Com o crescimento das transações digitais, os golpes pela internet explodiram. As compras, o Pix, as transferências e as empresas se tornaram alvos de quadrilhas especializadas em roubo de dados, de dinheiro, de sequestro do sistema de informações corporativas e até de ativos virtuais, a partir da disseminação das criptomoedas. Esse cenário apareceu na apresentação dos cenários para 2022 da consultoria de segurança de informação Karspersky, que o analista sênior da empresa, Fabio Assolini, detalhou nesta entrevista à coluna. Assim como a educação financeira, a informação sobre segurança na internet é essencial para evitar perda de parte das reservas ou até de patrimônio.
Por que está entre os prognósticos da Kaspersky o aumento de golpes envolvendo criptoativos?
Já existem muitas fraudes envolvendo esse tido de ativo, e vemos forte tendência de aumento no próximo ano. O momento pelo qual estamos passando, com forte inflação, desvalorização de moedas, pesa para que se tornem mais atrativos. É um cenário global. Pessoas veem nas criptomoedas alternativas de investimento. E é aí que aparecem os golpistas.
Há tendência de aumento de golpes apenas na internet, ou os mais antigos, que usam criptomoedas apenas como fachada, como ocorreu no Estado?Estamos falando de todo tipo de golpe, inclusive o que usa pirâmides. O esquema Ponzi (quando grandes ganhos são prometidos e pagos aos primeiros clientes, mas que se originam de novas adesões, não em receitas geradas por um negócio real) tem um lado tecnológico. O convite, a filiação, tudo ocorre online. Teoricamente, o cliente monitora seu saldo, mas são dados falsos. Isso vai se ampliar em 2022, muito devido ao cenário econômico. Vemos muita gente perdendo dinheiro. Um conhecido meu de Santa Catarina perdeu mais de R$ 2 mil com uma corretora falsa. Prometem lucros absurdos, e muita gente tem caído. Parte do golpe envolve o uso de nome de corretoras já estabelecidas e legítimas.
Um bom antivírus ajuda muito, porque identifica mensagens e sites falsos. Também existem softwares antiroubo que protegem da maior parte dos esquemas, que são muitos.
Como é possível se defender?
Hoje é muito comum encontrar sites falsos de corretoras legítimas. Um dos objetivos é roubar a wallet (carteira) de investimentos em criptoativos. Um dos meios mais frequentes é o ataque fishing (e-mails ou outras mensagens com links para sites falsos). Aí, rouba nome, senha. Isso acontece porque a maioria dos usuários ainda não usa dupla verificação. Também há ciberataques de complexidade maior, mas ainda são mais comuns fora do Brasil e afetam grandes investidores. Uma forma é o SIM swap, em que o golpista ativa o mesmo número de celular em outro chip (a partir do roubo de dados, o criminoso liga para o operadora como se fosse o usuário, fornece as informações necessárias e pede a ativação do número no novo chip, ganhando acesso a ligações, SMS e senhas, inclusive do WhatsApp). Nesse caso, quando ativam, recebem código enviado pela corretora para completar a dupla autenticação. É um dos golpes mais sofisticados, destinado a roubar criptoativos de quem já usa.
Como evitar?
Uma das soluções é fazer dupla autenticação, não por SMS, mas baseada em app externo. Um dos mais conhecidos é o Google Authenticator, mas há outros. É o cenário mais seguro para investir em cripto. Também é preciso ficar de olho em mensagens falsas. Nesse caso, um bom antivírus ajuda muito, porque identifica mensagens e sites falsos. Também existem softwares antiroubo que protegem da maior parte dos esquemas, que são muitos.
Neste ano, mais da metade das operações bancárias foram feitas em mobile banking. Em 2022, deve ser ainda maior. Com mais transações online, crescem as fraudes e os golpes.
Não é só quem aceita o risco dos criptoativos que se expõe a ataques, todos os que usamos banco digital também precisamos cuidar da segurança?
Exato, o tipo de código malicioso mais comum no Brasil são os trojans (programa malicioso escondido em um programa comum). Desde o começo da pandemia, houve grande expansão do uso de apps de banco no celular. Neste ano, mais da metade das operações bancárias foram feitas em mobile banking. Em 2022, deve ser ainda maior. Com mais transações online, crescem as fraudes e os golpes. Há uma concentração forte de famílias querendo infectar smartphones que permitem acesso remoto. Conseguem acessar o aparelho, abrir app financeiros e roubar saldos. Para 2022, estamos prevendo a consolidação dessas famílias, quer dizer, devem juntar operações para continuar esses ataques.
O que são essas "famílias"?
São vírus feitos pelo mesmo cibercriminoso, com características comuns. Um dos mais conhecidos é o Ghimob, desenvolvido no Brasil. É um app malicioso, que as pessoas instalam no celular achando que é um joguinho ou um pacote de figurinhas. Entra e espera o momento para abrir os apps financeiros e roubar o saldo da conta. Isso vai aumentar muito em 2022 pelo crescimento do mobile banking.
Ter um aparelho secundário com o app e outro só com R$ 50 na wallet em caso de necessidade é o que os cariocas chamam de "celular do bandido". Isso é algo sugerido para evitar o roubo físico, mas ainda há risco de roubo digital.
Precisamos ter um celular específico para o app do banco, que fica em casa, como algumas pessoas estão fazendo?
A ideia de ter dois se deve a uma grande onda de roubos de celular. Os criminosos desbloqueiam e fazem a limpa na conta. Ter um aparelho secundário com o app e outro só com R$ 50 na wallet em caso de necessidade é o que os cariocas chamam de "celular do bandido". Isso é algo sugerido para evitar o roubo físico, mas ainda há risco de roubo digital. O vírus ainda pode infectar o aparelho que está em casa. O melhor é ter um bom antivírus no celular. Vai verificar todos os novos apps instalados, inclusive os que podem limpar a conta bancária. Hoje se faz tudo pelo celular, Pix, pagamento por proximidade. Se vê que tem barreira, o criminoso vai embora, não quer perder tempo.
E vamos seguir vendo casos de ataques a empresas com pedidos de resgate, os ramsonwares, como vimos com frequência neste ano?
Esses criminosos já estão seletivos hoje, quando se compara com a onda de 2016 a 2017. Na época, atiravam em quem acertavam, roubando US$ 200 ou US$ 300. Hoje, são grupos altamente organizados que fazem ataques sofisticados. Não perdem tempo com usuário doméstico. Em 2022, devem ficar ainda mais seletivos. O foco hoje é mirar em empresas de países com lei de proteção de dados. Como o Brasil tem a LGPD, eles pedem dois resgates. Cifram dados para que os empregados não consigam trabalhar se não tiverem um bom backup. Esse é o primeiro pedido de resgate, para devolver os dados. O outro é para que não vazem, e a empresa seja multada. A empresa fica em situação difícil: paga o resgate ou não? Se deixar os dados vazarem, pode pagar multa de até 2% do faturamento. A tendência é aceitar o resgate para resolver da forma mais rápida possível. Quando falo com clientes que querem fazer isso, costumo perguntar 'e se for atacado na próxima semana, vai pagar de novo?'.
As empresas têm de rever todo seu fluxo interno e a estratégia de gestão da informação, ter profissionais qualificados, monitor as redes de forma constante, ver todo incidente, para identificar um ataque logo no começo e poder barrar.
Qual a alternativa?
Nesse caso, não há bala de prata. Não há um produto que se compra e ponto final, está tudo resolvido. É preciso adotar toda uma mentalidade de proteção de dados. As empresas têm de rever todo seu fluxo interno e a estratégia de gestão da informação, ter profissionais qualificados, monitor as redes de forma constante, ver todo incidente, para identificar um ataque logo no começo e poder barrar. Isso não se faz do dia para a noite. No Brasil e na América Latina, o mais comum é fazer isso depois que são vítimas. Em 2022, esses grupos vão estar mais seletivos, o que é ruim para o Brasil, que tem LGPD.
Isso significa que a LGPD deveria ser extinta ou modificada?
Não, a lei é superpositiva, força as empresas a melhorar sua segurança interna. Como consumidor, é péssimo quando não cuida e os dados vazam. A empresa pede meu cartão, e quem fica com prejuízo sou eu, como consumidor? A culpa é da empresa que não cuidou de dados como deveria. positiva. Isso deve levar as empresas a rever as proteções que têm e fazer as mudanças necessárias para operar em cenário seguro. Não sou contra a lei, ao contrário, sou totalmente a favor. Seu propósito é que as empresas melhorem. É ruim sofrer penalidade, mas tiveram tempo hábil para se adaptar e melhorar a segurança interna. Essa é a melhor proteção ao ataque e é positivo para os consumidores e as pessoas que compram online.
São muito reativas (redes sociais), demoram a responder nesses casos. Quando respondem e tiram o perfil do ar, já se formou uma rede de bots, e o estrago já foi feito.
Vocês também apontam o risco de o Brasil virar "fábrica de trolls" em 2022 porque será ano eleitoral?
Sim, dizemos que 2022 deve ser uma fábrica de trolls, de perfis falsos. Deve ser um grande problema, como foi na mais recente eleição à Presidência. Um dos motivos é o fato de as plataformas sociais serem muito falhas em resolver esse problema. São muito reativas, demoram a responder nesses casos. Quando respondem e tiram o perfil do ar, já se formou uma rede de bots, e o estrago já foi feito. Não por acaso, uma das empresa mais lentas é a dona do Facebook, do Instagram e dos WhatsApp, as mais usadas no Brasil.
O Facebook foi acusado de fazer isso não por leniência, mas por lucratividade, é assim mesmo?
Vimos esse comportamento não só em caso de trolls, fake news e política, onde há fraudes escancaradas. Mas é o mesmo em relação a varejistas online. Alguém cria um perfil falso, compra propaganda nessa plataforma para anunciar site falso, que anuncia TV por R$ 50o. Muita gente sabe que não é possível, mas muita gente vai acreditar e clicar. A mesma plataforma hospeda, vende anúncio e, quando a empresa legítima denuncia, são lentas para tirar do ar. Se são lentas para a fraude comum, que envolve risco de batalhas jurídicas, imagina para a rede de bots, zumbis e perfis falsos. Esse tipo de atuação, com abuso de redes sociais, será comum no próximo ano, que será turbulento.
A menos que mudem algo, fica mais fácil para criminoso ou fraudador. Por enquanto, não vi nada de concreto. No entanto, agora existe uma pressão maior, pode ser que funcione.
O TSE "perdoou" o que houve em 2018, mas avisou que em 2022 não pode voltar a acontecer. Dá para confiar?
Gostaria que as redes fizessem um monitoramento melhor. Em tese, ainda dá tempo, faltam alguns meses. Ainda é muito fácil criar um perfil falso e usar para fraude. Não há verificação prévia. As redes ainda são muito reativas. A menos que mudem algo, fica mais fácil para criminoso ou fraudador. Por enquanto, não vi nada de concreto. No entanto, agora existe uma pressão maior, pode ser que funcione. Mas a probabilidade da fábrica de bots ainda é alta.
