0
0
Relatório trimestral de Atividade Criminosa Online da Axur traz o Brasil como campeão mundial em golpes cibernéticos como exposições de cartão de crédito e débito
Por Jackeline Carvalho
O crescente número de de ataques cibernéticos entre julho e setembro de 2020 revelam que a segurança digital ainda é um grande desafio mesmo após a entrada em vigor da LGPD. De acordo com dados do relatório Atividade Criminosa Online no Brasil divulgados pela Axur, empresa líder em monitoramento e reação a riscos digitais na internet, o que chamou mais atenção é que o Brasil segue como o campeão mundial no número total de vazamentos de cartões identificados – possuindo 72,4% do total mundial – e o volume total desses vazamentos no mundo teve um aumento de 90,4%.
O novo relatório traz todas as atualizações do cenário brasileiro de phishing, malware, vazamento de dados, pirataria, usos de marca e outros perigos digitais. Sabendo da importância das ações baseadas em dados os especialistas da Axur mostram todos os dados, gráficos e novidades para que possa ser aprimorado ainda mais a gestão de riscos dentro das empresas.
Entrevistamos Fábio Ramos, CEO da Axur, para entender o que levou o país à marca de 289,1 milhões de credenciais expostas no terceiro trimestre de 2020 – sendo 17,36 milhões de credenciais são de domínios corporativos -.
O relatório também aponta que houve um aumento de 90,4% no vazamento de dados de cartões de crédito e de débito, sendo 986.063 cartões de crédito e débito com dados completos identificados pela Axur, expostos da web superficial à deep e dark web e distribuídos entre 61.104 BINs (Bank Identification Number, os seis primeiros dígitos identificados da origem e da instituição do cartão) distintas. Destes, 96,9% (956.201 cartões) estavam dentro da data de validade no momento da detecção.
Acompanhe a entrevista.
Considerando a questão da segurança cibernética, intensificada pelo crescimento rápido da transformação digita, o que mais te surpreendeu nesse estudo feito pela Axur?
Fabio Ramos: Este é um assunto que vem crescendo bem acima da média nos últimos quatro anos. E, com a pandemia, a gente não esperava que, além das grandes empresas, os ataques fossem direcionados para empresas médias e pequenas. O afastamento das pessoas abriu uma lacuna para os crimes de fraudes.
“Os criminosos utilizam as marcas, as empresas, como isca para atingir os consumidores”
O objetivo principal continua sendo financeiro, diretamente, ou há a tendência de sequestro de dados, para que os cibercriminosos tenha ganhos indiretos?
FR: Normalmente, aqui no Brasil a gente tem um perfil um pouco diferente do restante do mundo. Quando se fala em sequestro de dados, os sequestradores ainda estão concentrados em grandes empresas, que são onde eles conseguem ter um maior retorno financeiro, pela importância dos dados e pela capacidade que elas têm de pagar o resgate, além do risco legal de ter os dados expostos, o que gera um impacto bem maior. Agora, quando a gente vai para a base da pirâmide, onde o volume de dados é maior, o foco são os consumidores. Os criminosos utilizam as marcas, as empresas, como isca para atingir os consumidores. Aí são golpes bem menores, de mil ou dois mil reais, mas no volume eles geram uma receita que pode chegar a duzentos ou trezentos mil reais por semana, por criminoso.
Como você disse, não é novidade que o Brasil seja alvo do cibercrime. Mas você acha que estes ataques estão tendo mais sucesso agora, já que há um público grande que passou a suar os sistemas digitais por conta da pandemia?
FR: Sim, sem dúvida. Falando com os clientes, a gente percebe que o número de novos entrantes em termos de consumidores aumentou absurdamente. E essas pessoas são as que estão na mira dos criminosos, porque são alvos menos preparados para verificar se um site é verdadeiro ou falso. Então não tenho dúvida de que este movimento de distanciamento das pessoas e suas empresas gerou um aumento exponencial no número de fraudes e crimes, e a tendência é de não retornar para o parâmetro antigo, porque se acelerou um processo que já estava em crescimento no mundo digital.
Vocês identificam alternativas para empresas e usuários diminuírem este impacto?
FR: A alternativa principal, que a gente vem falando há muito tempo, é a educação, que te dá essa capacidade de tomar a melhor decisão e é a melhor maneira de empoderar o consumidor. Mas a gente acredita que este conhecimento para discernir o que é certo ou errado, o que é fraude ou não, pode ser algo que leve gerações para se tornar uma cultura. Então, vemos que a imprensa faz um trabalho excelente de divulgação para a educação das pessoas. Os bancos também estão começando a investir mais, mas realmente é uma questão das pessoas entenderem quais são os riscos e serem um pouco menos crédulas, porque o ataque confia muito na engenharia social para enganar as pessoas, e elas ainda são muito facilmente enganadas.
Fábio, você acha que isto também esteja relacionado ao comportamento das empresas? Pergunto por que até um certo tempo atrás, as organizações demoravam ou não queriam reconhecer que tinham sido vítimas de ataque, e até hoje algumas delas não assumem publicamente esta vulnerabilidade e optam por empurrar este ônus para o consumidor. Isto tem a ver com a nossa cultura ou é um comportamento global?
FR: Eu tendo a achar que, falando de vazamento de dados mais especificamente, que está no contexto da LGPD, realmente a nossa cultura é de negação. Aqui no Brasil o pessoal tende a ser mais resistente a assumir o vazamento do que nos Estados Unidos, por exemplo. Eu já recebi e-mails de empresas grandes internacionais dizendo que tiveram dados vazados e que iriam fazer de tudo para me manter informado. Aqui no Brasil acontece o contrário, a gente fica sabendo pela imprensa que vazou, e a empresa que sofreu o vazamento apenas pública uma nota muito vaga, dizendo que estão investigando, mas não assumem nada. Acho que isto tende a mudar um pouco agora com a Lei Geral de Proteção de Dados, que deposita uma responsabilidade muito grande nas empresas, e o consumidor vai começar a prestar mais atenção nisso e repercutir mais o não cuidado com a informação que as empresas podem ter. Vamos falar que nos próximos cinco ou 10 anos, as pessoas irão escolher as empresas com base no cuidado relacionado à informação. A gente está vendo isso agora com a situação do WhatsApp e do Facebook. Com o volume de gente incomodada, o WhatsApp até mudou a política, e isso é um assunto que a gente não falaria anos atrás, agora está todo mundo falando, algo que é bem importante para a evolução da sociedade.
No relatório, vocês pontuaram três questões importantes: o phishing, o vazamento de credenciais e o vazamento de cartões de crédito. São estes os maiores riscos que a gente corre hoje?
FR: Não são os maiores, mas como o escopo da Axur é monitorar a internet, a gente busca a categoria de risco que chamamos “da porta pra fora”, que estão acontecendo na internet. Tem outros riscos que são mais ligados a intrusão de sistemas, de computadores, que não são cobertos nesse relatório, a gente fica nesse escopo fora do perímetro. Dentro desse escopo, sim. A gente considera o phishing como uma engenharia social que engana as pessoas para roubar informações; a exposição de credenciais, que é basicamente uma chave do seu cofre; e os cartões de crédito, porque são dados que dão acesso à infinidade financeira, à propriedade das pessoas.
Quando você menciona esses itens me chama atenção para dois fatos que também aconteceram em paralelo ao longo de 2020 e agora no começo de 2021, que são o lançamento do PIX, e aí você menciona a questão da credencial, porque a gente usa as chaves que são as credenciais para pagamentos; e o aumento dos pagamentos por aproximação, que tem relação com os cartões de crédito. Você acredita que tanto o consumidor quanto o lojista estejam mais expostos por causa destes dois movimentos em crescimento?
FR: Sim e não. Toda tecnologia no primeiro círculo é mais vulnerável porque a gente ainda não conhece quais são os vetores de ataque que o criminoso vai usar, e o negócio sempre porta esta evolução. O PIX é uma evolução nos meios de pagamento, é mais rápido, com uma arquitetura mais confiável, e mais barato. Agora a gente começa a ver que os criminosos estão encontrando meios de integrar o PIX nos golpes que eles já aplicavam antes. Os pagamentos não eram tão rápidos antigamente, e agora eles são. A mesma coisa para os meios de pagamento por aproximação. É uma melhoria, no ponto de vista de que você não precisa entregar o cartão para alguém, o que era uma vulnerabilidade, porque ele poderia colocar em outra máquina ou clonar o cartão, o que não acontece usando o seu celular, mas surgem outros riscos. Porém, entendo que como a gente tem muitas pessoas tentando aprimorar esses mecanismos de pagamento, eventualmente vamos encontrar umas coisas no caminho mas sempre em uma direção de tornar a experiência do consumidor o mais fluida possível e com um nível de segurança maior, nunca retroceder em termos de segurança.
“A indústria que mais vai se beneficiar da inteligência artificial ao longo dessa década será a indústria de cibersegurança”
E para o negócio na Axur, o que esse relatório traz de lição? Muda alguma coisa na estratégia de vocês?
FR: Muda um pouco a atenção que a gente eventualmente colocava só em empresas muito grandes – porque a nossa base de clientes é composta normalmente por empresas que faturam mais de um bilhão de reais – para empresas de médio porte, que também têm o problema e precisam de apoio. Não só para nós, mas para a indústria de uma forma geral, as empresas precisam pensar em como democratizar o acesso à proteção, que antes era um privilégio de organizações muito grandes, para empresas de qualquer porte, porque em algum momento no futuro isso vai chegar à pessoa física e vamos precisar deste tipo de monitoramento e proteção. E também a questão da velocidade no avanço tecnológico, que não nos afetou diretamente, na indústria de segurança de forma geral, mas hoje falta mão de obra. Isso gerou um apagão de mão de obra de segurança, e muitas empresas não tinham recursos para executar os seus projetos de forma segura. Então este é um ponto que também mostrou que o Brasil e o mundo têm um déficit muito grande para acionar a segurança.
Há uma receita para reduzir esse déficit?
FR: Eu acredito que a segurança seja um trabalho de detectar e analisar sinais e reagir para bloquear sistemas, e isso precisa ser feito de forma automática. A melhor forma de fazer isso com o que se tem à disposição é a utilizando a indigência artificial. Então eu acredito que a indústria que mais vai se beneficiar da inteligência artificial ao longo dessa década será a indústria de cibersegurança.
FONTE: IP NEWS