Quem está imune a um ataque de hackers? Quem está completamente seguro? Afinal essa é uma área que não existe 100% de segurança ou existe?
Nessa semana em que a Polícia Federal prendeu, em São Paulo, três hackers que atacaram o site do Tribunal Superior Eleitoral (TSE), em junho. O ataque apenas modificou temporariamente a página do tribunal na internet, o que leva o nome de “defacement”, segundo a corporação.
No meio dessas alegações, sem provas, do presidente Jair Bolsonaro sobre a possibilidade de fraudes na urna eletrônica, numa campanha que chegou a usar dados completamente distorcidos, e que não passou pelo Congresso, a prisão de hackers coloca um pouco mais de combustível nessa discussão.
A prisão desses hackers fez parte da Operação Script Kiddie, que ainda cumpriu outros mandados. A investigação foi solicitada pelo do presidente do TSE, ministro Luís Roberto Barroso. Com um dos presos os policiais encontraram R$ 22,5 mil em espécie e uma arma de fogo ilegal. De acordo com as investigações, o ataque realizado por um grupo de hackers brasileiros ocorreu no dia 1.º de junho. O “defacement” é uma ação menos sofisticada do que o roubo e o bloqueio de dados. A operação recebeu o nome de Script Kiddie em uma referência a hackers iniciantes que fazem uso de métodos, ferramentas e scripts desenvolvidos por hackers mais experientes.
Poucos dias antes a Lojas Renner reforçou que não tinha pago resgate de nenhuma espécie por dados após o ciberataque sofrido pela empresa, que afetou a área de comércio eletrônico e o aplicativo. A varejista acrescentou não ter tido nenhum contato com os autores do ataque, assim como não realizou negociações com os responsáveis, mas como provar isso?
A ação dos criminosos, ocorreu com um pedido de resgate, e deixou inoperantes as vendas pela web da empresa por cerca de 48 horas. O caso serviu de alerta para o restante do mercado, uma vez que, segundo especialistas, há a noção de que os negócios nacionais ainda não estão atentos o suficiente para a gravidade da questão da proteção de dados, e tudo isso com poucos dias de validade da LGPD.
Segundo o comunicado, as lojas físicas permaneceram abertas e funcionando durante todo o tempo desde o ataque, com indisponibilidade de apenas alguns processos por algumas horas da quinta-feira. A operação de e-commerce foi restabelecida nos sites na manhã de sábado e, nos aplicativos, no domingo.
Dentro das regras de Compliance Digital, o comunicado foi a primeira atualização da companhia sobre o tema desde sexta-feira, quando a empresa afirmou que as suas equipes continuavam trabalhando para restabelecer o e-commerce.
Nos últimos meses, tem virado rotina, empresas como o laboratório Fleury, a empresa de segurança Protege e a JBS noticiarem que foram afetadas por ataques de hackers. Só para dar a dimensão a esses ataques, a JBS gigante dos alimentos, pagou um resgate de US$ 11 milhões (cerca de R$ 60 milhões) para reaver informações roubadas de suas operações nos EUA, na Austrália e no Canadá.
Segundo um estudo mundial da PWC, em sua área de pesquisas sobre fraudes e golpes cometidos contra empresas, como roubo de dados, realizado em 2020, trabalho que foi feito em 99 países com cerca de 5.000 empresas ao redor do mundo, 47% sofreram algum tipo de fraude nos últimos 24 meses, o que causou um prejuízo de US$ 42 bilhões para essas empresas.
Logo, com números assim, nos resta perguntar: o que você faz na sua empresa para evitar tantos golpes?
Com a digitalização e a conectividade plena dos negócios, independentemente do tamanho, é preciso proteger a entrada do seu negócio, é preciso adotar uma rotina de segurança para sua loja online, seu perfil nas redes sociais e ainda repensar a forma como a empresa se comunica com o cliente.
Por mais que seja de conhecimento pleno, somente no primeiro semestre de 2020, 760,3 mil pedidos foram classificados como tentativas de fraude nas vendas pela internet, para efeitos de comparação, no mesmo período do ano passado, o número foi de 433,8 mil.
O pequeno comerciante, é sim uma grande vítima devido a diversos fatores, para eles a segurança oferece grandes desafios, principalmente para aqueles que gerem a empresa pelo celular, uma vez que o sistema desses é fragmentado entre o de identificação e o de pagamentos, muito distinto do que ocorre, por exemplo, na China, onde o Wechat (rede social chinesa), no qual o empreendedor sabe que aquele aparelho é autenticado pela própria rede, no caso do Brasil o WhatsApp tenta ser liberado como meio de pagamento.
Logo todos estão na mira desses criminosos, que não tem hora nem dia pra chegar.
Nessa semana o governo chinês noticiou que tem adotado uma campanha mais agressiva de ação contra hackers e demonstra uma mudança nas suas táticas: a principal agência de vigilância da China vem recrutando cada vez mais espiões no âmbito de um enorme reservatório de talentos no setor privado.
O novo grupo de hackers tornou o aparelho de ciberespionagem estatal chinês mais forte, mais sofisticado e, diante dos alvos, que são governos e companhias privadas, mais perigosamente imprevisível. Patrocinados, mas não necessariamente controlados por Pequim, esses novos hackers atacam organizações de governo e empresas privadas, combinando a espionagem tradicional com a fraude e outros crimes em busca de lucro.
O novo enfoque da China abrange táticas usadas pela Rússia e pelo Irã, que têm atormentado empresas comerciais e governos há anos. Os hackers chineses com vínculos com a segurança de Estado têm exigido resgate em troca de não divulgarem o código fonte do computador das companhias, segundo um indiciamento divulgado pelo Departamento de Justiça dos EUA no ano passado.
Mesmo empresas de tecnologia, referência no seu seguimento tem sofrido com esses ataques, pois recentemente a violação do sistema de e-mail da Microsoft, usado por muitos governos e muitas das maiores empresas do mundo, é um caso para registrar o que falamos acima.
Falando da China, suas táticas mudaram depois que o presidente Xi Jinping transferiu a responsabilidade pela pirataria cibernética do Exército de Libertação do Povo para o Ministério da Segurança do Estado, depois de uma série de ataques ocorridos por negligência dos responsáveis e uma reorganização do Exército. O ministério, que funciona como agência de espionagem e inquisidor do Partido Comunista, tem usado instrumentos de pirataria mais sofisticados, como falhas na segurança conhecidas como “ataques de dia zero”, tendo como alvo empresas, ativistas e governos.
O número de ataques globais ligados ao governo chinês quase triplicou desde o ano passado em comparação com os quatro anos anteriores, segundo a Recorded Future, companhia de Massachusetts (EUA), que estuda o uso de internet por entidades do setor estatal. Agora, em média são mil ataques num período de três meses.
Como se percebe, a adoção de hackers pelo governo chinês funciona como proteção, mas as pequenas empresas e pequenos negócios, com se protegem?
Para esses pequenos empreendedores, a opção pelo marketplace e-commerce nas grandes plataformas a segurança é maior, pois nesse caso o empreendedor tem uma URL, onde há por trás várias empresas de segurança juntas, porque existe uma parceria entre os browsers e outros programas de forma que, quando uma delas descobre uma tentativa de golpe, por exemplo, um site phishing (que rouba dados pessoais), uma avisa a outra, controlando e inibindo a fraude nesses canais. Logo, é bom lembrar que um bom sistema de backup das informações é requisito que minimiza o prejuízo no caso de perda de dados.
Logo, independentemente do tamanho do seu negócio, é preciso ativar a verificação em dois fatores, que pede senhas, pins ou reconhecimento de digital e é claro nunca se esquecer do antivírus, pois segundo um estudo do Fast Facts, as ameaças por softwares maliciosos mostram que 1,4 milhão de arquivos do tipo rodaram no País.
É claro que a pandemia funcionou como acelerador desse quadro, pois muita gente criou perfis em redes sociais, e assim os golpistas se aproveitam da pouca experiência em lidar com o os golpes, se aproveitando dessa fragilidade.
O mais comum é ao clicar em um link, por exemplo, o usuário acaba instalando um malware no seu computador que pode coletar dados, verificar atividades das mais diversas, até mesmo tentar ter acesso ao microfone e à camera para poder subornar a pessoa depois. Muitas vezes os bandidos enviam um link para preencher os dados pessoais para receber a suposta oferta, quase sempre imperdível, o que deve fazer você sempre lembrar da máxima, quando a esmola é demais você deve desconfiar. Por isso ao receber confirme se o perfil é realmente da empresa, ao invés de clicar no link digite o site da empresa para verificar se a promoção ou oferta existem.
A clonagem de perfis ocorrem tanto de pessoas físicas como jurídicas, pois as redes sociais são versáteis na medida em que possibilitam uma maior integração com loja online e criação de vitrine virtual, como no caso do Instagram, ótimo para vender e adorado pelos golpistas, que fraudam perfis empresariais, que são clonados e usados para aplicar golpes em usuários com o roubo de dados por meio de links.
A Internet é de fato um mar de oportunidades, para quem quer vender, mas infelizmente para malfeitores que querem tirar proveito de novatos e descuidados neste mundo de negócios líquidos e mutantes.