Os cibercriminosos adoram dar um novo significado à frase “doce ou travessura”.
Por meio de ataques cibernéticos, phishing , ransomware e violações de dados , os bandidos adoram causar caos para empresas e consumidores. Mas suas ações não são contabilizadas como as pegadinhas que se esperaria na véspera de Todos os Santos. Seus impactos são muito mais custosos e devastadores para as vítimas.
Sabendo disso, vamos explorar 13 fatos sobre crimes cibernéticos que vão deixar você de cabelo em pé.
Quando bandidos batem à porta, eu prometo que eles não estão procurando seus Butterfingers ou copos de Reese. Eles estão procurando por pagamentos muito maiores do que doces — estamos falando de centenas, milhares ou até milhões de dólares. Um relatório da Chainalysis mostra que os pagamentos de ransomware que bandidos receberam em 2023 ultrapassaram US$ 1,1 bilhão.
Para efeito de comparação, o valor total que eles receberam em pagamentos de resgate em 2023 poderia ter comprado mais de sete caças F-22 Raptor ! Tenha em mente que cada uma dessas máquinas de guerra vem com um preço alto de US$ 143 milhões por unidade (de acordo com os dados de agosto de 2022 da Força Aérea ).
Cara… isso deve significar que muitas empresas acabaram desembolsando dinheiro para pagamentos de ransomware. Não necessariamente tantas quanto você pensa, com base em nosso próximo fato sobre crimes cibernéticos…
Simplificando, as demandas de ransomware podem drenar a vida de uma empresa. De acordo com a Zscaler , uma empresa pagou essa quantia enorme ao grupo de ransomware Dark Angels, que tem uma propensão a mirar em empresas do setor de infraestrutura crítica.
Para efeito de comparação, esse único resgate custou o mesmo valor que o Google dedicou para financiar seu Fundo de Oportunidades de IA .
Independentemente de a causa ter sido uma ameaça baseada em IA ou impulsionada por IA, mais da metade das organizações pesquisadas pela Biocatch desembolsaram entre US$ 5 e US$ 25 milhões em 2023. Um total de 12% dos entrevistados disseram que enfrentaram pelo menos US$ 25 milhões em danos. Não estamos falando de troco aqui; esse é o custo estimado da mansão de Angelina Jolie em Hollywood :
Infelizmente, apenas 3% indicaram que não tiveram perdas com essas ameaças, o que significa que 97% sofreram perdas de uma forma ou de outra.
Dados da Comissão Federal de Comércio dos EUA (FTC) mostram que adultos mais velhos relataram perdas superiores a US$ 1,9 bilhão em 2023. No entanto, novamente, esse número representa apenas as perdas relatadas. O relatório da agência indica que os verdadeiros custos de fraude para adultos mais velhos podem realmente ultrapassar US$ 61 bilhões. Por quê? Porque muitas fraudes não são relatadas.
O número de idosos que relataram ter caído em golpes com perdas de US$ 100 mil aumentou “mais de três vezes desde 2020”.
O FBI alerta que os cibercriminosos estão cada vez mais usando tecnologias de IA generativa para realizar ataques cibernéticos. Em particular, a IA generativa está sendo usada para vários golpes de fraude .
Por exemplo, os golpes de sequestro virtual baseados em IA estão aumentando. Nesse tipo de cenário, um bandido usa dados coletados de vídeos e perfis online para sintetizar informações e até mesmo amostras de voz de indivíduos para imitar pessoas reais. Eles podem usar tecnologia de IA generativa para criar fotos, vídeos e conteúdo de áudio deepfake que parecem realistas e fazem parecer que alguém que você conhece ou ama — um amigo, membro da família, colega de trabalho ou outro ente querido — está em perigo.
Um exemplo perfeito disso pode ser visto emgolpes de sequestro baseados em IA . Aqui está um vídeo sobre golpes telefônicos baseados em IA do mundo real que tiveram como alvo pessoas no Condado de St. Louis:
72% dos entrevistados da pesquisa da Biocatch (relatório citado anteriormente) indicaram que, além dos problemas tradicionais de fraude, eles também têm criminosos usando identidades sintéticas para realizar transações financeiras, solicitar empréstimos e cartões de crédito e abrir novas contas bancárias.
Não tem certeza do que são identidades sintéticas ? Elas são basicamente novas identidades que são tipicamente criadas pela combinação de informações pessoais identificáveis (PII) reais e falsas.
Infelizmente para os mocinhos, essas identidades falsas amassadas geralmente enganam as ferramentas tradicionais de detecção de fraudes, o que significa que elas não são sinalizadas e podem passar despercebidas. A pesquisa da Biocatch indica que, embora as organizações sejam "amplamente capazes de descobrir essas identidades sintéticas em três meses", sabemos que muitos danos podem ocorrer nesse período.
Apenas 16% indicam que conseguem identificar esses IDs de sintetizadores em 24 horas.
Identidades sintéticas estão assombrando empresas — instituições financeiras em particular. Os dados do Relatório de Fraude Omnicanal de 2024 da TransUnion indicam que os credores dos EUA para vários tipos de cartões de crédito e empréstimos tiveram um número recorde de contas abertas no final de 2023.
A exposição estimada de US$ 3,1 bilhões no final do ano de 2023 é superior aos US$ 2,8 bilhões do final do ano de 2022 e aos US$ 2,1 bilhões do final do ano de 2020.
Ataques avançados de phishing, particularmente quando combinados com IA generativa e tecnologias deepfake sofisticadas, são métodos altamente eficazes para criminosos cibernéticos. Essas ferramentas de inteligência dão vida nova aos ataques de engenharia social , tornando-os mais direcionados, autênticos e eficazes.
Um artigo parceiro publicado pelo The Hacker News sobre pesquisas da Token e da Datos Insights resume bem essa preocupação crescente:
“Ataques de phishing e ransomware já foram domínio exclusivo de criminosos cibernéticos especialistas, mas com o advento da IA generativa e novas ferramentas de crimes cibernéticos, lançar esses ataques se tornou acessível a qualquer pessoa com acesso à dark web, ou seja, qualquer pessoa com um dispositivo de computação e uma conexão com a internet.”
Em sua Avaliação de Ameaças Internas de 2025 , o Escritório de Inteligência e Análise do Departamento de Segurança Interna dos EUA destaca as implicações dessas tecnologias para a segurança nacional no próximo ano:
“Em 2025, esperamos que os ciberatores maliciosos continuem a usar avanços em IA generativa para aumentar incrementalmente sua capacidade de desenvolver malware, escaneamento de vulnerabilidades e ferramentas de exploração e para melhorar suas táticas e operações de engenharia social. Estados adversários continuarão a usar IA em suas campanhas de influência maligna, pois a tecnologia reduz os limites técnicos e melhora as habilidades dos adversários de personalizar e dimensionar efetivamente mensagens mais confiáveis para públicos-alvo.”
Dados do Relatório Anual de 2024 da Perception Point: Tendências e Insights de Segurança Cibernética indicam que o número de ataques de comprometimento de e-mail comercial (BEC) aumentou de 1% em 2022 para quase 19% de todos os ataques em 2023.
A empresa diz que os ataques de BEC demonstrando técnicas de representação, phishing e engenharia social são “supercarregados” pela IA generativa . Além disso, a pesquisa patrocinada anteriormente pela empresa (realizada pela Osterman Research) mostrou que 91,1% das organizações relataram ter sofrido ataques cibernéticos decorrentes de e-mails aprimorados pela GenAI.
Os cibercriminosos não precisam vestir um traje de voo e óculos de aviador para sentir a necessidade de velocidade. Quando se trata de exfiltração de dados, a equipe de Resposta a Incidentes da Unidade 42 de Palo Alto relata que está ocorrendo mais rápido do que nunca:
“Em quase 45% dos nossos casos este ano, os invasores exfiltraram dados em menos de um dia após o comprometimento. Isso significa que quase metade das vezes, as organizações precisam responder em poucas horas para detê-los.”
Isso significa que, em muitos casos, os invasores já iniciaram ou concluíram a exfiltração antes que a organização tivesse tempo de montar sua equipe de resposta e planejar.
Lembra do vazamento do RockYou2024 ? Esse arquivo, compartilhado por um agente de ameaças que atende pelo nome de ObamaCare, incluía impressionantes 10 bilhões de senhas.
Então, as senhas devem ser alteradas proativamente? Não necessariamente, com base na versão mais recente do National Institute of Standards and Technology (NIST) de suas Digital Identity Guidelines :
Não tem certeza se sua senha foi vazada ou violada? Confira a ferramenta de verificação de vazamento de senhas da CyberNews. Aqui está um exemplo dos resultados para a senha NoWayJose:
2024 foi um ano recorde em muitos aspectos — certamente não menos importante, incluindo o número de violações de dados relatadas que ocorreram até agora. O Identity Theft Resource Center (ITRC) relata que o número de vítimas de violação de dados aumentou em impressionantes 1.170% ano a ano do segundo trimestre de 2023 ao segundo trimestre de 2024. Não, não foi um erro de digitação — você leu corretamente.
O ITRC relata que as violações de dados do H1 2024 e outros comprometimentos totalizaram 1.571 e afetaram mais de 1,007 bilhão de vítimas. No entanto, é rápido apontar que as estimativas de mais de 1 bilhão de vítimas não contam aquelas envolvidas com o ataque massivo à cadeia de suprimentos relacionada à Change Healthcare, que provavelmente "impactará 'um número substancial' de residentes dos EUA".
Mas como você pode saber se suas informações foram incluídas em alguma violação? Uma maneira de saber é verificando bancos de dados online como haveibeenpwned.com . Aqui está um exemplo rápido de como fica quando você usa esta ferramenta:
Não é segredo que dispositivos de rede não gerenciados representam riscos de segurança significativos para sua organização. No entanto, o Relatório de Defesa Digital de 2024 da Microsoft indica que, em casos em que ataques de ransomware progrediram para o estágio de resgate, eles usam predominantemente dispositivos não gerenciados como vetor de acesso inicial ou como meio para criptografar ativos remotamente:
“Observamos criptografia remota em 70% dos casos bem-sucedidos, com 92% originados de dispositivos não gerenciados na rede, ressaltando a necessidade de as organizações registrarem dispositivos no gerenciamento ou excluírem dispositivos não gerenciados da rede.”
É por isso que é crucial que as empresas autentiquem e gerenciem seus dispositivos de rede. Se isso não for possível, os dispositivos devem ser removidos da rede para evitar que sejam potencialmente explorados.
Especialistas em segurança cibernética, legisladores e organizações ao redor do mundo estão lutando contra essas atividades nefastas de crimes cibernéticos. Eles estão cada vez mais buscando soluções com tecnologia de IA para melhorar suas defesas de segurança cibernética. A Darktrace relata que 95% dos 1.800 líderes e profissionais de segurança pesquisados da empresa indicam que ferramentas de segurança com tecnologia de IA melhorarão a velocidade e a eficiência de suas organizações quando se trata de combater ameaças cibernéticas.
Aqui estão algumas outras maneiras pelas quais alguns líderes do setor estão tomando a iniciativa de coibir atividades de criminosos cibernéticos.
TLS mútuo (mTLS ou o que também é chamado de autenticação bidirecional) é o uso de certificados digitais para provar que alguém é quem diz ser. Isso é particularmente útil ao autenticar indivíduos e dispositivos que estão acessando sua rede, aplicativos e outros sistemas remotamente.
De acordo com o Google , o acesso baseado em certificado usa TLS mútuo para “garantir que as credenciais do usuário estejam vinculadas a um certificado de dispositivo antes de autorizar o acesso aos recursos da nuvem”. Basicamente, trata-se de usar certificados digitais como identificadores e verificadores de dispositivos quando alguém tenta acessar os serviços de nuvem do Google. De acordo com a postagem do blog:
“Mesmo que um invasor comprometa as credenciais de um usuário, o acesso à conta permanecerá bloqueado, pois ele não tem o certificado correspondente. Isso torna as credenciais roubadas inúteis.”
Um novo projeto de lei do Senado dos EUA intitulado “Lei de Combate à Lavagem de Dinheiro em Crimes Cibernéticos de 2024” (S.4830) visa dar à agência do Serviço Secreto dos EUA o poder de investigar o seguinte:
“vários crimes relacionados a transações de ativos digitais e para combater atividades criminosas cibernéticas transnacionais, incluindo negócios de transmissão de dinheiro sem licença, transações estruturadas e fraudes contra instituições financeiras, e para outros fins.”
O projeto de lei foi apresentado no final de julho. Se for aprovado, a nova legislação expandiria as autoridades investigativas do Serviço Secreto sob o Título 18 do Código dos EUA. Ele também exige que o Government Accountability Office (GAO) relate seu estudo da Seção 6102 do Anti-Money Laundering Act de 2020 e sua avaliação de quão bem a aplicação da lei identifica e impede crimes cibernéticos relacionados à lavagem de dinheiro.