Imagens e vídeos mostram como funcionários de diversas lojas da varejista C&A vendem dados de clientes cadastrados para criminosos na internet. Segundo informações de uma fonte interna, são vendidas imagens com fotos de cartões de crédito, documentos pessoais e assinaturas pelo valor de mínimo de R$ 50 por pessoa.
A C&A é a terceira maior loja varejista do Brasil, com 290 lojas em todos os estados do país que recebem mais de 1 milhão de clientes por dia.
As fichas cadastrais de vítimas são vendidas por um preço que varia entre R$ 50 e R$ 150
De acordo com as informações passadas ao TecMundo, alguns funcionários possuem acesso ao email da própria loja física. Quando um cliente vai realizar um saque na C&A, o cartão de crédito é escaneado e o cliente precisa assinar um documento provando o cadastro. Após esse trâmite, o funcionário envia as informações para uma central da própria C&A via email.
O problema está no acesso: funcionários têm a capacidade de acessar o email em outras locações, como a própria casa. Então, funcionários maliciosos buscam interessados na compra de dados sigilosos no Facebook e realizam as vendas em grupos no WhatsApp. O que é vendido: um documento com imagens, frente e verso, de cartões de crédito; além disso, imagens de CPF, RG e assinatura do cliente.
As imagens enviadas ao TecMundo mostram que funcionários vendem as fichas cadastrais de vítimas por um preço que varia entre R$ 50 e R$ 150. Normalmente, quando as fichas estão nas mãos de carders, elas são vendidas até em pacotes com cartões de crédito, somando R$ 250.
O que pode acontecer com os dados
Os criminosos envolvidos no negócio até utilizam o sistema de Score da Serasa, que analisa o histórico de compras do cidadão para avaliar a confiabilidade para crédito. Nas imagens, a busca é sempre pelo Score mais alto — e os golpistas ainda tiram sarro de vítimas com Score baixo.
Com essas imagens em mãos, um criminoso poderá realizar vários tipos de atividades maliciosas, desde o cadastro em ecommerces, até engenharia social e fraudes bancárias. Os ecommerces, por exemplo, são os alvos mais fáceis: basta realizar um registro com os dados obtidos e realizar a compra.
Os funcionários desviam informações como: nome completo, RG, CPF, número do cartão de crédito, CVV (código de segurança) e assinatura do cliente
No vídeo que você acompanha no final desta reportagem, é possível notar um desses funcionários com acesso ao email da loja (rfs.psa@cea.com.br, no caso). Nesses emails de loja — cada loja possui o próprio domínio — que são encontradas as informações de clientes cadastrados na C&A. O vídeo mostra como começa o trabalho malicioso do funcionário: desviando as informações para criminosos.
Não se sabe em quais estados do Brasil que esse golpe acontece. Porém, de acordo com a nossa fonte, criminosos em todos os estados podem ser atendidos.
O TecMundo entrou em contato com a C&A, que está investigando o caso. A assessoria nos enviou o seguinte posicionamento: "A C&A informa que tomou conhecimento do assunto e esclarece que não é possível afirmar a veracidade do ocorrido. No entanto, de forma preventiva, já informou a administradora responsável pelos seus cartões e acionou as autoridades competentes se colocando à disposição para contribuir com as investigações. Esperamos que a questão seja finalizada o mais rápido possível".