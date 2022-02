O “acesso não autorizado" que tirou do ar na madrugada do último sábado os sites das Lojas Americanas, do Submarino, do Shoptime e do Sou Barato, lojas virtuais fazem parte do grupo Americanas S/A, segue causando estragos.

Nesta terça-feira, as marcas informaram que a instabilidade pode causar atrasos nas entregas dos pedidos, além, claro, de impedir as compras pelo e-commerce – lembrando que a maior parte de seu faturamento é originado nos canais digitais cerca de 60,8% do negócio. Sem falar na queda dos papéis da companhia na Bolsa.

“É fácil imaginar a dimensão do prejuízo que este cenário está trazendo a estes sites que são gigantes na venda de produtos via internet”, comenta Caio Sposito, country Manager Brasil da Arcserve, provedor de soluções de proteção/recuperação de dados e continuidade de negócios.

Em nota, a empresa disse que “acionou prontamente seus protocolos de resposta assim que identificou acesso não autorizado. A companhia atua com recursos técnicos e especialistas para avaliar a extensão do evento e normalizar com segurança o ambiente de e-commerce o mais rápido possível”.

Com presença cada vez mais massiva no mundo digital, empresas e instituições se tornaram alvo dos ataques de ransomwares, tipo de malware que sequestra dados importantes, restringindo o acesso a arquivos e informações de um sistema por meio de criptografia. Os criminosos virtuais usam chantagem financeira para obter maior sucesso no recebimento do resgate. No País, Lojas Renner, Fleury e JBS foram alguns dos alvos recentes.

Relatório recente do FBI, o Internet Crime Complaint Center (IC3), mostra que, em 2020, foram cerca de 2.474 casos relatados, o que significou uma perda total de vítimas de mais de US$ 29 milhões. Isso representa um aumento de quase US$ 9 milhões e 2.047 incidentes em comparação a 2019 e US$ 3,6 milhões e 1.493 incidentes em 2018.

No terceiro dia consecutivo de pane, a Americanas ainda não admitia a ocorrência de ataque, embora, no sábado, um grupo chamado Lapsus tenha assumido a autoria. Mas, a julgar pela gravidade do caso e pelo histórico recente deste perfil de ameaça no Brasil, essa possibilidade é fortemente considerada por especialistas em segurança.

Quase metade dos casos atendidos no ano passado pela Equipe Global de Resposta a Emergências da Kaspersky, empresa de segurança digital, esteve associado a ransomware, um aumento de quase 12% em relação a 2020.

Os criminosos aprimoraram seus arsenais, concentrando-se em menos ataques e direcionando-os para organizações de grande escala. Além disso, criou-se um ecossistema clandestino inteiro para suportar essas iniciativas.

“Hoje em dia, todos os grupos que atuam com ransomware utilizam a dupla chantagem (exfiltrar e criptografar). Se a empresa não se preocupar antes de ser vítima, há muito pouco o que se pode fazer para mitigar os danos ou a multa pela Lei Geral de Proteção dos Dados (LGPD)”, alerta o gerente-executivo da Kaspersky no Brasil, Roberto Rebouças.

Entre as principais ações que devem ser tomadas, sugere, é a diminuição da superfície de ataque com a correção de vulnerabilidades e políticas efetivas de acesso às informações e monitoramento de atividades suspeitas na rede para identificação precoce do ataque. “Também é importante o treinamento amplo (de conscientização e de especialização) para que as equipes saibam lidar com este problema e tecnologias efetivas de prevenção, como criptografia e a melhor proteção contra ransomware do mercado”, reforça.

O advogado especialista em Direito Digital, Nagib Barakat, comenta que, as pessoas que tenham efetivamente suportado prejuízo em virtude de vazamento de dados pessoais neste tipo de ataque podem recorrer à Justiça. “Mas a tendência é que os pedidos de indenização apenas sejam julgados procedentes quando for possível comprovar, de forma concreta, que o dano sofrido foi decorrente do vazamento de dados pessoais. O vazamento, por si só, não deve gerar o dever de indenizar por parte das empresas”, ressalta.

Em qualquer caso de incidente de segurança, especialmente se houver a confirmação do vazamento de dados pessoais, é preciso precaução para evitar uma série de consequências danosas que podem ser resultado da atuação de golpistas que tiveram acesso aos dados pessoais eventualmente vazados.

“As tecnologias, por si só, já nos impõem alguns cuidados, que devem ser redobrados nesses momentos, como uma maior atenção aos e-mails e mensagens recebidas via celular”, alerta. É importante, por exemplo, confirmar o endereço eletrônico ou telefone do remetente, já que golpistas costumam utilizar o nome de grandes empresas, e até mesmo de instituições bancárias, para tentar iludir a vítima fazendo com que o contato pareça oficial.

“Mudanças sutis, como a inclusão de uma letra a mais no nome da entidade, mudança de ".com.br" para ".net.br", dentre outras táticas, são usuais nesse tipo de golpe, cujo foco é estimular a vítima a clicar em um link malicioso ou fornecer mais informações pessoais”, relata o especialista, que faz parte do Urbano Vitalino Advogados, escritório pioneiro no uso de Inteligência Artificial aplicada ao Direito no Brasil.

Aos usuários finais, fica a dica: desconfie de mensagens que apresentam links clicáveis e fique atento com as ligações e contatos via mensagens, pois pode ser o golpista tentando obter mais dados a respeito da vítima. “Quanto mais informações ele tiver sobre você, mais assertivo será na hora de aplicar um golpe em terceiros, no seu banco, realizar furto de identidade para abrir contas bancárias ou em sites de compras e vincular seus dados a cartões fraudados”, explica Barakat.