Estruturas do Estado e organismos públicos têm sofrido mais pirataria informática. PJ regista aumento exponencial de inquéritos sobre cibercriminalidade e quase duplicou o número de detidos em 2021.
Corpo do artigo
As novas variantes da covid-19 são a grande aposta dos piratas informáticos, que aproveitam o medo e a curiosidade das pessoas para lhes roubarem credenciais ou dados pessoais sigilosos e os usarem em lucrativos ataques informáticos. De 2020 para 2021, verificou-se um aumento exponencial de casos de pirataria e as instituições do Estado, como hospitais ou autarquias, foram alvos preferenciais dos hackers.
Cuidado e vigilância. Estas são as palavras de ordem para quem usa a Internet. O perigo está em todo o lado e os números não enganam. Em janeiro de 2021, a Polícia Judiciária tinha pendentes cerca de 13 900 inquéritos relacionados com a cibercriminalidade. Já este ano, são 17 800 casos, o que representa um aumento de 27% em relação a 2021.
De acordo com o mais recente relatório da Agência da União Europeia para a Cibersegurança (ENISA), desde o início da pandemia que a covid-19 é o isco favorito dos grupos criminosos para perpetrar ataques. E, dentro do tema covid-19, os piratas estão agora a explorar o interesse pelas novas variantes.
"Durante a pandemia, os cibercriminosos têm explorado o interesse, a preocupação, a curiosidade e o medo das pessoas usando iscos de phishing relacionados com a covid-19 para obter ganhos financeiros", explica o relatório. Além das novas variantes, os criminosos também orientam as suas campanhas na exploração da curiosidade sobre rastreamento, teste e tratamento de doenças e ainda sobre vacinação. Os ataques são cada vez mais personalizados e dirigidos a funcionários colocados em teletrabalho e sobre quem os piratas fizeram um trabalho de engenharia social (pesquisa sobre os interesses específicos de cada pessoa). Muitos deles serão funcionários públicos.
"Os piratas usam temas sobre a saúde para aproveitar a curiosidade. Quanto mais o tema for apelativo, mais eficaz é o processo de phishing ou ransomware (pedido de resgate). Num primeiro tempo, os piratas querem chegar às credenciais de acesso para depois lucrarem com os ataques", explicou ao JN uma fonte da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da PJ. Em 2020, esta Unidade deteve 45 suspeitos de crimes informáticos, tendo esse número disparado para 79 em 2021.
Maiores resgates
"O aumento reflete também mais ataques contra estruturas do Estado, como os hospitais. O objetivo é sempre obter credenciais, para usá-las depois para ter acesso ao banco online ou outro objetivo monetário, mas também pode ser motivado por vingança ou pelo ego. Há também os pedidos de resgate", precisou a mesma fonte.
De acordo com a ENISA, no passado os cibercriminosos especializados em pedidos de resgate (após encriptação dos dados) visavam principalmente pequenas e médias empresas com programas de segurança menos eficientes. Mas, atualmente, a tendência é para direcionar os ataques para organizações maiores, capazes de pagar maiores resgates.
Proteção
Seguros para proteger do cibercrime
Durante a pandemia, várias seguradoras portuguesas lançaram apólices para as vítimas da cibercriminalidade. Os seguros oferecem indemnizações por danos provocados a terceiros, devido a ataques à própria rede informática, com capitais que podem chegar a 1,2 milhões de euros, mas também o pagamento de despesas de recuperação de dados e limpeza de vírus. As seguradoras impõem geralmente avaliações básicas de risco, incluindo testes de segurança e verificação de vulnerabilidades para assegurar os clientes contra ataques informáticos. Porém, a iniciativa pode ter efeitos perversos. Segundo a Agência Europeia de Cibersegurança, as empresas vítimas de ransomware poderão sentir-se tentadas a pagar de imediato os resgates, alimentando toda a economia deste tipo de ataques.
Ataques recentes
Abril 2020 - EDP
A elétrica foi alvo de um ataque em que os piratas conseguiram penetrar num servidor interno onde terão sacado dez terabytes de informação sensível. Reclamaram dez milhões de euros de resgate para não divulgar a informação.
Setembro 2021 - Caixa Geral de Depósitos
Também através de phishing, foi lançada uma campanha dirigida a clientes da Caixa Geral de Depósitos que fossem titulares de cartões de crédito. Nesta campanha, os criminosos pretendiam convencer as vítimas a facultarem-lhes dados dos seus cartões de crédito.
Criminosos lançaram uma campanha de phishing dirigida a clientes do Novo Banco. Como é habitual nestes casos, o processo começou com a expedição, para muitos destinatários, de mensagens fraudulentas de correio eletrónico.
Dezembro 2021 - SIC e Expresso
O grupo Impresa foi alvo de um ataque sem precedentes em Portugal, envolvendo a destruição de dados. O mesmo foi qualificado de ataque à liberdade de imprensa. O caso está a ser investigado pela Polícia Judiciária.
Janeiro 2022 - Telefonemas Microsoft
Houve um aumento de telefonemas fraudulentos, em nome da empresa Microsoft, que incentivam as vítimas a instalarem programas maliciosos no seu computador, com a intenção de roubar ou encriptar informações.
Conselhos úteis
Senhas fortes
Usar credenciais de acesso fortes, com números e letras maiúsculas. Não repetir senhas em sites diferentes e mudar regularmente as senhas pode dificultar a vida aos piratas informáticos. Evitar usar nomes de familiares ou datas de nascimento.
Atualizações
A atualização regular do software é importante na prevenção da cibercriminalidade. Para obter acesso aos sistemas os piratas usam padrões que podem ser detetados com as atualizações. Usar um antivírus é fortemente recomendado.
Backups blindados
A implementação de estratégias de backups (cópia de segurança dos dados) seguros e recorrentes que estejam desligados da rede permite evitar a encriptação ou destruição de dados.
Formação
É importante manter-se atualizado sobre os perigos e os cuidados a ter com a utilização da Internet.