"Quase todo mundo que vem à delegacia prestar queixa diz 'nunca pensei que isso podia acontecer comigo", afirma o delegado José Mariano de Araújo. Ele é o responsável pelo departamento de crimes eletrônicos da Polícia Civil de São Paulo. Acostumado a se deparar com diversos tipos de crimes virtuais, Araújo explica que essa sensação de surpresa por parte das vítimas não tem base na realidade. E os pequenas e médias empresas, ele diz, são alguns dos mais atraentes para cibercriminosos.

Dados da produtora de softwares de segurança Kaspersky Lab apontam que o Brasil é hoje o nono país que mais sofre ataques de hacker em todo o mundo. Foram 199 milhões de emails maliciosos entre agosto de 2015 e agosto de 2016, cerca de seis golpes por segundo. Estudo da Fiesp de 2015 indicou que 65,2% dos ciberataques com foco apenas financeiro envolviam pequenas empresas.

"Isso acontece porque não necessariamente o alvo primário é a empresa. Os clientes dela, estes sim, podem representar um alto valor financeiro", diz o delegado. Ou seja, o empreendimento pode até movimentar pequenos valores, mas talvez ele seja um boa "ponte" para chegar aos clientes e prejudicá-los. "Hoje, quem invade um computador quer basicamente roubar informações. É por meio delas que os criminosos têm acesso a contas-corrente, dados de cartões de crédito, etc", explica Araújo. “A primeira coisa que um criminoso tem em mente é: preciso obter as informações desta vítima.”

O que eles querem com sua empresa. De acordo com Renato Ribeiro, especialista em segurança digital e "hacker do bem" nas horas vagas, no passado os hackers eram motivados pelo desafio que representava acessar informações sigilosas. Com o passar do tempo, esses grupos perceberam que existia a possibilidade de retorno financeiro e, hoje, a maior parte deles é motivada pelo dinheiro.

Durante um tempo, os ataques virtuais eram caracterizados por fraudes e rápidas transferências de dinheiro para contas laranjas, que eram sacadas na pressa antes de serem bloqueadas. “Só que isso era pouco eficiente”, diz Rodrigo Fragola, presidente da Aker Security, empresa especializada em segurança digital. “Hoje, os ataques se sofisticaram e os hackers estão mais pacientes. Em média, no mundo todo, eles ficam escondidos na máquina da vítima por 240 dias, apenas coletando informações. O interesse é retirar o máximo de dados da empresa para verificar com o que se pode lucrar”, diz.

No entanto, quando um hacker tem acesso a arquivos sigilosos, dificilmente ele utiliza as informações para efetuar fraudes. Segundo Ribeiro, os criminosos preferem vender a base inteira no mercado negro da internet, em negociações feitas com bitcoins, que são impossíveis de rastrear. “É muito difícil encontrar um hacker que utilize dados de outras pessoas, porque ele sabe a exposição que isso gera. Quem faz compras online com número de cartão de crédito, por exemplo, precisa informar um endereço, esperar o produto chegar, e o hacker não se arrisca a esse ponto”, diz.

Como eles atacam. Atualmente, os criminosos têm optado por invasões mais elaboradas, com dois ou três passos de execução. Isso significa que existe um primeiro alvo, a partir do qual o hacker consegue acesso a outras vítimas, que são o objetivo final do ataque.

As invasões podem ocorrer na infraestrutura da empresa ou nos softwares que ela utiliza. Um bom exemplo do primeiro caso acontece em redes wi-fi de estabelecimentos comerciais, como restaurantes e cafés. “Nesses lugares, é comum encontrar roteadores protegidos com senhas fracas, ou até mesmo com a senha padrão de fábrica. Isso permite que um hacker acesse sem dificuldades as configurações do roteador e altere o funcionamento do aparelho para enviar informações falsas a todos que estiverem conectados”, explica Renato.

Nesse exemplo, um cliente que tentar acessar o site do seu banco através de uma rede wi-fi hackeada pode ser levado a uma página falsa, com visual semelhante ao site original da instituição financeira. A partir daí, o hacker é capaz de coletar as informações bancárias sem dificuldades.

Também são comuns ataques diretos ao servidor da empresa. Existem muitas maneiras dessas ataques acontecerem, mas uma delas, que é relativamente simples e antiga, ainda tem resultados em pequenas empresas. Conhecida como SQL Injection, esse tipo de ameaça utiliza falhas básicas dos sistemas que armazenam as bases de dados da empresa.

O ataque, basicamente, ocorre da seguinte maneira: sempre que alguém faz login em um sistema, as informações de acesso são enviadas aos servidores, que verificam se os dados da conta e da senha estão corretos. Nesse caminho percorrido pelas informações, um hacker pode enviar linhas de código com comandos para receber dados confidenciais. Caso o servidor não esteja preparado para ignorar esses códigos, existe o risco de ele obedecer a ordem do hacker e enviar dados que deveriam ser protegidos.

Ataque da moda. Advogada e sócia da Opice Blum, escritório que há vinte anos atua com direito digital, Juliana Abrusio alerta para o "crime do momento" no mundo cibernético. "Apesar de ainda representar uma parcela pequena dos casos atendidos, notamos uma grande aumento no número de ataques do tipo ransomware", diz Juliana.

Ransomware é um ataque virtual no qual o criminoso, em vez de roubar dados para vendê-los ou causar fraudes, aplica criptografia sobre as informações, tornando-as inacessíveis aos usuários. Para liberá-los, geralmente é preciso pagar um resgate ao criminoso. Daí ser chamado de "sequestro" de dados. O pagamento normalmente é feito em bitcoins.

"Esse ataque geralmente acontece com médias e pequenas empresas", explica a advogada. "E, em muitos casos, o empresário não tem o back up dos dados e acaba pagando o valor exigido", diz Juliana. A especialista revela que, inclusive, existe um "ticket médio" para o valor do resgate: o equivalente a cerca de R$ 10 mil. Talvez o valor não pareça tão alto, mas, de acordo com a advogada, isso é estratégico.

"Os criminosos estipulam um valor para desestimular a busca por ajuda. A pessoa prefere pagar para resolver o problema, e o hacker ganha no volume de vítimas", diz Juliana. O que não evita eventuais pedidos por valores bem mais altos. "Peguei há pouco tempo um caso em que pediram R$ 400 mil pelo resgate".