Em 2012, foi sancionada a Lei dos Crimes Cibernéticos no Brasil, que trata sobre delitos em meios eletrônicos. Esta lei penaliza ações de invasão a dispositivos eletrônicos com a finalidade de obter, adulterar ou destruir dados e informações sem autorização expressa do titular do dispositivo, além de instalar vulnerabilidades para obter vantagens ilícitas. A Lei Geral de Proteção de Dados pessoais (LGPD) – sancionada em agosto de 2018 – reforça a importância e necessidade de proteção de dados, com aplicação de melhores práticas para manter o ambiente seguro e minimizar riscos.
Mesmo com as sanções de leis para penalizar esse tipo de crime, o Brasil lidera o ranking da América Latina em ataques cibernéticos. Segundo dados do FortiGuard Labs, laboratório de inteligência de ameaças da empresa de segurança Fortinet, tivemos no primeiro semestre de 2021, 3,2 bilhões de tentativas de ataques, quase a metade dos 7 bilhões de tentativas de ataques da América Latina.
Nos meses de janeiro, fevereiro e março deste ano, houve um aumento na distribuição de malwares baseado na web. Neste tipo de ataque, também conhecido como phishing – uma das ameaças mais conhecidas atualmente –, o usuário torna-se infectado ao baixar ou instalar um malware de um site mal-intencionado, e-mail ou anúncio malicioso. Um dos seus principais objetivos é capturar informações confidenciais, como senhas, informações bancárias e números de cartões de crédito ou fazer com que as vítimas baixem e instalem malwares no computador.
Uma das técnicas mais conhecidas é o envio de e-mail com mensagem de texto e imagens em nome de uma organização de confiança. Ao abrir o e-mail, a vítima é induzida a acessar um website para fazer algum tipo de procedimento e se ver livre de um problema futuro. O site acessado nesse caso geralmente é idêntico ao site legítimo da empresa, então as vítimas passam informações de login, senha, dados bancários e informações pessoais para o criminoso sem saber que estão sendo enganadas.
Devemos ficar cada vez mais atentos e treinados, pois já existem evoluções de ataques de phishings, como o spear phishing. Enquanto, o phishing é, em sua maioria, campanhas enviadas para milhares de pessoas, ou seja, o criminoso não sabe se a pessoa que receberá o conteúdo enganoso tem qualquer tipo de vínculo com a empresa na qual ele está tentando se passar, o spear pishing é extremamente segmentado e passa para um nível mais pessoal. Geralmente, os criminosos se passam por pessoas conhecidas, donos de empresas, com e-mails bem elaborados, histórias pessoais e convincentes. Com o spear pishing, busca-se conhecer melhor a vítima, seus gostos, interesses, profissão, ciclos de amizades e muito mais.
Outro ataque semelhante é o whaling, que procura atacar pessoas do alto escalão de empresas, como diretores, presidentes e executivos. São ataques criados geralmente por meio de notificações judiciais, por exemplo, para a empresa.
A melhor forma de se manter protegido contra phishing é através de educação interna. É preciso fazer com que os colaboradores da sua empresa entendam e tenham atenção aos e-mails recebidos, endereços das contas de e-mails e números de telefone que recebeu as solicitações, bem como os endereços completos dos sites que estão navegando.
E já existem empresas que fornecem campanhas de phishing educativo, simulando envios de e-mails e mensagens para os colaboradores, a fim de medir a educação tecnológica em relação a esse tema. Ao final, aplica-se um treinamento e são apresentados os resultados obtidos nas campanhas.
Nem sempre os ataques estão ligados a proteção de infraestrutura e equipamentos, muitas vulnerabilidades acontecem através de erros humanos, por isso é importante sempre se capacitar para não cair nesse tipo de golpe. Esteja atento e preparado, os cuidados devem ser constantes!
Varejo SA – Wendel Alves é analista sênior em Tecnologia da Informação na Confederação Nacional de Dirigentes Lojistas (CNDL). É formado em Redes de Computadores e pós-graduado em Segurança da Informação e Ciências de Dados.