É uma verdade que todos nós estamos cansados de saber: o crime cibernético se reinventa e se aprimora diariamente, a uma velocidade que é difícil de acompanhar até mesmo por quem trabalha com o assunto. E foi pensando em trazer uma visão mais ampla e multifacetada sobre o tema que a Eskive promoveu, no dia 18 de novembro, o 1º Painel Eskive | Desafios e Estratégias sobre o Cibercrime no Brasil.
O evento — totalmente online e gratuito — reuniu virtualmente centenas de espectadores para assistir a um debate entre nomes de peso: Rodrigo Lange (perito criminal na Polícia Federal com quase duas décadas de experiência em perícia digital), Emerson Cardoso (diretor de segurança da informação na CPFL Energia), Juliana D’Addio (Security Culture Strategist no Banco Santander) e Priscila Meyer (CEO e fundadora da Eskive).
Colaborando com as suas experiências e perspectivas únicas, os especialistas forneceram insights preciosos sobre como estão agindo os meliantes digitais, no quê eles estão mirando e o que pode (ou melhor, deve!) ser feito tanto pelos usuários finais quanto pelas empresas para blindar a sua privacidade e dados sigilosos. Vamos recapitular alguns dos pontos mais críticos da discussão?
“O que mais preocupa não é o aumento da sofisticação técnica, mas sim a industrialização do crime cibernético”, explica Lange. O perito ressaltou que, hoje, qualquer indivíduo que deseje aplicar golpes pode contratar um cibercrime-como-serviço, com ferramentas prontas e até mesmo suporte especializado — algo no mesmo nível que temos ao contratar um SaaS convencional, por exemplo.
Para o perito, também são pontos de atenção o uso da inteligência artificial (que aumenta a automação de ataques personalizados e descoberta de vulnerabilidades) e o aumento no foco às third-parties, que visa explorar falhas em APIs, integrações mal-protegidas e infraestruturas de parceiros que não possuem tantos controles de segurança quanto a empresa contratada. Trata-se de algo, aliás, citado na última versão do OWASP Top Ten.
“Todo esse cenário reflete um cenário no qual as empresas, tanto públicas quanto privadas, precisam investir no monitoramento de seus ativos e de ataques internos e externos, ter mecanismos fortes de autenticação, aplicar um controle de identidade robusto e ter iniciativas para a educação de seus funcionários”, conclui Lange.
Por falar em identidade, esta é uma questão em alta no mercado da cibersegurança. Como bem observado por Meyer, métodos simples de autenticação estão sendo substituídos por técnicas avançadas como análises comportamentais contínuas e rigorosas, para garantir que a credencial privilegiada esteja sendo utilizada por quem deveria. Essa, diz Juliana, foi uma das primeiras preocupações que surgiram na área de prevenção à fraude.
Além do roubo e uso indevido de credenciais, as evoluções da engenharia social e formas mais elaboradas de manipulação psicológica das vítimas também torna mais difícil a vida de quem tem a missão de proteger a população. Afinal, não se pode lutar contra um usuário legítimo agindo sob sua própria vontade, acreditando que está realizando uma ação que não representa perigo algum.
“Quem está do outro lado? É o cliente ou é um criminoso se passando por ele? Na evolução deste cenário, começamos a ver uma diferenciação entre fraudes que envolvem invasões de contas, por exemplo, das fraudes nas quais o próprio cliente está fazendo a transação”, explica. “É urgente incluirmos, cada vez mais, investir na educação e na capacitação das pessoas, e não apenas em tecnologia”.
Outro tema discutido durante o painel e que está em voga entre os profissionais da área é o aumento do recrutamento de insiders maliciosos — algo que sempre ocorreu, mas está se tornando cada vez mais comum especialmente através das redes sociais. Rodrigo explica que uma das causas desse fenômeno é a falsa sensação de invulnerabilidade por parte de quem é corrompido, o que não representa a realidade.
“É importante que as empresas criem mecanismos internos para denúncias de tentativas de corrupção desses colaboradores. Elas devem encorajar que, quem for abordado por criminosos de qualquer forma possível, realize tais denúncias que serão encaminhadas para os órgãos policiais. Dessa forma, as autoridades poderão adotar as medidas investigativas necessárias, punindo-os de forma adequada”, relata.
Outras iniciativas que podem reduzir esse tipo de problema é uma maior segregação de privilégios e, novamente, investir em monitoramento proativo para identificar comportamentos fora do comum, o que pode indicar uma ação criminosa.
“Não podemos cair na falha de pensar que a ferramenta irá resolver tudo. Ela será, sim, a base para evitar o vazamento de informações e credenciais. Porém, devem existir normas, políticas, enfim, todo o aspecto para tornar a ferramenta funcional e manter tais instruções sempre atualizadas”, observa Emerson.
Em resumo, o 1º Painel Eskive deixou claro que a profissionalização do cibercrime — que, até décadas atrás, era uma prática isolada de um único ator malicioso com conhecimentos técnicos de informática — está transformando todo o panorama de defesa de ativos digitais.
Os atacantes estão mais organizados, possuem mais recursos para ocultar suas atividades fraudulentas (como o uso de criptomoedas para despistar transações) e têm uma superfície de ataque ampliada pelas novas modalidades de trabalho.
Cadeias de suprimento cada vez mais complexas, interligadas e interdependentes podem gerar pontos de falha que não existiriam caso estivessem separadas, exigindo uma atenção maior por parte de quem contrata e de quem oferece serviços.
Além disso, a inteligência artificial está permitindo a aplicação de ataques em escala, com flexibilidade e maior agilidade, graças aos recursos de automação oferecidos pelos LLMs.
Por fim, mas obviamente não menos importante, temos o fator humano, que sempre foi e sempre será um ponto crítico em qualquer estratégia de segurança. É mais urgente do que nunca o estabelecimento de uma cultura que priorize os colaboradores — não apenas educando-os sobre as novas ameaças, mas também prestando suporte para tentativas de aliciamento e observando comportamentos anômalos de agentes internos maliciosos.
Não deixe de assistir ao painel na íntegra; clique aqui ou na imagem abaixo para acessar gratuitamente!