Piratas informáticos estudam vítimas ao pormenor, até ao golpe final
Global Imagens
Multinacionais são alvos de redes criminosas que usam ferramentas tecnológicas e paciência para atingir quadros superiores.
É o último grito das burlas online. São redes criminosas altamente organizadas que utilizam sofisticadas ferramentas na Internet, aliadas a antigos métodos de burla como a engenharia social, para sacar milhões a empresas da indústria portuguesa. Só nas últimas semanas, esta nova burla já lesou multinacionais portuguesas em pelo menos quatro milhões de euros.
Autoridades e especialistas em proteção informática têm vindo a deparar-se com o novo esquema de burla online que consiste em espiar pacientemente uma multinacional, durante meses, para a levar, no final, a realizar avultadas transferências para contas bancárias controladas por criminosos.
Normalmente, o esquema começa com um caso de extorsão digital em que as empresas de grandes dimensões são vítimas do chamado "ransomware". Através de um simples e-mail, infetado com vírus e enviado para um qualquer funcionário, os piratas conseguem ter acesso ao sistema informático e encriptar todos os dados com o objetivo de pedir um resgate. Perante a paralisação, sem hipótese de recuperar os dados, as empresas negoceiam, pagando em bitcoins (moeda virtual). Recebem uma chave de desencriptação que lhes permite ter de volta os seus dados.
"Aparentemente, tudo acabou bem. Pagam uns 10 ou 20 mil euros, o que não representa um grande custo para uma multinacional, que não quer que o ataque se torne público. Fica de novo operacional", explica ao JN Bruno Castro, líder da VisionWare, multinacional especializada em proteção informática e que tem contactado com estas fraudes, apoiando várias empresas na sua defesa.
Setor financeiro visado
Depois, entra a nova parte da burla. Antes de terem encriptado a informação, os criminosos guardaram todos os e-mails e dados que obtiveram, a fim de estudar todas as facetas da firma, de conhecê-la por dentro.
"Quem é o presidente do Conselho de Administração, quem são os diretores financeiros ou de compras, quem é a secretária, o motorista, que assuntos rolam no topo da hierarquia e são transcritos para as atas de reuniões, em que partes do Mundo fazem negócios, quem são os clientes, os fornecedores, quais são os bancos, os problemas financeiros, quem dá as ordens de compra. Tudo isso é estudado para fazer uma espécie de organigrama, um quadro que permite saber quem são as pessoas que podem vir a ser alvo e quais as suas relações com os outros", explica Bruno Castro.
Na posse de toda a informação e munidos de ferramentas informáticas de ponta, os piratas escolhem um alvo na estrutura da empresa. Através do chamado spearfishing (um e-mail malicioso direcionado exclusivamente para o alvo), os criminosos passam a monitorizar, em tempo real, o funcionário. Passam a controlar os e-mails, câmara e micro dos equipamentos eletrónicos. Esperam o momento certo para espoletar e imiscuir-se num negócio em curso.
O alvo, normalmente ligado ao departamento financeiro ou de compras, recebe um e-mail em tudo semelhante ao do próprio presidente ou membro da administração, a pedir uma transferência urgente para concluir um negócio.
"Como está habituado a fazer negócios sigilosos e o valor nunca ultrapassa os 500 mil euros, precisamente para não levantar suspeitas, o alvo vai achar normalíssimo. E tudo bate certo na conversa, porque o alvo foi minuciosamente estudado", conta o especialista.
Para reforçar a credibilidade, o alvo recebe chamada, no seu telemóvel, de um criminoso que se faz passar por membro da organização, que demonstra conhecimento do negócio da empresa e que o pressiona a realizar a transferência. Em regra, a conta de destino até pertence ao banco com o qual trabalha a multinacional. Mas, pouco depois, o dinheiro desaparece em offshores. Resta a queixa à Polícia.
Ameaças digitais
Ransomware
Fenómeno que tem crescido e que afeta sobretudo empresas. Os atacantes usam softwares nocivos para bloquear sistemas e ficheiros, exigindo aos utilizadores um resgate, por vezes em bitcoins (moeda virtual), para acabar com o "sequestro".
Phishing
Esquema de obtenção de dados pessoais das vítimas, por exemplo de cartões e contas bancárias. Os criminosos enviam e-mails fraudulentos em nome de entidades credíveis para levar os lesados a fornecer dados. Trata-se de um ataque massivo enviado indiscriminadamente.
Spear fishing
É um ataque dirigido a uma pessoa ou uma organização específica. Chega sob forma de um e-mail que aparenta ser de fonte segura, mas que na realidade esconde um vírus que irá permitir ao pirata entrar na rede da empresa.
DDoS
É provocada uma sobrecarga nos servidores, através de um ataque coordenado por vários computadores. Os sites e outras plataformas ficam indisponíveis.
Defacing
As páginas web são "desfiguradas" pelos hackers, que alteram as imagens e manipulam as mensagens a seu bel-prazer. Por norma, têm motivação política.
Exfiltração de dados
São extraídas informações de sistemas protegidos, normalmente de empresas, que podem ser partilhadas ou vendidas.
Hacktivismo
Hackers promovem ideologias políticas e sociais, atacando organismos do Estado. Estas práticas ganharam dimensão com o surgimento do grupo internacional Anonymous.
Conselhos
São várias as técnicas usadas pelos cibercriminosos para tirar proveitos financeiros ou para difundir ideologias. Umas mais sofisticadas do que outras, mas as autoridades e especialistas têm vindo a "educar" as empresas para os cuidados a ter.
Atualizar software
A melhor maneira de se proteger de um ataque é atualizar o sistema operativo e os diversos softwares e aplicações que tem instaladas no seu telemóvel ou do seu computador. Os piratas costumam aproveitar erros ou falhas que, normalmente, são corrigidas nas versões seguintes.
Evitar redes públicas
Use redes de internet wifi, por exemplo no aeroporto, ou num centro comercial, apenas quando for mesmo necessário. Não aceda, nestas redes, a serviços que usem informação sensível, como sites de bancos.
Ler avisos
Quando abrir um ficheiro que recebeu no seu email, se for um documento "pdf", uma imagem ou um vídeo, e se o software lhe mostrar uma mensagem de aviso, tenha cuidado. Os ficheiros maliciosos usam o comportamento habitual de ignorar esses avisos e o seu dispositivo pode ficar completamente à mercê de um pirata informático.
Verificar permissões
Quando descarregar uma aplicação para o telemóvel, verifique quais as permissões pedidas. Desconfie, por exemplo, de uma aplicação que não usa som e pede para usar o microfone.