Ataques cibernéticos são frequentemente associados a complexos códigos maliciosos, vulnerabilidades, sistemas derrubados e computadores trabalhando em tempo integral para explorar redes e roubar dados, o que, de fato, acontece em muitos casos. Mas existem outras formas de se obter lucros ilegais com ataques digitais, muito mais simples e igualmente efetivas como, por exemplo, ataques de ransomware – famosos pelo recente WannaCry, que afetou máquinas e dezenas de países – e ações de comprometimento de e-mail corporativo, BEC na sigla em inglês, este último dedicado a atingir empresas de diversos portes.
Como toda ação cibercriminosa da atualidade, esta envolve uma boa dose de planejamento, com pesquisas extensas sobre executivos da empresa que os criminosos desejam atingir, bem como seus processos de trabalho, contatos comerciais, fornecedores, clientes, hierarquia e qualquer outra informação que os ajude a delinear uma imagem clara sobre o alvo e suas peculiaridades; em particular, os invasores costumam ter interesse em cargos como contas a pagar, contas a receber e decisores em geral, sobretudo os que têm acesso à parte financeira e executiva. Tais dados são surpreendentemente fáceis de serem obtidos a partir de redes sociais, onde profissionais expõe contatos e dados sem qualquer interesse malicioso, mas que acabam sendo usados para finalidades escusas.
Uma vez em posse dos dados, os criminosos avaliam qual o melhor alvo, e ajustam sua estratégia de acordo com a necessidades. Na maioria dos casos, o ataque envolve enviar um arquivo malicioso para o destinatário que querem atingir, seguindo a linha tradicional do spear phishing, com objetivo de ganhar o controle do e-mail da vítima e, assim, poder se comunicar em nome dela com poucos riscos de detecção. Uma vez dentro da conta, eles investem tempo pesquisando o estilo de escrita, os contatos e o tipo de requisição que é feita pelo alvo, para poder chegar aonde realmente desejam: se passar pelos operadores ou gestores financeiros para autorizar, em nome da empresa, transferências de grandes somas de dinheiro. Em alguns casos, a engenharia social é tão bem-feita e detalhada que os criminosos nem precisam comprometer a segurança de dados da vítima e conseguem extrair centenas de milhões de reais se passando por fornecedores; a eficácia é tanta que empresas líderes em tecnologia já foram vitimadas por este tipo de prática, como Google e Facebook. Como é comum nas ações de invasão atuais, todo o processo é longo e realizado de forma criteriosa e sem atropelos, algumas vezes levando alguns meses para ser concluída, sem que as vítimas percebam o invasor dentro do sistema e sem que sejam detectados por soluções de segurança comuns de mercado.
A alta efetividade, juntamente com a simplicidade do ataque fazem deste um método muito usado no Brasil, com tendências de crescimento para este ano. Como sempre, além de soluções integradas de defesa, uma postura vigilante, consciente e efetiva com relação a segurança de dados é indispensável para a construção de um ambiente seguro para todos.