Os crimes cibernéticos, também chamados de crimes eletrônicos, por meios eletrônicos ou digitais, entre outras denominações, ao contrário do que aponta o senso comum, não é um fenômeno recente, ele surgiu na década de 1970 e cresceu exponencialmente conforme a informatização da sociedade.

Colaboram ainda para a multiplicação dos crimes eletrônicos a circulação monetária em meio digital, os erros de desenvolvimento e concepção dos produtos e aplicações, o uso de técnicas avançadas de engenharia social pelos criminosos aliado à inabilidade de alguns usuários e, principalmente, a monetização da informação que, neste ano de 2020, é um dos principais ativos da nossa sociedade.

Apesar de as técnicas de investigação desses crimes terem avançado, juntamente com a criação e o desenvolvimento das provas digitais e da própria ciência forense computacional, o vácuo legislativo quanto à adequada punição de crimes cibernéticos que, por serem majoritariamente cometidos sem violência física, têm um tratamento leniente, muitas vezes leva a um certo grau de impunidade dos criminosos, sendo que outro fator, que será explorado mais profundamente à frente, é a internacionalização de algumas atividades de cibercriminosos.

Diversas técnicas e falhas são desenvolvidas diariamente. Alguns ataques visam a indivíduos, de forma específica ou em massa, outros visam a empresas, outros objetivam fornecer meios tecnológicos para o cometimento de outros crimes e, por fim, alguns se destinam a governos e ao terrorismo. Aqui, vamos explorar um pouco esses ataques com enfoque corporativo.

Ataques e crimes objetivando funcionários e a alta direção da empresa

Phishing

O phishing ou phishing scam, apesar de descrito desde a década de 1990, ainda é o maior vetor de ataques e fraudes cibernéticas em 2020.

Traduzido livremente como “pescaria” ou “golpe de pescaria”, consiste em uma simulação, na qual a vítima é atraída ou enganada para que, pensando se tratar de um conteúdo legítimo, clique em um link falso, acesse uma página falsa ou execute algum arquivo para que haja furto de dados, ou acesso e elevação de privilégios. É uma técnica de engenharia social.[1]

Um dos vetores mais conhecidos e mais presentes nas fraudes empresariais, ainda em 2020, é o e-mail. Apesar da maciça informação sobre a necessidade de não clicar em links de desconhecidos ou descontextualizados, mesmo com diversas campanhas produzidas nas empresas para que tais condutas sejam evitadas, temos esse canal como uma das maiores fontes de ataques bem-sucedidos no meio corporativo.

Contudo, é importante deixarmos claro que tais ataques acontecem em diversos meios como SMS, comunicadores instantâneos, redes sociais, páginas da web, aplicativos maliciosos, documentos digitais e qualquer outro meio digital que possibilite a execução dessa técnica criminosa.

Spear phishing

Não podemos deixar de destacar essa modalidade de phishing que poderia ser traduzida como “pescaria com lança”, ou seja, que é direcionada, com alvo específico. Isso é o spear phishing, um ataque em que o criminoso mira em um funcionário específico de uma organização, buscando alcançar dados corporativos, instalar malware e obter acesso à infraestrutura de TI da empresa, entre outras possibilidades escusas, podendo ser, ainda, uma ferramenta para alcançar dados e acessos de executivos ou informações que exijam escalação de privilégios.2

Malware

O malware é um software malicioso, podendo ser popularmente chamado de vírus de computador.

Antigamente, tais artefatos geralmente causavam danos aos arquivos da vítima e ao sistema operacional, sendo desenvolvidos quase que em competição, um buscando ser mais destrutivo que o outro, menos detectável ou de potencial de alastramento maior.

Nos dias atuais, os malwares normalmente visam à subtração de informações, ao controle da máquina e da infraestrutura de rede, à disseminação local ou remota, a ser um vetor de ataques e à extorsão por sequestro dos dados ou vazamento de informações, podendo ter um ou mais desses propósitos como funcionalidade e, além desses, podemos listar as seguintes técnicas e objetivos:

? gravação de dados digitados – realizado pelos Keyloggers;
? gravação de informações exibidas nas telas – realizada pelos Screenloggers;
? modificação de dados, como dados de boletos;
? invasão de privacidade, captura de imagens de webcams e de áudio de microfones, muitas vezes com o objetivo de extorquir a vítima posteriormente;
? modificadores de serviços de nomes de domínio;
? destruição de dados;
? sequestro de dados para fins de extorsão;
? captura do tráfego de dados;
? captura de credenciais de acesso a e-mails, redes sociais etc.;
? captura de credenciais de autenticação e validação de serviços bancários;
? captura de credenciais de acesso a serviços corporativos;
? furto de dados corporativos e pessoais;
? realização de fraudes bancárias e comerciais;
? espionagem empresarial, pessoal e governamental;
? furto de criptomoedas, como os Bitcoins;
? instalação de aplicativos de mineração de criptomoedas;
? atos de guerra cibernética;
? invasão de outros dispositivos conectados em uma mesma rede;
? invasão de outros dispositivos conectados em outras redes;
? controle de Botnets;
? controle remoto de máquinas, servidores e dispositivos;
? disseminação do próprio malware.[3]

O malware, para não ser detectado, muitas vezes se utiliza de formas de ocultação, tais como a compressão, a criptografia de código e a mutação. Tais processos têm como objetivo enganar os softwares de proteção da máquina, como o antivírus.

Como fontes de malwares temos as páginas da web comprometidas, a instalação de complementos, os links e anexos de e-mails, programas e arquivos oriundos de violação de propriedade intelectual (por exemplo: softwares “piratas”).

Entretanto, não apenas por ação do usuário é possível a contaminação de uma máquina. Pode ocorrer o simples acesso a uma página legítima que tenha sido comprometida, na qual, por exemplo, o criminoso executa um silencioso código JS[4] diretamente ou pelo uso de outras técnicas.[5]

Outra forma de infecção é a busca ativa, por parte do atacante, de equipamentos que estejam com vulnerabilidades presentes e remotamente detectáveis nos quais, com a exploração dessas vulnerabilidades, ocorre a instalação do malware.

Quando a empresa permite que os colaboradores usem seus próprios dispositivos6 para acessar os recursos corporativos de rede ou de sistemas, cuidados adicionais devem ser tomados, garantindo a integridade do equipamento, gerenciando a segurança do dispositivo e segregando certos acessos desse dispositivo, além de monitorar os acessos que partirem desses dispositivos, entre outras medidas que possam ser aplicáveis conforme o contexto de utilização do equipamento.

Ransomware

O ransomware[7] é um malware utilizado para o sequestro dos dados das vítimas e, atualmente, tem duas formas de atuação, concomitantes ou não.

Na primeira modalidade, é infectada a máquina e os dados do dispositivo são criptografados, sendo gerado um arquivo acessível, geralmente na área de trabalho ou apresentado em um navegador web em que o criminoso pede um resgate – geralmente a ser pago em criptomoedas – prometendo o envio de um código que possibilite que os dados sejam decriptografados, o que muitas vezes não acontece, ainda que seja efetivado o pagamento do “resgate”.

Na segunda modalidade, ocorre o mesmo processo supracitado, porém, o criminoso envia os dados da vítima – e da empresa inteira em algumas oportunidades – para servidores remotos, podendo ou não os criptografar, exigindo o resgate para não revelar informações sigilosas que a empresa possua.

Em ambos os casos, a “negociação” é feita habitualmente por e-mail, sendo que no segundo caso, muitas vezes é o criminoso quem procura a empresa, demonstrando estar de posse dos dados. Os serviços de e-mail escolhidos pelos criminosos são aqueles que não guardam logs[8] de conexão, autenticação ou acesso, dificultando o rastreio dos autores. Atualmente, alguns ransomwares, como o Maze, pedem que a vítima acesse um site da deepweb[9] em que poderá, após pagamento, ser obtida a chave de decriptografia necessária para a recuperação dos dados.

O motivo pelo qual os dados são de difícil recuperação é decorrente das ações do ransomware que, após a infecção, criptografa os dados com chaves criptográficas utilizando algoritmos complexos e, em seguida, ele realiza o apagamento seguro dos dados originais, impossibilitando ou dificultando muito a recuperação desses.

Gostou deste trecho do livro Segurança Digital? Então clique aqui para saber mais!

LEIA TAMBÉM

[1] Mais informações sobre engenharia social podem ser encontradas no Capítulo 7.

[2] Quando o atacante obtém acesso à rede ou a aplicativos de uma empresa e busca obter um nível de acesso diferente, elevando-o com a exploração de vulnerabilidades ou falhas existentes nos serviços de TI, equipamentos e sistemas da empresa.

[3] TUPINAMBÁ, Marcos. Investigação policial de crimes eletrônicos. São Paulo: Acadepol, 2019.

[4] Javascript: linguagem de programação muito utilizada em sites e aplicações na web.

[5] Um bom exemplo de outra técnica muito utilizada é o XSS (cross site scripting).

[6] BYOD: Bring Your Own Device.

[7] ‘Software de sequestro’, em tradução livre.

[8] Registros digitais.

[9] Denominação genérica de uma rede que tem como principal recurso o anonimato, funcionando estruturalmente de forma voluntária e em camadas, o que oculta a verdadeira origem dos dados, geralmente relacionada à rede TOR.