RISCO E INOVAÇÃO
Do Malware ao Phishing: O seu guia para os crimes cibernéticos
VISÃO GERAL
Em maio de 2017, usuários de computadores no mundo todo foram surpreendidos com uma alarmante tela vermelha e uma mensagem que exigia o pagamento de $600 em bitcoins para que seus computadores fossem desbloqueados. Era o “WannaCry”, um dos maiores ataques de ransomware da história. O prejuízo foi estimado em cerca de $4 bilhões, atingindo 200.000 de computadores, incluindo os do Serviço Nacional de Saúde do Reino Unido e a empresa de telecomunicações espanhola Telefónica.
Na Pesquisa Global sobre Gestão de Riscos 2017 da Aon, o crime cibernético figurou entre os cinco primeiros da lista. Em 2016, o custo desse tipo de crime para a economia global foi de $450 bilhões e resultou em cerca de dois bilhões de arquivos roubados – incluindo mais de 100 milhões históricos médicos. Até 2029, as perdas podem atingir $2 trilhões – mais de dois por cento da economia mundial.
As empresas e seus líderes sabem disso. Mas uma coisa é admitir a existência de uma ameaça, outra coisa é realmente enfrentá-la. E, enquanto nossas vidas ficam cada vez mais digitalizadas, será nossa a responsabilidade entender exatamente quais tipos de ameaças estão por aí.
ANÁLISE
Tipos de crimes cibernéticos
Classificar os crimes cibernéticos não é tão simples, já que um ataque frequentemente combina diversos métodos. Por exemplo, o resultado de um ataque de engenharia social pode ser um pen drive infectado com um vírus de computador se conectando aos sistemas da empresa. Já que as ameaças cibernéticas podem ser sobrepostas e combinadas, as categorias a seguir nem sempre são inteiramente claras e inequívocas. Porém, elas são um bom indicador da extensão dos ataques e táticas agressivas que as organizações precisam enfrentar.
A AON EXPLORA OS PROBLEMAS MAIS PREOCUPANTES DO MUNDO PARA AS EMPRESAS
MALWARE
Malware
Malware é um termo que abrange uma extensa variedade de vírus de computador. Qualquer código malicioso que adentra um sistema com o objetivo de obstruir os interesses do operador, é classificado como malware. Adware, spyware, ransomware, worms, vírus e bots são todos tipos de malware e podem entrar em uma rede de diversas maneiras. Os malwares podem provocar danos de diversas formas, incluindo o desligamento do computador até que um resgate seja pago ou a destruição do sistema operacional. O ataque com malwares é uma das áreas do crime cibernético que mais cresce, com um disparo acentuado no número de organizações atingidas – a quantidade de ataques somente com ransomwares aumentou 167 vezes entre 2015 e 2016.
O WannaCry, um ataque
com ransomware,
causou cerca de
$4 bi
em prejuízos.
Fonte: Cyence, empresa de modelagem de risco cibernético
DoS
Um ataque de Negação de Serviço (do inglês, DoS - Denial of Service) acontece quando um ataque sobrecarrega uma rede com excesso de tráfego, fazendo com que o sistema seja desligado.
Uma tendência particularmente proeminente é o Ataque Distribuído de Negação de Serviço (DDoS - Distributed Denial of Service), quando uma imensa variedade de vírus adentra uma rede de uma só vez – fazendo com que seja impossível para a vítima gerenciar o ataque ao bloquear individualmente os usuários. No final de 2016, um ataque de DDoS derrubou uma parcela considerável da internet, incluindo a Netflix, a CNN e o Reddit.
Nem sempre a motivação para os ataques de DoS é o ganho financeiro, eles podem ser iniciados para prejudicar ou sabotar operações, ou provocar importantes interrupções em atividades comerciais. Um ataque de DDoS comum custa cerca de $2,5 milhões a uma empresa.
DDos
Um ataque de DDoS
comum custa cerca de $2,5
$2,5 mi
FORÇA BRUTA
Ataques de força bruta
Os ataques de força bruta tentam adivinhar as senhas de um sistema experimentando todas as combinações em alta velocidade, geralmente na tentativa de descobrir informações confidenciais. As variedades incluem os ataques de dicionário, em que algoritmos passam rapidamente por palavras conhecidas ou combinações de caracteres na expectativa chegar à combinação certa.
Em junho de 2017, um ataque de força bruta ao governo do Reino Unido deu a hackers acesso aos e-mails de 90 funcionários do governo – possivelmente incluindo parlamentares e até mesmo o Primeiro Ministro britânico.
Em junho de 2017, um
ataque de força bruta ao
governo do Reino Unido
deu a hackers acesso
aos e-mails de
90
funcionários do governo.
Fonte: Telegraph
Injeção de SQL
SQL (pronuncia-se “sequel”) significa Linguagem de Consulta Estruturada, uma linguagem de programação utilizada para comunicar e dar instruções a bancos de dados digitais. Os ataques com SQL envolvem a injeção direta de códigos maliciosos em websites, que, a partir daí, exploram vulnerabilidades em seus bancos de dados para que um hacker possa acessar e violar os arquivos.
Ao dar instruções falsas, os ataques conseguem manipular os bancos de dados e os bens contidos neles, o que pode representar um risco considerável tanto para as empresas quanto para seus clientes. Por exemplo, uma injeção de SQL pode ser utilizada para extrair detalhes de cartões de créditos dos bancos de dados de comerciantes. Em 2015, os detalhes de 150.000 clientes do grupo de telecomunicação do Reino Unido Talk Talk foram roubados em um ataque de injeção de SQL.
ATAQUE POR SQL
Em 2015, informações de
150.000
clientes de um grande
grupo de telecomunicações
foram roubadas via SQL.
PHISHING
Phishing
Phishing é a tentativa de acessar ou manipular uma rede, se passando por algo inocente. Por exemplo: a vítima pode receber um e-mail que aparentemente veio de um contato confiável ou de um colega e contém um link que, ao ser acessado, faz o download de um malware no computador do usuário.
Mesmo com a disseminação de campanhas para promover a conscientização sobre o phishing, pesquisas mostram que um a cada três e-mails de phishing são abertos.
Até
30%
dos e-mails de phishing
são abertos.
Fonte: Verizon
Engenharia social
Está relacionada ao phishing, porém mais é sofisticada. Nesse golpe, ao invés de procurar vítimas por meio de canais digitais, o hacker apela diretamente para a pessoa, através de uma ligação ou mesmo cara a cara, utilizando-se de artifícios psicológicos e intimidação. O famoso e-mail do “Príncipe nigeriano” é um exemplo de “spear phishing” – um ataque de engenharia social via e-mail destinado a abrir um canal de comunicação direta com um indivíduo, antes de utilizar de estratégias de simulação para obter acesso a dinheiro ou informações confidenciais. Hoje em dia, os golpistas estão ficando cada vez mais sofisticados e específicos. Por exemplo: uma vítima pode receber um e-mail ou uma ligação de alguém fingindo ser um executivo e exigindo informações valiosas sobre contas.
Em 2016, 60% das empresas foram afetadas por ataques de engenharia social. Recentemente, até a Casa Branca foi vítima de um e-mail fraudulento.
ENGENHARIA SOCIAL
60%
das empresas foram
afetadas por ataques
de engenharia social ao
longo de 2016.
Fonte: Email Security: Social Engineering Report, da Agari
3 Maneiras de reforçar sua resiliência cibernética
Os ataques cibernéticos são quase inevitáveis. O perfil de risco é substancial, e é improvável que uma organização consiga se proteger completamente de incidentes com mudanças tão rápidas nas tecnologias e técnicas.
1. Empregue os melhores padrões de tecnologia em segurança cibernética: Pode parecer simples, mas certificar-se de um perfil
tecnológico atual é um passo fundamental para limitar a exposição aos crimes cibernéticos. Instalar softwares de antivírus apropriados deve ser prática comercial padrão. Mas as organizações também devem lembrar-se de manter atualizada a tecnologia já existente. O ataque WannaCry afetou particularmente os computadores que utilizavam softwares obsoletos e que não receberam atualizações.
2. Gerencie os riscos pessoais: Tecnologia atualizada é essencial, mas pode ser inútil caso as empresas não prevejam e controlem o risco
provocado pelas pessoas. As pessoas são suscetíveis a erros, são vítimas de ataques de engenharia social ou, simplesmente, agem de má-fé. Frequentemente, é o erro humano que está no cerne de grandes brechas de segurança. A chave é educar sua equipe a respeito de suas responsabilidades e dos perigos que podem enfrentar.
3. Estabeleça respostas estratégicas: Até a empresa mais cuidadosa, que segue todas as melhores práticas em questão de segurança
cibernética, pode ser vítima de um ataque. Assim, ter um plano implantado para gerenciar ataques quando estes vierem a acontecer é crucial. Todos os envolvidos na empresa sabem o que fazer em caso de ataque? Há passos implementados para incubar ou controlar a disseminação de um malware? Estabelecer e testar estratégias de resposta, por meio de exercícios com equipes de emergência e simulações de reação a incidentes, pode ajudar a eliminar estas brechas e garantir que a empresa esteja preparada para quando um ataque acontecer. Vigilância é essencial. Alguns métodos de ataque cibernético são comuns e se proteger contra eles é relativamente fácil – mas, ainda assim, acabam obtendo sucesso. Não proteger adequadamente suas operações pode afetar até mesmo sua capacidade de estar seguro para reduzir o impacto de uma brecha de segurança quando ela acontecer. A dificuldade em acompanhar as atualizações dos aspectos básicos da resiliência cibernética cada vez mais se revelará como uma ameaça aos negócios – não somente em termos de impacto monetário, mas também com relação à reputação e viabilidade dos negócios em longo prazo.
“Vivemos em um ambiente que está em constante evolução digital e interconexão tecnológica, onde as empresas encontram desafios para se manterem atualizadas com relação às mais recentes soluções em segurança. Isso as deixa mais expostas do que nunca a potenciais ataques cibernéticos e suas respectivas ameaças”, afirma o CEO da Aon Inpoint, Michael Moran. “Em algum momento, é provável que até mesmo os sistemas mais sofisticados sejam ultrapassados com o surgimento de novas tecnologias.”
PONTOS DE DISCUSSÃO
“A primeira coisa a fazer é fugir da percepção de que o ataque cibernético é só um problema tecnológico e que pode ser resolvido inteiramente com soluções de engenharia. Os conselhos tendem a olhar para esta questão com medo de que seja muito técnica para entendê-la, e delegam o problema inteiramente aos técnicos – que prontamente produzem algumas correções tecnológicas. O problema com isso é que muitos ataques cibernéticos não são exclusivamente – ou até mesmo em sua maioria – de natureza técnica. As pessoas e os processos são igualmente importantes.” – Will Brandon, Diretor de Tecnologia da Informação, Bank of England
“Um ataque pode partir de um hacker com objetivos políticos ou de algum que tenha motivações financeiras. Pode ser uma ameaça feita via ransomware, uma ameaça híbrida ou até mesmo espionagem cibernética com o apoio de um Estado-nação. Também pode não haver nenhum objetivo óbvio, além do puro prazer de importunar. As definições já não são tão claras como antes... o conceito de ameaça previsível como o conhecíamos despareceu há muito tempo. Atualmente, tanto os alvos quanto os métodos do ataque são muito mais imprevisíveis.” – Andrus Ansip, responsável pelo Mercado Único Digital e Vice-Presidente da Comissão Europeia.
LEITURAS COMPLEMENTARES
• Cyber Attacks Were On The Rise, Even Before The Latest Episode – The Economist, 15 de maio de 2017 • The New Cyber Risk Requirements – CIO, 6 de julho 2017
• Companies See The Cyber Threat, But Spending On Security Is A Different Matter – Financial Post, 30 de maio de 2017 • Insurers May Have To Adjust Policies To Reflect “Silent” Cyber Risks – The Register, 11de julho de 2017