Atualizado em: 16 de agosto de 2024
Colaborador: Matthew Kosinski
Hackear, ou hacking cibernético, é a ação de obter acesso não autorizado a um dispositivo digital, sistema de computador ou rede de computadores, através de meios não convencionais ou ilícitos. O exemplo clássico é um cibercriminoso que explora vulnerabilidades de segurança para invadir uma rede e roubar dados.
Mas o hacking nem sempre tem a intenção de causar danos. Um consumidor que usa seu smartphone pessoal para executar programas personalizados também é, tecnicamente falando, um hacker.
Hackers mal-intencionados construíram uma enorme indústria de crimes cibernéticos, onde os bandidos lucram com ataques cibernéticos, extorquindo vítimas ou vendendo malware e dados roubados uns aos outros. Estima-se que o custo global de todos os crimes cibernéticos atinja quase US$ 24 trilhões até 2027.1
Ataques maliciosos podem ter consequências devastadoras. As pessoas enfrentam roubo de identidade, roubo de dinheiro, entre outros. As organizações podem sofrer períodos de downtime do sistema, vazamentos de dados e outros danos que levam à perda de clientes, redução de receita, danos à reputação, multas ou outras punições legais. Em um contexto geral, de acordo com o relatório do custo das violações de dados da IBM, o custo médio da violação de dados para uma organização é de US$ 4,88 milhões.
Na outra extremidade do espectro do hacking, a comunidade de cibersegurança depende de hackers éticos (hackers com intenções úteis e não criminosas) para testar medidas de segurança, solucionar falhas de segurança e evitar ameaças cibernéticas. Esses hackers éticos ganham a vida ajudando as empresas a reforçar seus sistemas de segurança, ou trabalhando com as autoridades policiais para derrubar seus equivalentes maliciosos.
Um ataque cibernético é um esforço intencional para prejudicar um sistema de computador ou seus usuários, enquanto hacking é o ato de obter acesso ou controle sobre um sistema por meios não autorizados. A principal diferença é que os ataques cibernéticos sempre causam danos aos seus alvos, já o hacking pode ser bom, ruim ou neutro.
Os agentes mal-intencionados podem usar, e frequentemente usam, técnicas de hacking para iniciar ataques cibernéticos, por exemplo, alguém que explora uma vulnerabilidade do sistema para invadir uma rede e instalar ransomware.
Por outro lado, hackers éticos usam técnicas de hacking para ajudar as organizações a fortalecer suas defesas. Isso é essencialmente o oposto de um ataque cibernético.
Outra distinção importante é que o hacking nem sempre é ilegal. Se um hacker tem a permissão do proprietário do sistema (ou ele é o proprietário do sistema), sua atividade é legal.
Em contrapartida, os ataques cibernéticos são quase sempre ilegais, pois não têm o consentimento do alvo e visam ativamente causar danos.
Os hackers se dividem em três categorias principais com base em seus motivos e táticas:
Hackers maliciosos que invadem para causar danos
Hackers éticos que invadem para proteger as empresas contra danos
Hackers vigilantes ou de “chapéu cinza” que se dividem entre hacking “bom” e “ruim”
Hackers mal-intencionados (também chamados de "hackers de chapéu preto") são cibercriminosos que invadem por motivos nefastos, prejudicando suas vítimas para obter ganhos pessoais ou financeiros.
Alguns hackers mal-intencionados realizam ataques cibernéticos diretamente, enquanto outros desenvolvem códigos mal-intencionados ou exploração para vender a outros hackers na dark web. (Veja, como exemplo, ransomware como serviço.) Eles podem trabalhar sozinhos ou como parte de uma quadrilha de ransomware, rede de golpes ou outros grupos organizados.
O dinheiro é a motivação mais comum para hackers mal-intencionados. Eles geralmente “recebem” seu pagamento por meio de:
Roubo de dados pessoais ou confidenciais (credenciais de login, números de cartão de crédito, números de contas bancárias, números de previdência social), que podem ser usados para invadir outros sistemas, praticar roubo ou venda de identidade.
De acordo com o IBM X-Force Threat Intelligence Index, a exfiltração de dados é o impacto mais comum dos ataques cibernéticos, ocorrendo em 32% dos ataques.
Extorsão de vítimas, como usar ataques de ransomware ou ataques de distributed denial-of-service (DDoS) para manter dados, dispositivos ou operações comerciais como reféns até que a vítima pague um resgate. A extorsão, que ocorre em 24% dos incidentes, é o segundo impacto de ataque mais comum, de acordo com o Threat Intelligence Index.
Realização de espionagem corporativa por encomenda, ou seja, roubo de propriedade intelectual ou outras informações confidenciais dos concorrentes da empresa cliente.
Às vezes, os hackers maliciosos têm motivações que vão além do dinheiro. Por exemplo, um funcionário insatisfeito pode invadir o sistema de um empregador simplesmente por não ter recebido uma promoção.
Os hackers éticos (também chamados de "hackers de chapéu branco") usam suas habilidades de invadir computadores para ajudar as empresas a encontrar e corrigir vulnerabilidades de segurança, dessa forma, os agentes de ameaças não podem explorá-las.
O hacking ético é uma profissão legítima. Os hackers éticos trabalham como consultores de segurança ou funcionários das empresas que estão invadindo. Para gerar confiança e provar suas habilidades, os hackers éticos ganham certificações de órgãos como CompTIA e EC-Council. Eles seguem um código de conduta rigoroso, sempre obtêm permissão antes de invadir, não causam danos e mantêm suas descobertas confidenciais.
Um dos serviços de hacking ético mais comuns é o teste de penetração (ou “pen testing”), no qual os hackers simulam ataques cibernéticos contra aplicações, redes ou outros ativos da web para identificar suas vulnerabilidades. Em seguida, eles trabalham com os proprietários dos ativos para remediar essas vulnerabilidades.
Os hackers éticos também podem realizar avaliações de vulnerabilidades, analisar malware para obter inteligência de ameaças, ou participar de ciclos de vida de desenvolvimento de software seguros.
Hackers de chapéu cinza não se encaixam perfeitamente nos campos éticos ou maliciosos. Esses espiões invadem sistemas sem permissão, mas o fazem para ajudar as organizações que invadem, e quem sabe, receber algo em troca.
O nome "chapéu cinza" faz referência ao fato de que esses hackers operam em uma área moral nebulosa. Eles informam as empresas sobre as falhas encontradas nos sistemas e podem se oferecer para corrigir essas vulnerabilidades em troca de recompensas ou até mesmo de um emprego. Embora tenham boas intenções, esses hackers podem acidentalmente alertar hackers mal-intencionados sobre novos vetores de ataques.
Alguns programadores amadores simplesmente invadem por diversão, ou para aprender ou ganhar notoriedade ao violar alvos difíceis. Por exemplo, o surgimento da IA generativa impulsionou uma onda de hackers amadores que fazem experimentos de desbloqueio com modelos de IA, para que eles façam coisas novas.
"Hacktivistas" são ativistas que invadem sistemas para chamar a atenção para questões sociais e políticas. O coletivo informal Anonymous é provavelmente o grupo hacktivista mais conhecido, tendo realizado ataques contra alvos de alto perfil como o governo russo e as Nações Unidas.
Os hackers patrocinados pelo Estado têm o apoio oficial de um estado-nação. Eles trabalham para um governo a fim de espionar adversários, interromper a infraestrutura crítica ou espalhar desinformação, muitas vezes em nome da segurança nacional.
Se esses hackers são éticos ou maliciosos, depende do ponto de vista. Considere o ataque do Stuxnet às instalações nucleares iranianas, que se acredita ser obra dos governos dos EUA e de Israel. Qualquer pessoa que veja o programa nuclear do Irã como uma ameaça à segurança pode considerar esse ataque ético.
Em última análise, o que um hacker faz é obter acesso a um sistema de uma forma que os designers iniciais do sistema não esperavam. Como eles fazem isso depende de seus objetivos e dos sistemas visados.
Uma invasão pode ser tão simples quanto enviar e-mails de phishing para roubar senhas de qualquer pessoa que morda a isca ou tão elaborado quanto uma ameaça persistente avançada (APT) que se infiltra em uma rede por meses.
Alguns dos métodos de hacking mais comuns incluem:
- Sistemas operacionais especializados
- Scanners de rede
- Malware
- Engenharia social
- Roubo de credenciais e abuso de contas
- Ataques habilitados por IA
- Outros ataques
Embora as pessoas possam usar sistemas operacionais Mac ou Microsoft padrão para invasões, muitos hackers usam sistemas operacionais (OSs) personalizados, repletos de ferramentas de hacking, como quebradores de credenciais e scanners de rede.
Por exemplo, o Kali Linux, uma distribuição Linux de código aberto projetada para teste de penetração, é popular entre os hackers éticos.
Os hackers usam várias ferramentas para aprender sobre seus alvos e identificar pontos fracos que podem ser explorados.
Por exemplo, os sniffers de pacotes analisam o tráfego de rede para determinar sua origem, destino e conteúdo dos dados. Verificadores de porta testam remotamente dispositivos em busca de portas abertas e disponíveis às quais os hackers podem se conectar. Verificadores de vulnerabilidades pesquisam as vulnerabilidades conhecidas, permitindo que hackers encontrem rapidamente pontos de entrada em um alvo.
O software malicioso, ou malware, é uma arma fundamental nos arsenais de hackers maliciosos. De acordo com o X-Force Threat Intelligence Index, 43% dos ataques cibernéticos envolvem malware.
Alguns dos tipos de malware mais comuns incluem:
Ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate para liberá-los.
Botnets são redes de dispositivos infectados por malware e conectados à internet sob o controle de um hacker. O malware de botnet frequentemente mira em dispositivos da internet das coisas (IoT), devido às suas proteções geralmente fracas. Os hackers usam botnets para lançar ataques distributed denial-of-service (DDoS).
Cavalos de Troia se disfarçam de programas úteis ou se escondem dentro de softwares legítimos para induzir os usuários a instalá-los. Os hackers usam cavalos de Troia para obter acesso remoto, de forma secreta, a dispositivos ou baixar outros malwares sem que os usuários saibam.
O spyware coleta secretamente informações confidenciais, como senhas ou detalhes de contas bancárias, e as transmite ao invasor.
O malware de roubo de informações tornou-se especialmente popular entre os cibercriminosos, pois as equipes de cibersegurança aprenderam a impedir outras cepas comuns de malware. O Threat Intelligence Index constatou que a atividade de roubo de informações aumentou 266% entre 2022 - 2023.
Ataques de engenharia social induzem as pessoas a enviar dinheiro ou dados para hackers ou a conceder-lhes acesso a sistemas confidenciais. Táticas comuns de engenharia social incluem:
Ataques de phishing, como golpes de comprometimento de e-mail empresarial, que usam e-mails fraudulentos ou outras mensagens.
Ataques de spear phishing direcionados a pessoas específicas, geralmente usando detalhes de suas páginas públicas de redes sociais para ganhar confiança.
Ataques de baiting, quando hackers colocam drives USB infectados com malware em locais públicos.
Ataques de scareware, que usam o medo para coagir as vítimas a fazer o que o hacker deseja.
Os hackers estão sempre procurando o caminho mais fácil e, em muitas redes corporativas, isso significa roubar credenciais de funcionários. De acordo com o IBM X-Force Threat Intelligence Index, o abuso de contas válidas é o vetor de ataque cibernético mais comum, representando 30% de todos os incidentes.
Munidos de senhas de funcionários, os hackers podem se disfarçar de usuários autorizados e passar pelos controles de segurança. Os hackers podem obter credenciais de contas por vários meios.
Eles podem usar spyware e infostealers para coletar senhas ou enganar usuários para que compartilhem informações de login por meio de engenharia social. Também podem usar ferramentas de quebra de credenciais para lançar ataques de força bruta, testando automaticamente senhas potenciais até que uma funcione, ou até mesmo comprar na dark web credenciais anteriormente roubadas.
Assim como os defensores agora usam a inteligência artificial (IA) para combater ameaças cibernéticas, os hackers estão usando a IA para explorar seus alvos. Essa tendência se manifesta de duas maneiras: hackers que usam ferramentas de IA em seus alvos e hackers que visam vulnerabilidades em aplicativos de IA.
Os hackers podem usar a IA generativa para desenvolver códigos maliciosos, identificar vulnerabilidades e criar explorações. Em um estudo, os pesquisadores descobriram que os grandes modelos de linguagem (LLM) amplamente disponíveis, como o ChatGPT, podem explorar vulnerabilidades de dia zero em 87% dos casos (link externo ao site ibm.com).
Os hackers também podem usar LLMs para escrever e-mails de phishing em uma fração do tempo (cinco minutos em comparação com as 16 horas que levariam para redigir o mesmo e-mail manualmente), de acordo com o X-Force Threat Intelligence Index.
Ao automatizar partes significativas do processo de hacking, essas ferramentas de IA podem reduzir a barreira de entrada no campo das invasões, o que tem consequências positivas e negativas.
- Positivas: hackers do bem podem ajudar as organizações a fortalecer suas defesas e melhorar seus produtos.
- Negativas: agentes mal-intencionados não precisam de habilidades técnicas avançadas para iniciar ataques sofisticados, eles simplesmente precisam saber como lidar com um LLM.
Quanto à expansão da superfície de ataque da IA, a crescente adoção de aplicativos de IA oferece aos hackers mais maneiras de prejudicar empresas e pessoas. Por exemplo, ataques de envenenamento de dados podem prejudicar o desempenho do modelo de IA ao inserir dados de baixa qualidade, ou intencionalmente distorcidos em seus conjuntos de treinamento. As injeções de prompt usam prompts maliciosos para induzir os LLMs a divulgarem dados confidenciais, destruir documentos importantes ou algo pior.
Ataques intermediários (MITM), também conhecidos como adversário no meio (AITM), envolvem hackers interceptando comunicações sensíveis entre duas partes, como e-mails entre usuários ou conexões entre navegadores web e servidores web.
Por exemplo, um ataque de falsificação de DNS redireciona os usuários de uma página da web legítima para uma página controlada pelo hacker. O usuário pensa que está no site real, mas o hacker pode roubar de forma secreta as informações compartilhadas.
Ataques de injeção, como XSS (cross-site scripting), usam scripts maliciosos para manipular aplicativos e sites legítimos. Por exemplo, em um ataque de injeção de SQL, os hackers fazem com que os sites divulguem dados confidenciais inserindo comandos SQL em campos de input de usuário voltados para o público.
Ataques sem arquivos, também chamados de "living off the land", são técnicas em que os hackers usam ativos já comprometidos para mover-se lateralmente através de uma rede ou causar mais danos. Por exemplo, se um hacker obtiver acesso à interface de linha de comando de uma máquina, ele poderá executar scripts maliciosos diretamente na memória do dispositivo sem deixar muitos rastros.
Os 414s
No início dos anos 80, um grupo de hackers conhecido como "Os 414s" comprometeu alvos, entre eles o Los Alamos National Laboratory e o Sloan-Kettering Cancer Center. Enquanto os 414s causaram poucos danos reais, suas invasões motivaram o congresso dos EUA a aprovar a Computer Fraud and Abuse Act, que oficialmente tornou crime a invasão maliciosa.
Morris worm
Um dos primeiros worms de computador, o Morris worm foi lançado na internet em 1988 como um experimento. Ele causou mais danos do que o esperado, forçou milhares de computadores a ficarem offline e gerou cerca de US$ 10 milhões em custos relacionados ao downtime e remediação.
Robert Tappan Morris, o programador do worm, foi o primeiro a receber uma condenação por crime grave sob a Computer Fraud and Abuse Act.
Colonial Pipeline
Em 2021, hackers infectaram os sistemas da Colonial Pipeline com ransomware, forçando a empresa a fechar temporariamente o oleoduto que fornecia 45% do combustível da costa leste dos EUA. Os hackers usaram uma senha de um funcionário, encontrada na dark web, para acessar a rede. A Colonial Pipeline Company pagou um resgate de US$ 5 milhões para recuperar o acesso aos seus dados.
Change Healthcare
Em 2024, a empresa de sistemas de pagamento Change Healthcare sofreu uma grande violação de dados (link externo ao site ibm.com), interrompendo os sistemas de cobrança em todo o setor de saúde dos EUA. Os hackers obtiveram dados pessoais, detalhes de pagamento, registros de seguros e outras informações confidenciais de milhões de pessoas.
Devido ao grande número de transações que a Change Healthcare ajuda a processar, estima-se que a violação tenha afetado até um terço de todos os americanos. Os custos totais associados à violação podem chegar a US$ 1 bilhão.
Qualquer organização que dependa de sistemas de computador para funções críticas, o que inclui a maioria das empresas, corre o risco de sofrer um ataque de hackers. Não há como ficar fora dos radares dos hackers, mas as empresas podem dificultar as invasões, reduzindo assim a probabilidade e os custos de ataques bem-sucedidos.
- As defesas comuns contra hackers incluem:
- Senhas fortes e políticas de autenticação
- Treinamento em Cibersegurança
- Gerenciamento de correção
- IA e automação da segurança
- Ferramentas de detecção e resposta a ameaças
- Soluções de segurança de dados
- Hacking ético
Senhas fortes e políticas de autenticação
De acordo com o relatório do custo das violações de dados, credenciais roubadas e comprometidas são o vetor de ataque mais comum para violações de dados.
Senhas fortes podem dificultar o roubo de credenciais pelos hackers. Medidas rigorosas de autenticação, como sistemas de autenticação multifator (MFA) e gerenciamento de acesso privilegiado (PAM), fazem com que os hackers precisem de mais do que uma senha roubada para sequestrar a conta de um usuário.
Treinamento em cibersegurança
O treinamento dos funcionários sobre as melhores práticas de cibersegurança, como reconhecer ataques de engenharia social, seguir as políticas da empresa e instalar controles de segurança apropriados, pode ajudar as organizações a evitar mais invasões. De acordo com o relatório do custo das violações de dados, o treinamento pode reduzir o custo de uma violação de dados em até US$ 258.629.
Gerenciamento de correção
Os hackers geralmente procuram alvos fáceis, optando por violar redes com vulnerabilidades bem conhecidas. Um programa formal de gerenciamento de patches pode ajudar as empresas a se manterem atualizadas sobre os patches de segurança dos fornecedores de software, dificultando a entrada de hackers.
IA e automação da segurança
O relatório do custo das violações de dados constatou que as organizações que investem consideravelmente em IA e automação para cibersegurança conseguem reduzir o custo médio de uma violação em US$ 1,88 milhão. Elas também identificam e resolvem violações 100 dias mais rápido do que as organizações que não investem em IA e automação.
O relatório observa que a IA e a automação podem ser bastante benéficas quando implementadas em fluxos de trabalho de prevenção de ameaças, como gerenciamento de superfície de ataque, equipe vermelha e gerenciamento de postura.
Ferramentas de detecção e resposta a ameaças
Firewalls e sistemas de prevenção de intrusões (IPSs) podem ajudar a detectar e bloquear a entrada de hackers em uma rede. O software de gerenciamento de informações e eventos de segurança (SIEM) pode ajudar a detectar ataques em andamento. Programas antivírus podem encontrar e excluir malware, e plataformas de detecção e resposta de endpoint (EDR) podem automatizar respostas até mesmo a ataques complexos. Funcionários remotos podem usar redes privadas virtuais (VPNs) para fortalecer a segurança da rede e proteger o tráfego contra bisbilhoteiros.
Soluções de segurança de dados
As organizações com controle centralizado sobre os dados, independentemente de onde eles residam, podem identificar e conter violações de forma mais rápida do que as organizações sem esse controle, de acordo com o relatório do custo das violações de dados.
Ferramentas como soluções de gerenciamento de postura de segurança de dados, soluções de data loss prevention (DLP), soluções de criptografia e backups seguros podem ajudar a proteger os dados em trânsito, em repouso e em uso.
Hacking ético
Os hackers éticos são uma das melhores defesas contra hackers mal-intencionados. Hackers éticos podem usar avaliações de vulnerabilidade, testes de penetração, equipes vermelhas e outros serviços para encontrar e corrigir vulnerabilidades do sistema e problemas de segurança da informação antes que hackers e ameaças cibernéticas possam explorá-los.
Aproveite as mais recentes soluções e funcionalidades de cibersegurança em nuvem ou nuvem híbrida para aprimorar seu gerenciamento de acesso, segurança de rede e segurança de endpoints.
Teste seu pessoal por meio de exercícios de phishing, vishing e engenharia social física.
Proteja os dados em nuvens híbridas e facilite a conformidade com os requisitos.
Ataques cibernéticos são tentativas de roubar, expor, alterar, desativar ou destruir os ativos de terceiros por meio de acesso não autorizado a sistemas de computador.
O gerenciamento de vulnerabilidades é a descoberta e a resolução contínuas de falhas de segurança na infraestrutura e no software de TI de uma organização.
Saiba como melhorar sua segurança de dados e postura de conformidade, mesmo com o cenário de TI se tornando cada vez mais descentralizado e complexo.
Notas de rodapé
1 2023 was a big year for cybercrime—here’s how we can make our systems safer. Fórum Econômico Mundial. 10 de janeiro de 2024. (Link externo ao site ibm.com).