Risco
Do malware ao phishing: Guia para compreender o cibercrime
O cibercrime é a vertente do crime económico que mais tem crescido em
Portugal e no mundo.
Segundo dados da APAV – Apoio à Vítima, 400 milhões de pessoas são vítimas de cibercrime anualmente e 78% dos
cibernautas portugueses estão mal informados sobre como se protegerem
contra ameaças de cibercrimes.
No
Global Risk Management Survey 2019, feito pela Aon, o cibercrime foi considerado um dos cinco principais
riscos globais e estima-se que, em 2019, estes ataques possam ter um custo
equivalente a mais de 2% da economia mundial. A maioria das empresas está
cientes desta ameaça, mas admitir que existe uma ameaça é diferente de
encará-la da forma correta. Para isso é imprescindível entender ao certo
que tipos de ameaças existem.
PRINCIPAIS TIPOS DE CIBERCRIME
Classificar ataques de cibercrime não é tão simples como parece, já que um
único ataque pode combinar vários métodos. Por exemplo, um ataque de
engenharia social pode resultar na tentativa de infetar os sistemas de uma
empresa através de um dispositivo USB contaminado com um vírus.
Como as ameaças e os métodos se podem sobrepor ou mesclar, as categorias
indicadas podem não ser completamente precisas, no entanto, são um bom
indicador da variedade de ataques e táticas maliciosas com que as empresas
têm de lidar.
Malware
O Malware abrange uma ampla variedade de vírus eletrónicos. Qualquer
código se que infiltre num sistema com o objetivo de causar danos,
alterações ou roubo de informações é classificado como malware. Adware,
spyware, ransomware, worms, vírus e bots são tipos de malware existentes.
O malware pode causar danos de várias tipos, como o encerramento de
sistemas, o pagamento de resgates ou a destruição de sistemas
operacionais. Os ataques de malware são um dos tipos de cibercrime que
mais cresce. Em 2017, o
Wannacry, um dos maiores ataques de ransomware de sempre, causou prejuízos de
cerca de 4 mil milhões de dólares, afetando mais de 200 mil computadores,
incluindo o Serviço Nacional de Saúde do Reino Unido.
DoS
O Denial of Service (ataque de negação de serviço) ocorre quando um hacker
sobrecarrega uma rede com excesso de tráfego, fazendo com que o sistema vá
abaixo. Uma tendência crescente é o ataque DDoS (Distributed Denial of
Service), quando vários vírus invadem uma rede de uma única vez, tornando
impossível à vítima gerir o ataque simplesmente bloqueando utilizadores
individuais. O ganho financeiro nem sempre é a motivação por trás dos
ataques DoS – estes podem ser feitos com o intuito de interromper ou
sabotar operações, ou até causar a interrupção total de negócios.
Ataques de Brute Force
Os Ataques de Brute Force tentam adivinhar as palavras-passe de um
sistema, testando com grande rapidez cada possível combinação de
caracteres, geralmente para descobrir informações confidenciais.
Inclui ataques de dicionário, nos quais algoritmos passam rapidamente por palavras ou combinações de
caracteres conhecidas na esperança de achar a senha correta.
Injeção de SQL
SQL, sigla para o termo Structured Query Language, é uma linguagem usada
para comunicar e emitir instruções para bases de dados digitais. Os
ataques de SQL envolvem a injeção de códigos maliciosos em sites, com o
objetivo de explorar vulnerabilidades de bases de dados, para depois os
hackers poderem aceder e adulterar registos. Ao emitir instruções
fraudulentas, os ataques podem manipular essas bases de dados, o que
representa um grande risco, tanto para empresas como clientes. Por
exemplo, uma injeção de SQL pode ser usada para extrair os dados de
cartões de crédito de clientes de um determinado serviço.
Phishing
Phishing é a tentativa de aceder ou manipular uma rede de destino fingindo
ser algo mais inocente. Por exemplo, um alvo pode receber um e-mail,
aparentemente de um contato ou conhecido confiável, contendo um link que,
quando clicado, faz o download de um malware no computador do utilizador.
Apesar das campanhas para incentivar a consciencialização da população
sobre o phishing, grande parte dos e-mails de phishing continuam a ser
abertos.
Engenharia Social
Semelhante ao phishing, mas mais sofisticado. Ao invés de assediar os
alvos por canais digitais, o usurpador atrai diretamente a pessoa por
telefone ou até pessoalmente, usando intimidação e truques psicológicos.
Os famosos e-mails do
“Príncipe da Nigéria”
são um exemplo de spear-phishing, um ataque de engenharia social via
e-mail, com o objetivo de abrir um canal direto de comunicação com um
indivíduo, antes de usar truques tradicionais para ganhar acesso a
dinheiro ou informações pessoais.
4 FORMAS DE PREVENIR O CIBERCRIME
Os ataques são praticamente inevitáveis. Além de o perigo ser grande, é
improvável que qualquer empresa se possa proteger completamente do
cibercrime e das suas técnicas em constante mudança. Independentemente do
tipo de ataque, existem várias medidas que as organizações podem adotar
para minimizar a sua exposição ao cibercrime:
1 - Implementar tecnologia de segurança cibernética
Garantir que o equipamento informático está atualizado é um passo
fundamental para limitar a exposição ao cibercrime. A instalação de
antivírus deve ser uma prática obrigatória, bem como manter os
equipamentos tecnológicos atualizados. O WannaCry afetou particularmente
computadores com software desatualizado.
2 - Fazer gestão do risco humano
Manter as ferramentas informáticas atualizadas é fundamental, mas poderá
ser em vão caso as empresas falhem em reconhecer e controlar o risco
humano. Na maioria das vezes é um erro humano que está no centro das
principais violações de segurança, por isso, é essencial consciencializar
todos os funcionários, independentemente do nível hierárquico, da
importância das normas de segurança de informação.
3. Definir um plano de resposta a incidentes
Até a empresa mais previdente, que segue todas as melhores práticas de
segurança, pode ser vítima de um ataque de cibercrime. Os principais
stakeholders sabem o que devem fazer quando ocorre um ataque? Existem
passos definidos para conter a disseminação de malware? Ter um plano para
gerir ataques quando eles acontecem é crucial. Estabelecer e testar
estratégias de resposta, por meio de exercícios em equipa ou simulações,
pode ajudar a minimizar lacunas e garantir que a empresa está preparada
para quando um ataque acontecer.
4. Contratar um seguro cibernético
Para lidar com as consequências de um ataque é importante implementar um
Seguro Cibernético, como o
disponível na Aon, de modo a avaliar todas as vulnerabilidades e garantir a proteção total
dos seus sistemas. Consulte-nos para mais informações.