Segurança da Informação:
uma arma contra fraudes
cibernéticas nas organizações
José Wagner Bungart, MsC, DPO, ISO
Diretor Técnico na Brasiliano INTERISK.
Julho | 2023
As tentativas de fraudes cibernéticas estão cada vez mais frequentes nas organizações. Com a digitalização dos processos empresariais, as oportunidades para os fraudadores aumentaram. Desta forma, a Segurança da Informação, com suas ferramentas, processos e pessoas capacitadas, pode se tornar uma forte aliada para a prevenção às fraudes, tanto as internas quanto as externas. A Segurança da Informação pode contribuir de muitas formas com a diminuição das fraudes, identificando proativamente comportamentos anômalos e atuando no bloqueio tempestivo das tentativas de fraudes.
Um dos principais objetivos da área de Segurança da Informação das organizações é protegê-la de fraudes, enfrentando as muitas ameaças cibernéticas que visam burlar os controles das empresas, buscando brechas nos processos ou aproveitando-se da falta de implementações de segurança. Essas ameaças permitem que uma fraude aconteça sem que seja percebida, ou, se for, que seja percebida quando já é tarde demais.
Para demonstrarmos como a Segurança da Informação pode ser uma arma contra as fraudes cibernéticas, vamos separá-las em dois cenários: as fraudes internas e as fraudes externas. Para cada cenário, vamos descrever como elas podem acontecer e como a Segurança da Informação pode preveni-las, detectá-las e combatê-las.
As fraudes cibernéticas internas são cometidas por colaboradores da própria organização ou de terceiros que trabalham internamente e possuem acessos a informações e sistemas da organização, utilizando recursos, acesso ou informações privilegiadas para fins fraudulentos ou maliciosos. Elas podem ocorrer de diversas maneiras e são muitas vezes de difícil detecção, pois os fraudadores têm conhecimento interno dos sistemas e processos da empresa.
Uma fraude cibernética interna comum é o roubo de informações sensíveis ou confidenciais, como informações de clientes, propriedade intelectual ou segredos comerciais, visando vender essas informações para concorrentes ou terceiros. A fraude financeira também é uma prática comum. Nela, o colaborador com acesso a sistemas financeiros pode manipular registros contábeis ou transferir dinheiro para contas pessoais ou de cúmplices, resultando em prejuízos financeiros para a empresa.
O fraudador interno pode criar contas fantasmas de clientes ou fornecedores e usar essas contas para desviar pagamentos ou realizar compras falsas. Também é comum vermos fraudes em despesas, nas quais o colaborador pode apresentar despesas falsas ou infladas para obter da organização reembolsos indevidos.
Existem muitas modalidades de fraude que um colaborador mal-intencionado, com motivações de prejudicar a empresa em que trabalha, pode explorar. Se a empresa não fizer uso de controles de Segurança da Informação capazes de identificar, rastrear e coibir a fraude, ela continuará sujeita a esses ataques.
É importante que as empresas adotem uma abordagem abrangente de segurança da informação, que inclua o monitoramento de atividades suspeitas, a implementação de controles de acesso apropriados, a conscientização dos funcionários sobre as políticas de segurança e a análise contínua de dados para identificar padrões ou comportamentos anômalos. Além disso, o estabelecimento de uma cultura de ética e transparência pode ajudar a prevenir ou minimizar as fraudes cibernéticas internas.
Uma ferramenta de DLP (Data Loss Prevention) pode ajudar a identificar atividades suspeitas do colaborador ou de terceiros que tenham acesso a dados da empresa. O DLP pode ser configurado com regras para identificar padrões nos arquivos trafegados – por exemplo, a identificação de dados pessoais como nome, CPF, RG, CNH, endereços, entre outros. A partir dessa identificação, é possível criar regras de bloqueio de envio para endereços de e-mail particulares ou permitindo o envio somente para a própria empresa e para parceiros cadastrados. Esse controle diminui o risco de vazamentos de dados pessoais.
O mesmo pode ser feito para dados corporativos, como padrão de números de propostas e contratos da empresa, número de CNPJ, imagens e outros tipos de informações que a organização classificar como confidenciais. Uma ferramenta de rotulagem de arquivos pode ser usada para trabalhar em conjunto com o DLP. Nesse caso, a própria ferramenta ou o usuário que criou o documento rotula o arquivo com a classificação adequada, como “Confidencial” ou “Restrita”, por exemplo, e o DLP atua utilizando essa classificação para verificar o atendimento das regras.
Outra forma importante de rastrear e identificar atividades suspeitas de fraudes é ter um bom sistema de gerenciamento e correlação de logs, em que as ferramentas de SIEM (Security Information and Event Management) recebem os logs dos diversos sistemas e dispositivos instalados na empresa e são capazes de estabelecer uma correlação de eventos, alertando caso seja identificado algum comportamento anômalo (por exemplo, uma credencial de usuário sendo utilizada em mais de um computador ao mesmo tempo, em localidades diferentes). Esse evento por si só é considerado um incidente de segurança, pois cada usuário deve ter sua credencial exclusiva, que não deve ser compartilhada com outras pessoas. Caso isso ocorra, é um forte indício de fraude.
Uma medida simples, que não requer grandes investimentos, na maioria dos casos, é ter um bom controle de acessos e operacionalizar o conceito de “privilégio mínimo”, ou seja, os usuários devem ter acesso somente às informações estritamente necessárias para o seu trabalho. Permitir o acesso a informações de que um determinado colaborador não precisa só faz aumentar a superfície de ataques e fraudes cibernéticas. Os acessos devem ser revistos periodicamente, principalmente devido à movimentação de colaboradores entre áreas e mudanças de funções.
As fraudes cibernéticas externas são aquelas realizadas por indivíduos ou grupos externos à organização, contra a empresa ou seus clientes, usando meios digitais e tecnologias cibernéticas para obter ganhos financeiros, acesso não autorizado ou prejudicar a empresa de alguma forma. Essas fraudes são geralmente realizadas por cibercriminosos que visam explorar vulnerabilidades nos sistemas, redes ou comportamentos das vítimas.
Empresas de comércio eletrônico são vítimas comuns desse tipo de fraude, pela própria natureza do negócio. Com a disponibilização e exposição dos seus sistemas para que os negócios aconteçam, os criminosos realizam compras fraudulentas usando informações roubadas de cartões de crédito, informações de contas ou dados de clientes.
A falsificação de websites também afeta as empresas. Nesse tipo de fraude, os criminosos criam sites falsos que se assemelham a sites legítimos para induzir os usuários a inserir informações confidenciais, como login e senhas, além de realizar pagamentos para contas falsas ou empresas de fachada. Nesse tipo de fraude, o cliente é diretamente impactado, porém a imagem da empresa também é afetada, pois normalmente o cliente move ações na justiça contra a empresa para ser ressarcido do prejuízo.
Por último, um ataque que vem crescendo muito é o suborno de colaboradores de empresas com acessos privilegiados para utilizar suas credenciais de acesso aos sistemas da empresa. Nesses casos o colaborador “vende” as suas credenciais para o fraudador, inclusive de acessos remoto por VPN. O fraudador utiliza essa credencial válida para entrar com facilidade nos sistemas da empresa e cometer fraudes em sistemas financeiros, ou pior, disparar ataques aos servidores e sistemas com o objetivo de indisponibilizar sistemas, roubar informações e, posteriormente, solicitar resgates.
No que diz respeito às fraudes cibernéticas externas, a Segurança da Informação pode ser utilizada para impedir ou dificultar que as fraudes ocorram. No cenário de comércio eletrônico, a validação da identidade do comprador deve ser realizada de forma robusta, como por exemplo com o uso de um segundo fator de autenticação, além do usuário e senha. Esse segundo fator pode ser um SMS, mensagem de WhatsApp, e-mail ou outra forma que dificulte a fraude, pois o criminoso deverá ter um segundo acesso a dispositivos ou sistemas da vítima. Mais reforçada ainda ficará a segurança se o segundo fator de autenticação envolver algum dado biométrico do usuário legítimo, como o reconhecimento facial, por exemplo.
A falsificação de websites é um pouco mais difícil de controlar, pois não depende exclusivamente da empresa. Nesses casos, ela também é vítima, pois são utilizadas a sua imagem e credibilidade para que os golpes aconteçam. O que a empresa deve fazer nesses casos é contratar uma empresa de Inteligência de Ameaças, ou criar um time para realizar a busca por sites falsos ou perfis em redes sociais, para rastrear e identificar o uso do nome e marca da empresa indevidamente. Após a identificação do site falso, deve solicitar a sua retirada do provedor de serviços. Essa ação é denominada de “takedown”. Um trabalho de conscientização e orientação de segurança para os clientes de comércio eletrônico também é uma medida que ajuda a diminuir a ocorrência de fraudes desse tipo.
Para as fraudes que ocorrem com a “venda” de credenciais válidas pelos próprios colaboradores, a empresa pode utilizar ferramentas que monitorem os acessos remotos e façam uma verificação mais detalhada das características daquele acesso, como por exemplo a geolocalização do usuário, acessos simultâneos, deslocamentos impossíveis de ocorrer, como ter saído do escritório em São Paulo às 18:00 horas e ter se conectado novamente, via VPN, às 18:10, do Rio de Janeiro. Incluir um segundo fator de autenticação para os acessos remotos também aumenta a segurança e pode intimidar o colaborador fraudador, pois indica que a empresa possui mais controles de segurança e pode estar monitorando o acesso e o uso de seus sistemas.
Como vimos, são muitas as fraudes que podem ser praticadas utilizando a tecnologia das empresas. Vimos também que existem muitos controles de Segurança da Informação que podem ser utilizados contra os fraudadores. Um estudo das características e dos riscos cibernéticos de cada empresa deve ser feito para que as ferramentas de Segurança da Informação possam ser implantadas e utilizadas para proteger as organizações.
Com intuito de ajudar as organizações a se protegerem de fraudes cibernéticas, nós da Brasiliano INTERISK contamos com um time de consultoria especializada que unida com a tecnologia do Software INTERISK e sua metodologia única, vai auxiliar a sua organização no mapeamento e avaliação de riscos cibernéticos, bem como na estruturação de planos de ação e avaliações periódicas dos ambientes de tecnologia e nas operações.