O que é hackear?

Mas o hacking nem sempre tem a intenção de causar danos. Um consumidor que usa seu smartphone pessoal para executar programas personalizados também é, tecnicamente falando, um hacker.

Hackers mal-intencionados construíram uma enorme indústria de crimes cibernéticos, onde os bandidos lucram com ataques cibernéticos, extorquindo vítimas ou vendendo malware e dados roubados uns aos outros. Estima-se que o custo global de todos os crimes cibernéticos atinja quase US$ 24 trilhões até 2027.¹

Ataques maliciosos podem ter consequências devastadoras. As pessoas enfrentam roubo de identidade, roubo de dinheiro, entre outros. As organizações podem sofrer períodos de downtime do sistema, vazamentos de dados e outros danos que levam à perda de clientes, redução de receita, danos à reputação, multas ou outras punições legais. Em um contexto geral, de acordo com o relatório do custo das violações de dados da IBM, o custo médio da violação de dados para uma organização é de US$ 4,88 milhões.

Na outra extremidade do espectro do hacking, a comunidade de cibersegurança depende de hackers éticos (hackers com intenções úteis e não criminosas) para testar medidas de segurança, lidar com falhas de segurança e evitar ameaças cibernéticas. Esses hackers éticos ganham a vida ajudando as empresas a reforçar seus sistemas de segurança ou trabalhando com as autoridades policiais para derrubar seus equivalentes maliciosos.

Um ataque cibernético é um esforço intencional para prejudicar um sistema de computador ou seus usuários, enquanto hacking é o ato de obter acesso ou controle sobre um sistema por meios não autorizados. A principal diferença é que os ataques cibernéticos sempre causam danos aos seus alvos, já o hacking pode ser bom, ruim ou neutro.

Os agentes mal-intencionados podem usar, e frequentemente usam, técnicas de hacking para iniciar ataques cibernéticos, por exemplo, alguém que explora uma vulnerabilidade do sistema para invadir uma rede e instalar ransomware.

Por outro lado, hackers éticos usam técnicas de hacking para ajudar as organizações a fortalecer suas defesas. Isso é essencialmente o oposto de um ataque cibernético.

Outra distinção importante é que o hacking nem sempre é ilegal. Se um hacker tem a permissão do proprietário do sistema (ou ele é o proprietário do sistema), sua atividade é legal.

Em contrapartida, os ataques cibernéticos são quase sempre ilegais, pois não têm o consentimento do alvo e visam ativamente causar danos.

Os hackers se dividem em três categorias principais com base em seus motivos e táticas:

• Hackers maliciosos que invadem para causar danos

• Hackers éticos que invadem para proteger as empresas contra danos

• Hackers vigilantes ou “gray hat”, que se dividem entre hacking “bom” e “ruim”

Hackers mal-intencionados (também chamados de "hackers black hat") são cibercriminosos que invadem por motivos nefastos, prejudicando suas vítimas para obter ganhos pessoais ou financeiros.

Alguns hackers mal-intencionados realizam ataques cibernéticos diretamente, enquanto outros desenvolvem códigos mal-intencionados ou exploração para vender a outros hackers na dark web. (Veja, como exemplo, ransomware como serviço.) Eles podem trabalhar sozinhos ou como parte de uma quadrilha de ransomware, rede de golpes ou outros grupos organizados.

O dinheiro é a motivação mais comum para hackers mal-intencionados. Eles geralmente “recebem” seu pagamento por meio de:

• Roubar dados confidenciais ou pessoais (credenciais de login, números de cartões de crédito, números de contas bancárias, números de previdência social) que podem ser usados para invadir outros sistemas ou cometer roubo de identidade.

  De acordo com o IBM X-Force Threat Intelligence Index, a exfiltração de dados é o impacto mais comum dos ataques cibernéticos, ocorrendo em 32% dos ataques.

• Extorsão de vítimas, como usar ataques de ransomware ou ataques de distributed denial-of-service (DDoS) para manter dados, dispositivos ou operações comerciais como reféns até que a vítima pague um resgate. A extorsão, que ocorre em 24% dos incidentes, é o segundo impacto de ataque mais comum, de acordo com o Threat Intelligence Index.

• Realização de espionagem corporativa por encomenda, ou seja, roubo de propriedade intelectual ou outras informações confidenciais dos concorrentes da empresa cliente.

Às vezes, os hackers maliciosos têm motivações que vão além do dinheiro. Por exemplo, um funcionário insatisfeito pode invadir o sistema de um empregador simplesmente por não ter recebido uma promoção.

Os hackers éticos (também chamados de "hackers de chapéu branco") usam suas habilidades de invadir computadores para ajudar as empresas a encontrar e corrigir vulnerabilidades de segurança, dessa forma, os agentes de ameaças não podem explorá-las.

O hacking ético é uma profissão legítima. Os hackers éticos trabalham como consultores de segurança ou funcionários das empresas que estão invadindo. Para gerar confiança e provar suas habilidades, os hackers éticos ganham certificações de órgãos como CompTIA e EC-Council. Eles seguem um código de conduta rigoroso, sempre obtêm permissão antes de invadir, não causam danos e mantêm suas descobertas confidenciais.

Um dos serviços de hacking ético mais comuns é o teste de penetração (ou “pen testing”), no qual os hackers simulam ataques cibernéticos contra aplicações, redes ou outros ativos da web para identificar suas vulnerabilidades. Em seguida, eles trabalham com os proprietários dos ativos para remediar essas fraquezas.

Os hackers éticos também podem realizar avaliações de vulnerabilidades, analisar malware para obter inteligência de ameaças ou participar de ciclos de vida de desenvolvimento de software seguros.

Hackers de chapéu cinza não se encaixam perfeitamente nos campos éticos ou maliciosos. Esses espiões invadem sistemas sem permissão, mas o fazem para ajudar as organizações que invadem, e quem sabe, receber algo em troca.

O nome "gray hat" faz referência ao fato de que esses hackers operam em uma área moral nebulosa. Eles informam às empresas sobre as falhas encontradas nos sistemas e podem se oferecer para corrigir essas vulnerabilidades em troca de recompensas ou até mesmo de um emprego. Embora tenham boas intenções, esses hackers podem acidentalmente alertar hackers mal-intencionados sobre novos vetores de ataques.

Alguns programadores amadores simplesmente invadem por diversão, ou para aprender ou ganhar notoriedade ao violar alvos difíceis. Por exemplo, o surgimento da IA generativa impulsionou uma onda de hackers amadores que fazem experimentos de desbloqueio com modelos de IA, para que eles façam coisas novas.

"Hacktivistas" são ativistas que invadem sistemas para chamar a atenção para questões sociais e políticas. O coletivo informal Anonymous é provavelmente o grupo hacktivista mais conhecido, tendo realizado ataques contra alvos de alto perfil como o governo russo e as Nações Unidas.

Os hackers patrocinados pelo Estado têm o apoio oficial de um estado-nação. Eles trabalham para um governo a fim de espionar adversários, interromper a infraestrutura crítica ou espalhar desinformação, muitas vezes em nome da segurança nacional.

Se esses hackers são éticos ou maliciosos, depende do ponto de vista. Considere o ataque do Stuxnet às instalações nucleares iranianas, que se acredita ser obra dos governos dos EUA e de Israel. Qualquer pessoa que veja o programa nuclear do Irã como uma ameaça à segurança pode considerar esse ataque ético.

Em última análise, o que um hacker faz é obter acesso a um sistema de uma forma que os projetistas iniciais do sistema não esperavam. Como eles fazem isso depende de seus objetivos e dos sistemas visados.

Uma invasão pode ser tão simples quanto enviar e-mails de phishing para roubar senhas de qualquer pessoa que morda a isca ou tão elaborado quanto uma ameaça persistente avançada (APT) que se infiltra em uma rede por meses.

Alguns dos métodos de hacking mais comuns incluem:

• Sistemas operacionais especializados
• Scanners de rede
• Malware
• Engenharia social
• Roubo de credenciais e abuso de conta 
• Hacks habilitados por IA
• Outros ataques

Embora as pessoas possam usar sistemas operacionais Mac ou Microsoft padrão para invasões, muitos hackers usam sistemas operacionais (OSs) personalizados, repletos de ferramentas de hacking, como quebradores de credenciais e scanners de rede.

Por exemplo, o Kali Linux, uma distribuição Linux de código aberto projetada para testes de penetração, é popular entre os hackers éticos.

Os hackers usam várias ferramentas para aprender sobre seus alvos e identificar pontos fracos que podem ser explorados.

Por exemplo, os sniffers de pacotes analisam o tráfego de rede para determinar sua origem, destino e conteúdo dos dados. Verificadores de portas testam remotamente dispositivos em busca de portas abertas e disponíveis às quais os hackers podem se conectar. Verificadores de vulnerabilidades pesquisam as vulnerabilidades conhecidas, permitindo que hackers encontrem rapidamente pontos de entrada em um alvo.

O software malicioso, ou malware, é uma arma fundamental nos arsenais de hackers maliciosos. De acordo com o X-Force Threat Intelligence Index, 43% dos ataques cibernéticos envolvem malware.

Alguns dos tipos de malware mais comuns incluem:

• O ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate para liberá-los.

• Botnets são redes de dispositivos infectados por malware e conectados à internet sob o controle de um hacker. O malware de botnet frequentemente mira em dispositivos da internet das coisas (IoT), devido às suas proteções geralmente fracas. Os hackers usam botnets para lançar ataques de distributed denial-of-service (DDoS).
  

• Cavalos de troia se disfarçam de programas úteis ou se escondem dentro de softwares legítimos para induzir os usuários a instalá-los. Os hackers usam cavalos de troia para obter acesso remoto, de forma secreta, a dispositivos ou baixar outros malwares sem que os usuários saibam.

• O spyware coleta secretamente informações confidenciais (como senhas ou dados de contas bancárias) e as transmite ao invasor.

  O malware de roubo de informações tornou-se especialmente popular entre os cibercriminosos, pois as equipes de cibersegurança aprenderam a impedir outras cepas comuns de malware. O Threat Intelligence Index constatou que a atividade de roubo de informações aumentou 266% entre 2022 e 2023.

Ataques de engenharia social induzem as pessoas a enviar dinheiro ou dados para hackers ou a conceder-lhes acesso a sistemas confidenciais. Táticas comuns de engenharia social incluem:

• Ataques de phishing, como golpes de comprometimento de e-mail empresarial, que usam e-mails fraudulentos ou outras mensagens.

• Ataques de spear phishing direcionados a pessoas específicas, geralmente usando detalhes de suas páginas públicas de redes sociais para ganhar confiança. 

• Ataques de baiting, quando hackers colocam drives USB infectados com malware em locais públicos. 

• Ataques de scareware, que usam o medo para coagir as vítimas a fazer o que o hacker deseja.

Os hackers estão sempre procurando o caminho mais fácil e, em muitas redes corporativas, isso significa roubar credenciais de funcionários. De acordo com o IBM X-Force Threat Intelligence Index, o abuso de contas válidas é o vetor de ataque cibernético mais comum, representando 30% de todos os incidentes.

Munidos de senhas de funcionários, os hackers podem se disfarçar de usuários autorizados e passar pelos controles de segurança. Os hackers podem obter credenciais de contas por vários meios.

Eles podem usar spyware e infostealers para coletar senhas ou enganar usuários para que compartilhem informações de login por meio de engenharia social. Também podem usar ferramentas de quebra de credenciais para lançar ataques de força bruta (testando automaticamente senhas potenciais até que uma funcione), ou até mesmo comprar na dark web credenciais anteriormente roubadas.

Assim como os defensores agora usam a inteligência artificial (IA) para combater ameaças cibernéticas, os hackers estão usando a IA para explorar seus alvos. Essa tendência se manifesta de duas maneiras: hackers que usam ferramentas de IA em seus alvos e hackers que visam vulnerabilidades em aplicativos de IA.

Os hackers podem usar a IA generativa para desenvolver códigos maliciosos, identificar vulnerabilidades e criar explorações. Em um estudo, os pesquisadores descobriram que um grande modelo de linguagem (LLM) amplamente disponível, como o ChatGPT, pode explorar vulnerabilidades de um dia em 87% dos casos.

Os hackers também podem usar LLMs para escrever e-mails de phishing em uma fração do tempo (cinco minutos em comparação com as 16 horas que levariam para redigir o mesmo e-mail manualmente), de acordo com o X-Force Threat Intelligence Index.

Ao automatizar partes significativas do processo de hacking, essas ferramentas de IA podem reduzir a barreira de entrada no campo das invasões, o que tem consequências positivas e negativas.

• Positivas: hackers do bem podem ajudar as organizações a fortalecer suas defesas e melhorar seus produtos.
  
  
• Negativas: agentes mal-intencionados não precisam de habilidades técnicas avançadas para iniciar ataques sofisticados, eles simplesmente precisam saber como lidar com um LLM.

Quanto à expansão da superfície de ataque da IA, a crescente adoção de aplicativos de IA oferece aos hackers mais maneiras de prejudicar empresas e pessoas. Por exemplo, ataques de envenenamento de dados podem prejudicar o desempenho do modelo de IA ao inserir dados de baixa qualidade, ou intencionalmente distorcidos em seus conjuntos de treinamento. As injeções de prompt usam prompts maliciosos para induzir os LLMs a divulgarem dados confidenciais, destruir documentos importantes ou algo pior.

• Ataques intermediários (MITM), também conhecidos como adversário no meio (AITM), envolvem hackers interceptando comunicações sensíveis entre duas partes, como e-mails entre usuários ou conexões entre navegadores web e servidores web.

  Por exemplo, um ataque de falsificação de DNS redireciona os usuários de uma página da web legítima para uma página controlada pelo hacker. O usuário pensa que está no site real, mas o hacker pode roubar de forma secreta as informações compartilhadas.

• Ataques de injeção, como XSS (cross-site scripting), usam scripts maliciosos para manipular aplicativos e sites legítimos. Por exemplo, em um ataque de injeção de SQL, os hackers fazem com que os sites divulguem dados confidenciais inserindo comandos SQL em campos de input de usuário voltados para o público.

• Ataques sem arquivos, também chamados de "living off the land", são técnicas em que os hackers usam ativos já comprometidos para mover-se lateralmente através de uma rede ou causar mais danos. Por exemplo, se um hacker obtiver acesso à interface de linha de comando de uma máquina, ele poderá executar scripts maliciosos diretamente na memória do dispositivo sem deixar muitos rastros.

No início dos anos 80, um grupo de hackers conhecido como "Os 414s" comprometeu alvos, entre eles o Los Alamos National Laboratory e o Sloan-Kettering Cancer Center. Embora os 414s tenham causado poucos danos reais, suas invasões motivaram o Congresso dos EUA a aprovar a Computer Fraud and Abuse Act, que oficialmente tornou crime a invasão maliciosa.

Um dos primeiros worms de computador, o worm Morris, foi lançado na internet em 1988 como um experimento. Ele causou mais danos do que o esperado, forçou milhares de computadores a ficarem offline e gerou cerca de US$ 10 milhões em custos relacionados ao downtime e remediação.

Robert Tappan Morris, o programador do worm, foi o primeiro a receber uma condenação por crime grave sob a Computer Fraud and Abuse Act.

Em 2021, hackers infectaram os sistemas da Colonial Pipeline com ransomware, forçando a empresa a fechar temporariamente o oleoduto que fornecia 45% do combustível da Costa Leste dos EUA. Os hackers usaram uma senha de um funcionário, encontrada na dark web, para acessar a rede. A Colonial Pipeline Company pagou um resgate de US$ 5 milhões para recuperar o acesso aos seus dados.

Em 2024, a empresa de sistemas de pagamentos Change Healthcare sofreu uma enorme violação de dados que interrompeu os sistemas de faturamento em todo o setor de saúde dos EUA. Os hackers obtiveram dados pessoais, detalhes de pagamento, registros de seguros e outras informações confidenciais de milhões de pessoas.

Devido ao grande número de transações que a Change Healthcare ajuda a processar, estima-se que a violação tenha afetado até um terço de todos os americanos. Os custos totais associados à violação podem chegar a US$ 1 bilhão.

Qualquer organização que dependa de sistemas de computador para funções críticas (o que inclui a maioria das empresas) corre o risco de sofrer um ataque de hackers. Não há como ficar fora dos radares dos hackers, mas as empresas podem dificultar as invasões, reduzindo, assim, a probabilidade e os custos de ataques bem-sucedidos.

• As defesas comuns contra hackers incluem:
• Senhas fortes e políticas de autenticação
• Treinamento em Cibersegurança
• Gerenciamento de correção 
• IA e automação da segurança
• Ferramentas de detecção e resposta a ameaças
• Soluções de segurança de dados
• Hacking ético

De acordo com o relatório do custo das violações de dados, credenciais roubadas e comprometidas são o vetor de ataque mais comum para violações de dados.

Senhas fortes podem dificultar o roubo de credenciais pelos hackers. Medidas rigorosas de autenticação, como sistemas de autenticação multifator (MFA) e gerenciamento de acesso privilegiado (PAM), fazem com que os hackers precisem de mais do que uma senha roubada para sequestrar a conta de um usuário.

O treinamento dos funcionários sobre as melhores práticas de cibersegurança, como reconhecer ataques de engenharia social, seguir as políticas da empresa e instalar controles de segurança apropriados, pode ajudar as organizações a evitar mais invasões. De acordo com o relatório do custo das violações de dados, o treinamento pode reduzir o custo de uma violação de dados em até US$ 258.629.

Os hackers geralmente procuram alvos fáceis, optando por violar redes com vulnerabilidades bem conhecidas. Um programa formal de gerenciamento de patches pode ajudar as empresas a se manterem atualizadas sobre os patches de segurança dos fornecedores de software, dificultando a entrada de hackers.

O relatório do custo das violações de dados constatou que as organizações que investem consideravelmente em IA e automação para cibersegurança conseguem reduzir o custo médio de uma violação em US$ 1,88 milhão. Elas também identificam e resolvem violações 100 dias mais rápido do que as organizações que não investem em IA e automação.

O relatório observa que a IA e a automação podem ser bastante benéficas quando implementadas em fluxos de trabalho de prevenção de ameaças, como gerenciamento de superfície de ataque, equipe vermelha e gerenciamento de postura.

Firewalls e sistemas de prevenção de intrusões (IPSs) podem ajudar a detectar e bloquear a entrada de hackers em uma rede. O software de gerenciamento de informações e eventos de segurança (SIEM) pode ajudar a detectar ataques em andamento. Programas antivírus podem encontrar e excluir malware, e plataformas de detecção e resposta de endpoint (EDR) podem automatizar respostas até mesmo a ataques complexos. Funcionários remotos podem usar redes privadas virtuais (VPNs) para fortalecer a segurança da rede e proteger o tráfego contra bisbilhoteiros.

As organizações com controle centralizado sobre os dados, independentemente de onde eles residam, podem identificar e conter violações de forma mais rápida do que as organizações sem esse controle, de acordo com o relatório do custo das violações de dados.

Ferramentas como soluções de gerenciamento de postura de segurança de dados, soluções de data loss prevention (DLP), soluções de criptografia e backups seguros podem ajudar a proteger os dados em trânsito, em repouso e em uso.

Os hackers éticos são uma das melhores defesas contra hackers mal-intencionados. Hackers éticos podem usar avaliações de vulnerabilidade, testes de penetração, equipes vermelhas e outros serviços para encontrar e corrigir vulnerabilidades do sistema e problemas de segurança da informação antes que hackers e ameaças cibernéticas possam explorá-los.