É justamente por esse motivo que somos tão vulneráveis aos ataques cibernéticos, afirma Jake Moore, especialista em segurança cibernética da ESET e hacker “ético” com 14 anos de experiência em investigação forense digital e crimes cibernéticos. Jake está sempre motivado a seguir observando e analisando de que forma as pequenas empresas percebem a cibersegurança e lidam com assuntos relacionados. Na maioria dos casos, a resposta é: muito mal!
Vamos começar pelo outro lado. Como você está constantemente tentando dificultar a vida dos hackers, para muitos deles, você deve ser um alvo muito atraente. Alguma vez algum de seus dados já foram ameaçados?
Estamos começando a chegar no ponto principal! Mas não, eu nunca fui hackeado. Ou, ao menos, eu acho que não. Porém, alguém tentou duplicar minha conta do Instagram e começou a enviar mensagens para as pessoas, fingindo ser eu. Mas adivinhe, uma das pessoas para quem o invasor enviou uma mensagem foi um colega meu. E ele teve uma boa conversa com o invasor, confundindo-o, o que foi engraçado. Eu tenho todas as capturas de tela da conversa.
Embora eu nunca tenha sido vítima de um ataque cibernético, penso sempre que poderia ser. Sou extremamente cuidadoso, tenho cautela com os links em que clico, bem como com os anexos de e-mail e assim por diante.
Soa como uma abordagem “esperar pelo pior, preparar-se para o pior”?
Certamente. Às vezes, a minha esposa até me considera bastante rude ao telefone, mas estou apenas sendo cauteloso com ligações não solicitadas e me preparando para o pior cenário. Se apenas um maior número de pequenas empresas também pensassem dessa forma! Mas, infelizmente, essas empresas tendem a pensar que nada poderá acontecer com elas, o que é um pouco estranho. Afinal, todos somos um alvo. Muitas vezes, as pequenas empresas acreditam que os cibercriminosos preferem atacar os grandes players, mas, na verdade, hackear cem pequenas empresas pode ser muito mais fácil do que ir atrás de uma grande corporação.
Durante 14 anos, você trabalhou para a força policial de Dorset, no Reino Unido, especializada na investigação de crimes cibernéticos. Você também resolvia casos relacionados a pequenas e médias empresas (PMEs)?
Com frequência, eu costumava estar em contato com muitos comerciantes individuais, bem como empresas que tinham menos de 50 funcionários. Na maioria dos casos, eles não tinham ideia do quanto eram vulneráveis, pois consideravam que não havia recursos para investir na implementação de uma solução de cibersegurança, embora existam formas acessíveis ou até mesmo gratuitas de proteger uma empresa. Quando eu oferecia conselhos básicos, como empregar o uso da autenticação de dois fatores, eles frequentemente perguntavam: “O que é isso? Parece caro.” Eles estavam apenas deixando o caminho livre para os ataques. Para muitos, foi um erro fatal.
Em seu artigo recente, você escreveu sobre como se escondeu e se disfarçou como um assistente de produção de TV, o Jack para hackear a rede de um luxuoso clube de golfe. E você conseguiu! A equipe inclusive o deixou sozinho com os dispositivos da empresa, possibilitando que você explorasse toda a rede. Quais deveriam ter sido as ações por parte da equipe?
Primeiro, eles deveriam ter pedido algum tipo de identificação, especialmente se eu estivesse indo “atras do balcão”, por assim dizer, querendo inserir um pendrive em seus dispositivos. Essa é uma segurança básica, que já deveria chamar a atenção na situação. Entretanto, como eu havia visitado o clube de golfe uma semana antes para me apresentar, afirmando que o campo era lindo, o que, evidentemente, agradou muito a todos, pensavam que já me conheciam e confiaram em mim. Além disso, eu não esperava encontrar um dispositivo com Windows XP (o sistema operacional XP não é suportado desde 2014), que estava conectado ao equipamento de ponto de venda (POS), mais um alerta de segurança! Esses equipamentos podem até ser invadidos de forma remota. Os dispositivos deveriam estar atualizados com o sistema operacional mais recente. Diversas pequenas empresas mantém os sistemas de seus dispositivos desatualizados, pois consideram que, não apresentar defeitos significa não ter razões para consertá-los, mas na verdade, essa é uma enorme vulnerabilidade. Esse clube de golfe armazena grandes quantidades de dados, especialmente de pessoas muito ricas, e esses dados podem valer mais do que um ataque financeiro. Portanto, é muito convidativo para os hackers.
Esses ataques cibernéticos são uma estratégia comum dos cibercriminosos?
Especialmente antes da pandemia, li muito sobre as tentativas feitas por criminosos de entrarem nos bancos de dados por meio físico. Às vezes, eles fingem ser um operário, ou um carteiro. Agora, não há tanta facilidade, pois há um número menor de pessoas nos escritórios, sendo mais difícil para os hackers se esconderem. Mas penso que, quando as pessoas começarem a voltar ao escritório, esses ataques podem ressurgir com mais frequência, com o uso de máscaras faciais pelos cibercriminosos, aproveitando-se de um motivo válido para esconder ainda melhor sua identidade e seu rosto. As seguranças, tanto cibernética quanto física, devem ser consideradas de forma simutânea. Prevenir um ataque de que aconteça é uma estratégia muito melhor do que lidar com as consequências.
Algumas empresas contam com seguros cibernéticos?
Infelizmente! Eu diria que saber que possuem essa cobertura de segurança pode resultar em uma negligência em termos de prevenção. Não é a mesma coisa que ter um seguro de carro e receber o dinheiro de volta no caso de um acidente. O cibercrime não funciona assim. No caso de roubo de uma cópia digital, ela poderá ser multiplicada em todo o mundo, chegando a qualquer lugar. Portanto, mesmo com os custos do ataque sendo cobertos pela seguradora, ainda é necessário lidar com a perda de negócios e meios de subsistência. Essa é a razão pela qual não é recomendado confiar apenas no seguro cibernético. A estratégia ideal é interromper a causa antes mesmo que ela tenha efeito. Eu investiria mais dinheiro para evitar que o ataque acontecesse, em vez de me concentrar na análise de custos do seguro. Algumas companhias de seguros realizam até mesmo o pagamento do resgate, no caso de um ataque de ransomwares, financiando de forma direta, todo o ciclo de negócios de ataques desse tipo.
Os ensinamentos da série “Mr. Robot” sobre a cibersegurança
O fator humano costuma ser apontado como o maior inimigo da cibersegurança. Mas, com tantos erros potenciais que as pessoas podem cometer, é possível treinar todos os funcionários a um nível em que todos os comportamentos de risco são mitigados?
Penso que, ao menos, é possível aumentar o número de pessoas cientes dos fatores de ataque. As empresas nunca estarão 100% blindadas. Eu já fiz as pazes com isso. Sempre haverá pessoas cometendo erros. Porém, no atual momento, muitas pessoas estão vulneráveis. Meu palpite é que apenas uma parcela dos funcionários, na maioria das empresas, têm consciência cibernética. É espantosa a quantidade de pessoas que ainda utilizam a mesma senha para diferentes contas.
É possível educar as pessoas sem as assustar?
Essa é a linha de pensamento que estou tentando encontrar ao escrever meus artigos e planejar as atividades de conscientização. Tomei a decisão de me comunicar com bom humor, porque penso que se o conteúdo for engraçado, as pessoas continuarão lendo, e se eu conseguir inserir um pouco de instrução, meu trabalho estará feito. Quando eu comecei a ensinar sobre cibersegurança, as pessoas diziam que já estavam entediadas de ouvir as mesmas instruções de forma repetida. Então, eu me perguntei: será que essas pessoas alguma vez leram uma história pessoal e cativante? Provavelmente, não. Assim, comecei a escrevê-las. Quando as pessoas me contatam e dizem que leram meu artigo e começaram a dar atenção ao tema, sinto que meu dever foi cumprido. A educação deve ser divertida, interessante, sucinta. Os vídeos de instruções de cibersegurança, com duração de seis horas, simplesmente não funcionam.
Você acha que a série popular Mr. Robot também pode ser uma boa fonte de material educativo?
Uma fonte brilhante! Eu a adorei, e é bem verdade: as pessoas podem aprender muito com ela. Fica fácil perceber a simplicidade de hackear um dispositivo. E que nem todos os hackers se escondem em um porão, com capuz tapando o rosto – poderia ser qualquer um de nós.
Você invadiu (white-hacked) diversas empresas com fins de teste do nível de cibersegurança. Houve algum modelo que se destacou e poderia ser considerado completamente imune às suas tentativas?
Honestamente? Não. Todas as vezes, consegui exatamente o que queria. Mas tenho um sonho: sempre quis (eticamente) roubar um banco. Eu até perguntei ao Banco da Inglaterra, implorando se eu poderia tentar algo com sua rede. Eles responderam “de jeito nenhum”. Então, eu perguntei se eu poderia pelo menos roubar uma caneta.
...E eles permitiram?
Não, disseram-me para o devolver ao lugar à que pertencia. De qualquer forma, não desisti. Porque um dia, quero escrever um blog com o seguinte título: é assim que se rouba um banco.
Jake Moore, especialista em cibersegurança e porta-voz da ESET
Jake trabalhou, anteriormente, para a Polícia de Dorset, no Reino Unido, por 14 anos, investigando, principalmente, crimes cibernéticos na unidade forense digital, incluindo uma série de crimes, desde fraudes até o desaparecimento de crianças. Durante esse tempo, utilizando técnicas permitidas por lei, aprendeu a recuperar evidências digitais de dispositivos para auxiliar na proteção de vítimas inocentes. Ele se tornou um consultor de segurança cibernética para a força policial, oferecendo conselhos personalizados para o público, escolas e empresas locais, com o objetivo de ajudar a comunidade e desenvolver seus conhecimentos de segurança.
Ele também é um surfista apaixonado. Existe algum paralelo entre o surfe e o ciberespaço, os dois campos pelos quais ele é tão apaixonado? “Nenhum deles é possível de adivinhar. Tanto no ciberespaço quanto no mar: sempre espere o inesperado.”