Segurança na Internet - Perguntas Frequentes Sobre Cibersegurança

Cibersegurança é a área de atuação que tem como objetivo garantir a segurança e a proteção da informação e da infraestrutura tecnológica geralmente associada à Segurança na Internet. Esta tecnologia pode ser de carácter corporativo, como servidores, bases de dados, routers, firewalls, entre outros, mas foca-se também na informação de carácter individual, tal como os computadores, dispositivos móveis, ou até dispositivos IoT (Internet of Things).

A Proteção de dados é, cada vez mais, uma área de importância vital não apenas para as empresas, mas também de um ponto de vista pessoal, uma vez que a utilização das tecnologias da informação está em crescimento exponencial, elevando assim a necessidade e o risco da segurança da informação.

A Cibersegurança é uma área de atuação bastante ampla com aplicação não só limitada às tecnologias da informação, mas também à componente dos processos e das pessoas (utilizadores), uma vez que estes são também potenciais vetores de ataque e exploração de potenciais vulnerabilidades com técnicas, como por exemplo a Engenharia Social.

A Cibersegurança é a prática que trabalha consistentemente para avaliar o risco e tomar decisões de gestão e mitigação estruturada dos riscos, no sentido de o minimizar até ao nível aceitável atendendo ao seu benefício.

Cerca de 70% dos atacantes têm como intenção pura o Cibercrime, sendo os restantes compostos por Ativistas Online (Hacktivismo), espionagem, entre outras.

No contexto dos Cibercriminosos observa-se uma tendência de crescimento de grupos organizados, estruturados e financiados, com o propósito de obtenção de ganhos financeiros. Estes grupos atuam como uma verdadeira empresa, com profissionais dedicados ao Crime Informático e com áreas de especialização de acordo com os diferentes tipos de ataques cibernéticos e alvos.

Imagine-se um cenário em que existe um assalto a uma casa com o objetivo de roubar os seus bens materiais. Em linguagem corrente descrever-se-ia o ataque como tendo sido um “assalto à casa”, no entanto o assalto à casa teve um vetor de entrada, imagine-se que teria sido o arrombamento da fechadura.
Assim, em termos de ciberataques são típicos os seguintes vetores de ataque:

•  Exploração de Vulnerabilidades tecnológicas (conhecidas e que poderiam ser resolvidas com uma atualização, ou desconhecidas e denominadas de 0-Day)
•  Exploração de fraquezas de autenticação
•  Exploração de desenho inseguro de arquiteturas e sistemas
•  Exploração de processos fracos
•  Exploração de falhas nos meios que acessam à Internet
•  Exploração de código / aplicações inseguras
•  Exploração de protocolos inseguros
•  Exploração de ausência de controlos tecnológicos
•  Exploração da falta de conhecimento ou de preparação do vetor humano através de ataques de engenharia social
•  Entre outros

Os termos que são usados para descrever os ataques típicos, nomeadamente Ransomware, Phishing, Malware, Eavesdropping, Sql Injection, Zero-Day, entre outros, tiram sempre partido de um ou mais vetores de ataque anteriormente descritos.

As consequências diretas de um ciberataque estão geralmente relacionadas com a quebra da confidencialidade, integridade ou da disponibilidade dos recursos em questão. As consequências indiretas podem ser diversas, dependendo do contexto. Alguns exemplos são: perda financeira, perda de vantagem competitiva, danos reputacionais, perda de informação digital, roubo de identidade, incapacidade de produzir ou laborar, havendo até exemplos de empresas que chegaram à insolvência por motivos de um Ciberataque bem-sucedido.

A proteção advém de um conjunto de medidas que devem ser selecionadas em concordância com o contexto do que e de quem queremos proteger.

É fundamental efetuar uma análise de risco transversal, identificar as ameaças e o nível de suscetibilidade às mesmas e mediante o potencial impacto, definir medidas de mitigação. Do ponto de vista empresarial, a adoção do Standard Internacional ISO 27001 é um excelente ponto de partida, enquanto que do ponto de vista pessoal, os utilizadores devem procurar incrementar os seus conhecimentos e nível de resiliência, através de conhecimento geral ou através de cursos de consciencialização em Segurança da Informação.

É expectável que com a crescente utilização das tecnologias da informação que temos vindo a observar, o cibercrime também acompanhe esta tendência de crescimento.

Além do padrão observado de aumento do cibercrime, é também expectável que os atacantes sejam cada vez mais organizados e estruturados e se especializem, tal como acontece com o crime tradicional.

Enquanto que nas décadas de 1990 e 2000 o alvo preferencial eram as áreas corporativas da banca e seguros, atualmente os Cibercriminosos têm vindo a diversificar as suas práticas muito para além destas áreas-alvo, sendo que atualmente qualquer entidade ou pessoa pode ser alvo de Cibercrime.

A Engenharia social é o nome dado ao conjunto de técnicas de persuasão que visam levar os utilizadores a executar ou alavancar ações em consonância com os objetivos dos atacantes.

Os ataques de engenharia social são aplicáveis no contexto da cibersegurança, dado que podem ser aplicados em combinação com ataques de índole tecnológica. Exemplo disso é o ataque de Phishing, no qual se leva um determinado utilizador a disponibilizar informação ou acesso a recursos, na ilusão de estar a falar com uma entidade fidedigna.

O Regulamento de Proteção de Dados (RGPD), é o regulamento Europeu que incide na privacidade e na proteção de dados pessoais. Além disso, o seu propósito é assegurar os direitos dos cidadãos e protegê-los de riscos e ameaças relativas à disponibilização ou utilização indevida dos seus dados.

O regulamento legisla assim vários direitos em defesa dos titulares dos dados pessoais, nomeadamente, o direito à transparência, à informação, ao acesso, rectificação, eliminação, entre outros.

Às entidades a quem for aplicável o regulamento, incide assim uma responsabilidade legal de providenciar os recursos que assegurem esses direitos para além de implementar as medidas necessárias para assegurar uma proteção adequada dos dados dos titulares.

Esta proteção adequada, explicitada no regulamento, no artigo 32, refere “A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento” e é precisamente neste ponto que existe a forte relação do RGPD com a área da Cibersegurança.

Torna-se assim imperativa, a aplicação das práticas e controlos associados à Cibersegurança, nomeadamente no que diz respeito ao Controlo de Acessos, Cifragem de dados, Backups, Resiliência, Testes, entre outros procedimentos fundamentais para assegurar o propósito das medidas de proteção dos dados pessoais.

Existe assim uma grande interseção entre estas duas áreas, da Privacidade e da Cibersegurança, embora possam ter propósitos diferentes, uma vez que uma parte considerável dos controlos para assegurar a Privacidade dos Dados passa pela implementação de controlos de Segurança da Informação. Por estes motivos, o RGPD veio efetivamente reforçar a importância da Cibersegurança.

O cadeado no site aufere ao utilizador uma garantia da autenticidade do site que está a visitar, relativamente ao domínio de internet da página em questão, bem como garante a encriptação dos dados que transmita e receba dessa página, sendo essa a função efetiva do certificado digital que é representado pelo cadeado. Apesar destas propriedades de segurança (autenticidade do domínio e encriptação dos dados), o certificado não lhe garante, entre outros riscos, por exemplo se o site é seguro a gerir os seus dados, ou se o site é confiável para efetuar transações financeiras.

Como exemplo, imagine que vai comprar um artigo a uma loja que não conhece. É verdade que se a loja tiver um guarda à porta vai-lhe certamente providenciar um maior grau de confiabilidade, mas não quer necessariamente dizer que os artigos que vai comprar nessa loja, não são, por exemplo defeituosos ou contrafeitos.

O phishing é uma forma de ciberataque na qual os atacantes tentam, através do e-mail, aplicações ou websites, adquirir ilicitamente dados de utilizadores, seja senhas, dados financeiros ou bancários, números de cartões de crédito, entre outras informações confidenciais. O objetivo não é mais do que manipular os utilizadores e obter esses dados privados para roubo de identidade, roubo de contas bancárias, etc.

Geralmente os ataques de phishing são feitos em grande escala, o que significa que os atacantes enviam um e-mail (aparentemente oriundo de uma entidade legítima no mercado) para milhares de utilizadores, ao invés do spear phishing que é direcionado a alvos específicos, sejam indivíduos ou empresas.

Para evitarem serem vitimas deste tipo de ataque, os utilizadores devem estar atentos a emails enviados por pessoas ou entidades desconhecidas; não devem abrir anexos suspeitos ou que não estão à espera de receber e antes de abrir qualquer link, devem confirmar sempre se este é fidedigno.

Para se proteger contra novos golpes de phishing, os utilizadores devem ainda instalar e manter sempre atualizado os seus softwares de proteção, nomeadamente vírus, malware, entre outros aplicáveis. Saiba mais aqui.

O vishing (combinação entre Voice e Phishing) é uma variante do phishing, mas feita através de chamadas de voz, nas quais o atacante liga para a vítima, faz-se passar por outra pessoa ou entidade com o objetivo de adquirir informações confidenciais ou induzir a ações com vista à aquisição destes dados. Estas chamadas telefónicas tanto podem ser realizadas por uma só pessoa como por um sistema automatizado.

O Smishing por sua vez, acaba por representar uma ataque similar ao phishing ou ao vishing mas neste contexto são utilizadas mensagens de SMS com o mesmo intento – levar o utilizador a realizar uma determinada ação com o objetivo de obter dados ou acessos ilegítimos.

Para evitar este tipo de ataque, há que ter cuidado sempre que atender números desconhecidos, mais vale anotar o nome da entidade que está a ligar, procurar o número na Internet e ligar diretamente. Nunca se deve assumir que a chamada é verdadeira somente por terem os dados pessoais corretos; nunca se deve disponibilizar dados sensíveis (nomeadamente financeiros ou de acesso por esta via); nunca deve efetuar determinadas ações ou pagamentos durante a chamada, sendo que o melhor é sempre desconfiar e solicitar informações técnicas (às quais apenas um colaborador fidedigno teria acesso) ou, se a dúvida persistir, desligar mesmo o telefone e procurar o contacto da entidade e validar se o número é, de facto, fidedigno. Saiba mais aqui.

O spoofing está a tornar-se numa prática cada vez mais comum na temática dos ataques cibernéticos, onde os atacantes se fazem passar por outras pessoas para obterem a confiança de indivíduos e acederem a sistemas, com o intuito de roubar dados, dinheiro ou distribuir malware.

Por norma, os atacantes utilizam técnicas que permitem que o emissor da mensagem esteja alterado no sentido de se fazerem passar por uma autoridade, entidade ou até mesmo um contacto de confiança. Isto é, na prática, o número que aparece no dispositivo estará identificado com o nome de uma entidade ou com o nome igual ao que tem guardado nos seus contactos caso seja uma pessoa que conheça. Neste tipo de ataque, as vítimas estão mais vulneráveis para sofrerem um ataque, devido às técnicas utilizadas uma vez que são estas que fazem com que pareça tudo real.

Estes ataques podem envolver falsificações como emails, websites, chamadas telefónicas e mensagens de texto. Os métodos mais frequentes incluem o envio de emails de phishing com links enganosos e chamadas telefónicas em que os ciberatacantes fingem ser representantes legítimos, como bancos. A constante evolução destas ameaças destaca a importância das boas práticas de cibersegurança para prevenir e proteger contra ataques de spoofing, saiba mais sobre este tema e como se pode proteger de ataques de spoofing aqui.

A maioria dos websites e serviços exigem ou aconselham que os utilizadores utilizem passwords fortes, de forma a que os atacantes não consigam descobri-las.

Na verdade, são tantos os websites que solicitam passwords, que por vezes tornar-se-ia mais prático colocar sempre a mesma password, sendo, no entanto, este um erro crasso, já que quem conseguir adivinhar a password de um serviço conseguirá aceder a todos os outros.

Uma das técnicas que os atacantes utilizam para tentar adivinhar as passwords chama-se Dictionary Attack, no qual, efetivamente se recorre de forma automatizada ao dicionário com o intento de tentar identificar a password. Sendo assim, nunca se deve utilizar nomes, sequências ou coisas óbvias; deve-se usar passwords longas e complexas, misturar maiúsculas, minúsculas e símbolos; ter o cuidado de alterar frequentemente as passwords; nunca as divulgar a ninguém e evitar utilizar passwords já usadas anteriormente. Saiba mais aqui.

Uma rede wi-fi é geralmente um meio de acesso à Internet. Com as configurações devidas de segurança uma rede wi-fi aufere de uma proteção adequada, sendo este geralmente o cenário das redes wi-fi pessoais que temos nas nossas casas, no entanto, em muitos contextos acabamos por utilizar redes wi-fi que não são de nossa pertença ou cuja configuração não foi efetivamente validada. Nesses contextos, estamos a aceder a recursos através de um meio que não pode ser totalmente confiável, traduzindo-se em múltiplos riscos para os utilizadores, nomeadamente a possibilidade de algum elemento com intentos maliciosos puder no limite interceptar ou monitorizar o conteúdo da sua ligação neste meio de acesso.

Assim sendo, nem todas as redes wi-fi são seguras, e devemos ponderar muto bem sempre que nos ligamos a uma rede wi-fi pública, e que tipo de transações e aplicações utilizamos neste contexto.

Outro dos riscos de relevo, são que, ao nos ligarmos a esta rede wi-fi deixamos o nosso equipamento mais exposto a todos os outros utilizadores desta rede wi-fi, sendo que este risco também deverá ser levado em consideração, uma vez que pode representar a possibilidade de intrusão ou infeção do seu equipamento com software malicioso.

Nos últimos anos, as compras on line dispararam pela comodidade e rapidez que oferecem, no entanto é importante os utilizadores saberem como proteger-se. Antes de mais, devem verificar se o endereço do website tem a sigla HTTPS no URL, já que isto garante que a legitimidade do ecommerce, bem como a encriptação dos dados trocados, logo as transações poderão ser feitas de forma segura (podendo também ler as Políticas de Privacidade). Deve evitar-se fazer a compra online através de redes wi-fi públicas, é sempre mais seguro fazer através de redes privadas, que se sabe de antemão serem seguras. No entanto, se estiver a comprar num ponto de acesso público, opte por redes conhecidas, mesmo que sejam gratuitas. É conveniente ainda optar por inserir diretamente o endereço oficial do website, em vez de aceder a partir de algum link e, se por acaso desconfiar de um site, faça as devidas diligências.

Outro aspeto importante é criar passwords seguras e fortes, alterando-as de forma regular, assim como ir verificando os extratos das suas contas.

Faça atualizações regulares do software de segurança e coloque em modo automático as definições referentes a atualizações.

Em relação ao pagamento, antes de o fazer deve sempre ler os termos e condições e os termos de venda. Quanto à modalidade de pagamento, deve-se optar por aquela que dá mais segurança, sendo de salientar que se optar por cartões, os mais seguros são os que exigem autenticação adicional.

Por fim, se for comprar cartões-presente, certifique-se que o site tem uma política de garantia sólida.

De qualquer forma, é importante estar informado sobre os direitos dos consumidores: Compras online: legislação e direitos do consumidor (proteste.pt) / Compras: direitos dos consumidores na UE - Your Europe (europa.eu) / Direitos dos Consumidores

Saiba mais aqui.

O Formjacking é mais uma forma de ataque cibernético que ocorre quando os atacantes injetam código JavaScript malicioso, com o intuito de adulterar um site e poder modificar o funcionamento da sua página de pagamento. Este tipo de ataque representa uma grave ameaça tanto para empresas como para utilizadores, uma vez que é usado para roubar dados de cartões de crédito e dados pessoais e confidenciais dos utilizadores.

Para evitar este tipo de ameaça, os utilizadores podem tomar algumas medidas, como optar por fazer compras em websites que conheçam; procurar informar-se sobre a experiência que outros utilizadores tenham tido no passado; verificar o URL da página e ver se a barra de endereço indica ‘HTTPS’ e não ‘HTTP’ e dar somente as informações estritamente necessárias para avançar com a transação. Saiba mais aqui.

Gostaria de ver mais questões adicionadas a este guia de Cibersegurança?
Envie a sua sugestão para info@integrity.pt.

Um especialista em cibersegurança é um profissional qualificado para proteger sistemas de computador, redes, dados e informações contra ameaças cibernéticas, desempenhando um papel fulcral na proteção de sistemas contra ameaças cibernéticas num ambiente digital. As suas qualificações são essenciais para manter a integridade, confidencialidade e disponibilidade da infraestrutura da tecnologia de informação segura. Assim, as principais responsabilidades e atividades de um especialista em cibersegurança são as seguintes:

•  Análise de Riscos;
•  Monitorização de Segurança;
•  Resposta a Incidentes;
•  Avaliação de Tecnologia;
•  Atualização Contínua;
•  Pen Tests;
•  Desenvolvimento de Políticas de Segurança;
•  Proteção de Dados.

Através da execução destas práticas, um especialista em cibersegurança consegue desempenhar melhores resultados e garantir uma maior eficácia da segurança desenvolvida nos sistemas informáticos.

A Inteligência Artificial (IA) influencia de forma bastante positiva a cibersegurança, uma vez que pode ser utilizada para melhorar a deteção de ameaças, bem como para fortalecer a defesa contra ataques cibernéticos.

A IA pode contribuir para a cibersegurança de diversas formas, tais como:

•  Deteção de Ameaças;
•  Análise Comportamental;
•  Análise de Malware;
•  Resposta a Incidentes;
•  Previsão de Ameaças;
•  Autenticação Multifatorial;
•  Gestão de Acesso;
•  Análise de Logs;
•  Combate a Ameaças Persistentes Avançadas (APTs);
•  Machine Learning para Defesa.

Apesar de a IA ser uma ferramenta que contribui positivamente para o desenvolvimento da cibersegurança, é importante ter conhecimento de que a mesma tecnologia pode ser utilizada e explorada por atacantes cibernéticos com o objetivo de criarem ameaças ainda mais perigosas.

Assim, a IA desempenha um papel fundamental nesta constante evolução de ciberataques, tanto para defender como para atacar. No entanto, continua a ser um recurso essencial para proteger sistemas e dados e contribuir para a cibersegurança.

O malware (abreviação para o termo software malicioso) está relacionado com qualquer tipo de software criado com o propósito de causar danos a computadores, dispositivos ou redes, e de realizar atividades maliciosas sem o conhecimento ou consentimento do utilizador.

O malware pode assumir diversas formas, sendo estas maioritariamente prejudiciais. Os seguintes exemplos são referentes aos tipos de malware mais comuns: Vírus; Worms; Trojans; Spyware; Adware; Ransomware; Rootkits; Botnets; Keyloggers; Malware móvel.

Geralmente, a disseminação de malware ocorre através de downloads de software desconhecido, anexos de e-mail maliciosos, sites comprometidos ou exploração de fragilidades de segurança em sistemas mais desatualizados. No entanto, é possível proteger os nossos dispositivos contra malware, utilizando sistemas de antivírus e firewalls e adotando práticas seguras de cibersegurança. É importante, também, manter os sistemas e softwares atualizados.

Um ataque de ransomware é um tipo de ataque cibernético no qual os atacantes cifram os dados de um sistema ou uma rede, impedindo o acesso legítimo dos próprios utilizadores. Chama-se ransomware a este tipo de ataque, uma vez que os atacantes mantêm os dados e as informações como reféns e exigem um resgate (geralmente um pagamento efetuado por criptomoedas) em troca de uma chave que restaura os dados.

Existe um padrão semelhante entre os vários ataques de ransomware:

•  Entrada no sistema: os atacantes introduzem o ransomware no sistema, através de anexos de email, downloads ou sites comprometidos.
•  Criptografia: uma vez introduzido no sistema, o malware começa o processo de cifra, que cruza os dados e a informação do sistema, tornando-os inacessíveis sem uma chave adequada.
•  Exigência de Resgate: após a cifra dos dados, os cibercriminosos exibem uma notificação ou introduzem um arquivo de resgate no sistema, informando a vítima que os seus dados foram criptografados e exigem uma quantia específica de dinheiro para os utilizadores poderem obter a chave de descriptografia.
•  Prazo: os atacantes estabelecem um prazo para o pagamento do resgate, ameaçando a exclusão permanente de toda a informação, caso o pagamento não seja realizado dentro do período solicitado.
•  Pagamento: se a vítima optar por efetuar o pagamento, os atacantes por norma fornecem a chave, permitindo que o utilizador recupere os seus dados. No entanto, não há garantias de que os atacantes cumprem com o acordo, visto que, em muitos dos casos, as vítimas não conseguem recuperar os seus dados mesmo após o pagamento do resgate.

Os ataques de ransomware podem ser avassaladores para utilizadores, empresas e organizações, uma vez que existe uma total perda de segurança, na medida em que se perdem dados e informação importantes e, ainda, acrescem custos significativos. Assim, adotar medidas de cibersegurança, manter os sistemas e softwares atualizados ou realizar backups regularmente podem ser soluções práticas para se proteger de ataques de ransomware.

O spyware é um tipo de malware projetado para recolher informações sobre a atividade do utilizador num computador ou dispositivo, sem o seu conhecimento ou consentimento. Estas informações podem ser dados pessoais, como passwords, histórico de navegação, informações de cartão de crédito e outros dados confidenciais.

O spyware é frequentemente utilizado para roubos de identidade, fraudes financeiras e espionagem cibernética.

Existem algumas práticas de cibersegurança para detetar o spyware, como seja a utilização de software de antivírus e estar atento a sinais de pop-ups indesejados.

Para prevenir o spyware, é fundamental ter cuidado com a realização de downloads e com e-mails desconhecidos, manter o software anti-virus atualizado, realizar uma atualização regular do computador e utilizar uma firewall. Estas medidas de cibersegurança podem reduzir significativamente o risco de um ataque de spyware.

Caso tenha um caso de spyware, é fundamental mitigar este risco. É possível eliminar através da utilização de um software anti-spyware, a restauração a partir de um backup ou em casos extremos através da formatação e reinstalação do sistema.

A norma ISO 27001 é uma norma internacional que estabelece requisitos e diretrizes para a gestão da segurança de informação, cibersegurança e proteção da privacidade em organizações. Foi, então, desenvolvida para ajudar as organizações a estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).

A ISO 27001 é fundamental no desenvolvimento de boas práticas de cibersegurança, uma vez que identifica ativos de informação relevantes para a organização, avalia os riscos da segurança de informação, de cibersegurança e de proteção da privacidade, fornece orientações sobre como dar resposta a ameaças cibernéticas ou ciberataques, destaca uma lista de controlos mitigatórios de risco e, ainda, aborda a consciencialização e a formação pessoal para a segurança de informação, cibersegurança e proteção da privacidade.

Existe, ainda, uma extensão da norma ISO 27001, a norma ISO 27701. Esta extensão direciona-se, essencialmente, para a proteção da privacidade da informação pessoal, estando alinhada com os requisitos e obrigações do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia e outras regulamentações de privacidade.

A exigência de requisitos específicos para a proteção de dados pessoais, as diretrizes para a gestão de incidentes de privacidade, a avaliação de riscos e o requisito de documentação sobre tratamento de dados pessoais são exemplos de várias práticas e medidas da norma ISO 27701 que podem beneficiar significativamente a evolução da segurança da informação e cibersegurança.

O PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) é um conjunto de normas de segurança, desenvolvido pelas principais empresas de cartões de pagamento, como a Visa, MasterCard e American Express. Estas normas foram criadas para proteger informações de pagamento e dados bancários, garantir a segurança de transações efetuadas por cartões de crédito e reduzir fraudes.

Nas organizações e empresas que trabalham com informações de pagamento, como comerciantes e bancos, existe um maior compromisso com o PCI DSS através do cumprimento das diretrizes e dos requisitos que este contém. Por isso, muitas empresas investem em medidas de segurança e cibersegurança para garantir a conformidade com o PCI DSS, de modo a protegerem os dados dos cartões de crédito dos clientes e a manterem a confiança dos consumidores.

Um hacker ético ou pentester é um especialista em cibersegurança, que utiliza os seus conhecimentos técnicos de hacking para identificar vulnerabilidades nos sistemas de computadores, redes e aplicações, de forma a que as mesmas possam ser resolvidas.

Os hackers éticos trabalham de forma legal, com a devida autorização, e de acordo com os princípios éticos, com o objetivo de proteger a segurança e a privacidade de sistemas e dados e ajudar empresas a fortalecerem os seus sistemas de cibersegurança. Através de pentests, análises de falhas nos sistemas e avaliações de segurança, um hacker ético desempenha um papel crucial na indústria de cibersegurança.