O cibercriminoso que rouba informações ou dinheiro de uma pequena empresa é provavelmente um mestre em engano e manipulação, bem como um especialista em tecnologia.

Quando Nancy Butler recebeu um telefonema de alguém que afirmava ser de seu serviço de tecnologia da informação há dois anos, ela presumiu que era um exame de rotina por um funcionário legítimo. Então, como ela tinha feito muitas vezes durante essas ligações, Butler pediu à pessoa que ligou para confirmar o número da conta e outras informações para "eu ter certeza de que eles eram quem disseram ser".

"Depois que tudo foi confirmado, eu os deixei entrar no computador apenas para descobrir que eles imediatamente me bloquearam do meu computador, acessado e roubado de uma conta bancária, cartão de crédito e várias contas online, "diz Butler, um treinador de negócios e palestrante motivacional baseado em Waterford, Connecticut. Os ladrões também exigiram pagamento antes de deixá-la voltar ao computador - ela não pagou, e ela encontrou uma empresa de tecnologia da informação que poderia desbloqueá-lo.

À medida que os cibercriminosos intensificam seus ataques a empresas, bem como a usuários de computador individuais, eles confiam mais na engenharia social, a prática de enganar ou manipular alguém, muitas vezes com e-mail, mas também com ligações, para obter informações pessoais ou financeiras. Quando uma empresa é atacada, os dados do cliente e do fornecedor estão em risco. Especialistas em segurança cibernética dizem que as pequenas empresas estão sendo cada vez mais visadas.

Os golpes de phishing costumam usar engenharia social. Os golpes são geralmente disfarçados em e-mails de aparência realista que incentivam o destinatário a clicar em um link ou anexo; esse clique faz o download de um software malicioso conhecido como malware, que pode capturar informações e enviá-las de volta ao criminoso. Os e-mails podem parecer que vêm do banco de uma empresa ou de outro negócio. Phishing também é uma forma de ransomware, software malicioso que bloqueia computadores, para ser plantado em um dispositivo. Embora alguns cibercriminosos tenham como alvo pequenas empresas, malware também pode ser plantado quando um funcionário clica em um e-mail pessoal em uma máquina da empresa.

Quando se trata de invadir sites, os cibercriminosos ainda procuram vulnerabilidades que podem explorar, mas é sua capacidade de enganar as empresas que causa muitos dos problemas, disse Terry Kasdan, dono da atCommunications, uma empresa de desenvolvimento de sites com sede em Northbrook, Illinois.

O tipo de experiência que Butler teve está se tornando mais comum com ataques a sites.

"Um hacker pode ligar para uma empresa, diga algo no sentido de, 'Eu trabalho para o seu host, 'e adicione o nome do host real para dar credibilidade à chamada, ", Diz Kasdan. Os hackers podem obter informações sobre um site e sua empresa de hospedagem em diretórios online; então, se eles são capazes de manipular um funcionário para fornecer uma senha, eles podem entrar no site, roubar informações e danificá-las ou desativá-las.

Uma empresa pode se tornar uma vítima indiretamente - seus próprios sistemas não precisam ser atacados para que um ladrão cibernético roube informações ou dinheiro.

A Tjernlund Products enviou um novo pedido por e-mail a um de seus fornecedores na China e recebeu um e-mail dizendo que a empresa tinha um novo banco para o qual a Tjernlund Products deveria fazer seus pagamentos. Esta não era uma situação incomum; os fornecedores da empresa na China costumam mudar de banco, disse Andrew Tjernlund, diretor de marketing da White Bear Lake, Fabricante com sede em Minnesota do fabricante de componentes para sistemas de ventilação.

Meses depois, depois que a remessa nunca chegou, A Tjernlund Products entrou em contato com o fornecedor, que investigou e descobriu que seu e-mail havia sido hackeado. Tjernlund Products estava fora de cerca de US $ 20, 000, embora seu fornecedor tenha dado à empresa uma folga considerável em seu próximo pedido para compensar parte da perda.

Andrew Tjernlund diz que ele e seus colegas gerentes perceberam que foram vítimas indiretas de um hacking, and that they were too trusting that the bank change was legitimate. They're more wary now.

"We test our suppliers when they change banks, ask them about what color hair we have or when we last met in person—things like that, " Tjernlund says.

The government and some private companies like insurers keep count of the number of reported cyberattacks including those that use social engineering, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 Associated Press. Todos os direitos reservados.