O PCI Security Standards Council (PCI SSC) e a Associação Brasileira das Empresas de Cartões de Crédito e Serviços (ABECS) falam sobre a ameaça de ataques de malware no Brasil e no ambiente de pagamentos global mais amplo e compartilham orientações e informações sobre como se proteger contra eles.
Qual é o estado atual dos ataques de malware no Brasil?
Carlos Caetano: Um malware está sendo usado para roubar informações financeiras de brasileiros. O código malicioso foi registrado em toda a América Latina com foco em usuários de bancos brasileiros. Batizado de Vadokrist, o cavalo de Tróia pode controlar as ações do mouse, produzir impressões e até reiniciar o sistema do computador. O Trojan se espalha através de mensagens de spam que contêm arquivos executáveis que instalam o software e abrem uma brecha de segurança no computador.
O Brasil é o país mais atingido por ataques de ransomware na América Latina. Dos mais de 5.000 golpes desse tipo que acontecem todos os dias na região, 46,6% são registrados em nosso país, o que também nos coloca entre os territórios mais visados do mundo. As peculiaridades regionais também fazem com que ameaças um pouco antigas, como WannaCry, continuem a ser um perigo aqui.
Números divulgados pela Kaspersky, empresa especializada em segurança digital, colocam o Brasil com mais do que o dobro do índice de ataque do segundo colocado. O Brasil ficou em primeiro lugar em ataques, seguido por México e Colômbia.
O que são ataques de malware?
Carlos Caetano: Um ataque de malware ocorre quando hackers criminosos usam um código de software malicioso chamado malware (também chamado de vírus) para invadir sistemas de computador e roubar dados de pagamento. Esses ataques costumam ser difíceis de detectar e podem causar danos significativos a uma empresa. Compreender esse tipo de ataque é fundamental para proteger os dados de pagamento.
Então, como exatamente esses ataques funcionam?
Carlos Caetano: Os hackers criminosos frequentemente visam empresas vulneráveis e incorporam código de software ou vírus em um sistema de computador, explorando senhas fracas ou padrão, software antivírus desatualizado, dados não criptografados ou através de um fornecedor terceiro com controles de segurança fracos. Depois que um hacker penetra em um sistema de pagamento com malware, ele pode fazer coisas como vender suas informações no mercado negro, fazer compras online fraudulentas ou criar cartões de crédito clonados.
Quais empresas correm o risco de sofrer esse ataque tortuoso?
Daniel Marchetti: De empresas familiares locais a corporações da Fortune 100, nenhuma empresa está imune a esse tipo de ataque. Com mais e mais transações migrando para o comércio eletrônico, essas ameaças estão aumentando e exigem atenção e vigilância renovadas. Os danos que esses tipos de ataques podem causar podem ser devastadores para uma empresa, incluindo a perda de confiança do consumidor, danos à imagem de sua marca e perda de receita. Para os consumidores, eles podem ser afetados negativamente com cobranças fraudulentas que prejudicam sua pontuação de crédito.
Carlos Caetano: Em seu recente relatório sobre malware, a empresa de segurança cibernética Kaspersky descobriu que muitos ataques de malware estão sendo distribuídos por e-mail convencional, o que convence as vítimas a baixar uma atualização de um servidor remoto - controlado por criminosos. As vítimas costumam ser lojas tradicionais, como postos de gasolina, supermercados e pontos de venda típicos. As vítimas são de todo o Brasil o que destaca ainda que todos os tipos de negócios estão sob risco deste ataque.
O que as empresas podem fazer para se proteger melhor desses ataques em primeiro lugar?
Daniel Marchetti: As empresas precisam estar cientes de que essas ameaças estão à espreita e precisam fazer da segurança uma prioridade diária. Esse é um bom primeiro passo - reconheça a ameaça potencial, faça um plano para se defender dela e fique vigilante quanto à segurança.
Carlos Caetano: Existem várias etapas rápidas e fáceis que uma empresa pode seguir agora para ajudar na proteção contra esses ataques. Eles incluem:
- Use o software antivírus mais recente e mantenha os patches atualizados
- Atualize todas as senhas padrão e da equipe com senhas seguras
- Gerencie como e quando seus fornecedores podem acessar seus sistemas. Permita o acesso remoto apenas quando necessário e imponha o uso de autenticação de múltiplos fatores
- Confirme se todos os fornecedores terceirizados estão implementando e mantendo adequadamente os controles de segurança descritos no Padrão de Segurança de Dados do PCI (PCI DSS)
- Confirme se os fornecedores de segurança de software terceiros estão seguindo o Software Security Framework (SSF) do PCI SSC
- Desvalorize os dados - converse com seu adquirente para entender como suas soluções podem desvalorizar os dados de cartão de pagamento em seu sistema de pagamento, como com criptografia ponto a ponto (P2PE)
Existem recursos adicionais onde posso obter mais informações sobre ataques de malware e segurança?
Daniel Marchetti: Você encontra alguns guias de boas práticas de segurança e prevenção a fraudes no site da ABECS (www.abecs.org.br). Esses materiais fornecem uma variedade de informações e recomendações importantes para gerentes de negócios, desenvolvedores da web e profissionais de TI que trabalham com comércio eletrônico.
Carlos Caetano: O PCI SSC dispõe de vários recursos que tratam deste tema e acaba de lançar dois padrões sobre o importante tema de segurança de software. Para obter mais informações, visite a página do PCI SSC em:
Fique atualizado com o PCI Security Standards Council! Siga-nos hoje.
