Phishing é o crime de enganar as pessoas para que compartilhem informações confidenciais como senhas e número de cartões de crédito. Como em uma verdadeira pescaria, há mais de uma maneira fisgar uma vítima, mas uma tática de phishing é a mais comum.
O setor de serviços financeiros é, quase sempre, o destino preferido dos hackers devido à criticidade de suas informações. O Relatório de Riscos de Dados de Serviços Financeiros 2021, conduzido pela Varonis, pioneira em análise e segurança de dados, demonstra que a maior vulnerabilidade desse segmento é a grande quantidade de arquivos críticos abertos na rede, sem controle de acesso e configurações adequadas de segurança.
O estudo foi conduzido com cerca de 56 organizações financeiras de pequeno, médio e grande porte. De acordo com a Febraban, Federação Brasileira de Bancos, instituições financeiras registraram, em 2020, um aumento de 80% de ataques do tipo phishing, termo usado para definir mensagens eletrônicas falsas que visam o roubo de dados financeiros.
O relatório da Varonis mostra que, nas grandes organizações financeiras, 20 milhões de arquivos não têm controle de acesso dos funcionários, ou seja, podem ser acessados por qualquer colaborador.
Esse índice tem crescido ainda mais com o aumento do trabalho remoto, em virtude do home-office adotado por boa parte das empresas desde o início da pandemia.
Portas de Entrada Além das pastas armazenadas no diretório sem a implantação de privilégios de acesso, outro problema revelado são as senhas que nunca expiram, a migração para ambientes em nuvem e o ingresso inseguro aos servidores corporativos por meio de VPNs, redes privadas virtuais construídas sobre uma rede pública de comunicação.
A análise revela que 59% das instituições financeiras têm mais de 500 senhas que não são substituídas. A maneira mais utilizada pelos atacantes para acessar um servidor sem ser detectado é por meio de contas fantasmas, aquelas que estão inativas, porém, não foram desabilitadas.
O estudo descobriu mais de 10.000 ghost users em cerca de 40% dessas empresas. Tais hábitos tornam os funcionários do setor alvos fáceis deste e outros tipos de ataques, como malwares e ransomwares.
As equipes de TI trabalharam mais este ano para tentar bloquear acessos à distância e mitigar riscos de invasão. No entanto, as indústrias financeiras continuam com cerca de 20 mil pastas expostas, sendo que 2% desses arquivos contêm informações confidenciais e pessoalmente identificáveis (PIl).
Sem uma solução de automação de segurança, o departamento de TI dessas organizações, seja ela de qualquer tamanho, levaria até 15 anos para corrigir as entradas manualmente, considerando que nenhuma pasta nova seja adicionada e que não haja paradas.
O combo que une contas de usuário obsoletas, acessos privilegiados com senhas que nunca expiram e pastas sem restrição dá aos hackers uma janela que sempre está aberta, através da qual eles podem roubar dados ou causar interrupções sem serem impedidos.
De acordo com Carlos Rodrigues, vice-presidente da Varonis, muitas empresas, principalmente as menores, consideram não serem relevantes para os criminosos cibernéticos. "Mas essas são as que mais se descuidam e ficam na mira dos ataques, principalmente por raramente utilizarem ferramentas e tecnologias adequadas para proteger os dados", frisa o executivo.
Custos da Invasão
Se apenas um usuário clicar em um e-mail de phishing e produzir uma reação em cadeia, o tempo médio de resolução seria de oito meses, prazo mais que suficiente para prejudicar gravemente a reputação, a receita e a confiança do cliente.
E, quanto mais tempo a resposta a incidentes leva, maior é o prejuízo financeiro decorrente da invasão. O custo médio de uma violação de dados está entre as mais altas de qualquer setor, em 5,85 milhões de dólares. Além dos prejuízos econômicos e de imagem, isso as colocaria em não-conformidade com regulamentos, como a GDPR (Regulamentação Europeia de Proteção de Dados), a LGPD, Lei Geral de Proteção de Dados do Brasil, a Sarbanes-Oxley (SOX) e, ainda, Leis de Privacidade do Consumidor, como é o caso de algumas cidades americanas.
As multas por descumprimento dessas regras são milionárias e podem alcançar 20 milhões de euros para a GDPR e R$ 50 milhões para a LGPD. Em média, 70% de todos os dados confidenciais estão obsoletos. Se esses elementos forem mantidos além de um período de retenção predeterminado, expõem as instituições a riscos desnecessários, além de serem candidatas às sanções previstas pela legislação.
"A indústria financeira melhorou bastante em relação à maturidade de segurança. Contudo, como continuam sendo prioridade no plano de ação dos hackers, os investimentos não são suficientes para mitigar e prevenir esses ataques. É urgente e importante que elas olhem para a automação como aliada nesse processo de conformidade com as novas leis de proteção de dados pessoais", conclui Rodrigues.
Nota DefesaNet:
Spear phishing é um golpe proveniente de e-mail ou comunicação eletrônica, direcionado a um indivíduo, organização ou empresa específicos. Embora tenha a intenção de roubar dados para fins mal-intencionados, os criminosos virtuais também podem tentar instalar malware no computador do usuário.
Funciona assim: chega um e-mail, aparentemente de uma fonte confiável, mas que leva o destinatário desavisado a um site falso repleto de malware. Esses e-mails costumam usar táticas inteligentes para chamar a atenção das vítimas. Por exemplo, o FBI alertou sobre golpes de spear phishing, nos quais os e-mails pareciam ser do National Center for Missing and Exploited Children.
Muitas vezes, hackers e hacktivistas patrocinados pelo governo estão por trás desses ataques. Os criminosos virtuais fazem o mesmo com a intenção de revender dados confidenciais para governos e empresas privadas. Esses criminosos virtuais utilizam abordagens criadas individualmente e técnicas de engenharia social para personalizar mensagens e sites com eficiência. Como consequência, mesmo alvos de alto escalão dentro das organizações, como altos executivos, podem abrir e-mails que acreditavam ser seguros. Esse deslize permite que os criminosos virtuais roubem os dados necessários para atacar suas redes. (fonte: Kaspersky Lab)
