Carlos Cabral

Em nossa última publicação para esta série — que discute a cibersegurança em um cenário de pandemia — abordamos as estratégias mais usadas até o momento em ataques que usam o tema do novo coronavírus.

Neste artigo queremos expandir um pouco mais a perspectiva, considerando a crise econômica e política que tem relação direta com a pandemia e seus possíveis efeitos na cibersegurança. É evidente que se alguém disser que há alguma solução mágica, pronta para o momento, esta pessoa estará mentindo, dado o ineditismo da situação. O que podemos fazer é usar nossa experiência para jogar luz sobre alguns assuntos, elencando as principais tendências na adaptação das ameaças durante a crise.

O impacto

Embora seja crucial atender às recomendações das autoridades da saúde, sobretudo ficando em casa, é também evidente a qualquer pessoa atenta ao período o fato de que esta crise sanitária gera consequências econômicas profundas e sem precedentes.

O que ainda não é unânime entre os especialistas é quão profundo será o problema. Segundo análise publicada no site da FGV, economistas e instituições de renome apresentam projeções variadas de retração para o PIB brasileiro. Monica de Bolle, do Peterson Institute for International Economics, fala em um encolhimento de 6%; o Itaú em 1,8%; o Goldman Sachs, 0,9%; o JP Morgan, 1% e José Luis Oreiro, da UNB, projeta um tombo de 10%. Já um estudo publicado pelo IPEA no último dia 30 e focado nos possíveis caminhos que as autoridades irão tomar, considera a retração no PIB de 2020 em três cenários de isolamento social: de 30, 60 e 90 dias, projetando uma retração de 0,4%, 0,9% e 1,8% respectivamente.

Independentemente do tamanho da retração, estamos falando de uma multidão de desempregados e de uma drástica redução da atividade econômica em todo o mundo. Trata-se, com o perdão da inversão do ditado, de um recuo da maré que “baixa todos os barcos”, inclusive o do cibercrime o qual, assim como vários setores, poderá enfrentar uma diminuição na receita e um aumento na concorrência, com novos entrantes que antes estavam em outras atividades e passarão a competir pelos mesmos (e escassos) recursos. Abaixo algumas estratégias as quais vale a pena ficar de olho, pois poderão compor novos ataques.

Phishing em ataques específicos

Phishing é a modalidade de ataque mais popular no mundo e não há motivo para o cibercrime deixar de utilizá-la em meio a essa crise. Entretanto, é possível dizer que testemunhamos um pico nos ataques com o tema do COVID-19 e esta situação tende a passar, talvez bem antes de chegarmos ao fim da pandemia. Isso porque momentos como estes são semelhantes à descoberta de um novo garimpo: a notícia da descoberta do ouro atrai muita gente, aumentando a concorrência entre os garimpeiros e tornando a trapaça entre eles algo frequente até que poucos grupos com maior capacidade de mineração tomem (pelo bem ou pelo mal) o controle da operação. Com o tempo, este processo tende a diminuir o lucro da atividade para quem está fora dos esquemas maiores.

Outro fator que colabora com redução na variedade de ataques enraizados em um único tema é que as pessoas vão se informando e compartilhando experiências sobre os golpes, reduzindo, porém dificilmente zerando, a quantidade de alvos possíveis. Desta forma, após a saturação de um tema, é comum haver uma movimentação em busca de táticas que outros criminosos ainda não se deram conta e que podem ser mais rentáveis, iniciando assim um novo ciclo.

A tendência mais provável de evolução nos ataques de phishing em meio a essa crise é a de abusar de características intrínsecas às mudanças no modo de vida que o momento nos impôs. Um exemplo disso é a notícia recente do considerável aumento no registro de domínios com palavras que se assemelham a “zoom”, em referência ao produto de videoconferência de mesmo nome. Isto pode indicar que há criminosos preparando ataques de phishing usando os domínios falsos e simulando mensagens do Zoom.

Imagine qualquer produto ou serviço que passe a ser muito usado durante a crise, algum aplicativo ou nova forma de realizar tarefas que se torne popular. Se estas novidades têm o potencial de chamar a atenção de muita gente, inclusive a sua, despertarão o interesse dos criminosos também, que podem se dedicar a criar ou adaptar seus golpes usando elementos novos.

Watering hole e a crise política

Watering hole é um dentre os vários tipos de phishing, mas neste artigo daremos ao tema um tratamento especial por conta do contexto político. Trata-se de um ataque em que o criminoso cria sites de fake news ou que imitam páginas de empresas, os divulga em alguns canais e basicamente espera as vítimas acessarem o conteúdo, preencherem a página com seus dados ou infectar seus dispositivos com diversos tipos de malware.

Já tivemos ataques usando essa técnica e se aproveitando do tema do COVID-19 em formulários nos quais o criminoso cria uma página falsa para coletar dados das pessoas que supostamente receberiam benefícios do governo. No entanto, o watering hole é usado com mais eficácia em situações nas quais há grande polarização política. Isso porque as próprias vítimas se convertem em vetores de ataque.

Imagine que um criminoso quer espionar computadores e smartphones de simpatizantes do partido da Alice, cuja militância está em constante choque com membros do partido do Bob. Bastaria criar uma página de fake news com um vírus de computador e cujo conteúdo contém um suposto escândalo envolvendo a Alice ou lideranças de seu partido. Em seguida, o criminoso cria posts nas redes sociais com o link da notícia ou a envia a grupos de WhatsApp. Depois disso basta aguardar as infecções que virão com a reverberação.

Quando o primeiro simpatizante do partido da Alice se deparar com a notícia falsa, além de infectar seu computador, possivelmente ficará nervoso a ponto de reenviar o link para seus grupos, buscando sensibilizar a sua rede de contatos sobre o quanto a mentira é revoltante. A partir desse momento, quanto mais pessoas tiverem a mesma reação, mais dispositivos podem passar para o controle do atacante.

Este tipo de ataque acontece com frequência. No entanto, um caso bastante emblemático do uso dessa técnica aconteceu há alguns anos na Venezuela, em que os operadores do ataque se aproveitaram dos dois lados da polarização, espionando ambos os extremos do espectro político.

A polarização política que vivemos no Brasil tem deixado as pessoas cada vez mais à flor da pele e isso cria a situação perfeita para que sucumbam a ataques como esse, os quais são constantemente usados em estratégias de espionagem. Quanto maior a tensão, maior a oportunidade para o atacante.

Hacktivismo

O termo hacktivismo busca sintetizar ações em que técnicas do hacking são usadas em ataques de cunho político. Algo que talvez ajuda a definir o hacktivismo é o movimento Anonymous, que surgiu no início dos anos 2000 e cuja história abrange ações controversas, como ciberataques, exposição de dados pessoais e de empresas, e outras atividades dentro do contexto de protesto contra governos, políticos e corporações.

Com o tempo, outras entidades, sobretudo agências de inteligência, de segurança e de defesa perceberam que poderiam disfarçar uma ação de Estado como um ataque hacktivista. Alguns exemplos desse tipo de estratégia foram o ataque contra a Sony em 2014, atribuído pelo FBI à Coreia do Norte e o incidente envolvendo a Agência Mundial Antidoping em 2018, atribuído pela Microsoft ao grupo Fancy Bear, frequentemente ligado a atividades alinhadas ao interesse do governo Russo.

Mesmo sendo difícil separar o hacktivismo de outras iniciativas que se disfarçam disso é possível inferir que há grandes chances de que tenhamos mais gente insatisfeita com as decisões dos políticos e de corporações durante essa crise, o que pode contribuir para aumentar a taxa de ataques com motivação política.

Conhecimento interno

Segundo o economista Alexandre Schwartsman, ex-Diretor de Assuntos Internacionais do Banco Central do Brasil, “recessão é quando o vizinho perde o emprego e depressão, quando você perde o emprego.” As projeções para os próximos meses apontam para um sensível aumento no desemprego, podendo atingir 14,5 milhões de pessoas em junho.

Quando a demissão acontece, pode ser desencadeado um conjunto variado de emoções como tristeza, desespero e ódio as quais podem levar alguns a cometer erros ou a sucumbir a atividades moralmente questionáveis e até ilegais.

Não quero parecer insensível nesse momento tão crítico à realidade tantos trabalhadores, mas não há como garantir que todas as pessoas que perderão o emprego nesta crise não usarão dados sensíveis ao quais tiveram acesso na empresa anterior de forma maliciosa. Adicionalmente, é muito comum ocorrerem erros de gestão dos acessos no desligamento, mantendo contas ativas em sistemas, mesmo depois de o funcionário ser desligado. Agora multiplique essa situação pela quantidade de prestadores de serviços que uma empresa pode ter.

Manter estratégias que protejam informações da ação maliciosa de gente com conhecimento interno é uma demanda com a qual os gestores de cibersegurança sempre precisaram lidar, entretanto, a crise demanda atenção redobrada a essa ameaça.

Ajustando a rota

Resumindo: tendemos a passar por um período de refinamento nos temas dos ataques de phishing, como resultado da saturação do mote da COVID-19; o uso da situação política na estratégia de ciberataques pode aumentar se o tom no debate a respeito da crise continuar se orientando pela polêmica resultante na decisão dos políticos; as decisões dos líderes de corporações também podem atrair atividades maliciosas e atores impactados pela crise e, por fim, a insatisfação com o desemprego, ou outras medidas que impactem a renda das famílias tem maior chance de se converter em risco para a segurança das organizações.

Com já foi dito aqui, não há respostas prontas. Entretanto, indico algumas estratégias que podem ajudar em seu percurso neste período.

É bem provável que sua empresa tenha optado por congelar qualquer ação ou projeto novo. Esta pode ser mesmo uma escolha justificada. No entanto, o momento requer a revisão de análises de riscos anteriormente feitas ou a alocação de algum especialista de seu time para fazer o exercício analítico mínimo de identificar os riscos que sua organização corre nesse momento.

A análise de riscos é uma atividade essencial na gestão de segurança, mas foi por muito tempo relegada ao status de segunda linha, sendo pejorativamente chamada de “segurança de papel” ao ser comparada com os avanços tecnológicos pelos quais a área passou.

Especialistas de fora podem ajudar ou atrapalhar, dependendo do conhecimento que eles tenham sobre os detalhes de seus processos. No entanto, só quem está no dia a dia da operação pode fazer isso rapidamente. A situação não tolera projetos longos e mesmo que o produto final não esteja de acordo com a norma x ou y, ele ainda será melhor do que nada.

É momento de olhar para dentro: revisar as informações disponíveis sobre vulnerabilidades, considerar cenários de ameaça possíveis e, de maneira racional, estabelecer as probabilidades de cada cenário se concretizar. Isto será sua bússola para ter embasamento ao selecionar qual contramedida deve ser revista ou aplicada e em qual ordem.

Lamentavelmente não se trata de um trabalho trivial, porém há metodologias para a gestão de riscos que podem, no mínimo, educar uma pessoa a fazer algo que possa ser usado numa crise. Minha sugestão é avaliar o Guide for Conducting Risk Assessments — SP 800–30 Rev. 1 produzido pelo NIST, organização que produz padrões para as instituições do governo americano.

Embora a revisão das análises de riscos tende a apontar o caminho para a gestão de segurança de sua empresa durante a crise, rever o processo de gestão de acessos em seus sistemas e localidades físicas, bem como avaliar sua condição nos prestadores de serviços é algo que não pode esperar.

A situação contempla uma grande quantidade de gente desligada ou afastada por doença e este é um cenário que deixa várias portas abertas, como acessos ativos vinculados a pessoas desligadas, acúmulo de privilégios nas pessoas que estão suportando a operação e contas administrativas com a gestão de segurança prejudicada, entre outros casos. Por isso não dá para deixar esta revisão para depois.

Outra coisa essencial que pode evitar ataques agora é comunicar sua equipe sobre os golpes que andam surgindo e fazer isso incessantemente durante todo o período da crise. Há muita informação na mídia especializada e temos semanalmente atualizado o Situation Report, um de nossos relatórios de inteligência, com novidades a respeito de ataques que se aproveitam desta crise. O relatório está sendo disponibilizado gratuitamente até esta situação se acalmar.

Outros artigos dessa série

Cibersegurança no home office em tempos de coronavírus: uma questão de corresponsabilidadedicas para a proteção dos dados da empresa no ambiente de sua casa

O mínimo de cibersegurança que você precisa considerar ao montar uma infraestrutura às pressasquais temas priorizar e algumas fontes gratuitas de recursos e de informação

As estratégias por trás dos ataques com o tema do novo coronavírusgolpes antigos em nova embalagem