Existem diversos tipos de cibercriminosos e organizações cibercriminosas. Há aqueles que desenvolvem malwares, os que caçam vulnerabilidades, os que fornecem e implantam malwares nas vítimas e os que aplicam golpes direto na população. Mas um fator que todas essas etapas da jornada cibercriminosa tem em comum são os dados.
- Empresas devem voltar da pandemia mais preocupadas com cibersegurança, revela ESET
- Windows XP faz 20 anos, mas muita gente ainda depende desse sistema
- Exclusivo: Inep vaza código-fonte do sistema do Enem
Cibercriminosos lucram com dados. De modo geral, com dados pessoais (credenciais de acessos, documentos, informações de contato, localização e outros), que identificam vítimas e permitem que outros cibercriminosos se passem por elas. Também há muito lucro ilegal gerado em cima de dados de inteligência, ou seja, relatórios, pesquisas e estudos internos sobre o desenvolvimento de novas tecnologias, — uma mina de ouro para grupos cibercriminosos financiados e associados à governos.
A jornada cibercriminosa funciona mais ou menos assim: tudo começa com a identificação de uma vulnerabilidade nos serviços de uma organização, essa vulnerabilidade pode abrir portas para diversos outros ataques, mas o foco aqui é na infecção por malware. Depois que uma empresa é infectada, os cibercriminosos conseguem se movimentar lateralmente, acessando contas de funcionários e coletando praticamente todos os dados que encontram no caminho. Esses dados, depois, são vendidos ou compartilhados com outros cibercriminosos, na dark web.
Nos casos de ataques de ransomware, esses dados são criptografados e os bandidos tentam os negociar com a própria empresa primeiro. Caso a empresa não queira pagar o valor do resgate, que normalmente é bem alto (um aumento de 82% em relação ao ano anterior, fechando o primeiro semestre de 2021 com uma média de U$ 570 mil, segundo a Palo Alto Networks), os cibercriminosos tentam os vender para outros bandidos e caso ninguém se interesse em comprar, são disponibilizados gratuitamente, o que, — em ambos os casos —, é conhecido como exposição de dados.
Para não serem pegos pela polícia, os criminosos vendem e compartilham esses bancos de dados na dark web, uma versão da internet tradicional, muito semelhante à essa que estamos conectados nesse momento, mas com todas as informações criptografadas, o que dificulta o trabalho de investigação forense, escondendo (mas nem tanto) a identidade e localização dos criminosos.
Embora seja uma facilitadora da criminalidade digital, a dark web cumpre um papel fundamental na nossa sociedade e não pode ser confundida com um espaço dedicado apenas para assuntos ilícitos. É através da dark web que muitos jornalistas, ativistas e residentes de países autoritários conseguem se comunicar com segurança, sem serem monitorados e consequentemente punidos por seu governo local.
Grandes vazamentos de dados, que geram comoção da comunidade e acabam sendo discutidos nas redes sociais, normalmente, são registrados pela imprensa, que, em alguns casos, vai até a dark web checar a veracidade da história e coletar mais informações relevantes. Mas há uma quantidade significante de casos não passam pelo radar dos jornalistas, nem mesmo são descobertos pelas próprias empresas. Por isso, monitorar a dark web é um procedimento indispensável para qualquer empresa que atue na internet.
Monitorando a dark web
Felizmente, há representantes do mercado de tecnologia e segurança da informação que oferecem serviços de monitoramento da dark web, com soluções automatizadas, tanto para o consumidor final, como para grandes organizações, que estão na mira dos cibercriminosos. Como é o caso das empresas Axur, Serasa, LastPass, CrowdStrike e muitas outras.
Há também ferramentas gratuitas, direcionadas aos usuários individuais, como os serviços Have I Been Pwned? e o Firefox Monitor, extensas bibliotecas de vazamentos de dados, que checam se determinado endereço de email foi comprometido em um desses grandes vazamentos de credenciais que aparecem na parte obscura da internet.
Se o email pessoal de algum usuário apareceu como comprometido em um desses serviços é fácil. Basta trocar a senha de todas as contas associadas ao endereço de email, que nenhum cibercriminoso conseguirá acesso a elas.
Já nos casos de identificação de vazamentos de dados de organizações, o procedimento é bem diferente, pois as empresas lidam com dados pessoais de funcionários, clientes e usuários. Por conta das novas leis de proteção de dados, a Regra Geral de Proteção de Dados (GDPR), na Europa e a Lei Geral de Proteção de Dados (LGPD), no Brasil, permitir que esses dados sejam expostos pode até ser considerado uma infração judicial.
Sendo assim, monitorar a dark web é fundamental para identificar possíveis ameaças a um negócio, além dos tradicionais vazamentos de dados e com isso, tomar uma atitude rápida, para o prejuízo e evitar punições legais.
Para entender melhor como essas soluções de monitoramento da dark web funcionam, a The Hack convidou o chefe de inteligência de ameaças e entregas da Axur, Thiago Bordini, que explica que o setor corporativo já devia se preocupar com monitoramento da dark web há anos, não apenas pelos vazamentos de dados e credenciais, mas para acompanhar também as menções ao nome da empresa, as discussões e possíveis ameaças direcionadas a ela.
Como funcionam os serviços de monitoramento da dark web
Bordini explica que na Axur, o serviço funciona com base em palavras-chave, pesquisadas em motores de busca específicos para a dark web, que irão buscar pelo nome da empresa cliente, a marca, os domínios, produtos e serviços, em busca de informações e conteúdos que representem algum risco à instituição.
“Caso seja identificado esse conteúdo, é gerado um alerta para o cliente para que ele possa tomar uma atitude. Em situações de sites falsos ou páginas de phishing, por exemplo, as empresas podem solicitar automaticamente a remoção do conteúdo, além de uma série de outras medidas que podem ser tomadas”, diz.
Bordini recomenda que organizações busquem por fornecedores desse serviço por, além de conseguir prestar um suporte profissional, automatizado e em tempo real, é necessário conhecimento técnico de segurança da informação para não se prejudicar ainda mais na superfície da internet obscura.
“As fornecedoras de cibersegurança podem ajudar identificando esses casos mais rapidamente e orientando o cliente a ter uma defesa cibernética mais estratégica, eliminando o modus operandi do ataque, para detectar ou realmente eliminar aquele risco. [No entanto], caso seja necessário acessar a deep web, o ideal é que o usuário faça isso através de um ambiente seguro e isolado. Recomendo o uso do Linux, VPN e Tor para evitar os acessos no ambiente. Nesses casos, o principal é que o usuário saiba o que está fazendo e os tipos de conteúdo que está acessando, essa atitude, complementada com um sistema operacional mais restrito, é essencial”, explica.
O executivo explica que as soluções da Axur são equipadas com inteligência artificial, aprendizado de máquinas, além de ferramentas que permitem o monitoramento constante da web superficial e da deep/dark web.
“A Axur é líder em monitoramento, reação e remoção de riscos e ameaças digitais na internet, com foco em criar experiências digitais mais seguras para empresas e seus consumidores. Atuamos com monitoramento constante para combater fraudes digitais, vazamento de dados, ameaças e vendas abusivas”, conclui.