Crescem os crimes cibernéticos, mas seguradoras ainda têm dificuldade de precificar os produtos por falta de massa crítica
O hacker dos dias atuais está longe da figura de capuz, que trabalha no porão da casa da mãe e usa máscara do Anônimus. É um, entre centenas de funcionários, de uma empresa do crime organizado com horário de trabalho regular, e que é encarregado de roubar os dados das empresas rivais. Dispositivos como bonecas e brinquedos podem entrar na sua casa para gravar suas conversas, e uma simples pesquisa no Google pode revelar planilhas com milhares de contas correntes abertas. Esses foram alguns dos alertas de Jamie Woodruff, diretor técnico da Metrix Cloud, que participou do painel Proteção Cibernética: A perspectiva de um Hacker, realizado no 11º Insurance Service Meeting, evento da CNseg que ocorre em paralelo à 8ª Conseguro, no Rio de Janeiro.
Woodruff é o que se denomina de hacker do bem, por ajudar as empresas a encontrar suas vulnerabilidades e implementar as proteções. Autista, ele começou a hackear aos 9 anos, por ter encontrado facilidade em lidar com computadores. Após trabalhar na adolescência com cuidados à saúde, construiu um robô que enviou um aplicativo para as principais universidade do Reino Unido. Foi aceito mas, após três meses quase desistindo, hackeou o Facebook em seis minutos e acabou obtendo todas as certificações. Hoje, presta serviços a algumas das maiores corporações e governos do mundo.
“O primeiro ransomware (sequestro digital) surgiu em 1989 e as empresas atacadas tinham de enviar por correio US$ 189 para uma conta no Panamá. Hoje, se você for atacado, vai falar com um hacker em um chat ou por um 0800 e ele vai te explicar como você pode recuperar seus dados. E mais: você também pode comprar seu próprio ransomware por US$ 10 mil na deep web e infectar milhares de pessoas”, alertou Woodruff.
Sua especialidade é a engenharia social, ou a arte de manipular informação para obter dados e acesso a ambientes virtuais e também físicos. Ele diz que bastam três dias de observação para saber onde a pessoa está e como pode roubar seus dados.
“Não preciso de tecnologia para isso, basta observar as vulnerabilidades da pessoa. A diferença é que sou um hacker ético. No Reino Unido, investigaram 10 anos da vida de toda a minha família e minhas transações bancárias antes de me concederem a certificação de segurança. Quando olho para alguém, pelas suas roupas e comportamento, consigo ver se é um funcionário ou um gerente, pois passei anos observando e essa é minha parte artística”, definiu Woodraff.
Ele descreveu as diferentes formas de penetrar nas empresas, seja se passando por um entregador, se misturando aos funcionários na área do café e do cigarro ou invadindo sistemas. Em uma das empresas que o contratou, passou por entregador de pizza, chegou à sala do servidor, passou tinta no teclado da senha e mais tarde voltou, passou o luminol e viu as teclas que eram acionadas. Também é possível acessar o número telefônico das empresas e ligar para um funcionário como se fosse da companhia (um ataque conhecido com phone Spooting). Por meio do Google Glass, os óculos do Google, é possível levantar nome, onde trabalha, e diversos dados pessoais por reconhecimento de imagem do rosto da pessoa e acesso aos perfis nas redes sociais.
Ele revelou que os dados pessoais são vendidos a US$ 1 na deep web, multiplicando-se esse valor por milhões de contas tem-se uma ideia de quanto o cybercrime é lucrativo. Além disso, os riscos só aumentam com a ampla conectividade da Internet das Coisas, em que todos os dispositivos passam a ter conexão com a Internet. É possível acessar as babás eletrônicas e as imagens de milhares de bebês ou acessar a geladeira doméstica e enviar um comando para descongelar. Woodraff também citou o vírus desenvolvido pela CIA que contaminou televisores Samsung e permitia transmitir as as conversas das salas onde estavam instaladas.
Hoje, existem inúmeros vetores de ataques por meio de pishing ("pescaria" de infomrações por meio de mensagens falsas), baiting (armadilha), tailgating (acesso não autorizado), QRCode, phone spooting (captura no número telefônico), wireless acess point. E nas lojas de aplicativos há diversos aplicativos como o credit card reader, que lê todas as informações dos cartões de crétido. Durante sua apresentação, ele fez diversos testes com a plateia como mostrar o mapa das câmeras após pesquisa no Google. Para Woodruff não basta as empresas investirem milhões em tecnologia se não treinarem seus funcionários. Eles são os elos mais vulneráveis, mas também a linha de frente de proteção.
“Certifique-se que os testes estão sendo feitos adequadamente. Não espere seis meses. Em 48 horas, 35 milhões de pessoas podem ser infectadas”, advertiu.
Moderando o painel, Carlos Frederico, CEO da Austral Seguradora, reforçou a necessidade de o Brasil implementar uma legislação para crimes cibernéticos e, principalmente, obrigar as empresas a reportarem os incidentes. Ele observou que os produtos de ciber proteção tomaram impulso nos últimos dois anos em função de grandes incidentes, como os da rede varejista americana Target, que teve comprometido dados de 50 milhões de usuários e, recentemente, da brasileira corretora XP, que teve a base da dados corrompida..
“A demanda começou por empresas internacionais, cujos países, como os EUA e a Inglaterra, já têm uma cultura de proteção de riscos cibernéticos. No Brasil, começou-se a acender a luz depois dos casos da XP, e do malware Wanna Cry. A Europa já tem uma legislação desenvolvida que está sendo aperfeiçoada para entrar em vigor em 2018. No Brasil, tivemos como primeira lei o Marco Civil da Internet, que trata de qualidades dos serviços e neutralidade. Depois, a Lei Carolina Dickmann, que penaliza criminalmente a exposição de pessoas. E agora o Projeto de Lei 4.060, de 2012 contempla a proteção de dados pessoais. Mas, a rigor, não existe uma divulgação do problema”, analisou Frederico.
Para Dennys Zimmermann, sócio da Fábio Torres Advogados Associados à Kennedys, a falta de divulgação dos incidentes dificulta a expansão do mercado de proteção cibernética porque as seguradoras não têm massa crítica para avaliar o risco e precificar adequadamente os produtos. “Hoje, já há uma série de produtos de proteção trazidos pelas empresas internacionais. Mas a cobertura é limitada e os prêmios são altos”, conclui Zimmerman.
Fonte: CNseg