Nunca fiz uma pesquisa sobre esse assunto, mas acredito que 100% dos profissionais que realizam análise de segurança de TI nas empresas rapidamente percebem que quase nenhuma investe em segurança da informação como deveria. Elas nem mesmo percebem a importância desse assunto como deveriam.
Ahhh tá! Tem as instituições financeiras! Os grandes bancos investem sim nesse tipo de segurança. Mas eu mesmo já participei de alguns projetos em empresas subcontratadas por bancos para executar, por exemplo, trabalho de recuperação de crédito, e essas empresas já não faziam a tarefa de casa.
O problema é que o mundo "hacker" mudou muito do final dos anos 90 pra cá. Naquela época, a maioria dos eventos que chegavam à mídia se referiam a alteração de páginas (homepages) de empresas. E dos EUA a gente ouvia falar em roubo e divulgação de bases de clientes e seus respectivos números de cartões de crédito. Isso porque as empresas lá já estavam em outro patamar de informatização.
Hoje em dia, com as empresas conectadas de diversas formas, oferecendo diversos serviços através de Aplicações Web, surgiu uma grande demanda criminosa por informações e por programas maliciosos que têm como objetivo roubar informações como agendas de contatos, fotos, senhas, .... ou gerar prejuízo financeiro direto, como no caso da fraude dos boletos, que surgiu por volta do final de 2012 e já causou um prejuízo estimado em R$ 8.572.513.355,59 (3.75 bilhões de US$). Segundo o relatório RSA DISCOVERS MASSIVE BOLETO FRAUD RING IN BRAZIL, de julho de 2014.
Alguns exemplos de informações que podem ser compradas e vendidas em alguns fóruns na Deep Web:
Nome completo, RG, CPF, números de cartões de crédito, carteira de habilitação, documentos de veículos, renda, endereço, telefones, profissão, local de trabalho, email, passaporte, credenciais de acesso a sistemas como Serasa e de qualquer outra empresa de consulta na mesma linha. Quando falamos em números de cartões de crédito, imagine que o mercado é tão "profissional" que a comercialização é feita de acordo com o limite de crédito. Um limite de R$ 1.000,00 custa X, o limite de R$ 2.000,00 custa x+y e por aí vai.
Como já falei, nesse mercado você também encontra programas que têm como objetivo gerar lucro & prejuízo que podem acompanhar tutoriais e até horas de suporte diretamente com os fornecedores dos programas.
Outra coisa interessante é que praticamente tudo o que você compra em um fórum "de respeito" tem garantia. Os criminosos cadastrados e autorizados a comercializar seus produtos ali têm que garantir a funcionalidade dos programas e a veracidade das informações.
Nossa condição de cidadão é extremamente complicada porque nós não podemos fazer muita coisa, já que precisamos fornecer nossas informações em diversas situações.
As empresas por sua vez, deveriam investir na segurança da informação com responsabilidade. Muitas delas compram uma solução de R$ 20.000,00 ou R$ 30.000,00 de uma super grife e acham que com isso estão fazendo a tarefa de casa. Segurança é um processo contínuo e as ferramentas dependem de políticas e procedimentos humanos contínuos.
Ainda bem que existem as grandes marcas que exigem que a cadeia inteira de fornecedores siga padrões e boas práticas de segurança. Um fabricante de carro pode exigir que o fornecedor de câmbio siga seus padrões técnicos e de segurança da informação para fazer parte da cadeia.
Bom, nesse post achei por bem excluir a espionagem industrial, que também é um mercado enorme e crescente. Mas saibam que existem sim, fóruns onde você pode contratar serviços de roubo de informações industriais, como projetos, listas de fornecedores, de clientes, .... e até mesmo sabotagem.
Por enquanto é só! Se alguém quiser tirar alguma dúvida, precisar de material ou de qualquer outro apoio é só falar. Posso não responder na mesma hora, mas garanto que respondo logo.
Siimmm!!!
Segue link sobre a prisão de alguns "hackers" envolvidos nesse mercado.
Outro alerta para a criticidade desse mundo "hacker", é o fato do FBI ter uma página com os mais procurados.
Rodrigo Ramos
Rodrigo Ramos
