Você já parou para pensar como a legislação brasileira atua na proteção dos seus dados em um mundo cada vez mais digital? Vamos explorar juntos o universo do phishing, esse intruso digital, e entender como as leis podem ser aliadas na preservação da sua privacidade.
Você sabia que, ao clicar em um simples e-mail, você pode abrir as portas para cibercriminosos? A vulnerabilidade digital é real, e o phishing explora cada brecha. Mas, calma. A legislação brasileira não está de braços cruzados diante dessa ameaça!
A engenharia social é como a mágica dos cibercriminosos: eles conseguem persuadir você a compartilhar informações sensíveis sem perceber. Eles exploram as fraquezas humanas, já que as pessoas não estão preparadas para perceber esse tipo de ataque, e inocentemente podem compartilhar informações perigosas. Mas, vamos descobrir como a legislação brasileira entra em cena para garantir sua segurança.
Entender as diferenças entre um hacker "chapéu branco" e um cracker "chapéu preto" é essencial para compreender como a legislação brasileira lida com esses personagens do mundo digital.
O hacker é um indivíduo que pretende obter acesso não autorizado a um sistema, encontrando deficiências e vulnerabilidades nas proteções de segurança empregadas por websites e sistemas de computação. Cracker, por sua vez, é um termo usado para denotar um hacker com intenção criminal. O cracker não tem como objetivo apenas encontrar a vulnerabilidade na proteção de um sistema, ele age com intuito de lucro.
No mundo da segurança da informação, o hacker recebe o nome de “chapéu branco” ou white hat, enquanto o cracker de “chapéu preto” ou black hat. No entanto, legalmente os dois tipos são criminosos pois acessam informações sigilosas.
Quando o assunto é engenharia social, o termo certo para denominar o cibercriminoso é cracker, pois ele tem como objetivo o acesso a informações sigilosas para obter lucro.
Há vários instrumentos que os crackers usam para obter acesso a dados importantes. E-mails fraudulentos, mensagens SMS enganosas e aplicativos duplicados, por exemplo, são as armas dos cibercriminosos. O uso dos emails é o método mais comum de phishing.
O phishing, uma vertente da engenharia social, usa artimanhas online para capturar dados. Neste jogo, a vítima precisa estar e confiar no cibercriminoso para o golpe funcionar. Entenda como a cooperação da vítima é decisiva para o sucesso do crime.
Os cibercriminosos enviam e-mails que parecem ser de empresas reais, como bancos. Um exemplo clássico é o caso da vítima que recebe uma mensagem dizendo que seus dados precisam ser atualizados. Se a pessoa não percebe que se trata de um golpe, ela irá clicar no link que leva a um endereço fraudulento. E então todos os dados digitados passam a ser coletados. As mensagens podem chegar também no celular através do Whatsapp.
Outro instrumento comumente utilizado é o chamado spear phishing. Trata-se de golpe que visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo. Os cibercriminosos podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.
Existe também o chamado smishing SMS, que é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem.
Já no chamado vishing os crackers criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas, persuadem as pessoas a digitarem ou informarem dados pessoais.
As empresas privadas tentam aplicar uma política de segurança que incluam normas contra troca de informações sigilosas, seja por meio de conversa, email, sms, telefonema, dentre outros. No entanto, não adianta investir em tecnologia de ponta para a proteção de dados se um simples email fraudulento pode quebrar todo o sigilo da informação.
A proteção aos consumidores contra essas técnicas de engenharia social deve estar na pauta diária de toda empresa que guarda dados pessoais, sob pena da empresa também ser vítima de fraude. Não são raras as vezes que os cibercriminosos coletam dados sigilosos e os utilizam para diversos fins como criação de novos cadastros em plataformas virtuais, conta bancárias, e sites de comércio.
O consumidor que é vítima do golpe aciona diretamente a empresa que utilizou indevidamente seus dados. Como no caso de conta falsa de banco onde os crackers efetuam empréstimos e realizam saques. Ou ainda o caso de crakers que utilizam CPF e dados pessoais para criar perfil falso em aplicativos como Ifood, Uber, e qualquer outro que gerencie compra e venda de produtos e fornecimento de serviço.
Perceba que em todos esses exemplos sempre haverão duas vítimas: o consumidor e o fornecedor. No primeiro momento, o consumidor será cobrado por uma dívida decorrente dessa conta falsa criada por cibercriminosos, ocasião em que terá ciência de que foi vítima de fraude. No segundo momento, será a vez do fornecedor ser vítima do golpe, pois quando a fraude for descoberta, o consumidor irá pedir a declaração de inexistência de dívida em seu nome, e o fornecedor arcará sozinho com as despesas.
O Código de Defesa do consumidor cria um sistema de proteção ao redor do consumidor, blindando o seu nome e patrimônio contra qualquer conduta indevida. Perceba que a responsabilidade do fornecedor de produtos e serviços é objetiva, e significa que não importa se a empresa fornecedora teve ou não culpa no ocorrido, bastando que seja provado o nexo causal entre o dano sofrido e a conduta do fornecedor.
A referida responsabilidade encontra raízes na Teoria do Risco, e impõe ao fornecedor a obrigação de reparar o dano mesmo não tendo culpa, uma vez que sua atividade desenvolvida por si só acarreta riscos. E esses riscos devem ser assumidos exclusivamente pelo fornecedor.
Assim, as empresas que fornecem produtos e serviços em sites e plataformas criam o risco de serem invadidas por cibercriminosos, e sob a ótica do Direito do Consumidor, deverão assumir todas as consequências advindas da sua atividade.
Nesse sentido, é necessário que a empresa fornecedora de produtos e serviços estabeleça uma política séria e comprometida de proteção contra ataques de engenharia social, e mais especificamente phishing, informando seus consumidores exaustivamente quanto aos métodos e instrumentos de fraude. Essa conduta não somente irá agradar as normas consumeristas como também é uma forma de prevenir futuras dívidas da empresa.
Conte com a InHands para auxiliar a sua empresa na implementação de políticas de proteção ao consumidor contra ciberataques.