O romantismo acabou! Aquela história do garoto que pichava sites para aparecer perante os amigos como um bom hacker praticamente não existe mais. Hoje os craques em acessos indevidos são recrutados para trabalhos mais objetivos e específicos. Quem quer atuar no mercado de trabalho formal vai para empresas que necessitam dos serviços de especialistas em defesa cibernética. Quem prefere o underground é rapidamente cooptado pela turma especializada em obter benefícios financeiros escusos através de conhecimentos sobre invasões de ambientes tecnológicos.
Voltemos ao fim dos anos 80. Quando comecei a trabalhar com segurança de dados, os ínfimos computadores pessoais eram totalmente desconectados do restante do mundo, ou seja, a questão que mais preocupava era o possível roubo do computador. Os dados eram irrelevantes na grande maioria dos casos. As empresas armazenavam as informações em computadores de grande porte acessados remotamente por "terminais burros". Os estagiários, quando contratados, ganhavam dados, esses mesmos de jogo como o War, e tinham a incumbência de fazer a "segurança" do brinquedo. Naqueles tempos ingênuos alguns até caíam na brincadeira.
Hoje não há mais espaço para ingenuidade no mundo digital. O tema "roubo de dados", aliás, já apareceu até mesmo no samba enredo. "Arlequim roubou a colombina do Pierrot/E um beijo roubado num gesto inocente de amor/Terror dos mares, bravos piratas/Ali Babá e os quarenta ladrões/Os irmãos metralhas não passavam de uns trapalhões/Os gatos roubam água e energia/Hackers roubam com tecnologia/De tantas formas, o roubo faz manifestação", diz o samba de 2013 da Unidos do Jacaré, na cidade de Santos Dumont
Roubos, assaltos, crimes de modo geral, remontam a origem da vida humana na terra. Está claro, no entanto, que a evolução tecnológica não vem acompanhada necessariamente de uma evolução moral da humanidade. Pelo contrário, pelos frequentes ataques cibernéticos que temos visto, cada vez mais sofisticados e mais virulentos, não há dúvida de que os anjos do bem terão que correr cada vez mais atrás dos Ali Babás da era da informática. Os dados são o novo petróleo. Não há como ignorar os eminentes riscos para as corporações, governos e pessoas físicas sobre as mil e uma formas de se atacar e explorar essa riqueza.
O fraudador profissional, se podemos dizer que é um "profissional", não morre de amores pelo tipo de delito realizado. Para ele não importa se é uma "saidinha de banco" ou o acesso ao internet banking de uma instituição financeira. O ladrão de dados não quer medalha. O objeto fim dele é obter ganhos financeiros. Para isso ele faz a gestão de riscos para identificar qual a sua próxima jogada e os últimos "grandes golpes" praticados. Não dependem mais de metralhadoras e fuzis. Os crimes são cometidos, em geral, em salas fechadas e as armas são simples computadores.
Nos dois últimos grandes ataques no Brasil fala-se em aproximadamente 330 milhões de dados vazados. Se confirmados esses roubos, são enormes os riscos de prejuízos ao Estado, às empresas e as pessoas físicas. Os dados dos cidadãos estarão, ou estão, em mãos não confiáveis que poderão utilizá-los para a prática de fraudes bancárias, comerciais e empresariais, entre outras. As forças de segurança cibernéticas deverão estar prontas para rápidas respostas e o fechamento das possíveis portas de entrada para possíveis fraudes. Esta é uma questão de segurança do Estado brasileiro, não uma simples ocorrência policial. O vazamento de uma informação confidencial pode triturar reputações, desagregar famílias e quebrar empresas. Pode até mesmo expor eventuais fragilidades do Estado brasileiro frente a ameaças estrangeiras.
Imaginemos que 0,1% dos dados sejam utilizados com sucesso pelos fraudadores. Serão 300 mil inocentes com algum prejuízo buscando os seus direitos nas delegacias lotadas de cidadãos registrando ocorrências relacionadas as fraudes que sofreram e os crimes continuarão a ser praticados. É um mundo interminável do gato e rato. Essa turma tem hoje grandes sistemas de inteligência que correlacionam os dados obtidos através de diferentes formas, como os dados do computador pessoal e os dados pessoais do alvo, para chegar a dados como nome do usuário, agência, banco, número da conta, e até a senha de acesso aos sistemas. Grande parte dos usuários dos serviços digitais utiliza senhas de acesso aos sistemas compostas por dados pessoais como data de nascimento do filho, número do CPF, CNPJ da empresa, entre outros.
No mundo digital em que vivemos hoje, cada vez mais os usuários estão utilizando acessos e dispositivos com menor controle e monitoramento. Em alguns casos pessoas usam computadores sem antivírus, transitam por roteadores sem segurança ou operam em máquinas com baixo nível ou mesmo sem qualquer tipo de controle de acesso. Habitualmente o computador utilizado para o trabalho é o mesmo que o filho usa para assistir filmes baixados de sites não confiáveis.
E aí está o perigo. O acesso aos dispositivos pessoais é um parque de diversões para os oportunistas de todos os cantos do planeta. É muito simples descer ao underground digital e obter aplicativos que geram novos artefatos maliciosos e a partir daí controlar milhares de dispositivos pessoais. Há anos isso é utilizado para obtenção de acessos privilegiados, fraudes financeiras e também para mineração de moedas virtuais, como o bitcoin. Isso é tão óbvio quanto sair de casa e deixar portas e janelas abertas. Mesmo assim, muita gente repete os mesmos erros.
Como sei que não basta apenas chamar a atenção para a gravidade do problema, me permito aqui fazer algumas sugestões de como devemos nos proteger.
1) Fique alerta e monitore! Para obter informações suficientes para completar o checklist do crime, os fraudadores recorrem à técnicas para concretizarem os seus objetivos, a engenharia social é uma delas. Fique atento a telefonemas de desconhecidos, e-mails, contatos via redes sociais, etc. Outra dica é monitorar os serviços Web que você utiliza. Se tiver indícios de acesso indevido comunique ao interlocutor responsável.
2) Use o Registrato! O Banco Central do Brasil disponibiliza um serviço que possibilita ao cidadão acompanhar os seus contratos com as instituições financeiras. Lembre-se que nem sempre a fraude é retirar dinheiro da sua conta. Você pode estar sendo utilizado como um laranja sem saber. Não espere a polícia bater à sua porta atrás de uma fraude sobre lavagem de dinheiro para tomar providência. Antecipe-se ao problema.
3) Google! Já ouviu falar neste serviço gratuito? Ok, claro que já! Então uma dica importante: faça uma busca com o seu nome completo entre aspas. Exemplo: "João da Silva Souza Xavier". Surpresas podem surgir.
4) Use senhas fortes! Evite senhas com nomes de pessoas, datas de nascimentos, times de futebol. São informações que podem ser reconhecidas facilmente. Lembre-se que existem sistemas que cruzam as suas informações. Utilize sempre mais de 15 caracteres, contendo letras maiúsculas, letras minúsculas, números e caracteres especiais. Exemplo: QJaa338@!Kc##54kQQz**tg
5) Mude a senha do roteador e do modem da sua residência! Um fraudador com essas senhas passa a controlar os seus acessos, podendo inclusive redirecionar alguns acessos para sites que têm como objetivo a obtenção de credenciais de acesso. Algumas operadoras utilizam o seu modem e roteador para disponibilizar acesso público a internet.
6) Altere a senha de acesso aos sistemas (e-mails, bancos, sistemas corporativos etc.)! Grande parte dos usuários utilizam a mesma senha para acesso a sistemas, sejam eles internos de empresas, sejam eles de internet banking. Caso o fraudador tenha acesso a senha de um e-mail, por exemplo, pode ter acesso a outros serviços de e-mail do mesmo usuário.
7) Adote o duplo fator de autenticação! Essa ação é fundamental, já que diversos serviços utilizam o número do seu celular como segundo fator de autenticação, enviando SMS com um token de acesso, ou seja, se o fraudador não estiver com o seu celular em mãos não conseguirá realizar o acesso. Em alguns crimes mais elaborados os fraudadores conseguem gerar um chip na operadora especificamente para realizar o crime.
8) Utilize antivírus e antispam! Com certeza neste momento seus dedos estão a centímetros do seu dispositivo. Nenhum vírus te contaminará pelo celular ou computador. Isso é lenda. Mas existem diversos artefatos maliciosos (vírus, malware, phishing, entre outros), que poderão tornar a sua vida um inferno. Então, utilize sempre sistemas originais e seguros. Vale a pena fazer um investimento e contratar por centavos de real/dia um software de segurança.
9) Atualize o seu sistema operacional! Muita gente não atualiza o celular e/ou o sistema operacional por achar que pode perder dados, saiba que a desatualização pode causar problemas irreversíveis e as suas informações podem fazer uma viagem sem fim.
10) Não abra e-mails e não clique em links suspeitos! Essa é básica. Ou você abre uma porta sem receio de ser mordido(a) pelo cachorro? Um arquivo malicioso no seu dispositivo pode ser a porta da infecção.
*Eduardo Nery é CEO da Every Cybersecurity and GRC
