O método de roubo de credenciais de cartões de crédito aplicado pelo Prilex e descoberto no fim de janeiro já é capaz de burlar as salvaguardas oferecidas pelo pagamento por aproximação. Essa nova dinâmica levou os líderes em Cibersegurança a pensarem os problemas no enfrentamento de golpes dependentes de Engenharia Social. Segundo especialistas, uma enganação aplicada a um colaborador da empresa pode burlar as infraestruturas mais rígidas, tornando sem efeito os investimentos na área.
“Esse tipo de golpe é focado no usuário final dos cartões de crédito e mira em alvos que não estão preparados para perceber uma tentativa de golpe. Hoje em dia, quase todos os problemas de Cibersegurança começam com o usuário final e é isso que nos leva a preparar ferramentas de contenção dos danos de uma invasão que vai acontecer cedo ou tarde”, comenta Paulo Baldin, CISO e DPO no Stark Bank, em entrevista para a Security Report.
Para Ronaldo Andrade, CISO na Horiens Risk Advisors, o Prilex é um Malware extremamente escalável e que conta com as vulnerabilidades de engenharia social para ser aplicado, mas seu maior diferencial está no tipo de dano. Além disso se trata de um processo que não se consegue mitigar com facilidade e pode ser mesclado com uma série de outros malwares ainda mais perigosos. Isso gera um alto potencial de disseminação pelas redes.
“É um método altamente escalável em qualquer lugar do mundo porque mira a granularidade do mercado varejista. Hoje, vemos um número absurdo de empresas com vulnerabilidades conhecidas, basta compilar uma ferramenta escalável como um malware e aplicá-la em uma vertical que manuseia um grande volume de informações, como é o caso do Varejo. Isso permite aos cibercriminosos conseguir escalar seus movimentos rapidamente”, explica.
Cultura de ponta a ponta
Na visão de Andrade, a maturidade de Cyber Security exige que se eduque a cadeia inteira de profissionais, desde o maior executivo até os prestadores de serviços. Sem essa conscientização, é o elo mais fraco que romperá a proteção, independentemente de quantos recursos a empresa tenha. Portanto, é esse elo fraco que mais precisa ser treinado.
“O grande mitigador desse processo não é dinheiro nem tecnologia de ponta. É a educação digital, pois ela é capaz de estancar uma disseminação muito veloz desses golpes, além de aumentar os scores e a maturidade em Cibersegurança das corporações. O curioso desse tipo de golpe é que ele pode ser enfrentado com atitudes extremamente simples, como ferramentas Open Source, conscientização e a dor dos donos”, ressaltou ele.
Baldin ainda ressalta um segundo pilar de atuação, o que envolvendo a aplicação de pentests pela própria equipe de Segurança da companhia ou por empresas de auditoria terceirizadas para fornecerem um segundo olhar. Além disso, é importante que as organizações apoiem os fornecedores e clientes, desenvolvendo e oferecendo manuais de boas práticas da própria empresa.
“Nesse caso do Prilex, por exemplo, precisamos informar que nós nunca vamos tomar a iniciativa de oferecer a instalação de alguma atualização dos nossos produtos. Portanto, jamais confiem em alguém que ofereça a instalação de qualquer coisa dizendo ser um dos nossos, porque não é”, exemplificou o CISO.
