Tecnologia

Hackers chineses mostram humanos como elo fraco da segurança

Segundo militares chineses, algumas das maiores empresas dos EUA continuam vulneráveis a um dos mais antigos truques dos hackers


	Hackers: tática comum, chamada spearphishing, foi usada para acessar redes de computadores de empresas como United States Steel e Alcoa
 (Getty Images)

Hackers: tática comum, chamada spearphishing, foi usada para acessar redes de computadores de empresas como United States Steel e Alcoa (Getty Images)

DR

Da Redação

Publicado em 20 de maio de 2014 às 23h39.

San Francisco - Algumas das maiores empresas dos EUA continuam vulneráveis a um dos mais antigos truques dos hackers, segundo uma acusação contra cinco funcionários militares chineses acusados de roubar segredos comerciais, revelada ontem.

A tática comum, chamada spearphishing, foi usada para acessar redes de computadores de empresas como United States Steel e Alcoa, segundo o Departamento de Justiça dos EUA, que divulgou as acusações ontem.

Ao enviar aos funcionários e-mails falsos disfarçados de mensagens oficiais, os hackers conseguiram convencê-los a entregar seus nomes de usuário, senhas e outras informações confidenciais.

As acusações de que o governo chinês usa espionagem cibernética para roubar tecnologias expõe aquela que continua sendo uma das vulnerabilidades de muitas empresas: seus próprios funcionários.

Embora as empresas de segurança em informática estejam lucrando com investimentos recordes em tecnologias para evitar a ação de hackers, as pessoas acabam sendo o elo mais fraco em ataques como estes, segundo Dmitri Alperovitch, diretor de tecnologia da CrowdStrike, uma empresa de segurança cibernética de Irvine, Califórnia.

“Não é a vulnerabilidade do computador -- é a vulnerabilidade do humano que sempre vira alvo”, disse Alperovitch. “Este não é um problema como o câncer, em que você pode chegar a um ponto final em que pode declarar que ganhou”.

Mesmo com a indústria de segurança em informática prestes a superar US$ 85 bilhões em receita em 2016 -- montante quase 70 por cento maior que no começo da década, segundo a Gartner --, isso será pouco útil se os hackers conseguirem atingir empresas e funcionários com ataques de spearphishing.

US$ 400 bi

As perdas anuais com crimes cibernéticos, roubo de propriedade intelectual de corporações e outros custos podem chegar a US$ 400 bilhões, segundo a organização Center for Strategic and International Studies e a McAfee, uma empresa da Intel.

Houve 450.000 ataques conhecidos de phishing em 2013 e as perdas provenientes deles somaram recordes US$ 5,9 bilhões, segundo a EMC Corp.

A acusação, revelada ontem pela Corte Distrital da Pensilvânia, aponta que os funcionários chineses conspiraram para roubar segredos comerciais e outras informações de empresas americanas especializadas em painéis solares, metais e usinas de energia nuclear de última geração.

A Westinghouse Electric e a Allegheny Technologies, além do sindicato internacional dos trabalhadores nas indústrias de aço, papel, borracha, fabricação, energia e serviços industriais, foram citados na acusação.

Carlos Ghosn

O spearphishing, uma versão mais focada dos ataques de phishing que o envio de e-mails em massa, há tempos é conhecido como uma vulnerabilidade flagrante.

Em 2011, a RSA Security, uma unidade da EMC, foi hackeada dessa forma, e teve exposta uma campanha de contratações. Um executivo da Coca-Cola abriu uma mensagem de spearphishing em 2012, o que garantiu aos hackers acesso a documentos internos.

Na Alcoa, 19 funcionários receberam um e-mail falso de um membro do conselho, Carlos Ghosn, que também é CEO da Nissan Motor. Um arquivo anexo da mensagem, quando aberto, desencadeou um vírus que penetrou a rede da Alcoa.

Embora Ghosn não tenha sido identificado de forma direta na acusação de ontem, o documento se refere a um diretor com as iniciais “C.G.”. Ghosn era o único membro do conselho à época que batia com esse critério.

Chris Keeffe, porta-voz da Nissan, e Monica Orbe, porta-voz da Alcoa, preferiram não comentar.

Capacitar os funcionários é fundamental.

A Riptide IO, uma empresa com sede em Santa Barbara, Califórnia, que ajuda as empresas a gerenciarem dados a partir de seus edifícios, emite mensagens frequentes alertando a não colocar senhas em e-mails e divulgando outras medidas básicas de segurança cibernética para assegurar que cada funcionário -- incluindo os da equipe de apoio -- seja consciente quanto ao risco de ataque de hackers, disse o CEO Mike Franco.

“Todos precisam se conscientizar de que a exposição vem com as pessoas, não com a tecnologia”, disse Franco. “Não se pode parar esse tipo de invasão com boas tecnologias. É preciso fazê-lo com treinamento e capacitação, mudanças de atitude e conscientização”.

Acompanhe tudo sobre:HackersInternetseguranca-digital

Mais de Tecnologia

Quer proteger seus dados no iPhone? Confira três dicas de segurança

China acusa EUA de realizar mais de 600 ataques cibernéticos com apoio de aliados

Meta oferece R$ 1,4 bilhão para recrutar jovem de 24 anos em guerra por superinteligência

Qual será a potência do PlayStation 6? Rumor indica a escolha feita pela Sony