Tanto aficionados por tecnologia como leigos tiveram que se esforçar para entender o caso envolvendo o Facebook e a Cambridge Analytica, uma empresa de análise de dados contratada pela equipe responsável pela campanha de Donald Trump e que adquiriu acesso a dados privados de milhões de usuários do Facebook. A descoberta levantou dúvidas sobre como a rede social protege as informações dos seus mais de 2 bilhões de usuários. E, embora a maior parte da indignação tenha sido por causa da invasão da privacidade do consumidor, a perda de confiança também representa uma ameaça de longo prazo para qualquer organização em que funcionários ou clientes usem o Facebook e outras redes sociais, ou seja, quase todas elas.
Essas plataformas dão aos usuários toda a liberdade para compartilharem com quem quiserem todas as informações sobre si que tiverem vontade, sem cobrar nada por isso. Elas fazem isso de graça para obter acesso aos dados compartilhados, que podem então ser vendidos e usados por empresas e marcas em estratégias de marketing extremamente direcionadas, que alcançarão apenas as pessoas mais propensas a comprarem seus produtos.
Se uma empresa deseja vender produtos temáticos do time de futebol americano da Universidade do Alabama para o campeonato de 2018, por exemplo, é muito mais efetivo e menos custoso mostrar anúncios apenas para “alunos” e “ex-alunos” que tenham interesse por “esportes” ou “futebol americano” e que vivam no “sudeste dos Estados Unidos”. Os dados coletados em redes sociais possibilitam esse marketing mais eficiente e direcionado.
É possível que o Facebook seja atualmente a ferramenta mais poderosa para alcançar os usuários no mundo virtual. E está disponível para todos os dispostos a pagar por ela. Isso é uma ótima notícia para as equipes de marketing e, infelizmente, para os fraudadores também. Mas o que acontece exatamente quando essa ferramenta cai nas mãos dos criminosos?
Anúncios altamente direcionados – para os criminosos
Suponha que um fraudador esteja buscando um funcionário de uma empresa X para usar como alvo de uma campanha de spear phishing. A isca será um anúncio para exibição em redes sociais de um produto ou serviço aparentemente legítimo. No entanto, a propaganda redirecionará a vítima para um website que infectará seu sistema sem que ela se dê conta.
Mas como esse alvo específico é localizado? Para começar, o criminoso sabe onde fica a sede da empresa em questão e, portanto, pode definir que o anúncio seja exibido em um raio de 20 km. Além disso, ele sabe que a organização é de um setor bem específico e pode definir a exibição do anúncio apenas para as pessoas cujos interesses tenham a ver com ele. Finalmente, se o fraudador quiser que a vítima ocupe uma posição sênior na empresa, ele determinará também que somente pessoas de idade entre 25 e 65 anos vejam o anúncio. E a granularidade pode continuar a partir daí.
Tudo isso pode ser feito a custos muito baixos. Assim, com um investimento de apenas algumas centenas de dólares, mesmo se conseguirem pegar apenas uma vítima, os criminosos já terão um computador que poderão usar para acessar os sistemas da Empresa X. Com um excelente retorno sobre investimento, eles poderão lançar uma série de ameaças digitais sobre a organização. Esse tipo de definição de alvo altamente granular e específica está se tornando possível graças a todos os dados que disponibilizamos nas redes sociais, e fica cada vez mais claro que permitir que essas plataformas sejam reguladas apenas por políticas próprias não está dando certo.
Dados em mãos erradas
Além disso tudo, o que acontece quando os criminosos podem, não apenas, anunciar nessas plataformas, mas também acessar bancos de dados inteiros com informações de um subgrupo de pessoas? O último capítulo da novela envolvendo o Facebook indica que os mesmos dados acessados pela Cambridge Analytica estão sendo comprados e vendidos na deep web, aumentando a possibilidade de os criminosos atacarem aqueles usuários não apenas nas redes sociais como também em outras plataformas. Imagine o nível de detalhe que uma campanha de phishing pode alcançar quando os fraudadores sabem o nome da empresa em que você trabalha, os nomes e cargos dos seus colegas mais próximos, a conferência em que vocês irão participar nesta semana, sua marca favorita de cerveja. Desse modo, um e-mail de phishing pode ficar mais parecido com uma mensagem confiável enviada por um amigo ou colega de trabalho.
Os usuários tendem a perdoar pequenos erros de digitação ou português e a confiar em uma mensagem vinda de uma pessoa aparentemente conhecida quando o conteúdo é sobre questões de trabalho: faça a transferência da quantia x, inscreva-se no webinar, clique aqui para ver o relatório, etc. Esses pedidos podem levar a perdas imediatas de recursos (como em casos de comprometimento de e-mails corporativos que envolvem pedidos de transferências de dinheiro) ou violações ainda maiores de dados da organização, que têm feito cada vez mais vítimas de phishing entre os funcionários. Os mesmos dados usados para chegar aos funcionários da Empresa X por meio de anúncios podem se transformar em algo muito mais perigoso para as empresas nas quais eles trabalham.
O alvoroço causado pela violação de dados do caso Facebook/Cambridge Analytica deve desaparecer em pouco tempo. Mas, para as empresas e organizações, a ameaça que essas mega plataformas de dados podem representar e o que os criminosos podem fazer com essas informações altamente direcionadas somente irão aumentar daqui pra frente.
* Ricardo Villadiego é CEO da Easy Solutions
