Quando se fala em ataques cibernéticos a smartphones, vem logo à mente roubo de dados bancários e outras informações pessoais sensíveis. Mas e quando o dispositivo é destinado ao uso corporativo? Nesse caso, o celular pode ser porta de entrada para ataques direcionados a empresas, segundo Alexandre Sousa, diretor de engenharia e arquitetura de cibersegurança da Tenable para a América Latina.
Na superfície de ataque das companhias, smartphones são um ponto de acesso, no momento em que passam a fazer parte da rede corporativa. Dependendo de como é feito o acesso à rede, se o aparelho não é monitorado, existe um risco. De acordo com Sousa, as pessoas estão acostumadas a clicar em links e baixar arquivos sem se preocupar com possíveis ataques. Por mais que a rede corporativa seja segmentada, dependendo de como é o acesso naquele primeiro segmento, é possível espalhar o ataque para o resto da rede.
“Imagina, por exemplo, se isso é feito por um funcionário da empresa. Ele vê um phishing, não entende que é um phishing e instala algo malicioso. Ele está comprometendo também o lado corporativo. Dali, o hacker consegue fazer o que quiser. Ele pode simplesmente pegar os dados bancários, monitorar o que o funcionário está colocando de input no aplicativo ou usar um bot remoto. Assim, ele consegue fazer um ataque em massa”, conta Sousa.
Para ser ter uma ideia, a maior taxa de phishing móvel da história foi observada em 2022, com metade dos proprietários de celulares em todo o mundo expostos a um ataque de phishing a cada trimestre, de acordo com a Lookout, provedora de segurança de endpoint. Os dados estão no relatório Global State of Mobile Phishing, publicado em 1º de março de 2023. Esse mesmo estudo também investigou a evolução do phishing móvel em dispositivos corporativos. Desde 2021, as taxas aumentaram aproximadamente 10%.
No mundo da cibersegurança, quanto maior a complexidade dos sistemas e dispositivos, maiores as possibilidades de ataques, conforme explica Sousa. O poder computacional dos smartphones crescem a cada ano. Com sua evolução, também aumenta o potencial de ataque. Os usuários, no entanto, não possuem essa visão.
“Em uma empresa que tem 100 mil funcionários, se 5% ou 10% não estão bem educados para o uso desse tipo de device , já é um sinal de que algo potencialmente pode acontecer. É difícil prever exatamente qual seria o impacto, mas dá para ter uma noção. Quanto mais funcionários usam esse tipo de dispositivo, se não há uma política de cibersegurança que inclui a educação do funcionário, você já está exposto”, afirma.
Para o especialista, o ideal é educar os funcionários sobre os riscos envolvidos no uso dos dispositivos corporativos. As empresas, por sua vez, precisam ter as ferramentas adequadas para monitorar esse tipo de acesso, pra não ficar à mercê de cenários como este. “Independente da tecnologia que você está trazendo para sua empresa, ela tem que ser curada e tem que ser parte de uma gestão de exposição a risco. Eu vejo mobile como uma área de muita importância, que tem que ser olhada, mas ela acaba sendo também mais uma parte tecnológica da empresa que tem que passar por uma gestão de risco e exposição”, diz.
