fbpx
TecnologiaUrgente

O fator humano é responsável por 95% dos ataques hackers bem-sucedidos. Como isso influencia a inclusão digital do futuro?

Redação - Jornal do Povo
10 minutos de leitura
Erro humano é responsável por 95% dos ataques hackers bem-sucedidos.

Como suas informações são acessadas por terceiros ao clicar em links, navegar por sites ou compartilhar informações pessoais? Entenda através do nosso estudo de casos sobre golpes frequentes.

A segurança cibernética está cada vez mais trabalhosa para os governos e empresas lidarem sozinhos. Ambas enfrentam crescentes riscos cibernéticos vindos de novas tecnologias de conexão com a internet, inteligências artificiais, aplicativos e softwares comprometidos, ora por falta de atualização, ora por descuidos no desenvolvimento.

Entretanto, a falha técnica é uma parcela muito pequena dos casos de ataques cibernéticos. Segundo um estudo publicado pela WEF¹ (World Economic Forum¹), 95% das invasões, vazamentos de dados e golpes digitais bem-sucedidos envolvem a própria vítima como responsável por consentir e compartilhar as informações de bom grado.

Dentre muitas, as principais ações que comprometem as informações de empresas e pessoas físicas estão no compartilhamento consentido de senhas, cliques em links com endereços incomuns e no download de aplicativos ou softwares com vírus.

Em 2019, a Australia’s eSafety Commissioner, primeira agência governamental focada em aumentar a conscientização sobre riscos cibernéticos, reuniu representantes da indústria, governo, organizações sem fins lucrativos e defensores dos consumidores. Durante esse encontro, foi alcançado um consenso sobre um conjunto de princípios destinados a reforçar a segurança dos serviços online.

A ideia central desses princípios é que a responsabilidade pela segurança não deve recair exclusivamente sobre o consumidor. Pelo contrário, as empresas devem, antes de lançar serviços publicamente, mitigar os fatores de risco para todos os usuários. Essa abordagem visa assegurar que a segurança seja uma prioridade desde o início.

Um desenvolvimento significativo nesse contexto ocorreu nos Estados Unidos, que, em dezembro, promulgaram legislação que exige que o governo estabeleça padrões mais elevados para a segurança dos dispositivos IoT (Internet das Coisas). Essa medida reflete um esforço para elevar as normas de segurança em dispositivos conectados à Internet, reconhecendo a importância de proteger os usuários contra ameaças cibernéticas.

O caso “Página Restrita”. Nós clicamos no link!

Veja nossa primeira matéria sobre o caso clicando aqui.

Fraudes digitais deixaram de ser exclusivas das grandes cidades e noticiários americanos. O município de Parobé, como também outros municípios do Vale do Paranhana e dos Sinos tem vivenciado tentativas exaustivas de golpes bancários e invasão de redes sociais como Facebook e Instagram, no objetivo de coletar informações, extorquir dinheiro seu ou de seus contatos, ou ainda simplesmente remover o seu acesso à conta.

Além dos perfis no Instagram com propostas de conteúdo erótico, mensagens e ligações usando credenciais falsas do banco onde você tem conta, e também, é claro, do clássico e-mail com links duvidosos, fantasiado das plataformas onde o seu e-mail foi cadastrado, o mais abusivo de todos têm sido o “Página restrita” no chat do Facebook.

Contas comerciais tem sido inundadas de mensagens se passando pelo suporte do Facebook, informando que você cometeu uma violação de direitos autorais e terá sua página removida caso não verifique o seu perfil. O mesmo contém uma foto com a logo atualizada do Facebook, algumas com um selo de verificação azul falso na própria imagem de perfil, nomeados como “Suporte para Empresas do Facebook” em inglês, português e espanhol.

A mensagem chega até o usuário com um link mascarado, ou seja, ele não representa o endereço real onde a pessoa irá quando clicar. Serviços como esse podem ser encontrados de forma gratuita na internet, como é o BitLy ou LinkTree, por exemplo. Usando ferramentas como essa, você pode deixar um link como esse “golpes.com/esse-e-meu-link-gigante-e-cheio-de-palavras-ou-letras-e-numeros-aleatorios-estranhos” para isso “bit.ly/SuporteFacebookMeta“.

Existem centenas de serviços como esse, então é sempre bom olhar para o endereço do link que está escrito antes de clicar. Mas se você já clicou, foi provavelmente direcionado para a uma página com um botão que leva a outra página com detalhes que lembram o Facebook.

Curiosos, o Jornal Do Povo executou um teste em ambiente isolado com uma máquina virtual, clicamos no link e fomos direcionados para o endereço real do site do golpista.

O botão continha um link para outro endereço com campos para preenchimento das informações da conta que administra a “página restrita”.

Se você não souber o que está fazendo, é preferível não clicar em links estranhos através da sua rede de internet e dispositivos pessoais. O Jornal Do Povo realizou a análise com ferramentas e respaldo especializado em defesa cibernética mediante etapas Legais de OSINT (Open Source Intelligence), não colocando em risco a nossa Confidencialidade, Integridade e Disponibilidade.

Você é convidado a inserir seu telefone e e-mail da sua conta pessoal. Ao tentar confirmar, um campo de senha é solicitado e nesse momento que muitos perdem suas contas. Novas contas de golpistas são criadas a partir das contas hackeadas e assim multiplicam-se as mensagens.

Um usuário real que insere sua senha de acesso perde o acesso ao perfil instantaneamente. Em outros casos, robôs pré-programados fazem publicações de conteúdo proibido, que viola as diretrizes da comunidade do Facebook. Nesse caso, seu perfil pode ficar bloqueado por 30 dias ou mais.

Como funciona a verdadeira e a falsa página restrita?

A verdade é que muito raro as empresas de telefonia, gerentes de banco e outros serviços entrarão em contato com você a respeito da sua proteção ou violação de diretrizes. Embora simples, a grande maioria desconhece o funcionamento interno dos aplicativos que usa e o fato de querermos proteger aquilo que é nosso, acabamos cedendo voluntariamente as nossas informações aos golpistas.

As restrições no Facebook são visíveis e informadas logo após entrar na conta. Algumas funções são removidas por um período que pode variar de 2 a 30 dias, meses e até mesmo a desativação do perfil. As restrições não informadas por mensagem e são mais parecidas com a imagem a seguir:

O Facebook não entra em contato via chat a menos que você solicite e ainda é restrito a contas empresariais com histórico de atividade.

O caso Itaú e Nubank

Itaú

Em novembro de 2023, publicamos em nossa edição impressa a história de uma moradora de Parobé que havia recebido uma suposta ligação do Banco Itaú, mas que, na verdade, era um golpista se passando pelo gerente de contas da vítima.

Nossa equipe conversou com a vítima, onde foi relatado que a mesma passava por situações de fragilidade emocional no momento do golpe. Cuidando da mãe acamada e do marido com problemas no coração, o comunicado recebido pelo golpista informava uma tentativa de empréstimo no valor de aproximadamente R$4.000,00, fazendo a vítima entrar em estado de alerta, buscando resolver o problema imediatamente.

A vítima que não quis ser identificada, é uma pessoa idosa 60+ que desconhece os processos de atendimento digital dos bancos e das possíveis fraudes bancárias. Durante nossa conversa, a vítima afirmou estar acostumada a atender ligações do Banco Itaú e que o número era familiar pra ela.

Buscamos as informações em fontes públicas para averiguar a situação. No histórico de chamadas da vítima, o número usado pelos golpistas se assemelha ao número oficial do Banco Itaú divulgado em seu site oficial, alterando apenas o DDD. O número usado no golpe era (51) 94004-4828. No momento do golpe, a vítima relata ter reconhecido o número, visto que no site oficial do Itaú, que pode ser conferido no link https://www.itau.com.br/atendimento-itau/para-voce/telefones os números que constam são os mesmos, exceto pelo código de área.

Após transferir de R$1.714,00 reais para os golpistas e ter o cartão de crédito clonado, a vítima visitou a agência do Banco Itaú, em Taquara, para uma solicitação de ressarcimento dos valores. O pedido foi negado pelo Itaú alegando que:

“Todas as transações foram realizadas em ambiente digital (https://www.itau.com.br ou aplicativo do Itaú no computador ou dispositivos móveis) mediante digitação correta de sua senha eletrônica e validação do dispositivo de segurnaça iToken.

Tal ambiente foi desenvolvido e é mantido com os mais modernos recursos de segurança voltados à internet e, associados ao iToken – dispositivo com tecnologia de proteção da conta. Todavia, preenchidos todos os itens de segurança, não podemos impedir a concretização da transação, tampouco efetuar seu estorno/cancelamento.

No entanto, o número usado no golpe corresponde telefone do Itaú em Porto Alegre, ora verdadeiro, ora fictício. Registros do telefone encontrados no site i-find.org mostram que o número esteve registrado em nome de pessoas físicas de ex-funcionários do Itaú, CLT em 3 CNPJ’s distintos do ITAU UNIBANCO S.A.:

As duas primeiras encontram-se ativas, enquanto a última consta como BAIXADA na Receita Federal.

Isso reforça o quanto o fator humano fica esquecido, ao passo que os investimentos em tecnologia buscam suprimir essa falta, deixando margem para colaboradores insatisfeitos e pessoas mal intencionadas usarem dados dos cleintes do interior da empresa.

A frase “Tal ambiente foi desenvolvido e é mantido com os mais modernos recursos de segurança voltados à internet” deixa claro que a responsabilidade foi inteiramente da vítima que optou por digitar as senhas e fornecer as informações.

Um mês antes do incidente com a vítima, o UOL de São Paulo publicou um comunicado do Banco Itaú a respeito de instabilidades nos aplicativos:

O Blog da Infomoney também registrou o ocorrido:

Pelo internet banking, consta o código de Erro 500.

O Erro 500 trata-se de um problema com o servidor onde está o banco de dados contendo as informações de login dos clientes:

Inicialmente, haviam 3 pilares para a segurança da informação. A tríade regida pela sigla CID (Confidencialidade, Integridade e Disponibilidade), trata a informação armazenada pelas empresas das seguintes maneiras:

Confidencialidade

Garantir a confidencialidade é essencial para preservar a privacidade e resguardar os dados contra acessos indevidos. Essa base busca manter em sigilo informações específicas, impedindo potenciais ações maliciosas que possam expor conteúdos sensíveis, acarretando danos à organização. Medidas efetivas de confidencialidade devem ser constantes e aplicadas em todas as fases do tratamento de dados, seja de propriedade da empresa ou consentidos pelos titulares. O foco deve ser especialmente na transmissão e destino dos dados.

É vital analisar a informação considerando os riscos, avaliando como sua divulgação ou uso inadequado podem prejudicar a empresa, seja em termos de reputação, finanças ou contratos.

Integridade

A integridade está associada à confiança e consistência dos dados, buscando assegurar que as informações permaneçam precisas, livres de erros e imunes a alterações não autorizadas. A manutenção da integridade é crítica, e cada vez que os dados são replicados ou transferidos, é essencial certificar-se de sua preservação sem alterações indesejadas.

Ambientes que atendem a essa característica de segurança devem impedir que agentes externos ou falhas acidentais causem danos e corrupção nos dados.

Disponibilidade

A segurança da informação destaca a importância de manter os dados ativos e acessíveis quando necessário, assegurando um desempenho adequado. Isso contribui significativamente para a continuidade dos negócios, minimizando impactos em operações empresariais. Em um cenário onde sistemas de informação são amplamente utilizados, qualquer redução na disponibilidade pode comprometer contatos, vendas, contratos e afetar o relacionamento com clientes.

A pontualidade, garantindo a disponibilidade dos dados no momento necessário, e a robustez, proporcionando capacidade suficiente de acesso simultâneo para usuários autorizados, são características cruciais desse pilar de segurança.

Nubank

Já no ano de 2024, outro morador de Parobé relatou ter recebido mensagens em nome da Nubank. Os golpistas usaram números e credenciais falsas para extorquir a vítima em um valor aproximado de R$4.000,00.

Apesar da Nubank emitir notificações pelo aplicativo assegurando que o banco não entra em contato com seus clientes, essa notificação fica um tanto “oculta” até mesmo para pessoas mais experientes.

O caso ainda não foi investigado por completo, mas fica o alerta para outros bancos físicos e digitais.

Nota do Autor

É notável que as empresas em geral ainda mantém o foco na lucratividade de seus serviços, em tecnologias de segurança, mas pouco em ensinar ao usuário como seus serviços funcionam, para que possa ser reconhecida uma tentativa de golpe quando ela acontecer.

A falta da legitimidade das informações nas redes sociais e aplicativos de banco fornecem um amplo cenário para os golpistas, visto que, no caso do Itaú, a empresa receptora o dinheiro possui uma conta no Sicredi Nordeste sob o nome fantasia STARSPAY EFX FACILITADORA E SERVIÇOS FINANCEIROS LTDA.

Comunicatividade

Afinal, a internet facilitou a comunicação entre pessoas e comércios no mundo inteiro, bem como o acesso livre à informação. Em um mar de conteúdo disponível, as empresas permeiam a tela dos usuários com publicidade, contendo frases de efeito e títulos provocantes, gerando emoções variadas como pertencimento, necessidade, medo ou incentivo de uma/a uma situação, sempre relacionados às pesquisas, sites, perfis, vídeos e outros meios nos quais o usuário teve qualquer tipo de interação.

Isso mostra que além das informações compartilhadas pelo próprio usuário, outros traços são inseridos automaticamente ao seu ‘perfil digital’. Seus gostos, costumes e interesses passam a ser registrados para tornar sua rede social, telefone e computador, no seu espaço pessoal, disponível publicamente.

Junto às empresas sérias, estão também os anúncios que direcionam para aplicativos e sites com vírus ou que monitoram as ações do usuário sem consentimento. Essas empresas abrem ou modificam seus CNPJ’s incluindo “Desenvolvimento e licenciamento de programas de computador não-customizáveis” e “…sob encomenda” como atividade econômica, deixando a responsabilidade do usuário ainda maior em casos de golpes digitais.

O contato social é um comportamento intrínseco entre as espécies, onde mundo virtual se tornou o caminho mais curto para isso. Esquecemos, entretanto, que o acesso gratuito a serviços empresariais tem sim um preço oculto: a sua privacidade.

Acesso à informação e publicidade

Nos conectamos com outras pessoas através dos sites e redes sociais. Mais do que isso, compramos produtos e serviços por meio da internet na mesma sistemática de quando ela não existia. Visitamos, conhecemos e socializamos por meio de ambientes digitais criados por terceiros, na sua maioria, empresas com CNPJ ativo que, por mais que forneçam um serviço de acesso gratuito, movimentam milhares de reais em cada clique.

Para existir essa interação com o mundo digital, é preciso ter um dispositivo conectado na internet, geralmente celulares e computadores, fornecer alguns dados pessoais contendo informações que refletem com precisão, você na “vida real”, e pronto! A criação de um perfil pessoal ou empresarial torna o processo de inclusão digital o mais prático possível.

As verificações de legitimidade também são bastante simples, podendo uma pessoa bem intencionada, quanto uma mal intencionada estarem conversando um com o outro. Mesmo em ambientes empresariais, onde as contas anunciam produtos e serviços aos usuários, essas verificações podem ser facilmente burladas.

Inclusão Digital

Outra contribuição para as fragilidades digitais ocorre à ampla disseminação de assuntos como a inclusão digital.

A engenharia social é usada para o bem e para o mal. Podemos fazer bons negócios com o uso dela, e também podemos aceitar propostas indecentes para nós, onde o prejuízo pode ser ilimitado.

Com a chegada de novos dispositivos e sistemas conectados na internet a todo momento, muitas empresas tecnológicas negligenciam ou ignoram a implementação de segurança reforçada e a verificação da legitimidade das informações dos usuários.

Empresas que optam pelo uso de Redes Virtuais Privadas (VPN, em inglês), antivírus pagos e outros sistemas de segurança podem ter seus dados comprometidos por um colaborador insatisfeito ou daquele que desconhece os padrões mais básicos de um ataque hacker.

Ou seja, a inclusão digital tem como premissa o acesso da internet a todos, mas não inclui o seu uso e boas práticas de navegação ou reconhecimento da veracidade dos links que navegam, muito menos o reforço da publicidade voltada para a segurança e integridade de cada usuário.

O Instituo SIGILO aborda o tema da inclusão digital na era da informação, você pode ler na íntegra através do link https://sigilo.org.br/inclusao-digital-na-era-da-protecao-de-dados-pessoais/

Redação - Jornal do Povo
10 minutos de leitura
Foto de Redação - Jornal do Povo

Redação - Jornal do Povo

A redação do Jornal do Povo é o setor que trabalha diariamente e constantemente para te informar e trazer o que há de mais atual no seu dia a dia! Seu portal de notícias diário.
Deixe uma resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Artigos relacionados

Trecho da RS-115 volta a apresentar rachaduras em Três Coroas e impacta deslocamento para região das Hortênsias

25 de setembro de 2024

Exposição fotográfica colaborativa retratará as enchentes no Oktober Summit

25 de setembro de 2024

Polícia prende homem por posse de arma de fogo em Taquara

25 de setembro de 2024

Taquara abre inscrições para o Campeonato Municipal de Futebol de Campo

25 de setembro de 2024
Botão Voltar ao topo
Fechar

Adblock Detectado.

Usamos recursos próprios e AdSense para manter o Jornal Do Povo gratuito para todos. Pedimos sua permissão para exibir os anúncios.