Com a evolução dos ciberataques, os riscos às empresas são muito maiores e, agora, envolvem danos financeiros e à reputação
Com a acelerada transformação digital e a nova legislação de proteção de dados, as informações se produzem um dos ativos mais valiosos das associações. Até poucos anos, os ciberataques tinham como objetivo principal a realização de transações financeiras fraudulentas, na casa de centenas ou pontos de reais. Porém, ainda que esses golpes continuam relevantes, há cerca de cinco anos, o sequestro de dados (o chamado ransomware) vem se consolidando como a modalidade mais temida pelas empresas.
Essas sofisticadas formas de obter agora envolvem respostas que alcançam os milhões de reais. “De 2019 para cá, houve uma escalada e 2021 se tornou o ano do sequestro de dados”, avalia a advogada Patricia Peck, especialista em direito digital e conselheira titular do Conselho Nacional de Proteção de Dados.
Em revelado nos anos 1990, quando as empresas começavam a ir para o mundo digital, os melhores comuns se resumiam a invasões e pichações de páginas com a assinatura de uma pessoa ou um grupo, para demonstrar conhecimento. “Hoje, esse atacante faz parte de uma quadrilha que objetiva um ganho financeiro”, diz Mauricio Paranhos, diretor de operações da Apura Cybersecurity Intelligence, empresa de consultoria de segurança cibernética.
Além da motivação, esses movimentos também evoluem na forma, com mais investimento em técnicas e em engenharia social para a realização de fraudes eletrônicas relacionadas a transações comerciais, tendo como alvo principalmente o varejo e as instituições financeiras. “São o e-mail e o boleto falsos, a obtenção de uma senha para fazer uma transferência, golpes para conseguir uma vantagem financeira e especialidade a valores menores”, exemplifica Patricia. Em 2020, essas fraudes continuavam a dominar o cenário nacional de look, sendo que 58% delas ocorreram com cartões de crédito, segundo relatório da Apura “2020: O ano em resumo” (confira mais no quadro).
A nova era dos sequestros de dados
Até que veio a onda do ransomware. Usando um acesso indevido aos sistemas de uma empresa, o criminoso criptografava os dados, colocava uma chave a que só ele tinha acesso para descriptografar e pedia um resgate. “Neste momento as empresas definidas a se preocupar cada vez mais com backups, então chegou um momento em que elas restauravam o ambiente e ignoravam o resgate”, explica Paranhos. É aqui que a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709 / 2018), que veio para proteger os dados do cidadão, mudou o jogo: os criminosos passaram a praticar um ataque de dupla extorsão, solicitando também um resgate para não vazar esses dados, uma vez que a empresa pode receber uma multa do órgão regulador. “Infelizmente isso tem acontecido bastante”, diz Paranhos.
No relatório “Ataque de dupla extorsão na América Latina”, publicado em novembro deste ano, a Apura investigou os avanços que aconteceram de janeiro de 2020 a julho de 2021 na América Latina. Foram 137 empresas afetadas, mais da metade (71) no Brasil. A consultoria também identificou 23 grupos relacionados a esses crimes.
Já a Microsoft, em seu Relatório de Defesa Digital , publicado em outubro de 2021, trouxe indícios da sofisticação cada vez maior desse tipo de ataque. Com o ransomware como serviço (RaaS, na sigla em inglês), não há um único indivíduo por trás de um ataque – em vez disso, existem grupos especializados, com técnicas, ferramentas e infraestrutura semelhante à de uma empresa de prestação de serviço. Nessas associações, há desenvolvedores cumprindo papéis diferentes. Enquanto alguns podem desenvolver e implantar, por exemplo, um software malicioso para dar um invasor acesso a uma determinada categoria de vítima, outros podem simplesmente implantar um malware. Ou seja: cada membro detém um determinado tipo de conhecimento e é remunerado por isso.
Novos alvos, novos riscos
Com essa evolução, os ciberataques criados um novo risco além da perda financeira: o dano à reputação. “Quando você faz uma transação com uma empresa, eles têm todos os seus dados e você quer que sejam protegidos. Quando sai na mídia que uma determinada empresa foi invadida e teve dados de 80% de sua base de clientes vazados, o cliente fica em desconfiado ”, explica Paranhos. Além disso, como bases de dados vazadas alimentam ou crime de identidade, mais direcionado a pessoas físicas, quando são abertas contas em bancos ou serviços em nome da vítima sem o seu conhecimento.
Outra mudança que os especialistas relatam é a maior diversidade de perfis das empresas atingidas, uma vez que as informações são o alvo. “Depois da legislação de proteção de dados, essas quadrilhas passaram a considerar a importância dos dados pessoais e os focar em setores como o de saúde, energia e indústria em geral”, diz Patricia. O setor de saúde se tornou um dos mais obrigados, sendo o mais impactado na América Latina, segundo a Apura. O relatório da consultoria sobre o ano de 2020 conta o caso de um hospital alemão em que a morte de uma paciente foi associada a um ataque de ransomware, em setembro daquele ano. “Imagine, hoje, um hospital sem tecnologia funcionando? Literalmente morrem pessoas ”, constata Paranhos. E, por fim, de pequenos a grandes, todos podem estar vulneráveis.
Como proteger sua empresa
Primeiro, é importante não descuidar da lição de casa: manter sistemas específicos e protegidos, implementar políticas de criação de cópias de segurança, inteligência de proteção (monitoramento dos ambientes onde os grupos se comunicam e onde vazam as informações) e adotar ferramentas e processos que apareça a detecção rápida dos incidentes. Mas, acima de tudo, é vital cuidar do elo mais importante: as pessoas.
“Logicamente, estão direcionados, espionagem industrial, o ataque mais sofisticado, que vai usar um software específico para invadir uma grande empresa. Mas em 95% das ocorrências, quando verificamos nas investigações, elas se sucederam por conta dos golpes de engenharia social ”, conta Patricia. É uma abordagem que toma proveito do aumento de vulnerabilidade das empresas trabalho virtualizado e pelo uso maior de recursos de mobilidade, principalmente o celular, fazendo com que uma pessoa, seja um colaborador interno ou um terceirizado, se torne a porta de entrada para um ataque. Às vezes, um deslize basta.
Por isso, os especialistas recomendam um programa contínuo de conscientização para a segurança da informação, que alcance todos que obtêm acesso aos sistemas da corporação. “Não adianta investir milhões por ano em ferramentas de segurança cibernética, mas ter um usuário que vira o elo mais fraco”, alerta Paranhos. Além das campanhas periódicas, Patricia exige a adoção e divulgação de uma “hot line”: um canal onde o usuário pode relatar qualquer possiblidade de incidente. “É preciso orientar sobre o que fazer, porque agir rápido ajuda muito a mitigar os danos. Com quem o usuário deve falar se perceber que clicou onde não devia ou, por exemplo, se teve o celular furtado? ”, Diz a advogada.
Promover conhecimento e compartilhar boas práticas para ajudar as associações a reduzir os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que contará com dezenas de reportagens, vídeos e podcasts sobre o tema. Outros conteúdos sobre o assunto também podem ser acessados no Security Series 2021 , série de eventos voltados ao debate sobre as principais tendências e soluções para alcançar mais resiliência aos resultados do ransomare. Acompanhe as atualizações.
Publicado originalmente no Valor Econômico.