11 tendências de cibersegurança para 2021

Se 2021 for tão surpreendente quanto 2020 é bom você se preocupar ainda mais com a cibersegurança da sua empresa.

Tá, você já até imagina que vou falar sobre a pandemia e do Covid-19, certo? Mas você tem que dar o braço a torcer que, de fato, ela está muito ligada com as mudanças que passamos em 2020, principalmente aquelas ligadas à segurança digital da sua empresa e seus clientes. Mas prometo ser breve.

Vamos direto ao assunto: a pandemia aumentou — e muito — a superfície de ataque dos cibercriminosos. Inúmeras empresas aceleraram ou se viram obrigadas a tornar o trabalho remoto parte do sistema e dos processos de negócio, aumentando a adesão e a necessidade de serviços baseados em nuvem, da comunicação online e da tecnologia como aliada no dia a dia dos colaboradores.

Retrospectiva 2020: o ano que vai marcar história

No Brasil

Em fevereiro de 2020 vimos isso na prática: registramos um crescimento de 308% de phishing, comparado ao mesmo período em 2019. Nesse mesmo trimestre, detectamos quase 11 mil páginas falsas que visavam a captura de dados de consumidores, recorde trimestral. Em geral, os ataques virtuais aumentaram em 300% por conta da pandemia.

A Black Friday de 2020 registrou um aumento de 36,79% nos ataques de phishing. De acordo com o Posso Confiar Nesse Site, portal que analisa a credibilidade de sites e lojas online, lançado no dia 23, 46,2% dos sites consultados não eram confiáveis ou eram fraudulentos. E somado a tudo isso, um outro fator alarmante: só no Brasil, foram registradas mais de 3,4 milhões de tentativas de ataques cibernéticos em 2020. Estudos do Instituto Ponemon, apontam que 63% das empresas brasileiras tiveram problemas com dados.

E não parou por aí, houve também duas falhas em portais do Ministério da Saúde que deixaram dados de milhões de brasileiros expostos. Primeiro, 16 milhões de pacientes de COVID, com CPF, endereço, telefone e doenças pré-existentes, foram vazadas, inclusive do presidente Jair Bolsonaro e família.

Na segunda falha, o Ministério da Saúde deixou expostos, por aproximadamente seis meses, dados de 243 milhões de brasileiros, inclusive de pessoas já falecidas. No primeiro vazamento, somente pacientes de covid-19 tiveram a privacidade violada, neste qualquer pessoa cadastrada no SUS ou beneficiária de plano de saúde teve seus dados pessoais expostos.

No mundo

O Zoom, software de videoconferências, apresentou problemas recorrentes de segurança e tornou-se alvo de diversos ataques: hackers conseguiram decifrar senhas de salas de reunião, mas um ataque em particular, chamou a atenção: o “zoombombing” consiste na invasão e interrupção de reuniões para expor conteúdo racista ou inapropriado.

Mais tarde, a SolarWinds, empresa americana de softwares de gerenciamento de redes foi hackeada, por meio da inserção de códigos maliciosos na última atualização Orion, um de seus principais produtos.

A versão contaminada do software foi distribuída de abril a junho de 2020, e tinha uma backdoor para possibilitar o acesso de hackers. A SolarWinds tem ligação com o governo norte-americano e com 400 das 500 empresas milionárias da lista Fortune 500.

Empresas como Microsoft e Google também foram invadidas. O Google, por exemplo, observou instabilidade no motor de busca, Gmail e Youtube. A Microsoft, por sua vez, ajudou na identificação da forma pela qual a SolarWinds foi invadida.

O modus operandi do cibercrime em 2021

É importante dizer que muitos dos ataques, fraudes e golpes que serão mencionados a seguir não são grandes novidades — nós já até comentamos sobre algumas delas no início de 2020 — mas a expectativa é de que eles aumentem em quantidade e qualidade, ou seja, teremos um maior volume de incidência desses ataques com eficácia incrementada.

Um aspecto importante é que estes ataques mais comuns, tais como phishing, ransomwares, trojans (o famoso cavalo de Tróia) e botnets, estão tornando-se cada vez mais elaborados, observando a tendência para automação, que os fazem ganhar variedade, frequência e escalabilidade.

Relembremos um dado importante mencionado em diversos veículos em meados de 2019: é esperado que 6 trilhões de dólares seja o custo dos cibercrimes até 2021. Por isso, vamos pontuar as principais ameaças e pontos de atenção para sua empresa ficar ligada no ano que vem.

Bring (Use) your Own Device (Traga ou Use Seu Próprio Dispositivo)

A tendência é que o home office se estabilize como modelo principal de trabalho em grande parte das empresas. Isso quer dizer que a superfície de ataque em constante crescimento, continua em 2021.

A utilização de dispositivos pessoais em atividades relacionadas ao trabalho já era pauta no que chamávamos BYOD, sigla em inglês para “Traga seu Próprio Dispositivo”. Em casa, temos de concordar que a utilização do dispositivo próprio traz menos fricção para o colaborador, no entanto, há muito mais possibilidades de ataque para hackers.

Com isso, ficou extremamente difícil para as empresas garantirem que seus colaboradores mantivessem os mesmos padrões de segurança que existiam dentro do escritório. Dessa forma, o uso de VPNs se tornou quase que obrigatório para acessar sistemas internos, considerando que muitos funcionários estavam trabalhando com redes domésticas com baixa segurança ou, até pior, de locais públicos.

Além disso, nem todos os colaboradores de uma empresa sabem como ativar adequadamente o firewall da sua máquina de trabalho.

São coisas aparentemente pequenas, mas em uma empresa na qual o trabalho remoto nunca foi sequer imaginado antes, essas mudanças podem representar um grande problema, permitindo que cibercriminosos tenham fácil acesso à máquinas em casa, credenciais de e-mails, redes sociais e muito mais.

Além disso, pesquisas apontam que estresse e distração no home office fazem com que colaboradores cometam mais erros de cibersegurança. Um dos grandes erros, por exemplo, é clicar em e-mails de phishing.

Phishing e smishing

Ah, o phishing, o cibercrime mais utilizado pelos cibercriminosos. Permeados pelas fake news e ansiedade generalizada em relação à Covid, dispararam os ataques de phishing que se utilizam de engenharia social, principalmente em golpes no WhatsApp que, de acordo com pesquisa da PSafe, atingiram 2 milhões de brasileiros.

Só no segundo trimestre, observamos um aumento de 64,5% na incidência desse tipo de ataque. E 113% no acumulado de seis meses. A Black Friday também foi uma zona de guerra: nós identificamos 10 mil casos de phishing só na semana do dia 23 a 28 de novembro. Só no dia 27, sexta-feira, foram quase 2 mil casos detectados.

É previsto um aumento considerável no número de golpes executados com phishing, levando em conta a gigante utilização de emails e ferramentas de comunicação instantânea no dia a dia do trabalho.

Se por um lado essas ferramentas têm inteligência e recomendações que ajudam usuários a se proteger contra hackers e spam, por outro, os cibercriminosos estão ficando mais espertos. Nesse sentido, devemos ver um aumento também em golpes pelo WhatsApp, chamado de account takeover. Smishing é a utilização das mesmas táticas do phishing só que via mensagem de texto. A tendência é sair dos emails e ir para ferramentas mais pessoais, onde os usuários estão mais propensos a confiar.

Cloud computing

Quem é que não utiliza a nuvem hoje em dia, certo? Devemos somente lembrar que muitas empresas que não estavam na nuvem e utilizavam documentos físicos foram obrigadas a contratar soluções remotas com compartilhamento em nuvem.

De novo, vamos utilizar esse termo: a superfície de ataque aumentou e, portanto, aplicações de servidores, armazenamento em cloud e containers serão destaque entre os alvos de cibercriminosos, apesar de todos os protocolos de segurança que grandes servidores como Google e Microsoft garantem.

É importante mencionar que o comportamento do cibercriminoso é procurar por facilidades, mas também por desafios, como troféus. Isso quer dizer que tanto pequenos servidores locais como grandes nomes mundiais do cloud computing podem estar dentre os alvos.

Internet das Coisas

É, pois é! Nem Marty McFly e Doc Brown (De Volta para o Futuro) poderiam imaginar que teríamos tanta coisa conectada à internet: geladeiras, cafeteiras, assistentes virtuais, casas inteligentes, monitores de diabetes, e olha que nem estamos falando de dispositivos industriais.

O aumento da utilização da IoT tem gerado cada vez mais interesse de hackers e cibercriminosos. Esse interesse se dá por conta do volume de dados comportamentais gerados, já que estamos falando de dados pessoais, financeiros, de saúde e educacionais. Até cafeteira inteligente e brinquedo sexual já foram invadidos. A invasão de dispositivos conectados pessoais pode implicar no aumento de pedidos de resgate da parte dos cibercriminosos.

Inteligência artificial e grandes ameaças

E já que falamos de filmes, em Eu Robô, Will Smith nem imaginava que seria possível sim, já em 2020, utilizar a inteligência artificial para beneficiar o cibercrime.

Já foram identificados casos em que a inteligência artificial foi utilizada para criação de algoritmos de identificação facial, encontrando fotos de rostos alvos. Isso pode ser um grande passo para a modalidade de spear phishing, que tem alvos específicos para ataques, como executivos.

Além disso, a criação de malwares e ransomwares pode ser atrelada à automação baseada em AI, o que, como já dissemos, pode evoluir esses golpes em número e eficácia consideravelmente.

Fileless Malware

Um tipo de malware que está em alta e tem previsão de não sair desse ranking em 2021 é o Fileless Malware. Além dos tradicionais malwares e sniffers que estamos acostumados a lidar por aqui, há uma evolução: uma ameaça que não usa nenhum tipo de arquivo, que faz com que softwares e antivírus se tornem obsoletos, uma vez que, em suas varreduras pela máquina, não encontra o arquivo .exe.

Em computadores Windows, o Fileless Malware utiliza de outros recursos para infectar as máquinas, como PowerShell, os protocolos .NET Framework e .NET Cora, onde o PowerShell é construído, sem falar no famoso Regedit, o registro e banco de dados com as configurações do próprio sistema e de outros aplicativos.

O crescente uso direcionado de ransomware

De acordo com relatório da Getapp, 28% das empresas entrevistadas sofreram um ataque de ransomware em 2020. Destas, 75% optaram por pagar o resgate, mesmo violando o Código Penal brasileiro sobre pagamento de resgates aos grupos criminosos. Isso é um aumento considerável em relação ao ano anterior.

Esse número nos diz que o comportamento está em uma crescente e o fato das empresas cederem e, de certa forma, premiarem os autores dos ataques, só reforça a taxa de sucesso dessa modalidade de invasão, tornando-a ainda mais atrativa para cibercriminosos. Observa-se também que a exfiltração e extorsão, modus operandi bastante conhecido, que utiliza o roubo de dados para pressionar o pagamento do resgate, estão em alta.

Credential Stuffing

Zoom e Spotify foram grandes alvos de credential stuffing em 2020. Só do Spotify, foram 350 mil credenciais vazadas. Péssima notícia para quem usa o mesmo email e senha em diferentes logins.

Há um grande movimento para monetizar as senhas e credenciais vazadas ou adquiridas ilegalmente. É possível encontrá-lo em sites da Surface, Deep e Dark Web onde ocorre o comércio dessas credenciais.

Com a automação e a intensificação do uso de bots, é esperado que o números de vazamentos e credenciais roubadas aumentem ainda mais em 2021. Principalmente no setor financeiro: o próprio FBI aponta que 41% dos ataques ao segmento são casos de credential stuffing.

Deepfake

Com as ferramentas certas é possível, em tempos de inteligência artificial, fraudar praticamente tudo. Tendo isso em mente, precisamos alertar: o número de deepfakes cresceu 84% este ano, muito atrelado à evolução tecnológica dessas ferramentas., de acordo com a Deeptrace Labs.

Deepfake é uma “falsificação profunda”, bem elaborada, por meio da combinação de imagens e sons utilizando o machine learning. Elas podem, inclusive, fazer pronunciamentos oficiais de pessoas conhecidas (como o próprio Donald Trump “brincou” com a campanha de Biden nas eleições norte-americanas) e até colocar famosos e executivos em imagens inapropriadas ou solicitando urgência em algum depósito ou transferência de altos valores.

Exposição de dados não intencional

Como vimos no caso do Ministério da Saúde, ambos os vazamentos de dados foram não intencionais. Por mais que possam ter sido divulgadas em plataformas que comumente hackers e cibercriminosos utilizam, não houve a intenção dos portais do Ministério de expor conscientemente esses dados. Foram apenas duas falhas encontradas em seus portais. Essas “pequenas falhas” foram com certeza a maior violação à privacidade de dados que já vimos no país.

O que quero destacar aqui é: foram apenas duas falhas. Mas, responsáveis por expor não intencionalmente dados de todos os 210 milhões de brasileiros registrados no SUS, além de mais 33 milhões de brasileiros adicionais, já falecidos.

Entenda, depois dessa catástrofe, nenhum outro vazamento será tão impactante quanto. Por mais que uma empresa vaze nome e sobrenome, CPF, RG, nome do pai e da mãe de seus clientes, ela não poderá ser responsabilizada simplesmente porque esses dados já estão expostos. A gravidade disso é muito grande. No nosso universo, consideramos um vazamento de 100 mil usuários uma coisa impactante, diga lá 243 milhões.

A primeira exposição é menor em número, afinal foram “só” 16 milhões de brasileiros expostos, mas muito pior na profundidade das informações: nome completo, endereço e número de telefone já fazem um estrago, certo? Mas o que você me diz sobre detalhes da condição de saúde desses pacientes? Histórico de doenças, gestação e parentes relacionados. Tudo que um cibercriminoso precisa para abrir uma conta em um banco, por exemplo.

Data Privacy

Não podemos deixar de mencionar que a segurança e proteção da privacidade de dados estão em pauta. Na Europa, com a GDPR (General Data Protection Regulation), Estados Unidos com CCAP (California Consumer Privacy Act) e no Brasil com a LGPD, a Lei Geral de Proteção de Dados visam regulamentar como as empresas devem lidar com a privacidade de seus clientes e usuários, implicando até em caso de infração.

Temos visto no mercado cada vez mais preocupação com a privacidade dos dados gerenciados por empresas. Quem nunca entrou num site com o botão de “eu concordo que esse site analise meus cookies”, e os formulários com a opção de opt-in em newsletters, e-mails promocionais, educacionais, etc. Prepare-se para ver muito mais disso e esteja atento para se enquadrar nessa tendência. Isso é a contrapartida do número absurdo de vazamentos de credenciais (login e senhas) de emails, por exemplo, em 2020: pasme, mais de 5 bilhões de email e senhas, de acordo com estudo da PSafe. Desses, 4 bilhões são de emails pessoais e mais de 900 milhões de contas corporativas.

Para proteger sua empresa disso, temos outro ponto importante: diversas instituições de ensino vêm fomentando a formação de um novo (ou não tão novo assim) tipo de profissional: Data Protection Officer.

Tão importante quanto o CMO ou CFO da sua empresa, esse profissional será o guardião dos dados da sua empresa e seus clientes, propondo uma atitude muito mais ativa nesse assunto.

Essa é uma necessidade urgente no Brasil, já que estudos apontam que a chance de ter seus dados vazados na Terra Brasilis é de 43%, comparados aos 14% da Alemanha e 17% da Austrália, países engajados na proteção de dados e com culturas de segurança da informação mais bem estruturadas.

Como se proteger, então?

A grande dica aqui é criar uma cultura de cibersegurança sólida na sua empresa. Tenha em mente que, mais que nunca, os dados de seus clientes são extremamente importantes e mais atraentes para o cibercriminosos.

Eu sei que já gastamos o assunto, mas quem alerta amigo é: hackers vão aproveitar do cenário atual para encontrar vulnerabilidades na sua empresa e vão usá-las. Como sugestão, temos algumas dicas para você e sua empresa se prevenirem:

  • Utilize sistemas de computação conhecidamente seguros em nuvem para compartilhar documentos corporativos;
  • Faça com que seus colaboradores utilizem gerenciadores de senha que, além de armazená-las, é responsável por gerar senhas diferentes e fortes para cada credencial;
  • Monitore sua marca 24h/dia em busca de riscos e ameaças virtuais. Além de prevenir que a reputação da sua empresa seja afetada no mercado e aos olhos dos seus clientes e possíveis clientes, os sistemas de detecção automática do uso indevido da sua marca em sites, redes sociais e outros tipos de ataque, ajudam sua marca a se proteger de prejuízos financeiros, que podem chegar em bagatelas de milhões de reais.
  • Além disso, a automação que esses sistemas trazem te dão velocidade e escalabilidade na detecção, reação e takedown de ameaças.
  • Crie uma Política de Segurança Digital forte na sua empresa, com procedimentos e protocolos claros, opte por enviar máquinas corporativas, já com os procedimentos de segurança realizados, para seus colaboradores. Nem todos são experts em cibersegurança.
  • Esteja em conformidade e atento a toda e qualquer novidade sobre a LGPD. Empresas que não se enquadrarem serão fortemente afetadas;
  • Zero Trust: desconfie de tudo. Esse conceito é crucial para elaborar uma cultura de segurança digital sólida, principalmente nas camadas de rede
  • Não subestime os cibercriminosos. Não é porque sua empresa é grande demais ou pequena demais que vai passar despercebido. Mesmo que você esteja em uma startup ou em uma pequena empresa, desconfie.
  • Considere a ideia de tirar o SOC — Security Operations Center ou, em português, Centro de Operações de Segurança — do papel. Nele, você pode concentrar a prevenção, detecção, respostas ágeis a incidentes e identificação de vulnerabilidades.

É, 2021 está aí e promete. Queremos te ajudar a ter experiências digitais mais seguras. Continue acompanhando o Blog Deep Space para ficar antenado nas últimas de segurança digital.

Experiências digitais mais seguras.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store