Tentativas de ataques virtuais crescem 75% na pandemia, diz estudo

O maior vazamento de dados do qual se tem notícia até hoje, com dados de 220 milhões de brasileiros expostos, trouxe à luz a importância do tema. Mas, ainda há um longo caminho a trilhar até a cibersegurança se tornar uma preocupação essencial dentro das empresas. Em números, um estudo da Minsait, empresa da consultoria espanhola Indra, mostra que o número de tentativas de ataques virtuais cresceu 75%, ao mesmo tempo em que 35% das organizações na América Latina e Europa reduziram o orçamento para a segurança digital no último ano. Como resultado, 70% das organizações observaram um aumento significativo nos casos de ataques e ameaças em seus sistemas.

• O mundo está mais complexo, mas dá para começar com o básico. Veja como, no Manual do Investidor

Para ter uma ideia do tamanho do mercado vulnerável à fraude, a consultoria espanhola mostra que aproximadamente 80% das grandes empresas não estão preparadas para a continuidade de negócios. Falta, principalmente, treinamento: quase todas (95%) as violações de segurança ocorrem por negligência com cuidados básicos no meio digital.

Essa combinação pode produzir resultados cada vez mais desfavoráveis. Um relatório produzido pela Interpol mostra que 907 mil mensagens de spam, 737 incidentes relacionados a malware e 48 mil URLs maliciosos – todos relacionados ao covid-19 – foram detectados por um dos parceiros da instituição no setor privado. Para aumentar ganhos, cibercriminosos vão atrás justamente de grandes corporações, governos e agentes de infraestrutura crítica (como o setor elétrico, por exemplo), uma vez que têm um claro senso de urgência para resolver incidentes de forma rápida.

Para Eduardo Almeida, CEO da Indra Minsait, esse é um cenário preocupante, mas diferentes empresas já despertaram para a necessidade de investimento em cibersegurança.

“A LGPD desempenha um papel essencial na consciência das empresas sobre as ameaças cibernéticas e, agora, elas estão começando a despertar para isso. É claro que alguns setores estão mais adiantados nessa corrida, como o varejo e o setor financeiro, mas, em contato com diferentes companhias, vemos que neste momento, muitas estão se reorganizando para reforçar a segurança digital. Nós também fazemos parte desse movimento e, em 2021, vamos aumentar em 64% o investimento em segurança cibernética”, afirma.

O que empresas estão fazendo

Diferentes companhias já davam pistas dessa mobilização, antes mesmo do megavazamento de dados. No setor financeiro, a Mastercard anunciou em 2020 uma solução de inteligência artificial para detectar riscos e vulnerabilidades de clientes contra ataques e fraudes que geral prejuízo bilionário. Com esses recursos, bancos poderão ajudar comerciantes a entender seus próprios riscos, além de identificar e priorizar ameaças.

De menor porte, a Nexxera, especialista em meios de pagamentos para empresas, implantou soluções para conter esse tipo de fraude, com treinamentos para os colaboradores e webinar explicando sobre o tema, além realizar campanhas nas redes sociais orientações para evitar que colaboradores e clientes caiam nesse tipo de golpe.

“A gente traçou uma estratégia controlada de abertura do nosso sistema aos colaboradores em home office. Implantamos uma VPN, conscientizamos as pessoas e cuidamos para que boas práticas fossem seguidas. Vemos que muitas companhias, na hora do desespero, abriram o acesso a todos os sistemas para depois se preocuparam com segurança, o que é um caminho muito arriscado”, afirma Thomas Ranzi, coordenador de segurança da informação do Grupo Nexxera.

Para quem já nasceu com uma operação 100% digital, dizer que a pandemia trouxe desafios durante o home office parece algo de outro mundo. Com uma cultura totalmente embasada em agir rapidamente às mudanças – e a flexibilidade de trabalho como uma característica de antemão – as fintechs tendem a ter estratégias consistentes contra a fraude como parte de sua rotina, segundo Paulo Deitos, diretor-executivo da Associação Brasileira de Fintechs (ABFintechs).

“Temos sistemas de reconhecimento facial, assinaturas eletrônicas e outros tantos mecanismos de defesa. De forma geral, fintechs acabam usando o que existe de mais avançado em tecnologias porque isso simplifica a nossa operação. Ainda assim, há que sempre conscientizar, especialmente no que diz respeito aos clientes, explicando como cada uma dessas ferramentas funciona”, explica.

Mesmo assim, para ressaltar os cuidados com dessas companhias com segurança digital, a associação lançou o selo Fintech Segura, em que empresas do setor têm de seguir uma série de princípios de segurança da informação para serem certificadas. A ideia é que o selo funcione nos modelos dos que já existem para o varejo digital, fornecendo uma validação extra de que se trata de companhias que seguem boas práticas de segurança da informação.

Ainda no meio digital, a Ahgora, especialista em RH e ponto digital, entrou de forma consistente na questão da segurança da informação em função da LGPD. “Por mais que você tenha grandes players isso seja uma tecnologia bem difundida, ainda existe uma barreira muito grande que é a de achar que a infraestrutura própria é a mais segura possível. Investimos continuamente para provar que nós cuidamos muito dessa parte. Conseguimos obter a certificação ISO 27001 e queremos continuar fomentando as boas práticas de segurança por aqui”, afirma Vinícius Silva, head de TI da Ahgora.

Aprofundando um pouco mais a discussão do lado do e-commerce, as Lojas Americanas disponibilizaram um Guia de Segurança com dicas para que possam fazer compras na internet de forma mais segura. A ação visa prevenir principalmente contra links falsos de compras, tendo em vista o aumento de compras pela internet – e ganhou força durante a Black Friday, realizada recentemente.

Ataques às redes sociais na pandemia

Como forma de coibir o cibercrime em suas plataformas, Facebook, Instagram, Twitter e TikTok removeram contas roubadas após uma investigação cuidadosa a respeito do tema. Diferentes usuários do fórum OGUsers (utilizado para trocar informações sobre contas roubadas) foram banidos.

Mas, isso não quer dizer que passaram ilesas por 2020. No último ano, um mega ataque foi realizado no Twitter e algumas das contas de pessoas influentes – como Elon Musk, Bill Gates e Jeff Bezos – foram hackeadas, além de grandes empresas de tecnologia. O suspeito, um hackder de 17 anos, foi preso e acusado em Tampa, Flórida, no fim do mesmo mês.

A rede não divulga números absolutos de ataques realizados à sua plataforma, mas afirma que “são utilizadas ferramentas de detecção e monitoramento que alertam sobre comportamento incomum ou possíveis tentativas não autorizadas de acesso. Além disso, a empresa investe em testes frequentes e planejamento de cenários para ajudar a proteger o Twitter de uma série de ameaças possíveis”, em nota enviada à EXAME.

De forma direta, a companhia investe em três ações essenciais, anunciadas recentemente em seu blog: a melhora dos processos de autenticação, melhorias em detecção e monitoramento, além de investimento em ferramentas e treinamentos para seus empregados e empresas que prestam serviço à companhia.

Mas, o Twitter não é o único a passar por esse tipo de problema. Recentemente, pesquisadores de segurança digital encontraram um novo golpe que funcionava a partir de links postados no Facebook. Em linhas gerais, acontecia assim: os criminosos distribuíam links encurtados que levavam as vítimas a uma página em que aparecia uma mensagem de “página bloqueada”. Em seguida, os criminosos entravam em contato fingindo serem do suporte da rede social, a fim de ajudar as vítimas a recuperarem seus acessos.

Além disso, este ano, imagens pornográficas foram compartilhadas em links de notícias e alguns posts patrocinados. A esta falha, o Facebook negou ataque hacker – e disse apenas se tratar de problemas técnicos internos.

E no setor público?

De acordo com dados do Grupo de Resposta a Incidentes de Segurança do governo federal, o CTIR Gov, o ano de 2020 concentra o maior número de vulnerabilidades (fragilidades dos sistemas e redes que permitem a exploração maliciosa ou acessos indesejáveis) identificadas em toda a série histórica de mapeamento, iniciada em 2011. Ao todo, 2.269 vulnerabilidades foram identificadas de janeiro ao dia 2 de dezembro.

Os números chamam ainda mais a atenção dado o cenário completo: 2020 teve uma quantidade menor de notificações (envios em geral de situações suspeitas de vulnerabilidade para o órgão) e de incidentes (notificações caracterizadas como evento adverso) do que em 2019, como mostra o gráfico abaixo.

De acordo com o Gabinete de Segurança Institucional, as principais ações tomadas para combater esse tipo de ação consistem em “coordenar e orientar as Equipes de Prevenção e Resposta a Incidentes (ETIR), dos órgãos e entidades da Administração Pública Federal (APF), através de ações preventivas, tais como notificações, alertas e recomendações com informações relevantes a serem implementadas proativamente para evitar novos incidentes em seus ativos de informação. Além disso, são realizadas ações de conscientização e sensibilização da alta administração dos órgãos e entidades da APF para a importância do tema”, afirma, em nota enviada à EXAME.

Como resolver?

Para Eduardo Almeida, CEO da Indra, a chave para resolver o problema está em educação. O executivo aponta que deveria se tratar de um ensinamento básico, feito desde a escola.

“Imagine só se os adolescentes, agora inseridos no meio digital até para atividades escolares, estivessem preparados e conhecessem a fundo as práticas para evitar o risco de cair em golpes na internet. Eles estão conectados o tempo todo, então também se tornam vítimas desse tipo de crime, especialmente com domínios falsos apontando para onde os criminosos querem que eles cheguem”, afirma.

Com a volta do lockdown — e mais tempo na internet — os cuidados têm de ser redobrados. Por vezes, o início da jornada de aprendizado pode estar mais perto do que se imagina: recentemente, o Google anunciou que o sistema Android deve evitar a captura de dados em páginas falsas .

Ainda assim, é necessário criar ferramentas para que o aprendizado seja disseminado de forma unânime no país: um estudo recente mostra que o comportamento seguro dos usuários diminui de acordo com a classe social —  e 60% dos pais não supervisionam a atividade digital dos filhos.