Para o observador casual, vendo a enxurrada de notícias nos últimos anos, pode parecer que as violações de dados acontecem quase exclusivamente nos varejistas. Certamente houve uma onda desses ataques depois do grande incidente de dezembro de 2013, quando hackers roubaram registros de 70 milhões de clientes da Target. Mas essa não é toda a história.
A nova pesquisa da Trend Micro no diz que apesar do varejo ser a maior vítima de violações de sistemas de cartão de pagamento, em geral, ocorreram mais incidentes durante a década passada nos setores de assistência médica, educação e governo. Precisamos olhar mais de perto para ver o porquê disso, se quisermos ficar melhor em impedir os bandidos.
Insira o RAM scraper
Nossos dois novos relatórios Siga os Dados compilaram informações de 10 anos, recolhidas pela organização sem fins lucrativos Privacy Rights Clearinghouse. É um tesouro de fatos e números inestimáveis que podemos usar para tirar alguns dos padrões e tendências mais importantes do setor. Você pode se surpreender ao saber que apenas 12,5% das violações do período de 2005 a 2015 ocorreram nos varejistas. Bem longe dos 26,9% do setor de assistência médica e os varejistas também estão bem melhores do que a educação (16,8%) e o governo (15,9%). Porém, talvez não seja surpresa, dada a natureza do setor, que o varejo tenha sido responsável pelo maior número de violações de dados de cartão de pagamento (47,8%).
Essa é a tendência histórica que os dados nos dizem. Mas, também nos diz que as divulgações de violações no setor mais do que dobraram entre 2008 e 2010 e portanto permaneceram extremamente altas. Porque isso? Por causa do desenvolvimento dos RAM scrapers de Pontos de Venda em 2007/8. É por isso que “hacking ou malware” foi o tipo mais comum de método de violação durante o período, sendo responsável por 47,6% dos incidentes. Os POS RAM scrapers podem ser lançados remotamente por um hacker sob a capa de anonimato da Internet e usado para roubar dados da tarja magnética de máquinas de PDV infectadas. Se bem-sucedido, o hacker pode então usar esses dados roubados para clonar cartões de crédito ou de débito com a finalidade de cometer fraude de identidade, ou vendê-los na darknet para fraudadores.
É notável que incidentes de hacking e malware tenham mostrado um grande aumento desde 2005, graças ao sucesso do POS RAM scrapers. Mas esse não é todo o quadro. Nossos dados também revelam que a perda de dispositivos móveis (12,5%) e ameaças internas (12,5%) também são métodos bem populares – com esse último também exibindo uma tendência ascendente durante o período, com funcionários instalando fisicamente máquinas de clonagem em lojas para roubar dados de cartões.
Lições aprendidas
Se a violação da Target nos ensinou alguma coisa é que o gasto com medidas proativas em medidas de segurança preventivas sempre tem a probabilidade de ser mais baratas e mais eficazes do que fazer algo depois do ataque. A gigante do varejo admitiu em documentos oficiais separados que gastou $61 milhões de dólares em 2013 e mais $191 milhões de dólares no ano seguinte com as despesas relacionadas à violação, embora alguns dos gastos tenham sido cobertos pelo seguro. Isso sem contar o potencial custo da perda de clientes e o, difícil de quantificar mas igualmente prejudicial, ataque à reputação e valor da marca do varejista. Isso deveria servir de aviso para quaisquer CIOs de grandes varejistas: economize em segurança cibernética e você pode terminar pagando um preço muito mais pesado. No caso da Target, a CIO Beth Jacobs só durou três meses antes de ser foçada a renunciar.
O malware POS RAM scraper pode entregar um número enorme de detalhes de cartão de crédito em um curto espaço de tempo, por isso continua popular entre os hackers. É um problema que mesmo os novos cartões EVM não resolverão. Portanto, os gerentes de varejo devem empregar melhores práticas para aprimorar a segurança, inclusive:
- Firewalls de hardware de múltiplas camadas para proteger a rede
- Sistemas de detecção de violação para descobrir ataques direcionados
- Sistemas de detecção e prevenção de intrusão (IDPSs) para verificar tráfego de entrada e de saída
- Autenticação de duas etapas para os funcionários
- Criptografia ponto a ponto
- Whitelistings para que apenas aplicativos pré-aprovados possam ser executados
- Corrigir/atualizar sistemas regularmente
- Verificação regulares de vulnerabilidades
Clique aqui para ler os dois relatórios da Trend Micro: Siga os Dados: Dissecando as Violações de Dados e Acabando com os Mitos e Siga os Dados: Analisando as Violações por Setor.