Quais são as principais táticas usadas pelos cibercriminosos oportunistas? É esta a pergunta a que o mais recente seminário virtual do Centro Nacional de Cibersegurança se propôs a responder para ajudar o público a estar mais bem preparado para lidar com as crescentes ameaças.
O novo estilo de vida mais digital, trazido pela pandemia de COVID-19, levou a um aumento significativo do número de ciberataques e as ameaças que recorrem a técnicas de engenharia social para se aproveitar dos receios dos utilizadores em relação à doença são cada vez mais frequentes.
De acordo com Lino Santos, coordenador do CNCS, é comum encararmos a cibersegurança como uma área que trata somente das vulnerabilidades das tecnologias, contudo, o vetor humano é o que acaba sempre por ser mais explorado pelos criminosos.
Embora ainda não existam números concretos que deem uma visão total da extensão da cibercriminalidade na pandemia, Pedro Verdelho, coordenador do Gabinete de Cibercrime da Procuradoria-Geral da República, afirmou que existem claros indícios de que há um aumento dos incidentes que recorrem a técnicas de engenharia social.
Tendo por base os mais recentes dados relativos a denúncias feitas, o responsável explicou que há um aumento de propagação de mensagens, sejam por email ou SMS, que escondem esquemas de phishing bancário, incluindo fraudes como o MB WAY, e de acesso a serviços como a Netflix e que têm em conta os novos hábitos digitais dos utilizadores.
Os casos de sextortion registam também um aumento preocupante e Ricardo Estrela, gestor operacional da Linha Internet Segura, realçou o número crescente de chamadas relacionadas com incidentes em que os atacantes tentam extorquir avultadas somas às vítimas, ameaçando-as com a publicação de imagens íntimas ou de supostos hábitos em websites pornográficos.
Nos esquemas, os agentes tentam reunir o máximo de informação pública para dar verosimilidade aos seus ataques, recorrendo muitas vezes a bancos de passwords expostas, por exemplo, na dark web e usando-as como forma de levar as vítimas a fazer aquilo que querem.
O gestor da Linha Internet Segura deu a conhecer que uma das situações que deixa um impacto psicológico mais profundo nas vítimas, especialmente no contexto de isolamento social, são as burlas através de relações amorosas.
As vítimas são sobretudo pessoas que têm muita informação pública nas redes sociais e sites ou plataforma de encontros online. Facilmente se cria uma narrativa para estas pessoas e se estabelece uma relação de confiança que acaba por resultar na transferência de sumas avultadas para os burlões. Os casos são mais flagrantes quando falamos de pessoas em relacionamentos extraconjugais ou em relações instáveis. A questão pode tornar-se ainda pior, levando a casos de sextortion, quando há partilha de fotos ou vídeos íntimos.
Já no mundo dos ataques que têm como alvo as instituições bancárias, Elisa Parreira, coordenadora da unidade de segurança da informação da Caixa Geral de Depósitos, deu a conhecer que o número de campanhas de phishing, smishing e spam em geral aumentaram, em especial durante o mês de abril.
Os casos são frequentes e visam a recolha de dados dos utilizadores. Os cibercriminosos contactam os clientes fazendo-se passar, neste caso, pela CGD com mensagens que apelam a uma ação urgente, como por exemplo, caso a vítima não faça o que é pedido, perderá o acesso à sua conta.
A situação acaba por levar os utilizadores mais incautos a dar as suas informações. A responsável explica que é por este motivo que a CGD tem mantido a comunicação com os clientes para alertá-los para mais recentes ataques, mas também para consciencializá-los acerca de boas práticas de segurança.
Engenharia social: Que táticas são usadas mais frequentemente?
Segundo Nelson Escravana, diretor de Investigação e Desenvolvimento em Cibersegurança do INOV – INESC, a pandemia assume-se como um contexto perfeito para os cibercriminosos que usam frequentemente táticas de engenharia social atacarem.
Além disso, a própria engenharia social mudou muito ao longo da última década, recorrendo cada vez mais a tecnologias avançadas, desde a automatização de ataques através de chatbots à análise com inteligência artificial às redes sociais.
O responsável elucidou que é cada vez mais fácil montar uma infraestrutura fraudulenta dado à disponibilidade de ferramentas online. O recrutamento de pessoas através de redes sociais, aliciando-as com a promessa de dinheiro fácil, é também cada vez mais comum e, em muitos dos casos, os cúmplices nem se apercebem que estão, de facto, a participar em fraudes.
As técnicas usadas pelos criminosos assentam principalmente na persuasão, fazendo com que a vítima acredite cegamente no que lhe está a ser dito. Os atacantes adequam os seus discursos consoante estejam a lidar com alguém que tem alguns conhecimentos a nível informático ou com uma pessoa que não tenha literacia digital.
Entre as táticas mais comuns estão então as que recorrem a argumentos de reciprocidade; de raridade, prometendo, por exemplo, artigos exclusivos a preços demasiado bons para serem verdade; de “compromisso e consistência”, também conhecido como o ataque “pé na porta” onde é pedido à vitima que faça uma série de pequenas ações que acabam por tornar-se em grandes pedidos; e ainda de autoridade.
Os esquemas de phishing são frequentemente combinados com malware facilmente disseminado através de plataformas online onde reina a pirataria, como por exemplo, websites de pornografia ou que transmitem jogos desportivos ilegalmente.
Se para o comum dos utilizadores os ataques podem ter graves consequências, a situação torna-se ainda mais problemática no caso das empresas. De acordo com Nelson Escravana, os funcionários constituem-se como um veículo de ataque e basta abrir um simples email aparentemente legtímo para pôr em causa os sistemas de informação das empresas.
A sensibilização é essencial para uma melhor prevenção dos ataques
A sensibilização é fundamental, sublinhou Nelson Escravana, lembrando que ninguém está imune a uma ataque baseado em táticas de engenharia social. No caso das empresas, é necessário apostar em formação no que toca a práticas ciberhigiene e de funcionamento dos sistemas informáticos, além do estabelecimento de regras muito específicas de utilização dos mesmos, seja dentro ou fora dos espaços físicos das organizações.
O responsável acrescentou ainda que é necessário que o público em geral se torne mais atento às comunicações que recebe na sua caixa de correio eletrónico, nas redes sociais ou no seu smartphone. “Os ataques só acontecem quando confiamos” e é por esse motivo que devemos questionar sempre a legitimidade da informação.
Já Ricardo Estrela reforçou a importância de prestar atenção à nossa pegada digital, indicando que esta pode tornar-nos muito permeáveis aos ataques e as informações que disponibilizamos publicamente na internet podem ser facilmente usadas contra nós.
Reportar incidentes é essencial para conseguir travar os atacantes, afirmou Pedro Vedelho. A passagem do crime para o mundo online dificultou seriamente a vida aos investigadores e às autoridades e o coordenador indica mesmo que o cibercrime acaba por ser muito mais seguro para os delinquentes. Assim, mesmo se se tenha sofrido uma tentativa de ataque, é necessário alertar as autoridades competentes, pois estas precisam de conhecer o modus operandi dos criminosos, complementou Lino Santos.
Pergunta do Dia
Em destaque
-
Multimédia
Swift da NASA continua a descobrir fenómenos "explosivos", vinte anos depois do lançamento -
App do dia
Xpiry: Uma app que não deixa os alimentos passarem do prazo -
Site do dia
Konkr é um jogo browser inspirado em Risco e Civilization. Cuidado para não ficar viciado -
How to TEK
Saiba como fazer cálculos matemáticos escrevendo no bloco de notas da calculadora do iPadOS 18
Comentários