A sua conta pode estar a ser vendida na dark web — Revelação da cadeia completa de roubo de dados

Cada vez que insere o seu nome de utilizador e palavra-passe numa página de phishing, esses dados podem ser vendidos na dark web por menos de cem dólares. Isto não é alarmismo, mas sim uma cadeia de produção do crime cibernético já consolidada. Este artigo acompanha todo o processo desde a recolha, circulação até à utilização final dos dados roubados, revelando o negócio obscuro por trás do comércio de dados na dark web.

Como é que os dados são roubados?

Antes de um ataque de phishing começar realmente, os criminosos precisam de criar um “dispositivo” para recolher os dados. A nossa análise a páginas de phishing reais revelou que os criminosos utilizam principalmente três métodos para obter as informações que os utilizadores inserem em sites falsificados:

Primeiro método: Reencaminhamento de email (ainda em uso, mas a desaparecer)

Após o utilizador inserir os seus dados num formulário de phishing, essas informações são enviadas automaticamente para um email controlado pelo atacante através de um script PHP. É a forma mais tradicional, mas tem falhas graves — atrasos na entrega, facilidade de interceptação, servidores de envio que podem ser bloqueados. Por isso, esta técnica está a ser gradualmente substituída por métodos mais discretos.

Já analisámos um kit de phishing dirigido a utilizadores da DHL. O script nele contido encaminhava automaticamente o email e a palavra-passe do vítima para um endereço especificado, mas devido às limitações do email, esse método tornou-se obsoleto.

Segundo método: Bots no Telegram (cada vez mais popular)

Ao contrário do email, os atacantes que usam bots no Telegram inserem um link API no código, contendo o token do bot e o ID do chat. Quando o utilizador envia as informações, os dados são enviados em tempo real para o bot, e o operador recebe uma notificação instantânea.

Por que é que este método é mais popular? Porque os bots no Telegram são mais difíceis de rastrear e bloquear, além de não dependerem da qualidade de hospedagem da página de phishing. Os atacantes podem até usar bots descartáveis, reduzindo bastante o risco de serem apanhados.

Terceiro método: Painel de gestão automatizado (o mais profissional)

Grupos criminosos mais experientes compram ou alugam plataformas específicas de phishing, como BulletProofLink ou Caffeine, plataformas comerciais que oferecem um painel web — todos os dados roubados são agregados numa base de dados centralizada.

Estes painéis geralmente têm funcionalidades avançadas: estatísticas por país e por período, validação automática da validade dos dados roubados, exportação em vários formatos. Para grupos organizados, são ferramentas essenciais para aumentar a eficiência. É importante notar que uma única campanha de phishing costuma usar várias técnicas de recolha simultaneamente.

Que tipos de dados são expostos? E qual o seu valor?

Nem todos os dados roubados têm o mesmo valor. Para os criminosos, esses dados são classificados em diferentes níveis, com preços e utilidades distintas.

Segundo análises de dados do último ano, a distribuição dos alvos de ataques de phishing é a seguinte:

• Credenciais de contas online (88,5%): nome de utilizador e palavra-passe. São os dados mais frequentemente roubados, pois mesmo apenas um email ou número de telefone têm valor — podem ser usados para ataques de recuperação de conta ou para futuras campanhas de phishing.

• Dados de identificação pessoal (9,5%): nome, endereço, data de nascimento, etc. São usados em ataques de engenharia social ou combinados com outros dados para fraudes mais precisas.

• Dados de cartões bancários (2%): número do cartão, validade, CVV, etc. Apesar de representarem uma percentagem menor, têm o maior valor, sendo altamente protegidos.

O valor específico dos dados também depende de atributos adicionais da conta — antiguidade, saldo, se tem autenticação de dois fatores (2FA) ativada, métodos de pagamento associados, etc. Uma conta recém-criada, com saldo zero e sem 2FA, quase não vale nada. Por outro lado, uma conta antiga, com histórico de compras, ligada a um cartão bancário verdadeiro, pode valer centenas de dólares.

O negócio na dark web: como é que os dados passam de “roubados” a “vendidos”

Os dados roubados acabam na dark web. O que acontece por lá? Vamos seguir esta cadeia de produção clandestina:

Primeiro passo: empacotamento e venda em massa

Os dados roubados não são utilizados imediatamente, mas agrupados em ficheiros comprimidos — geralmente contendo milhões de registos de várias campanhas de phishing e vazamentos de dados. Estes “pacotes de dados” são vendidos a preços baixos em fóruns na dark web, por vezes por apenas 50 dólares.

Quem compra estes dados? Não são hackers que fazem fraudes diretamente, mas sim analistas de dados na dark web — intermediários na cadeia de fornecimento.

Segundo passo: classificação, validação e criação de perfis

Os analistas de dados processam as informações adquiridas. Classificam-nas por tipo (emails, telefones, cartões), e executam scripts automáticos para validar — por exemplo, verificar se a palavra-passe de uma conta no Facebook também funciona no Steam ou Gmail.

Este passo é crucial, pois os utilizadores tendem a usar a mesma ou semelhante palavra-passe em vários sites. Dados antigos de um serviço vazado há anos podem ainda abrir portas noutras contas hoje. Contas validadas e ainda acessíveis valem mais na revenda.

Além disso, os analistas podem relacionar dados de diferentes ataques, criando perfis completos de utilizador: uma senha de uma rede social antiga, um login obtido num formulário de phishing, um número de telefone deixado num site de scams — fragmentos aparentemente desconectados que, juntos, formam um perfil digital detalhado de um alvo específico.

Terceiro passo: venda especializada no mercado da dark web

Dados validados e processados são colocados à venda em fóruns ou canais no Telegram — “lojas online” que exibem preços, descrições e avaliações de compradores, como numa loja convencional.

Os preços variam bastante. Uma conta de rede social já verificada pode valer entre 1 a 5 dólares, enquanto uma conta bancária online com histórico longo, ligada a um cartão verdadeiro e com 2FA ativado, pode chegar a valer várias centenas de dólares. O valor depende de fatores como antiguidade, saldo, métodos de pagamento, estado do 2FA e reputação da plataforma.

Quarto passo: caça a alvos de alto valor com precisão

Os dados na dark web não servem só para fraudes em massa, mas também para ataques direcionados — o chamado “whale phishing”. São campanhas específicas contra executivos, contadores ou administradores de sistemas de alta valia.

Imagine: uma empresa A tem uma fuga de dados, incluindo informações de um ex-funcionário que agora é gestor na empresa B. Os atacantes usam inteligência de fontes abertas (OSINT) para confirmar o cargo e o email atual dessa pessoa. Depois, enviam um email de phishing cuidadosamente elaborado, fingindo ser o CEO da B, citando detalhes do passado na empresa anterior — tudo obtido na dark web. Assim, reduzem a desconfiança do alvo e aumentam as chances de sucesso na invasão.

Este método não se limita às empresas. Os atacantes também visam indivíduos com saldo bancário elevado ou que possuem documentos importantes, como comprovantes de empréstimos ou documentos de identidade.

A assustadora realidade dos dados roubados

Os dados roubados são como mercadoria que nunca desaparece — acumulam-se, são reorganizados, reembalados, e reutilizados várias vezes. Uma vez na dark web, podem ser usados meses ou anos depois para ataques direcionados, extorsões ou roubo de identidade.

Isto não é alarmismo. É a realidade do ambiente digital atual.

As medidas de proteção que deve tomar agora

Se ainda não tomou medidas de segurança para as suas contas, é hora de começar:

Aja já (para evitar vazamentos):

1. Use senhas únicas para cada conta. É a proteção mais básica e eficaz. Se um site for comprometido, os seus outros serviços permanecem seguros.
2. Ative a autenticação de dois fatores (MFA/2FA). Sempre que possível, habilite esta camada extra de segurança para impedir que alguém acesse as suas contas mesmo com a palavra-passe.
3. Verifique se os seus dados foram vazados. Use serviços como Have I Been Pwned para verificar se o seu email aparece em vazamentos conhecidos.

Se for vítima, tome medidas de emergência:

1. Se o seu cartão bancário foi comprometido, contacte o banco imediatamente para bloquear e substituir o cartão.
2. Alterne as palavras-passe de todas as contas afetadas e de outras que usam a mesma palavra-passe.
3. Verifique o histórico de login das suas contas e termine sessões suspeitas.
4. Se as suas contas de redes sociais ou mensagens forem invadidas, avise amigos e familiares para ficarem atentos a mensagens fraudulentas em seu nome.
5. Desconfie de emails, chamadas ou ofertas inesperadas — mesmo que pareçam legítimas, podem ser tentativas de ataque usando dados vazados na dark web.

A existência do mercado na dark web mudou as regras do jogo do crime digital. Os dados deixaram de ser uma mercadoria de uso único, passando a ser um recurso reutilizável. A melhor proteção é agir agora, antes que seja tarde demais.