Por Anderson Ramos, CEO da Flipside e idealizador do Mind The Sec
Antes de mais nada: não há motivo para alarmismo. Mas é justamente na fresta entre o que é um risco objetivo e um excesso que mora a oportunidade para um atacante mal-intencionado.
Uma das técnicas da engenharia social usada em ataques cibernéticos é explorar vulnerabilidades comportamentais dos usuários, a fim de conseguir credenciais de acesso a sistemas e, consequentemente, operar os ataques. O uso de comportamentos e situações fora do mundo digital pode ser a chave para a exploração de oportunidades. Sabendo disso, criminosos miram os interesses das pessoas que circulam o alvo a ser atacado.
A realidade das empresas mudou drasticamente com a ampliação do trabalho remoto e esta tem sido a maior porta de entrada de criminosos, que consolidaram ataques cujo valor é difícil de rastrear, mas em quantidade, passaram das dezenas de bilhões só em 2022, de acordo com as principais consultorias do mercado.
Uma pesquisa da Faculdade de Economia e Administração da Universidade de São Paulo (FEA-USP) e da Fundação Instituto de Administração (FIA), divulgada no ano passado, mostra que mais de 8 milhões de pessoas atuam em home office no país e apenas 22% das empresas fornecem todos os equipamentos necessários para o trabalho.
Com os trabalhadores em casa, usando máquinas próprias, muitas vezes o computador doméstico, os criminosos têm explorado uma oportunidade inusitada a partir de conteúdos infantis. Oferecendo créditos de jogos ou outras facilidades de interesse das crianças e adolescentes, que podem estar compartilhando computadores com os pais, ainda que em perfis ou navegadores diferentes, cibercriminosos obtêm acesso aos equipamentos e consequentemente a dados sensíveis de empresas.
Quando uma criança usa o computador dos pais e se interessa inadvertidamente por acessar um conteúdo que a ensina a conseguir mais créditos gratuitos em determinado jogo, por exemplo, ela pode estar expondo a empresa onde o adulto trabalha a riscos milionários. É por meio deste tipo de conteúdo que criminosos têm atuado para invadir, sequestrar dados, obter credenciais legítimas e acessar sistemas para obter vantagens.
Uma credencial legítima é a chave-mestra para sistemas e dados de empresas, já que o rastreio depende de uma análise profunda e demorada do comportamento deste usuário dentro do sistema.
Bases de dados inteiras são oferecidas em marketplaces estruturados na deep web e movimentam negócios ilegais milionários. E elas podem ser adquiridas por quaisquer pessoas para quaisquer finalidades.
A complexidade dessa situação mora justamente no fato de que a realidade econômica das pessoas não necessariamente permite que tenham computadores separados para atividades de trabalho e de uso doméstico. Sendo assim, medidas necessárias para evitar esse tipo de problema passam obrigatoriamente pela educação para a segurança cibernética, que começa com os adultos e, consequentemente, passam pelas crianças, que podem tornar-se alvo fácil para conteúdos alinhados aos seus interesses.