Mais de US $ 3,9 milhões em perdas financeiras diretas foram informados à Equipe de Resposta a Emergências de Computadores do Governo (Cert NZ) no trimestre de junho – mais que o dobro do mesmo período do ano passado, e 30 por
pico trimestre a trimestre.
Mas isso pode ser apenas uma fração das perdas reais, diz Brett Callow, analista de ameaças da Emsisoft – uma empresa global de segurança cibernética com sede na Nova Zelândia.
E o diretor do Cert NZ, Rob Pope, não contesta essa teoria. “Entendemos que os números dos relatórios trimestrais são apenas a ponta do iceberg”, diz ele.
A Cert NZ, fundada em 2017, ainda é uma agência relativamente jovem. Muitas vítimas de fraudes on-line ou ataques cibernéticos com as quais o Herald fala simplesmente não sabem de sua existência, quanto mais que podem relatar um incidente e solicitar ajuda.
Outro fator – muitas organizações e indivíduos podem ficar envergonhados em se apresentar, temendo danos à reputação (apesar de ser obrigatório relatar violações de dados graves ao Comissário de Privacidade desde o início da nova Lei de Privacidade em 1º de dezembro do ano passado).
“O crime cibernético é extremamente subnotificado”, diz Callow.
Nos Estados Unidos, estima-se que apenas 15 por cento dos incidentes são relatados, diz Callow, com base em uma estatística do Relatório Anual de Crimes na Internet do FBI.
“E isso por si só pode ser uma superestimativa”, diz ele.
“A posição na Nova Zelândia é provavelmente muito semelhante, com apenas uma pequena minoria de crimes cibernéticos sendo relatados. Quão pequena é uma minoria é impossível dizer.”
Também é importante notar que as agências de aplicação da lei normalmente incluem apenas perdas financeiras diretas, como pedidos de resgate pagos, em suas estimativas de custo, diz Callow. “Considerando que as perdas financeiras indiretas, como o custo do tempo de inatividade, podem ser consideravelmente maiores.”
“Em 2020, houve pouco mais de 250 incidentes de ransomware envolvendo empresas da Nova Zelândia, que teriam custado cerca de US $ 55 milhões apenas em termos de demandas. Considere o tempo de inatividade e o custo desses incidentes aumenta para cerca de US $ 450 milhões”, disse Callow, avaliando em um resumo de pesquisa elaborado por sua empresa, que se baseou em inscrições para o serviço ID Ransomware.
“E isso é apenas ransomware. BEC [business email compromise] fraudes e outros golpes farão com que as perdas reais sejam ainda maiores “, diz Callow.
Embora admita que os últimos números trimestrais de sua organização são apenas a ponta do iceberg proverbial, Pope diz que eles ainda desempenham uma função útil.
“Esses relatórios nos ajudam a entender o cenário de ameaças e os riscos à segurança cibernética que os neozelandeses enfrentam”, diz ele.
Escola antiga, escola nova
Ataques de DDoS (negação de serviço distribuída) da velha escola monopolizaram as manchetes recentes, à medida que exércitos de bots foram lançados contra nomes como Kiwibank, ANZ, NZ Post e MetService, sobrecarregando seus sites com solicitações de conexão.
Mas, no geral, Cert NZ rastreou o maior aumento de ameaça em ransomware – que é mais sinistro porque, ao contrário de um ataque DDoS, onde os bots aglomeram a porta da frente, impedindo que qualquer pessoa entre em um site, um ataque de ransomware envolve uma invasão e o roubo ou criptografia de dados.
E embora o número total de ataques cibernéticos relatados na verdade tenha caído ligeiramente para 1.351, a quantidade de dinheiro perdida aumentou porque os tipos de ataque que estão aumentando envolvem perdas maiores.
Enquanto o número total de ataques de ransomware foi de apenas 30, os atacantes de ransomware mudaram de indivíduos e pequenas empresas para alvos corporativos maiores, onde somas na casa dos milhões são exigidas.
Fraude de investimento em criptomoeda em alta
A Cert NZ também observou um aumento de 13 por cento nas perdas com fraudes de criptomoeda no trimestre de junho, com um total de $ 500.000 perdidos enquanto o número de reclamações aumentou 50 por cento.
Os golpes, geralmente envolvendo e-mails com linguagem que soa sofisticada, geralmente giram em torno de convencer a vítima a colocar dinheiro em uma oportunidade de investimento em criptomoeda falsa.
Cert NZ diz que a linguagem na comunicação dos golpistas compartilha o tema comum de jogar no Fomo ou “medo de perder”, com a vítima sendo instada a colocar dinheiro antes da oportunidade de criptomoeda antes que seja tarde demais.
Alvos importantes da Nova Zelândia, de Waikato DHB a Lion and Toll Group, dizem que se recusaram a pagar um resgate.
Mas, mesmo assim, as organizações podem acumular milhões em custos com manufatura interrompida e cadeias de suprimentos enquanto reconstroem meticulosamente sistemas a partir de backups.
Cert NZ incentiva as pessoas a se apresentarem.
Salienta que todas as denúncias são tratadas com estrita confidencialidade. As pessoas ou organizações só precisam compartilhar “o quanto se sentirem confortáveis em compartilhar.
O governo rejeitou pedidos recentes para tornar ilegal o pagamento de um resgate cibernético. Alguns vêem a mudança como um disjuntor. Mas o governo rebate que criminalizaria as vítimas.
O ministro da Economia Digital e Comunicações, David Clark, diz que as autoridades estão monitorando os desenvolvimentos no exterior, no entanto, e que o trabalho político está sendo feito na área.
Apesar de ser um tema quente na política em toda a Tasman, a segurança cibernética não figurou em nenhuma das políticas de tecnologia dos principais partidos na eleição do ano passado, e não figurou no Orçamento 2021.
nascido
Evitando ataques
Pope diz que os relatórios trimestrais do Cert NZ também estão ajudando a espalhar a palavra.
“Estamos trabalhando constantemente para aumentar a conscientização por meio de iniciativas como a Cyber Smart Week de 18 a 24 de outubro) e divulgação geral. Encorajamos todos que passaram por um incidente de segurança cibernética a relatar confidencialmente ao CERT NZ para que possamos fornecer conselhos e remediação”, ele diz.
Os principais conselhos da Cert NZ sobre ataques cibernéticos continuam os mesmos. Inclui.
• Use senhas diferentes e complexas para cada conta – e um gerenciador de senhas para discuti-las todas.
• Mantenha todo o seu software atualizado, não apenas o software de segurança.
• Eduque a equipe para suspeitar de anexos de e-mail ou qualquer solicitação de informações pessoais.
• Suponha que um dia você será atingido e faça backups regulares. Certifique-se de que pelo menos um deles seja um backup “frio” ou offline. E teste seus backups regularmente.
• E mantenha um plano de ação atualizado sobre como você se comunicará com a equipe, fornecedores e clientes após um ataque.
Denuncie um ataque e denuncie-o o mais rápido possível
Para indivíduos e pequenas empresas, relatar qualquer ataque cibernético ou fraude online rapidamente é essencial. A Cert NZ pode atuar como um serviço de triagem, colocando você em contato com os contatos corretos de aplicação da lei e aconselhando onde obter ajuda de TI.
Um relatório recente do Provedor de Justiça Bancário, que observou um aumento de 21 por cento em fraudes on-line relacionadas a bancos, destacou que quanto mais rapidamente as equipes de fraude dos bancos tomam conhecimento de um caso de fraude, maiores são as chances de reverter a transação.
O Herald cobriu uma série de casos de fraude bancária on-line, que apresentaram resultados mistos para clientes que buscam compensação.
Em um deles, um casal de West Auckland que pagou uma série de faturas falsas depois que um golpista sequestrou o endereço de e-mail real de sua empresa de reforma de banheiros, teve o valor total que havia perdido – $ 21.000 – pago de volta por seu banco, Westpac.
Mas, em um segundo caso, envolvendo um ex-oficial do exército que transferiu cerca de US $ 14.000 de uma conta Westpac para o que se revelou ser uma conta de fraudador, já que ele pensava que estava comprando ações da Starlink (a subsidiária do Space X não está listada e não tem planos para listar) nenhum dinheiro foi recuperado e o soldado perdeu todo o seu dinheiro.
Ambos os bancos disseram que teriam mais chances de resolver a situação se o oficial aposentado do Exército os tivesse contatado imediatamente. No caso, foi mais de sete dias após a transferência do dinheiro que ele percebeu que havia sido enganado.
.
Discussão sobre isso post