Espaço de Opinião
04 Maio 21 | Lisboa
TOL NEWS 7, CIBERCRIME
CIBERCRIME

A EVOLUÇÃO DAS NOVAS TECNOLOGIAS
INFORMAÇÃO RELEVANTE PARA A SUA PROTEÇÃO

As novas tecnologias possibilitam um avanço exponencial ao nível da informação, conhecimento, eficiência, produção laboral, comunicação, desenvolvimento em variadíssimas áreas e setores que rodeiam o dia-a-dia!

Por outro lado a cibercriminalidade também está a aumentar de forma exponencial. E não é de estranhar pois o anonimato, oferecido pelo uso da tecnologia, para cometer crimes torna muito lucrativo assumir um risco muito baixo!

Na verdade, existem vários riscos associados ao uso da tecnologia que podem ter origem em várias causas:

  1.     Negligência ou erros;
  2.     Falta de consciencialização sobre a importância da Cibersegurança;
  3.     Ataques maliciosos, externos ou internos;
  4.     Causas naturais como incêndios, inundações, etc…

Com a Internet e a globalização da informação rápida, os desenvolvimentos do Big Data, Machine Learning, (IoT), o mundo fisico e digital passou a estar hiper conectado e todos os utilizadores são um elemento ativo, pelo que a necessidade de proteção contra cibe ameaças torna-se cada mais um fator essencial.

 Para que seja possível a sua proteção é relevante ter em atenção a definição de Segurança Informática (infraestrutura tecnológica, i.e., equipamentos informáticos e de comunicações) e Segurança da Informação (é o ativo, os dados, a informação que viaja na Internet)

  Assim é fundamental ter conhecimento das ameaças atuais, as quais têm vindo a evoluir à velocidade da própria evolução tecnológica.

PRINCIPAIS TIPOS DE AMEAÇAS 

MALWARE - é o acrónimo, em inglês, das palavras "mal icious "e" soft ware" . Malware é o termo principal usado para caracterizar todas as ameaças informáticas. Dentro desta categoria, já temos diferentes classificações mais específicas.

VÍRUS - Vírus informáticos precisam um anfitrião onde se hospedar. 

WORM - é um programa informático criado para produzir algum dano no sistema do utilizador e que possui duas características: (i) age de forma transparente para o utilizador e (ii) tem a capacidade de se reproduzir. 

TROJAN - tenta passar despercebido enquanto acede aos nossos dispositivos com a intenção de executar ações ocultas tais como abrir uma “porta traseira” para que outros programas maliciosos possam aceder.

ADWARE - Adware (acrónimo de “ad vertisement” - anúncio publicitário- e “soft ware”) é um programa malicioso, que é instalado no sistema sem que o utilizador saiba realmente o seu objetivo principal, que é fazer download e/ou exibir anúncios no ecrã da vítima

SPYWARE - é uma aplicação cujo objetivo é recolher informação do utilizador, sem o seu consentimento. 

ROGUE - é um código malicioso que simula ser um programa de segurança, a fim de fazer com que o utilizador pague por uma aplicação nociva ou inexistente. 

RANSOMWARE - é uma das ameaças de computador mais similares a um ataque sem meios tecnológicos: o sequestro.

Algumas das técnicas de sequestro são as seguintes: 

            -  Encriptação de ficheiros do disco rígido. 

            -  Bloqueio de acesso a determinados ficheiros (geralmente documentos de origem administrativa).

            -  Bloqueio total de acesso ao sistema (antes do login ou bloqueio de ecrã quando o utilizar acede o sistema).

Mas existem ainda outras ameaças…

Spam - correio eletrónico não solicitado enviado por parte de um terceiro. 

Hoax - correio eletrónico distribuído num formato de cadeia, que visa fazer com que os leitores acreditem que algo falso é real

Scam – é o nome utilizado para fraudes através de meios tecnológicos. É um crime consistente focado em causar prejuízo patrimonial a alguém por meio de fraude, com fim lucrativo e usando a tecnologia como meio

Phishing -  consiste no roubo de informação pessoal e/ou financeira do utilizador, através da  falsificação de comunicações procedentes de uma entidade confiável. Desta forma, o utilizador acredita que está a inserir os seus dados num sítio que ele conhece quando, na realidade, estes dados são enviados diretamente para o atacante. Na sua forma clássica, o ataque começa com o envio de um correio eletrónico simulando a identidade de uma organização confiável, como, por exemplo, um banco ou uma reconhecida empresa. 

As características de um e-mail de phishing são as seguintes:

            -  Uso de nomes de organizações com presença pública.

            -  O correio eletrónico do remetente simula ser da empresa em questão. 

            -  O corpo do correio apresenta o logotipo da empresa que assina a mensagem.

            -  A mensagem insta o utilizador a reinserir algum tipo de informação que, na realidade,  o suposto remetente já possui.

            -  A mensagem inclui um link.

Assim para evitar os ataques é fundamental ter determinadas precauções, nomeadamente, proteger o hardware de acesso físico ilegítimo, desastres naturais, alterações do ambiente, entre outros.

 Deverá existir especialmente em contexto empresarial um procedimento implementado para a realização de cópias de segurança. 

Utilização de um sistema de senhas seguras (password), utilização de sistemas biométricos, entre outros. 

COMO EVITAMOS SER INFETADOS?

Para evitar ser infetado por um Ransonware, devemos seguir as seguintes indicações de bom senso: 

             -  Manter o nosso sistema operativo e as nossas aplicações atualizadas, evitando assim que o atacante aproveite as vulnerabilidades já identificadas.

             -  Ter, pelo menos, um antivírus sempre atualizado. 

            -  Não abrir e-mails ou ficheiros com remetentes desconhecidos.

            -  Evitar navegar em páginas inseguras ou com conteúdo não verificado. 

            -  Ter um sistema de cópias de seguranças e um procedimento de recuperação definido que nos permitirá recuperar o sistema no menor tempo possível sem perda de informação.

No núcleo dos crimes ligados ao Cibercrime e Criminalidade tecnológica encontramos os previstos na Lei do Cibercrime; no RGPD; no Código de Autor e Direitos Conexos; crimes contra a liberdade e autodeterminação sexual praticados por meio ou através de sistema informático; crimes de burla informática e nas comunicações, espionagem, ciberterrorismo, entre tantos outros.

QUADRO NACIONAL DE REFERÊNCIA PARA A CIBERSEGURANÇA 

 Foi implementado o Centro Nacional de Cibersegurança (“CNC”) como a Autoridade Nacional de Cibersegurança pela Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia.

Foi ainda aprovado o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho de 17 de abril, 2019 relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação.

Lei do Cibercrime, aprovada pela Lei 109/2009, de 15 de Setembro, na qual se encontram previstos alguns crimes, designadamente, o crime de falsidade informática (art. 3); crime de dano informático (art. 4º); crime de sabotagem informática (art. 5º); crime de acesso ilegítimo (art. 6º); crime de interação ilegítima (art. 7º); crime de reprodução de programa protegido (art. 8º).

A proteção nesta área torna-se cada vez mais importante, inclusive, o Plano de Recuperação e Resiliência (PRR) de Portugal para aceder às verbas comunitárias pós-crise prevê a mobilização de pelo menos 130 milhões de euros para a cibersegurança! 

UMA VEZ INFECTADOS COMO RESOLVER?

Não existe uma fórmula mágica e direta e a solução do problema não é simples, contudo, a melhor formula para o resolver será contactar um Advogado e recorrer à Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Política Judiciária (UNC3T)

Espaço de Opinião

Engenharia Social - Quando o problema está entre o teclado e a cadeira.

Os métodos técnicos de Ciber Crime têm vindo a tornar-se crescentemente sofisticados, tornando praticamente impossível para a generalidade dos utilizadores de sistemas informáticos a sua compreensão na totalidade.

No entanto, um aspeto que nada tem a ver com tecnologia mas sim com comportamento humano tem vindo a elevar o nível de ameaça dos ataques dos piratas informáticos. 

 Com efeito a chamada "Engenharia Social" está na origem de uma percentagem significativa de casos de ataques e as estatísticas falam por si:

  • 98% dos ataques cibernéticos dependem da engenharia social.
  • 43% dos profissionais de IT afirmaram ter sido alvo de esquemas de engenharia social no último ano.
  • Os novos empregados são os mais suscetíveis a ataques de engenharia social, com 60% dos profissionais de IT a citarem as recentes contratações como sendo de alto risco.
  • 21% dos atuais ou antigos empregados utilizam a engenharia social para obter uma vantagem financeira, por vingança, por curiosidade ou por diversão.
  • As tentativas de engenharia social aumentaram mais de 500% desde o primeiro ao segundo trimestre de 2018.

(Fonte: PurpleSec - 2021 Cyber Security Statistics - The Ultimate List Of Stats, Data & Trends)

A engenharia social consiste na manipulação psicológica das pessoas para a realização de ações ou a divulgação de informações confidenciais. As potenciais vítimas de um ataque de engenharia social podem variar desde um executivo corporativo a um estudante do ensino básico. Mesmo o profissional de IT mais experiente pode ser vítima de uma tentativa de ataque deste tipo.

Uma das situações mais conhecidas de ataque com recurso a engenharia Social é o chamado "Esquema do CEO"

 A fraude do CEO é um esquema sofisticado de correio eletrónico que os criminosos informáticos utilizam para enganar as vítimas, levando-os a transferir dinheiro ou fornecendo-lhes informações confidenciais da empresa.

 Os cibercriminosos enviam e-mails inteligentes fazendo-se passar pelo CEO ou outros executivos da empresa e pedem aos empregados, normalmente em RH ou contabilidade, para os ajudar enviando uma transferência bancária. Este cibercrime utiliza contas de correio eletrónico falsificadas ou comprometidas para enganar os destinatários de correio eletrónico, levando-os a agir de forma dolosa para a empresa.

 A fraude do CEO é uma técnica de engenharia social que depende da conquista da confiança do destinatário de correio eletrónico. Os cibercriminosos por detrás da fraude de CEO sabem que a maioria das pessoas não olha muito de perto para os endereços de correio eletrónico ou nota pequenas diferenças na ortografia.

 Estas mensagens de correio eletrónico utilizam uma linguagem familiar mas urgente e tornam claro que o destinatário está a fazer um grande favor ao remetente, ajudando-o. Os cibercriminosos exploram o instinto humano de confiar uns nos outros e o desejo de querer ajudar os outros.

Como evitar ser vítima de um ataque de engenharia Social:

 - Quando um E-Mail embora aparentemente venha de uma pessoa de confiança, estar atento a formas invulgares de escrita ou tratamento (p. ex "tu" em vez de "você", ou quando o que é pedido no E-Mail está claramente fora dos procedimentos habituais). Um simples telefonema à (verdadeira) pessoa cujo endereço aparece no E-Mail resolve de imediato. Em particular se o E-Mail alegadamente vier de uma pessoa com uma posição hierárquica elevada, da qual habitualmente não recebemos E-Mails diretamente, há motivos para forte suspeita.

 Em caso de telefonemas suspeitos:

  • Manter por defeito uma atitude desconfiada
  • Tomar nota do nome e empresa da pessoa, e ligar para essa empresa para confirmar se essa pessoa de facto existe
  • Idem para alegados "Colegas do departamento de Informática". Confirmar se tal pessoa existe na realidade.
  • Obviamente nunca fornecer passwords ou qualquer tipo de informação sensível
  • Dizer ao interlocutor que vai passar a chamada para a pessoa da sua empresa responsável pela Segurança de Informática.

Em todos os casos suspeitos, comunicar a situação ao seu superior hierárquico e ao seu departamento de informática e de segurança da informação.

As empresas devem por seu lado incluir estes aspetos nas suas ações de sensibilização aos colaboradores, com intuito de criar uma maior consciencialização para esta temática.

Eng. Rui de Almeida
IT Security and Business Continuity Expert
Viridium Gruppe GmbH 
Atenção, o seu browser está desactualizado.
Para ter uma boa experiência de navegação recomendamos que utilize uma versão actualizada do Chrome, Firefox, Safari, Opera ou Internet Explorer.