Vítimas de roubo de identidade nos EUA contam, desde 1999, com a ajuda do Identity Theft Resource Center (Centro de Informações em Roubo de Identidade – ITRC, na sigla em inglês). A organização sem fins lucrativos, voltada para a assistência e educação de pessoas e empresas nas melhores práticas para evitar fraudes e identificar possíveis golpes (tanto online quanto offline), além de servir como um repositório histórico de problemas relacionados à cibersegurança no País, entre os quais estão os vazamentos de informações.
Todos os anos, as informações coletadas pelo ITRC são compiladas e liberadas periodicamente em diversos relatórios gratuitos que ajudam a formar um panorama da cibersegurança nos EUA. Recentemente a instituição divulgou o relatório Data Breach Reports para 2015, que lista os casos de vazamentos de informações relatados durante o ano ao ITRC.
O relatório de 01 de dezembro de 2015 traz “uma compilação de vazamentos de dados confirmados por várias fontes de mídia e/ou listas de notificação de agências governamentais”, esses vazamentos, segundo o Centro, contemplam “números do Social Security (equivalente dos EUA ao nosso CPF), informações financeiras, dados médicos, e-mails e senhas”. Os vazamentos ocorrem de diversas formas, dentre as mais populares está o phishing.
Nesse post traçamos um panorama do relatório, com destaque para alguns dos casos de phishing registrados na edição deste ano.
Metodologia de criação do relatório
Em primeiro lugar, é preciso definir o que qualifica um “vazamento de informações”. O ITRC usa o risco de exposição de informações pessoais – seja por meios eletrônicos, seja por meios físicos – como o principal critério para considerar um vazamento importante o suficiente para entrar no relatório.
Além disso, o vazamento precisa conter uma ou mais das quatro informações a seguir:
Número do Social Security
Número de cartão de crédito ou débito
Email / Senha / Nome de usuário
Informações médicas
A seguir, os dados são classificados em “categorias de vazamentos” de acordo com as indústrias que originaram as informações.
Negócios: setor de serviços, turismo, hotelaria, transportes, processadoras de pagamentos, etc.
Educação: com entidades tanto do setor público quanto do setor privado.
Saúde: qualquer entidade ligada à indústria da saúde como hospitais e laboratórios.
Governo: cidades, estados, secretarias, ministérios e entidades militares.
Setor financeiro: bancos, financeiras, fundos de pensão, hipotecas, bancos de empréstimo, etc.
Resultados e casos de phishing
O ITRC listou 717 casos de vazamentos até 01/12/2015, totalizando mais de 176 milhões de registros vazados.
As duas categorias com maior número de casos foram a de negócios (290 casos com 16 milhões de registros vazados) e de saúde (248 casos, com mais de 120 milhões de registros vazados).
Nesse universo, phishing é uma das técnicas de ataque de maior destaque. Selecionamos alguns casos de vazamento desse tipo:.
Em junho de 2015, um número desconhecido de registros – incluindo nomes, números do Social Security, datas de nascimento e senhas – de estudantes e funcionários da Universidade de Michigan foram comprometidos. Segundo um alerta publicado pelo departamento de segurança da instituição, mais de 150 pessoas foram vítimas de phishing.
As vítimas receberam um e-mail falso, em que o atacante se passava por um representante de um dos departamentos da universidade que precisava “validar informações pessoais” através de um formulário do Google”.
Beacon Health System (Plano de Saúde)
Entre novembro de 2013 e janeiro de 2015 os dados de mais de 300 mil segurados do Beacon Health System foram expostos como resultado de ataques de phishing direcionados às caixas de e-mail de funcionários do Plano de Saúde. Segundo representantes da empresa, os dados vazados incluíam nome de pacientes, sua ID interna, nome dos seus médicos e, em alguns casos cujo número é desconhecido, o número do Social Security, número da carteira de motorista, diagnósticos e outras informações.
Em agosto de 2015, uma pessoa não autorizada conseguiu acesso ao e-mail do departamento de finanças da empresa de consultoria. Se passando pelo responsável pelo departamento, o atacante usou o a estrutura de correio eletrônico para conseguir informações de empresas e pessoas ligadas à M&R. A empresa informou que, como medida para evitar novos casos de phishing, estava adotando a solução de duplo fator de autenticação para acesso às suas contas de e-mail.
