Você tem antivírus instalado em seu smartphone? Foi com essa pergunta que Thiago Lahr, perito forense de computadores do Computer Security Incident Response Team (CSIRT) da IBM Brasil, iniciou sua apresentação no Inovação em Debate, realizado ontem (4/11) na sede da Big Blue em São Paulo. E a resposta já era esperada: a maioria relatou que não, um prato cheio para cibercriminosos que buscam vítimas vulneráveis no quesito segurança para iniciar seus ataques.
Segundo o executivo, cada vez mais os criminosos virtuais sofisticam seus ataques, mirando alvos específicos para roubar dados bancários, logins e senhas de serviços diversos e outras informações valiosas. “A modalidade Spear Phishing, que consiste no phishing somado à engenharia social, tem crescido”, assinala.
No Spear Phishing, o atacante é altamente profissional, usando dados de redes sociais e outras fontes confiáveis para conseguir detalhes sobre a vítima e tornar um e-mail com phishing tão real que é praticamente impossível não clicar. É a isca perfeita. “É mais fácil um cibercriminoso infectar um dispositivo móvel do que passar por dezenas de camadas de segurança e nessa tentativa possivelmente ser identificado”, relata.
A própria IBM é alvo constante desse tipo de ameaça. Recentemente, um gerente de vendas contratou uma profissional de empresa concorrente. Dias depois, seu par na área recebeu um e-mail falando que o arquivo anexado continha provas de que a profissional participou de um esquema de fraudes na empresa X, citando a companhia que ela havia atuado anteriormente. Naturalmente, em razão da riqueza de detalhes, a chance de clicar em um e-mail como esse é muita alta. Mas por ter experiência no tema, o gerente não abriu o anexo e prontamente identificou a tentativa de phishing.
Vulnerabilidade
Em demonstração realizada por Lahr, um e-mail com layout idêntico aos comunicados da IBM indica que o funcionário deve fazer uma atualização de segurança em seu smartphone. Basta um clique para que o colaborador caia na armadilha, comprovando o alto nível de vulnerabilidade e provando que o usuário é, de fato, o elo mais fraco na cadeia de segurança. Imediatamente, um rootkit é instalado no dispositivo móvel, que pode ser controlado remotamente pelo atacante.
Na demonstração, feita em um aparelho equipado com sistema operacional Android, Lahr, que assumiu a figura do hacker, acessou SMS, contatos, arquivos na nuvem, fotos com informações de geolocalização e até tirou uma foto remotamente. Também foi possível salvar todas as informações armazenadas no dispositivo em uma pasta pessoal do computador do invasor. “E isso tudo foi realizado por meio de ferramentas gratuitas que estão disponíveis na internet. Não é preciso investimento nenhum, nem conhecimento específico para invadir dispositivos móveis”, alerta.
Ele relata que se o aparelho tiver Jailbreak, processo que permite dispositivos executem aplicativos não-autorizados pela fabricante do sistema operacional, a diversão dos hackers é ainda maior.
Muitas vezes, o usuário sequer sabe que tem alguém por trás monitorando todos os seus movimentos no celular. Há alguns sinais, no entanto, que podem mostrar que o aparelho foi comprometido. Se o usuário tentar acessar uma página e ser redirecionado para outro é um dos indícios, por exemplo. No caso de computadores em redes corporativas um deles é o número de bytes trafegado pela rede aumentar exponencialmente sem motivo aparente.
Falta de governança
O fato de empresas e usuários estarem tão vulneráveis tem um motivo. De acordo com André Pinheiro, líder de serviços de segurança da IBM, há um verdadeiro caos de governança na segurança da informação. Ele observa que o ambiente corporativo é recheado de ferramentas de diversos fornecedores que não se conversam, desafiando a gestão do ambiente.
“Somos demandados por empresas que querem rever seus processos de segurança e a melhor forma de garantir proteção é educando os usuários e aplicando governança”, ensina e completa que essa é uma jornada sem fim e que o usuário é a parte delicada e os atacantes estão cada vez mais criativos.
Questionado se os cibercriminosos estão vencendo essa guerra, Pinheiro reconhece que eles estão alguns passos adiante. Mas como parar esse movimento? Segundo ele, com inteligência, que é muito mais do que simplesmente ampliar os muros de proteção.
Ele acredita que, hoje, a preocupação com segurança é muito restrita à TI. “Precisamos aumentar o grau de conscientização e envolver o corpo diretivo das empresas nessa empreitada”, aponta, completando que o nível de maturidade do mercado brasileiro quando se trata de segurança da informação é ainda muito baixo.
