Muitas pessoas veem a telemedicina como uma das maiores conquistas do avanço científico: é possível, basicamente, ter uma consulta médica em cinco minutos, sem sair do sofá. Mas há um porém…

Dados médicos são vendidos na dark web ou em mercados ilegais por valores dezenas de vezes superiores aos de informações de cartão de crédito ou credenciais de redes sociais. Diferentemente de um cartão de crédito, que pode ser bloqueado e substituído, não é possível “reiniciar” seu histórico médico. Seu nome, data de nascimento, endereço, telefone, número do plano de saúde, diagnósticos, resultados de exames, prescrições e planos de tratamento permanecem relevantes por anos. Isso representa uma verdadeira mina de ouro para usos que vão desde marketing direcionado até chantagem, fraude ou roubo de identidade.

E, com o avanço da IA, a Internet está agora repleta de sites falsos que alegam oferecer serviços médicos, mas que, na verdade, são projetados para extrair dados confidenciais de vítimas desavisadas. Hoje, vamos explorar quais informações médicas estão em risco, por que invasores desejam esses dados e como você pode impedir esse tipo de ameaça.

Mais valiosos do que dados de cartões de crédito

Criminosos monetizam dados médicos roubados tanto em grande escala quanto por meio de vendas individuais. A primeira ação geralmente é exigir pagamento de resgate das organizações invadidas. (De fato, em 2024, 91% dos vazamentos de dados de saúde relacionados a malware nos Estados Unidos foram resultado de ataques de ransomware). Posteriormente, os dados vazados passam a ser utilizados em ataques direcionados e personalizados. Eles permitem que invasores construam um perfil médico da vítima (quais medicamentos ela compra, com que frequência e quais utiliza de forma contínua) para, então, vender essas informações para a indústria farmacêutica ou para profissionais de marketing, ou utilizá-las em golpes de phishing direcionado, como a oferta de um suposto tratamento inovador. Os criminosos também podem chantagear pacientes com base em diagnósticos sensíveis ou usar essas informações para obter prescrições de substâncias controladas de forma fraudulenta. Além disso, seguradoras também têm grande interesse nesses dados. Essas empresas analisam tais informações para aumentar o valor dos prêmios de seguro de saúde ou, em alguns casos, até negar cobertura. Em resumo, existem inúmeras formas de usar esses dados contra você.

Qual é gravidade disso tudo na prática?

O maior vazamento de dados médicos da história aconteceu em fevereiro de 2024, quando o grupo de hackers BlackCat invadiu os sistemas da empresa de assistência médica Change Healthcare. A empresa é uma divisão do UnitedHealth Group, responsável por processar cerca de 15 bilhões de transações de seguros por ano e atuar como intermediária financeira entre pacientes, prestadores de serviços de saúde e seguradoras.

Durante nove dias, os invasores circularam livremente pelos sistemas internos da Change Healthcare, extraindo seis terabytes de dados confidenciais antes de, finalmente, executar o ataque de ransomware. Para conter a propagação do malware, a UnitedHealth precisou tirar completamente do ar os data centers da Change Healthcare e acabou pagando um resgate de 22 milhões de dólares aos criminosos. O ataque praticamente paralisou o sistema de saúde dos Estados Unidos. O número de vítimas foi revisado três vezes: inicialmente 100 milhões, depois 190 milhões, até chegar ao total final de impressionantes 192,7 milhões de pessoas, com prejuízos estimados em 2,9 bilhões de dólares. E a causa (do lado da Change Healthcare) desse incidente de grandes proporções, que analisamos em detalhe em outro conteúdo, foi simplesmente… a ausência de autenticação em dois fatores em um portal de acesso remoto via desktop.

Antes disso, a startup de telemedicina em saúde mental Cerebral incorporou ferramentas de rastreamento de terceiros diretamente em seu site e aplicativos. Como resultado, os dados de 3,2 milhões de pacientes (incluindo nomes, históricos médicos e de prescrições, além de informações de seguro) foram compartilhados com plataformas como LinkedIn, Snapchat e TikTok. A Comissão Federal de Comércio dos Estados Unidos aplicou à empresa uma multa de 7,1 milhões de dólares e impôs uma medida inédita: a proibição do uso de dados médicos para fins publicitários. Vale mencionar que a mesma startup também ganhou destaque negativo ao enviar aos clientes cartões promocionais sem envelope, expondo nomes e mensagens que facilitavam a identificação do diagnóstico por qualquer pessoa.

Por que a telemedicina é tão vulnerável

Vamos analisar os principais pontos de fragilidade dos serviços de telemedicina.

• Rastreadores de anúncios em aplicativos de saúde. Ferramentas de rastreamento de empresas como Facebook, TikTok e Snapchat frequentemente já vêm integradas às plataformas de telemedicina, permitindo o compartilhamento de dados dos pacientes com anunciantes sem que os usuários tenham conhecimento.
• Canais de comunicação não seguros. Em alguns casos, médicos se comunicam com pacientes por meio de aplicativos de mensagens comuns, em vez de plataformas médicas certificadas. Embora seja prático, isso pode ser ilegal para a clínica e totalmente inseguro para o paciente.
• Vulnerabilidades nas plataformas. Plataformas de telemedicina estão sujeitas a ataques clássicos da Web, como injeção de SQL (que permite a extração de bancos de dados completos de pacientes), sequestro de sessão e interceptação de dados quando a criptografia da conexão é fraca ou inexistente.
• Treinamento insuficiente das equipes. Nossas pesquisas indicam que 30% dos médicos já lidaram com comprometimento de dados de pacientes especificamente durante atendimentos por telemedicina, e 42% dos profissionais de saúde não compreendem plenamente como os dados dos pacientes são protegidos.
• Dispositivos médicos desatualizados. Muitos dispositivos médicos vestíveis (como monitores cardíacos ou medidores de pressão arterial) utilizam um protocolo de transmissão de dados antigo chamado MQTT. Esse protocolo apresenta vulnerabilidades que podem permitir a invasores acessar informações sensíveis ou até interferir no funcionamento dos dispositivos.

Spam e phishing na telemedicina

Invasores não são os únicos interessados na área da saúde já que spammers e golpistas também atuam fortemente nesse segmento. Eles oferecem “serviços médicos” com promessas boas demais para serem verdade, enviam e-mails sobre supostas mudanças no seu plano de saúde ou divulgam “tratamentos milenares do Himalaia”. Naturalmente, todos os links enviados levam a sites suspeitos, que oferecem produtos ou serviços duvidosos.

Se você acabar acessando um site de phishing como esses, os golpistas vão tentar extrair o máximo possível de dados pessoais: fotos de documentos, apólice do seguro, prescrições médicas e, em alguns casos… até imagens de partes do corpo sob o pretexto de avaliação clínica. A partir daí, essas informações podem ser vendidas na dark web ou usadas em esquemas de chantagem, extorsão e novos ataques de phishing. Para entender melhor como funciona essa cadeia clandestina de dados, vale explorar o conteúdo: O que acontece com os dados roubados por meio de phishing?

Como regra geral, sites de clínicas falsas costumam omitir a seção de política de privacidade e bombardear você com ofertas “somente hoje” que parecem boas demais para ser verdade. Ao mesmo tempo, com o avanço da IA, criar um site com aparência profissional, praticamente indistinguível de um legítimo, se tornou extremamente fácil. Já não é necessário ter habilidades de design nem domínio do idioma da vítima. Por isso, recomendamos a utilização da nossa solução de segurança completa, que foi projetada para detectar spam, golpes e phishing e alertar você sobre sites falsos antes mesmo de acessá-los.

Dicas de segurança para pacientes de telemedicina

• Crie um e-mail exclusivo para serviços de saúde. Se esse endereço vazar após um incidente de segurança em uma clínica, fica muito mais difícil para golpistas conectarem essas informações ao restante da sua vida digital.
• Evite usar login com Google, Apple ou redes sociais. Manter os acessos separados dificulta a associação entre seus dados médicos e suas contas pessoais.
• Verifique qual plataforma será usada na consulta. Se a clínica sugerir uma ligação ou conversa por aplicativos de mensagens comuns, desconfie. O mais seguro é utilizar um portal do paciente oficial, com comunicação criptografada.
• Nunca envie documentos médicos por aplicativos de mensagem ou redes sociais. Resultados de exames, laudos e prontuários devem ser enviados exclusivamente pelo portal oficial da clínica.
• Use senhas únicas e fortes para cada conta. Seu acesso ao portal governamental, ao sistema da clínica e ao aplicativo de agendamento médico deve ter senhas diferentes. O Kaspersky Password Manager pode gerar e armazenar todas elas com segurança, além de monitorar vazamentos de dados e alertar caso alguma de suas contas seja comprometida.
• Ative a autenticação em dois fatores. Priorize serviços governamentais e instituições de saúde. Recomendamos o uso de aplicativos autenticadores em vez de códigos por SMS, pois são mais seguros e totalmente anônimos. O Kaspersky Password Manager pode ajudar nesse processo.
• Compartilhe apenas o necessário. Não se sinta obrigado a preencher todos os campos opcionais em aplicativos médicos ou em sites. Quanto menos dados um serviço armazenar, menor será o vazamento.
• Tenha cuidado ao compartilhar informações de saúde nas mídias sociais ou em aplicativos de bate-papo. Os golpistas adoram explorar as pessoas quando elas estão vulneráveis. Por exemplo, em 2024, invasores conquistaram a confiança do desenvolvedor do XZ Utils, que havia compartilhado publicamente questões de esgotamento e depressão. Eles o convenceram a ceder o controle da ferramenta, que depois foi comprometida com código malicioso. Como o XZ Utils é amplamente utilizado em sistemas Linux e impacta o OpenSSH (um protocolo de acesso remoto a servidores), o ataque poderia ter afetado uma parcela significativa da Internet se não tivesse sido detectado a tempo.
• Não instale aplicativos de telemedicina de desenvolvedores desconhecidos. Verifique as avaliações e dedique um momento para revisar a política de privacidade. Até mesmo plataformas consolidadas podem compartilhar seus dados com terceiros.
• Acompanhe seus registros médicos. Prescrições incomuns, consultas que você não realizou ou medicamentos desconhecidos podem ser sinais de que sua conta foi comprometida.
• Configure e mantenha atualizados seus dispositivos de saúde. Monitores de atividade física, medidores de pressão arterial, balanças inteligentes e outros dispositivos de monitoramento de atividades enviam dados pela Internet. Configurações inadequadas ou vulnerabilidades não corrigidas facilitam a ocorrência de vazamentos de dados.

O que mais você precisa saber sobre como proteger sua saúde on-line:

• Vazamento de dados mentais: vulnerabilidades em aplicativos de saúde mental
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso
• Interações com bots podem resultar em tragédias
• Privacidade em aplicativos de saúde reprodutiva
• Cinco problemas da “telessaúde”

Em fevereiro de 2026, a empresa de segurança cibernética Oversecured publicou um relatório que faz com que você queira redefinir o telefone para o padrão de fábrica e se mudar para uma cabana remota na floresta. Os pesquisadores fizeram uma auditoria em 10 aplicativos populares de saúde mental para Android, desde aplicativos de acompanhamento de humor e terapeutas de IA até ferramentas para gerenciar depressão e ansiedade, e descobriram 1.575 vulnerabilidades! Cinquenta e quatro dessas falhas foram classificadas como críticas. Dadas as estatísticas de download desses aplicativos no Google Play, é provável que 15 milhões de pessoas sejam afetadas. Quer saber qual é a ironia? Seis dos dez aplicativos testados fizeram promessas explícitas aos usuários de que seus dados estavam “totalmente criptografados e protegidos”.

Vamos analisar esses escandalosos “vazamentos de dados mentais”: o que exatamente pode vazar, como isso acontece e por que o “anonimato” nesses serviços geralmente não passa de um mito.

O que foi encontrado nos aplicativos

A Oversecured é uma empresa de segurança de aplicativos móveis que usa um verificador especializado para analisar arquivos APK em busca de padrões de vulnerabilidade conhecidos em dezenas de categorias. Em janeiro de 2026, alguns pesquisadores analisaram dez aplicativos de monitoramento de saúde mental do Google Play por meio do verificador, e os resultados foram, digamos, “espetaculares”.

A anatomia das falhas

As vulnerabilidades descobertas são diversas, mas seu propósito é o mesmo: dar aos invasores acesso a dados que deveriam estar trancados a sete chaves.

Para começar, uma das vulnerabilidades permite que um invasor acesse quaisquer atividades internas do aplicativo, inclusive aquelas que deveriam ser sigilosas. Isso permite o sequestro de tokens de autenticação e dados de sessão do usuário. Uma vez que um invasor obtiver essas informações, ele poderá acessar os registros de terapia de um usuário.

Outro problema é o armazenamento de dados local inseguro, com permissões de leitura concedidas a qualquer outro aplicativo no dispositivo. Em outras palavras, aplicativos aleatórios no seu telefone, como a lanterna ou a calculadora, poderiam ler seus registros de terapia cognitivo-comportamental (TCC), notas pessoais e avaliações de humor.

Os pesquisadores também encontraram dados de configuração não criptografados inseridos diretamente nos arquivos de instalação do APK. Isso inclui endpoints da API de back-end e URLs codificadas para bancos de dados do Firebase.

Além disso, foi identificado que vários aplicativos usam a classe java.util.Random, conhecida por ter uma criptografia fraca, para gerar tokens de sessão e chaves de criptografia.

Por fim, a maioria dos aplicativos testados não tinha detecção de root/jailbreak. Em um dispositivo com root, qualquer aplicativo de terceiros com privilégios de root pode obter acesso total a cada bit dos dados médicos armazenados localmente.

É de se espantar que, dos 10 aplicativos analisados, apenas quatro receberam atualizações em fevereiro de 2026. O restante não viu um patch desde novembro de 2025 e há um aplicativo que não foi atualizado desde setembro de 2024. Passar 18 meses sem um patch de segurança é considerado um longo tempo nesse setor, especialmente para um aplicativo que contém diários de humor, transcrições de terapia e horários de ingestão de medicamentos.

Aqui está um rápido lembrete do perigo do uso indevido desse tipo de dados. Em 2024, o mundo da tecnologia foi abalado por um ataque sofisticado ao XZ Utils, um componente crítico encontrado em praticamente todos os sistemas operacionais baseados no kernel Linux. O invasor conseguiu convencer o responsável pelo projeto a entregar as permissões de alteração de códigos, aproveitando-se da sua admissão pública de cansaço extremo e falta de motivação para manter o projeto. Se o ataque tivesse sido concluído, o dano teria sido inimaginável, uma vez que cerca de 80% dos servidores do mundo executam o Linux.

O que pode vazar?

O que esses aplicativos coletam e armazenam? É o tipo de coisa que você provavelmente só compartilharia com um médico de confiança: transcrições de sessões de terapia, registros de humor, horários de medicação, indicadores de automutilação, notas de TCC e várias escalas de avaliação clínica.

Em 2021, registros médicos completos eram vendidos na dark web por US$ 1,000 cada. Para efeito de comparação, um número de cartão de crédito roubado custa entre US$ 5 e US$ 30. Os registros médicos contêm um pacote de identidade completo: nome, endereço, informações do seguro e histórico de diagnóstico. Ao contrário de um cartão de crédito, não há como “reemitir” um histórico médico. Além disso, todos sabem que a fraude médica é difícil de detectar. Embora um banco consiga detectar uma transação suspeita em horas, um pedido de seguro fraudulento para um tratamento inexistente pode passar despercebido por anos.

Já vimos este filme antes

O estudo da Oversecured não é apenas uma história de terror isolada.

Em 2020, Julius Kivimäki invadiu o banco de dados da clínica de psicoterapia finlandesa Vastaamo, acessando os registros de 33 mil pacientes. Quando a clínica se recusou a desembolsar um resgate de 400 mil euros, Kivimäki passou a enviar ameaças diretas aos pacientes: “Pague 200 euros em Bitcoin dentro de 24 horas, ou então seus registros se tornarão públicos.” Por fim, ele acabou vazando todo o banco de dados na dark web. Pelo menos duas pessoas se suicidaram, fazendo com que a clínica fosse forçada a declarar falência. Kivimäki acabou sendo condenado a seis anos e três meses de prisão, tornando este um julgamento recorde na Finlândia devido ao grande número de vítimas envolvidas.

Em 2023, a Comissão Federal de Comércio dos EUA (FTC) aplicou uma multa de US$ 7,8 milhões à BetterHelp, uma empresa gigante de terapia on-line. Apesar de declarar na sua página de inscrição que os dados dos usuários eram estritamente confidenciais, a empresa foi pega repassando suas informações (incluindo respostas a questionários de saúde mental, e-mails e endereços IP) ao Facebook, Snapchat, Criteo e Pinterest para fins de publicidade direcionada. Depois que a poeira baixou, 800 mil usuários afetados receberam um total geral de US$ 10 cada como compensação.

Em 2024, a FTC voltou sua atenção à empresa de telessaúde Cerebral, multando-a em US$ 7 milhões. Por meio de pixels de rastreamento, a Cerebral vazou os dados de 3,2 milhões de usuários para o LinkedIn, Snapchat e TikTok. O vazamento incluía nomes, históricos médicos, prescrições de medicamentos, datas de consultas e informações de seguro. Quer saber o que é pior? A empresa enviou cartões-postais promocionais (sem envelopes) para 6 mil pacientes, revelando que os destinatários estavam em tratamento psiquiátrico.

Em setembro de 2024, o pesquisador de segurança Jeremiah Fowler descobriu que um banco de dados pertencente à Confidant Health, um provedor especializado na recuperação de vícios e serviços de saúde mental, havia sido exposto. O banco de dados continha gravações de áudio e vídeo de sessões de terapia, transcrições, anotações psiquiátricas, resultados de testes de drogas e até cópias de carteiras de motorista. No total, 5,3 terabytes de dados, 126.000 arquivos ou 1,7 milhão de registros podiam ser acessados sem senha.

Por que o anonimato é uma ilusão

Os desenvolvedores adoram a frase: “Nunca compartilhamos seus dados pessoais com ninguém”. Tecnicamente, isso pode ser verdade, já que, em vez disso, eles compartilham “perfis anônimos”. A pegadinha? Hoje é muito mais fácil descobrir a identidade real das pessoas por trás desses perfis. Pesquisas recentes revelaram que o uso de LLMs para eliminar o anonimato se tornou uma realidade rotineira.

Até mesmo o próprio processo de “anonimização” é muitas vezes uma bagunça. Um estudo da Duke University revelou que as corretoras de dados estão divulgando abertamente os dados de saúde mental dos americanos. Das 37 corretoras pesquisadas, 11 concordaram em vender dados vinculados a diagnósticos específicos (como depressão, ansiedade e transtorno bipolar), parâmetros demográficos e, em alguns casos, até nomes e endereços residenciais. Os preços começaram em US$ 275 para 5 mil registros agregados.

De acordo com a Fundação Mozilla, em 2023, 59% dos aplicativos populares de saúde mental falharam em atender até mesmo aos padrões de privacidade mais básicos e 40% se tornaram menos seguros do que no ano anterior. Esses aplicativos permitiam a criação de contas por meio de serviços de terceiros (como Google, Apple e Facebook), apresentavam políticas de privacidade suspeitas e resumidas que citavam de forma leviana as informações sobre a coleta de dados e continham uma pequena brecha inteligente: algumas políticas de privacidade se aplicavam estritamente ao site da empresa, mas não ao aplicativo em si. Em resumo, seus cliques no site estavam “protegidos”, mas suas ações dentro do aplicativo podiam ser monitoradas.

Como se proteger

Abolir totalmente esses aplicativos da sua vida é, obviamente, a opção mais infalível, mas não é a mais realista. Além disso, não há garantia de que você possa realmente destruir os dados já coletados, mesmo se excluir sua conta. Nós já falamos sobre o processo extenuante de remover suas informações dos bancos de dados das corretoras de dados; é possível, mas gera uma enorme dor de cabeça. Então, o que fazer para se manter seguro?

• Verifique as permissões antes de clicar em “Instalar”. No Google Play, vá até Descrição de aplicativos → Sobre este aplicativo → Permissões. Um rastreador de humor não precisa solicitar acesso à sua câmera, microfone, contatos ou localização de GPS precisa. Se isso acontecer, ele não está preocupado com o seu bem-estar, mas sim coletando dados.
• Faça um esforço e leia a política de privacidade. Nós sabemos que ninguém lê esses manifestos de várias páginas. Mas quando um serviço está espiando seus pensamentos mais íntimos, vale a pena dar uma olhada. Procure os sinais de alerta: a empresa compartilha dados com terceiros? Você consegue excluir manualmente seus registros? Está explícito que a política abrange o aplicativo em si ou ela cobre apenas o site? Você sempre pode inserir o texto da política em uma IA e solicitar que ela sinalize qualquer violação de privacidade.
• Verifique a data da última atualização. Um aplicativo que não recebe uma atualização há mais de seis meses provavelmente é um terreno fértil para vulnerabilidades não corrigidas. Lembre-se: seis dos dez aplicativos testados pela Oversecured não eram atualizados há meses.
• Desative tudo o que não é essencial nas configurações de privacidade do telefone. Sempre que solicitado, selecione “pedir para não rastrear”. Quando um aplicativo pede que você ative um tipo específico de acompanhamento alegando que é para fins de “otimização interna”, quase sempre é uma jogada de marketing e não uma necessidade funcional. No fim das contas, se o aplicativo realmente não funcionar sem uma determinada permissão, você sempre poderá ativá-la mais tarde.
• Não use os serviços “Fazer login com…”. A autenticação por meio do Facebook, Apple, Google ou Microsoft cria identificadores adicionais e dá às empresas uma oportunidade de ouro para vincular seus dados em diferentes plataformas.
• Trate tudo o que você digita como se fosse uma postagem em uma rede social. Se você não quer que um estranho aleatório na Internet leia o que você publica, provavelmente não deveria digitar informações em um aplicativo com mais de 150 vulnerabilidades que não recebe um patch desde o ano retrasado.

O que mais você deve saber sobre configurações de privacidade e controle dos seus dados pessoais on-line:

• Corretoras de dados de geolocalização: o que essas empresas fazem e o que acontece quando há vazamentos
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso
• Como desaparecer da Internet
• Como reduzir sua pegada digital
• Como os smartphones criam um dossiê sobre você

Imagine que um usuário acessa um site fraudulento, decide fazer uma compra e insere as informações do cartão bancário, nome e endereço. Adivinha o que acontece a seguir? Se você acha que os invasores simplesmente pegam o dinheiro e desaparecem, pense novamente. Infelizmente, é muito mais complicado. Na realidade, as informações entram em um enorme pipeline do mercado paralelo, onde os dados das vítimas circulam por anos, mudando de mãos e sendo reutilizados em novos ataques.

Na Kaspersky, estudamos a jornada dos dados após um ataque de phishing: quem os obtém, como são classificados, revendidos e usados no mercado paralelo. Neste artigo, mapeamos a rota dos dados roubados e explicamos como se proteger caso já tenha encontrado phishing ou como evitá-lo no futuro. Você pode ler o relatório detalhado e completo com informações técnicas na Securelist.

Coleta de dados

Os sites de phishing são cuidadosamente disfarçados para parecerem legítimos; às vezes, o design visual, a interface do usuário e até mesmo o nome de domínio são quase indistinguíveis dos verdadeiros. Para roubar dados, os invasores normalmente utilizam formulários HTML que solicitam que os usuários insiram suas credenciais de login, dados do cartão de pagamento ou outras informações confidenciais.

Assim que o usuário clicar em Fazer login ou Pagar, as informações são enviadas instantaneamente para os cibercriminosos. Algumas campanhas mal-intencionadas não coletam dados diretamente por meio de um site de phishing, mas se aproveitam de serviços legítimos, como o Google Formulários, para ocultar o servidor de destino final.

Um site falso da DHL. O usuário é solicitado a inserir o login e a senha da sua conta DHL real

Os dados roubados são normalmente transmitidos em uma das três formas seguintes ou usando uma combinação delas:

• E-mail. Esse método é menos comum hoje devido a possíveis atrasos ou bloqueios.
• Bots do Telegram. Os invasores recebem as informações instantaneamente. A maioria desses bots é descartável, o que os torna difíceis de rastrear.
• Painéis de administração. Os cibercriminosos podem usar um software especializado para coletar e classificar dados, visualizar estatísticas, bem como verificar automaticamente as informações roubadas.

Que tipo de dados os phishers procuram?

A variedade de dados buscados por cibercriminosos é bastante ampla.

• Dados pessoais: números de telefone, nomes completos, e-mail, registro e endereços residenciais. Essas informações podem ser usadas para criar ataques direcionados. As pessoas muitas vezes caem em golpes justamente porque os invasores têm uma grande quantidade de informações pessoais, sabem o nome da vítima, onde ela mora e quais serviços utiliza.
• Documentos: dados e digitalizações como documentos de identidade, carteiras de motorista, seguros e IDs fiscais, entre outros. Os criminosos usam essas informações para roubar a identidade, solicitar empréstimos e verificar a identidade ao fazer login em bancos ou portais eletrônicos do governo.
• Credenciais: logins, senhas e códigos 2FA únicos.
• Biometria: verificações faciais, impressões digitais e amostras de voz usadas para gerar deepfakes ou contornar a autenticação de dois fatores.
• Informações de pagamento: dados de cartões bancários e de carteiras de criptomoedas.
• E muito mais.

De acordo com nossa pesquisa, a grande maioria (88,5%) dos ataques de phishing realizados entre janeiro e setembro de 2025 teve como alvo credenciais de contas on-line, e 9,5% foram tentativas de obter dados pessoais dos usuários, como nomes, endereços e datas. Por fim, 2% dos ataques de phishing tiveram como foco o roubo de dados de cartões bancários.

Distribuição de ataques por tipo de dado visado, de janeiro a setembro de 2025

O que acontece depois com os dados roubados?

Nem todos os dados roubados são usados diretamente pelos invasores para transferir dinheiro para suas próprias contas. Na prática, os dados quase nunca são usados imediatamente. Em geral, acabam no mercado paralelo, onde chegam a analistas e corretores de dados. Uma jornada típica costuma seguir mais ou menos este caminho.

1.       Venda de dados em massa

Os conjuntos de dados brutos são agrupados em arquivos enormes e oferecidos em massa em fóruns da dark Web. Esses dumps geralmente contêm informações irrelevantes ou desatualizadas, por isso são relativamente baratos, custando a partir de US$ 50.

2.       Classificação e verificação de dados

Esses arquivos são comprados por hackers que atuam como analistas. Eles categorizam os conjuntos de dados e verificam sua validade, checando se as credenciais de login funcionam para os serviços especificados, se são reutilizadas em outros sites e se coincidem com dados de vazamentos anteriores. Para ataques direcionados, os cibercriminosos compilam um dossiê digital. Ele armazena informações coletadas de ataques recentes e mais antigos, essencialmente uma planilha de dados pronta para ser usada em invasões.

3.       Revenda de dados verificados

Os conjuntos de dados classificados são oferecidos para venda novamente, agora a um preço mais alto, e não apenas na dark Web, mas também no Telegram, uma plataforma mais conhecida.

Um anúncio no Telegram para a venda de credenciais de contas de redes sociais.

Segundo o Kaspersky Digital Footprint Intelligence, os preços das contas variam conforme o tempo de uso, o uso de autenticação de dois fatores (2FA), os cartões bancários vinculados e a base de usuários do serviço. Não é surpresa que o produto mais caro e procurado neste mercado seja o acesso a contas bancárias e carteiras de criptomoedas.

4.       Ataques repetidos

Depois que um cibercriminoso compra o dossiê digital de uma vítima, ele pode planejar seu próximo ataque. Ele pode usar a inteligência de código aberto para descobrir onde a pessoa trabalha e, em seguida, criar um e-mail convincente se passando pelo chefe dela. Como alternativa, ele pode invadir um perfil de rede social, extrair fotos comprometedoras e exigir um resgate pela devolução. No entanto, tenha certeza de que quase todos os e-mails de ameaça ou extorsão são apenas uma tática de intimidação dos golpistas.

Os cibercriminosos também usam contas comprometidas para enviar mais e-mails de phishing e links mal-intencionados aos contatos da vítima. Portanto, se você receber uma mensagem pedindo para votar na sobrinha em um concurso, emprestar dinheiro ou clicar em um link suspeito, terá todos os motivos para ficar em alerta.

O que fazer se seus dados forem roubados

1. Primeiro, tente se lembrar das informações que você inseriu no site de phishing. Se você forneceu dados do cartão de pagamento, entre em contato com seu banco imediatamente e solicite o bloqueio dos cartões. Se você inseriu um nome de usuário e senha que utiliza em outras contas, altere essas senhas imediatamente. Um gerenciador de senhas pode ajudar a criar e armazenar senhas fortes e exclusivas.
2. Ative a autenticação de dois fatores (2FA) sempre que possível. Para obter mais informações sobre o que é 2FA e como usá-la, leia nosso guia. Ao escolher um método 2FA, é melhor evitar o SMS, pois códigos de uso único enviados por mensagem de texto podem ser interceptados. O ideal é usar um aplicativo autenticador, como o Kaspersky Password Manager, para gerar códigos únicos.
3. Verifique as sessões ativas (a lista de dispositivos conectados) nas suas contas importantes. Caso veja um dispositivo ou endereço IP que não reconheça, encerre a sessão imediatamente. Em seguida, altere sua senha e configure a autenticação de dois fatores.

Como se proteger contra phishing

• Não clique em links de e-mails ou mensagens sem antes verificá-los com uma solução de segurança.
• Se você receber um e-mail suspeito, sempre verifique o endereço do remetente para ver se já teve algum contato com essa pessoa antes. Se alguém alegar representar uma autoridade governamental ou empresa, certifique-se de comparar o domínio do qual o e-mail foi enviado com o domínio do site oficial da organização. Nenhuma correspondência oficial deve vir de um serviço de e-mail gratuito.
• Use um aplicativo autenticador para fazer a autenticação de dois fatores.
• Crie senhas resistentes a hackers. Nossa pesquisa revela que os hackers conseguem descobrir quase 60% de todas as senhas no mundo em menos de uma hora. Como alternativa, considere mudar para chaves de acesso, pois oferecem uma proteção de conta muito mais robusta. No entanto, lembre-se de que elas também têm suas desvantagens.
• Lembre-se: usar a mesma senha em vários serviços é um erro crítico. Isso é exatamente o que é explorado pelos agentes mal-intencionados. Mesmo que você nunca tenha caído em um golpe de phishing, suas senhas e dados ainda podem ser expostas em vazamentos de dados, já que os cibercriminosos visam não apenas indivíduos, mas empresas inteiras. Este ano, o Identity Theft Resource Center já registrou mais de dois mil vazamentos de dados. Para minimizar os riscos, crie uma senha única e forte para cada conta. Você não precisa nem consegue memorizar todas elas. É melhor usar um gerenciador de senhas que gera e armazena senhas complexas com segurança, sincroniza-as em todos os seus dispositivos, preenche-as automaticamente em sites e aplicativos e alerta você se alguma das suas credenciais aparecer em um vazamento de dados conhecido.

Saiba mais sobre phishing e golpes:

• Como phishers e golpistas usam IA
• O que fazer ao receber um e-mail de phishing
• Extorsão por e-mail: como os golpistas recorrem à chantagem
• Golpes no Telegram com bots, brindes e criptomoedas
• Entre outros