionais de TI, o Brasil sofreu 43% do total global de vazamentos em 2022, com mais de 1 bilhão de registros.
Quem cria os painéis comete uma ilegalidade, usando dados vazados ou reunindo os que estão disponíveis nas redes e bancos de dados abertos. Acessá-los, por si só, não configura crime.
O problema é que, segundo dados do Anuário Brasileiro de Segurança Pública de 2024, estelionatos e golpes virtuais derivados desses acessos cresceram vertiginosamente no país.
Só o prejuízo com golpe do Pix (R$ 25 bilhões) já é maior que o de furtos e roubos de celulares (R$ 23,5 bilhões), segundo pesquisa recente do Fórum Brasileiro de Segurança Pública, encomendada pelo Datafolha.
O próprio crime organizado está de olho nos painéis. Autoridades já detectaram que membros de facções criminosas são usuários desses sites.
"O acesso a esses painéis permite que o fraudador consiga ter um maior poder de convencimento na hora de dar o golpe], em razão dos dados da vítima que ele consegue enxergar."
Thiago Chinelato, delegado da Divisão de Crimes Cibernéticos na Polícia Civil de São Paulo
Pandemia virou o jogo
A explosão de golpes que começam num painel de dados ocorreu durante a pandemia, que levou mais pessoas ao sistema bancário.
Segundo relatório do Banco Central, em cinco anos, o número de pessoas físicas com conta corrente passou de 77 milhões, em 2018, para 152 milhões em 2023 (ou 87,7% da população adulta).
São três as razões para esse aumento:
- o auxílio emergencial pago pelo governo a famílias de baixa renda, que exigia conta corrente;
- o lançamento do Pix, em outubro de 2020, que facilitou transferências entre contas;
- o surgimento de novas instituições financeiras.
Segundo o Fórum, os crimes contra o patrimônio têm migrado das ruas (roubo a bancos, lojas e cargas) para o virtual. Os motivos? Ganhos maiores e risco zero de confronto com a polícia.
"Por trás da tela de um computador, [o criminoso] está protegido de todos os riscos associados à interação humana (...). Além disso, as novas tecnologias permitem que criminosos realizem golpes em um volume muito maior."
Anuário Brasileiro de Segurança Pública
Primórdios do painel
A cultura do painel de dados nasceu nos anos 2010, quando DVDs e pen drives com dados eram vendidos por camelôs.
Antes, dados vazados eram comercializados na surdina na "deep web" — camada da internet não visível por mecanismos de busca tradicionais.
As informações reunidas de forma ilegal eram usadas por empresas de telemarketing para vender produtos e mailing.
Ter uma página web de dados virou realidade com o Tudo Sobre Todos, que ganhou as manchetes em 2015 por reunir informações "de todos os brasileiros".
A página, hospedada em algum país estrangeiro, está no ar até hoje.
Como a ANPD (Autoridade Nacional de Proteção de Dados), responsável por investigar vazamentos, só foi criada em 2020, o TsT operou livre por um bom tempo.
Há um processo na ANPD contra a página, mas até hoje ninguém sofreu nenhuma sanção.
O órgão, a propósito, divulga processos abertos. Até o momento, só uma multa foi aplicada: uma empresa condenada por venda de dados de eleitores teve de pagar R$ 14,4 mil.
Ninguém sabe, ninguém viu
Em janeiro de 2021, mais de 220 milhões de informações caíram na rede. Eram CPFs, salários, veículos, placas de carros, números de telefone, scores de crédito.
O megavazamento de 2021 foi a origem dos painéis como conhecemos atualmente, reunindo dados de Receita Federal, INSS, Sinarm (Sistema Nacional de Armas da PF), birô de crédito Boa Vista e CadSUS (sistema que reúne dados de usuários do SUS).
Questionada, a ANPD diz que todas as "entidades que tiveram seus dados utilizados nesses painéis já foram notificadas e informaram as providências adotadas".
Se antes o mais comum eram funcionários com acesso privilegiado copiarem e venderem informações, hoje em dia os vazamentos também ocorrem por brechas nos sistemas.
"Quando os dados migraram para a nuvem, a situação piorou, pois isso facilita muito o acesso, ainda mais em sistemas com segurança falha."
Fabio Assolini, da empresa de segurança Kaspersky
A bem da verdade, muitas vezes os dados nem vazados foram. Entregamos nossas credenciais de bom grado, por exemplo, quando falamos o CPF numa loja, em troca do recebimento de ofertas.
Não existe um registro público de todos os vazamentos de dados de brasileiros.
Empresas e órgãos públicos precisam avisar a ANPD sobre ocorrências, mas como costuma "pegar" mal admitir a vulnerabilidade dos sistemas, a divulgação pública quase nunca ocorre.
Segundo Adriano Volpini, diretor de Segurança Corporativa do Itaú Unibanco e do comitê de prevenção a fraudes da Febraban, "a legislação brasileira já prevê que é preciso dar visibilidade à infração da LGPD, mas muitas empresas ainda não o fazem".
Uma nota no site da ANPD relata acessos indevidos ao sistema do INSS em 2022, vindo de três logins da AGU (Advocacia-Geral da União).
Outro processo aberto tem como alvo os bancos Itaú, Santander, Bradesco e Pan por compartilhamento de dados para ofertar empréstimos consignados.
Mas o órgão não diz quantas pessoas foram afetadas e quais foram os principais alvos.
O que tem no painel?
Para escrever esta reportagem, o UOL acessou um painel de dados. Grupos de WhatsApp e Telegram oferecem esses acessos.
Após entrar em contato com um vendedor pelo WhatsApp, a reportagem conversou em português com pessoas que tinham números de fora do país.
Escolhido o plano de assinatura, é necessário fazer um Pix, a única forma de pagamento.
Ao transferir o dinheiro, aparece o nome de uma pessoa física (em vez de uma empresa) e o aviso: "Cuidado! Essa conta já recebeu denúncias de golpe".
Segundo especialistas, trata-se de uma conta-laranja recém-criada ou "alugada" por uma pessoa para receber estes valores que, posteriormente, são repassados para facilitar a ocultação do dinheiro.
A página de acesso é hospedada fora do Brasil, o que dificulta a ação das autoridades brasileiras.
Um golpe pra chamar de seu
No painel acessado pela reportagem, era possível fazer busca por score de crédito (uma classificação usada por empresas de crédito para avaliar seu poder de compra), aniversário e renda.
Os dados não estavam 100% atualizados - na verdade, eles são a junção de diversos vazamentos. Mas o conjunto é promissor.
"Mesmo bases desatualizadas podem estar corretas, pois é incomum as pessoas mudarem de telefone ou endereço a toda hora", afirma Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética).
É assim que criminosos conseguem se passar por um amigo ou parente para pedir dinheiro pelo WhatsApp, ou ligar de uma falsa central solicitando senha ou transferência bancária para resolver um problema numa conta, ou ainda para dar o "golpe do aniversário", quando um entregador quer entregar um presente mas para recebê-lo é preciso pagar pela entrega.
"Para cada grupo existe um golpe para chamar de seu. O criminoso molda o ataque para que ele tenha a maior taxa de sucesso", explica Adriano Volpini.
Aprender a trancar a porta
É fato: dados de quase todas as pessoas estão vazados na internet, e o crime organizado vai usá-los uma hora ou outra. O que fazer?
A Lei Geral de Proteção dos Dados existe desde 2020 para dar ao cidadão o poder sobre seus dados. Mas poucos sabem direito o que significa.
"Assim como as pessoas trancam a porta antes de sair de casa, elas precisam aprender sobre cuidados de segurança digital. Os governos e as empresas têm que educar a população sobre a importância de trocar senha e não ficar cedendo dados para qualquer um."
Paulo Lara, diretor-executivo da ONG Artigo 19
Por outro lado, a ANPD, que deve fiscalizar a implementação da lei de privacidade no Brasil, precisa ser fortalecida, segundo especialistas ouvidos pela reportagem.
"A ANPD é uma autoridade recente, os funcionários vieram de outros órgãos. É um processo difícil de estruturar, ainda mais em um país continental e muito digitalizado", explica Pedro Saliba, coordenador de assimetrias e poder na Data Privacy Brasil, associação que defende direitos digitais.
Para Assolini, o maior cuidado passa pelo fortalecimento da ANPD. "Se não houver uma punição pesada a empresas e governos, eles vão continuar tratando os nossos dados de forma imprópria."
Sobre painéis, a ANPD aconselha que as pessoas denunciem às autoridades policiais com um boletim de ocorrência. Além disso, o órgão conta com um canal de denúncias de infração de dados.