Em 2018, o Estado avançou significativamente no intento de garantir a proteção e liberdade digital aos cidadãos brasileiros com a criação da Lei 13.709, a LGPD. Abordada com frequência por operadores do Direito Digital, a Lei Geral de Proteção de Dados nasceu com a esperança de regulamentar o acesso e garantir eficientemente a segurança de informações relacionadas a pessoas físicas e jurídicas. Há, no entanto, defasagem considerável no que diz respeito ao conhecimento geral da população sobre os tipos de violações às quais empresas de diversas categorias podem estar sujeitas virtualmente. Desse modo, o intuito deste artigo é contribuir para a disseminação de informações a respeito dos ataques cibernéticos dos quais empresas são vítimas com maior frequência; das falhas na segurança de informações; das consequências de referido cenário e, finalmente, de como protegerem-se perante o mesmo.
Exemplos comuns de ataques cibernéticos nas empresas
Existem ataques que seguem um padrão direcionado para a violação de dados específicos. Neste artigo serão intrinsecamente dissecados dois principais golpes, os quais têm potencial para causar prejuízos milionários a empresários. Desta forma, serão apresentados os crimes de “Phishing”, bem como sua subcategoria “Spear phishing”, e o crime de “Rasonware”.
Phishing
O golpe conhecido como Phishing é um dos ataques mais cometidos mundialmente, sendo o Brasil palco de uma quantidade considerável do mesmo. Este cibercrime remete à expressão em inglês “fishing” que significa “pesca”, no qual os criminosos têm exatamente a intenção de fisgar a vítima através de e-mails ou mensagens por WhatsApp e SMS para que forneçam dados sigilosos, de grande valor, sem que percebam. Desse modo, a vítima poderá fornecer dados de contas bancárias, senhas pessoais e informações importantes a respeito de sua própria identidade. O padrão é que os praticantes desta infração ataquem via e-mail simulando ser, por exemplo, um serviço de streaming entrando em contato com seu consumidor. Feito isso, pode-se visualizar uma mensagem de uma falsa Netflix informando que o pagamento do cliente não foi realizado, induzindo-o a fornecer seus dados de pagamento.
Spear Phishing
O Spear Phishing tem corporações como alvo específico e dessa forma não é direcionado ao público geral como o Phishing, sendo assim uma subcategoria do mesmo. Neste delito, o criminoso finge ser uma pessoa confiável da vítima, como o chefe de um funcionário por exemplo. Assim, é comum que o autor do golpe envie e-mails pedindo favores financeiros em prol de uma dinâmica fictícia relativa à empresa (como o fechamento de um negócio), que requeira transferências econômicas de alto valor. Dessa maneira, as vítimas se encontram principalmente no setor financeiro
Em empresas, o delito supramencionado tem como objetivo principal a obtenção de elementos relacionados à estratégia interna a respeito de negócios, futuras decisões e dados de clientes, para possivelmente vendê-los a outras pessoas e organizações. Nos termos legais observa-se que o criminoso poderá ser imputado no caso da prática de tal conduta nos moldes da lei 9.279/96 referente à regulamentação da propriedade industrial em seu artigo 189, o qual versa:
Art. 189. Comete crime contra registro de marca quem: I – reproduz, sem autorização do titular, no todo ou em parte, marca registrada, ou imita-a de modo que possa induzir confusão; ou II – altera marca registrada de outrem já aposta em produto colocado no mercado. Pena – detenção, de 3 (três) mesesa 1 (um)ano, ou multa.
No entanto, as consequências que o ataque trará tanto para a dinâmica interna da empresa quanto à sua reputação na esfera externa podem ser muitas vezes irreparáveis.
Cabe ressaltar ainda que os pedidos podem ocorrer também via chamadas de voz manipuladas, tamanho o avanço tecnológico hodiernamente. Nota-se que para a concretização desse crime é imprescindível um estudo atento do criminoso a respeito das pessoas e dos cargos que integram a companhia, e esta investigação pode durar dias ou semanas. O processo é conhecido como Business Email Compromise, sendo o e-mail utilizado pelo autor do golpe extremamente parecido com o endereço real do chefe ou CEO.
Ransomware
O Ransomware, por sua vez, vem do termo em inglês “Ransom War” – expressão que traz em seu significado a ideia de guerra de resgate. Nesse sentido, os criminosos sequestram sistemas de computadores (via links ou arquivos maliciosos) de pessoas físicas ou jurídicas utilizando-se de uma criptografia específica para mantê-los nesta espécie de cativeiro digital. Como a criptografia é utilizada para que apenas quem emitiu a mensagem e quem a recebeu saibam de seu conteúdo, no Ransomware, ela funciona tornando todos os arquivos do sistema ininteligíveis, sendo somente possível para o hacker decifrá- los. Em ambas as
hipóteses, os sequestradores de dados exigem uma alta quantia de dinheiro para que seja feito o “resgate” desses dados através da chave para descriptografá-los
De acordo com um estudo realizado pela Sonicwall, empresa fabricante de soluções quanto à segurança digital, o Brasil se encontra em quarto lugar no ranking de países que mais são
vítimas de Ransomware ao redor do globo, vide gráfico abaixo:
O CEO da SonicWall, Bob Van Kirk, explica:
“Enquanto as organizações enfrentam um volume cada vez maior de obstáculos do mundo
real, com pressões macroeconômicas e conflitos geopolíticos duradouros, os agentes de
ameaças estão mudando suas estratégias de ataque em um ritmo alarmante”.
Recentemente, uma das maiores lojas do Brasil foi vítima de um ataque Ransomware: as
lojas Renner. No dia 19 de Agosto de 2021, a marca teve que tirar do ar seu site devido à
invasão de hackers que criptografaram o banco de dados e supostamente, via fontes extra
oficiais, exigiram um resgate milionário em criptomoedas da empresa. A Renner negou ter
feito qualquer tipo de negociação com os criminosos; no entanto, é importante notar que o
resgate foi feito em 48h graças ao auxílio de profissionais especializados em segurança da
informação, e a empresa garante que nenhum cliente foi prejudicado. Para evitar fraudes
futuras, a loja recorreu ao sistema de backup de dados, porém ressalta que este deve ser
monitorado periodicamente para que tenha plena eficácia.
Segurança das informações e suas falhas
A segurança de informações e dados de uma empresa necessita de cuidados específicos para sua preservação, devido à sua fragilidade. A subestimação dos ataques frequentemente gera a obtenção de sistemas de proteção cuja qualidade não é suficiente ou efetiva para a prevenção e proteção contra as violações. Ao aderir a sistemas de segurança fracos, ou simplesmente ignorar sua necessidade, as chances para ocorrer uma infração aumentam consideravelmente. Da mesma maneira, outro fator contribuinte para a precariedade da segurança é justamente a carência de informações da população geral a respeito dos perigos do ambiente cibernético.
O descuido com relação a quais sites acessar, quais e-mails responder e como se comportar de maneira geral na internet, torna os funcionários desatentos presas fáceis para os autores de golpes no roubo de dados das empresas. Outras situações que corroboram para a rápida disseminação desses ataques pode ser o recebimento de uma mensagem predadora, já antes mencionada, porém contendo um link que induz a vítima a preencher uma espécie de formulário, expondo dessa forma suas informações aos criminosos. A divulgação de ofertas e promoções inexistentes que as direcionam a sites fraudulentos também classificam um forte atrativo, e um eficiente modo de concretizar o crime.
Consequências
Isto posto, cabe apresentar as consequências que derivam das circunstâncias supramencionadas. A princípio nota-se a instabilidade social causada por fraudes utilizadoras do nome empresarial, fato que aumentará incontestavelmente a desvalorização daquela empresa, afinal uma corporação que tem seu nome vinculado a um ataque hacker provoca insegurança no público geral.
Além disso, é crucial sinalizar o prejuízo financeiro que advém tanto dos ataques em
si, como da recuperação necessária após os mesmos. Tanto no caso da usurpação financeira através do Phishing quanto nos gastos destinados ao resgate de software devido ao Ransomware, há uma profunda desestabilização econômica na empresa. Resultados comuns são interrupções de
negociações e perda de contratos, a título de exemplo. Não obstante, destaca-se a imperiosidade dos investimentos subsequentes em segurança digital que se farão indispensáveis para o bem estar vital da companhia.
Conclusão
A partir do exposto, a conclusão deste artigo exibirá um conjunto de medidas estratégicas e protetivas que empresas poderão realizar a fim de preservar suas informações no âmbito cibernético. Inicialmente, deve-se começar pelo investimento no setor de compliance digital, o qual consiste no controle de proteção e identificação de riscos futuros através de protocolos de segurança, isto é, diretrizes para o bom funcionamento da empresa em consonância com a LGPD para que seja evitada qualquer tipo de fraude.
Assim, parte do compliance digital consiste no treinamento de equipe, que equivale à difusão de educação sobre segurança digital a todos os funcionários. Dessa forma, orientações a respeito da criteriosa análise de endereços de e-mail e URL serão de grande efetividade, bem como a implementação de AMF (Autenticação multi – fator) – um mecanismo de log-on que identifica e prova a autenticidade de contas e usuários para que posteriormente possam ingressar no sistema da companhia. Vale ressaltar ainda a importância de instruir os funcionários a desconfiar do modo de aproximação do predador, se ele está pressionando para que faça alguma transação rapidamente, por exemplo. A proposição de simulados dos ataques abordados para que todos saibam identificá-los e agir conforme o instruído também é de suma importância.
Referências Bibliográficas
BRASIL. Lei n° 9. 279, 14 de Maio de 1996. Regula direitos e obrigações relativos à propriedade industrial. Disponível em: Acesso em 20 Abr. 2023
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm Acesso em: 30 Mar. 2023.
ClearSale. Tipos de phishing: veja como sua empresa pode estar vulnerável. Blogbr.clear.sale, 2022. Disponível em: https://blog br.clear.sale/tipos-de-phishing . Acesso em 21 de Maio de 2023.
RIBEIRO, Giovanna Saturnino. LGPD e a Segurança da Informação em Empresas: Aspectos Jurídicos da Prevenção dos Ataques de Ransomware. dspace.mackenzie.br, 2022. Disponível em: https://dspace.mackenzie.br/handle/10899/32161. Acesso em 21 de Maio de 2023.
LOPES, André. Após ataque hacker, Renner nega que pagou US$ 20 milhões aos criminosos. exame.com, 2021. Disponível em: . Acesso em 21 de Maio de 2023.
FIA. Compliance Digital e a LGPD: a importância para organizações. fia.com.br, 2021. Disponível em: . Acesso em 21 de Maio de 2023.
Prolinx. 7 Principais Tipos De Ataques Cibernéticos A Empresas E Como Prevenir. prolinx.com.br, 2021. Disponível em: https://prolinx.com.br/tipos-de-ataques-ciberneticos/. Acesso em 21 de Maio de 2023.
SANTOS, Mauricio Rodrigues Pereira dos. A responsabilidade empresarial e tipificação do phishing na jurisdição brasileira. naeducação.com.br, 2022. Disponível em: https://repositorio.animaeducacao.com.br/handle/ANIMA/28450. Acesso em 21 de Maio de 2023.
REZENDE, Giulia Gabriele. O phishing e a responsabilidade empresarial: aspectos sobre as medidas protetivas do empresário face ao prejuízo de seus usuários. repositorio.ufu.br, 2022. Disponível em: https://repositorio.ufu.br/handle/123456789/34807. Acesso em 21 de Maio de 2023.
PAGIM ZEQUIM, E.; FRANCISCO RIBEIRO, D. O Papel da Inteligência Artificial na Segurança Cibernética: o uso de sistemas inteligentes em benefício da segurança dos dados das empresas. tectq.edu.br, 2022. Disponível em: https://revista.fatectq.edu.br/interfacetecnologica/article/view/1358. Acesso em 21 de Maio de 2023.
PETRY, Guilherme. Como a Renner reestabeleceu seus sistemas após infecção por ransomware. thehack.com.br, 2021. Disponível em: https://thehack.com.br/como-a-renner-reestabeleceu-seus-sistemas-apos-infeccao-por-ransomware/. Acesso em 21 de Maio de 2023.
Redação. Brasil sofreu mais de 33 milhões de tentativas de ransomware em 2021. tiinside, 2022. Disponível em: https://tiinside.com.br/18/02/2022/brasil-sofreu-mais-de-33-milhoes-de-tentativas-de-ransomware-em-2021/. Acesso em 21 de Maio de 2023.
Da Redação. Brasil já é o quarto maior alvo de ransomware do mundo. cisoadvisor.com.br, 2023. Disponível em: https://www.cisoadvisor.com.br/brasil-ja-e-o-quarto-maior-alvo-de-ransomware-do-mundo-diz-estudo/. Acesso em 21 de Maio de 2023.
Business Email Compromise. fbi.gov. Disponível em: https://www.fbi.gov/how-we-can-help-you/safety-resources/scams-and-safety/commonscams-and-crimes/business-email-compromise. Acesso em 21 de Maio de 2023.
RIBEIRO, Lucas. DHL, Microsoft e LinkedIn são as empresas mais usadas pelos hackers em golpes de phishing. tudocelular.com, 2022. Disponível em: https://www.tudocelular.com/seguranca/noticias/n197396/empresas-mais-usadas-golpes-phishing-3o-trimestre.html. Acesso em 21 de Maio de 2023.
G., Ariane. O que é phishing e como se proteger de golpes na internet. hostinger.com.br, 2023. Disponível em: www.hostinger.com.br/tutoriais/o-que-e-phishing-e-como-se-proteger-de-golpes-na-internet. Acesso em 21 de Maio de 2023.
ZEFERINO, Denis. O que é Segurança da Informação e qual sua importância?. certifiquei.com.br, 2021. Disponível em: https://www.certifiquei.com.br/seguranca-informacao/. Acesso em 21 de Maio de 2023.