O Identity Theft Resource Center (ITRC) é a principal fonte usada pela Varonis para obter estatísticas de violações de dados. Em abril, a contagem do ITRC já havia alcançado os 456 incidentes, número bem maior do que os 356 registrados no mesmo período.
Se você fizer as contas, verá que, essa taxa de violações de dados chegará a 1.500 até o fim de 2017. Desta maneira, o recorde de 2016, que registrou 1.093 violações de dados, será quebrado.
O que está acontecendo?
Parte desse aumento deve-se à ampliação da coleta de dados feita pelo ITRC, que agora também contacta mais advogados gerais de estado e envia mais solicitações de abertura de dados (em inglês, Freedom of Information Act – FOIA) – semelhante às solicitações baseadas na Lei de Acesso à Informação que temos no Brasil.
Porém, também tem havido mais atividades hackers em andamento.
Por exemplo, o Internet Revenue Service (IRS) dos Estados Unidos notou que em fevereiro havia tido um aumento de 400% nos ataques de spear phishing contra CEOs.
Em outras palavras, é mais das mesmas – na verdade, bem mais do mesmas – técnicas básicas que os especialistas em segurança da informação têm comentado nos últimos anos, como já apontamos em outros artigos aqui no blog.
Para os mais céticos que não acreditam que é possível causar uma grande violação de dados usando técnicas e abordagens que um esperto adolescente de 15 anos pode dominar, veja a seguir três incidentes, todos baseados em depoimentos obtidos pelo ITRC:
Adivinhação de senhas simples
“Um ataque similar de automação se login/senha ocorreu em dezembro de 2015, em que indivíduos não autorizados começaram a tentar acessar contas onlines nos sites da empresa. Ao mesmo tempo, especialistas externos em forensics que contratamos para investigar o problema constataram que os invasores conseguiram visualizar nomes, informações básicas de contato, e-mails e histórico de vendas de clientes, e apenas os quatro últimos dígitos dos cartões de crédito associados às contas online. Infelizmente, ficou claro que os invasores também tiveram acesso aos números completos dos cartões de pagamento e às datas de expiração.”
Pretexting
“Fui vítima de um ataque de spoofing em janeiro de 2017, por meio de um indivíduo fingindo ser o CEO da empresa. Uma solicitação foi feita por e-mail por alguém que parecia ser o CEO da organização, pedindo os holerites de 2016 dos funcionários. Cópias dos formulários de holerite dos funcionários foram enviadas por e-mail antes de a empresa descobrir que a solicitação era fraudulenta. A organização descobriu a natureza fraudulenta do pedido apenas em março de 2017, e tem trabalhado exaustivamente na investigação e na mitigação do impacto do ataque”
Phishing
“Uma empresa recentemente descobriu que havia sofrido um e-mail de scam direcionado por meio de phishing, no qual um indivíduo desconhecido conseguiu obter e usar credenciais de de e-mail de três funcionários. As datas do potencial acesso não autorizado às contas de e-mail variam, mas provavelmente aconteceram no primeiro semestre de 2016. Até então, a empresa não tem nenhuma evidência de que e-mails contendo informações pessoais tenham sido acessados”
Acabamos de mostrar como práticas básicas de segurança da informação, como políticas para definição de senhas e fator duplo de autenticação, implementação de uma abordagem de privilégios mínimos e condução de treinamento de segurança (especialmente phishing) podem fazer a diferença na prevenção de ataques e reduzir os riscos de exfiltração de dados.