No início de 2014, diversas empresas de segurança já alertavam para a mudança comportamental dos atacantes digitais. Os métodos de ataques muito ruidosos com ganhos financeiros imediatos estavam diminuindo, apontando uma tendência para análises furtivas, customizadas para as empresas alvo, visando lucros elevados e tempos de ataques silenciosos maiores.
Os atacantes digitais estavam deixando claro que suas principais vítimas seriam empresas do mercado financeiro, varejo, e-commerces ou parceiros dessas empresas para uma invasão usando técnicas de menor complexidade. Os métodos de ataques antigos como o phishing mudavam da abordagem genérica e massiva, direcionada aos usuários mais distraídos, para o ataque com foco na área financeira ou para os caixas eletrônicos das grandes instituições. Nascia a era dos ataques spear phishing. Com o tempo, este ataque veio acompanhado da análise de redes sociais para customizar o e-mail com elementos desejados pela pessoa alvo ou com uma origem de e-mail "confiável" falsificada dando uma enganosa imagem de credibilidade. Com a origem do e-mail apontando para um superior ou colega de trabalho, o atacante iludia o destinatário a instalar em seu computador um malware especial.
A função principal deste malware é atuar de maneira furtiva, sem ser notado, coletando informações que possam guiar o seu ataque. Fazem parte destas informações elementos como: análise da rede corporativa, informações de clientes, planos de marketing, informações de bancos de dados, contas para pagamentos, fluxo de vendas, terminais de vendas e segredos industriais. A verdadeira moeda passava a ser os segredos das empresas ou os dados dos clientes para venda e para a elaboração de ataques direcionados.
Se avaliarmos os casos de invasão digital com vazamento de informações, encontraremos o caso da Target Corporation, uma rede de lojas de varejo dos Estados Unidos, fundada em 1902 por George Draper Dayton. Ainda existem muitas versões do que realmente aconteceu. Alguns dizem que um grupo de atacantes digitais contaminou os aplicativos da empresa que fazia a manutenção dos equipamentos de ar-condicionado e quando a nova versão do aplicativo foi instalada dentro da Target, a invasão foi concretizada. Observe que invadir um parceiro é sempre mais fácil do que invadir a empresa alvo. Outros dizem que a invasão se iniciou pelo correio eletrônico com um spear phishing que se espalhou pelos equipamentos dos terminais de venda.
Independentemente do que realmente aconteceu, este ataque expôs 40 milhões de cartões de créditos e informações de clientes no ano de 2013. Devemos ter em mente que quando abordamos o tema segurança da informação, devemos considerar não só a empresa foco da análise, mas também os parceiros desta empresa. Outra abordagem importante está no desenvolvimento de um plano de segurança voltado aos funcionários feito em conjunto com a análise dos e-mails recebidos e enviados. Segurança digital deve ser vista sempre como uma estrutura defendida em camadas, com conceitos e tecnologias distintas que se complementam.
Outro detalhe importante é que as contas em redes sociais passaram a ser invadidas com o objetivo de compartilhar links contendo sites falsos ou para iludir o usuário a fazer um download. A ideia de receber um link de um amigo da rede social, e muitas vezes de um parente próximo, é algo que parece ser confiável e legítimo para muitas pessoas. Afinal, podemos estar recebendo um link do nosso pai pedindo ajuda ou indicando um produto! Claro que vamos ajudar, certo? A verdade é que não podemos confiar em tudo que vemos na internet.
Olhando os ataques destacados recentemente nos programas de TV, apontando os ransomwares como uma novidade, é muito fácil dizer que ransomwares não são novidades sob nenhuma análise e que sofreram um crescimento de aproximadamente 500% em 2013 e mais de 113% em 2014. Este modelo de ataque se posiciona com softwares falsos, fingindo serem antivírus ou aplicativos importantes. Este tipo de ataque tem o objetivo de criptografar os dados e fazer um pedido de resgate.
A criptografia é um modelo de proteção que deposita uma senha para acesso conhecida somente pelo atacante. Neste cenário os arquivos podem ser criptografados ou todo o disco rígido pode ser criptografado. Estas ameaças são conhecidas desde 2005 (Trojan.Gpcoder), mas mesmo assim continuam fazendo muito estrago ao pedir resgates que podem variar de $300 a $500. Fotos tentadoras, currículos, planilhas financeiras ou promoções inacreditáveis conduzem a pessoa a fazer a instalação de programas no desktop, no notebook, no servidor da empresa ou no celular e são capazes de abrir as portas para um devastador pesadelo. A saída para este ataque é o backup dos dados e uma boa política de conscientização. Infelizmente, são elementos que podem ser bem complicados de implementar.
Pesquisas expostas por grandes empresas de segurança mostram que em 2013, o furto de informações prejudicou mais de 130 milhões de usuários em todo o mundo. Estes usuários tiveram seus dados expostos e possivelmente usados em ataques digitais. Em 2014, tivemos uma elevação de 23% no número de vazamento de informações publicadas, somando 312 grandes casos. Destes, quatro foram casos que tornaram pública as informações de mais de 10 milhões de pessoas. As empresas de saúde lideraram a ocorrência de incidentes (37%), sendo seguida pelo segmento de varejo (11%), educação (10%), governo (8%). O setor financeiro se posicionou em 5º lugar com 6%.
Muitas vezes presenciei os profissionais de segurança alertando para diversos problemas que hoje estão em destaque na mídia, seja ela a TV, uma revista de grande aceitação ou o jornal que lemos nas manhãs. Infelizmente muitos destes alertas não tiveram resultado e somente agora estão sendo considerados. Precisamos definitivamente mudar isto e mostrar o peso financeiro e o risco que é aplicado aos negócios das empresas acompanhados de casos claros de prejuízo a imagem das companhias. Acredito que só desta forma poderemos reverter este cenário.
*Denis Augusto Araújo de Souza é analista de produtos MSS do UOLDiveo. Autor da série de livros Tempestade Hacker, publicada pela Amazon.com.br.
