No Brasil, oito links maliciosos são acessados a cada segundo

140

Pesquisa revela sucesso no país da tática de hackers de focar na falha humana

Num e-mail de alta prioridade, o presidente da empresa pedia urgência em uma demanda. O analista financeiro João Gabriel Silva correu para atender o chefe, que incluiu na mensagem um hiperlink para tabelas importantes a serem analisadas. Ao clicar nele, no entanto, a tela congelou. Para a sorte de João Gabriel, aquilo era apenas um teste. A “fraude do CEO” é uma obra de engenharia social: ataques virtuais que tentam enganar pessoas para ter acesso a informações privadas de seus computadores.

Especialistas afirmam que, com o desenvolvimento das tecnologias de defesa dos computadores, hackers descobriram que é mais fácil mirar na falha humana. E estão tendo sucesso: no Brasil, em média, oito links maliciosos são acessados por segundo, de acordo com o Relatório DFNDR Lab, da empresa de segurança PSafe. Isso significa que, ao longo de apenas um dia, quase 700 mil ataques virtuais são bem-sucedidos no país.

É por isso que empresas como a de João Gabriel estão criando golpes falsos como forma de testar e educar seus funcionários, explica o carioca de 22 anos:

Empresa em que o analista financeiro João Gabriel Silva trabalha cria ataques falsos para ensinar a se proteger – Custódio Coimbra / Custódio Coimbra

— Quando você clicava no link que deveria direcionar para a planilha, aparecia uma notícia de que era um phishing (nome dado à técnica de enviar e-mails falsos ou direcionando sites falsos, com o objetivo de roubar dados) e explicava que é um tipo de golpe que te leva a clicar em links falsos para instalar vírus e ter acesso a seus dados.

Depois da experiência, o jovem passou a notar mais detalhes quando recebe uma correspondência eletrônica. O primeiro detalhe é a grafia do endereço de e-mail de quem enviou: nesse caso, o e-mail usado não era da empresa, o que já deveria despertar um alerta. O segundo detalhe é a verificação do hiperlink recebido, que em geral vem encurtado ou disfarçado como parte do texto (o famoso “clique aqui”). Ferramentas on-line permitem que se expanda novamente o código, de forma a verificar se o endereço é de fato o que o remetente diz ser.

Especialista em segurança da informação, Anderson Ramos é chefe de tecnologia da Flipside, consultoria de conscientização em segurança da informação. Ele explica que engenharia social é uma estratégia de ataque que consiste em enganar o internauta para fazê-lo clicar em links corrompidos ou a entregar dados que dão acesso a contas de banco, por exemplo. Seu trabalho é desenvolver e implementar testes comportamentais dentro de empresas para identificar o quão conscientes os funcionários estão sobre as ameaças de ataque usando essas estratégias.

CAMPANHAS DE CONSCIENTIZAÇÃO

Entre as experiências desenvolvidas estão e-mails como o recebido por João Gabriel e a disposição de pendrives pelas mesas de trabalho, por exemplo, para ver se as pessoas vão abrir seu conteúdo nos computadores e expor, assim, as máquinas a um possível vírus. Ele explica que o índice brasileiro de oito cliques em links corrompidos por segundo não foge à média global, que está constantemente subindo, mas surpreende devido ao comportamento do brasileiro fora do mundo virtual:

— O curioso em relação ao brasileiro é que se trata, em geral, de um povo precavido e desconfiado fora do mundo virtual. O que percebemos é que isso não se transpõe para o universo digital. Esse universo não é tão dócil quanto pode aparecer no primeiro momento. E você vê que o noticiário avisa sobre golpes, mas as pessoas parecem ainda não reconhecê-los.

O gestor de segurança do banco BTG Pactual, Gabriel Borges, explica que a engenharia social se tornou um dos grandes focos da equipe de segurança de dados. Ele conta que, como muitas pessoas ainda não sabem o que é engenharia social, o principal trabalho é o de educar as pessoas e alertar sobre os tipos de golpe existentes. A prioridade subiu quando os índices de ataques usando esse tipo de estratégia subiram em todo o mundo.

— O pulo do gato do hacker que usa engenharia social é fazer com que as pessoas confiem em algo em que geralmente não confiariam. É importante ter campanhas de conscientização, porque esses caras não desistem.

Além da “fraude do CEO”, que exige um conhecimento mínimo sobre a dinâmica de uma empresa, outro tipo de golpe muito comum e que desta vez mira pessoas físicas é o da promoção relâmpago. Mensagens via WhatsApp e e-mail prometem descontos contanto que a pessoa faça a compra logo. Especialistas alertam para que internautas tenham cuidado com esse tipo de propaganda e com boletos de fatura falsos ou notificações de dívida com a Receita Federal.

— Usam argumento de autoridade aliado a um senso de urgência, ou uma promessa de retorno financeiro rápido, para fazer a pessoa clicar sem notar os detalhes — diz Cleber Paiva, especialista em segurança da informação e sócio da empresa de cibersegurança Proof.

O indicado, antes de comprar, é fazer uma busca pelo site da loja para verificar se a promoção é real. Em casos de boletos recebidos por e-mail sem que o cliente tenha pedido, o ideal é entrar em contato com o banco por telefone.

APLICATIVOS DE MENSAGEM

A Receita aconselha que o contato seja feito por meio do Centro Virtual de Atendimento da Receita, em seu site oficial. E alerta que existem páginas que simulam o visual e o endereço do site oficial da instituição. “Tais páginas, embora visualmente muito semelhantes ao original, são falsas e — portanto — não são fontes confiáveis de informações. Esses sites usam artifícios para roubar dados e senhas”, explica a instituição em anúncio publicado em abril. O indicado pela instituição é verificar se o endereço termina com a extensão “gov.br”. Neste ano, a Receita denunciou tentativas de fraude inclusive por meio de cartas.

Segundo Paiva, da Proof, um dos principais cuidados que se deve tomar é em relação a smartphones:

— As pessoas esquecem que um smartphone é, na verdade, um computador na palma da sua mão. Então é indicado ter antivírus e o sistema operacional sempre atualizado.

Muitos golpes usam aplicativos de mensagem como meio de disseminação. É importante lembrar que, como um computador, o smartphone pode ser invadido e seus dados podem ser roubados. Paiva explica que, quando uma nova versão do sistema operacional do celular é disponibilizada, a empresa de tecnologia que o produziu divulga um relatório com as falhas que foram corrigidas. Ou seja, a própria desenvolvedora expõe os pontos fracos por onde hackers podem invadir o aparelho — e a comunidade hacker acompanha esses relatórios para saber quais as brechas deixadas em celulares desatualizados. Assim, quando um celular desatualizado é roubado, por exemplo, ele pode entrar para o mercado paralelo de dados, com quadrilhas usando celulares furtados para invadir as contas de seus donos.

Autor: Da redação com Helena Borges/lustração de André Mello/Editoria de Arte