Brasil encabeça ranking de ataques cibernéticos enquanto ecossistema de criminosos se expande; após popularização, mobile banking deve ser um dos focos em 2016
Os cibercriminosos brasileiros estão cada vez mais ousados e “profissionais”. Responsáveis em 2015 por um rombo de R$ 1,8 bilhão somente no sistema bancário e incentivados por uma legislação ineficaz, os hackers se organizam e importam novas práticas. As pequenas empresas, cujo orçamento para defesa é menor, são as mais afetadas.
“Eles estão buscando conhecimento nos locais com o cibercrime mais desenvolvido, como o Leste Europeu. É uma espécie de intercâmbio”, explica o analista sênior de segurança e pesquisa da Kaspersky Lab, Fabio Assolini. Especializada em segurança digital, a empresa foi responsável por um estudo que verificou as ramificações mercadológicas do submundo cibernético nacional.
Os resultados apontaram que o Brasil é, ao lado da Rússia, um dos países mais suscetíveis a ataques financeiros, alcançando, em 2014, a primeira posição na incidência de trojans – programas maliciosos que invadem PCs disfarçados de aplicações comuns.
Outro levantamento – desta vez da empresa de segurança digital ESET Brasil – apontou que mais de 50% das incidências de pelo menos três trojans populares ocorrem na rede brasileira. “O que chama atenção não é só o grande volume de detecção de ataques bancários, mas o comportamento particular desse tipo de ciberameaça”, explica o gerente da ESET no Brasil, Camillo Di Jorge. “Existem trojans bancários desenvolvidos especificamente para o País”, completa.
Para Assolini, a liderança indesejada é resultado da organização que as facções criminosas alcançaram, uma vez que a repressão é branda. “São grupos tão organizados que há até bases de dados informando qual criminoso é bom pagador ou não. É uma espécie de ‘SPC do cibercrime'”, argumenta ele.
O documento elaborado pela Kaspersky Lab aponta a expansão do C2C (cybercrime to cybercrime), quando hackers negociam entre si serviços como hospedagem, criptografia e envio de spam. Há casos de grupos que montaram estruturas de call center exclusivas para prospecção de cartões para clonagem ou pedidos de resgate em cima de informações roubadas – uma prática conhecida como ransomware.
A despeito da ‘maturidade’ atingida pelo cibercrime nacional, avançar rumo a outros países não está nos planos dos contraventores brasileiros. “Já identificamos ataques em países vizinhos e em Portugal, mas é algo pontual. Eles preferem atuar aqui, onde conhecem a infraestrutura”, explica Assolini. A situação bancária da população também desencoraja criminosos de fora a atuarem aqui, deixando o caminho livre. “A maioria das contas bancárias não possui opção de transferência internacional, o que acaba tornando o Brasil pouco atrativo [para infratores estrangeiros]”, completa.
Celular na mira
2015 foi o ano em que as transações bancárias via smartphone suplantaram outros canais de atendimento, com 58,5% do total. O movimento tem seus resultados: tanto a ESET Brasil quanto a Kaspersky Lab já identificaram as primeiras aplicações maliciosas projetadas exclusivamente para o sistema operacional Android. “O mobile banking certamente está na mira dos cibercriminosos brasileiros”, alerta o especialista da Kaspersky – que aconselhou o download de antivírus mesmo em dispositivos móveis.
Prevenção
Segundo a Federação Brasileira dos Bancos (Febraban), R$ 2 bilhões foram investidos pelo setor com prevenção de fraudes em 2015. Se o sistema bancário tem como arcar com o problema, o mesmo não se pode dizer das pequenas empresas. “É necessário um bom investimento para proteger bancos de dados, e muitas empresas não estão preparadas”, afirma o arquiteto de soluções de segurança da Cloud Technology Brasil, Rafael França. “Se falta orçamento, o bom senso recomenda boas práticas de segurança”.
Além das dicas contumazes – como evitar sites suspeitos e dar preferência à portais com protocolos de segurança do tipo https – França recomenda cuidados com as redes sociais. “Com a evolução delas, se tornou fácil utilizar informações em ataques”, pontua. “Se um hacker descobre que um diretor de uma empresa coleciona selos, ele não vai mandar um e-mail malicioso sobre recuperação de crédito, mas sobre selos baratos”, exemplifica.
O ataque social – quando um grupo cria perfil falso e se passa por uma companhia perante clientes – é mais uma jogada popular. Outra recomendação é dar maior atenção à identificação de ameaças que já tenham infectado o sistema, mas silenciosamente – algo também preconizado por gigantes do setor. “Implementamos um sistema de segurança em um cliente e já havia um malware operando. Eram documentos críticos: se a empresa não tivesse uma política de backup não seria possível recuperar”, conta França.
Proteção de dados
O vazamento de dados pessoais dos clientes é um elemento que municia, em boa parte dos casos, a atuação dos criminosos. “Muitas pessoas receberam boletos falsos de IPVA, com dados como documentos e endereço: eles vazaram de algum lugar”, alerta Assolini, da Kaspersky, defendendo a criação de uma política de proteção de dados mais abrangente.
“A lei norte-americana obriga que a empresa venha a público e ofereça auxílio. No Brasil, uma empresa de ingressos pela internet teve todos os seus dados roubados, seus clientes receberam e-mails falsos e ela não fez nada, pois não há lei que penalize”, completa ele.
Atualmente, três leis distintas sobre proteção de dados pessoais estão em tramitação: uma no Senado, uma na Câmara e outra sob o chapéu do Ministério da Justiça. Nenhuma deve ser aprovada em 2016.
Henrique Julião
DCI – 11/01/2016