Segurança na Internet - Perguntas Frequentes Sobre Cibersegurança

Cibersegurança é a área de atuação que tem como objetivo garantir a segurança e a proteção da informação e da infraestrutura tecnológica geralmente associada à Segurança na Internet. Esta tecnologia pode ser de carácter corporativo, como servidores, bases de dados, routers, firewalls, entre outros, mas foca-se também na informação de carácter individual, tal como os computadores, dispositivos móveis, ou até dispositivos IoT (Internet of Things).

A Proteção de dados é, cada vez mais, uma área de importância vital não apenas para as empresas, mas também de um ponto de vista pessoal, uma vez que a utilização das tecnologias da informação está em crescimento exponencial, elevando assim a necessidade e o risco da segurança da informação.

A Cibersegurança é uma área de atuação bastante ampla com aplicação não só limitada às tecnologias da informação, mas também à componente dos processos e das pessoas (utilizadores), uma vez que estes são também potenciais vetores de ataque e exploração de potenciais vulnerabilidades com técnicas, como por exemplo a Engenharia Social.

A Cibersegurança é a prática que trabalha consistentemente para avaliar o risco e tomar decisões de gestão e mitigação estruturada dos riscos, no sentido de o minimizar até ao nível aceitável atendendo ao seu benefício.

Cerca de 70% dos atacantes têm como intenção pura o Cibercrime, sendo os restantes compostos por Ativistas Online (Hacktivismo), espionagem, entre outras.

No contexto dos Cibercriminosos observa-se uma tendência de crescimento de grupos organizados, estruturados e financiados, com o propósito de obtenção de ganhos financeiros. Estes grupos atuam como uma verdadeira empresa, com profissionais dedicados ao Crime Informático e com áreas de especialização de acordo com os diferentes tipos de ataques cibernéticos e alvos.

Imagine-se um cenário em que existe um assalto a uma casa com o objetivo de roubar os seus bens materiais. Em linguagem corrente descrever-se-ia o ataque como tendo sido um “assalto à casa”, no entanto o assalto à casa teve um vetor de entrada, imagine-se que teria sido o arrombamento da fechadura.
Assim, em termos de ciberataques são típicos os seguintes vetores de ataque:

– Exploração de Vulnerabilidades tecnológicas (conhecidas e que poderiam ser resolvidas com uma atualização, ou desconhecidas e denominadas de 0-Day)
– Exploração de fraquezas de autenticação
– Exploração de desenho inseguro de arquiteturas e sistemas
– Exploração de processos fracos
- Exploração de falhas nos meios que acessam à Internet
– Exploração de código / aplicações inseguras
– Exploração de protocolos inseguros
– Exploração de ausência de controlos tecnológicos
– Exploração da falta de conhecimento ou de preparação do vetor humano através de ataques de engenharia social
– Entre outros

Os termos que são usados para descrever os ataques típicos, nomeadamente Ransomware, Phishing, Malware, Eavesdropping, Sql Injection, Zero-Day, entre outros, tiram sempre partido de um ou mais vetores de ataque anteriormente descritos.

As consequências diretas de um ciberataque estão geralmente relacionadas com a quebra da confidencialidade, integridade ou da disponibilidade dos recursos em questão. As consequências indiretas podem ser diversas, dependendo do contexto. Alguns exemplos são: perda financeira, perda de vantagem competitiva, danos reputacionais, perda de informação digital, roubo de identidade, incapacidade de produzir ou laborar, havendo até exemplos de empresas que chegaram à insolvência por motivos de um Ciberataque bem-sucedido.

A proteção advém de um conjunto de medidas que devem ser selecionadas em concordância com o contexto do que e de quem queremos proteger.

É fundamental efetuar uma análise de risco transversal, identificar as ameaças e o nível de suscetibilidade às mesmas e mediante o potencial impacto, definir medidas de mitigação. Do ponto de vista empresarial, a adoção do Standard Internacional ISO 27001 é um excelente ponto de partida, enquanto que do ponto de vista pessoal, os utilizadores devem procurar incrementar os seus conhecimentos e nível de resiliência, através de conhecimento geral ou através de cursos de consciencialização em Segurança da Informação.

É expectável que com a crescente utilização das tecnologias da informação que temos vindo a observar, o cibercrime também acompanhe esta tendência de crescimento.

Além do padrão observado de aumento do cibercrime, é também expectável que os atacantes sejam cada vez mais organizados e estruturados e se especializem, tal como acontece com o crime tradicional.

Enquanto que nas décadas de 1990 e 2000 o alvo preferencial eram as áreas corporativas da banca e seguros, atualmente os Cibercriminosos têm vindo a diversificar as suas práticas muito para além destas áreas-alvo, sendo que atualmente qualquer entidade ou pessoa pode ser alvo de Cibercrime.

A Engenharia social é o nome dado ao conjunto de técnicas de persuasão que visam levar os utilizadores a executar ou alavancar ações em consonância com os objetivos dos atacantes.

Os ataques de engenharia social são aplicáveis no contexto da cibersegurança, dado que podem ser aplicados em combinação com ataques de índole tecnológica. Exemplo disso é o ataque de Phishing, no qual se leva um determinado utilizador a disponibilizar informação ou acesso a recursos, na ilusão de estar a falar com uma entidade fidedigna.

O Regulamento de Proteção de Dados (RGPD), é o regulamento Europeu que incide na privacidade e na proteção de dados pessoais. Além disso, o seu propósito é assegurar os direitos dos cidadãos e protegê-los de riscos e ameaças relativas à disponibilização ou utilização indevida dos seus dados.

O regulamento legisla assim vários direitos em defesa dos titulares dos dados pessoais, nomeadamente, o direito à transparência, à informação, ao acesso, rectificação, eliminação, entre outros.

Às entidades a quem for aplicável o regulamento, incide assim uma responsabilidade legal de providenciar os recursos que assegurem esses direitos para além de implementar as medidas necessárias para assegurar uma proteção adequada dos dados dos titulares.

Esta proteção adequada, explicitada no regulamento, no artigo 32, refere “A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento” e é precisamente neste ponto que existe a forte relação do RGPD com a área da Cibersegurança.

Torna-se assim imperativa, a aplicação das práticas e controlos associados à Cibersegurança, nomeadamente no que diz respeito ao Controlo de Acessos, Cifragem de dados, Backups, Resiliência, Testes, entre outros procedimentos fundamentais para assegurar o propósito das medidas de proteção dos dados pessoais.

Existe assim uma grande interseção entre estas duas áreas, da Privacidade e da Cibersegurança, embora possam ter propósitos diferentes, uma vez que uma parte considerável dos controlos para assegurar a Privacidade dos Dados passa pela implementação de controlos de Segurança da Informação. Por estes motivos, o RGPD veio efetivamente reforçar a importância da Cibersegurança.

O cadeado no site aufere ao utilizador uma garantia da autenticidade do site que está a visitar, relativamente ao domínio de internet da página em questão, bem como garante a encriptação dos dados que transmita e receba dessa página, sendo essa a função efetiva do certificado digital que é representado pelo cadeado. Apesar destas propriedades de segurança (autenticidade do domínio e encriptação dos dados), o certificado não lhe garante, entre outros riscos, por exemplo se o site é seguro a gerir os seus dados, ou se o site é confiável para efetuar transações financeiras.

Como exemplo, imagine que vai comprar um artigo a uma loja que não conhece. É verdade que se a loja tiver um guarda à porta vai-lhe certamente providenciar um maior grau de confiabilidade, mas não quer necessariamente dizer que os artigos que vai comprar nessa loja, não são, por exemplo defeituosos ou contrafeitos.

O phishing é uma forma de ciberataque na qual os atacantes tentam, através do e-mail, aplicações ou websites, adquirir ilicitamente dados de utilizadores, seja senhas, dados financeiros ou bancários, números de cartões de crédito, entre outras informações confidenciais. O objetivo não é mais do que manipular os utilizadores e obter esses dados privados para roubo de identidade, roubo de contas bancárias, etc.

Geralmente os ataques de phishing são feitos em grande escala, o que significa que os atacantes enviam um e-mail (aparentemente oriundo de uma entidade legítima no mercado) para milhares de utilizadores, ao invés do spear phishing que é direcionado a alvos específicos, sejam indivíduos ou empresas.

Para evitarem serem vitimas deste tipo de ataque, os utilizadores devem estar atentos a emails enviados por pessoas ou entidades desconhecidas; não devem abrir anexos suspeitos ou que não estão à espera de receber e antes de abrir qualquer link, devem confirmar sempre se este é fidedigno.

Para se proteger contra novos golpes de phishing, os utilizadores devem ainda instalar e manter sempre atualizado os seus softwares de proteção, nomeadamente vírus, malware, entre outros aplicáveis. Saiba mais aqui.

O vishing (combinação entre Voice e Phishing) é uma variante do phishing, mas feita através de chamadas de voz, nas quais o atacante liga para a vítima, faz-se passar por outra pessoa ou entidade com o objetivo de adquirir informações confidenciais ou induzir a ações com vista à aquisição destes dados. Estas chamadas telefónicas tanto podem ser realizadas por uma só pessoa como por um sistema automatizado.

O Smishing por sua vez, acaba por representar uma ataque similar ao phishing ou ao vishing mas neste contexto são utilizadas mensagens de SMS com o mesmo intento – levar o utilizador a realizar uma determinada ação com o objetivo de obter dados ou acessos ilegítimos.

Para evitar este tipo de ataque, há que ter cuidado sempre que atender números desconhecidos, mais vale anotar o nome da entidade que está a ligar, procurar o número na Internet e ligar diretamente. Nunca se deve assumir que a chamada é verdadeira somente por terem os dados pessoais corretos; nunca se deve disponibilizar dados sensíveis (nomeadamente financeiros ou de acesso por esta via); nunca deve efetuar determinadas ações ou pagamentos durante a chamada, sendo que o melhor é sempre desconfiar e solicitar informações técnicas (às quais apenas um colaborador fidedigno teria acesso) ou, se a dúvida persistir, desligar mesmo o telefone e procurar o contacto da entidade e validar se o número é, de facto, fidedigno. Saiba mais aqui.

A maioria dos websites e serviços exigem ou aconselham que os utilizadores utilizem passwords fortes, de forma a que os atacantes não consigam descobri-las.

Na verdade, são tantos os websites que solicitam passwords, que por vezes tornar-se-ia mais prático colocar sempre a mesma password, sendo, no entanto, este um erro crasso, já que quem conseguir adivinhar a password de um serviço conseguirá aceder a todos os outros.

Uma das técnicas que os atacantes utilizam para tentar adivinhar as passwords chama-se Dictionary Attack, no qual, efetivamente se recorre de forma automatizada ao dicionário com o intento de tentar identificar a password. Sendo assim, nunca se deve utilizar nomes, sequências ou coisas óbvias; deve-se usar passwords longas e complexas, misturar maiúsculas, minúsculas e símbolos; ter o cuidado de alterar frequentemente as passwords; nunca as divulgar a ninguém e evitar utilizar passwords já usadas anteriormente. Saiba mais aqui.

Uma rede wi-fi é geralmente um meio de acesso à Internet. Com as configurações devidas de segurança uma rede wi-fi aufere de uma proteção adequada, sendo este geralmente o cenário das redes wi-fi pessoais que temos nas nossas casas, no entanto, em muitos contextos acabamos por utilizar redes wi-fi que não são de nossa pertença ou cuja configuração não foi efetivamente validada. Nesses contextos, estamos a aceder a recursos através de um meio que não pode ser totalmente confiável, traduzindo-se em múltiplos riscos para os utilizadores, nomeadamente a possibilidade de algum elemento com intentos maliciosos puder no limite interceptar ou monitorizar o conteúdo da sua ligação neste meio de acesso.

Assim sendo, nem todas as redes wi-fi são seguras, e devemos ponderar muto bem sempre que nos ligamos a uma rede wi-fi pública, e que tipo de transações e aplicações utilizamos neste contexto.

Outro dos riscos de relevo, são que, ao nos ligarmos a esta rede wi-fi deixamos o nosso equipamento mais exposto a todos os outros utilizadores desta rede wi-fi, sendo que este risco também deverá ser levado em consideração, uma vez que pode representar a possibilidade de intrusão ou infeção do seu equipamento com software malicioso.

Nos últimos anos, as compras on line dispararam pela comodidade e rapidez que oferecem, no entanto é importante os utilizadores saberem como proteger-se. Antes de mais, devem verificar se o endereço do website tem a sigla HTTPS no URL, já que isto garante que a legitimidade do ecommerce, bem como a encriptação dos dados trocados, logo as transações poderão ser feitas de forma segura (podendo também ler as Políticas de Privacidade). Deve evitar-se fazer a compra online através de redes wi-fi públicas, é sempre mais seguro fazer através de redes privadas, que se sabe de antemão serem seguras. No entanto, se estiver a comprar num ponto de acesso público, opte por redes conhecidas, mesmo que sejam gratuitas. É conveniente ainda optar por inserir diretamente o endereço oficial do website, em vez de aceder a partir de algum link e, se por acaso desconfiar de um site, faça as devidas diligências.

Outro aspeto importante é criar passwords seguras e fortes, alterando-as de forma regular, assim como ir verificando os extratos das suas contas.

Faça atualizações regulares do software de segurança e coloque em modo automático as definições referentes a atualizações.

Em relação ao pagamento, antes de o fazer deve sempre ler os termos e condições e os termos de venda. Quanto à modalidade de pagamento, deve-se optar por aquela que dá mais segurança, sendo de salientar que se optar por cartões, os mais seguros são os que exigem autenticação adicional.

Por fim, se for comprar cartões-presente, certifique-se que o site tem uma política de garantia sólida.

De qualquer forma, é importante estar informado sobre os direitos dos consumidores: Compras online: legislação e direitos do consumidor (proteste.pt) / Compras: direitos dos consumidores na UE - Your Europe (europa.eu) / Direitos dos Consumidores

Saiba mais aqui.

O Formjacking é mais uma forma de ataque cibernético que ocorre quando os atacantes injetam código JavaScript malicioso, com o intuito de adulterar um site e poder modificar o funcionamento da sua página de pagamento. Este tipo de ataque representa uma grave ameaça tanto para empresas como para utilizadores, uma vez que é usado para roubar dados de cartões de crédito e dados pessoais e confidenciais dos utilizadores.

Para evitar este tipo de ameaça, os utilizadores podem tomar algumas medidas, como optar por fazer compras em websites que conheçam; procurar informar-se sobre a experiência que outros utilizadores tenham tido no passado; verificar o URL da página e ver se a barra de endereço indica ‘HTTPS’ e não ‘HTTP’ e dar somente as informações estritamente necessárias para avançar com a transação. Saiba mais aqui.

Gostaria de ver mais questões adicionadas a este guia de Cibersegurança?
Envie a sua sugestão para info@integrity.pt.