O submundo digital: casos de ataques cibernéticos

O cenário digital esconde perigos que poucos gestores conseguem visualizar completamente. Longe da ideia popular em que o hacker encapuzado digita freneticamente, o mundo real dos ataques cibernéticos é sutil e devastador. 

Este artigo irá destrinchar os sete ataques cibernéticos que colocaram gigantes de joelhos por causa de linhas de “código malicioso”. 

1. O golpe dos cem milhões: a arte do phishing 

Entre 2013 e 2015, um criminoso lituano orquestrou um dos golpes mais audaciosos da história recente. Sem hackear sistemas ou quebrar senhas complexas, ele simplesmente enviou faturas falsas para Google e Facebook, fingindo ser um fornecedor chamado Quantum Computer Inc. 

O resultado? As duas gigantes da tecnologia transferiram juntas 100 milhões de dólares para suas contas. 

O phishing moderno vai muito além daquele e-mail do "príncipe nigeriano". É uma arte sofisticada de enganação digital. Os criminosos primeiro fazem sua lição de casa – estudam a empresa-alvo, identificam fornecedores reais, observam estilos de comunicação e criam réplicas perfeitas de e-mails, sites ou mensagens legítimas, completas com logos e assinaturas idênticas. 

Na versão corporativa, chamada Business Email Compromise (BEC), os atacantes miram especificamente relações comerciais existentes. Eles podem comprometer contas reais ou criar domínios quase idênticos, como “financeiro-empresa.com” em vez de “empresa.com”. 

Para executivos, existe o "whaling" (caça à baleia) – phishing direcionado aos "peixes grandes" da organização, explorando sua autoridade para autorizar transferências ou revelar informações sigilosas. 

É exatamente como alguém vestindo o uniforme do carteiro, tocando sua campainha e, em vez de entregar correspondências, ele leva embora seus documentos quando você vira as costas. 

2. Ransomware: o sequestrador digital 

Em maio de 2017, médicos e enfermeiras do Serviço Nacional de Saúde (NHS) britânico viveram um pesadelo. Ao ligarem seus computadores, encontraram uma mensagem vermelha exigindo pagamento em Bitcoin. 

De repente, prontuários, resultados de exames e sistemas de agendamento ficaram inacessíveis. Cirurgias canceladas. Ambulâncias redirecionadas. Profissionais correndo pelos corredores com DVDs contendo imagens médicas transportadas por táxi entre hospitais. 

O ransomware responsável, chamado WannaCry, não é um programa simples, mas um mecanismo meticulosamente projetado para sequestrar digitalmente uma organização. Ele invade sistemas geralmente por três caminhos: e-mails de phishing com anexos maliciosos, sites comprometidos ou explorando falhas em sistemas desatualizados. 

O WannaCry explorou uma vulnerabilidade no Windows chamada EternalBlue – para a qual a Microsoft já havia lançado correção, mas muitos não instalaram. 

Uma vez dentro, o ransomware opera com precisão cirúrgica. Primeiro mapeia a rede, identificando arquivos valiosos como documentos, planilhas e bancos de dados. Depois, usa algoritmos de criptografia – os mesmos que protegem transações bancárias – para "trancar" esses arquivos com uma chave digital que apenas os atacantes possuem. 

As versões mais avançadas praticam extorsão dupla: além de criptografar seus dados, roubam cópias e ameaçam publicá-los se o resgate não for pago. Algumas chegam à tripla extorsão, ameaçando atacar clientes e parceiros se não houver pagamento. 

O ransomware é como um ladrão que não rouba seus bens, mas troca todas as fechaduras da sua casa e depois vende as novas chaves por um preço absurdo. 

3. DDoS: o engarrafamento digital 

Em outubro de 2016, usuários em todo o mundo encontraram uma internet parcialmente quebrada. Twitter, Netflix, Spotify, PayPal, Amazon – todos inacessíveis simultaneamente. O que aconteceu? 

Um ataque direcionado à Dyn, empresa que funcionava como a "lista telefônica" da internet, traduzindo nomes de sites em endereços numéricos. 

Um ataque DDoS (Distributed Denial of Service) é como orquestrar um engarrafamento digital impossível de resolver. Os atacantes recrutam um exército invisível de dispositivos infectados – desde computadores até câmeras de segurança e roteadores domésticos. Cada dispositivo é programado para bombardear o alvo com solicitações aparentemente legítimas, mas em volume esmagador. 

Existem diferentes tipos deste ataque. Os baseados em volume simplesmente inundam a conexão com dados inúteis – como foi o caso da Dyn, que enfrentou um tsunami digital de 1,2 terabits por segundo (equivalente a baixar 150 filmes em HD simultaneamente a cada segundo). 

Os ataques de protocolo exploram vulnerabilidades técnicas em como servidores processam conexões. 

Já os ataques à camada de aplicação miram funções específicas de um site, como mecanismos de busca ou formulários de login. 

O ataque à Dyn foi particularmente devastador porque atingiu o DNS – a infraestrutura fundamental que faz a internet funcionar. Seria como bloquear todas as placas de rua de uma cidade simultaneamente – mesmo que as ruas estejam livres, ninguém saberia como chegar ao destino. 

Um ataque DDoS é como milhões de pessoas entrando simultaneamente numa loja apenas para olhar as vitrines, impedindo clientes genuínos de sequer se aproximarem da entrada. 

4. Injeção SQL: o intruso invisível 

Em 2008-2009, enquanto processava tranquilamente pagamentos para 175 mil comerciantes, a Heartland Payment Systems enfrentou uma das maiores violações de dados da história. 

O ponto de entrada? Uma pequena falha em seu site que permitiu a criminosos acessar dados de 130 milhões de cartões de crédito. 

A injeção SQL funciona explorando a linguagem que websites usam para conversar com seus bancos de dados. É como descobrir palavras mágicas que fazem o segurança do banco revelar todos os segredos do cofre. 

Quando você digita seu nome de usuário em um site, o sistema cria uma consulta em linguagem SQL como "SELECIONAR * DE usuários ONDE nome='[seu_input]'". 

A injeção SQL ocorre quando alguém insere comandos SQL especiais em campos normais. Por exemplo, digitar ' OR 1=1 -- em um campo de login transforma a consulta em "SELECIONAR * DE usuários ONDE nome='' OU 1=1 --'", que sempre retorna "verdadeiro" (1=1 é sempre verdadeiro), permitindo acesso sem senha. 

A injeção SQL é exatamente como pedir um café na cafeteria e sussurrar "e também me dê a chave do caixa" – se o atendente estiver despreparado ele pode te confundir com o dono, aí você terá acesso onde não deveria. 

Hackers mais sofisticados podem usar essa técnica para extrair bancos de dados inteiros, modificar registros ou até tomar controle do servidor. 

Na Heartland, após ganhar acesso inicial via injeção SQL, os atacantes instalaram um "sniffer" – um programa espião que capturou dados de cartões em tempo real durante meses, como um vampiro digital sugando informações gota a gota. 

5. XSS (Cross-Site Scripting): o ventríloquo digital 

Em 2005, um jovem programador chamado Samy Kamkar encontrou uma falha no MySpace que o transformou, literalmente, no cara mais popular da rede social. 

Ele inseriu código JavaScript em seu perfil que, quando visualizado por outros usuários, adicionava automaticamente Samy como amigo, escrevia "Samy is my hero" no perfil da vítima e, mais importante, copiava o código para o perfil do visitante. 

Em apenas 20 horas, mais de um milhão de perfis foram infectados – o vírus de propagação mais rápida conhecido até então. 

O XSS funciona explorando a confiança que seu navegador deposita em sites populares. Normalmente, seu navegador executa qualquer código JavaScript vindo de um site que você acessa, assumindo que é seguro porque vem de fonte confiável. 

No XSS, atacantes injetam seus próprios scripts maliciosos que seu navegador executará sem questionar, como um ventríloquo que faz sua voz parecer vir de outro lugar. 

Existem três variações principais: 

1. XSS Armazenado, em que o código malicioso fica permanentemente guardado no servidor (como no caso do MySpace); 
   
2. XSS Refletido, em que o script vem de um link malicioso enviado à vítima; 
   
3. XSS baseado em DOM, em que a vulnerabilidade está no código JavaScript do próprio site. 

Uma vez executado, esse código invasor pode roubar cookies de sessão (permitindo sequestro de contas), redirecionar para sites falsos, modificar o conteúdo da página, capturar dados digitados, ou até acessar sua câmera e microfone (se você der permissão pensando que está autorizando o site legítimo). 

O XSS é como colocar um ventríloquo no hall de um prédio respeitável - os visitantes abaixam a guarda por estarem em local confiável, sem perceber que estão ouvindo uma voz manipuladora.

6. Malware: o agente infiltrado 

Na Heartland Payment Systems, após conseguirem acesso inicial, os atacantes implantaram um software especializado que ficou meses operando nas sombras, capturando silenciosamente cada número de cartão processado. 

Malware é o termo guarda-chuva para todo software com intenção maliciosa – desde o irritante adware que enche sua tela de anúncios até o destrutivo wiper que apaga dados permanentemente. 

É como ter um espião corporativo infiltrado que, dependendo das ordens recebidas, pode desde apenas observar até sabotar toda a operação. 

Os tipos mais comuns incluem vírus (que precisam de ação humana para se espalhar), worms (que se propagam sozinhos pela rede), trojans (disfarçados de programas legítimos), spyware (que monitora atividades secretamente), backdoors (que criam acessos ocultos ao sistema) e, claro, ransomware. 

A infecção pode ocorrer por diversas portas de entrada: um clique em link malicioso, um download aparentemente inofensivo, um pendrive "esquecido" no estacionamento, ou explorando vulnerabilidades em sistemas desatualizados. 

Os malwares modernos são sofisticados. Muitos usam técnicas de "persistência" para sobreviver a reinicializações e "ofuscação" para evitar detecção por antivírus. Alguns têm até capacidade de perceber quando estão sendo analisados e se esconder temporariamente – como um animal que finge estar morto para enganar predadores. 

O malware é aquele funcionário que sorri no corredor enquanto fotografa documentos confidenciais depois do expediente e os envia para concorrentes. 

7. Botnets: o exército zumbi 

A botnet Mirai, descoberta em 2016, transformou dispositivos IoT comuns – câmeras de segurança, roteadores domésticos, DVRs – em soldados de um exército digital. Foi esse exército que atacou a Dyn, interrompendo serviços como Twitter e Netflix para milhões de usuários. 

Uma botnet é essencialmente uma rede de dispositivos sequestrados, aguardando ordens do criminoso que a controla. A criação desse exército zumbi segue três fases. 

Primeiro, a infecção: dispositivos são comprometidos por malware através de vulnerabilidades ou senhas fracas. O Mirai simplesmente tentava 60 combinações comuns de usuário/senha (como admin/admin ou root/123456) em milhões de dispositivos até encontrar os mal protegidos. 

Em seguida, cada dispositivo infectado se conecta a servidores de Comando e Controle (C&C) controlados pelo "botmaster". Esses servidores podem usar conexões simples ou estruturas complexas para evitar detecção. Por fim, o criminoso pode comandar seu exército para executar ataques coordenados. 

Além de ataques DDoS, as botnets modernas são usadas para enviar spam em massa, realizar ataques de força bruta para descobrir senhas, minerar criptomoedas sem permissão (cryptojacking), espalhar ransomware e roubar dados em grande escala. 

O mais perturbador? O ecossistema evoluiu tanto que criminosos sem conhecimento técnico podem alugar botnets como serviço no submundo digital. Uma botnet é como alguém hipnotizando funcionários de várias empresas para que, a um só comando, todos sabotem seus locais de trabalho simultaneamente. 

O mais assustador no caso Mirai foi que ele se espalhou explorando apenas senhas padrão não alteradas – um erro básico que transformou dispositivos comuns em armas digitais. 

Dica para gestores: evitando ataques cibernéticos 

A segurança cibernética não é apenas um problema técnico, mas uma prioridade de negócio que exige atenção da liderança. 

Você pode ter os melhores alarmes do mundo, mas se alguém abre a porta para um estranho bem-vestido com um sorriso convincente, nada disso importa. 

A tecnologia evolui, as táticas mudam, mas três princípios permanecem: 

1. O básico importa: patches de segurança, senhas fortes e backups poderiam ter evitado vários destes desastres. 
   
2. As pessoas são o elo crucial: treinamento e conscientização são tão importantes quanto firewalls. 
   
3. Prepare-se para o pior: ter um plano de resposta a incidentes não é pessimismo, é prudência. 

No fim das contas, entender estas ameaças não é sobre dominar a tecnologia, mas sobre proteger o que realmente importa: seu negócio, seus clientes e sua reputação. 

💡Quer saber mais sobre ataques cibernéticos e como se proteger? Confira as fontes consultadas para a elaboração deste artigo: 

• BERMAN, Geoffrey S. Lithuanian Man Pleads Guilty To Wire Fraud For Theft Of Over $100 Million In Fraudulent Business Email Compromise Scheme. New York: U.S. Department of Justice, Southern District of New York, 25 mar. 2019. Disponível em: https://www.justice.gov/usao-sdny/pr/lithuanian-man-pleads-guilty-wire-fraud-theft-over-100-million-fraudulent-business. Acesso em: 20 abr. 2025 
  
• BERMAN, Geoffrey S. Lithuanian Man Sentenced To 5 Years In Prison For Theft Of Over $120 Million In Fraudulent Business Email Compromise Scheme. New York: U.S. Department of Justice, Southern District of New York, 19 dez. 2019. Disponível em: https://www.justice.gov/usao-sdny/pr/lithuanian-man-sentenced-5-years-prison-theft-over-120-million-fraudulent-business. Acesso em: 20 abr. 2025. 
  
• CLULEY, Graham. The phishing swindle that conned $100 million out of Google and Facebook. Bitdefender Blog, 1 maio 2017. Disponível em: https://www.bitdefender.com/en-gb/blog/hotforsecurity/the-phishing-swindle-that-conned-100-million-out-of-google-and-facebook/. Acesso em: 20 abr. 2025. 
  
• CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (USA). Heightened DDoS Threat Posed by Mirai and Other Botnets. Alert (TA16-288A), 14 out. 2016 (Updated 17 out. 2017). Disponível em: https://www.cisa.gov/news-events/alerts/2016/10/14/heightened-ddos-threat-posed-mirai-and-other-botnets. Acesso em: 20 abr. 2025. 
  
• ERNST & YOUNG. IA e GenAI: potencializando a estratégia de cibersegurança para empresas. 2025. Disponível em: https://www.ey.com/pt_br/insights/cybersecurity/ia-e-genai-potencializando-a-estrategia-de-ciberseguranca-para-empresas. Acesso em: 20 abr. 2025. 
  
• FEDERAL RESERVE BANK OF PHILADELPHIA. Payment Cards Center. Heartland Payment Systems Data Breach. Philadelphia, PA: Federal Reserve Bank of Philadelphia, jan. 2010. (Consumer Finance Institute Discussion Paper). Disponível em: https://www.philadelphiafed.org/-/media/frbp/assets/consumer-finance/discussion-papers/d-2010-january-heartland-payment-systems.pdf?la=en&hash=EEAF5C96513D6E176D6C5312E4007061. Acesso em: 20 abr. 2025. 
  
• FORBES BRASIL. Os impactos da implementação da inteligência artificial na cibersegurança. 2023. Disponível em: https://forbes.com.br/forbes-tech/2023/10/os-impactos-da-implementacao-da-inteligencia-artificial-na-ciberseguranca/. Acesso em: 20 abr. 2025. 
  
• HALLMAN, Roger; REAVIS, John. IoDDoS - The Internet of Distributed Denial of Service Attacks: A Case Study of the Mirai Malware and IoT-Based Botnets. In: INTERNATIONAL CONFERENCE ON INFORMATION SYSTEMS SECURITY AND PRIVACY (ICISSP), 3., 2017, Porto. Proceedings [...]. Porto: SCITEPRESS, 2017. p. 309-320. Disponível em: https://www.researchgate.net/publication/316455478_IoDDoS_-_The_Internet_of_Distributed_Denial_of_Service_Attacks_A_Case_Study_of_the_Mirai_Malware_and_IoT-Based_Botnets. Acesso em: 20 abr. 2025. 
  
• KAMKAR, Samy. In: WIKIPEDIA: the free encyclopedia. San Francisco, CA: Wikimedia Foundation, 2024. Disponível em: https://en.wikipedia.org/wiki/Samy_Kamkar. Acesso em: 20 abr. 2025. 
  
• KOVACS, Eduard. Lithuanian Man Sentenced to Prison Over BEC Scheme Targeting Facebook, Google. SecurityWeek, 19 dez. 2019. Disponível em: https://www.securityweek.com/lithuanian-man-sentenced-prison-over-bec-scheme-targeting-facebook-google/. Acesso em: 20 abr. 2025. 
  
• KREBS, Brian. DDoS on Dyn Impacts Twitter, Spotify, Reddit. Krebs on Security, 21 out. 2016. Disponível em: https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/. Acesso em: 20 abr. 2025. 
  
• KREBS, Brian. Hacked Cameras, DVRs Powered Today's Massive Internet Outage. Krebs on Security, 21 out. 2016. Disponível em: https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/ . Acesso em: 20 abr. 2025. 
  
• MCGLASSON, Linda. Heartland Data Breach: TJX Hacker Indicted for Crime. BankInfoSecurity, 18 ago. 2009. Disponível em: https://www.bankinfosecurity.com/heartland-data-breach-tjx-hacker-indicted-for-crime-a-1716 . Acesso em: 20 abr. 2025. 
  
• METZGER, Max. NSA, British security officials: North Korea behind global WannaCry ransomware attacks. SC Media, 19 jun. 2017. Disponível em: https://www.scworld.com/news/nsa-british-security-officials-north-korea-behind-global-wannacry-ransomware-attacks . Acesso em: 20 abr. 2025. 
  
• MICROSOFT. O que é IA para cibersegurança? 2025. Disponível em: https://www.microsoft.com/pt-br/security/business/security-101/what-is-ai-for-cybersecurity . Acesso em: 20 abr. 2025. 
  
• MIRAI (malware). In: WIKIPEDIA: the free encyclopedia. San Francisco, CA: Wikimedia Foundation, 2024. Disponível em: https://en.wikipedia.org/wiki/Mirai_(malware) . Acesso em: 20 abr. 2025. 
  
• NATIONAL CYBER SECURITY CENTRE (UK). The cyber threat to UK business: 2017/2018 report. London: NCSC, [2018?]. Disponível em: https://www.ncsc.gov.uk/files/NCA%20Report_17_18.pdf . Acesso em: 20 abr. 2025. 
  
• NHS ENGLAND. Lessons learned review of the WannaCry Ransomware Cyber Attack. London: NHS England, fev. 2018. Disponível em: https://www.england.nhs.uk/wp-content/uploads/2018/02/lessons-learned-review-wannacry-ransomware-cyber-attack-cio-review.pdf. Acesso em: 20 abr. 2025. 
  
• SAMY (computer worm). In: WIKIPEDIA: the free encyclopedia. San Francisco, CA: Wikimedia Foundation, 2024. Disponível em: https://en.wikipedia.org/wiki/Samy_(computer_worm). Acesso em: 20 abr. 2025. 
  
• STONE, Jeff. Lithuanian scammer gets 5 years for defrauding Google, Facebook of $120 million. CyberScoop, 20 dez. 2019. Disponível em: https://cyberscoop.com/facebook-google-scam-man-sentenced/. Acesso em: 20 abr. 2025. 
  
• UNITED STATES. Department of Justice. Office of Public Affairs. Alleged International Hacker Indicted for Massive Attack on U.S. Retail and Banking Networks. Washington, DC: U.S. Department of Justice, 17 ago. 2009. Disponível em: https://www.justice.gov/archives/opa/pr/alleged-international-hacker-indicted-massive-attack-us-retail-and-banking-networks. Acesso em: 20 abr. 2025. 
  
• WANNACRY ransomware attack. In: WIKIPEDIA: the free encyclopedia. San Francisco, CA: Wikimedia Foundation, 2024. Disponível em: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack . Acesso em: 20 abr. 2025.