5 erros que podem deixar uma empresa vulnerável a ciberataques

Ataques cibernéticos recentes deixaram CVC Viagens, Atento, Renner, Porto Seguro e Grypo Fleury inoperantes. A maioria das falhas de cibersegurança nas empresas ocorrem por falta de conhecimento dos colaboradores da companhia. Fora do departamento de tecnologia da informação, poucos sabem como acontecem os ataques e quais situações podem deixar a organização e seus dados vulneráveis.

• Quase metade dos consumidores não compraria em empresa que sofreu ataque
• Quase 1/3 das empresas brasileiras sofreram ataques por usarem senhas fracas
• 5 motivos para fazer do backup uma prática corporativa regular

Algumas mudanças de atitude podem evitar que as empresas sofram com essas ameaças — que geralmente são cometidas por descuido ou falta de conhecimento. A lista a seguir aponta os erros mais comuns das companhias que podem deixá-las suscetíveis. Acompanhe!

Exposição de dados

O computador aberto, seja no escritório, seja no home office, pode facilitar o acesso a senhas e informações pessoais. O mesmo acontece com as câmeras de dispositivos sempre ativadas e as selfies que povoam as redes sociais.

Luli Rosenberg, hacker ético da CySource, empresa de segurança israelense, diz que informações sensíveis são a primeira arma do hacker. “Muitas vezes, elas são expostas por descuido. Dessa forma, ele pode descobrir redes de relacionamento profissional e pessoal para enviar, por exemplo, e-mails se passando por outros para infectar e controlar computadores.”

Pouco conhecimento

No Brasil, as campanhas de conscientização sobre cibersegurança não são comuns. Em alguns países, elas são usadas para mostrar como os crimes virtuais acontecem. A falta de conhecimento aumenta a popularidade de golpes como o phising, que usa sites e aplicativos falsos para enganar as vítimas.

Esses ataques podem chegar por diferentes meios, como SMS, e-mail, aplicativos de mensagens e atualizações falsas. A vítima é levada a clicar em um link malicioso ou fornecer informações em uma página falsa para que o criminoso obtenha acesso aos dados e, a partir deles, consiga controlar o equipamento do usuário e, muitas vezes, o sistema de toda a empresa.

Rosenberg recomenda que mensagens não solicitadas sejam analisadas com cuidado. “No caso de dúvida, é importante entrar em contato diretamente com o responsável pelo envio — por outro canal de comunicação — para confirmar a autenticidade do conteúdo.”

Falta de atualizações

Muita gente não gosta de parar para fazer atualizações. Como os updates trazem correções e melhorias muitas vezes relacionadas a segurança, manter softwares desatualizados facilita a entrada de invasores. Isso porque é bastante comum que vulnerabilidades no sistema operacional e em outros softwares sejam descobertas após o lançamento.

As atualizações, então, têm a finalidade de corrigir essas falhas. “Quando os sistemas não são atualizados, erros já conhecidos pelos cibercriminosos ficam no sistema e podem ser explorados mais facilmente por invasores mal-intencionados”, alerta Rosenberg.

Implementação errada

Muitas empresas têm dificuldade de implementar tecnologias de forma segura. O mesmo acontece em downloads feitos na internet: quando se baixa um programa ou uma licença, é fundamental fazer isso diretamente no site da marca ou do revendedor oficial.

Isso garante que não haja risco de encontrar malwares camuflados, como os cavalos de Tróia, por exemplo. “Essas pragas, ao invadir um dispositivo, podem roubar informações e interromper funções do equipamento”, detalha Rosenberg.

Falta de defesa contra ransomware

Os ataques de ransomware têm crescido no Brasil. Nessas invasões, o criminoso criptografa as informações armazenadas em um sistema e impede o acesso a elas. Para liberar os dados, pede um resgate. Os riscos do malware podem ser minimizados se os sistemas de segurança da empresa estão atualizados em todos os dispositivos.

Para Rosenberg, esse é um dos ataques mais perigosos que existem. “Os criminosos podem travar todos os acessos de uma empresa, além de roubar as senhas de contas de banco, ter acesso a dados sigilosos e capturar arquivos pessoais para extorsão e chantagem”, aponta ele.

Existem grupos de voluntários e empresas que buscam decifrar a chaves usadas pelos sequestradores, mas, às vezes, a única opção para reconstituir o acesso aos dados é o pagamento do resgate. E, mesmo que a empresa decida fazê-lo, a devolução das informações nem sempre o pagamento é garantida.

Afinal, o cibercriminosos não necessariamente cumprem o prometido. “Por isso, a utilização de soluções de segurança aliada à adoção de boas práticas preventivas é o melhor caminho para a proteção.”