Os hackers e outros cibercriminosos estão a tomar de assalto os portugueses. Há informações privadas em risco e o pedido de resgates de contas nas redes sociais também já é uma realidade. Há mesmo ataques planeados ao pormenor para chantagear pessoas específicas
A
conversa tinha surgido de forma espontânea e era incrível como pareciam compatíveis em tudo. Pontos de vista, gostos, interesses. Almas gémeas. Um simples convite através de uma rede social “de um âmbito mais profissional” tinha sido o ponto de partida para o início de uma nova conexão. Podia ser o início de uma relação empresarial, de amizade ou, quem sabe, de algo mais. Viria a ser mais do que tudo isso. A empatia foi tão grande que a simples troca de mensagens evoluiu para o envio de imagens e a confiança cresceu tão rápido que em menos de nada estavam a ser cedidas fotografias íntimas. Foi aí que tudo mudou. Momentos depois já estava a ser pedido dinheiro em troca do silêncio e da não divulgação dos ficheiros. “Carlos”, nome fictício, não se tinha apercebido de que estavam criadas as condições para ser vítima de sextorsion. Não é caso único. Os crimes de devassa da vida privada e extorsão, associados ao uso das redes sociais na internet — onde os “utilizadores aceitam partilhar comunicações vídeo com exposição íntima e do foro sexual”, explica a Polícia Judiciária em página própria — têm vindo a crescer. E é a problemas como estes que a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) está cada vez mais atenta.
David Russo, chief technology officer da empresa de segurança e formação CyberSec, confirma que este é um problema em crescimento e explica como é fácil cair nas malhas deste tipo de chantagem criminosa. Foi um dos que ajudaram a descortinar o caso de “Carlos”, a perceber o que tinha acontecido para se chegar àquele ponto da conversa. “Numa questão de horas houve uma abordagem, que se percebeu pelas perguntas feitas ser completamente premeditada. Apresentava um perfil quase 100% igual ao da vítima”, conta ao Expresso sobre um crime que afeta sobretudo quem está entre os 40 e os 50 anos e desempenha cargos de relevo. “São pessoas com capacidade financeira, que podem suportar os custos de uma chantagem destas. O primeiro alvo é o C-Level, a administração, e os diretores das grandes empresas”, pelo que este não é um problema que afete em primeiro lugar as classes mais desfavorecidas e menos informadas. Ter formação e cargos de relevo não basta para estar atento a estes esquemas e o atual contexto veio potenciar este tipo de abordagens.
Imagens dos filhos, canecas de melhor pai ou melhor mãe, recordações de lugares visitados, livros preferidos. As estantes, que se tornaram omnipresentes nos diretos televisivos e nas reuniões através do Zoom e do Microsoft Teams, não deixam margem para dúvidas: estamos pouco preparados para abrir as portas de nossa casa ao mundo em segurança. São pormenores para olhos pouco treinados, mas que dão pistas valiosas para os atacantes que, cada vez mais, fazem da caracterização exaustiva das suas vítimas uma especialidade. De acordo com o White Paper “The Covid-19 Hackers Mind-set” da rede de centros de cibersegurança ECHO, os agentes de ciberameaças aproveitaram sobretudo o trabalho à distância e as fragilidades do fator humano como oportunidades para atacar as suas vítimas.
É cada vez mais fácil forjar uma coincidência. Há vários exemplos de ataques bem-sucedidos. Criam-se circunstâncias através da compreensão do outro indivíduo - o alvo. David Russo, CTO do CyberSec
A evolução tecnológica permitiu que a economia não parasse a 100% durante o isolamento, mas os humanos não mudam os seus comportamentos à mesma velocidade que o mundo se digitaliza. Publicam nas redes sociais sem pensar duas vezes e esse é um dos grandes problemas de segurança na atualidade. Partilhar uma imagem do carro, uma fotografia com amigos no futebol ou uma recordação do primeiro cão não tem à partida qualquer problema, mas se pensarmos que as palavras-passe e senhas de recuperação são conseguidas com matrículas, clubes desportivos e nomes de animais é possível que se esteja a errar sem saber. É que quem tem intenção de comprometer a conta de uma pessoa vai valer-se de todas as informações que conseguir para atingir o objetivo. E sabe onde procurar cada parte da história. No Instagram estão os momentos que se viveu e os locais que se visitou, no Facebook todas as pessoas que se conhece, no LinkedIn o lado profissional — com conexões da universidade, colegas de trabalho atuais e de outros empregos. “Não quer dizer que devemos deixar de as usar, mas devemos usá-las com conta, peso e medida. Talvez não devamos ter os perfis abertos. Faz sentido ter 5 mil pessoas no Facebook se conheço apenas 100?” David Russo deixa a questão no ar. A resposta é óbvia e é importante que cada um se proteja.
“É cada vez mais fácil forjar uma coincidência. Há vários exemplos de ataques bem-sucedidos com recurso à engenharia social, que vai muito além do phishing. Criam-se circunstâncias através da compreensão do outro indivíduo, o alvo empático”, explica o especialista. O laço empático malicioso nasce nas redes, na maior parte das vezes sem sequer haver contacto direto — trata-se de uma vigilância passiva através das publicações —, mas facilmente tudo passa para o mundo real sem que a vítima se dê conta. O atacante pode aparecer no café onde a vítima vai regularmente (já tinha posto no Instagram várias fotografias no local, perto do emprego revelado no LinkedIn) e começar uma conversa trivial sobre desporto (gosta de futebol e partilha imagens do jogos no Facebook) sem que esta se aperceba de que é um esquema para conquistar a sua confiança. Afinal até andam no mesmo ginásio.
Há casos em que o motivo do ataque é a chantagem com recurso a informações pessoais, mas há também relatos de ataques feitos com o intuito de roubar informações corporativas partindo de uma grande recolha de dados pessoais. Com uma competição cada vez mais feroz tornam-se mais comuns os casos de espionagem industrial e disrupção de serviços. Através da nota informativa “Covid-19: Cibercrime em Tempo de Pandemia”, o Ministério Público evidenciou como o segundo trimestre deste ano registou um grande aumento no número de denúncias de cibercrime, principalmente em abril — mês em que o confinamento foi mais musculado.
Apesar das falhas, nota-se que está a crescer a preocupação com o que se partilha online. A limitação da partilha de informação pessoal nas redes sociais foi mesmo a medida de ciber-higiene que os portugueses mais seguiram (32,6%), considerando preocupações de cibersegurança em 2019. Em contraponto, muitos ainda utilizam o login das redes sociais para entrarem noutras plataformas, disponibilizando assim os dados das suas redes sociais a empresas terceiras sem pensarem duas vezes (37% em Portugal, contra 29% na UE).
CONTA SEQUESTRADA
São cada vez mais comuns os relatos de contas de redes sociais sequestradas, mas esta é uma realidade que continua a parecer longínqua, quase digna de filme, até que alguém próximo se torne vítima de um esquema semelhante. “Ligaram-me a dizer que a minha conta do Instagram tinha sido hackeada, mas confesso que reagi com ligeireza. Achei que era um mal entendido. Como sou sempre muito naïf nestas coisas, acho que nunca acontece”, conta ao Expresso uma das mais recentes vítimas nacionais. Quando Paulo Pires se apercebeu de que algo não estava bem, após vários amigos dizerem que tinham recebido mensagens suas (embora não em seu nome), já a sua conta tinha mudado de identidade e era como se não seguisse ninguém. Chamava-se agora Instagram Help Center e o facto de parecer um nome oficial ainda aumentou a confusão. “Tentei pensar no que tinha acontecido, no que poderia ter acontecido”, recorda, mas não encontrava explicação para o sucedido. Em retrospetiva, lembra-se apenas de ter emprestado o telemóvel à filha mais nova na noite anterior, que tinha estado a ver fotos no telemóvel. E que depois disso recebeu um e-mail, supostamente enviado pelo Facebook, a dizer que a conta tinha sido bloqueada. Achou que a filha poderia ter publicado uma fotografia sem querer e clicou na ligação para saber o que era.
Estava errado. Sem se aperceber, o ator seguido por 123 mil pessoas tinha acabado de ser vítima de phishing, provavelmente através do clique no link disponibilizado nesse e-mail. É algo que acontece em 94% dos casos, segundo o boletim do Observatório de Cibersegurança deste mês. A prática aumentou nos últimos tempos. Segundo os dados revelados esta segunda-feira pelo Centro Nacional de Cibersegurança (CNCS), em 79% dos casos de phishing analisados pelo CERT.PT é pedido o login numa conta e foi exatamente isso que lhe aconteceu. Ligada ao Facebook, onde há muito não partilha quaisquer conteúdos, a sua conta de Instagram estava comprometida e já tinha sido utilizada na Alemanha e depois na Turquia, com um novo e-mail associado. Depois veio a chantagem. Recebeu uma chamada por WhatsApp de um número que desconhecia, numa língua que não decifrava ao certo — embora lhe parecesse turco. Arriscou um “Yes” em inglês e do outro lado apenas ouviu “hacker instagram”. Desligou a chamada e foi já por mensagem que lhe perguntaram se queria a conta de volta. Queria, mas não mediante um pagamento. Com a ajuda da Polícia Judiciária e do próprio Instagram conseguiu recuperar o que lhe pertencia.
“As pessoas devem ter uma atitude de desconfiança e cuidado”, considera o coordenador do Centro Nacional de Cibersegurança, Lino Santos, desafiado pelo Expresso a dar um conjunto de boas práticas de proteção contra mensagens maliciosas. “Devem evitar abrir e-mails de origem desconhecida, não devem clicar em links ou anexos suspeitos nos e-mails ou nas mensagens e devem verificar se um e-mails que parece fidedigno o é de facto (nomeadamente se todos os carateres do endereço de e-mails correspondem mesmo a um e-mails conhecido)”, enuncia. No caso de se receber um e-mails que implique transferências bancárias ou a partilha de informação sensível/pessoal deve verificar-se a veracidade do mesmo usando outras fontes. Telefonar para o contacto de origem, por exemplo, é uma opção ao alcance de todos e que muitas vezes é esquecida.
De acordo com o “Relatório Cibersegurança em Portugal — Sociedade 2019”, apenas 3% dos portugueses se sentem muito bem informados sobre os riscos de cibercrime, enquanto que a média da UE é de 10%. Os números referem-se a 2018 e é expectável que tenham melhorado nos últimos meses com a rápida digitalização provocada pela pandemia, mas nem tudo são vantagens. Lino Santos sublinha que “o confinamento não só tornou as pessoas mais dependentes do digital como criou sentimentos de receio que as tornaram mais vulneráveis, sobretudo se considerarmos temas relacionados com a pandemia e eventuais problemas económicos”. Mesmo que em 99% dos casos a temática da pandemia não seja referida diretamente nos esquemas. Segundo o especialista, o contexto atual promove ciberataques oportunistas, “que utilizam estes temas e a engenharia social para conduzir as pessoas a revelarem informação sensível ou a terem menos cuidados com os seus dados pessoais”.
Entre abril e junho deste ano, 37% dos incidentes de phishing registados pelo CERT.PT afetaram o sector bancário, onde a apresentação de uma imagem credível (90% dos casos) é um dos princípios de persuasão mais evidentes. No entanto, numa altura em que a falta de opções de entretenimento se tornava um verdadeiro desafio, foi também na relação com determinadas plataformas que se registaram problemas. E as escolhas feitas mostram que os utilizadores têm memória curta.
UM REGRESSO VIRAL
Mais do que a generalização do uso do TikTok entre os portugueses, e não só entre as camadas mais jovens, este período trouxe consigo outros fenómenos. O crescimento dos downloads de apps gratuitas de Astrologia desde o início do ano, muitas delas a guardar dados dos utilizadores sem que estes se apercebem, é um dos casos a estudar — num período em que aumentou em 50% o número de aplicações descarregadas para os telemóveis —, mas é no fenómeno FaceApp que as atenções voltam a centrar-se. Depois de mostrar como cada um ficaria mais velho, apresenta agora alterações de género. De um momento para o outro, a app que parecia adormecida desde o verão passado — altura em que foram expostas as suas vulnerabilidades relacionadas com o tratamento de dados — voltou com novas funcionalidades e efeitos ainda mais realistas. Foram várias as personalidades a aderir à moda e os portugueses seguiram-nos sem pensar. Não é um bom indicador de literacia digital.
“É uma app que se torna viral pela segunda vez, por isso há que entender que desperta um conjunto de sentimentos nas pessoas. Regressa numa época interessante, em que as pessoas estão aborrecidas e fazem tudo para deixar de o estar.” David Russo não tem dúvidas de que um fenómeno e outro estarão ligados, mas salienta que quem descarrega aplicações, “nem que seja de culinária”, tem de perceber os riscos que corre. É importante saber alguns pormenores sobre quem a fez e o país em que está sedeada antes de aceitar quase automaticamente os termos e começar a usá-la. “Tenho de perceber que estou a fornecer a minha imagem, que vão enviar as fotos que tiro para determinado local, que estão a aceder aos meus dados. Será que quero dá-los a uma empresa da qual nunca ouvi falar? Quero mesmo alimentar este mecanismo de machine learning, dar-lhe mais dados para que o tratamento de imagem fique ainda mais afinado?” É quase certo que as respostas da maioria não correspondem aos atos.
É um perigo os utilizadores instalarem a aplicação sem consciência dos dados que estão a fornecer Lino Santos, Coordenador do CNCS
Para Lino Santos, o principal perigo é mesmo “os utilizadores instalarem a aplicação sem terem consciência dos dados que estão a fornecer, podendo estar a contribuir para a criação de bases de dados que são usadas para fins comerciais ou outros não desejados”. “Os utilizadores destas aplicações devem ler com muita atenção os termos e condições e a política de privacidade, de forma a avaliar que tipo de dados estão a consentir fornecer às mesmas. Além disso, devem avaliar, de forma crítica, as autorizações de acesso a outras funcionalidades dos smartphones que estas aplicações solicitam quando são instaladas”, frisa o coordenador do CNCS.
São muitas as questões em aberto quando o assunto é a aplicação de origem russa, já considerada uma ameaça à segurança pelo próprio Federal Bureau of Investigation (FBI) nos Estados Unidos, mas a verdade é que continua a ser utilizada em todo o mundo. “Os dados são a nova exploração, a recolha de dados é uma nova fonte de riqueza”, salienta o responsável da CyberSec, que vê um perigo crescente nestas apps. O facto de os resultados se aproximarem muito do real — os utilizadores dizem até que ficaram parecidos com um familiar próximo — é preocupante, e as repercussões no futuro são ainda desconhecidas. Certo é que está a tornar-se cada vez mais fácil criar deepfakes, imagens em que vídeo e áudio são manipulados com recurso a inteligência artificial, pondo alguém a dizer o que nunca disse. “Se pensarmos que demos a uma app desconhecida a possibilidade de saber como seremos quando formos velhos e como é alguém com características próximas do sexo oposto, percebemos o ponto em que estamos.” Juntando a isso as informações já colocadas em várias redes sociais, a forma como escrevemos — há mecanismos criados para conseguir imitar a nossa construção frásica — e como falamos, é possível criar um perfil completo, uma espécie de clone digital criado ao espelho, cada vez mais difícil de combater. Mesmo que este reflexo se parta, a fotografia está tirada.
Texto: João Miguel Salvador
Ilustração: Gonçalo Viana
E-Revista Expresso. Semanário #2490, 18 de julho 2020
Sem comentários:
Enviar um comentário