Geralmente, quando ocorre um data breach em função de um ciberataque, essas informações costumam ser compartilhadas sem permissão, vendidas ou, dependendo da motivação do cibercriminoso, sequestradas para extorsão.
Portanto, um data breach ocorre quando existe um ponto de entrada não-autorizado no banco de dados de uma empresa que permite que hackers acessem dados de clientes, como senhas, números de cartão de crédito, CPFs, informações bancárias, carteiras de motorista, registros médicos, dentre outros dados que, por lei, devem ser mantidos em sigilo.
Isso pode ser feito fisicamente, através de endpoints (dispositivos como computador e celular de trabalho, por exemplo), ou ultrapassando a segurança da rede remotamente.
O que você vai ler neste artigoQuem está por trás das violações de dados?Os métodos utilizados para violação de dadosDescubra a Anatomia das Ameaças CibernéticasQuer levar seu conhecimento ainda mais longe? confira agora mesmo o nosso material com a anatomia das principais ameaças cibernéticas, um material muito completo, gratuito, em duas partes!

Quem está por trás das violações de dados?

Porém, embora automaticamente tenhamos a supor que toda violação de dados é causada por um hacker ou cibercriminoso externo, nem sempre isso é verdade. Vale considerar que um data breach também pode ocorrer das seguintes formas:

Um acidente entre colaboradores: um exemplo que muitos costumam esquecer ou relevar envolve um colaborador que usa o computador de um colega de trabalho e lê arquivos confidenciais sem a devida permissão. O acesso não é intencional e nenhuma informação é compartilhada. No entanto, como foram visualizados por uma pessoa não-autorizada, os dados são considerados violados;

• Um funcionário mal-intencionado: nesse caso, a pessoa acessa e/ou compartilha propositalmente dados com a intenção de causar danos a um indivíduo ou empresa. O usuário mal-intencionado pode ter autorização legítima para usar os dados, mas a intenção é usar as informações de forma escusa;
• Dispositivos roubados ou perdidos: um notebook, celular ou HD externo não-criptografado e desbloqueado – qualquer coisa que contenha informações confidenciais, na verdade – desaparece ou é roubado, e um terceiro tem acesso às informações neles contidas;
• Pessoas maliciosas de fora: finalmente, aqui temos os hackers que usam vetores de ataque para roubar informações de uma rede ou de um indivíduo.

Quais foram as principais ameaças do ano passado?

Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo. 

Os métodos utilizados para violação de dados

Obviamente, cada ataque tem suas particularidades, variando conforme os objetivos de cada indivíduo e gravidade da violação. Porém, comumente, as etapas envolvidas em uma operação de data breach são:

1. Pesquisa: o cibercriminoso procura pontos fracos na segurança da empresa (pessoas, sistemas ou rede);
2. Ataque: O cibercriminoso faz contato inicial, usando um vetor de ataque;
3. Extração: Depois que o cibercriminoso entra em um computador, ele pode atacar a rede e abrir caminho até dados confidenciais da empresa. Uma vez que o hacker consegue extrair os dados, o ataque é considerado bem-sucedido.

Os infratores tendem a seguir esse padrão de ataque, ainda que planejem violação por violação. Afinal, o caminho até a joia da coroa é relativamente conhecido por eles e não costuma variar muito.

Os cibercriminosos estudam suas vítimas, para saber onde estão suas vulnerabilidades, como falhas em atualizações de software ou suscetibilidade dos colaboradores a campanhas de phishing.

1. Depois de conhecerem os pontos fracos de um alvo, eles desenvolvem uma campanha para convencer os usuários a baixarem malwares por engano, ou tentam penetrar diretamente na rede.
2. Uma vez lá dentro, os invasores têm a liberdade de procurar os dados que desejam e muito tempo para fazê-lo, pois a violação média leva mais de cinco meses para ser detectada.

Dentro desse esquema mais genérico, temos as variações dos métodos de ataque. Alguns destaques são:

• Credenciais roubadas: a grande maioria das violações de dados é causada por credenciais roubadas. Se os cibercriminosos tiverem uma combinação de nome de usuário e senha de um de seus colaboradores, eles terão uma porta aberta na sua rede. Pior ainda: como a maioria das pessoas reutiliza senhas, os criminosos cibernéticos podem acessar e-mails, sites, contas bancárias, arquivos na nuvem e outras fontes de informações financeiras ou de informações pessoais através de uma única credencial roubada.
• Recursos comprometidos: vários ataques de malware são usados para negar as etapas regulares de autenticação que normalmente protegem um computador, liberando mais facilmente o caminho até os dados de interesse.
• Fraude no pagamento: os escumadores de cartão, por exemplo, invadem caixas eletrônicos ou dispositivos de pagamento (maquininhas de cartão) e roubam dados sempre que um cartão é passado.
• BYOD (bring your own device): quando os funcionários levam seus próprios dispositivos para o local de trabalho, ou para coworkings, por exemplo, é fácil para equipamentos desprotegidos fazerem o download automático de aplicativos carregados de malware que fornecem aos hackers uma abertura para roubar os dados armazenados no dispositivo. Esses dados geralmente incluem e-mail e arquivos de trabalho, bem como as informações de identificação pessoal do proprietário do dispositivo.

Ou seja, não faltam recursos para cibercriminosos causarem dano que desejarem através de uma violação. Faz sentido, uma vez que as frentes de proteção são as mesmas de ataque. Pouco a pouco, os agressores vão ganhando permissões administrativas para rodar códigos maliciosos nos endpoints das vítimas, danificando ou tomando controle e, então, sem muito esforço, conseguem ganhar acesso à joia da coroa.

Para combater esses ataques, é preciso pensar que o cibercrime evolui em paralelo com as soluções tecnológicas que possibilitam vivermos em um mundo cada vez mais conectado. Todas as superfícies de ataque – redes corporativas, colaboradores remotos usando endpoints da empresa, serviços na nuvem, dispositivos móveis dentro ou fora da empresa – e todos os vetores de ataque – endpoints, e-mail, websites – devem ser protegidos no intuito de se evitar uma violação.