A imersão digital acentuada por conta da pandemia refletiu sobre as invasões hackers. É o que aponta relatório da empresa americana especializada Netscout. De janeiro até 3 de agosto, foram mais de 439 mil ataques cibernéticos no país. Número que deixa o Brasil em segundo lugar no mundo, atrás apenas dos Estados Unidos.
“O conhecimento sobre a atividade hacker está disponível e cada vez mais simples. A própria internet ensina. Há aulas e cursos de como atacar servidores e conseguir dinheiro fácil. Por outro lado, temos organizações muito vulneráveis”, avalia o diretor técnico de uma empresa de Tecnologia da Informação de Lajeado, Gerson Fell.
A facilidade das invasões estão nas empresas, nas pessoas e nas instituições públicas. Tanto que esse ano houve um dos casos mais rumorosos, com o ataque ao portal do Tribunal de Justiça do RS. Os servidores foram invadidos em 28 de abril. Passados mais de três meses, os serviços ainda não foram 100% regularizados.
“Os números chamam atenção. Muito disso ocorre devido ao homeoffice. Em casa, não estamos preparados, pois quando se acessa o servidor remoto do trabalho, por exemplo, caso a rede de internet ou o computador doméstico tenha sido invadido, o hacker consegue as senhas dos administradores da empresa”, explica o mestre em Ciência da Computação e professor da Univates, Fabrício Pretto.
Foi o que parece ter ocorrido no caso do TJ-RS. Pela investigação preliminar, o ciberataque pode ter partido de dois computadores domésticos de uma juíza e de um servidor. De acordo com Pretto, essa mudança de comportamento em relação ao trabalho tornou atrativa a invasão aos computadores domésticos.
“O público brasileiro não tem cultura de segurança na internet. Nosso senso não é apurado. Se vê um link: ‘como ganhar um milhão de reais’, a gente clica. Somos ingênuos na nossa navegação”, avalia Pretto.
Outro aspecto destacado no relatório da Netscout é a tendência de crescimento no número de ataques e invasões. No ano passado, por exemplo, a negação de acesso (quando ocorre um conjunto de ataques ao mesmo tempo a um determinado portal para tirá-lo do ar) teve uma incidência 36% maior do que o período anterior. Já as invasões com objetivo de extorsão, o avanço foi de 125%.
LGPD aumenta responsabilidade
Com a Lei Geral de Proteção de Dados (LGPD), empresas e instituições que guardam informações de fornecedores, clientes e funcionários, são corresponsáveis pelo sigilo. Segundo o advogado Fernando Schäffer, a imposição da regra obriga uma mudança profunda na visão e na cultura das pessoas.
Para ele, de modo a evitar ou diminuir a possibilidade de acesso aos dados pessoais mantidos pelas empresas, elas devem mapear essas informações coletadas e armazenadas. Com isso, ter um relatório de riscos e, a partir disso, buscar auxílio de uma equipe multidisciplinar envolvendo técnicos de segurança da informação, advogados, encarregado de dados.
“É preciso investir na adequação da estrutura de tecnologia e informação, promovendo também o treinamento dos funcionários, de modo a impedir ou reduzir a possibilidade de acesso de estranhos ou criminosos aos dados pessoais que mantém de parceiros, funcionários, clientes entre outros”, ressalta Schaffer.
Em caso de algum vazamento de dados pessoais, seja por ataque hacker ou não, a empresa estará sujeita a sofrer sanções, que pode ser uma advertência, uma multa de até 2% sobre o valor do faturamento da empresa ou do grupo.
Afora as sanções previsas pela Agência Nacional de Proteção de Dados (ANPD), há risco de ações pessoais daqueles que tiveram os dados divulgados de forma indevida. “Neste caso, as vítimas poderão pleitear reparações de ordem patrimonial e moral. Também aqui as condenações podem ocorrer em valores significativos. Algumas ações coletivas podem assumir valores milionários”, adverte o advogado.
Engenharia social
“É mais fácil invadir uma empresa pelas pessoas do que tentar quebrar a senha”. É o que afirma o especialista em redes sociais formado em Harvard, Paulo Pinheiro. De acordo com ele, há um conceito chamado de engenharia social, que o hacker usa para traçar um perfil psicológico do alvo.
O conceito parte do pressuposto das informações públicas disponibilizadas pelos internautas. Por meio dos perfis no facebook, no instagram ou no twitter, o criminoso cibernético traçam um perfil do indivíduo.
“Os golpes via whatsapp são engenharia social pura. Por meio dos rastros virtuais, verificam os contatos mais próximos, e criam histórias muito verossímeis”, realça. Com os rastros digitais, os gostos, preferências, hobbies e rotinas, estão disponíveis.
“É preciso olhar o que deixamos público. Não se trata de ser contra a rede social, mas de haver algum filtro. Temos de nos perguntar: será que essas informações pessoais importam para o público?”
Como as pessoas estão mais conectadas, diz Pinheiro, trabalhando em casa, houve uma mudança de conduta dos próprios invasores digitais. Aliado a isso, está a característica do usuário. “Nós, brasileiros, amamos redes sociais. Chega uma nova, como o TikTok, por exemplo, em pouco tempo, são milhares de novas contas.”
Esse fenômeno é ainda mais presente nas novas gerações. Os nascidos na era digital entendem ser comum compartilharem todas as informações, a própria rotina. “Isso torna mais fácil para o hacker fazer a engenharia social.”
