• Nenhum resultado encontrado

A AON EXPLORA OS PROBLEMAS MAIS PREOCUPANTES DO MUNDO PARA AS EMPRESAS. Do Malware ao Phishing: O seu guia para os crimes cibernéticos

N/A
N/A
Protected

Academic year: 2021

Share "A AON EXPLORA OS PROBLEMAS MAIS PREOCUPANTES DO MUNDO PARA AS EMPRESAS. Do Malware ao Phishing: O seu guia para os crimes cibernéticos"

Copied!
5
0
0

Texto

(1)

RISCO E INOVAÇÃO

Do Malware ao Phishing: O seu guia para os crimes cibernéticos

VISÃO GERAL

Em maio de 2017, usuários de computadores no mundo todo foram surpreendidos com uma alarmante tela vermelha e uma mensagem que exigia o pagamento de $600 em bitcoins para que seus computadores fossem desbloqueados. Era o “WannaCry”, um dos maiores ataques de ransomware da história. O prejuízo foi estimado em cerca de $4 bilhões, atingindo 200.000 de computadores, incluindo os do Serviço Nacional de Saúde do Reino Unido e a empresa de telecomunicações espanhola Telefónica.

Na Pesquisa Global sobre Gestão de Riscos 2017 da Aon, o crime cibernético figurou entre os cinco primeiros da lista. Em 2016, o custo desse tipo de crime para a economia global foi de $450 bilhões e resultou em cerca de dois bilhões de arquivos roubados – incluindo mais de 100 milhões históricos médicos. Até 2029, as perdas podem atingir $2 trilhões – mais de dois por cento da economia mundial.

As empresas e seus líderes sabem disso. Mas uma coisa é admitir a existência de uma ameaça, outra coisa é realmente enfrentá-la. E, enquanto nossas vidas ficam cada vez mais digitalizadas, será nossa a responsabilidade entender exatamente quais tipos de ameaças estão por aí.

ANÁLISE

Tipos de crimes cibernéticos

Classificar os crimes cibernéticos não é tão simples, já que um ataque frequentemente combina diversos métodos. Por exemplo, o resultado de um ataque de engenharia social pode ser um pen drive infectado com um vírus de computador se conectando aos sistemas da empresa. Já que as ameaças cibernéticas podem ser sobrepostas e combinadas, as categorias a seguir nem sempre são inteiramente claras e inequívocas. Porém, elas são um bom indicador da extensão dos ataques e táticas agressivas que as organizações precisam enfrentar.

A AON EXPLORA OS PROBLEMAS MAIS PREOCUPANTES DO MUNDO PARA AS EMPRESAS

(2)

MALWARE

Malware

Malware é um termo que abrange uma extensa variedade de vírus de computador. Qualquer código malicioso que adentra um sistema com o objetivo de obstruir os interesses do operador, é classificado como malware. Adware, spyware, ransomware, worms, vírus e bots são todos tipos de malware e podem entrar em uma rede de diversas maneiras. Os malwares podem provocar danos de diversas formas, incluindo o desligamento do computador até que um resgate seja pago ou a destruição do sistema operacional. O ataque com malwares é uma das áreas do crime cibernético que mais cresce, com um disparo acentuado no número de organizações atingidas – a quantidade de ataques somente com ransomwares aumentou 167 vezes entre 2015 e 2016.

O WannaCry, um ataque

com ransomware,

causou cerca de

$4 bi

em prejuízos.

Fonte: Cyence, empresa de modelagem de risco cibernético

DoS

Um ataque de Negação de Serviço (do inglês, DoS - Denial of Service) acontece quando um ataque sobrecarrega uma rede com excesso de tráfego, fazendo com que o sistema seja desligado.

Uma tendência particularmente proeminente é o Ataque Distribuído de Negação de Serviço (DDoS - Distributed Denial of Service), quando uma imensa variedade de vírus adentra uma rede de uma só vez – fazendo com que seja impossível para a vítima gerenciar o ataque ao bloquear individualmente os usuários. No final de 2016, um ataque de DDoS derrubou uma parcela considerável da internet, incluindo a Netflix, a CNN e o Reddit.

Nem sempre a motivação para os ataques de DoS é o ganho financeiro, eles podem ser iniciados para prejudicar ou sabotar operações, ou provocar importantes interrupções em atividades comerciais. Um ataque de DDoS comum custa cerca de $2,5 milhões a uma empresa.

DDos

Um ataque de DDoS

comum custa cerca de $2,5

$2,5 mi

(3)

FORÇA BRUTA

Ataques de força bruta

Os ataques de força bruta tentam adivinhar as senhas de um sistema experimentando todas as combinações em alta velocidade, geralmente na tentativa de descobrir informações confidenciais. As variedades incluem os ataques de dicionário, em que algoritmos passam rapidamente por palavras conhecidas ou combinações de caracteres na expectativa chegar à combinação certa.

Em junho de 2017, um ataque de força bruta ao governo do Reino Unido deu a hackers acesso aos e-mails de 90 funcionários do governo – possivelmente incluindo parlamentares e até mesmo o Primeiro Ministro britânico.

Em junho de 2017, um

ataque de força bruta ao

governo do Reino Unido

deu a hackers acesso

aos e-mails de

90

funcionários do governo.

Fonte: Telegraph

Injeção de SQL

SQL (pronuncia-se “sequel”) significa Linguagem de Consulta Estruturada, uma linguagem de programação utilizada para comunicar e dar instruções a bancos de dados digitais. Os ataques com SQL envolvem a injeção direta de códigos maliciosos em websites, que, a partir daí, exploram vulnerabilidades em seus bancos de dados para que um hacker possa acessar e violar os arquivos.

Ao dar instruções falsas, os ataques conseguem manipular os bancos de dados e os bens contidos neles, o que pode representar um risco considerável tanto para as empresas quanto para seus clientes. Por exemplo, uma injeção de SQL pode ser utilizada para extrair detalhes de cartões de créditos dos bancos de dados de comerciantes. Em 2015, os detalhes de 150.000 clientes do grupo de telecomunicação do Reino Unido Talk Talk foram roubados em um ataque de injeção de SQL.

ATAQUE POR SQL

Em 2015, informações de

150.000

clientes de um grande

grupo de telecomunicações

foram roubadas via SQL.

(4)

PHISHING

Phishing

Phishing é a tentativa de acessar ou manipular uma rede, se passando por algo inocente. Por exemplo: a vítima pode receber um e-mail que aparentemente veio de um contato confiável ou de um colega e contém um link que, ao ser acessado, faz o download de um malware no computador do usuário.

Mesmo com a disseminação de campanhas para promover a conscientização sobre o phishing, pesquisas mostram que um a cada três e-mails de phishing são abertos.

Até

30%

dos e-mails de phishing

são abertos.

Fonte: Verizon

Engenharia social

Está relacionada ao phishing, porém mais é sofisticada. Nesse golpe, ao invés de procurar vítimas por meio de canais digitais, o hacker apela diretamente para a pessoa, através de uma ligação ou mesmo cara a cara, utilizando-se de artifícios psicológicos e intimidação. O famoso e-mail do “Príncipe nigeriano” é um exemplo de “spear phishing” – um ataque de engenharia social via e-mail destinado a abrir um canal de comunicação direta com um indivíduo, antes de utilizar de estratégias de simulação para obter acesso a dinheiro ou informações confidenciais. Hoje em dia, os golpistas estão ficando cada vez mais sofisticados e específicos. Por exemplo: uma vítima pode receber um e-mail ou uma ligação de alguém fingindo ser um executivo e exigindo informações valiosas sobre contas.

Em 2016, 60% das empresas foram afetadas por ataques de engenharia social. Recentemente, até a Casa Branca foi vítima de um e-mail fraudulento.

ENGENHARIA SOCIAL

60%

das empresas foram

afetadas por ataques

de engenharia social ao

longo de 2016.

Fonte: Email Security: Social Engineering Report, da Agari

3 Maneiras de reforçar sua resiliência cibernética

Os ataques cibernéticos são quase inevitáveis. O perfil de risco é substancial, e é improvável que uma organização consiga se proteger completamente de incidentes com mudanças tão rápidas nas tecnologias e técnicas.

(5)

1. Empregue os melhores padrões de tecnologia em segurança cibernética: Pode parecer simples, mas certificar-se de um perfil

tecnológico atual é um passo fundamental para limitar a exposição aos crimes cibernéticos. Instalar softwares de antivírus apropriados deve ser prática comercial padrão. Mas as organizações também devem lembrar-se de manter atualizada a tecnologia já existente. O ataque WannaCry afetou particularmente os computadores que utilizavam softwares obsoletos e que não receberam atualizações.

2. Gerencie os riscos pessoais: Tecnologia atualizada é essencial, mas pode ser inútil caso as empresas não prevejam e controlem o risco

provocado pelas pessoas. As pessoas são suscetíveis a erros, são vítimas de ataques de engenharia social ou, simplesmente, agem de má-fé. Frequentemente, é o erro humano que está no cerne de grandes brechas de segurança. A chave é educar sua equipe a respeito de suas responsabilidades e dos perigos que podem enfrentar.

3. Estabeleça respostas estratégicas: Até a empresa mais cuidadosa, que segue todas as melhores práticas em questão de segurança

cibernética, pode ser vítima de um ataque. Assim, ter um plano implantado para gerenciar ataques quando estes vierem a acontecer é crucial. Todos os envolvidos na empresa sabem o que fazer em caso de ataque? Há passos implementados para incubar ou controlar a disseminação de um malware? Estabelecer e testar estratégias de resposta, por meio de exercícios com equipes de emergência e simulações de reação a incidentes, pode ajudar a eliminar estas brechas e garantir que a empresa esteja preparada para quando um ataque acontecer. Vigilância é essencial. Alguns métodos de ataque cibernético são comuns e se proteger contra eles é relativamente fácil – mas, ainda assim, acabam obtendo sucesso. Não proteger adequadamente suas operações pode afetar até mesmo sua capacidade de estar seguro para reduzir o impacto de uma brecha de segurança quando ela acontecer. A dificuldade em acompanhar as atualizações dos aspectos básicos da resiliência cibernética cada vez mais se revelará como uma ameaça aos negócios – não somente em termos de impacto monetário, mas também com relação à reputação e viabilidade dos negócios em longo prazo.

“Vivemos em um ambiente que está em constante evolução digital e interconexão tecnológica, onde as empresas encontram desafios para se manterem atualizadas com relação às mais recentes soluções em segurança. Isso as deixa mais expostas do que nunca a potenciais ataques cibernéticos e suas respectivas ameaças”, afirma o CEO da Aon Inpoint, Michael Moran. “Em algum momento, é provável que até mesmo os sistemas mais sofisticados sejam ultrapassados com o surgimento de novas tecnologias.”

PONTOS DE DISCUSSÃO

“A primeira coisa a fazer é fugir da percepção de que o ataque cibernético é só um problema tecnológico e que pode ser resolvido inteiramente com soluções de engenharia. Os conselhos tendem a olhar para esta questão com medo de que seja muito técnica para entendê-la, e delegam o problema inteiramente aos técnicos – que prontamente produzem algumas correções tecnológicas. O problema com isso é que muitos ataques cibernéticos não são exclusivamente – ou até mesmo em sua maioria – de natureza técnica. As pessoas e os processos são igualmente importantes.” – Will Brandon, Diretor de Tecnologia da Informação, Bank of England

“Um ataque pode partir de um hacker com objetivos políticos ou de algum que tenha motivações financeiras. Pode ser uma ameaça feita via ransomware, uma ameaça híbrida ou até mesmo espionagem cibernética com o apoio de um Estado-nação. Também pode não haver nenhum objetivo óbvio, além do puro prazer de importunar. As definições já não são tão claras como antes... o conceito de ameaça previsível como o conhecíamos despareceu há muito tempo. Atualmente, tanto os alvos quanto os métodos do ataque são muito mais imprevisíveis.” – Andrus Ansip, responsável pelo Mercado Único Digital e Vice-Presidente da Comissão Europeia.

LEITURAS COMPLEMENTARES

• Cyber Attacks Were On The Rise, Even Before The Latest Episode – The Economist, 15 de maio de 2017 • The New Cyber Risk Requirements – CIO, 6 de julho 2017

• Companies See The Cyber Threat, But Spending On Security Is A Different Matter – Financial Post, 30 de maio de 2017 • Insurers May Have To Adjust Policies To Reflect “Silent” Cyber Risks – The Register, 11de julho de 2017

Referências

Documentos relacionados

A partir da junção da proposta teórica de Frank Esser (ESSER apud ZIPSER, 2002) e Christiane Nord (1991), passamos, então, a considerar o texto jornalístico como

TABELA 7 – Produção de massa fresca e seca das plantas de almeirão, cultivadas sob três e quatro linhas por canteiro, em cultivo solteiro e consorciado, na

O Documento Orientador da CGEB de 2014 ressalta a importância do Professor Coordenador e sua atuação como forma- dor dos professores e que, para isso, o tempo e

Todas as outras estações registaram valores muito abaixo dos registados no Instituto Geofísico de Coimbra e de Paços de Ferreira e a totalidade dos registos

Os principais objectivos definidos foram a observação e realização dos procedimentos nas diferentes vertentes de atividade do cirurgião, aplicação correta da terminologia cirúrgica,

psicológicos, sociais e ambientais. Assim podemos observar que é de extrema importância a QV e a PS andarem juntas, pois não adianta ter uma meta de promoção de saúde se

Os principais resultados obtidos pelo modelo numérico foram que a implementação da metodologia baseada no risco (Cenário C) resultou numa descida média por disjuntor, de 38% no

Our contributions are: a set of guidelines that provide meaning to the different modelling elements of SysML used during the design of systems; the individual formal semantics for