Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.

E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. 

No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações. 

Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas. 

Risco 

‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros. 

Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco. 

E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento. 

Ameaça 

Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização. 

Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes. 

Vulnerabilidade 

A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.  

Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão:  bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações. 

Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações. 

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.

O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.

Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.

Controles detectivos vs. controles preventivos

Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.

Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.

Como escolher entre pentest e red teaming?

As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.

• Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
• Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
• Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.

Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.

• O red teaming visa simular ameaças do mundo real.
• Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
• O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.

Cibersegurança: práticas essenciais

Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.

Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.

Originalmente publicado por Jon Medina, Manny Gomez e Abdoul Cisse em Protiviti Inc. Traduzido e adaptado por Protiviti Brasil.

No mundo atual, é comum sermos impactados pelo crescimento exponencial de informações eletrônicas, apresentando desafios significativos aos profissionais da área jurídica, bem como investigadores nas etapas de coleta, análise e revisão de dados.  Nesse contexto, as ferramentas eDiscovery, que identificam, coletam, analisam e revisam informações eletrônicas relevantes em casos legais, se tornaram essenciais, oferecendo soluções eficientes para lidar com grande volume e complexidade de dados.  

Em qualquer tipo de atividade ou operação semelhante, é importante que as empresas sigam diretrizes, metodologias e práticas deste modelo.  

No aspecto investigativo, por exemplo, temos como referência de metodologia o EDRM (Electronic Discovery Reference Model) ou ‘Modelo de Referência de Descoberta Eletrônica’, em tradução livre, que pode ser uma diretriz para o processo de descoberta eletrônica.  

Este recurso compreende oito etapas sequenciais, incluindo a identificação de fontes de informação; a preservação de dados; a coleta; o processamento; a revisão; a análise; a produção; e a apresentação dos resultados. Dessa forma, o modelo EDRM fornece uma estrutura abrangente que auxilia os profissionais na execução eficiente de cada fase do processo de eDiscovery. 

Seguindo essa metodologia, logo nas primeiras fases está o conjunto de atividades mais sensíveis em qualquer tipo de investigação: a identificação, a coleta e a preservação da evidência digital. Nesse sentido, qualquer manipulação indevida e incorreta pode acabar invalidando todo o processo investigativo.  

E para que o processo não sofra tal desvio, profissionais também podem utilizar a ABNT NBR ISO/IEC 27037, norma internacional que estabelece diretrizes para a preservação de evidências digitais durante processos de investigação. Ela desempenha um papel crucial na garantia da integridade, autenticidade, confidencialidade e acessibilidade das evidências coletadas, além de fornecer orientações para o planejamento, a coleta, a autenticação, o armazenamento e a devida documentação das evidências digitais, garantindo validade e admissibilidade em um processo investigativo. 

Com a clareza e padronização destes procedimentos, é notório o volume de benefícios significativos por meio do processamento de dados. Dentre eles, está a redução do volume de informações caracterizadas como irrelevantes ou duplicadas, acelerando, assim, a revisão e a tomada de decisões mais ágeis. Além disso, essa condução garante a indexação e a organização estruturada dos dados, assegurando a integridade das informações processadas.  

Ainda nesse contexto, a fase de revisão e a análise é uma das etapas mais críticas do processo. Isso porque, os investigadores examinam as informações eletrônicas para identificar documentos relevantes, padrões ou evidências importantes para o caso em questão. Com isso, utilizando as ferramentas de eDiscovery, é possível conduzir buscas avançadas, aplicar filtros criteriosos e utilizar recursos de análise para explorar os dados em detalhes.  

A revisão e análise cuidadosas, portanto, permitem tomar decisões bem fundamentadas durante o processo, possibilitando uma compreensão abrangente dos fatos e auxiliando na construção de estratégias sólidas na tomada de decisão. Essa etapa também pode envolver a colaboração entre equipes multidisciplinares, como especialistas em forense digital e advogados, para obtenção de insights valiosos.

Já a apresentação dos resultados é a última etapa. Nela, os profissionais organizam e comunicam as descobertas de forma clara e por meio de apresentação dos dados e dos gráficos, a fim de enfatizar os pontos-chave e dar suporte à argumentação jurídica. 

Em suma, ao seguir os processos por meio das ferramentas de eDiscovery, é possível economizar tempo, reduzir custos e tornar o processo mais eficiente, permitindo, assim, que os profissionais do direito se concentrem nas informações relevantes e tomem decisões informadas, tendo como apoio o uso da abordagem orientada a dados. 

*Luis Fernando Barbosa é gerente sênior Tecnologia Forense na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

O gerenciamento de exposição a ameaças foi considerada uma das tendências de cibersegurança pelo Gartner para o ano de 2023, mostrando que os ataques realizados por criminosos estão ficando cada vez mais sofisticados. A consultoria também prevê que, até 2026, cerca de 60% das detecções, investigações e respostas a ameaças irão se beneficiar do controle de dados expostos para, então, validar e priorizar ameaças detectadas.

Esse controle é trabalhado dentro da área de Threat Intelligence, ou Inteligência de Ameaças, em português, e se trata de uma das respostas mais eficientes contra os hackers, pois ajuda a entender os atacantes, responder de forma mais rápida e eficiente a incidentes e prever proativamente o próximo passo dos criminosos, beneficiando empresas de todos os tamanhos. Além desses pontos, a adoção de um serviço de inteligência também reduz riscos, evita violações de dados e mantém os custos reduzidos.

É importante salientar que a inteligência deriva da informação. Essa, por sua vez, é obtida após o processamento de algum dado significativo dentro de um contexto, como, por exemplo: João, 27 anos, Brasil. Esses dados separados não nos entregam resultados, mas quando os juntamos é possível chegar a algumas conclusões, como: João tem 27 anos e mora no Brasil. A informação geralmente tem como foco o presente ou o passado e desempenha um papel fundamental na tomada de decisões, na comunicação e no avanço do conhecimento em todos os tipos de área de conhecimento e negócio.

Já quando falamos de inteligência, o foco muda, de presente ou passado, para antecipação, o que envolve os passos dos cibercriminosos, as mudanças, os riscos e as oportunidades sempre baseando-se em análises e interpretações dos dados e das informações. Ou seja, a inteligência é uma parte essencial da cibersegurança moderna e ajuda as organizações a entenderem melhor o cenário de ameaças em constante evolução. O ciclo de inteligência pode ser resumido em cinco etapas, conforme exposto a seguir.

1. Planejamento: essa fase envolve todos os pontos focais do ciclo, desde a identificação de necessidade, até a etapa de entrega ao cliente. O planejamento se encontra tanto no início quanto no fim do ciclo, pois após a entrega dos resultados, geralmente, se percebe outra necessidade levando a outro planejamento.
2. Coleta: para uma coleta ser eficaz, é necessário planejar, direcionar e focar os esforços nas fontes de dados corretas, como registros públicos, relatórios da mídia, internet etc. A coleta de códigos abertos, que estão disponíveis publicamente, também é muito importante nesta fase, pois enriquece a unidade de inteligência, aumentando sua capacidade de analisar recursos.
3. Processamento: neste momento ocorre a indexação, classificação e organização dos dados, ou seja, eles são transformados em informações para que possam ser consultados com facilidade.
4. Análise e produção: neste ponto, a informação obtida na fase de processamento começa a ser utilizada para geração de inteligência, ou seja, ocorrem análises e avaliações. Vale ressaltar que confiabilidade, validade e relevância são pontos extremamente importantes quando as análises são colocadas em algum contexto para a realização de julgamentos referentes a determinadas situações e eventos.
5. Disseminação: essa é a última etapa do ciclo. Aqui ocorre a distribuição de inteligência para os solicitantes tomarem decisões ou agir com base no relatório recebido. Nesta etapa, o solicitante também avalia o valor da inteligência fornecida, para se iniciar um novo ciclo.

Devido à alta taxa de desenvolvimento tecnológico, a cada dia que passa estamos mais expostos. Hoje, é comum observar dezenas de vazamentos de dados todas as semanas. Por isso, a Inteligência de Ameaças chegou para defender de forma proativa o negócio, beneficiando também áreas que não estão ligadas diretamente à Segurança da Informação. Ao adotar esse tipo de serviço, as organizações podem melhorar significativamente sua postura de segurança e reduzir os riscos associados às ameaças cibernéticas em constante evolução.

*Adenilson Almeida é gerente de cibersegurança e Juan Riquelme Marin Santos é consultor de cibersegurança. Ambos atuam na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Imagine a seguinte situação: chegou o momento do pagamento do bônus sobre os resultados. Centenas de funcionários estão ansiosos para saber quando e quanto irão receber. De repente, todos recebem um e-mail com remetente da empresa e a seguinte mensagem: “Seu PLR já foi calculado. Acesse o link abaixo da intranet para saber o valor.” Um dos colaboradores acha aquilo estranho e reporta o caso para a TI. Tarde demais! Dezenas de pessoas já clicaram e passaram as suas senhas para o hacker, que conseguiu a chave da porta de entrada para os sistemas e dados da empresa.

Cenários como esse comprovam que o ser humano é a última barreira de segurança da informação. Ele pode ser a maior fortaleza ou a maior fragilidade da organização. Ou seja, mesmo que uma empresa invista pesadamente em tecnologias, os seres humanos ainda podem causar fragilidades nos sistemas de informação. Isso ocorre porque as pessoas são propensas a erros, como clicar em links maliciosos, digitar senhas inseguras e fornecer informações pessoais a terceiros não autorizados.

Essa afirmação não é só palavras ao vento. Há números que lastreiam isso. De acordo com o Fórum Econômico Mundial, 95% dos incidentes de segurança cibernética ocorrem devido a erro humano. O consentimento de pessoas em passar dados sigilosos que permitem os criminosos avançarem nas barreiras de cibersegurança acontece porque elas sequer sabem que estão fazendo algo errado. E, do outro lado da ponta, temos a engenharia social, que é uma técnica utilizada por hackers para enganar as pessoas a revelar informações confidenciais ou tomar ações que possam comprometer a segurança da informação. Os hackers podem usar uma variedade de técnicas de engenharia social, incluindo:

• Phishing: neste caso, os hackers enviam e-mails falsos que parecem ser de fontes confiáveis, como os bancos ou as empresas de tecnologia. Esses e-mails geralmente solicitam que as pessoas cliquem em links maliciosos ou forneçam informações pessoais, como senhas ou números de cartão de crédito.
• Vishing: aqui, os criminosos realizam chamadas telefônicas falsas que parecem ser de fontes confiáveis. Mais uma vez, solicitam informações pessoais, como senhas ou números de cartão de crédito.
• Pretexting: nessa modalidade, os hackers se passam por alguém que tem autoridade ou conhecimento com o objetivo de ter acesso a informações confidenciais ou tomar ações que possam comprometer a segurança.
• Tailgating: a técnica acontece quando os hackers seguem alguém para dentro de um prédio ou local seguro.
• Dumpster diving: os criminosos vasculham latas de lixo em busca de informações confidenciais, como senhas ou números de cartão de crédito. E contra este tipo de ataque, não há nenhuma barreira tecnológica melhor do que capacitar o próprio ser humano para bloquear as tentativas.

Se tiver que elencar um desses ataques como prioritários na condução de ações de proteção das empresas, seria o de phishing. Isso porque os criminosos estão usando técnicas cada vez mais avançadas para enganar os funcionários, incluindo o uso de logotipos e nomes de empresas conhecidas, bem como a criação de e-mails que parecem ser urgentes ou importantes. Em muitos casos, o hacker coleta informações de eventos importantes da organização e, a partir disso, monta os e-mails.

Mas, a boa notícia é que o mercado já dispõe de algumas soluções para ajudar as empresas a testar o comportamento humano em situações de engenharia social, contemplando ferramentas de disparo de testes de phishing, monitoramento e sinalização de e-mails suspeitos, além da capacitação de colaboradores para que não caiam nessas ciladas. Com esses tipos de tecnologia é possível:

• Criar um programa de conscientização em segurança personalizado para a organização. Esses cursos podem ensinar aos funcionários como identificar e evitar e-mails de phishing, além de responder a ataques.
• Eliminar os treinamentos antigos “Next-Next-Finish”. Essas plataformas apresentam treinamentos modernos em segurança, ajudando a manter os usuários atentos aos riscos atuais.
• Permitir aos usuários denunciar e-mails de phishing a partir da implementação do “Phish Alert Button” no seu cliente de e-mail. Desta maneira, a equipe de resposta a incidentes poderá identificar e responder mais rapidamente às ameaças em e-mail.

Independente da solução aplicada, avaliar, conscientizar e monitorar o ambiente de trabalho é a melhor solução para fazer o upgrade de segurança da informação aos colaboradores da organização.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor-executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Constituição Federal de 1988 assegura a todos o direito à segurança. Nesse sentido, e com o avanço da tecnologia, o combate aos crimes cibernéticos se mostra imprescindível. Por isso, algumas ações coletivas já foram postas em andamento. O Brasil firmou a Convenção sobre o Crime Cibernético em Budapeste, em 23/11/2001; o Congresso Nacional aprovou a Convenção por meio do Decreto Legislativo nº 37, de 16/12/2021; e o governo brasileiro depositou, junto ao Secretário-Geral do Conselho da Europa, em 30/11/2022, o instrumento de ratificação à Convenção e que esta entrou em vigor para a República Federativa do Brasil, no plano jurídico externo, em 01/03/2023.

Sob uma primeira ótica, é importante conceituar esse tipo de delito. Também conhecidos como crimes digitais ou eletrônicos, os crimes cibernéticos são atividades criminosas que ocorrem no ambiente virtual, através de computadores, redes e dispositivos eletrônicos conectados à internet.

Assim, essa modalidade explora vulnerabilidades e brechas de segurança para obter informações pessoais e financeiras ou causar danos a sistemas e indivíduos. Os crimes cibernéticos abrangem uma ampla gama de atividades ilegais realizadas online, como fraudes financeiras, roubo de identidade e vazamento de dados. Por exemplo:

• Roubo e negociação de dados corporativos.
• Ciberextorção, exigir dinheiro para evitar um ataque ameaçado.
• Espionagem cibernética, hackers acessam dados de governos ou de empresas.
• Ataques de ransomware, tipo de extorsão.
• Fraude por e-mail e pela Internet.
• Fraude de identidades, onde informações pessoais são roubadas para uso.

Nessa perspectiva, as políticas preventivas da área de Segurança da Informação se relacionam com os mecanismos da Tecnologia da Informação, entendida como um conjunto de equipamentos técnicos e procedimentos que permitem o tratamento e a difusão de informação de forma mais rápida e eficiente, fundamental para evitar a ocorrência de crimes cibernéticos e proteger sua segurança online, é importante adotar algumas medidas na interação cotidiana com o ambiente virtual e relevante observar se a certificação de sistema operacional, aplicativos, antivírus e outros programas estão sempre atualizados com as últimas correções de segurança.

A adoção de mecanismos de segurança é recomendada. Algumas das ferramentas indicadas para isso podem ser controles de pessoal, Controles físicos, Segurança de equipamentos, Controles de acesso lógicos, Identificação de usuários, Programas antivírus, Sistema de backup (a exemplo do Firewall e Honeypot), Protocolos seguros, Assinatura digital e Auditoria de acesso às informações, entre outros.

A utilização de senhas fortes, evitando usar informações pessoais, bem como a inspeção de links ou anexos de e-mails desconhecidos ou suspeitos (verificando o remetente e a URL antes de clicar) são exemplos de algumas alternativas essenciais para que indivíduos e organizações não caiam em golpes.

Ou seja, treinamentos contínuos, investimentos em tecnologia de ponta, controles de acesso e políticas de segurança junto com a implementação de gestão de riscos para prevenir e informar sobre crimes cibernéticos são ferramentas indispensáveis envolvendo a identificação, avaliação e mitigação dos riscos para que o direito à segurança seja, de fato, vivenciado na prática no cenário virtual.

*Por Marcelo Oliveira dos Santos é consultor de cybersecurity na Protiviti Brasil.

Para entender como funciona um ataque Man In The Middle, imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada.
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
Assim, a primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.

Ataque Man In The Middle: entenda

Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque do tipo Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como o atacante consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.

E como o atacante enganou as pessoas envolvidas?

Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.

Como investigar

Considerando nosso cenário hipotético, em que a fraude via Man In The Middle foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.

Como diminuir os riscos de um ataque Man In The Middle

Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas, como:

1. Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos desses ataques e sobre a importância de verificar a autenticidade das conexões;
2. Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados;
3. Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
4. Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
5. Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
6. Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.

Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.

*Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

Mesmo que uma empresa adquira as melhores e mais caras tecnologias de cibersegurança disponíveis no mercado, além de contar com profissionais altamente treinados e qualificados, saiba que a operação continuará vulnerável. Isso porque a Engenharia Social, que acontece quando o atacante se vale de suas habilidades sociais para obter informações privilegiadas ou sigilosas de uma empresa e até mesmo de seus sistemas computacionais, é uma prática criminosa em expansão.

Em 2022, por exemplo, houve crescimento de 356% no número de ataques avançados de phishing, segundo a empresa de prevenção israelense Perception Point. Ainda de acordo com a instituição, em 2023, o número total de ataques aumentou 87%.

Além do phishing, conforme listado abaixo, há atualmente mais quatro métodos de Engenharia Social que são considerados como as principais ameaças à Segurança da Informação das empresas. Veja abaixo como detectar e combater essas práticas.

Phishing

Phishing ou “pesca”, em português, é talvez o golpe mais comum na internet. Nesta prática, o atacante tenta obter dados pessoais e financeiros se passando por uma pessoa ou empresa confiável, geralmente por meio de e-mails, em que solicita informações como login, senha e número do cartão de crédito entre outros. Uma abordagem muito comum desse ataque é se utilizar de uma URL ou domínio de e-mail semelhantes à de empresas conhecidas. Apesar de ser, talvez, o mais simples dos ataques, é também o mais eficiente. A boa notícia é que ele pode ser combatido com ações simples por parte do usuário, tais como verificação das URLs, não fornecer dados de segurança bancária com base em mensagens, verificar uso de https e não abrir anexos de fontes não confiáveis, entre outros.

Spear Phishing

Muito parecido com o Phishing, porém, nessa tática, o atacante forja páginas falsas que se assemelham com as reais de grandes bancos e corporações. Por meio desses sites falsos, o cibercriminoso geralmente injeta malwares nos dispositivos de rede da empresa afim de coletar dados pessoais e sigilosos. A dica para detectar essas páginas é sempre conferir o endereço de e-mail com muito cuidado, principalmente o domínio, além de ativar os softwares antispam e antivírus.

URL Obfuscation

É uma técnica de Engenharia Social na qual o atacante esconde um endereço web malicioso de forma a deixá-lo parecido com uma URL legítima. Ao enviar o link malicioso, o usuário, desatento, é comumente enganado, e por fim, acaba fornecendo dados como login e senha de acesso. Hoje em dia, com os sites encurtadores de URL, está bastante fácil disfarçar e divulgar URLs falsas. Embora sejam muito difícil de serem identificadas, existem algumas maneiras de se evitar. Para se prevenir, o recomendado é utilizar um gerenciador para o usuário armazenar suas senhas em local seguro. Esse tipo de recurso também impede que sejam colocadas senhas em sites suspeitos.  Utilizar autenticação multifator (MFA) também é uma boa saída. Isso porque mesmo que o usuário digite o usuário e a senha em determinada URL, o atacante não teria acesso ao dispositivo.

Baiting

Baiting ou Isca, em português, se refere a ações do atacante nas quais são disponibilizadas um presente, ou seja, um dispositivo infectado, por exemplo. Geralmente são utilizadas iscas curiosas, ou atraentes, para fazer com que a vítima fique interessada em acessar o dispositivo para obter as informações contidas. É aí que o objeto malicioso infecta a máquina do usuário e, muitas vezes, se alastra para toda a rede da empresa. Para evitar este tipo de ataque, a melhor arma é o conhecimento e a conscientização de todos. Deve-se ter em mente que cada comportamento minimamente suspeito pode ser potencialmente perigoso. Ao detectar tal situação é recomendado comunicar os responsáveis para averiguar a ameaça.

Quid Pro Quo

Significa “Dar e Receber” ou “Isto por Aquilo”. São ataques baseados no abuso de confiança e geralmente assumem a forma de um serviço ou pesquisa. Por exemplo, ser contatado por um “funcionário da TI” solicitando login e senha para efetuar uma limpeza no dispositivo. Ou, ainda, um e-mail do “RH” solicitando que seja respondida uma pesquisa de satisfação ou até mesmo o cadastro para um sorteio de brindes. Esses ataques são baseados principalmente no abuso de confiança. Para se proteger, basta ter em mente uma atitude cautelosa e nunca fornecer informações pessoais em algo que não foi iniciado por você. Na suspeita, a recomendação é retornar o contato usando o número de telefone que consta do site oficial da empresa e.  trocar a senha imediatamente. Além disso, utilizar senhas fortes e trocá-las regularmente é uma saída para evitar essas ameaças; os softwares gerenciadores de senhas podem ajudar nessa parte.

De forma geral, a dica para evitar esses tipos de ataques de engenharia social é suspeitar de e-mails ou mensagens solicitando informações internas e não fornecer informações pessoais, tampouco da organização, a um solicitante desconhecido. Outra dica é jamais enviar informações confidenciais por meio de links não verificados, e, manter sempre atualizados os softwares de firewall, os antivírus e os filtros de e-mail.

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti. A empresa é especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Segurança da Informação é (e deve ser) uma das maiores preocupações das grandes corporações. Você já deve ter ouvido falar que essa informação vale ouro. Diariamente, milhares de dados dos mais diversos tipos circulam na internet. Fica a pergunta: como manter esses dados em segurança?

Mas o que quer dizer Segurança da Informação? A Segurança da Informação (SI) diz respeito à proteção de dados. Ou seja, nada mais é do que a área responsável pela proteção desses dados e a redução dos riscos que possam vir a ocorrer caso eles sejam atacados.

Tradicionalmente a SI era composta por 3 prioridades básicas, conhecidas como os 3 pilares: a Confidencialidade, Integridade e Disponibilidade. Esse é um conceito conhecido como CID.

A Confidencialidade nada mais é do que a garantia de que essas informações trafeguem de forma sigilosa e confidencial, e que somente as pessoas autorizadas a essa informação tenham acesso a ela. Este pilar compreende também as restrições de quem pode ter acesso a determinado dado. Quanto mais limitado o acesso, mais segura a informação está.

A Integridade determina que a informação chegue até o destino de forma integra. Ou seja, que não tenha sofrido nenhum tipo de modificação não autorizada. Sendo assim a informação chegara ao destinatário tal como ela foi enviada. Esse pilar garante a veracidade da informação.

Já a Disponibilidade visa garantir que as informações estejam disponíveis para o usuário, a qualquer momento que ele precisar dela. Para este pilar, é necessário um grande investimento em infraestrutura, como backups por exemplo, a fim de reduzir as chances de o sistema de armazenamento ficar fora do ar.

Os novos pilares da segurança da informação

Atualmente contamos com mais 2 pilares: a Autenticidade e a Conformidade.

A Autenticidade, que visa garantir a origem da informação, ou seja, que essa informação seja proveniente de uma fonte confiável. Em outras palavras, é a Autenticidade que assegura que cada dado pertence a quem diz pertencer.

E a Conformidade, cujo objetivo é garantir que todo processo obedeça às normas e leis vigentes e devidamente regulamentadas.

É válido citar também que muitos profissionais da área de Segurança da Informação consideram como um sexto pilar a Irretratabilidade, ou o Não-Repúdio. Este pilar impede que algum usuário negue a autoria de determinada informação.

Como vimos, temos hoje 6 pilares da Segurança da Informação, os quais servem para padronizar normas e medidas de segurança afim de proteger as organizações de ameaças que possam causar perdas. Esses pilares também servem como parâmetro para eventuais auditorias e verificações no cumprimento da legislação e normas vigentes.

Tenha sempre em mente que a Segurança da Informação deve ser vista com mais apreço e ser colocada sempre entre as prioridades do departamento de tecnologia. Caso contrário sua empresa poderá correr perigo.

*Renato Mirabili Junior é Consultor de Cybersecurity na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.