Quanto tempo demora para que um cibercriminoso use informações roubadas?

Quanto tempo demora para que um cibercriminoso use as informações roubadas?

Depois que uma empresa sofre um ciberataque ou um vazamento de informações, o que um cibercriminoso pode fazer com as informações roubadas?

Depois que uma empresa sofre um ciberataque ou um vazamento de informações, o que um cibercriminoso pode fazer com as informações roubadas?

Apesar de ser óbvio que hoje em dia a informação é poder, meio de pagamento e fonte de renda, existem pessoas que continuam achando que a sua identidade digital não é algo tão valioso e, por isso, não merece cuidados especiais. É muito comum escutarmos comentários como “para quem o meu nome completo pode ser importante?” ou “o que outras pessoas podem ganhar caso saibam o meu email?”

No entanto, sabemos que o cibercrime tem montado o seu próprio negócio de compra e venda de informações pessoais e que as contas de serviços online, como redes sociais, emails, sites de relacionamento ou de e-commerce também possuem um valor.

Imagine que cada vez que uma empresa como o Yahoo, Twitter, LinkedIn, Ashley Madison ou eBay sofre uma brecha de segurança ou um ciberataque e roubam informações de usuários, todos esses dados são, em seguida, comercializados ou mesmo vazados e publicados na Internet.

No entanto, o que acontece depois? O que um cibercriminoso ou golpista faz com esses dados?

A Comissão Federal de Comércio dos Estados Unidos (FTC) queria encontrar a resposta e, para isso, publicou informações falsas, que pareciam ser de centenas de cidadãos do país, em um site que foi previamente usado para o vazamento de credenciais. Durante a segunda vez que fizeram isso, os cibercriminosos apenas demoraram nove minutos para começar a tentar acessar a essas contas vazadas.

No total, houve mais de 1.200 tentativas de acesso aos detalhes de emails, métodos de pagamento associado e números de cartão de crédito. “Os ladrões de identidade tentaram usar os cartões de crédito de nossos clientes falsos para comprar diversas coisas, incluindo roupas, jogos, assinaturas para encontros online e pizza”, explica o artigo de Ari Lazarus da FTC.

Dessa forma, ficou claro que: “Os criminosos estão ativamente buscando qualquer credencial de usuário que possam encontrar; se os dados de sua conta se tornam públicos, os usarão”.

A base de dados falsa que a instituição criou parecia bastante real, já que se baseava nos registros do censo nacional e continham endereços de diversos lugares dos Estados Unidos, emails com estruturas habituais, números de telefone que correspondiam com os endereços, e um dos três tipos de método de pagamento (um serviço online, uma carteira de bitcoins ou um cartão de crédito).

O que posso fazer para limitar o risco?

Assim como a FTC, destacamos o duplo fator de autenticação como a melhor opção. Dessa forma, é possível impedir que os ladrões possam usar as suas credenciais, considerando que sempre faltará o segundo fator de autenticação que apenas você possui; por exemplo, uma mensagem para o seu smartphone ou token.

Caso não tenha esse mecanismo ativado e sua senha seja vazada, é fundamental que essa chave seja segura, com letras maiúsculas, minúsculas e caracteres especiais. Por que? Porque se os criminosos roubarem uma base de senhas criptografadas com hash, e a sua senha for fraca ou previsível, como “password” ou “123456”, será mais fácil desvendá-las por meio do ataque de força bruta.

Leia também: Por que é importante proteger as suas informações pessoais?

Discussão