No final de janeiro, alegados dados de cerca de 50 milhões de clientes da Europcar foram oferecidos num fórum clandestino. A Europcar reagiu rapidamente e negou que se tratasse de um arquivo real.
Os dados não são consistentes nem os endereços de e-mail em particular são conhecidos pela Europcar. Embora a Europcar tenha sugerido que estes dados foram gerados usando IA generativa (por exemplo, ChatGPT), outros investigadores de segurança são da opinião de que nenhuma IA funcionou aqui. O que todos têm em comum, porém, é a opinião de que esses dados foram gerados por máquinas. Rapidamente surgiu no fórum a suspeita de que os dados colocados à venda não eram autênticos, o que acabou por levar ao bloqueio do vendedor no fórum. Por mais interessante que a história possa parecer à primeira vista, uma olhada “por trás da história” revela outros aspectos interessantes:
Honra entre criminosos
Uma narrativa no ambiente de ransomware nos últimos anos é a suposta “honra” dos cibercriminosos: se você pagar pela descriptografia, a “honra” dos criminosos determina que eles também entreguem a chave; apenas “honra” realmente não é a palavra certa aqui. Entregar a chave em troca de resgate não tem nada a ver com honra. Este é simplesmente o instinto comercial dos criminosos: se se espalhar a notícia de que nenhuma chave foi distribuída apesar do pagamento, isso seria prejudicial para os negócios, ou seja, puro interesse próprio e nenhuma “honra”.
A opinião de que os criminosos não traem uns aos outros se deve mais a uma narrativa glorificada de Robin Hood do que aos fatos: no caso acima, um criminoso tentou enganar outros criminosos. Só podemos esperar que ainda não houvesse compradores. E só porque os compradores estão impedidos de passar pelo sistema judicial oficial não significa que não haja quaisquer consequências a temer. No passado, ações semelhantes levaram a resultados muito desacreditáveis. “Doxing” (a exposição virtual do fraudador através da invasão da conta de e-mail, publicação do endereço real, persoscans, publicação de referências, etc.) é apenas o começo. Informações sobre Doxing são o que você vê nos fóruns. Você não vê o que um criminoso potencialmente enganado faz com essas informações no mundo real... talvez felizmente.
Você conhece seus dados?
Talvez o aspecto mais interessante do ponto de vista da defesa seja a reacção da Europcar. A Europcar deixou claro de forma rápida e clara que os dados não eram reais. Mas o incidente também mostra que os criminosos produzem dados falsos – seja para vendê-los (como neste caso) ou para chantagear potenciais vítimas com eles. E é exatamente aqui que as coisas ficam emocionantes. Imagine que uma empresa receba (por exemplo, após um incidente de ransomware) outra mensagem de chantagem como “Temos seus dados! Em anexo um exemplo. Se você não quiser que isso seja publicado….”
E agora a questão crucial: a empresa consegue verificar (em tempo hábil) se os dados são reais ou não? Quanto mais demora o processo de tomada de decisão, mais nervosa a gestão pode se tornar. E esse nervosismo pode aumentar a probabilidade de o pagamento ser efetuado – assim como uma solução à prova de falhas.
Isto leva a duas conclusões importantes para o lado da defesa. Em primeiro lugar, este cenário de ser chantageado com dados (supostamente) roubados deve ser incluído na avaliação de risco. Em segundo lugar, as medidas de redução de riscos ou medidas de verificação (processos, direitos de acesso, pessoas) também devem ser definidas antecipadamente. Caso contrário, pode acontecer muito rapidamente que, por exemplo, a equipa de resposta a incidentes designada não consiga verificar os dados com a rapidez suficiente porque, por exemplo, as bases de dados não são tecnicamente acessíveis. Outro aspecto, principalmente quando se trata de dados pessoais, é certamente o GDPR. Nesse caso, como você pode verificar os dados pessoais sem violar o GDPR?
Ambas são coisas que podem ser definidas com relativa facilidade *com antecedência*: no caso de uma emergência, o processo correspondente pode então ser realizado de maneira ordenada. Se o processo não for definido, muitas vezes surge um grande caos e pânico - com o efeito de que a declaração sobre se os dados estão a ser chantageados não pode ser feita em tempo útil. Isto, por sua vez, aumenta a probabilidade de os chantagistas pagarem.
Duas dicas
1) Prepare-se para ser chantageado com dados (supostamente) roubados.
2) Definir antecipadamente processos com os quais os responsáveis pela resposta a incidentes possam aceder rápida (tecnicamente) e legalmente aos dados (leitura) no caso de um incidente, a fim de verificar a autenticidade de um despejo.
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.
Artigos relacionados ao tema