O ataque cibernético que recentemente vitimou um grande grupo em Curitiba, paralisando sistemas da organização — deixando também instável o acesso aos sites ligados a ele —, está longe de ser um caso isolado. O problema se acentuou durante o período mais crítico da pandemia do novo coronavírus, quando o trabalho remoto foi a opção para o distanciamento social.
Pelo menos é o que mostram os números. No ano de 2020, por exemplo, um levantamento da Apura Cybersecurity Intelligence já identificava uma alta de aproximadamente 400% nas ameaças eletrônicas em relação ao ano anterior.
Já em 2021, um outro levantamento global, da consultoria Accenture, identificou uma alta de 31% nos ataques cibernéticos na comparação com 2020, sendo que 11% desses ataques foram bem-sucedidos, ou seja, afetaram o sistema das companhias, garantindo acesso não autorizado de dados, aplicativos, serviços, redes ou dispositivos.
Entre especialistas da área que atuam no Brasil, a visão e o diagnóstico sobre o momento atual é parecido — e nem poderia ser diferente, já que se trata de um sinal dos tempos, basicamente. Afinal, quase todos os processos do nosso cotidiano, desde o lazer até os dados e as próprias pessoas, estão de alguma forma na nuvem, disponíveis, alcançáveis.
Ao mesmo tempo, o mercado de software para esse tipo de ataque é muito amplo e o criminoso nem precisa saber programar — ele compra um programa de phishing, desenvolve um e-mail ou uma mensagem com os conceitos da engenharia social e dispara isso se valendo da ganância e da ignorância das pessoas. Nesse sentido, o próprio ambiente de negócios acaba sendo propício e trazendo uma exponencialidade de oportunidades, diante da busca por dinheiro fácil e a lógica do lucro máximo.
“Com certeza [os ataques] têm aumentado. As previsões de gastos com cibersegurança é de 10,5 trilhões de dólares até 2025, muito dinheiro para ser investido”, comenta Guilherme Guimarães, advogado e sócio-fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial.
“A segurança da informação é formada por três aspectos: processos, tecnologias e as pessoas, que são a parte mais frágil. A pessoa, o funcionário da empresa, recebe e clica num link suspeito, não percebe uma pequena letra mudada, e leva a empresa para uma praça escura, onde vai acontecer um roubo, um assalto, porque o sistema ficou desprotegido. Esse é o caso dos grandes ataques de ransomware”, complementa ainda o advogado, que é especialista em Segurança da Informação pela Universidade Latino-Americana de Tecnologia.
E durante a fase mais aguda da pandemia, muitas invasões estavam disfarçadas em emails, com temas relativos, como vacinação, máscaras, casos no mundo.
Isso pode ter facilitado as invasões, já que eram temas recorrentes e de interesse geral, mas que escondiam artifícios para a invasão.
‘Toda empresa vai ser invadida, só não se sabe quando’
Corretora de seguros da Rede Lojacorr, Dionice de Almeida é empreendedora especialista em riscos cibernéticos e CEO da NV Seguros Digitais. Segundo ela, as empresas ainda estão pouco conscientes das ameaças que as cercam e, por isso, costumam contratar o serviço de seguro ou mesmo consultoria menos por consciência e mais por exigência – é que as pessoas jurídicas estão tendo de se adequar à Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em agosto de 2021. Esta lei segue a regulamentação de autoridades de 120 países sobre a proteção de dados, com o intuito de gerar mais segurança das informações de pessoas físicas contra ameaças e vulnerabilidades.
“Muitos clientes vêm por medo com relação às multas, que é o menor dos problemas numa invasão cibernética. Um ataque ransomware, quando entra, já está há algum tempo ali, ele paralisa o serviço e aí o maior problema vai ser conseguir voltar a trabalhar com o mínimo de danos possíveis, que são múltiplos: reputacionais, perda de lucro, de clientes, vazamento das informações”, diz.
“Toda empresa vai ser invadida, não importa o tamanho. Só não se sabe quando”, diz ela. No levantamento da Acenture, citado no início da reportagem, cada empresa registrou 270 ataques cibernéticos em 2021 e o estudo ainda identificou que mais da metade das companhias (55%) não combatiam ataques cibernéticos de forma efetiva nem conseguem localizar, reverter ou reduzir o impacto destas violações”.
Modo de operação dos cibercriminosos
Mario Toews e Janete Bach Estevão, que atuam como DPO (Data Protection Officer ou Encarregado dos Dados), explicam que os ataques virtuais sempre existiram e, inclusive, continuam a usar técncias do passado, como e-mail phishing. Essencialmente, o modus operandi consiste em oferecer algo valioso por um mínimo esforço.
“Claro, o tema, o mote, muda bastante. Na época das vacinas, fingia que era alguém fazendo pesquisa, ofertando vacina por e-mail. O fundo, a mensagem, sempre tem a ver com algum tema do momento e sempre traz algum tipo de promessa, solicitando uma ação: clique aqui; atualize os dados senão a conta vai ser suspensa. As vezes não é uma oferta, mas uma tentativa de infligir um certo medo do outro lado. Tentam te fisgar pela falta de conhecimento ou pela ganância”, afirma Estevão, que é diretora comercial da Datalege.
Toews, por sua vez, destaca que o criminoso – também chamado de cracker – lança milhares e milhares de ataque dia e noite. Para conseguir invadir um sistema, são duas as possibilidades: um usuário mal esclarecido que cai nesses golpes e abre uma brecha para a invasão ou um sistema que não está atualizado e, consequentemente, não está seguro, devidamente protegido.
“O hacker lança esses robôs, usa lista de spam para mandar e-mails, e alguém clica lá numa situação de ganância, pena, ignorância e instala um vírus, um malware, que pode fazer um deslocamento lateral. Ele não está no servidor em que quer e vai se movimentar por meio da rede. Pode ficar dias, semanas, meses quieto, coletando informação. A partir daí, usa informações do próprio sistema para fazer uma criptografia inviolável”, relata Toews, que é especialista em Segurança da Informação, além de sócio e instrutor certificado da Datalege. “Ai entra a fase tenta, nervosa, de negociação. Se não pagar tantos bitcoins, por exemplo, vamos apagar ou publicar os dados da empresa.”
Como se proteger desses ataques
Especialista em proteção de dados, Janete Estevão ressalta que algumas medidas relativamente simples podem ser fundamentais para evitar dores de cabeça e prejuízos (que podem ser milionários). Uma delas é investir em treinamento dos funcionários. Em Curitiba, por exemplo, eles tiveram um case interessante: criaram um link falso para uma empresa e encaminharam para os funcionários da mesma. Grande parte deles acabaram clicando e, se fosse um golpe, teriam caído, abrindo brecha para uma invasão de malwares.
“Se fosse ataque hacker, seria invadido. A empresa precisa ter constantemente o treinamento, conscientização. É algo básico, precisa ter uma capacitação em proteção e privacidade de dados, porque ele também é responsável pela proteção dos dados”, destaca a diretora da Datalege, comentando ainda que outra medida muito simples, até mesmo óbvia, e na qual muitas empresas ainda pecam é o backup, ou seja, uma cópia de segurança dos dados (informações) de um dispositivo de armazenamento ou sistema.
“Se houver uma pedida [resgate] e a empresa tem backup, atualizado diariamente, algumas empress nem pagam o resgate do servidor. Sobe o backup em outro servidor para a empresa não parar. Mas para isso tem de ter política de segurança”, diz Guilherme Guimarães. “O backup é essencial e muitas empresas pecam. Tem de fazer teste. Esse backup vai funcionar? Conheço o caso de uma multinacional que foi atacada e estava tranquila, tinha backup. Foram rodar e não funcionou. Só conseguiram o backup de 15 dias antes, não faziam testes periódicos. Mas ali é onde a empresa vai se salvar. Qual o impacto de 15 dias de venda que não sei o que vendI, não tenho controle?”, questiona Janete.
RÁPIDA:
Malware, phishing e ransonware
Entre os riscos cibernéticos mais frequentes no Brasil estão o malware, o phishing e o ransomware. Por malware entende-se qualquer software malicioso feito para provocar danos. O phishing é um tipo de golpe em que criminosos roubam informações sigilosas das vítimas a partir de links nocivos, geralmente disfarçados como promoções ou algum outro tema atrativo. Já o ransomware é um ataque cibernético que impede o acesso a informações armazenadas em um dispositivo, para que depois os cibercriminosos cobrem da vítima um resgate para ter seus dados liberados.