TI para Negócios

A Teradata (NYSE: TDC) acaba de anunciar que o Danske Bank, líder em serviços financeiros nos países nórdicos, adotou um conjunto de tecnologias desenvolvidas pela Think Big Analytics, uma empresa da Teradata, para criar e lançar uma plataforma de detecção de fraude baseada em Inteligência Artificial, com expectativa de alcançar 100% de retorno sobre os investimentos (ROI) já no seu primeiro ano de produção. A solução usa machine learning para analisar dezenas de milhares de recursos, monitorando milhões de transações bancárias online em tempo real para fornecer uma visão que diferencie atividades verdadeiras das falsas e fraudulentas. Reduzindo significativamente o custo desse tipo de investigação, o Danske Bank vem aumentando sua eficiência geral e agora está preparado para obter economias expressivas.

“O combate às fraudes é uma questão crítica e está no topo das prioridades do setor bancário. Há evidências de que os criminosos estão se tornando cada vez mais ousados, usando inclusive técnicas sofisticadas de machine learning para atacar. Por isso é fundamental também usar técnicas avançadas para detectá-las”, diz Nadeem Gulzar, diretor de análise avançada do Danske Bank. “Entendemos que as fraudes devem piorar no futuro próximo e no longo prazo, devido ao aumento da digitalização bancária e das aplicações bancárias móveis. Reconhecemos a necessidade de usar técnicas de ponta para combater os fraudadores, detectando não apenas onde estão hoje, mas onde estarão amanhã. Usando Inteligência artificial, já reduzimos falsos positivos em 50% e, dessa forma, conseguimos realocar a metade da unidade de detecção de fraude para responsabilidades de maior valor.”

O sistema original de detecção de fraude do Danske Bank baseou-se principalmente em regras artesanais aplicadas proativamente pelo negócio ao longo do tempo. Com números recorde de falsos positivos – às vezes atingindo 99,5% de todas as transações – os custos e o tempo associados à investigação se tornaram muito altos, com grande parte da equipe de detecção de fraude se sentindo sobrecarregada, ainda que não estivesse efetivamente sendo utilizada.

A equipe de Think Big Analytics da Teradata começou a trabalhar com o Danske Bank em meados de 2016, para apoiar o pessoal de análise com conhecimento especializado sobre como utilizar os dados para obter benefícios mais amplos para o negócio. A equipe conjunta começou o trabalho dentro da infraestrutura existente do banco e, em seguida, criou modelos avançados de machine learning para detectar fraude em milhões de transações por ano e em horários de pico, muitas centenas de milhares por minuto. Para garantir a transparência e incentivar a confiança, o mecanismo inclui uma camada de interpretação em cima dos modelos de machine learning, fornecendo explicações e interpretação da atividade de bloqueio.

Do ponto de vista de modelos de análises, os casos de fraude ainda são muito raros, com cerca de um caso de fraude em cada 100.000. A equipe conseguiu tirar os falsos positivos dos modelos e reduzi-los em 50%. Ao mesmo tempo, foram capazes de capturar mais fraudes – aumentando a taxa de detecção em cerca de 60%. O programa antifraude do Danske Bank é o primeiro a colocar técnicas de machine learning em produção ao mesmo tempo em que desenvolve modelos de aprendizado profundo para testar as técnicas.

“Todos os bancos precisam de uma plataforma de análise escalável e avançada, bem como um roteiro e uma estratégia de digitalização para levar a ciência de dados à organização”, diz Mads Ingwar, diretor de serviços ao cliente da Think Big Analytics. “Para as transações online, cartões de crédito e pagamentos móveis, os bancos precisam de uma solução em tempo real: a plataforma de fraude baseada em Inteligência Artificial de última geração que desenvolvemos em colaboração com o Danske Bank calcula as transações recebidas em menos de 300 milissegundos. Isso significa que, quando os clientes estão em pé no supermercado ainda fazendo suas compras, o sistema pode marcar a transação em tempo real e fornecer uma visão imediata e acionável. Esse tipo de solução é algo que começaremos a ver em todas as organizações do setor de serviços financeiros”.

No primeiro semestre do ano, as empresas do setor industrial foram as mais suscetíveis a ameaças virtuais: os computadores de ICSs responderam por cerca de um terço de todos os ataques, segundo o relatório “Cenário das ameaças a sistemas de automação industrial no primeiro semestre de 2017” da Kaspersky Lab. Houve um pico de atividade dos invasores em março; depois disso, a proporção de computadores atacados diminuiu gradativamente de abril a junho.

Durante os seis primeiros meses do ano, os produtos da Kaspersky Lab bloquearam tentativas de ataque em 37,6% dos computadores de ICSs dos quais recebemos informações anônimas, totalizando dezenas de milhares de ataques – na América Latina, esse número chega a 38,9%. Esse número quase não mudou em relação ao período anterior, sendo 1,6 pontos percentuais menor que no segundo semestre de 2016. A maioria deles ocorreu em empresas do setor industrial que produzem materiais, equipamentos e bens diversos. Outros setores muito afetados foram os de engenharia, educação, e bebidas e alimentos. Os computadores de ICSs de empresas de fornecimento de energia responderam por quase 5% de todos os ataques.

Embora os três países com mais computadores industriais atacados, Vietnã (71%), Argélia (67,1%) e Marrocos (65,4%), não tenham mudado, os pesquisadores detectaram um aumento na porcentagem de sistemas atacados na China (57,1%), que ficou no quinto lugar, de acordo com os dados divulgados pela Kaspersky Lab. Na América Latina, os países com maior proporção de equipamentos industriais são Peru (50,8%), Venezuela (50%), Equador (45,0%) e México (44,9%).

Os especialistas também descobriram que as ameaças se originaram principalmente na internet: tentativas de baixar malware, acessar recursos maliciosos conhecidos ou de phishing na Web foram bloqueadas em 20,4% dos computadores de ICSs. Já na América Latina, esse número chega à 24,1%.

Os motivos para as altas estatísticas desse tipo de infecção são as interfaces entre as redes corporativas e industriais, a disponibilidade de acesso limitado à Internet nas redes industriais e a conexão de computadores das redes industriais à Internet através de redes de operadoras de celular. Além disso, infecções por malware podem acontecer também por meio de mídia removível, como pendrive e HD externos, sendo essas responsáveis por 9,3% das infecções na América Latina.

No total, nos primeiros seis meses de 2017, a Kaspersky Lab detectou aproximadamente 18.000 modificações de malwares pertencentes a mais de 2.500 famílias diferentes em sistemas de automação industrial.

Ataques de ransomware
Na primeira metade do ano, o mundo enfrentou uma epidemia de ransomware que também afetou as empresas do setor industrial. Segundo as pesquisas da ICS CERT da Kaspersky Lab, o número de computadores de ICSs exclusivos atacados por cavalos de Troia de criptografia aumentou significativamente e triplicou até junho. No total, os especialistas descobriram ransomware de criptografia pertencentes a 33 famílias diferentes. A maior parte dos trojans de criptografia foi distribuída por meio de spams disfarçados como itens de comunicação corporativa com anexos maliciosos ou links para o download de malware.

As principais estatísticas sobre ransomware descritas no relatório do primeiro trimestre de 2017 incluem:
0,5% dos computadores de infraestrutura industrial das organizações foi atacado por ransomware de criptografia pelo menos uma vez.
Os computadores de ICSs de 63 países no mundo todo passaram por inúmeros ataques de ransomware de criptografia, sendo as mais famosas as campanhas do WannaCry e do ExPetr.
A epidemia do WannaCry ocupou o primeiro lugar entre as famílias de ransomware de criptografia, com 13,4% de todos os computadores da infraestrutura industrial atacados. As organizações mais afetadas incluíram instituições da área de saúde e do setor governamental.
Outra campanha de ransomware de criptografia importante no primeiro semestre do ano foi a do ExPetr, com pelo menos 50% das empresas atacadas nos setores industrial e de petróleo e gás.
As dez principais famílias de cavalos de Troia de criptografia mais comuns incluem outras famílias de ransomware, como Locky e Cerber, em operação desde 2016. Desde então, elas geraram o maior lucro para os criminosos virtuais.
Os países com sistemas industriais mais atacados por ransomware na América Latina foram Brasil, México e Colômbia, respectivamente.

“Na primeira metade do ano, pudemos observar como a proteção dos sistemas industriais é fraca: quase todos os computadores industriais afetados foram infectados acidentalmente e em decorrência de ataques inicialmente voltados a usuários domésticos e redes corporativas. Nesse sentido, os destrutivos ataques de ransomware do WannaCry e do ExPetr serviram como indicador, causando a interrupção de ciclos de produção de grandes empresas no mundo todo, além de falhas logísticas, e forçando a paralisação das atividades de instituições médicas. Os resultados desses ataques podem instigar outras ações por parte dos invasores. Como já estamos atrasados em relação às medidas preventivas, as empresas precisam considerar agora as medidas de proteção para poder evitar ‘incêndios’ no futuro”, diz Evgeny Goncharov, chefe do Departamento de Defesa de Infraestruturas Críticas da Kaspersky Lab.

Para proteger os ambientes de ICS de possíveis ataques virtuais, a ICS CERT da Kaspersky Lab recomenda:
Fazer um inventário dos serviços de rede em execução com atenção especial aos serviços que fornecem acesso remoto aos objetos do sistema de arquivos.
Realizar a auditoria do isolamento do acesso aos componentes do ICS, da atividade de rede na rede industrial da empresa e em seus limites, das políticas e práticas relacionadas ao uso de mídias removíveis e dispositivos portáteis.
Verificar a segurança do acesso remoto à rede industrial como medida básica e, como medida extrema, reduzir ou eliminar totalmente o uso de ferramentas de administração remota.
Manter as soluções de segurança de endpoints sempre atualizadas.
Usar métodos avançados de proteção: implementar ferramentas que possibilitem o monitoramento do tráfego de rede e a detecção de ataques virtuais em redes industriais.

Os ataques do ransomware na América Latina tiveram um aumento anual de 30% entre 2016 e 2017, com 57.512 detecções em 2016 e 24.110 até o momento em 2017, de acordo com dados revelados pela Kaspersky Lab durante a 7ª Cúpula Latino Americana de Analistas de Segurança da empresa, que aconteceu em Buenos Aires, Argentina.

O Brasil lidera a lista de países com maior número de sequestro de dados, com 55% dos ataques relatados, seguido do México com 23,40% e da Colômbia com 5%. Globalmente, os países mais afetados são Turquia com 7,93%, Vietnã, 7,52% e Índia, 7,06%.

“De 2016 até agora, metade do malware detectado na América Latina pertence à categoria de Trojans, com o Trojan-Ransom tendo o crescimento mais rápido”, diz Santiago Pontiroli, analista de segurança da Kaspersky Lab, América Latina.

De acordo com dados da Kaspersky Lab, os ataques de ransomware são direcionados principalmente ao setor de saúde, além de pequenas e médias empresas. A maioria desses ataques é por acesso remoto, aproveitando senhas fracas ou serviços incorretamente configurados.

“A ameaça com maior impacto na América Latina entre 2016 e 2017, sem dúvida, foi o sequestro de dados. O aumento do número de ataques direcionados foi notável não só na região, mas também no resto do mundo. Este tipo de golpe tornou-se uma epidemia global que causou milhões de perdas e danos irreparáveis em diferentes indústrias e que, por enquanto, não parece parar”, diz o especialista.

Alguns exemplos emblemáticos desses ataques são Petya ou PetrWrap, HDD Cryptor e o já famoso WannaCry, que infectou mais de 200 mil computadores em todo o mundo, dos quais 98% usavam sistemas Windows 7. Na América Latina, a maior propagação de WannaCry foi no México e no Brasil, seguido de Chile, Equador e Colômbia.

“O uso de exploits como EternalBlue e backdoors como o DoublePulsar ajudou o WannaCry a propagar-se automaticamente em redes internas, permitindo que cibercriminosos arrecadarem cerca de US$ 100.000, mas cujos danos superaram esse valor dentro das empresas afetadas” , explica Pontiroli.

Algo parecido aconteceu com o NotPetya um ransomware para fins de sabotagem que afetou principalmente Ucrânia, Rússia e outros países da Europa Oriental, e que foi distribuído por meio de um software legítimo comprometido, bem como sites de notícias ucranianos. Este malware destruiu arquivos sem possibilidade de recuperação e foi propagado dentro de redes internas através de exploits como EternalBlue e EternalRomance.

No More Ransom
A fim de fornecer um recurso útil para as vítimas do resgate, a Polícia Nacional da Holanda, Europol, Intel Security e a Kaspersky Lab lançaram em julho do ano passado a iniciativa “No More Ransom” (www.nomoreransom.org). No site, os usuários podem encontrar informações sobre o que é essa ameaça, como funciona e, mais importante, como se proteger.

Hoje, o “No More Ransom” reúne mais de 100 parceiros de órgãos da lei, setor público e privado. Atualmente está disponível em 14 idiomas e em breve em 12 mais, e evitou perdas por US$ 8,5 milhões.
“Graças a esta iniciativa sem fins lucrativos, mais de 30.000 usuários em todo o mundo decifraram seus dispositivos e conseguiram diminuir, de certa forma, essa ameaça global. Completamos nosso primeiro ano e continuamos a incorporar parceiros em vários países”, disse Pontiroli.

Além disso, para ajudar as empresas de todos os tamanhos a combater o ransomware, a Kaspersky Lab desenvolveu o Kaspersky Anti-Ransomware Tool for Business, um software gratuito que oferece segurança complementar para proteger usuários corporativos contra o Ransomware. A ferramenta inclui o componente System Watcher, que detecta atividades suspeitas de ransomware, cria um backup temporário dos arquivos atacados e anula as alterações maliciosas, sem afetar o sistema. Compatível com produtos de segurança de terceiros, o Kaspersky Anti-Ransomware Tool for Business é fácil de instalar e não requer que os usuários corporativos tenham conhecimentos técnicos profundos para configurá-lo e administrá-lo.

Pontiroli adverte que a ameaça do ransomware continuará a aumentar se as medidas de prevenção apropriadas não forem tomadas. A respeito disso, ele enfatizou a necessidade de sempre fazer backup de arquivos, manter o sistema operacional e uma solução anti-malware atualizada; bem como a filtragem de e-mails suspeitos e, além disso, se eles contiverem anexos.