San Francisco - Algumas das maiores empresas dos EUA continuam vulneráveis a um dos mais antigos truques dos hackers, segundo uma acusação contra cinco funcionários militares chineses acusados de roubar segredos comerciais, revelada ontem.

A tática comum, chamada spearphishing, foi usada para acessar redes de computadores de empresas como United States Steel e Alcoa, segundo o Departamento de Justiça dos EUA, que divulgou as acusações ontem.

Ao enviar aos funcionários e-mails falsos disfarçados de mensagens oficiais, os hackers conseguiram convencê-los a entregar seus nomes de usuário, senhas e outras informações confidenciais.

As acusações de que o governo chinês usa espionagem cibernética para roubar tecnologias expõe aquela que continua sendo uma das vulnerabilidades de muitas empresas: seus próprios funcionários.

Embora as empresas de segurança em informática estejam lucrando com investimentos recordes em tecnologias para evitar a ação de hackers, as pessoas acabam sendo o elo mais fraco em ataques como estes, segundo Dmitri Alperovitch, diretor de tecnologia da CrowdStrike, uma empresa de segurança cibernética de Irvine, Califórnia.

“Não é a vulnerabilidade do computador -- é a vulnerabilidade do humano que sempre vira alvo”, disse Alperovitch. “Este não é um problema como o câncer, em que você pode chegar a um ponto final em que pode declarar que ganhou”.

Mesmo com a indústria de segurança em informática prestes a superar US$ 85 bilhões em receita em 2016 -- montante quase 70 por cento maior que no começo da década, segundo a Gartner --, isso será pouco útil se os hackers conseguirem atingir empresas e funcionários com ataques de spearphishing.

US$ 400 bi

As perdas anuais com crimes cibernéticos, roubo de propriedade intelectual de corporações e outros custos podem chegar a US$ 400 bilhões, segundo a organização Center for Strategic and International Studies e a McAfee, uma empresa da Intel.

Houve 450.000 ataques conhecidos de phishing em 2013 e as perdas provenientes deles somaram recordes US$ 5,9 bilhões, segundo a EMC Corp.

A acusação, revelada ontem pela Corte Distrital da Pensilvânia, aponta que os funcionários chineses conspiraram para roubar segredos comerciais e outras informações de empresas americanas especializadas em painéis solares, metais e usinas de energia nuclear de última geração.

A Westinghouse Electric e a Allegheny Technologies, além do sindicato internacional dos trabalhadores nas indústrias de aço, papel, borracha, fabricação, energia e serviços industriais, foram citados na acusação.

Carlos Ghosn

O spearphishing, uma versão mais focada dos ataques de phishing que o envio de e-mails em massa, há tempos é conhecido como uma vulnerabilidade flagrante.

Em 2011, a RSA Security, uma unidade da EMC, foi hackeada dessa forma, e teve exposta uma campanha de contratações. Um executivo da Coca-Cola abriu uma mensagem de spearphishing em 2012, o que garantiu aos hackers acesso a documentos internos.

Na Alcoa, 19 funcionários receberam um e-mail falso de um membro do conselho, Carlos Ghosn, que também é CEO da Nissan Motor. Um arquivo anexo da mensagem, quando aberto, desencadeou um vírus que penetrou a rede da Alcoa.

Embora Ghosn não tenha sido identificado de forma direta na acusação de ontem, o documento se refere a um diretor com as iniciais “C.G.”. Ghosn era o único membro do conselho à época que batia com esse critério.

Chris Keeffe, porta-voz da Nissan, e Monica Orbe, porta-voz da Alcoa, preferiram não comentar.

Capacitar os funcionários é fundamental.

A Riptide IO, uma empresa com sede em Santa Barbara, Califórnia, que ajuda as empresas a gerenciarem dados a partir de seus edifícios, emite mensagens frequentes alertando a não colocar senhas em e-mails e divulgando outras medidas básicas de segurança cibernética para assegurar que cada funcionário -- incluindo os da equipe de apoio -- seja consciente quanto ao risco de ataque de hackers, disse o CEO Mike Franco.

“Todos precisam se conscientizar de que a exposição vem com as pessoas, não com a tecnologia”, disse Franco. “Não se pode parar esse tipo de invasão com boas tecnologias. É preciso fazê-lo com treinamento e capacitação, mudanças de atitude e conscientização”.