Cair em um golpes na internet pode ter consequências exponenciais para pessoas físicas e jurídicas. Causando problemas na saúde financeira e na reputação de quem foi vítima do golpe. Por isso, um seguro cibernético pode ajudar a evitar esse tipo de problema.
Mas, infelizmente, o problema não é incomum. Os brasileiros sofrem uma tentativa de fraude a cada 7 segundos, com 1,3 milhões de casos de golpes tendo sido registrados pela Serasa Experience.
A diferença entre uma ameaça ou ataque cibernético e um golpe na internet tem muito a ver com o escopo. Qualquer situação em que sejam apresentadas informações falsas para tirar vantagem de alguém, de acordo com a própria Serasa, pode ser considerada um golpe.
Ataques cibernéticos habituais, como o phishing, portanto, podem ser o meio pelo qual alguém aplica um golpe. Que pode ter diferentes objetivos. Os três meio mais comuns para um golpe na internet são:
- Phishing
- Engenharia social
- Malware
Vamos conhecê-los mais a fundo?
O que é phishing?
Ataques de phishing costumam se caracterizar pelo envio massivo de e-mails ou mensagens privadas com links e arquivos maliciosos, disfarçados como provenientes de uma fonte confiável.
Os e-mails e mensagens geralmente parecem legítimos. Mas vinculam o destinatário a um anexo ou script malicioso. Projetado para conceder acesso ao seu dispositivo, de onde os autores do golpe vão extrair dados para extorquir uma vítima e aplicar o golpe.
Normalmente, os phishers aproveitam fontes públicas para coletar informações. A fim de enriquecer suas mensagens com excertos que pareçam convincentes para um usuário desavisado.
Os ataques de phishing ocorrem muito redes sociais – por meio de DMs com convites duvidosos, perfis falsos e anúncios fraudulentos – e nos aplicativos de conversação, como WhatsApp e Telegram.
Sabe aquele famoso golpe em que um criminoso se passa por um parente pedindo dinheiro? Então, o passo anterior para a realização desse golpe é o phishing!
E, dentro desse modelo de ataque, existem vários tipos diferentes de abordagens:
- Spear Phishing: são os e-mails e mensagens direcionados a empresas e/ou indivíduos específicos, com o objetivo de colher dados particulares;
- Whaling: acontece quando o phishing é direcionado a executivos seniores e membros de alto-escalão dentro de uma organização. Para que o criminoso obtenha acesso a informações sensíveis e possa extorquir alvos mais estratégicos;
- Pharming: é quando o criminoso usa páginas de login ou de cadastro falsas para capturar credenciais de usuários, atrás de dados relevantes.
Além disso, os ataques de phishing também podem ocorrer por telefone (vishing, ou phishing de voz) e por mensagem de texto (phishing por SMS). E têm como objetivo principal conseguir informações que possam ser usadas um golpe ou entregando anexos maliciosos para mobilizar ataques de malware, por exemplo.
Golpes na internet: o que é engenharia social?
Engenharia social é o termo usado para uma ampla gama de atividades que explora a interação humana para a obtenção de informações relevantes, que pode culminar em um golpe.
O primeiro passo para um ataque de engenharia social é investigar a vítima pretendida – o colaborador ou executivo de uma empresa, por exemplo – para coletar informações básicas. Que vão dar insumos para uma fraude ou roubo de identidade, por exemplo.
O que torna a engenharia social especialmente perigosa é que ela depende do erro humano, em vez de vulnerabilidades em software e sistemas operacionais. Erros cometidos por usuários legítimos são muito menos previsíveis. Assim, tornando-os mais difíceis de identificar do que uma invasão baseada em códigos ou sistemas.
O que é malware?
O termo “malware” abrange vários tipos de ataques. Incluindo spywares, ransomwares, vírus de computador e worms (ameaças que se multiplicam por uma série de sistemas infectados).
De modo geral, essa ameaça explora ataques de phishing para instalar um software malicioso dentro do dispositivo do usuário. E, assim, invadir um sistema ou rede e roubar dados. Que depois podem ser usados para a aplicação de golpes na internet.
Quando bem-sucedido, um ataque de malware resulta em:
- negação de acesso a componentes críticos da rede
- roubo de informações do disco rígido do dispositivo
- interrupção de um sistema
- criptografia e extração de dados em larga escala
Essa ameaça é tão explorada que conta com uma grande variedade de modus operandis. Com os tipos mais comuns sendo os vírus de computador e o ransomware.
Abaixo, mostramos alguns exemplos de golpes comuns na internet. Que ilustram como esses ataques podem causar efeitos arrasadores na saúde financeira e na vida pessoal da vítima.
Golpes que estão circulando na internet
1. Roubo de identidade
É caracterizado pelo uso indevido de nome, imagens e informações pessoais de outra pessoa. Seja para criar perfis nas redes sociais ou para aplicar golpes de engenharia social, por exemplo.
O roubo de identidade também é muito comum entre criminosos que desejam obter empréstimos de pessoas próximas à vítima. E, para isso, precisam se passar pela vítima para convencer parentes e amigos a emprestarem a quantia desejada.
2. Fraude financeira
Muito comum no Brasil, a fraude financeira envolve o uso dos dados pessoais. Para a obtenção de empréstimos, financiamento, cartões de créditos e outros ativos financeiros em nome da vítima. Que pode ser tanto uma pessoa física quanto uma pessoa jurídica.
A maior parte dos processos de verificação de identidade solicita informações como telefone, CPF, endereço residencial e afins. Então, um criminoso em posse desses dados pode tranquilamente passar pelo processo. E conseguir o dinheiro, criando uma dívida catastrófica no nome da vítima.
3. Anúncios falsos
Anúncios que oferecem descontos inacreditáveis, “oportunidades únicas” ou, até, produtos importados a preços módicos também são muito comuns no Brasil. Nesse caso, o criminoso pode usar as informações de uma empresa legítima para criar contas, sites e promoções falsas. Cujo objetivo será tomar dinheiro das vítimas sem que elas nunca vejam o produto ou serviço que, supostamente, adquiriram.
4. Chantagem via e-mail
Você certamente já viu no seu spam aquele “aviso” de que uma senha sua foi descoberta. E que se você não quiser que suas informações venham a público, você deve clicar em um link. E transferir uma quantia absurda de dinheiro, em Bitcoin, para uma carteira específica.
Pois é. Esse é mais um golpe muito comum na internet. Que explora o medo do usuário de ter informações privadas circulando entre amigos e colegas de trabalho, por exemplo. E que pode acarretar ou em um prejuízo financeiro significativo ou em uma invasão série de rede. Caso o e-mail contenha um link com um arquivo executável malicioso.
5. Ofertas falsas de emprego
Recentemente, muito por conta da crise provocada pela pandemia do Covid-19, se tornou comum o envio de mensagens via WhatsApp onde um perfil falso oferece “oportunidades de emprego no tempo livre”.
Caso a pessoa dê corda para a conversa, seus dados pessoais serão solicitados. Sob a justificativa de um cadastro em um banco de vagas de emprego que, no entanto, não existe.
O custo projetado do crime cibernético e dos golpes na internet pelos próximos anos
Só no ano de 2021, o prejuízo médio por ataques cibernéticos foi de 4,2 milhões de dólares ao redor do mundo. E a expectativa é que o prejuízo acumulado ultrapasse a casa dos 6 trilhões de dólares por ano a partir de 2022.
Isso porque os custos derivados de um ataque não se restringem ao prejuízo financeiro imediato de uma extorsão, por exemplo. Há todo o investimento em soluções para a restauração de sistemas, recuperação de dispositivos, estratégias de PR, indenizações.
E, falando especificamente sobre golpes direcionados, 2021 encerrou com um prejuízo de 7,8 bilhões de dólares só em roubo de criptomoeda, derivado de fraudes financeiras.
Já ataques de ransomware geraram um prejuízo médio global de 20 bilhões de dólares em 2021. Entre pagamentos de resgate e custos para recuperação de sistemas.
No Brasil, as tentativas de golpe online somaram prejuízos de R$ 5,8 bilhões só em 2021, com o STJ responsabilizando empresas, sobretudo as financeiras – como bancos e corretoras – em 60% dos casos.
Ou seja: o cenário não é nada favorável, seja para pessoas físicas ou jurídicas.
Um estudo conduzido pela Cybersecurity Ventures estima, aliás, que os custos globais de crimes cibernéticos cresçam 15% ao ano nos próximos cinco anos. Chegando a 10,5 trilhões de dólares anualmente, até 2025.
Esses custos se dividem entre prejuízos imediatos de ataques cibernéticos e gastos a longo prazo para mitigação dos riscos.
Golpes na internet: como as empresas podem se proteger
Um seguro cibernético não vai substituir as boas práticas de prevenção e mitigação de riscos. Mas vai complementar estratégias de segurança nas empresas. É imprescindível você ter em mente as ações mais recomendadas pelos especialistas em segurança para que empresas possam se proteger de ataques cibernéticos.
Naturalmente, quanto maior a organização, mais estruturada sua segurança deve ser. Mas essas soluções se estendem à maioria dos negócios:
- Gerenciamento de riscos cibernéticos – criar planos para prevenir e lidar com uma violação ou ataque é a forma mais indicada de proteger uma empresa. Pois uma resposta eficaz é o que reduzirá o impacto do sinistro nos negócios. Assim, isso vai desde a implementação de soluções de segurança amplas, integradas e automatizadas à contratação de uma equipe e parceiros especializados para fazer a governança desses planos, e aqui entram profissionais de TI, peritos forenses, assessores jurídicos, seguradoras, entre outros;
- Monitoramento de segurança – dedicar uma equipe para monitorar qualquer atividade inesperada ou suspeita ajuda a prevenir os riscos de uma violação;
- Investimento em tecnologias de cibersegurança – além da equipe dedicada à prevenção e mitigação dos riscos, é fundamental que a empresa invista, pelo menos, nestas soluções para uma estrutura de segurança completa:
- Firewall: faz a defesa dos perímetros da rede – ou seja, a verificação de conteúdo malicioso, proxies e recursos não-reconhecidos – para detectar e bloquear downloads automáticos de arquivos ou de extensões potencialmente nocivas;
- Recursos anti-malware: detecta e bloqueia códigos conhecidos e danosos de malware, evitando, assim, ataques de ransomware;
- Gerenciamento de patches: corrige vulnerabilidades com a versão mais recente de todos os softwares e drives utilizados pela empresa, a fim de evitar ataques que exploram vulnerabilidades comuns;
- Controle de execução e lista de permissões (ACLs): evita que softwares e extensões desconhecidas sejam instaladas e/ou executadas automaticamente;
- Controle de acesso de usuários: similarmente, limita as permissões de execução de usuários, ou seja, determinados perfis só têm acesso a arquivos específicos, usuários de alto escalão têm acesso a maior quantidade de arquivos e por aí vai.
- Política de senhas: serve para evitar ataques de força-bruta ou utilização de credenciais roubadas para acessos não-autorizados. Assim, uma forma de assegurar isso é estabelecer, como norma da empresa, que todos os colaboradores devem trocar a senha dos seus e-mails, plataformas e aplicativos mais utilizados todo mês, ou a cada três meses, o que funcionar melhor para e empresa;
Então, perceba que não basta investir em softwares de proteção; construir uma cultura de gerenciamento de riscos e incentivar colaboradores, parceiros e clientes a cuidarem de seus dados também é fundamental!
Afinal, de acordo com as pesquisas mais recentes do setor, 95% das brechas de segurança são causadas por erros humanos.
Golpes na internet: como usuários podem se proteger?
Dessa forma, seguindo algumas boas práticas de segurança cinernética, usuários conseguem prevenir boa parte dos golpes na internet.
Veja a seguir algumas das mais recomendadas:
- Denuncie e-mails suspeitos: nunca responda ou abra links de e-mails que contenham ameaças ou que não pareçam legítimos; erros de português, links com domínio desconhecido, endereço de remetente não-verificado – tudo isso indica que um e-mail pode ser malicioso. Por isso, denuncie como spam e exclua-o imediatamente;
- Não compartilhe informações pessoais por canais não-oficiais: nunca passe seus dados por chat, aplicativos de mensagem, e-mail ou qualquer outro meio se não confiar plenamente em quem está solicitando. A maioria dos negócios, hoje, conta com formulários verificados para colher essas informações, então raramente vão solicitá-las por outros canais;
- Autenticação multifator: essa é uma prática mandatória para proteger dados pessoais. Hoje, existem aplicativos que geram códigos de uso único para filtrar o acesso a suas contas e, além disso, notificar caso um login suspeito seja realizado;
- Política de troca de senha: periodicamente, vale trocar as senhas das plataformas mais utilizadas por senhas fortes, que contenham pelo menos 16 caracteres entre letras maiúsculas e minúsculas, números, caracteres especiais e símbolos. Também existem geradores de senha que podem ajudar com isso!
- Criptografador de senha: e, falando em senha, nada de anotar no bloco de notas do computador! Um banco de senhas de acesso restrito, com criptografia e links de clique único, é o lugar ideal para armazená-las.
Boletim de ocorrência virtual
Se mesmo assim o usuário for vítima de um golpe, ele pode recorrer a um boletim de ocorrência virtual em uma Delegacia de Repressão aos Crimes Informáticos (DRCI), que se encarregará de investigar o caso e ajudá-lo a recuperar potenciais prejuízos.
Assim, é importante levar todas as provas que conseguir reunir, como prints do e-mail ou das mensagens fraudadas. O boletim pode ser feito por um formulário online, em delegacias que ofereçam essa alternativa, ou presencialmente.
Golpes na internet: como o seguro cibernético pode ajudar?
Todas as pessoas físicas e jurídicas que armazenam e administram dados pessoais podem se beneficiar do seguro cibernético.
Porém, ele deve complementar as soluções de segurança cibernética como parte de uma estratégia completa de gerenciamento de riscos cibernéticos. Assim como o seguro do carro não substitui o airbag, o seguro cibernético não substitui tecnologias de cibersegurança.
É por isso que a venda do seguro cibernético é perpassada, sobretudo, por uma jornada de educação. Mais do que um pitch de vendas, o corretor precisará se munir de informações para mostrar para potenciais clientes o porquê de essa ser uma solução tão necessária na atualidade e como ela vai ajudar a apaziguar desafios que negócios e usuários nem imaginam que podem ter que enfrentar.
Na prática, caso a segurada seja vítima de uma violação de dados ou de um ataque cibernético, a maioria dos seguros cibernéticos cobrirá os custos da empresa e de terceiros associados à empresa – colaboradores, por exemplo -, se:
- ativos digitais forem danificados ou corrompidos;
- houver extorsão e/ou vazamento de dados;
- o colaborador sofrer um golpe na internet;
- a empresa precisar interromper seu funcionamento, incorrendo em lucros cessantes;
- a empresa precisar mobilizar ações para gerenciar sua reputação;
- a empresa precisar indenizar clientes e parceiros pelo comprometimento de seus dados.
Reforçamos, contudo, que o mais importante é construir uma cultura de segurança dentro das empresas, educando os colaboradores sobre os riscos que estão correndo e como evitar que caiam em golpes na internet.
E sobretudo em ambientes com regime híbrido ou remoto, ou aqueles que adotam o BYOD (bring your own device, ou “traga o seu próprio dispositivo”, em tradução livre), o treinamento sobre boas práticas de segurança é imprescindível, visto que a prevenção deve se estender também para os dispositivos domésticos e para o ambiente residencial.
Estratégias de segurança bem consolidadas inclusive possibilitam uma melhor cobertura por parte da seguradora e, em alguns casos, acesso a coberturas adicionais, aprimorando ainda mais a prevenção de riscos!
Quer entender mais a fundo os pontos principais do seguro cibernético, como ele age nas nuances das estratégias de cibersegurança e o que é preciso para você se diferenciar na venda desse tipo de seguro? Então aproveita para conferir nosso artigo A importância do seguro cibernético para prevenir e mitigar riscos cibernéticos
