Hackers invadiram o sistema de compra, bloqueio e extrato do “Cartão Presente” da C&A. Entre os dados de clientes vazados, estão: número do cartão, CPF, email, valor adquirido como presente, e-mail do funcionário que fez a transação, número do pedido e data da compra.
Após uma denúncia sobre mau uso de dados de candidatos a emprego para a criação de cartões da empresa, a C&A enfrenta um novo problema nesta semana, agora, um hacker chamado @j0shua, do grupo Fatal Error Crew, publicou no Pastebin os dados de clientes da C&A que adquiriram os presentes.
“Já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”, escreveu o hacker Joshua ao publicar os dados.
Posicionamento da C&A
“A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online”
Em primeiro lugar, temos o phishing, o principal ataque no Brasil e um dos métodos de ataque mais antigos. Nele, “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
Depois, temos a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite “desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
Adaptado de TecMundo