_Cibersegurança

Um megavazamento atrás do outro: como chegamos até aqui?

Em conversa com o Gizmodo Brasil, especialistas em cibersegurança discutem por que o Brasil se tornou tão vulnerável a ataques.

Crédito: Soumil Kumar/Pexels

Estamos no terceiro mês do ano e já tivemos ao menos três grandes vazamentos de dados no Brasil. Os números assustam: foram mais de 223 milhões de vítimas no primeiro (isso é maior que a população do país porque incluiu dados de indivíduos já falecidos), mais de 100 milhões de celulares no segundo, e cartões de crédito de mais de 12 milhões de contas no terceiro. Incidentes como esses não são exclusivos do ano de 2021 e, com certeza, não serão os últimos que veremos.

Mas como o Brasil se tornou tão vulnerável a esses ataques? E o que o governo, as empresas e os próprios indivíduos estão fazendo para se proteger?

Por que os ataques cresceram no Brasil

Embora as discussões sobre cibercrime sejam renovadas de tempos em tempos para abordar diferentes tipos de vírus, a verdade é que eles já circulam em computadores desde o início da década de 90, quando o malware espanhol Barrotes infectava sistemas por meio de disquetes. Os ataques em si não necessariamente são inovadores, mas são os avanços da tecnologia que permitem que eles obtenham um sucesso cada vez maior.

Fábio Assolini, analista sênior de segurança da Kaspersky, explica que um dos fatores que contribuíram para o aumento da atividade criminosa digital foram as criptomoedas.

Um tipo de ataque que hoje está muito forte nas empresas e que causa um impacto disruptivo são os de ransomware, que criptografa dados importantes enquanto o criminoso pede um resgate em dinheiro para liberá-los. Esse ataque já existia, mas o resgate era por transferência bancária internacional. Não dava muito certo porque a polícia rastreava o dinheiro e logo encontrava o criminoso. Com o aparecimento do bitcoin e de outras moedas virtuais, ficou mais fácil receber o pagamento de forma quase 100% anônima.

Aliado a essa facilidade de transações proporcionada pelas criptomoedas, o uso crescente da internet e dispositivos aumentou também o número de potenciais vítimas. Um exemplo claro disso é o que temos visto com a pandemia de Covid-19. As medidas de isolamento social empurraram quase toda a população para o ambiente online. Isso significou mais gente trabalhando de casa, fazendo compras online e utilizando redes sociais, aplicativos e outras plataformas digitais. Estava montado o cenário ideal para os cibercriminosos.

Com a necessidade de se estabelecer o trabalho remoto, por exemplo, muitas empresas tiveram que se adaptar às pressas, sendo que muitas delas não ofereceram a infraestrutura necessária para que os funcionários se protegessem de potenciais ataques. Dados de abril de 2020 da empresa de segurança BitSight mostraram que as redes domésticas são 3,5 vezes mais propensas a terem um malware em comparação com as redes corporativas.

Porém, não foi apenas o trabalho que passou a ser feito de casa. Com lojas e shoppings fechados, além do medo de se expor ao vírus, o e-commerce ganhou novos clientes, assim como os cibercriminosos ganharam novas possibilidades. De acordo com um relatório da Axur, houve um aumento de 99,2% nos casos de phishing de 2019 para 2020, sendo que 41,4% deles foram voltados ao comércio eletrônico.

O crescimento no número de ataques, portanto, pode ser explicado por essa combinação de fatores, que ofereceu mais oportunidades e menos riscos aos criminosos. Fábio Ramos, CEO da Axur, afirma que isso soa um alerta para o futuro da cibersegurança. “Se o criminoso começar a entender que, com o crime digital, ele não precisa correr da polícia, pular o muro, e que o retorno é muito mais alto que explodir um caixa, a gente vai ver esse número [de ataques] crescer exponencialmente nos próximos anos.”

De fato, uma pesquisa da Cybercrime Magazine revelou que os custos do cibercrime no mundo devem atingir US$ 10,5 trilhões anualmente até 2025. Para colocar isso em perspectiva, se fosse considerado um país, o cibercrime seria a terceira maior economia do mundo, atrás apenas dos Estados Unidos e China. Mas esse crescimento exponencial não significa que os ataques estão se tornando mais sofisticados necessariamente, conforme explica Ramos. Pelo contrário:

O que a gente observou em nosso relatório é que os casos de malware, que é um programa espião e é mais sofisticado, estão caindo no Brasil, trimestre após trimestre. A explicação para isso é que está tão fácil roubar as pessoas nas redes sociais, mandando e-mail, SMS, que o criminoso não precisa nem gastar tanto tempo fazendo um malware.

De fato, os golpes envolvendo engenharia social tornaram-se cada vez mais comuns e se aproveitam de datas e situações oportunas para atingir o maior número de pessoas possível. Vimos isso ocorrer com as ofertas de álcool gel no início da pandemia, com as fraudes no período da Black Friday anualmente e, mais recentemente, com a estreia do Pix no Brasil.

Um dos principais problemas desse tipo de golpe é que ele depende quase que exclusivamente do fator humano. Cabe à vítima saber identificar as tentativas de fraude e avaliar os riscos e benefícios de determinadas ações. A má notícia é que uma pesquisa realizada pela Kaspersky revelou que 80% dos brasileiros aceitariam expor seus dados pessoais em troca de benefícios. Essas recompensas incluem descontos (70%), experiências exclusivas (65%) e até mesmo encontrar amigos de longa data (80%).

Existe solução?

É difícil apontar um único responsável pelo aumento no número de ataques cibernéticos. Porém, cada um é capaz de fazer a sua parte para evitar incidentes futuros, seja o governo, as empresas ou os próprios indivíduos. Assolini, da Kaspersky, garante que já existem tecnologias oferecidas no mercado capazes de bloquear esses ataques. O problema é o quão conscientes e dispostos em investir em segurança estão as pessoas e as instituições.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) ainda é extremamente recente e conta com uma agência reguladora, a Autoridade Nacional de Proteção de Dados (ANPD), que só poderá começar a multar a partir de agosto deste ano. Uma das regras estabelecidas pela nova legislação é que as empresas informem aos órgãos fiscalizadores e à imprensa sobre qualquer incidente de segurança. No entanto, os vazamentos recentes mostram como isso ainda não está sendo colocado em prática, já que, até o momento, o que impera é uma falta de transparência e investigações não concluídas. Assolini afirma que é imprescindível que a lei seja aplicada de forma severa para que as empresas comecem a levar a cibersegurança a sério:

No Brasil, a lei foi aprovada, mas ainda não entrou em vigor. Qual é a reação da maioria das empresas? Houve o incidente, mas elas juram de pé junto que não houve nada. E aqui nós temos um fator ainda pior: boa parte dos incidentes de vazamento de dados são provenientes do governo. E aí? Você vai botar o governo para multar o governo? É uma situação complicada. Há muitos anos eu ouço que em Uruguaiana, no Rio de Janeiro, ou na Santa Ifigênia, em São Paulo, você vai lá e compra um CD com dados da Receita Federal, da empresa de telefonia. Isso circula há muito tempo e só vai mudar quando houver uma penalização dos responsáveis.

O analista da Kaspersky ainda afirma que os órgãos são “bombeiros”, pois “só vão agir depois que o fogo começou”. Ele alerta que essa abordagem é extremamente prejudicial, principalmente no caso de vazamentos. “O dado vazado é como a pena que você solta de cima de uma montanha; já era, está solto, não tem como você recuperá-lo. Isso vai ficar circulando na mão de fraudadores por anos.”

Fábio Ramos, da Axur, concorda que a LGPD pode ser crucial para mudar a cultura digital do Brasil, e também reforça que tudo vai depender de como a lei será aplicada. “Se forem punições exemplares, eu acho que tem um poder de mudar o mercado, e isso, para as próximas gerações, é importantíssimo. Se não for assim, nós vamos continuar vendo coisas como o Ministério da Saúde expondo dados, e ninguém dizendo nada; as empresas que têm vazamentos fazem pronunciamentos superficiais, sem dizer o que aconteceu de verdade, e nem comunicam os consumidores.”

Já a nível individual, Assolini e Ramos citam uma série de medidas que podem contribuir para a segurança no ambiente digital. Para o analista da Kaspersky, não existe uma proteção que garanta 100% que os dados nunca serão vazados, mas as pessoas podem adotar algumas boas práticas. A primeira delas é evitar compartilhar informações desnecessárias.

Se você se cadastrar em um site que não envolve dinheiro, não há compra ou venda, minta. Para que eles precisam saber o seu endereço? Para que eu preciso dar o meu CPF na farmácia se eu só quero comprar um remédio? Eles oferecem desconto, mas vão registrar todas as compras que você fez, quais doenças você tem e vão vender esses dados para um plano de saúde. O brasileiro precisa começar a se questionar mais. Para que se expor tanto em redes sociais?

Ramos, da Axur, conta que um problema antigo e que ainda causa muitas dores de cabeça são as senhas. Por incrível que pareça, a sequência “123456” continua sendo campeã de vazamentos, segundo o relatório da empresa. “Senha é algo totalmente contraintuitivo, o ser humano não foi feito para memorizar senhas e combinações”, conta ele. Por isso, a recomendação para o usuário é utilizar softwares gerenciadores de senhas, enquanto que as empresas também poderiam facilitar esse processo por meio de outras tecnologias de autenticação.

 

De acordo com Assolini, os ataques mais simples, como o golpe do WhatsApp, acontecem porque as pessoas ainda não estão bem informadas. “Nós deveríamos ter disciplinas na escola para ensinar as pessoas a lidar com o mundo digital. Infelizmente, a maioria da população brasileira não teve isso.”

Ramos concorda que a educação é a chave para combater esses tipos de ataques, mas ressalta que os resultados podem não ser imediatos:

A única forma de proteger alguém é ensinando a pessoa a se defender, mais do que tentando prever os ataques. Mas a educação é uma meta de longo prazo, é uma coisa que acredito até ser meio que geracional. A gente vai ter que ensinar os nossos filhos. Assim como os nossos avós nos disseram para não aceitar bala de estranho, talvez a gente vá dizer para os nossos filhos não clicarem em link de estranho.

Sair da versão mobile