Spams cada vez mais pessoais, uso de inteligência artificial para implementar ataques e autenticação sem senha são algumas das principais tendências para o setor de cibersegurança em 2019, de acordo com prognóstico da Cyxtera, multinacional dedicada à detecção e prevenção de fraudes eletrônicas em todos os dispositivos, canais e serviços na nuvem. De acordo com Ricardo Villadiego, diretor de Segurança da Cyxtera, governos e organizações precisam levar em conta que seus dados estão espalhados por data centers particulares e nuvens públicas e privadas, entre outros. Além disso, os usuários acessam seus dados de qualquer lugar e qualquer dispositivo. Segundo ele, é preciso desenvolver uma defesa para essa infraestrutura híbrida. A empresa listou os principais ciberataques que as organizações devem enfrentar no próximo ano, além das ferramentas e tendências mais eficientes para combatê-los. 1) Spam cada vez mais pessoalOs serviços de geolocalização permitem que os phishers abordem pessoas de diversas áreas com ofertas fraudulentas especificamente desenhadas para para atrair um determinado público. Os especialistas da Cyxtera avaliam que, em 2019, os phishers combinarão cada vez mais táticas na criação de campanhas avançadas, como anúncios no Google Ads de trabalho voluntário no Super Bowl para homens entre 18 e 24, por exemplo. “Em 2018, a combinação de postagens em redes sociais, e-mails e anúncios de publicidade foi usada na composição de campanhas avançadas. Os phishers devem elaborar mensagens direcionadas por geolocalização cada vez mais complexas. É preciso ter muito cuidado com e-mails em 2019”, alerta Villadiego. 2) Confiança digital será decisiva para instituições financeirasCom quase dois terços dos consumidores preocupados com a possibilidade de suas contas e seus cartões serem hackeados, a conquista da confiança digital tem a ver tanto com cultura como com tecnologias antifraude. Segundo o executivo, ainda não vivenciamos uma mudança cultural, e a conscientização sobre prevenção de fraude é geralmente tratada como uma preocupação secundária. “Em 2019, as instituições financeiras terão a oportunidade de engajar o cliente por meio do desenvolvimento de serviços que alcancem um equilíbrio entre segurança robusta e simplicidade”, explica. “As organizações precisam ter uma visão unificada e empregar tecnologias antifraude que sejam efetivas em curto e longo prazo, pois essa é a única maneira de alcançar a confiança digital”, afirma. 3) Para quem trabalha a inteligência artificial?Já sabemos que a inteligência artificial (IA) pode ser criada e usada pelos fraudadores para incrementar seus ataques cibernéticos. Em 2019, os fraudadores não dependerão de inteligência artificial própria. A Cyxtera prevê que os fraudadores criarão uma quantidade imensa de ataques falsos, de phishing ou malware, causando desvios na aprendizagem do algoritmo, que passará a acreditar que este é o modo como os ataques estão trabalhando agora. “Assim, eles serão capazes de lançar ataques altamente direcionados e que não serão sinalizados pelo algoritmo envenenado, escapando da detecção e conseguindo obter lucros”, explica Villadiego. 4) Autenticação sem senha promete maior segurança - se isso for feito da maneira corretaAs senhas não irão desaparecer completamente, mas a quantidade de plataformas online eliminando o seu uso deve crescer cada vez mais. Quando feita corretamente, a autenticação sem senha pode ser uma ferramenta poderosa e segura. No entanto, a Cyxtera afirma que organizações que usam canais não criptografados como fatores alternativos de autenticação enfrentarão muito mais vulnerabilidades inerentes. “Veja as senhas de uso único enviadas por e-mail, por exemplo, que, como já se sabe há algum tempo, são altamente inseguras. Incorporá-las ao processo de autenticação sem senha torna o procedimento facilmente interceptável pelos cibercriminosos. Em 2019, quando adotarem métodos alternativos de autenticação, as organizações precisam ter certeza de que estão fazendo isso de maneira segura”, alerta. 5) Lojas de aplicativos como playground virtual para malwareLojas não oficiais de aplicativos oferecem o ambiente perfeito para a disseminação de malwares ao proporcionarem aos usuários uma falsa sensação de segurança. Villadiego aponta que nem mesmo a Google Play Store está imune. “Apesar de o Google ter medidas de segurança para impedir que códigos maliciosos sejam carregados para a loja oficial, os fraudadores recentemente começaram a usar arquivos APK não maliciosos como porta de entrada para o download de cargas externas e ações maliciosas no dispositivo do usuário”, explica. Em 2019, ele prevê que haverá um aumento acentuado no volume de aplicativos maliciosos distribuídos para os telefones dos usuários por meio de lojas legítimas de aplicativos. 6) Força bruta automatizadaOs fraudadores sabem que a maioria das pessoas reutiliza combinações de nome de usuário e senha em diferentes sites. Ataques de credential stuffing oferecem uma maneira simples e rápida de verificar quais são os pares válidos de nome de usuário e senha. Isso pode ser usado tanto em ataques direcionados para grupos específicos como para catapultar os preços dos dados do usuário no mercado negro após a verificação. Segundo a Cyxtera, bancos internacionais de grande porte foram atingidos por uma onda de tentativas de ataques desse tipo, e essa tendência deve aumentar em 2019. 7) As empresas seguirão os passos dos bancosÀ medida em que as empresas reforçam suas estratégias de defesa, técnicas modernas de autenticação, como push e biometria, com as quais os bancos já estão satisfeitos, também serão adotadas por elas. 8) Riscos da IoTA preocupação com a segurança da IoT foi para o topo da lista de prioridades, mas a maioria desses dispositivos continua altamente vulnerável. Os riscos são maiores do que nunca, especialmente no que se refere aos processos de autenticação. As empresas precisam ter controle sobre esses riscos, estabelecendo requisitos de verificação de identidade, implementando sistemas seguros de proteção e desenvolvendo ferramentas para medição e acompanhamento. 9) Falsos posts políticos trarão lucros reaisUm assunto quente nos últimos anos tem sido a influência política de contas falsas ou “bots” no Twitter e outras redes sociais, usadas para manipular a percepção e a opinião do público sobre eventos atuais. Agora, os fraudadores estão começando a perceber que é possível tirar vantagem da escalada de tensões e das divisões políticas em diferentes países, usando as redes sociais como vetor de ataques. “Os fraudadores postam artigos que parecem ser de um determinado posicionamento, levando o público a seguir certas contas ou postagens que irão, em algum momento, enganá-los para que forneçam dinheiro ou dados de acesso”, afirma Villadiego. 10) Quando “seguro” não significa segurança“Todo mundo vê, quando acessa a Internet, um pequeno ícone indicando que é “seguro” ou “não seguro” navegar por aquela página. Infelizmente, muitos usuários acreditam que aquele símbolo significa que o site usa comunicação criptografada e, por isso, não poderia ser malicioso”, explica o executivo. Ele alerta que os fraudadores já estão usando certificados que aparentam ser legítimos (o que pode levar o navegador a exibir o ícone de “seguro”) para mascarar suas tentativas de phishing e malware. “Em apenas um ano, o uso de certificados como disfarce para tráfego malicioso dobrou. Não há indícios de que essa tendência diminuirá, uma vez que os certificados oferecem uma maneira simples de enganar os usuários, que acabam confiando no website e fornecendo suas credenciais”, adverte.