Vivemos tempos de aceleração digital. Os últimos anos trouxeram-nos uma grande evolução tecnológica, com aumento drástico na utilização de dispositivos móveis e a democratização do acesso à Internet. Vivemos tempos em que tudo e todos estão conectados, dispositivos e pessoas, onde a partilha de dados, por vezes críticos, é cada vez maior.
A Aceleração Digital
A cada dia que passa, mais utilizadores se conectam online. Um estudo recente indicava que em janeiro de 2020, 4,5 mil milhões de pessoas acederam à Internet, o que representa cerca de 60% da população mundial e é ilustrativo desta digitalização.
A evolução digital veio facilitar o quotidiano das pessoas, e o dia-a-dia das organizações, mas veio também aumentar a complexidade, de sistemas, aplicações, redes, dispositivos, levando a uma degradação do perímetro de segurança das organizações. Para adensar ainda mais a criticidade deste contexto, a pandemia COVID-19, com a consequente adoção de teletrabalho, acrescentou ainda maiores dificuldades na segurança de informação das empresas, constituindo-se também como uma janela de oportunidade para os ciber ataques.
Só entre fevereiro e março de 2020, por exemplo, registou-se um aumento de 84% do número de incidentes de segurança reportados em Portugal, tendo-se registado um aumento de incidentes de mais de 150% em 2020, face ao ano anterior.
Fenómenos como a clonagem de websites ou esquemas de phishing são formas recorrentes de tentativa de intrusão e de captação indevida de credenciais de acesso e dados pessoais/pagamento, entre outros dados críticos.
A transmissão de dados pessoais, sem uma prévia fiscalização, é o primeiro passo para sermos vítimas de phishing.
O que é o “Phishing”?
O phishing é uma técnica de engenharia social associada à pirataria informática que pretende ludibriar utilizadores e obter informações confidenciais, como o nome do utilizador, as suas passwords, a sua morada e até os detalhes do seu cartão de crédito. Este conceito deriva da palavra inglesa “fishing” (em português ‘pesca’) uma vez que o seu objetivo passa exatamente por tentar “pescar” todos os dados dos utilizadores.
Quais os tipos de phishing mais comuns?:
1. Falsos e-mails ou falsas mensagens
Para cometer estas fraudes, os piratas informáticos utilizam mensagens e imagens aparentemente reais, de forma a persuadir o utilizador a fazer determinadas ações. Caso o utilizador não perceba que é um e-mail de phishing, pode acabar por clicar num link fraudulento ou alterar a password da conta. Ao entrarmos neste tal link fraudulento, permitimos que o hacker tenha acesso aos nossos dados pessoais.
2. Ataques aos dados na Cloud
Os colaboradores e as organizações armazenam cada vez mais documentos confidenciais na cloud, utilizando aplicações como Google Docs ou One Drive, o que faz com que, esse tipo de plataformas, sejam cada vez mais atrativos para o cibercrime, com o intuito de roubar ficheiros e informação profissional e dados sensíveis das organizações, mas também informação pessoal, de diversa ordem. O modus operandi plano de ataque é similar ao referido no exemplo anterior, muitas vezes com envio de emails falsos que procuram fazer-se passar pelas entidades que gerem essas plataformas e solicitando ao utilizador que execute uma operação “banal”, como, por exemplo, redefinir a sua password.
3. Phishing por ransomware
Este tipo de phishing é ligeiramente diferente dos exemplos anteriormente apresentados. O utilizador também recebe um link malicioso, porém, em vez de ser direcionado para um site falso, esse link procede à instalação de malware no computador. A intenção do ataque passa não só pelo roubo da informação, mas também pelo sequestro virtual do próprio computador ou por uma entrada “silenciosa” na rede de uma organização, permitindo-lhe, a partir daí, permanecer incógnito nessa mesma rede, durante meses, roubando quantidades gigantescas de dados ou, assumindo controlo sobre outras plataformas, sistemas, até máquinas e espaços, por exemplo.
Torna-se, portanto, fundamental identificar alguns passos que que ajudam as organizações e, consequentemente os seus colaboradores, a reduzir o risco de phishing:
• Educação e sensibilização
As organizações podem e devem realizar simulações de phishing, junto dos seus colaboradores. Este tipo de iniciativas e testes permitem, não só avaliar o nível de preparação e atenção dos colaboradores a possíveis ataques, mas também, permite que todos se preparem da melhor forma possível para lidar com ameaças reais. Por outro lado, também é essencial que sejam criadas algumas comunicações internas e ações de formação/sensibilização, que expliquem às equipas, os diferentes tipos de phishing, as sensibilizem para esta questão e as preparem para agir de forma adequada em caso de ataque.
• Apostar em soluções de segurança com Inteligência Artificial
Numa perspetiva mais técnica, é fundamental que as equipas de segurança e IT das empresas se foquem na Arquitetura de Segurança, através de uma abordagem holística que inclua capacidades tecnológicas “inteligentes” e que contemple standards, guidelines, processos e práticas, que garantam mecanismos de salvaguarda das políticas de segurança e de privacidade da informação e dos acessos.
É necessário mudar o paradigma – procurar comportamentos anómalos, ao invés do foco na procura de comportamento malicioso, através dos algoritmos de inteligência artificial. Estes são um dos pilares fundamentais para a automatização da cibersegurança, e uma resposta aos limites da capacidade humana.
A inteligência artificial é um forte aliado ao serviço da cibersegurança e um investimento essencial nos dias de hoje, para aumentar a segurança nas organizações, não ao nível da deteção das ameaças, mas também na resolução e anulação das mesmas em tempo real.
O phishing é uma ameaça bem presente, cada vez mais sofisticada e preocupante no novo mundo digital. É, por isso, importante que todas as organizações, independentemente da sua dimensão ou sector de atividade, estejam cada vez mais atentas e, sobretudo, preparadas. Também ao nível individual, exige-se atenção redobrada quando respondemos a e-mails e ao cumprimento das mais básicas (e fundamentais) regras de segurança.
A sua organização está preparada para enfrentar esta ameaça?
Nuno Cândido
IT Operations, Cloud & Security Associate Director na Noesis