Ainda estamos em setembro, mas 2016 deve entrar para a história como o ano em que o cibercrime no mundo financeiro disparou. Afinal, já foram reportados diversos casos de roubos milionários neste ano. Especula-se que os casos que vêm à imprensa são a ponta do iceberg e que as quantias envolvidas nos roubos podem chegar aos bilhões. Somente na rede do consórcio internacional SWIFT (Society of Worldwide Interbank Financial Telecommunications), as fraudes já podem ter somado mais de uma dúzia, em diferentes instituições e países, resultando em perdas de mais de 100 milhões de dólares no ano.
Mas não é um problema exclusivo da rede SWIFT. Rede esta que, inclusive, não é o ponto fraco dos roubos que ocorrem nela – os casos na rede SWIFT envolvem geralmente ataques a bancos menos protegidos, permitindo aos criminosos obter credenciais de operadores e submeter transações não legítimas à rede internacional. Como a rede pressupõe que cada banco afiliado é seguro, assume-se que cada transação submetida a ela é legítima e pode ser confiável e aceita por outras.
Ou seja, ainda que a rede falhe em adotar controles próprios, o problema está nos bancos menos controlados. Mais evidências de vulnerabilidades em bancos puderam ser vistas em outros casos ocorridos no ano. Há alguns meses, uma quadrilha roubou mais de 10 milhões de Euros de caixas eletrônicos no Japão. Neste caso, os ATMs japoneses foram o modo de "monetizar" uma fraude eletrônica que havia sido cometida em um banco sul-africano, no qual cerca de 1.600 cartões de crédito falsos foram gerados e usados para uma ação coordenada de saques simultâneos em 17 cidades do arquipélago.
Este tipo de cibercrime tem sido comum – bandidos vão fisicamente nos caixas eletrônicos com cartões falsos, fornecidos por outros membros da quadrilha que podem estar em diferentes países, e executam transações de saque fraudulentas.
Mas, recentemente, outra modalidade de cibercrime tomou força: o uso de malwares para dispensar moeda diretamente dos caixas eletrônicos, sem a necessidade de haver sequer uma transação fraudulenta. Em Taiwan, por exemplo, mais de 2 milhões de dólares foram roubados de caixas eletrônicos com esta técnica no mês de julho. Em setembro, um malware chamado RIPPER foi utilizado para infectar ATMs do Banco da Tailândia e roubar cerca de 350 mil dólares. O malware teria sido instalado diretamente nos caixas. No dispensador, ele checa o número e tipo de notas disponíveis. Numa segunda checagem, monitora o leitor de cartão até que o cartão do criminoso, com um chip EMV malicioso, é inserido. O RIPPER permite então ao ladrão assumir o controle da máquina e fazer com que dispense as notas.
No Brasil e no mundo são conhecidos há algum tempo as fraudes a caixas eletrônicos baseadas em skimmers (ou "chupa-cabra") e similares, que requerem algum nível de intervenção física no equipamento. Mas a questão é que na mesma medida em que os controles físicos são adotados para evitar este tipo de ação, as ações "virtuais" vêm crescendo e tornando os ataques via acesso físico ao caixa eletrônico desnecessário e obsoleto. Enfim, as ameaças cibernéticas também passam por uma espécie de "Transformação Digital" e se multiplicam ao migrar do mundo físico para o virtual.
Mas, e o que pode ser feito para mitigar estes riscos?
Antes de mais nada, assegure-se que seu Processo de Gestão de Riscos constantemente revise que novas ameaças, tecnologias, e mudanças no ambiente de negócios reflitam no nível de risco da organização. Tal processo deve garantir que novos riscos sejam identificados e avaliados para suportar a tomada de decisão acerca de quais controles de segurança devem ser implementados para mantê-los sempre dentro do nível de risco aceitável pela organização.
Requer-se ainda processos de monitoração de incidentes e inteligência de ameaças, de modo a assegurar que os alertas relevantes sejam detectados (e somente estes, já que hoje a complexidade dos ambientes tecnológicos gera uma quantidade enorme de eventos e torna o foco no que é realmente relevante difícil, algo como procurar agulha no palheiro). Ferramentas de correlação de eventos e plataformas SIEM (Security Incident & Event Management) serão cruciais para lidar com o desafio. Técnicas de Security Analytics que identificam comportamentos anômalos e geram alertas independentemente de assinaturas de ataques conhecidos é uma camada adicional ao SIEM e igualmente importante. Some a isso profissionais qualificados, em operação 24×7, bases de regras de correlação e análise de dados robustas, bem como mecanismos para melhoria contínua destas bases; processos maduros para análise, confirmação e priorização dos incidentes para garantir seu tratamento apropriado; e Resposta a Incidentes por meio de processos, ferramentas e profissionais qualificados.
Proteja-se de acessos não autorizados, pois estes são o coração de alguns problemas como os da SWIFT. Tenha um diretório de usuários limpo, assim como os perfis de acesso de cada sistema crítico. Limite o número de credenciais privilegiadas, e revise periodicamente os direitos de acesso concedidos. Utilização de autenticação forte (multifatorial) dinâmica e baseada em risco, datas de expiração para senhas e contas, registro das ações realizadas por usuários, auditorias frequentes são alguns outros exemplos de controles relacionados ao tema.
Nunca descanse no tema de conscientização e treinamento dos usuários, pois como se sabe as pessoas são o alvo mais vulnerável, e é um dos recursos mais abundantes dentro das empresas. Podem ser usuários bem-intencionados da tecnologia, mas sem treinamento ou conscientização adequados. Em uma empresa com 10.000 usuários de tecnologia (sejam funcionários ou terceiros), uma campanha com efetividade de 98% ainda deixará 200 pessoas vulneráveis – sem mencionar o desafio da rotatividade e a necessidade de reciclagem e atualização para fazer frente à constante evolução das ameaças.
Prepare-se para o pior, e considere que o atacante terá sucesso. Os ataques descritos acima ilustram que sistemas sensíveis são altamente visados por criminosos sofisticados, como o crime organizado. É cruel, mas é preciso admitir que a balança tende para o lado deles – o atacante pode tentar mil vezes e basta apenas uma para ter sua missão cumprida; ao passo que ao gestor de segurança exige-se a perfeição e sucesso todas as mil vezes, importando menos as 999 que obteve sucesso em deter o atacante. Assim, é mais realista perguntar-se "E se…?"; e avaliar como a segurança reage e qual o nível de resiliência da organização caso o pior aconteça. Trabalhar com Escopo de Confiança Reduzido (Reduced Scope of Trust ou RSOT), segundo o Gartner (ou "Zero Trust", segundo a Forrester) é a melhor alternativa para isolar sistemas sensíveis. Isso pode ser implementado por soluções avançadas de microssegmentação, segurança definida por software, que incluem o uso de criptografia fim a fim e mesmo técnicas para tornar os sistemas "invisíveis" a técnicas de varredura de rede utilizadas por atacantes. O resultado final é que, se um sistema crítico qualquer (como caixas eletrônicos ou um servidor ligado à rede SWIFT) é isolado por meio de microssegmentação, o mesmo segue isolado e protegido dos criminosos.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.