Um diretor financeiro de uma empresa de grande porte recebe um e-mail urgente do CEO. Na mensagem, enviada diretamente de seu endereço corporativo, o CEO solicita uma transferência eletrônica sigilosa de alto valor para a conta de uma empresa no exterior. Destaca ainda a prioridade e relevância do procedimento, sob pena de colocar a oportunidade de uma aquisição a perder. O diretor prontamente realiza o pagamento e, inadvertidamente, transforma a empresa em mais uma vítima de um golpe que esta se tornando frequente também no Brasil: o ataque de hackers por meio do BEC (Business Email Compromise). O CEO não tinha nem conhecimento desta ordem, o potencial parceiro não existia e o montante provavelmente nunca mais será recuperado, causando prejuízos de milhões de reais.
No BEC, onde os falsários invadem as contas corporativas e se fazem passar pelos executivos, o ataque é direcionado e tem alto grau de sofisticação, chegando ao ponto de envolver ligações telefônicas de criminosos extremamente preparados e que simulam a interação com o cliente ou advogados fictícios, prevendo uma possível checagem prévia da vítima. O foco das quadrilhas cibernéticas articuladas hoje é um só: chegar aos ativos financeiros da empresa.
Não é por acaso que as empresas brasileiras surgem cada vez mais como alvo destes ataques. O Relatório Global de Fraude e Risco 2017/2018 da Kroll, líder mundial em gestão de riscos e investigações corporativas, , mostra que o país continua vulnerável aos crimes cibernéticos corporativos, com 89% dos executivos afirmando que já sofreram ocorrências deste tipo, índice um pouco acima da média global, que é de 86%. O que chama atenção, contudo, é o salto que este patamar registra em relação a 2016, quando atingia apenas 68% dos respondentes. Nessa ocasião, um observador mais desavisado poderia inferir que o Brasil estava melhor preparado para se defender e investigar violação de dados. Mas os resultados deste ano revelam que, muito possivelmente, a realidade é que a detecção dos golpes ainda era bastante falha. Há casos reais em que as invasões e roubo de dados da empresa vinham acontecendo há mais de três anos, mas a violação da rede só foi descoberta depois de uma auditoria interna e análise forense dos computadores.
Mais do que apenas investimentos em ferramentas, ampliar a segurança cibernética corporativa exige uma mudança cultural. Os ataques, em geral, envolvem uma série de vetores, que podem ir desde um equipamento desatualizado ou uma senha fraca até procedimentos internos pouco objetivos. O caso de BEC exemplifica bem isso: o golpe começa com a invasão das contas de e-mail e tem êxito porque os procedimentos internos de segurança não estão alinhados, permitindo que transferências financeiras fossem realizadas sem uma averiguação detalhada ou um processo de autorização mais consistente.
Neste contexto, a proteção digital não pode mais se limitar à área de TI que, sem dúvida, é essencial neste processo, mas que oferece apenas um ângulo de visão dos potenciais perigos. É preciso integrá-la a um programa consistente de gerenciamento de riscos críticos organizacionais e que envolvem todas as áreas da empresa. Processos, serviços de segurança e rotinas precisam ser revistos, com a definição de políticas claras. A manutenção dos sistemas e sua evolução devem ser regulares. Ter um membro no board, com conhecimentos em segurança cibernética, garante um gerenciamento mais estratégico. Parece muito caro e trabalhoso? O FBI estima que somente os ataques com BEC tenham provocado perdas de mais de US$ 2,3 bilhões nos últimos três anos, com vítimas em 79 países.