Cibercrime invadiu as empresas em Portugal: como regir?

Já não é possível empurrar o assunto para debaixo do tapete: os ataques informáticos cresceram 81% em Portugal, só no último ano. Mais do que nunca, as empresas portuguesas estão a ser alvo de tentativas de cibercrime.

Quem o diz é um estudo da Check Point Software, que indica os setores da educação, saúde e administração pública como os mais afetados, neste quadro de escalada do cibercrime. A sua empresa não é excepção: em média, uma organização portuguesa é atacada +800 vezes por semana!

Hoje vou ensiná-lo a proteger a sua empresa, para que não seja mais uma vítima desta escalada de cibercrime. E para que entenda a importância de uma proteção eficaz, vamos olhar para o que aconteceu às empresas que todos consideramos impenetráveis.

Portugal: que empresas atacadas?

A lista de empresas portuguesas que foram alvo de cibercrime no último ano tem presenças surpreendentes:

• SIC
• Expresso
• Continente
• SONAE
• Vodafone
• TAP
• Cofina
• Sport Lisboa e Benfica

E não foram ataques simples, que resultaram na perda de um rato de computador.

O ataque à Vodafone fez com que bombeiros, carteiros e alguns hospitais perdessem a capacidade de resposta aos utentes. Polícia Judiciária esteve impedida de receber queixas. Até os ATM da rede Multibanco deixaram de funcionar!

“Um dos hospitais afectados foi o de Matosinhos, que se viu impedido de enviar mensagens automáticas com convocatórias para consultas e exames e resultados de testes à Covid-19.“

– Mariana Marques Tiago in Público

Outras organizações portuguesas afetadas incluem:

• Instituto Português do Mar e da Atmosfera
• EMEL
• INEM

Mário Vaz, CEO da Vodafone em Portugal, explica que milhares de utilizadores perderam acesso a chamadas, mensagens escritas, dados móveis e, em alguns casos, até o acesso aos canais de televisão esteve condicionado.

E o caos não se limita à rede Vodafone. O ataque ao grupo Impresa, onde se inclui a SIC e o jornal Expresso, foi conduzido pelo grupo de hackers Lapsus e resultou em milhares de ficheiros em arquivo destruídos.

Era natural pensar que estes ataques estavam a ser conduzidos por alguém que planeava exterminar o jornalismo livre em Portugal. Mas a BBC afirma que o grupo Lapsus é liderado por um jovem de apenas 16 anos!

A organização criminosa já tinha sido associada ao ataque o Ministério da Saúde no Brasil e, desta vez, conseguiu tomar de assalto a conta Twitter do Expresso, para além do website www.expresso.pt. Este era o aspeto da página, quando se tentava aceder:

O mesmo grupo reivindicou ataques à Assembleia da República e à Tap. E alegadamente, condicionou o acesso aos websites do grupo Cofina e afetou os portais do:

• Jornal Record
• Correio da Manhã
• Jornal de Negócios
• Revista Sábado
• CMTV

A sensação que fica é a de um país inteiro em estado de sítio, sem acesso a informação e serviços essenciais, por culpa de uma brincadeira adolescente. E se era difícil pensar que as empresas se encontram tão vulneráveis e que, mais do que nunca, precisam de se proteger, a prova mais do que evidente está aqui.

“As maiores instituições do nosso país foram vandalizadas num estalar de dedos.“

– Nuno Diniz – Fundador Morebiz

Como empresário, a pergunta que resulta desta constatação é só uma: qual a forma de garantir os requisitos mínimos de proteção à minha empresa? Continue a ler para descobrir.

Que ameaças a minha empresa pode enfrentar?

Há dois tipos de cibercrime normalmente utilizados num ataque a empresas ou instituições: phishing e ransomware. Temos escrito sobre os dois, mas hoje vamos sumarizar a informação de que precisa para defender a sua empresa.

Phishing: o essencial

Conhecemos por phishing o acto criminoso de enganar um utilizador, levando-o a partilhar informações confidenciais como passwords ou números de cartões de crédito.

Clique e aprenda a evitar roubo de dados via phishing

Tal como na pesca (fishing em inglês), há mais do que uma forma de “pescar” a vítima. Mas recorrer a um email que se faz passar por determinada pessoa ou organização confiável – como um banco ou entidade governamental – continua a ser a prática mais comum.

Esta é a sequência habitual do crime:

1. A vítima abre o email porque encontra na sua caixa de entrada um assunto assustador ou urgente;
   
   
2. O email pede à vítima que baixe um anexo e/ou consulte um website e faça determinada ação urgente;
   
   
3. O utilizador clica e entra num website com aspecto fidedigno;
   
   
4. O website pede ao utilizador que inicie sessão ou introduza dados bancários ou pessoais;
   
   
5. Essa informação é posteriormente vendida, usada para esvaziar contas bancárias e/ou extorquir a vítima

A grande diferença entre um utilizador que sabe identificar este tipo de ameaça e aquele que tropeça a cada armadilha é a formação em cibersegurança.

De qualquer forma, como regra geral, você deve suspeitar que está perante uma tentativa de phishing quando o email que acabou de receber apresenta os seguintes sinais:

1. O email dirige-se a si de forma generalista (ex.: prezado leitor)
   
   
2. Pede uma ação imediata
   
   
3. Utiliza links abreviados, suspeitos ou com erros ortográficos
   
   
4. Tem erros ortográficos no corpo de texto
   
   
5. Pede informação pessoal
   
   
6. Provém de um email que você desconhece
   
   
7. Contém anexos suspeitos
   
   
8. Propõe uma oferta boa demais para ser verdade

Lembre-se que, tipicamente, os criminosos fazem passar-se por instituições bancárias, entidades do governo, impresa ou redes sociais. E que a tentativa de roubo pode chegar, não só por email, como por chamada ou mensagem escrita!

Clique e descubra se a sua empresa foi afetada durante a pandemia

Em 2020, Portugal estava em segundo lugar na lista de territórios com maior índice de roubo de dados à escala mundial, logo abaixo do Brasil. Phishing é o tipo de cibercrime mais frequente em todo o mundo, por isso você deve adotar um comportanto, especialmente quando abre um novo email.

Ransomware: o essencial

Se não conhecia o termo: ransomware é um tipo de software pirata que consegue impedí-lo/a de aceder ao seu sistema ou ficheiros pessoais, a não ser que pague um resgate para ter esse acesso de volta.

Este tipo de software pode chegar ao seu computador, por exemplo, através de uma tentativa phishing. E foi graças a um processo semelhante que o grupo Lapsus conseguiu tomar de assalta o website do jornal Expresso.

Agora que já sabe como se processam os dois tipos de cibercrime que mais afetam as empresas portuguesas, chegou a altura de saber como defender a sua.

Como defendo a minha empresa de phishing e ransomware?

Quando a sua empresa compreender a importâncias das boas práticas ao nível da segurança informática vai atingir um estado de maturidade superior: os seus colaboradores sabem identificar tentativas de phishing e os dados da sua empresa estão menos vulneráveis do que antes. Mas isso significa que a sua empresa está protegida contra qualquer tentativa de ciberataque?

Longe disso.

Cabe-lhe a si enrijecer as muralhas do castelo; a Morebiz – IT Solutions aconselha a que implemente:

• Backups automáticos
• Sistema de credenciais
• VPNs seguras

Descarregue grátis nosso o Manual de Boas Práticas – Segurança Informática

Vou explicar-lhe o que cada um significa (foi exatamente isto que aconselhei aos nossos clientes que tiveram problemas de segurança quando o teletrabalho se tornou obrigatório):

1 – Backups automáticos

Vocês deve, não só centralizar os dados da sua empresa num servidor único, como garantir que a informação que guarda nesse servidor está duplicada noutro servidor. Atenção: os dois servidores devem estar em localizações distintas, para salvaguardar a perda de dados em caso de incêncio ou acidente elétrico grave.

O sistema funciona de forma simples: o primeiro servidor vai permitir acesso aos dados da empresa a qualquer hora e a partir de qualquer lugar. O segundo servidor vai garantir que, caso exista algum acidente com este primeiro servidor os dados não são perdidos para sempre. Tudo feito de forma automática!

2 – Sistema de credenciais

O acesso aos servidores da sua empresa deve ser altamente condicionado. Isto siginifica que cada colaborador deve ter dados de acesso pessoais e intransmissíveis. Impeça que qualquer um possa entrar na rede da sua empresa e ter acesso direto aos dados e documentos armazenados nos seus servidores!

3 – VPNs seguras

VPN é um palavrão que pode assustar os empresários menos tecnológicos. Mas na realidade significa: rede privada virtual. Esta rede privada virtual serve para que os seus colaboradores em trabalho remoto acedam aos serviços da sua empresa (ex.: consultar dados ou descarregar documentos) de uma forma e controlada.

A nossa equipa pode ajudá-lo/a a implementar estas ferramentas, no espaço de poucos dias. Mas para que possa dar o primeiro passo agora, criámos uma checklist com tudo o que precisa de confirmar para ter a certeza que as portas do castelo estão fechadas até a nossa ajuda chegar:

1. Alterar a palavra-passe da Wi-Fi e do router
   
   
2. Utilizar equipamentos e aplicações atualizadas
   
   
3. Utilizar palavras-passe seguras (ex.: não use 1234)
   
   
4. Ter cuidado com os dispositivos USB que se inserem nos equipamentos 
   
   
5. Fazer cópias de segurança de dados importantes
   
   
6. Não utilizar equipamentos sem proteção antimalware
   
   
7. Vigiar o email e escapar às armadilhas do phishing 
   
   
8. Comunicar de imediato ao serviço competente qualquer ataque cibernético 

Estas foram orientaçãos dadas pela Direção Geral da Administração e do Emprego Público em abril do ano passado, no seu Guia para a Segurança e Saúde em Teletrabalho na Administração Pública. Caso queira ir mais a fundo, os nossos colegas da Integrity.pt fizeram um trabalho completo, que tomámos a liberdade de incluir neste artigo:

1 – Recorra à VPN fornecida pela sua empresa para se ligar de forma segura à rede corporativa e para desenvolver tarefas relacionadas com a mesma

2 – Evite, sempre que possível, estar conectado à rede da empresa e a outras redes em simultâneo

3 – Reduza a extração de informação dos sistemas empresariais ao essencial

4 – Restrinja a partilha de documentos corporativos ao estritamente necessário, utilizando as vias previamente definidas pela organização para o efeito

5 – Evite copiar ficheiros empresariais para pen’s e discos externos

6 – Efetue backups de dados, de acordo com as diretrizes definidas na política de backups da sua organização

1 – Crie passwords robustas de acordo com a política de segurança, evite divulgá-las, reutilizá-las e proceda à sua atualização regularmente

2 – Utilize sempre os dispositivos disponibilizados ou certificados pela sua empresa para desenvolver a atividade profissional e não os partilhe com terceiros

3 – Mantenha o software de segurança (anti-malware, firewall, entre outros) e as aplicações que necessita sempre atualizadas e em linha com as práticas e políticas de segurança corporativas em vigor

4 – Garante que separa a informação pessoal da profissional e que não instala, nos dispositivos destinados à atividade profissional, software não autorizado pela empresa ou direcionado para fins alheios ao contexto profissional

1 – Escolha espaços onde possa efetuar chamadas profissionais sem correr o risco de partilhar informações confidenciais com terceiros

2 – Assegure-se que apresenta um background simples e sem referências pessoais ou familiares, caso necessite de efetuar chamadas de vídeo

3 – Bloqueie as sessões e opte por colocar em stand-by ou desligar funcionalidades como a câmara e o microfone sempre que não estejam em uso

4 – Evite deixar dispositivos de trabalho desbloqueados, principalmente se dividir o espaço com crianças

1 – Resista à tentação de abrir emails não solicitados, ainda que aparentem conter informação útil acerca de temas aparentemente relevantes (como o roubo de credenciais da sua conta Amazon)

2 – Não aceda a links nem websites e não abra ou efetue download de documentos anexos a comunicações não solicitadas. Diversos atacantes têm aproveitado a pandemia como via de difusão de malware

3 – Assegure-se que conhece os contactos da equipa de IT / Segurança da sua organização aos quais deve reportar comportamentos ou situações suspeitas, e solicitar instruções ou esclarecimentos em caso de dúvida

1 – Não instale qualquer aplicação que não seja fidedigna e pertença às lojas oficiais dos fabricantes (Google Play e AppStore) nos seus dispositivos

2 – Recorra a fontes de informação credível, como o website da OMS ou da DGS, sempre que necessitar de obter informações acerca dos temas que lhe interessam, evitando assim navegar em websites pouco seguros e potencialmente perigosos

3 – Esteja ciente que os atacantes podem tirar partido de temas mediáticos como a guerra na Ucrânia para convencer utilizadores a instalar aplicações ou software malicioso em equipamentos profissionais e pessoais

Por onde começar?

Se não quer que a sua empresa seja a próxima Vodafone ou jornal Expresso, você pode começar por seguir alguns dos conselhos que encontrou no capítulo anterior. Caso queira um sistema de defesa mais profundo, lembre-se que pode agendar uma reunião gratuita de 30 minutos com um dos nossos especialistas.