Fortaleza digital

Em 2019, começou a ser orquestrada uma das campanhas de ciberes­pionagem mais sofisticadas da última década. O primeiro sinal de alerta foi uma invasão aos sistemas de um think tank americano monitorado de perto pela empresa de segurança digital ­Volexity. Ao combater os invasores, os especialistas notaram o aparecimento de um segundo grupo dedicado a copiar e-mails e transferi-los para servidores externos. Era o início de uma briga de gato e rato que atingiria patamares inimagináveis.

À medida que as equipes de defesa fechavam uma porta de acesso, os atacantes abriam outra. E continuavam a roubar informações sensíveis. Mesmo depois de serem expulsos dos ambientes online onde não deveriam ter entrado, eles retornavam e desafiavam as estratégias de segurança daquela empresa. Acontece que ela não era o único alvo. Simultaneamente, em meados de 2020, o Departamento de Justiça dos Estados Unidos identificou uma invasão com o mesmo modus operandi, o que ativou o alarme para a magnitude da operação.

Uma extensa investigação revelou que a vulnerabilidade não estava em nenhum dos dois sistemas, mas, sim, no software de monitoramento de rede fornecido por uma companhia chamada SolarWinds. Ao instalar a versão comprometida, os clientes automaticamente se tornaram vítimas de uma ação maliciosa de grande escala. Ao todo, oito agências federais americanas utilizavam essa solução digital, além de corporações conhecidas do Vale do Silício, como Cisco e Palo Alto Networks.

Nem todos os ataques são tão sofisticados assim, porém. Em setembro deste ano, hackers travaram as portas de acesso aos hotéis e cassinos da rede MGM Resorts, dona de marcas famosas em Las Vegas, como o Bellagio. Tratava-se de uma campanha de ransomware, quando dados são capturados e um resgate é solicitado em troca. Máquinas de caça-níqueis e caixas eletrônicos pararam de funcionar, e o site e a plataforma de reservas online da empresa saí­ram do ar. Surpreendentemente, todos esses estragos podem ter sido causados a partir de uma ligação telefônica de 10 minutos.

A técnica utilizada nesse caso foi a engenharia social, na qual invasores manipulam as vítimas a conceder acesso aos sistemas. As investigações mostraram que os atacantes  “quebraram” os sistemas da rede por meio de três etapas simples: primeiro, identificaram um funcionário da empresa no LinkedIn; segundo, ligaram para o help desk; terceiro, se passaram por uma pessoa da área de TI e obtiveram as senhas. “Uma empresa avaliada em bilhões de dólares foi vencida em uma conversa de 10 minutos”, resumiu um perfil no Twitter. O saldo foi amargo: dez dias sem acesso aos computadores e prejuízo estimado em 110 milhões de dólares, para além dos danos reputacionais.

A MGM não está sozinha nesse território de ameaças digitais que começam com uma falha humana. Pesquisas globais mostram que 70% dos ataques acontecem via engenharia social, considerada pelos especialistas o elo mais fraco. O truque é conhecido: uma mensagem no WhatsApp, um SMS, uma ligação fraudulenta. O que muda é a estratégia para enganar quem está do outro lado. “Os invasores têm evoluído muito nessa parte do ataque para serem o mais convincentes possível. A partir do momento em que os invasores têm a posse das credenciais de acesso, eles fazem movimentações internas laterais para conseguir ainda mais acessos”, explica Jose Luiz Santana, head de cibersegurança no C6 Bank. Ele diz que, além do objetivo financeiro, os ataques passaram a visar o ganho em escala, como aconteceu no caso da SolarWinds.

ARSENAL ANTIATAQUE

Para se proteger, o C6 tem times de cibersegurança com funções distintas. Simulando uma batalha contra os golpes, há uma equipe focada na defesa da operação dia a dia e no contato com os  clientes; outra dedicada ao “ataque” das próprias barreiras, com o objetivo de testar os mecanismos de controle interno; e uma terceira voltada para pesquisas de novas ameaças que podem surgir e formas de combatê-las. “A indústria continua evoluindo a passos largos. Não existe ‘bala de prata’ e não falta tecnologia, o ponto nevrálgico é a conscientização”, analisa Santana. Tanto que, para ele, o próximo passo, dentro das empresas, é a integração da cultura de segurança à cultura organizacional, por meio de treinamentos que ensinem os colaboradores a lidar com informações sensíveis desde o primeiro dia de trabalho.

A engenharia social também está no radar da Salesforce, que defende o investimento em conscientização para mitigar os riscos, e chama a atenção para o reforço da parte tecnológica. “A segurança aplicada ao processo de integração de soluções e o legado [sistemas antigos] é fundamental para manter a confiança nos dados ao circularem de uma aplicação para outra. Focando a conformidade e a qualidade de APIs usadas na integração, é necessário definir políticas de governança consistentes e melhores práticas, assim como reforçá-las em toda a estrutura tecnológica”, recomenda Thais de Cássia Cabral Padilha,  vice-presidente de engenharia de soluções na empresa. No combate às ameaças, ela diz que a companhia prioriza a segurança desde o design, desenvolvimento e implementação de seus produtos e serviços, de olho, também, na proteção contra o vazamento de dados. “É importante aplicar criptografia robusta, controle de acesso rigoroso e monitoramento contínuo para detectar e prevenir atividades suspeitas”, completa.

Na visão de Thiago Scalone, Chief Technology Officer na CloudWalk, as principais ameaças na indústria de pagamentos são os ataques que visam a violação de dados, como a exploração de vulnerabilidades em aplicações e o envio de phishing para a introdução de ransomware. Detentora da marca InfinitePay, a CloudWalk lançou, em novembro de 2022, um aplicativo de pagamento por aproximação que transforma o smartphone em maquininha de cartão. Para garantir a segurança dos dados, a empresa afirma empregar mecanismos avançados de criptografia, práticas de segurança em conformidade com as normas do setor, visando proteger a integridade e a confidencialidade das informações, e protocolos de autenticação. O app conta, por exemplo, com um recurso integrado que permite ao usuário inserir a senha do cartão diretamente no aparelho do vendedor, autorizando transações com valores mais altos.

Apesar de todo o arsenal tecnológico e da expansão dessa modalidade de venda, Scalone diz que há um desafio cultural de educar os clientes, que são micros, pequenos e médios empreendedores, em relação à operação que acontece nos “bastidores”. “Assim que uma transação é autenticada no aparelho, toda a operação de backoffice segue os mesmos padrões dos pagamentos realizados nas maquininhas. Temos de comunicar que, além de o smartphone ser mais acessível e prático, transformá-lo em maquininha também é seguro para o cliente e para o empreendedor”, conclui.

Segurança como diferencial competitivo

Os exemplos anteriores apontam para o status mais estratégico da cibersegurança nas empresas e para uma maior influência nas áreas de negócios, seja para reduzir o tempo de lançamento de um produto, por meio de atalhos tecnológicos, seja para inovar com uma funcionalidade para torná-lo mais atraente em uma era com tantas fraudes. “O valor da marca está totalmente ligado à credibilidade e à confiança, que, por sua vez, estão totalmente ligadas à segurança”, opina o head de cibersegurança do C6. Como consequência desse movimento, Santana prevê que o tema estará cada vez mais na agenda do alto escalão das organizações. “Os CEOs e os conselhos vão ter de saber falar sobre cibersegurança”, afirma.

O mercado caminha nessa direção. Em julho deste ano, a SEC — órgão regulador equivalente à CVM nos Estados Unidos — anunciou novos requisitos que aumentam a responsabilidade das companhias listadas nas bolsas de valores locais acerca da comunicação de incidentes cibernéticos e planos de remediação. Por outro lado, a capacitação das lideranças da área precisa avançar para além do conhecimento técnico. Segundo a pesquisa global State of IT, conduzida neste ano pela Salesforce, 67% dos líderes de TI reportam problemas ao balancear os objetivos de negócios com a estratégia de cibersegurança — no Brasil são 58%.

IA para ataque, IA para defesa

Em tempos de inteligência artificial abundante e técnicas poderosas como a deepfake, que usa machine learning para manipular arquivos e criar identidades falsas, a mesma tecnologia utilizada para enganar é aplicada como estratégia de defesa. O C6, por exemplo, usa biometria facial e algoritmos de IA para tratar imagens e detectar inconformidades. Na abertura de contas de novos clientes, a tecnologia também está a serviço da segurança. O banco informa que o processo é quase 100% automatizado e tem nível “muito baixo” de erros ou fraudes. No caso da CloudWalk, a aplicação da tecnologia desempenha um papel crucial para aprimorar a segurança das ferramentas. “O uso de IA em sistemas antifraude evita milhões de dólares em perdas todos os anos”, conta Scalone. Ele explica que o combate é feito por meio de algoritmos avançados para analisar padrões de comportamento, detectar anomalias e identificar transações suspeitas.

No universo de fraudes transacionais, a inteligência artificial também é uma aliada. Para evitar golpes em pagamentos via Pix, modalidade preferida do brasileiro, a Neoway aplica uma combinação de dados e algoritmos de machine learning que identifica zonas de maior incidência de casos, monitora chaves Pix suspeitas e detecta possíveis contas laranjas. “Imagine que uma determinada quantidade de pessoas, da mesma região, da mesma faixa etária, fez o mesmo tipo de transação, com o mesmo valor. Se a primeira transação for identificada como fraude, as outras também podem ser”, analisa Guilherme Mendonça, Chief Partnership Officer na empresa.

---