Os ataques recentes de hackers à Sony Corp. e à Lockheed Martin Corp. geraram manchetes. Mas o que aconteceu na City Newsstand Inc. no ano passado passou despercebido. Sem o conhecimento do proprietário, Joe Angelastri, ladrões cibernéticos plantaram um software nas caixas registradoras das duas lojas de revistas da empresa em Chicago, que enviou para a Rússia dados de clientes que pagaram com cartão de crédito. A MasterCard Inc. exigiu uma investigação às custas de Angelastri, que acabou com uma conta de 22 mil dólares.
A experiência de Angelastri põe em evidência uma ameaça crescente para empresas de pequeno porte nos Estados Unidos. Os hackers estão expandindo seu alvo além das multinacionais para incluir qualquer negócio que armazene dados em formato eletrônico. As pequenas empresas, que estão dando os primeiros passos para operar com sistemas informatizados e registros digitais, já se tornaram o principal alvo dos hackers. “Quem iria querer invadir nosso sistema?”, indaga Angelastri, segundo quem a violação reduziu seu lucro pela metade. “Não estamos operando um banco.”
Com orçamentos limitados e poucos técnicos na equipe, as pequenas empresas costumam ser eletronicamente pouco seguras. E os criminosos virtuais tiram proveito. Em 2010, o serviço secreto dos EUA e a divisão de análise forense da telefônica Verizon Communications Inc., que investiga ataques a redes, responderam a um total de 761 violações de dados, comparadas a 141 em 2009. Do total, 482, ou 63%, eram de empresas com 100 empregados ou menos. A Visa Inc. estima que 95% das violações de dados de cartão de crédito de clientes que detecta a cada ano ocorrem em pequenas empresas.
“A dor de cabeça vale a pena”
No Brasil, a unidade de repressão a crimes cibernéticos da Polícia Federal lida com as invasões de hackers aos sistemas tanto do governo como da iniciativa privada. O delegado Carlos Eduardo Miguel Sobral, chefe da unidade, diz que não há registro de nenhum ataque bem-sucedido às bases de dados de empresas de qualquer porte no país, mas confirmou que pequenas empresas são “mais vulneráveis” quando se informatizam mas não têm como investir em segurança cibernética.
A invasão a sistemas de pequenas empresas “é um problema fértil”, diz Dean Kinsman, um agente especial da divisão de crimes cibernéticos do FBI, a polícia federal dos EUA, que tem mais de 400 inquéritos em andamento para esse tipo de crime. “E, antes de melhorar, ainda vai ficar muito pior.”
No mesmo tempo que leva para invadir os sistemas de uma grande empresa como o Citigroup Inc., um hacker pode roubar dados de dezenas de empresas menores sem ser detectado, diz Bryce Case Jr., um ex-hacker que invadiu vários sites governamentais e corporativos dez anos atrás e agora dirige um fórum online para hackers chamado Digital Gangster. Agora, que mais pequenas empresas usam computadores, “a dor de cabeça vale a pena”, diz ele. “Mesmo uma pizzaria armazena endereços, nomes e informações de cartão de crédito de clientes.”
“Custou o meu sonho”
O fato de que há vários tipos de ameaças de segurança faz com que seja difícil para as pequenas empresas se protegerem. Em abril, o FBI emitiu um alerta sobre um tipo de ataque em que os hackers roubam as senhas das atividades de banco online de uma empresa e as usam para transferir fundos para fora da conta. Isso aconteceu com Lease Duckwall no início da tarde de 2 de novembro, quando alguém entrou na conta bancária de sua concessionária Green Ford Sales Inc., em Abilene, no estado do Kansas. O hacker acrescentou nove novos empregados à folha de pagamento da empresas e transferiu 63 mil dólares em pagamentos para eles.
Duckwall foi informado sobre as transferências às 7h45 do dia seguinte. Ele ligou para o banco, que congelou os fundos em seis casos. Mas três pagamentos já haviam sido sacados pelos falsos empregados e o dinheiro foi transferido para fora do país. “Não tenho a menor ideia” de como ou por que a empresa foi alvo, diz Duckwall, que ainda não recuperou cerca de 22 mil dólares.
Os custos de uma invasão podem quebrar uma pequena empresa. Em 2006 e 2007, a lanchonete Burger Me LLC, de Bellingham, no estado de Washington, teve a sua caixa registradora computadorizada violada. Os criminosos fizeram um número não revelado de operações fraudulentas em cartões de crédito de clientes. Após o incidente, uma administradora de cartões fechou a conta da Burger Me. No final de 2008, o volume de multas e negócios perdidos por não poder aceitar cartões de crédito levou Griffith a acumular tanta dívida de 12 mil dólares só para cobrir os gastos com investigação e reparos – e ele teve que fechar a lanchonete. O ataque cibernético “me custou o meu sonho”, diz Griffith, de 47 anos. O hacker que roubou os dados nunca foi identificado.
Ameaça à segurança
Ataques com motivação financeira costumam usar um código que os hackers inserem nos computadores das vítimas, muitas vezes como anexos ou links em e-mails enviados para seus funcionários. Embora esses programas sejam bem conhecidos por especialistas em segurança, os hackers os ajustam com frequência para torná-los indetectáveis por software antivírus.
Embora não sejam imunes, as empresas de maior porte geralmente são mais eficientes na hora de se proteger. A telefônica AT&T Inc., por exemplo, tem um centro de comando que acompanha todo o tráfego em sua rede. Outras grandes empresas de dados monitoram sinais de alerta, tomando nota quando um empregado passa o cartão em Nova York e logo se conecta à rede da Califórnia, por exemplo.
Empresas menores custam mais a entender a ameaça à segurança. Um levantamento feito em 2010 pela Federação Nacional de Varejo dos EUA e pela First Data Corp. com varejistas de pequeno e médio porte, descobriu que 64% acreditavam que suas empresas não eram vulneráveis ao roubo de dados e apenas 49% tinham avaliado seus sistemas de segurança.
“Dados criptografados e mais proteção”
As maiores administradoras de cartões de crédito formaram em 2006 um conselho que estabelece padrões mínimos de proteção para as empresas que aceitam cartões. Mas as administradoras têm poucas formas de fazer pequenas empresas seguirem as normas. Bob Russo, gerente-geral do conselho, diz que muitas pequenas empresas negligenciam até medidas básicas, como mudar senhas.
Angelastri diz que ainda está pagando os 22 mil dólares do custo das investigações e melhorias de segurança. A City Newsstand trabalha com uma margem pequena, diz ele, e registra cerca de 1 milhão de dólares em vendas anuais.
Sobral, da PF, acredita que é uma questão de tempo para que os hackers também comecem a atacar os sistemas de pequenas empresas brasileiras. “O ideal é que toda empresa que armazena dados com valor econômico (…) invista em segurança, usando dados criptografados e mais camadas de proteção”, disse (colaboraram Nonna Fomenko e Di Pinheiro).
***
[Geoffrey A. Fowler e Ben Worthen são do The Wall Street Journal]