sábado, 19 de fevereiro de 2011

SpiderLabs aponta forte vulnerabilidade nos sistemas corporativos e de pagamento eletrônico

:: Da redação*
:: Convergência Digital :: 17/02/2011


O SpiderLabs, laboratório de segurança da Trustwave, divulgou o Trustwave Global Security Report 2011. Trata-se da maior pesquisa de vulnerabilidades em sistemas de segurança da web em nível global que a empresa realiza anualmente com base em estudos de incidentes e testes de invasão realizados em centenas de sites e servidores de transações de negócios.

Em sua versão 2011, o relatório considerou mais de 2 mil testes de penetração levados a termo pelos técnicos do SpiderLabs em cerca de 220 companhias em mais de 15 países diferentes.

A principal conclusão é de que, em 85% dos casos, pelo menos uma ameaça ou ponto de vulnerabilidade foi detectada nestes sistemas.

O estudo conclui também que, nesta grande parcela de sistemas ameaçados, nada menos que 90% registraram incidentes efetivos, como roubo de senhas ou dados sensíveis. As evidências sugerem não só a desproteção dos sistemas, mas também que os criminosos estão cada vez mais estruturados e especializados em novas tecnologias com o firme propósito de fraudar as empresas.

Diferentemente do registrado no Relatório de 2010, quando o setor de hotelaria despontou como o foco principal dos criminosos (com 38% dos ataques), este ano os números mostram uma acentuada queda neste nicho, recuando para 10% no Relatório de 2011.

Por outro lado, verificou-se um aumento significativo de ataques direcionados às empresas do setor alimentício e bebidas (bares e restaurantes), com 57% das ocorrências, seguido do setor de “retail” (lojas e supermercados) com 18%. Juntos, estes segmentos varejistas somam, portanto, 75% dos casos de fraudes.

De acordo com Jarrett Benavidez, diretor da Trustwave para a América Latina, “embora o setor hoteleiro não tenha ficado no topo da lista de ataques mais freqüentes em 2010, ainda é um alvo permanente dos fraudadores. A mudança é que agora eles estão expandindo mais sua área de atuação e procurando pequenos estabelecimentos onde, geralmente, não há tantos investimentos em sistemas de segurança”.

As empresas que prestam serviços ao governo também tiveram forte participação no ranking, com 6% dos casos. Porém, ao contrário dos outros setores onde, geralmente, ocorrem fraudes em transações financeiras, o alvo neste caso foi a extração de dados confidenciais.

Embora os criminosos estejam diversificando sua área de atuação, o roubo de dados confidenciais de cartões de pagamento ainda representa, de longe, a maior parcela dos casos. A pesquisa revela que 75% das fraudes ocorrem em sistemas de POS, responsáveis pela captura e envio das transações em máquinas de cartões instaladas nos estabelecimentos. O comércio eletrônico, ainda que gere desconfiança por parte de muitos consumidores, ficou em terceiro lugar com 9% dos ataques. À frente dele apareceram as vulnerabilidades existentes em estações de trabalho (desktops) dos empregados de grandes companhias, estas responsáveis por 11% do total de casos descobertos..

Embora não predominem, as fraudes com cartões em canais de compra via Internet continuam bastante freqüentes e sua ocorrência aumentou desde a adoção dos novos modelos de cartões com chip. Isto porque o uso de tais circuitos tornou bem mais difícil a clonagem direta dos plásticos, estimulando assim o roubo de números de cartões de crédito e códigos de segurança, revertidos em compras clandestinas através do e-commerce, onde a presença do chip no cartão não faz qualquer diferença.

Contudo, as fraudes com cartões de débito, ocorridas em pontos de vendas com a utilização das máquinas processadoras de cartões, continua sendo o alvo principal dos fraudadores. O fato é também explicado pelo maior número de transações viabilizadas nesses canais, entre elas a possibilidade de saque de valores em cash.

Roubo de Informações Sensíveis

No que diz respeito à comparação entre o roubo de informações e os dados de cartões de pagamento, este último continua sendo a esmagadora maioria na preferência dos criminosos, com 85% dos casos.

Entretanto, informações sensíveis das empresas merecem grande atenção por parte das instituições de segurança da informação. Fraudes nessa área ficaram com 8% das ocorrências, enquanto o roubo de dados secretos e credenciais de autenticação representaram 3 e 2% respectivamente.

Com base nas novas estatísticas a Trustwave alerta para uma tendência observada entre os estabelecimentos que possuem máquinas de processamento de cartões multibandeira.

“Ainda há uma certa controvérsia com relação à responsabilidade pela segurança dos dados nessas máquinas. Embora, em 88% das fraudes, tenham sido encontradas irregularidades na operação dos fornecedores dos equipamentos e empresas de manutenção, isso não exime da culpa o próprio estabelecimento que, por vezes, deixa de tomar certos cuidados bastante simples, como, por exemplo, diferenciar senhas de acesso remoto às máquinas, das utilizadas nos sistemas internos operacionais, podendo assim comprometer mais de um tipo de informação ao mesmo tempo”.

“Medidas simples de segurança e o compartilhamento de informações acerca de procedimentos de manutenção, podem e devem ser tomadas para evitar que esse tipo de fraude continue ocorrendo com frequência. O estabelecimento deve estar a par de todos os padrões utilizados, tanto pelas credenciadoras como pelas empresas de manutenção e instalação dos equipamentos, quando estas são feitas por terceiros”, finaliza Benavidez.

Para baixar a versão completa do SpiderLabs Global Security Report 2011 (PDF em Inglês, 62 Páginas), utlize este link: https://www.trustwave.com/GSR.

* Fonte: Assesoria de Imprensa.

Nenhum comentário:

Postar um comentário