Como as ameaças digitais evoluíram nos últimos 10 anos?

“Dados são o novo petróleo”. Em 2006, quando o matemático britânico Clive Humby cunhou a frase que se tornaria um chavão e o faria famoso, ele provavelmente não estava pensando que, mais de uma década depois, as informações seriam a principal moeda do cibercrime. Por causa delas, o tema virou assunto do noticiário global, se tornou uma necessidade de segurança nacional e atingiu a absolutamente todo mundo, dos mais altos escalões até o indivíduo mais comum.

• Os 5 métodos de ataque cibernético em que você precisa ficar de olho
• Como identificar e se proteger dos principais golpes cometidos pelo celular

Ao longo dos últimos 10 anos, o Canaltech acompanhou essa escalada, informando e indicando o caminho da proteção a seus leitores. Desde as últimas sobre os grandes ataques que atingem corporações gigantescas até os golpes que são enviados diretamente a você pelo WhatsApp, o objetivo sempre foi manter o brasileiro bem-informado sobre as artimanhas dos bandidos, que estão sempre se reinventando. Assim seguimos, mas não sem antes dar uma olhada em um cenário que mudou profundamente.

A era dos megavazamentos

É perfeitamente seguro afirmar que, hoje, não existe mais nenhum brasileiro cujos dados ainda estejam perfeitamente protegidos. Entre comprometimentos em órgãos públicos, exposições de bases de CPF e brechas em grandes corporações, o nosso país surge em uma triste posição: somos os maiores da América do Sul nesse quesito e o oitavo maior no mundo (apenas porque existem nações bem mais populosas que a nossa).

De acordo com números do Surfshark, mais de 246,5 milhões de contas de usuários brasileiros já foram expostas na internet, um valor maior do que a população de nosso país. São contas repetidas, sim, mas também de indivíduos já falecidos e, ao longo dos últimos anos, todos os cidadãos já tiveram pelo menos uma informação pessoal vazada e colocada à mercê dos criminosos.

2021 parece ter sido o pior ano dos últimos 10. Em janeiro, vazaram RGs, CPFs, e-mails, nomes completos, telefones e muito mais de 220 milhões de brasileiros, junto a dados veiculares, scores de crédito e informações sobre benefícios do governo. Um mês depois, em fevereiro, aconteceu de novo, com um segundo banco de dados envolvendo 102 milhões de pessoas e expondo, basicamente, toda a população do Brasil a golpes e roubos de identidade. Os casos geraram investigação da Polícia Federal e prisões, com os trabalhos ainda em andamento.

Não que os anos anteriores tenham sido tranquilos na esfera pública, com o recorde em número de entradas de brasileiros em um vazamento sendo do Ministério da Saúde. Em dezembro de 2020, uma brecha grave em um sistema de notificações sobre a covid-19 expôs as informações medidas de 240 milhões de brasileiros; um ano depois, a pasta seria atingida novamente, com o aplicativo do SUS chegando a ficar duas semanas fora do ar, felizmente, sem vazamento de informações.

Fora da esfera pública, mas ainda dentro das fronteiras do Brasil, as grandes empresas também se tornaram alvo de ataques, muitas vezes, orquestrados por criminosos internacionais. Um dos casos mais recentes foi o da Atento, que no ano passado, viu seus sistemas sendo atingidos por bandidos da gangue LockBit e dados vazados após o não pagamento de resgate; antes, também foram alvos nomes como C&A, em 2018, Netshoes em 2019 e McDonald’s em 2021, apenas para citar outras gigantes.

Não é só no Brasil que a maioria da população teve seus dados expostos, a verdade é que essa é uma realidade para, praticamente, todas as pessoas deste mundo. Quando se leva o panorama internacional, é mais fácil fazer uma lista, com grandes companhias e os números relacionados a cada comprometimento:

• Adobe: 38 milhões de usuários comprometidos após falha em sistemas de criptografia, em 2013;
• Yahoo: em 2014, registrou o maior vazamento de dados até então quando três bilhões de pessoas tiveram dados expostos, algo que só foi confirmado dois anos depois;
• eBay: os 145 milhões de usuários ativos entre os meses de fevereiro e março de 2014 tiveram informações pessoais, incluindo e-mails e senhas, expostos após um ataque;
• Sony Pictures: além de documentos internos e confidenciais que revelaram segredos da empresa, mais de um milhão de senhas e cartões de crédito de clientes vazaram em 2014. Hoje, não é muito, mas na época, foi um dos maiores volumes de informações financeiras já registrado;
• Snapchat: 4,6 milhões de contas expostas em 2015 não foi o pior impacto deste vazamento, mas sim, a ideia de que a rede social que afirmava ser anônima armazenava informações de seus usuários;
• Ashley Madison: se o caso anterior não foi ruim o bastante, imagine quando a presença de 32 milhões de pessoas deste site de encontros extraconjugais foi revelada em um vazamento de dados, com e-mails e nomes de usuário;
• Uber: a empresa chegou a pagar US$ 100 mil aos criminosos, mas isso não impediu o vazamento de dados de 50 milhões de pessoas, além de multas do governo dos EUA pelas tentativas de ocultar o caso;
• Facebook: os usuários mal tinham esquecido o escândalo da Cambridge Analytica, em 2018, quando surgiu um volume de 530 milhões de dados obtidos a partir de uma vulnerabilidade, que permitiu a indexação de informações dos usuários da rede social em 2021.

Ransomware, a grande ameaça contra as maiores do mundo

O que começou quase como uma anedota viria a se tornar um problema global e pauta de corporações e governos ao redor do mundo. Em 2013, quando os golpes de sequestro digital começaram a se disseminar pelo mundo, o golpe envolvia o travamento de computadores e celulares com a acusação de que informações ilegais haviam sido encontradas, com falsas multas aplicadas por autoridades devendo ser pagas em Bitcoins. Ali, porém, já se falava em uma indústria cibercriminosa lucrativa, com mais de US$ 25 milhões em pagamentos.

O problema ficou sério em maio de 2017, quando o vírus Wannacry se espalhou de forma incrivelmente rápida por todo o mundo, travando sistemas com Windows em mais de 150 países. Foi um dos maiores ataques coordenados já registrados na história, com direito a aeroportos, estações de trem, operadoras de telefonia e universidades interrompendo as atividades, inclusive no Brasil, onde a Vivo e Tribunal de Justiça de São Paulo também foram comprometidos.

Desde então, o que já era perigoso se tornou mais ainda, com ataques altamente direcionados. Os criminosos não se contentam mais em, apenas, travar os arquivos, mas também os extraem, praticando a chamada dupla extorsão, com pedidos de dinheiro tanto para liberação dos dados quanto para não vazarem as informações para o público.

Esse foco também fez com que, ao final de 2021, o valor médio de pedidos de resgate ficasse na casa dos US$ 2,2 milhões por empresa atingida. O desnivelamento da balança mostra que, hoje, quanto maior a corporação e mais sensíveis os dados, maior o alvo, com o direcionamento também envolvendo uma análise dos criminosos antes do ataque. Eles sabem quem estão atingindo, os danos que serão infligidos e, principalmente, quanto cobrar.

No Brasil, um dos maiores ataques de ransomware já registrados foi o já citado golpe contra a Atento, em 2021. A empresa que presta atendimento para grandes nomes como iFood, Submarino, Vivo e Bradesco chegou a ficar fora do ar por dias e calculou os prejuízos decorrentes em R$ 197 milhões, entre esforços de recuperação e a interrupção das atividades.

O caso, também, serviu para mostrar que nosso país está na mira do cibercrime, mesmo sem envolvimento em grandes conflitos internacionais. O presidente americano Joe Biden, entretanto, não pode dizer o mesmo, chegando a falar em terrorismo ao se referir a ataques de ransomware contra as empresas de infraestrutura americanas depois que um golpe contra a distribuidora de combustível Colonial Pipeline fez faltar gasolina nos postos dos EUA.

O maior ataque de ransomware já registrado na história foi contra a fornecedora de TI Kaseya, em julho de 2021. Mais de 1.500 organizações em dezenas de países foram atingidas em um efeito dominó pelo vírus implantado pelo grupo cibercrimino REvil, que pediram US$ 70 milhões em resgate da companhia e múltiplos valores menores para suas clientes. Em segundo lugar, aliás, está a processadora de origem brasileira JBS, que também no ano passado, pagou US$ 11 milhões ao mesmo grupo criminoso para reaver os dados e retomar o funcionamento de unidades nos Estados Unidos.

A democratização do cibercrime

O que já era uma atividade extremamente lucrativa por si só e se tornou ainda mais quando os bandidos perceberam que poderiam ganhar não só com os ataques, mas também vendendo ferramentas ofensivas aos outros. Esqueça a imagem de criminosos vestidos com couro preto, digitando sem parar na frente de uma tela apenas com comandos em verde; hoje, qualquer pessoa com um conhecimento mínimo sobre tecnologia pode fazer isso.

Aqui, os bandidos tomam nota de grandes empresas de tecnologia para aplicar em seus próprios negócios. O malware como serviço permite a assinatura de soluções que criam vírus, roubam dados e espionam pessoas da mesma maneira que uma grande empresa como a Amazon, por exemplo, loca espaço de armazenamento em seus servidores. E quando colocamos o ransomware nesse jogo e o já citado direcionamento de ataques de sequestro digital, o perigo se torna ainda maior.

Até mesmo adolescentes, que se reúnem por meio da plataforma Discord, estão trabalhando em seus próprios cenários de ameaças, focadas em professores, colegas e até nos próprios pais. Isso sem falar em funcionários insatisfeitos ou indivíduos em situação econômica desfavorável, o que nos leva, inclusive, ao próximo tópico.

Golpes em massa atingem pessoas comuns

A maior especialização dos cibercriminosos, junto com os valores milionários entregues pelas empresas não fez com que as pessoas comuns deixassem de ser o foco, muito pelo contrário. Qualquer dinheiro é dinheiro, e para os golpistas, ainda é bem interessante fraudar idosos, pessoas sem intimidade com a tecnologia e praticamente qualquer um com fraudes que tentam induzir transferências financeiras ou roubar dados.

Novamente, as inovações da tecnologia também são usadas para o mal. Enquanto o WhatsApp se tornou o meio de comunicação comum nos smartphones e o Pix mudou o sistema bancário brasileiros, a junção das duas ferramentas constituiu uma via comum de fraude na qual os bandidos se passam por familiares ou cônjuges. O objetivo final é conseguir dinheiro, e muitas vezes, a economia de pais ou avós que jamais hesitariam em ajudar os filhos e netos.

O próprio WhatsApp também se tornou de interesse, com contas roubadas anunciam produtos que não existem, enquanto as redes sociais também se tornaram um alvo. Na crise econômica, vagas de emprego também se tornaram uma via comum para a instalação de vírus, obtenção de pagamentos fraudulentos e roubo de dados, com grandes nomes como Amazon e Magazine Luiza servindo para dar aparência de credibilidade.

Isso, também, explica porque perfis furtados também são de interesse para esse tipo de prática. Afinal de contas, há mais chance de alguém acreditar em uma história sobre dívidas urgentes ou a venda de um PlayStation 5 abaixo do preço caso ela venha de alguém conhecido. Essa é a gênese das fake news, também disseminadas em massa, aplicada aos cibercriminosos com intuito financeiro.

Na onda do momento, entre criptomoedas e NFTs, os golpes também acontecem. Mesmo quem acredita estar na vanguarda da tecnologia está suscetível a um golpe quando o perfil de um grande mercado de artes em blockchain é invadido ou no momento em que o Twitter de celebridades é comprometido para disseminar ofertas imperdíveis de investimento. Em uma arquitetura descentralizada, porém, as perdas são permanentes.

Não é só no dinheiro que os golpes se focam, entretanto, com informações pessoais seguindo como uma moeda de troca valiosa. Em vez de conseguir um Pix, um criminoso pode tentar usar seu cartão de crédito, obtido em um site falso cujo link foi enviado por SMS ou aplicativo, ou abrir uma conta digital, pedindo empréstimo no seu nome usando seu CPF e outras informações pessoais.

O mal de sempre, agora com novas táticas

O spam existe desde os primórdios da internet e, ainda hoje, funcionam como ferramentas indispensáveis para os cibercriminosos. Chega a ser estranho como, depois de mais de 10 anos de avisos, alertas e sistemas de segurança incrementados, os e-mails fraudulentos sigam crescendo em utilização. O motivo é simples: eles ainda funcionam.

A pandemia da covid-19 representou uma oportunidade de ouro para a disseminação de vírus e roubo de dados a partir de e-mails. Em um momento no qual as pessoas buscavam informações e respostas, mensagens sobre protocolos de contenção, disponibilidade de vacinas e necessidade de isolamento se proliferaram, carregando consigo ameaças perigosas.

Esqueça o príncipe nigeriano ou um milionário filantropo a fim de distribuir dinheiro. A Black Friday e o Natal também são datas bem exploradas, com empresas de frete e sites de e-commerce também se tornando a isca para que as pessoas cliquem em falsos links de rastreios de encomendas e promoções imperdíveis, novamente, baixando malwares para o celular ou inserindo dados em sites falsos que vão direto para as mãos dos criminosos.

Os e-mails de phishing também se tornaram a principal via de entrada para golpes de ransomware. Enquanto os sistemas de segurança se tornavam mais robustos, o fator humano segue como a grande vulnerabilidade do mundo atual, com a falta de conhecimento ou a simples desatenção permitindo que, a partir de uma simples mensagem com arquivo anexo, toda uma rede de uma grande companhia seja tirada do ar, com milhões de reais em prejuízo.

Deep fake: quando o outro não é quem parece

Montagens e edições de imagens sempre foram o calcanhar de Aquiles da internet, com simulações que tentam modificar eventos históricos, fazer valer uma história mentirosa ou, simplesmente, tirar sarro de amigos. Na era dos deep fakes, entretanto, essas farsas ganharam novo corpo e um potencial amplamente perigoso.

O que muitas vezes é encarado com a simplicidade de Margot Robbie fazendo dancinhas no TikTok podem se tornar uma ameaça quando criminosos passam a usar a tecnologia para aplicar a vagas de emprego em nome de terceiros, para ter acesso a redes e dados internos. Sistemas de biometria que confiam na leitura de rostos também podem ser burlados, enquanto campanhas de desinformação e fake news se tornam ainda mais críveis com uma ajudinha da inteligência artificial.

Como a indústria se preparou para os próximos 10 anos?

O noticiário faz parecer que a guerra contra o cibercrime é uma batalha perdida, em que um lado está bem melhor preparado e é mais ágil que o outro. Enquanto isso pode ser verdade para alguns, nunca se falou tanto em cibersegurança quanto nesse início de década, com reportagens atingindo até mesmo os menos íntimos com a tecnologia, enquanto mais e mais empresas entendem que é preciso se preparar como nunca.

Sistemas de autenticação em duas etapas, com uma camada extra de proteção e senhas exclusivas que defendem uma conta de invasão mesmo com o vazamento de credenciais, ajudam as pessoas comum a se blindarem. Enquanto isso, mensageiros e aplicações com criptografia de ponta a ponta garantem que apenas os envolvidos em uma conversa ou troca de arquivos possam ler seu conteúdo.

Nos servidores, plataformas de monitoramento e inteligência de ameaças, mecanismos de defesa avançados e um controle próximo de acessos e atividades ajudam a identificar elementos que estejam fora do normal. No dia a dia, treinamentos de segurança e simulações de ataques graves colocam na consciência dos trabalhadores, o que é preciso fazer para que todos estejam protegidos o tempo todo.

Mais do que uma necessidade, a defesa digital se tornou uma obrigação. Normas como a Lei Geral de Proteção de Dados (LGPD), por exemplo, criaram medidas de regulamentação no uso de informações e transparência em caso de problemas — ainda que a adoção permaneça longe do esperado. Internacionalmente, também começam a surgir regras que legislam o tratamento específico de casos de ransomware, com direito, até mesmo, a proibições do pagamento de forma a fazer com que o cibercrime não compense tanto assim.