Estamos acostumados a ouvir sobre “insider trading” quando falamos de quem usa informações privilegiadas para negociar ações. Mas há uma outra faceta desse problema, mais conhecida como “ameaças internas”, que também consiste no uso de informações privilegiadas – neste caso, para roubar dados e vendê-los pela Dark Web.

No relatório Defend Your Data as Insiders Monetize their Access, a Forrester explica como funcionários de empresas financeiras negociam esses dados ou credenciais de alto valor com cibercriminosos. Geralmente, fóruns são criados para que os dois lados se relacionem, seja para o funcionário fazer sua oferta ou para hackers tentarem recrutar pessoas para o trabalho sujo dentro das organizações.

Claro que esse problema não é exclusividade do setor financeiro. Todas as empresas podem ter funcionários insatisfeitos, que buscam alguma vingança ou simplesmente precisam de dinheiro fácil. Levantamento da Experian descobriu que um cartão de débito pode ser vendido na Dark Web por valores que variam de US$ 5 a US$ 110 e que registros médicos podem alcançar preços dez vezes mais altos, dependendo de como estão estruturados. Até mesmo selfies são vendidas para forjar passaportes e abrir contas em fintechs.

Em 2017 e, novamente, no começo de 2018, a Netshoes foi supostamente vítima de vazamentos. Nos dois ataques, cerca de 1,5 milhão de dados de clientes foram roubados da empresa e divulgados para a imprensa, acredita-se que por golpe de phishing ou vulnerabilidades na plataforma utilizada.

Como as empresas brasileiras não são – pelo menos por enquanto – obrigadas a divulgar esses vazamentos, quase não se sabe quais as brechas ou golpes que foram vítimas. Outro ataque recente, esse contra o Boa Vista SCPC, pode ter vazado mais de 300 mil dados diferentes, incluindo CPF, contas correntes, pendências financeiras e score de crédito de milhares de pessoas - a instituição nega qualquer vazamento. Assim, hackers chegam a vender uma consulta de dados, para finalizar uma fraude bancária ou com cartão de crédito, por cerca de R$ 15, pagos em bitcoin.

Acidentes acontecem, mas podem ser evitados

Se muitos dos ataques em larga escala que vimos na mídia ultimamente – Yahoo, Equifax – são violações causadas por criminosos virtuais, entidades patrocinadas por países ou hacktivistas, é preciso manter atenção a essa outra ameaça à segurança dentro das empresas: “acidentes” que podem comprometer dados.

Nem toda ameaça interna é fruto de um funcionário mal-intencionado. Há, também, aqueles que inadvertidamente caem em golpes de phishing ou acessem sites comprometidos e acabam por expor, acidentalmente dados da empresa. Essas falhas também incluem casos em que funcionários ou terceirizados compartilham suas credenciais de login, usam serviços gratuitos para armazenar arquivos ou copiam esses arquivos em dispositivos pessoais. São casos que, no mínimo, mostram que a política de segurança da empresa não está sendo seguida.

Diante deste cenário, empresas que andam concedendo permissões desnecessárias, não têm um sistema para controlar o acesso a dados sensíveis, não investem em treinamento e divulgação da política de segurança, ou não estão atentas a possíveis indicadores comportamentais de atividade suspeita, estão em perigo.