Por douglas.nunes

Quase quatro milhões de transações fraudulentas online registradas em apenas um mês — uma para cada 31 brasileiros com acesso à internet. Esse é o saldo de um levantamento feito pela norte-americana ThreatMetrics, que monitorou 50 milhões de transações online realizadas em agosto dentro de um universo de 30 empresas dos setores financeiro e de comércio eletrônico, entre outros. O relatório elaborado pela empresa, especializada em segurança na web, aponta como maiores riscos presentes na internet brasileira a criação de contas falsas (4,1% do total geral de transações monitoradas), as tentativas fraudulentas de acesso a serviços (2,2%) e os pagamentos online comprometidos por falhas de segurança (1,4%). As fraudes foram detectadas antes que ocorressem.

Os maiores alvos de ataques no mês passado — segundo a ThreatMetrics — foram as empresas de comércio eletrônico e as instituições financeiras. Do total aproximado de 3,8 milhões de transações identificadas como tentativas de fraude, 850 mil estavam relacionadas a bancos e 800 mil a sites de comércio eletrônico. Os números indicam ainda que as operações via dispositivos móveis oferecem mais riscos que as feitas por meio de PCs. Na comparação entre os sistemas operacionais Android e iOS, o estudo indica riscos similares para os usuários de máquinas com o sistema operacional da Apple, com 3,1%, e do Google, 2,7%.

Apesar do número de ataques na casa dos milhões, os investimentos em segurança digital ainda estão longe de ser unanimidade mesmo dentro de grandes empresas que atuam no país. Especialmente na hora de discutir o orçamento corporativo. “Escuto com frequência dos executivos: ‘Se não tenho evidências do problema, não tenho como mostrar que aconteceu. Assim, é difícil ter orçamento’”, conta William Beer, sócio-diretor especialista em cyber segurança da brasileira Alvarez & Marsal.
Para registrar as tentativas de fraude e ainda assim evitar que acontecessem, a ThreatMetrics se baseou em escalas de risco elaboradas pelas próprias empresas. Companhias de e-commerce, por exemplo, normalmente podem se dar ao luxo de fazer a checagem manual de uma compra suspeita, já que há um intervalo de tempo entre o recebimento do pedido e o envio da mercadoria. Por isso, varejistas online tendem a adotar padrões de segurança menos severos que os dos bancos, que realizam transações em tempo real. “As empresas esperam ataques frontais em larga escala, o que em termos militares equivale a um tanque entrando pela porta da frente. Mas muitos hackers atacam como atiradores de elite, acertando um cliente de cada vez”, diz Chuck Buffum, vice-presidente da ThreatMetrix.

Na guerra eterna entre hackers e especialistas em segurança digital, os criminosos desenvolveram estratégias mais sutis para evitar que uma transação seja classificada como “de risco” pelos softwares de monitoramento usados por instituições financeiras. Se antes o objetivo primário dos hackers era apenas roubar dados bancários, hoje investem mais esforços para “tomar” contas, tanto em instituições financeiras como em varejistas online. Ao assumir o controle de uma conta corrente, a primeira providência do fraudador é alterar a senha, impedindo o acesso do verdadeiro correntista. A partir daí, o criminoso — com a ajuda de software específico — programa transferências de pequenas quantias para bancos diferentes, o que termina por zerar a conta ao longo de algumas semanas. As quantias menores têm mais chance de escapar dos controles automáticos dos bancos.

Dados roubados da base de um varejista podem servir para tomar outras contas digitais, nas quais podem existir dados de cartão de crédito armazenados. “Todos sabem que muitas pessoas usam o mesmo login e senha em vários sites. Ao roubar essas informações, o fraudador usa um programa para testar o mesmo login e senha em dezenas de outras páginas”, explica Buffum. “Os criminosos estão trabalhando em conjunto mas os bancos, não.”

Para Beer, da Alvarez & Marsal, as táticas adotadas por hackers brasileiros estão entre as mais complexas e criativas do mundo. “No Brasil, o ritmo da mudança tecnológica é muito rápido”, justifica o executivo, referindo-se ao avanço da internet no país. Outro ponto destacado pelo especialista é a fragilidade do quadro legal e regulatório no país quando se trata da proteção contra o vazamento de dados. “Por causa disso, os cybercriminosos se sentem relativamente seguros. Além disso, não há uma colaboração intensa entre o setor privado e o governo, como acontece em outros países”, argumenta.

Mesmo com os vazamentos recentes na web de fotos de celebridades, o vice-presidente da ThreatMetrix não considera a computação em nuvem um fator de risco. “A nuvem não é o inimigo”, afirma Buffum. O problema, para ele, está nas mídias sociais. “Pessoas mais jovens não têm a noção de que essa é uma exposição de longo prazo. Nas redes sociais há um excesso de informações pessoais disponíveis para serem usadas pelos caras maus”, sustenta.

Você pode gostar