O perigo dos ataques cibernéticos despercebidos

"Olá Paul. A gente se conheceu um pouco melhor há quatro semanas na festa da Cebit :). As caipirinhas no estante de vocês não estavam nada mal. Eu anexei algumas fotos que eu tirei de você e da sua simpática colega Susanne. Tudo de bom e a gente se vê no ano que vem em Hannover. Rob."

Paul trabalha numa grande empresa alemã de telecomunicações. Ele não consegue se lembrar de ter conhecido alguém chamado Rob. É verdade que na festa de encerramento, ele bebeu algumas caipirinhas e teve uma noite divertida. Então, sem titubear, ele clica no anexo do e-mail. Mas parece estar defeituoso, porque nada acontece. 

Ataque através da "engenharia social"

Mas a aparência pode enganar. Na verdade, Paul acabou de infectar seu computador e o servidor da sua empresa com um spyware. Um software escrito de forma a não ser detectado por programas antivírus convencionais. A partir daquele momento, "Rob" passa a ter acesso ao sistema de TI (tecnologia de informação) da empresa. O hacker encontrou as informações sobre a festa na feira de informática no Facebook de Paul.

"Social Engineering" ou engenharia social – é o nome dado por especialistas aos ataques direcionados a funcionários de empresas. Esse método é tão eficaz quanto perigoso. Também nos recentes ataques cibernéticos aos jornais norte americanos New York Times, Wall Street Journal e Washington Post e-mails infectados exerceram um papel importante. Nesses casos, todas as evidências levam a crer que os ataques tiveram origem na China.

Percepção de risco subjetiva

A  China, seguida da Rússia e do resto da Europa Oriental – esses são os principais locais de origem de ataques eletrônicos a empresas alemãs. Essa é a opinião de pelo menos 500 lideranças empresarias de todos o setores e tamanhos de empresa, que foram questionados pela firma de consultora e assessoria KPMG sobre o tema crime eletrônico.

Não pode se dizer com certeza absoluta quem está por trás desses ataques, avalia Alexander Geschonneck, um dos diretores da pesquisa. E, em um ponto, a avaliação dos executivos alemães é bastante subjetiva. Na percepção de risco dos entrevistados, as outras empresas eram afetadas e não a própria. "Eles são atacados, mas nunca acontece comigo. Esse principio de St. Florian é muito surpreendente e comprova realmente que as empresas se sentem mais seguras do que elas realmente são", disse Geschonneck.

Vulnerabilidade na internet

Também Alexandre Geschonneck acha que a ideia de uma blindagem total é errada e ilusória. Ele aconselha as empresas a se concentrarem na proteção dos dados mais importantes.

É recomendado também lançar um olhar crítico sobre os próprios funcionários, como mostra um caso excepcional nos EUA. Em uma avaliação de segurança, uma empresa registrou acessos regulares à sua intranet provenientes da China. Mas por trás disso, não estavam hackers: um funcionário muito esperto – ou muito folgado – deixou que uma empresa chinesa fizesse seu trabalho, em troca de uma pequena parte do salário. Para esse empresa ter acesso à rede interna de segurança, ele simplesmente enviou um gerador de senhas pelo correio. 

Autora: Danhong Zhang (msg)
Revisão: