Quando se trata de segurança cibernética, empresas de todos os tamanhos podem ser alvos de cibercriminosos, e seus donos nunca devem presumir que algo pode ser totalmente seguro. Recentemente, fui convidado para pesquisar e testar a segurança cibernética de um clube de golfe independente no Reino Unido e achei que poderia ser uma experiência interessante.
Além disso, o dono do clube garantiu que seria muito complicado conseguir atacá-los, já que o clube contava com alguém que “cuida da segurança”. Isso só me fez sentir ainda mais instigado e pronto para o desafio.
Com 14 anos de experiência na unidade de cibercrime e forense digital na polícia, agora reviso e analiso as possíveis ameaças cibernéticas que as empresas podem acabar tendo que enfrentar. Ser capaz de entender os cibercriminosos geralmente me ajuda a descobrir informações sobre sua mentalidade, o que pode proporcionar uma melhor proteção para as organizações.
Nesse ponto, preciso adicionar um pequeno aviso de isenção de responsabilidade. Antes de embarcar na minha aventura nesse lindo campo inglês, recebi total acesso e permissão do dono do clube para ir a qualquer lugar que eu quisesse e fazer o que desejasse – com bom senso, é claro!
Assim como ocorre na hora de realizar um bom ataque, a pesquisa é vital. Embora eu já estivesse familiarizado com o ambiente, o jargão e a vestimenta de um clube de golfe de qualidade, precisei aprender tudo o que pudesse sobre a equipe e esse clube específico em questão; e é nessas situações que o Google é seu melhor amigo. Armado com o que encontrei na internet e algumas técnicas de qualidade no bolso de trás, eu estava bastante confiante de que poderia me divertir um pouco com meu estabelecimento de golfe-alvo.
Decidi me passar por um assistente de produção de TV, pedindo para fazer uma visita de reconhecimento para um novo comercial e solicitando tirar algumas fotos para enviar ao meu produtor. Liguei para o clube com uma semana de antecedência e me apresentei através de história criada por mim mesmo. O gerente de desenvolvimento de negócios do clube atendeu à ligação e (naturalmente) adorou a ideia. Logo em seguida, ele me convidou para visitar o clube na semana seguinte.
Um dia no campo de golfe
Cheguei ao campo de golfe em uma manhã ensolarada e fui direto para a recepção pouco depois das 9h, equipado com meu laptop, drive USB, câmera DSLR e uma jaqueta que emanava confiança. Depois de me encontrar com o gerente de desenvolvimento de negócios com quem havia falado, saí durante uma hora com minha câmera e tirei algumas fotos do lugar.
Na volta, mostrei as fotos e perguntei se poderia usar o wi-fi do clube de golfe, destacando que seria mais seguro (!), e solicitei a senha, que felizmente foi disponibilizada. Em seguida, expliquei que havia esquecido alguns papéis que precisavam ser assinados, então perguntei a ele se poderia colocar meu drive USB em seu computador para imprimir um formulário de autorização. Ele concordou e até disse: "normalmente não deixaria alguém que não conheço fazer isso, mas como é para a TV, vou abrir uma exceção."
Foi então que testemunhei um verdadeiro show de horror, algo que não esperava ver nunca mais... Eles ainda estavam usando o Windows XP!! O suporte para este sistema operacional deixou de funcionar em 2014 e é altamente perigoso quando conectado à internet. Ver essa situação me assustou bastante. Para piorar as coisas, o XP estava sendo executado na máquina da loja com o software de ponto de venda, com todos os dados financeiros e confidenciais sendo rodados por meio desse dispositivo. Esta situação poderia ter consequências muito perigosas caso esse dispositivo fosse escolhido como um alvo de ataque.
Depois de fingir que o documento que precisava imprimir não estava no meu drive USB, me ofereci para enviar um formulário de pré-lançamento falso por meio dos formulários Google para obter algumas informações pessoais adicionais sobre o gerente, juntamente com uma de suas senhas. Ele clicou neste link imediatamente e o preencheu. Na verdade, ele então atendeu uma ligação e me deixou com acesso total a mais duas máquinas, sem ninguém olhando.
Com acesso à senha do Wi-Fi, drives USB e até máquinas não supervisionadas, eu poderia fazer o que quisesse. Desde a instalação de um trojan de acesso remoto ou keyloggers nas máquinas até a inserção de outro malware, como um ransomware na rede e exigir um pagamento pela descriptografia dos dados. Toda esta situação era um sonho para um hacker!
Deixar a estação de trabalho sem supervisão e desbloqueada é um perigo em qualquer local de trabalho, mas especialmente em uma posição na qual alguém pode simplesmente entrar e aproveitar outros erros de segurança. Esta situação me fez perceber que algumas empresas ainda estão muito atrasadas em relação à segurança cibernética.
Claro, eu realmente não ataquei a rede nesse clube de golfe, mas as lições aprendidas foram vitais e a gravidade é preocupante. A quantidade de dados pessoais, confidenciais e financeiros mantidos na rede aos quais eu tinha acesso poderia representar um grande custo para o clube. Caso os dados fossem comprometidos, as multas da GDPR ou da LGPD (no caso do Brasil) por vazamento desse tipo de informação pessoal poderiam ter sido catastróficas. A adesão a um clube de golfe implica a entrega de muitas informações, portanto, se um clube por algum motivo perde esses dados, poderia haver sérias consequências e muitas vítimas.
Pensar a longo prazo
A facilidade com que um ataque pode ser realizado às vezes acaba sendo impressionante. Uma boa história de fundo, um toque de charme e um pouco de sorte podem levar a um atacante a maioria das áreas de uma empresa. Se adicionarmos a isso o fato de que as práticas básicas de segurança cibernética são deixadas de lado, a nefasta tarefa em questão pode se tornar muito mais simples. Uma jaqueta chamativa só ajuda a fechar o negócio.
Os cibercriminosos são exatamente bons em tirar vantagem de pontos fracos ou vulnerabilidades, e é por isso que todos precisamos melhorar o que fazemos fora do campo de golfe e começar a nos concentrar em descobrir onde estão esses pontos fracos em nossos negócios.
Ao informar a situação para o dono do clube, ele ficou um pouco assustado, mas também não se surpreendeu. Ele mesmo disse que nunca pensou que alguém poderia atacar seus negócios e erroneamente presumiu que os cibercriminosos são aqueles que usam um capuz e perseguem as grandes empresas. A verdade, entretanto, é que todo negócio pode acabar sendo um alvo e se continuarem tão facilmente penetráveis, os ataques continuarão sendo bastante lucrativos para os criminosos.
