Ontem recebi um e-mail daqueles bem suspeitos sobre eu ter ganho uma promoção qualquer da Ingresso.com na Copa do Mundo no Brasil. Claro que eu não concorri em nenhuma promoção do tipo e li o e-mail apenas como material de estudo. Acontece que o que eu vi, me deixou pra lá de curioso.
O e-mail veio em nome da Ingresso.com, site em que eu tenho cadastro e já utilizei dos seus serviço há alguns anos. Sem muita firula visual, o e-mail apresentava como imagens apenas a marca do referido site e um logo antigo da Copa no Brasil, o que foi utilizado na candidatura do país para sediar os jogos. No entanto, isso não me chamou a atenção.
Apesar de exibir uma URL genérica (o que obviamente eu não iria clicar pra conferir), o e-mail também exibia a URL correta da Ingresso.com, dados de contato de quem enviou o e-mail e um texto relativamente fácil de acreditar. Mas o problema começou já no início da mensagem: ela continha dados pessoais verdadeiros e bem completos.
Nome, data de nascimento, RG, CPF, nome da minha mãe e meu endereço completo. Um endereço antigo, mas exatamente onde eu morava quando fiz o meu cadastro na Ingresso.com, o que me leva a acreditar que esses dados foram retirados realmente da base da Ingresso.com.
Mensagem original do phishing da Ingresso.com
O site da Ingresso.com foi invadido?
Não necessariamente, no entanto está claro que existiu uma falha grave e dados dos usuários vazaram. Em novembro de 2013 um grave problema envolvendo vazamento de dados do mesmo site aconteceu e foi objeto de investigação e processos. Na época, ao acessar o site, a sessão de um outro usuário (contendo todos os seus dados cadastrais e lista de compras) poderia ser exibida para um completo desconhecido. Seria como tentar acessar o site do seu banco e acabar entrando na conta bancária de alguém que você nem conhece.
No mês passado (março de 2014) esses e-mails da Copa começaram a surgir para diversos usuários cadastrados no Ingresso.com. Não se sabe ao certo se está acontecendo uma ação tardia com dados já capturados em novembro, ou se uma nova falha possibilitou a captura de dados dos clientes cadastrados novamente, pelo mesmo ou por um outro atacante.
Contatada por e-mail, a assessoria de imprensa da Ingresso.com se limitou a dizer que os dados não partiram da base deles. Cito abaixo:
“A Ingresso.com informa que tomou conhecimento de uma promoção falsa oferecendo ingressos para jogos da Copa do Mundo. A Companhia afirma que os dados não partiram de seus sistemas e que o caso está sendo tratado pelas autoridades competentes.”
Assessoria de Imprensa Ingresso.com
Usuários acusam a empresa
Apesar da negativa da empresa – que está colada como resposta em diversas reclamações encontradas ontem e hoje no site ReclameAqui – existem usuários que afirmam que isso é mentira, tendo identificado em seus dados – tanto os enviados no e-mail com a falsa promoção, quanto os que constam na base do site – informações idênticas, incluindo pequenos erros de digitação, presentes em ambas as fontes (reclamação retirada do site ReclameAqui). Tentei fazer a mesma comparação ao escrever esse texto, mas a área de usuário do site está indisponível desde ontem, apresentando um erro de programação.
A maior preocupação, além dos documentos disponibilizados, é que dados de cartão de crédito tenham sido expostos, o que seria uma bela dor de cabeça para o usuário e certamente para a empresa, se essas reclamações se transformarem em processos.
Recomendações de segurança
Episódios como esse não podem ser previstos pelos usuários e um vacilo da empresa detentora dos dados pode comprometer bastante a seguraça dos clientes, então, o máximo que podemos fazer é nos precaver de algumas formas:
1. Nunca clique em e-mails enviados que sejam minimamente suspeitos. Se estão te oferecendo algo de graça ou te cobrando uma dívida qualquer, desconfie. Antes de qualquer ação, entre no site verdadeiro da empresa ou entre em contato por telefone, questionando a mensagem recebida. Na maioria das vezes eles já estão informados de possíveis golpes;
2. Mantenha o mínimo possível de seus dados em sites na Internet. Se for obrigatório cadastrar dados sensíveis, tenha certeza de deixar alguma pista de onde você inseriu esses dados. Por exemplo, se você usa o GMail, você pode cadastrar o seu e-mail como: seuemaildeverdade+nomedosite@gmail.com. Qualquer texto depois do “+” será ignorado e a mensagem será entregue normalmente, mas você saberá de onde veio. Uma outra dica é colocar no seu endereço algo que não exista, por exemplo: BL01 ou Sala2 ou qualquer outra coisa que não atrapalhe o endereço correto de ser identificado pelo carteiro, e te dê uma pista de onde foi inserido o seu cadastro;
3. Remova cadastros que você não pretende usar frequentemente. É muito melhor cadastrar os mesmos dados uma vez por semestre em determinado site que te pede muita coisa (nome da mãe? por favor…) do que ter seus dados vazados por aí. Apague sua conta e envie um e-mail solicitando a remoção definitiva de seus dados, toda empresa é obrigada a fazer isso se você pedir.
O melhor antivírus e firewall continua sendo a precaução e a informação.