Embora o vazamento esteja sendo atribuído por algumas pessoas a um gigante do setor de crédito, ainda não há provas definitivas se a fonte dos dados foi mesmo a empresa. A empresa nega e, provavelmente, terá que se defender dessas acusações nos tribunais conforme a Lei Geral de Proteção de Dados, que entrou em vigor em 2020 e prevê multas de até 2% do faturamento total da empresa em casos de vazamento de dados.
A punição e multa não é um privilégio de grandes empresas. Qualquer organização pode sofrer um processo caso não esteja pronta para tal. Segundo apontado por especialistas, a base de dados vazada, neste caso, reúne informações de mais de 230 milhões de brasileiros. Ou seja, uma base com mais CPFs do que a população inteira do Brasil. Este fato é possível porque há dados de pessoas que não estão mais vivas.
Há inúmeras possibilidades para o uso criminoso destes dados, desde extorsão até compras e empréstimos indevidos em nome das pessoas.
Montamos abaixo uma lista com 8 dicas importantes que as pessoas e empresas precisam ficar atentas ao abrir e-mails, hoje o principal método utilizado para roubar dados pessoais. É importante que tanto as empresas quanto os usuários se previnam contra estes possíveis golpes que podem surgir a partir destas informações.
1 – Altere a senha dos serviços em nuvem
A primeira dica é que caso você utilize seu sobrenome, endereço ou CPF todo ou em parte como senha para qualquer serviço, mude imediatamente para uma senha nova. Se possível uma senha forte com caracteres especiais letras maiúsculas, minúsculas e números. Muitas vezes, só o que hackers precisam é de acesso a algum serviço como e-mail, sistema de mensagens ou qualquer plataforma onde possam acessar conversas ou se passar por outra pessoa.
2 – Verifique a origem de e-mails e mensagens recebidas
Uma fraude muito comum é quando hackers se fazem passar por uma empresa e enviam um boleto ou ordem de pagamento falsa para a pessoa. Quando eles têm acesso a dados como seu CPF, e-mail endereço, entre outros, este golpe pode ficar ainda mais real. Por isso, priorize o pagamento de boletos e faturas impressos diretamente da página oficial ou aplicativo do fornecedor.
Em alguns casos, os criminosos podem utilizar um domínio de e-mail semelhante ao original, como por exemplo @saopaulo.iptu.gov.br, dando a entender que são a instituição solicitante. Eles podem trocar uma letra apenas substituindo o “i” por “l” e vice-versa. Portanto, é importante estar atento ao e-mail e ao domínio de origem, não olhando apenas ao nome no cabeçalho da mensagem (display name).
3 – Cuidado com os provedores
Tenha um domínio próprio e dê preferência para provedores que permitam adicionar camadas extra de proteção, não sendo uma espécie de “caixa preta”. Muitos provedores baratos possuem serviços de e-mail básicos incluídos em sua oferta, mas frequentemente estes serviços possuem um grau de proteção próximo de zero. Alguns deles ainda não permitem que o cliente contrate uma solução de proteção para e-mails de um terceiro, não permitindo a configuração de endereços MX externos.
4 – Contrate uma proteção especializada
Mesmo que o seu provedor possua uma camada de proteção, como é o caso do Google e do Microsoft 365, que fornecem ferramentas de segurança nativamente, frequentemente estas plataformas são alvo e também origem de ataques. Muitas vezes hackers invadem contas de outras empresas que estão dentro da mesma plataforma e enviam e-mails a partir da conta invadida. A plataforma considera a origem segura, pois a origem é ela mesma, neste caso, e isso dificulta a identificação da mensagem como ameaça.
No entanto, algumas ferramentas especializadas como o HSC Mailinspector, possuem uma integração com essas plataformas (veja mais sobre integração com Microsoft 365 aqui) a nível da API que permite a filtragem de mensagens externas e internas, mesmo dentro de um mesmo domínio, minimizando substancialmente a probabilidade de recebimento de fraudes por e-mail.
5 – Invista em conscientização
Grandes empresas já utilizam esta estratégia e, cada vez mais, as organizações estão treinando seus usuários para que possam identificar possíveis e-mails com risco de phishing ou fraude.
Há no mercado empresas especializadas em treinamento e também há soluções de proteção de e-mail como o HSC Mailinspector que já incluem ferramentas de treinamento e conscientização de usuários em suas plataformas.
Aqui na HSC, costumamos falar que o usuário sempre é o elo mais sensível quando se trata de fraude, e não há uma corrente mais forte do que seu elo mais fraco. Entenda melhor como os ataques evoluíram e atualmente tem o usuário como principal alvo. Temos um Webinar que fala sobre a Evolução das ameaças.
6 – Controle o fluxo de informações
6- Se você usa o e-mail para enviar boletos, solicitações de pagamento ou outras operações para seus clientes, procure informar sempre os mesmos de qual é a origem dos envios, o seu domínio e se possível, use uma senha para abrir os documentos. Isso irá ao menos dificultar a vida dos cibercriminosos.
7 – Filtre os e-mails de saída
As ferramentas padrão utilizadas por provedores, comumente não realizamna saída, a mesma filtragem que utilizada para os e-mails recebidos. Porém a filtragem de saída é extremamente importante para que você possa garantir que caso uma conta seja invadida sua empresa não se torne uma fonte de propagação de ameaças.
8 – Crie políticas de prevenção contra vazamento de dados
É extremamente importante que sua empresa possa assegurar que dados importante de usuários e clientes não vazem, principalmente depois da implantação da Lei Geral de Proteção de dados no Brasil (LGPD). No âmbito desta lei, empresas podem sofrer severas penas e multas que podem chegar a milhões de reais no caso de incidentes como o que vimos. Caso seja confirmado que a origem dos dados vazados, a empresa poderá ser processada e ainda ter uma multa de 2% do faturamento total no ano.
Por isso, é imprescindível que a empresa possua este controle no e-mail e também em outras plataformas onde os dados estejam como banco de dados, planilhas, etc.
Fonte: https://www.hscbrasil.com.br/vazamento-de-dados-pessoais-online/
