O número de ataques cibernéticos usando técnicas da engenharia social, que explora a confiança e a psicologia humana, aumenta no Brasil e no resto do mundo. E o setor de saúde é um dos mais visados, afirma Ingrid Winkler, membro do Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE), maior organização profissional técnica do mundo dedicada ao avanço da tecnologia em benefício da humanidade. Phishing (enviar e-mails falsos que solicitam informações de login, dados financeiros ou sensíveis), pretexting(hacker se faz passar por um funcionário de suporte técnico para obter acesso a contas ou sistemas) e vishing (fazer ligações telefônicas para enganar a vítima) são algumas das artimanhas mais aplicadas pelos cibercriminosos especializados em engenharia social.
Nem mesmo mecanismos de proteção de dados sensíveis como a Lei Geral de Proteção de Dados Pessoais (LGPD, no Brasil), o Regulamento Geral sobre a Proteção de Dados (GDPR, da União Europeia) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPPA, nos Estados Unidos) inibem o aumento de investidas maliciosas.
“Os diferentes grupos de cibercriminosos ambicionam visibilidade ao obter informações sigilosas para serem revendidas na Deep Web ou mesmo para atuar em colaboração com outros hackers em ataques com métodos da engenharia social. Um dos crimes mais comuns é interromper a prestação de serviço de uma organização, cobrando resgates para normalizar os sistemas corrompidos”, diz Ingrid, sublinhando que o setor de saúde costuma ser um alvo preferencial dos hackers por armazenarem ativos sensíveis e cobiçados em um sistema de conexão com fornecedores terceirizados e prestadores de serviços que dificultam o gerenciamento de um perímetro de monitoramento.
A título de ilustração, para continuar na saúde, pública e privada, esse setor ainda é alvo de ações criminosas com dispositivos capazes de interromper operações, indisponibilizar atendimento e rotinas como marcação de consultas e atendimento por telemedicina. Sem contar na captura de prontuários de pacientes ou investida na cadeia de suprimentos de terceiros diretamente vinculados à rotina da organização.
Além disso, o uso da Inteligência Artificial (IA) para normalizar movimentos fora do padrão e a oferta de ransomware (um software malicioso) como serviço (RaaS) para hackers habilita novos cibercriminosos para ataque às empresas. O ransomware é uma ameaça cibernética frequente, “envolvido em 20% de todos os incidentes de cibercrime, segundo o IBM X-Force Threat Intelligence Index.
Apesar de setores como sistemas financeiro e saúde estarem entre os mais atacados por hackers usando engenharia social, as pessoas físicas também estão cada vez mais vulneráveis. Segundo pesquisa publicada no relatório Global de Tendências de Fraude Omnichannel da TransUnion, divulgado em junho deste ano pela Agência Brasil, “40% dos brasileiros já foram alvo de fraudes por e-mail, internet, telefone ou mensagens de texto e 10% dos pesquisados disseram ter caído nos golpes. As perdas atingiram uma média de R$ 6.311”.
Ainda conforme o relatório: “53% dos entrevistados globalmente foram alvo de esquemas fraudulentos por canais como e-mail, internet, telefone e mensagens de texto entre agosto e dezembro de 2024. E ao menos 47% disseram não reconhecer que foram alvos desses golpes”.
Como os setores podem se proteger nesse cenário
Os players do segmento financeiro, de saúde e outros ecossistemas indefesos precisam mobilizar esforços para saber quando serão ou são atacados, como isso acontece e o que pode ser feito para minimizar esse risco antecipadamente.
Ingrid recomenda a adoção de governança de risco, somada à segmentação de redes e gestão de terceiros. A estratégia de defesa também inclui backups imutáveis, patching (correção) contínua, proteção redobrada de API (Application Programming Interface, em inglês) a interface de programação de aplicativos. E mais: sistemas em nuvem, de treinamento antiphising e conscientização das equipes que podem ser vítimas de aliciamentos ou chantagens para viabilizar o acesso ilegal aos sistemas.
“Segurança é um risco de negócio inerente ao desenvolvimento de novas ferramentas para simplificar a resolução de problemas. Dessa forma, a tecnologia, os processos e os fatores humanos precisam convergir na mesma direção, com o mesmo propósito”, enfatiza Ingrid, destacando a contribuição dos Centros Setoriais de Troca de Inteligência de Segurança, conhecidos como Information Sharing and Analysis Centers (ISACs) e H-IASC no setor de saúde, por exemplo.
Em outra frente de atuação com o mesmo objetivo, existe um mecanismo de cooperação entre universidades e institutos internacionais de investigação como a sinergia entre o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) e o Comitê Gestor da Internet no Brasil (CGI.br), a OEA/Interpol e centros de ensino no Brasil, como a Universidade SENAI CIMATEC, na Bahia.
Outro caminho para prevenir cibercrimes está sendo desenvolvido no laboratório da mesma instituição de ensino na Bahia. A equipe de Ingrid está debruçada em analisar como o uso de eye-tracking ou rastreamento ocular e análise de sentimento conseguem potencializar a simulação de ataques cibernéticos e, ao mesmo tempo, treinar profissionais desse setor para responderem a esses incidentes. A proposta do trabalho é medir níveis de estresse dos envolvidos na atividade e monitorar a eficácia dessas ações de controle.
