Uma brincadeira famosa na área de segurança da informação diz que um dispositivo, como celulares ou computadores só ficam totalmente seguros trancados em uma sala fechada, desconectados de qualquer tipo de rede e fonte de alimentação. No entanto, por mais que já parecesse impossível cumprir esse “método de segurança” anteriormente, a pandemia de Covid-19 e a decorrente adaptação para o home office por diversas empresas fez com que a situação se tornasse ainda mais complexa: o tráfego intenso na internet agravou o antigo problema dos golpes virtuais.
De acordo com o relatório da empresa Apura Cybersecurity Intelligence, especializada em segurança digital, no ano de 2020 as ameaças de fraudes e golpes virtuais aumentaram em 394% em comparação com 2019. Foram computadas 272 milhões de ameaças como vazamento de CPF, cartões nacionais, cartões internacionais e credenciais de acesso.
Os vazamentos massivos de dados ocorridos entre o final do ano passado e início deste ano impulsionaram um novo aumento de crimes virtuais. Em dezembro, uma falha do Ministério da Saúde expôs os dados tanto dos usuários do Sistema Único de Saúde (SUS), quanto de planos de saúde, atingindo mais de 200 milhões de pessoas. No mês de janeiro, outro vazamento expôs informações sobre os presidentes da República, da Câmara, do Senado e do STF. Ao todo, 220 milhões de brasileiros tiveram suas informações pessoais expostas. O número de vítimas supera a população total do país porque inclui dados de pessoas já falecidas.
Como grandes vazamentos de dados ocorrem
A falta de cuidados com segurança por parte das empresas que armazenam dados é outro motivo por trás desses ataques. “Isso [vazamento de dados] passa muitas vezes pela falta de atualização de um software, falta de incorporação de novas tecnologias, de novos métodos para evitar que esse tipo de situação aconteça”, afirma Tiago Antônio Rizzetti, professor do curso de Tecnologia em Redes de Computadores do Colégio Técnico Industrial de Santa Maria (CTISM).
Entre as tecnologias e métodos utilizados para proteção, estão os sistemas de detecção de intrusão e sistemas de prevenção de intrusão. Tais ferramentas analisam o tráfego da rede em busca de comportamentos anormais e de assinaturas de ataques conhecidos para detectar possíveis incidentes de segurança. Um incidente não é uma invasão. Como o professor explica, o primeiro passo de quem deseja comprometer um sistema é mapeá-lo: “Por si só não é uma invasão, mas demonstra que alguém está olhando para a rede com algum interesse. É um indício de que alguma coisa pior pode acontecer em breve”.
O professor e coordenador do curso de Tecnologia em Rede de Computadores, Walter Priesnitz Filho, aponta outro fator que pode ter sua parcela de contribuição nos casos de vazamentos de dados: a integração de sistemas. A integração consiste em um intercâmbio de informações entre diferentes bancos de dados. Esse processo é considerado o futuro da circulação de dados na internet, devido à agilidade e à praticidade oferecidas.
Para que sistemas diferentes troquem mensagens e dados, é preciso que se estabeleça uma interface de comunicação entre eles. Para que este “diálogo” ocorra, é necessário encontrar um delicado equilíbrio: os sistemas não podem ser extremamente “fechados”, mas, para evitar que alguém “ouça a conversa atrás da porta”, eles não podem ser “abertos” demais. “Integrar sistemas é uma tarefa razoavelmente complicada, porque cada sistema já está funcionando isoladamente e eles precisam passar a funcionar bem de maneira integrada”, explica Walter.
Além da complexidade, as pressões de mercado podem contribuir para possíveis falhas no processo de integração. Os projetos e seus desenvolvedores enfrentam cobranças de tempo, dinheiro e até restrições tecnológicas. “Nem sempre está no melhor ponto para ser disponibilizado, mas por uma restrição de tempo, verba, qualquer outra coisa, às vezes, as soluções são disponibilizadas assim mesmo”, afirma o professor Walter. Mesmo com o benefício da praticidade, elemento cada vez mais exigido dos produtos e serviços digitais, a integração também traz seus riscos.
Outro fator de risco são pessoas que trabalham na organização e vazam os dados de forma deliberada. Uma pesquisa realizada pela Symantec, empresa especializada em softwares de segurança cibernética, aponta que 60% dos vazamentos de dados em grandes empresas têm como origem funcionários prestes a serem demitidos. Um exemplo recente do que Walter classifica como “ameaça interna” foi a manipulação dos registros públicos de Guilherme Boulos (PSOL). O Ministério da Saúde aponta que a manipulação que trocou o nome dos pais de Boulos por ofensas foi realizada por “uma pessoa credenciada”.
Gleisi Hoffmann (PT) e Manuela D’Ávila (PC do B) também tiveram seus cadastros no Sistema Único de Saúde alterados, mas essas falsificações foram atribuídas a ataques hackers ocorridos em 2019.
Engenharia Social e Phishing
Segundo dados da Federação Brasileira de Bancos (Febraban), 70% dos golpes virtuais estão relacionados à engenharia social. Ela consiste em um conjunto de técnicas que visam induzir os usuários a enviar dados confidenciais ou acessar sites mal intencionados. A professora do curso de Tecnologia em Redes de Computadores do CTISM, Marcia Henke, ilustra esse processo: “É através de um e-mail enviado como uma instituição conhecida pelo usuário. O usuário confia no e-mail e preenche um formulário ou acessa um link enviado por este e-mail que redireciona para um site falso”.
Walter explica que o perfil das vítimas pode mudar se ocorrer algum evento significativo. Um exemplo é o pagamento do auxílio emergencial, concedido a pessoas de baixa renda para mitigar os efeitos da pandemia da Covid-19, que colocou pessoas em situação de vulnerabilidade na mira desses golpes. “Pessoas que têm um uma faixa etária um pouco maior geralmente não são tão acostumadas à tecnologia, da mesma forma que os grupos sociais menos favorecidos”, comenta.
A técnica é bastante empregada porque não precisa burlar mecanismos de segurança, já que sua principal arma é a confiança de quem utiliza o dispositivo. “Ainda que se tenha mecanismos de autenticação fortes, o usuário pode ser levado ingenuamente a fornecer informações ou realizar ações que são prejudiciais para ele mesmo”, explica Tiago.
Porém, apenas se identificar como alguma empresa, banco ou conhecido não seria o suficiente para conquistar a confiança das vítimas. Um fator chave para a credibilidade do golpe é o uso de informações pessoais do usuário. Como um pescador que, para capturar um grande peixe, usa peixes menores como isca. Os criminosos usam alguns dados mais acessíveis de suas vítimas para conseguir informações mais sensíveis – como credenciais de acesso, CPF e senhas bancárias.
Mas de onde vem a isca? Marcia Henke alerta que “a avalanche de informações pessoais” registradas nas redes sociais facilita muito o trabalho de montar a isca. Um perfil comum nas redes já revela diversas informações como data de nascimento, cidade natal, cidade atual, nome dos pais, dos filhos, estado civil, local de trabalho/estudo e até gostos pessoais. Todos esses dados se tornam armas poderosas para a criação de golpes convincentes.
Um dos golpes mais convincentes baseados em engenharia social é o phishing. De acordo com o Centro de Estudos e Respostas e Tratamento de Incidentes de Segurança no Brasil (CERT), phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário. O Brasil é o país com o maior número de vítimas de phishing na internet. Segundo o relatório da empresa de segurança da informação Kaspersky, um em cada cinco brasileiros sofreu pelo menos uma tentativa desse ataque no ano passado.
Mesmo que os golpes sejam aplicados de forma individual, seus danos podem se estender ao coletivo através das conexões pessoais e profissionais que possuímos no mundo virtual. Isso é mais comum do que se imagina. De acordo com a professora Marcia, a maioria das invasões a sistemas de informação se dá por meio dos usuários do próprio sistema.Ou seja, os invasores não precisam burlar a segurança de um sistema para ter acesso às suas informações e arquivos, basta obter as credenciais de acesso de alguém conectado a essa rede, entrar despercebido e comprometer a segurança da organização e de seus integrantes.
Se algum perfil de rede social é invadido, por exemplo, não se obtém o acesso apenas àss informações do usuário, mas também das pessoas com as quais ele se relaciona. Os pedidos de dinheiro por WhatsApp são uma forma conhecida de golpe envolvendo redes de contatos. Outra possibilidade é que, a partir do perfil invadido, se estabeleça uma cadeia de sequestros de contas virtuais, sejam outras contas do mesmo usuário ou de seus contatos.
Como se proteger
Desconfie: “Pode parecer exagerado, mas para ser cuidadoso é preciso ficar sempre desconfiado”, destaca Walter. O maior firewall de qualquer usuário é a desconfiança. E ela deve estar sempre ativa, pois as tecnologias que visam filtrar as mensagens fraudulentas podem falhar ou sequer existir. Ao receber alguma mensagem solicitando informações, a primeira coisa a fazer é checar a origem da mensagem.
Se o seu banco mandar um e-mail, desconfie. Normalmente não é assim que os bancos entram em contato. Antes de fazer qualquer coisa, ligue para a agência e confirme a veracidade da requisição. Ao receber a ligação de uma empresa para realizar uma confirmação de dados, desconfie também.
Em situações como essa, uma dica que Walter dá é pedir para que a pessoa que realizou a ligação informe os dados que possui, para confirmar se as informações procedem ou não. Ao menor sinal de suspeita, desligue imediatamente e tente entrar em contato com a empresa por outro meio. Quando chegar uma notificação de algum amigo ou parente próximo pedindo dinheiro por meio de aplicativos de mensagem, mais uma vez, desconfie. Entre em contato por algum outro meio para ter certeza de que a conta não foi clonada.
Atualize: Tiago destaca que isso é válido para qualquer aparelho, de qualquer nível técnico. Um software desatualizado pode comprometer tanto a segurança de seu dispositivo pessoal quanto de servidores pertencentes a grandes empresas. Toda atualização contém correções de falhas detectadas na versão anterior. Quando um aparelho não recebe atualização, ele fica suscetível aos exploits, programas desenvolvidos exclusivamente para explorar as falhas de segurança de determinada versão de um sistema operacional. Por meio de exploits, até pessoas que não possuem grandes conhecimentos sobre programação conseguem comprometer a segurança de sistemas.
Registre: Mesmo quando se tem certeza de que se está lidando com uma situação real, um pouco de cuidado sempre cai bem. Se for necessário enviar um documento para ser digitalizado, uma sugestão de Walter é colocar uma marca d’água sem sobrescrever os dados, para especificar a quem o documento será cedido. A marca d’água não evitará que as informações enviadas sejam vazadas, mas caso isso ocorra, é possível identificar a origem do vazamento. “Sempre faça isso, se é um xerox, se é no papel, pegue uma caneta e escreva: ‘cedido para a empresa tal’ porque aí a gente vai saber, na eventualidade de eles perderem”, enfatiza o professor.
Cuide com onde se conecta: Uma rede de Wi-Fi pública pode ser apenas um chamariz para interceptar os dados de quem se conectar a ela. Se um atacante possuir controle sobre a rede, ele pode direcionar o usuário para certas páginas que visam coletar seus dados. “Se houver a necessidade de se conectar em uma rede pública, desconhecida ou não confiável, uma técnica que garante um pouco mais de segurança é o uso de VPNs”, aconselha Tiago.
A VPN ou Virtual Private Network criptografa a sua conexão e oculta sua identidade. Assim, mesmo que acesse uma rede pública, seus dados estão protegidos. “Ainda que o adversário tenha controle sobre a rede onde você está conectado, ele não vai conseguir extrair informações úteis, dados utilizados em determinados serviços”, explica Tiago.
Use sites seguros: Para que dispositivos se comuniquem, eles precisam possuir o mesmo padrão. A forma escolhida para que esses dispositivos se conectem é chamada de protocolo. A “linguagem” da internet é baseada em dois protocolos: HTTP (Hyper Text Transfer Protocol) e HTTPS (Hyper Text Transfer Protocol Secure).
Sites que utilizam HTTPS codificam a comunicação entre usuário e servidor, o que evita a interceptação das informações inseridas naquela página. Para garantir que as informações estão mesmo protegidas, esse protocolo utiliza certificados digitais. Toda vez que o usuário acessa um serviço pelo seu navegador, o servidor que o hospeda envia um certificado.
“Para ser considerado válido, o certificado tem que ter sido assinado por alguém que o navegador confia, é como se fosse um cartório digital. Então ele vai mostrar um um cadeadinho verde”, explica Tiago.
Quando o certificado não é reconhecido, o navegador emite um alerta de segurança. Se o endereço acessado não possuir o HTTPS, é possível que as informações trocadas entre o dispositivo e servidor sejam interceptadas. “A menos que a pessoa saiba exatamente o que está fazendo, ela não deve continuar”, adverte o professor.
Capriche nas senhas: Usar senhas repetidas é perigoso, porque nem todos os serviços possuem os mesmos recursos e até o mesmo zelo com os dados do usuário. “Ao conseguir a senha de acesso a um serviço com segurança mais fraca, esse intruso passa a ter acesso a outros serviços com uma segurança maior”, diz Tiago.
Além da proteção, usar uma senha específica para cada site também é uma forma de registro. Se a senha particular de um serviço for vazada, é muito mais fácil identificar a origem de um possível vazamento. Mas não basta apenas possuir senhas diferentes, elas precisam ser fortes.
A quantidade e tipos de caracteres usados definem se os invasores descobrirão sua senha instantaneamente ou, literalmente, em alguns anos. Geralmente se indica o uso de 12 caracteres para uma senha segura. Mas de acordo com um infográfico divulgado pela Hive Systems, empresa de segurança cibernética estadunidense, se essa combinação possuir apenas números, ela pode ser descoberta em 25 segundos. Se sua composição possuir letras maiúsculas e minúsculas, o tempo sobe para 300 anos. Agora se os 12 caracteres combinarem letras maiúsculas, minúsculas, números e símbolos, seriam precisos 34 mil anos para que esta senha fosse decifrada. O infográfico retirou estes resultados do site How Secure Is My Password.
Há outros sites com a mesma funcionalidade, mas com metodologias e resultados distintos. A ferramenta da Kaspersky, por exemplo, calcula quanto tempo um computador doméstico levaria para decifrar a senha. Computadores mais poderosos conseguem processar mais possibilidades por segundo e reduzem o tempo de forma significativa. Mas, independentemente do computador, a dificuldade para decodificar uma senha cresce de forma significativa conforme o número e tipos de caracteres.
Tenha cuidado com os sites que prometem checar se seus dados foram expostos: Logo após os vazamentos massivos de dados, surgiram diversos sites que prometiam checar se as informações pessoais de determinados usuários circulavam pela deep web. Para isso, bastava a inserção de alguns dados pessoais para que os sites realizassem as consultas. No entanto, é preciso cautela para que a ajuda não se torne mais uma dor de cabeça. “Todo site onde tem que ser fornecidas informações pessoais para verificar se elas foram vazadas, como senhas, este site pode estar capturando as senhas”, alerta Tiago.
Para descobrir se o serviço é confiável, é preciso ver quem o oferece, além das informações pedidas. “Sempre tem que tomar cuidado quando precisa fornecer alguma informação. É preciso ter certeza para quem se fornece isso”, alerta Walter. Por isso, verifique se o site é mantido por alguma empresa ou organização conhecida na área de segurança virtual. Outro fator para prestar atenção é o tipo e a quantidade de informações exigidas. Se a verificação requer muitos dados pessoais ou algo bastante sensível, ligue o sinal amarelo e não siga em frente.
A segurança da informação é um estado transitório, pois depende de uma série de procedimentos que necessitam de aplicação, repetição e atualização. “Em algum momento, a gente pode garantir que está seguro, mas dizer que aquilo é um estado definitivo é praticamente impossível”, afirma o professor Walter. Para você que não pode aderir à estratégia de segurança total citada no início, essas informações ajudam a se proteger dentro do possível (pelo menos por enquanto).
Expediente
Repórter: Bernardo Salcedo, acadêmico de Jornalismo e bolsista
Ilustradora: Renata Costa, acadêmica de Produção Editorial e bolsista
Mídia Social: Samara Wobeto, acadêmica de Jornalismo e bolsista; Eloíze Moraes e Martina Pozzebon, estagiárias de Jornalismo
Edição de Produção: Esther Klein, acadêmica de Jornalismo e bolsista
Edição Geral: Luciane Treulieb e Maurício Dias, jornalistas
