Cibersegurança

Cybersecurity Awareness

  • Outubro 25, 2024

Outubro foi instituído há exatamente 20 anos como sendo o mês para a consciencialização da Segurança da Informação, ou seja, outubro alerta para a necessidade de que enquanto Organizações Públicas, Privadas e mesmo enquanto indivíduos temos e devemos ser conhecedores e conscientes do que são as melhores práticas estabelecidas pelas Entidades Internacionais e Nacionais no que se refere à Cibersegurança.

Pode questionar-se o porquê de ter que se preocupar com a Segurança da Informação na sua Organização, quando esta, provavelmente está abrangida por regulamentação nacional ou sectorial, como por exemplo o Decreto Lei N.º 65/2021, a Diretiva NIS2, Regulamento da União Europeia de 2022 – Resiliência Operacional Digital do Setor Financeiro (DORA, em inglês), PCI-DSS ou mesmo o Regulamento Geral sobre a Proteção de Dados (RGPD).

Para além disso, poderá ainda questionar a razão pela qual se deve preocupar com a Segurança da Informação na sua vida pessoal quando, o seu provedor de Internet, do seu serviço de streaming, de e-mail e/ou de comunicações, é também obrigado a seguir todas essas boas práticas e regulamentos descritos acima.

Esta é uma pergunta legítima e pertinente, tal como são as seguintes:

  • Confia em cada e-mail, telefonema e pedidos de redes sociais que recebe diariamente?
  • Sabe como fazer ou, mais importante, como lidar com as fraudes diárias na sua vida pessoal e profissional?
  • Se pensar sobre o assunto, sabe identificar se já se encontrou nalguma destas situações?
  • Mais do que isso, sabe qual é o custo ou quais são as consequências que um cibercrime pode ter na sua vida pessoal e/ou profissional?

A resposta é que por muito fortes que sejam os sistemas de defesa de uma Organização, o erro e a distração humana, que podem provocar um incidente de segurança ou comprometer a Organização (mesmo que involuntariamente), são ações que não é possível controlar de forma individual.

 

Qual o principal foco da Engenharia Social?

Deve considerar-se que os erros descritos acima podem ser resultado de falta de conhecimento sobre métodos maliciosos utilizados por cibercriminosos que, na maioria das vezes, não utilizam fatores técnicos, mas sim Engenharia Social – definida como uma técnica de manipulação capaz de explorar erros humanos para obter informações confidenciais ou acessos.

De facto, nos dias de hoje os cibercriminosos continuam a efetuar ataques aos sistemas de defesa das Organizações, mas o principal meio de ataque é sem dúvida a Engenharia Social, ou seja, atacar os colaboradores para consequentemente, de forma direta ou indireta, atacar a Segurança das Organizações.

Devemos então considerar que somos nós o principal alvo dos cibercriminosos na Organização em que trabalhamos?

Sem dúvida e devemos ainda considerar o grau de responsabilidade que temos dentro da Organização, porque também este facto é avaliado quando os cibercriminosos decidem efetuar algum ataque, seja para extrair informação e dados, seja para ciberespionagem.

Como é que os cibercriminosos atuam usando a Engenharia Social?

Todos nós possuímos uma menor ou maior pegada digital, seja através da nossa conta de e-mail, seja através de serviços contratados de primeira necessidade, ou através de redes sociais e/ou profissionais e todos estes serviços podem e são usados pelos cibercriminosos, para de alguma forma, terem vantagem e executarem os seus ataques qualquer que seja o propósito dos mesmos.

Existem inúmeras formas de ataque à Segurança Digital, entre os mais famosos encontramos:

  • phishing realizados a um vasto grupo de colaboradores através de email;
  • smishing realizados a um grupo alargado de colaboradores através de mensagens de texto;
  • vishing – com a tentativa de obtenção de informação por via telefónica; e
  • ransomware com o envio de software malicioso através de links em emails para obtenção de compensação financeira através do bloqueio do equipamento infetado.

Não obstante, existem inúmeras outras formas de comprometer a Segurança (não só digital) de uma Organização. Apresentamos-lhe 3 exemplos práticos que ilustram cenários reais.

Caso 1 – Utilização de pen USB para pedido de resgate (e potencial ciberataque)

Caso 1 – Utilização de pen USB para pedido de resgate (e potencial ciberataque)

Um cibercriminoso dirige-se ao seu escritório, passa pelo segurança e dirige-se a si com um ar bastante preocupado e com a camisa e uns papeis sujos de café, diz-lhe que vem para uma entrevista, que teve um incidente na máquina de café e que, por isso, precisa de imprimir novamente o CV e solicita-lhe que o faça, partilhando uma pen USB para o efeito.

Sabia que, caso aceite este pedido, a sua organização ficará refém desse cibercriminoso em muito pouco tempo e poderá ter de pagar um resgate elevado?

Conclusão:
Nunca se deve usar pen’s USB desconhecidas, ou seja, que não saiba a origem das mesmas.
Caso 2 – A importância da (re)definição de passwords

Caso 2 – A importância da (re)definição de passwords

Atualmente temos inúmeras passwords de acesso a diversas áreas restritas em websites e, por isso, existe uma grande resistência à colocação de caracteres especiais, letras e números aquando da sua definição. Nesse sentido, imagine que quando é confrontado com a obrigatoriedade de definir uma nova password, decide colocar apenas o nome do seu animal de estimação. Um cibercriminoso que pretenda saber alguma informação da sua parte, aceda às suas redes sociais e, com toda a informação aí disponível, consegue facilmente descobrir a sua password e ter acesso às suas contas e equipamentos.

Sabia que se este cibercriminoso tiver total acesso à sua rede social, sabe através das fotos e informação que publica onde mora e se se encontra, fora da sua área de residência? Sabendo a sua localização até o seu animal de estimação poderá estar em risco.

Conclusão:
Qualquer aplicação, rede social ou website que tenha acesso a dados pessoais, deverá ter uma password forte, ou seja, uma password com caracteres especiais, letras maiúsculas e minúsculas e números. Não temos de decorar todas as passwords, poder-se-á adquirir até uma aplicação que guarde e faça este tipo de gestão.
Caso 3 – A importância da proteção da nossa pegada digital

Caso 3 – A importância da proteção da nossa pegada digital

Imagine que é diretor numa Organização e que um individuo lhe faz um convite, no LinkedIn, para se conectarem e que esse mesmo individuo é um cibercriminoso contratado por uma outra Organização sua concorrente, para descobrir qual a sua estratégia de negócio para 2025. Ora bem, esse mesmo individuo poderá usar várias estratégias: por um lado poderá alcançar a sua conta de redes sociais (como visto no exemplo anterior) ou, por outro lado, poderá ir atrás da sua conta corporativa.

Sabia que a sua conta corporativa e respetiva password podem estar expostas na Internet, na Dark ou Deep Web? Não obstante, este individuo opta por meter conversa consigo no LinkedIn para tentar criar empatia, uma vez que andou a investigar as suas redes sociais e descobriu os seus hobbies, gostos e família. No entanto, e apesar de não ter tido retorno da sua parte, ele tentará atacar as suas contas e descobrir como o poderá chantagear ou subornar de forma a obter a informação pretendida.

Conclusão:
Todos nós, independentemente do cargo que tenhamos, devemos proteger a nossa pegada digital o mais possível mas, tal como demonstrado neste exemplo, quanto mais alta a posição na Organização, maior o risco de ataque. Como nos podemos proteger? Um maior controlo da pegada digital, definição de passwords fortes e a informação que colocamos na Internet (redes sociais), sim é um facto que dá trabalho.

Apesar dos esforços feitos por cada Organização na prevenção do cibercrime, os cibercriminosos estão constantemente a melhorar a sua abordagem e métodos de ataque, fazendo com que a sensibilização para a Segurança da Informação das organizações tenha de estar a ser constantemente atualizada de forma a providenciar os seus colaboradores com as ultimas novidades nesta área, mas (existe sempre um mas) é igualmente de extrema importância que cada um de nós proceda de acordo com o que vamos aprendendo para nos protegermos e evitar ao máximo os dissabores de um ataque à nossa vida pessoal e/ou à nossa vida profissional! 

__
Nuno Roma Rodrigues
Cybersecurity Senior Manager da PwC Portugal

Garanta a segurança digital da sua empresa

Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças. Fale com os nossos especialistas em Cibersegurança.

Subscreva a nossa mailing list de Cibersegurança

Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.

Contacte-nos

Marketing

Fale connosco, PwC Portugal

Tel: +351 213 599 000

Siga-nos