Como parte do processo do monitoramento de riscos digitais realizado pela equipe de inteligência de ameaças da Italtel Digital Security, identificamos no dia 19/02/2020 em um grupo fechado do Telegram, alguns usuários suspeitos, estavam anunciando um suposto site que comercializava dados e documentos pessoais de brasileiros, incluindo imagens de Selfie dos mesmos.

O grupo, conhecido por divulgar informações relacionadas à técnicas de fraudes e compartilhamento de dados e documentos pessoais, possui atualmente quase 1.600 membros. Dentre as centenas de lojas virtuais voltadas para o Cyber Crime que são divulgadas neste grupo, uma em especial chamou bastante atenção, pois afirmava ter armazenado em seu “estoque” de vendas mais de 500 mil documentos pessoais de cidadãos brasileiros.

O indivíduo responsável por desenvolver e sustentar a loja virtual que comercializa os dados e documentos mencionados, identificado pelo nome de Thiago, possui uma rotina diária de divulgação do link da loja no grupo em questão, incluindo o compartilhamento de promoções nos processos de compra que dariam direitos e/ou benefícios aos membros que participassem ao adquirir os documentos na loja ou então ao convidar outros potenciais compradores. O exemplo mais recente desta atividade é a possibilidade de ganho de 10% do valor em dinheiro que um outro membro cadastrado, via link de convite, adicionasse à sua carteira da loja.

A imagem se refere a pré-visualização do grupo no Telegram.

Identificarmos que os usuários que acessam a loja, conseguem visualizar uma página com a listagem de um pouco mais de 500 mil itens, os quais podem ser adquiridos por preços que variam de R$ 20 à R$ 40 por item, possuindo como forma de pagamento única a transação utilizando a moeda Bitcoin (BTC).

Lista de produtos a venda separado por CPF, nome, localização, bairro, dados bancários e preço de cada pacote de dados das vítimas.

Na mesma página contendo a lista de itens, sem utilizar nenhum tipo de filtro de pesquisa, é possível também visualizar que o site mostra a existência dos mais de 500 mil dados pessoais e documentos à venda. O cálculo do prejuízo em níveis de duplicidade de vítimas que possuem cadastro em mais de um banco exposto, é imensurável.

Nesta imagem é possível ver o total do número de vítimas que possuem os dados a venda.

Ao clicar no nome de qualquer pessoa listada na loja, a página carrega uma nova tela contendo duas fotos editadas. Como forma de ofuscar o conteúdo e ao mesmo tempo confirmar a existência do mesmo, as imagens se apresentam como sendo de supostas vítimas, que tiveram seus dados e fotos de documentos roubados. O conteúdo completo do item é liberado para o usuário apenas após a realização da compra.

No site ilegal, para visualização do documento e comprovação da autenticidade dos dados, as imagens são ofuscadas por figuras, até um comprador realizar o pagamento.

Durante a análise realizada, foi possível confirmar que todas as pessoas consultadas na loja possuíam duas fotos, as quais sempre eram uma de algum documento pessoal como RG ou CNH e uma segunda com a suposta selfie do dono do documento.

Imagem que confirma a autenticidade do material, não sendo dados repetidos.

Segundo o site, todas as vítimas listadas na loja também tiveram seus dados bancários extraviados, uma vez que é também possível obter tais dados após concluir a compra do item (ou documento) desejado.

Durante a realização da pesquisa, foi possível confirmar que existem um total de 40 Bancos e Instituições Financeiras listadas na loja, assim como há a possibilidade de filtrar os documentos por Bancos ou Instituições em específico.

Nesta imagem é possível ver alguns bancos afetados pelo site.

Dados Disponíveis

Durante o processo de investigação deste incidente, não foi possível confirmar quais dados bancários podem vir acompanhados dos documentos após a realização da compra. Em discussões no grupo onde a loja é divulgada, membros e clientes da loja confirmam que os dados são:

Agência

Conta

Tipo de Conta

Riscos Identificados

Um dos maiores riscos para as vítimas que tiveram seus dados expostos e comercializados nesta loja, uma vez que o foco principal dos compradores, inclusive formados pela grande maioria dos membros do grupo aqui descrito, é que estes documentos podem e são utilizados na grande maioria das vezes para abertura de contas em outros bancos, solicitações de crédito ou demais serviços online que exigem fotos do documento e uma comprovação pessoal, como a selfie.

Uma segunda possibilidade, bastante discutida no grupo, é a utilização de tais dados para obter acesso à serviços e contas das vítimas, utilizando as fotos e selfies para emissão de documentos falsos, processo que é facilitado pela compra dos documentos virem acompanhados dos dados pessoais da vítima.

Italtel Digital Security

Durante o processo de investigação, nosso time conseguiu obter em poucas horas todos os dados listados nesta loja, colocando a disposição de nossos clientes.

Caso tenha alguma dúvida ou precise de mais informações, entre em contato conosco.

Asseguramos proteção holística que elevam o nível de Segurança da Informação aos nossos clientes, atuando com todas as frentes de Segurança da Informação, desde LGPD, Gestão de Risco, Threat Intelligence, MDR, Pentest, Security Awareness, entre outros.

Para área de Threat Intelligence desenvolvemos nosso próprio software, o RIPSTER, que atua em segurança cibernética preditiva de Cyber Fraud, Cyber Threat Intelligence a Brand Monitoring.

Texto atualizado no dia 21/02/2020 às 16h21.