Grupo Impresa, Vodafone, Hospital Garcia de Orta, Sonae, BCP, Estado-Maior-General das Forças Armadas, TAP, Super Bock... Estes são alguns exemplos de empresas cuja segurança na internet foi posta em causa.  

Tipicamente, os ciberataques visam o acesso indevido e desvio de dados (além da destruição de dados nos arquivos dos serviços). O desvio de dados, ou data breach, é crime. Neste tipo de crime, os hackers acedem aos dados que estão armazenados nos servidores alocados a uma determinada organização e podem divulgá-los ou usá-los, de forma maliciosa (por exemplo, roubo de identidade). Na maioria dos casos, não é feita uma divulgação pública, mas sim uma venda dessas bases de dados, por exemplo, na dark web.

É aconselhável que tenha alguns cuidados, nomeadamente alterar as passwords que usa para aceder a estes sites. Caso use a mesma combinação de e-mail e password noutros serviços online, deve também alterá-la nesses sites. Não repita palavras-chave em diferentes serviços e use passwords complexas (relativamente longas, que incluam caracteres especiais, combinação de maiúsculas e minúsculas, etc.). É também aconselhável que use um gestor de palavras-passe, assim como, sempre que possível, a autenticação de dois factores. Pode, ainda, verificar se o seu e-mail já foi afectado por algum ataque, no site haveibeenpwned.com. Relativamente aos dados de pagamento, a melhor prática para se proteger é recorrer a cartões de crédito virtuais ou a plataformas como o Paypal.

Embora existam muitas vantagens na utilização da internet, há vários perigos escondidos adverte a DECO PROteste. No que diz respeito à segurança online, há mitos e verdades que deve conhecer.

1) PAGAR PARA RECUPERAR FICHEIROS ENCRIPTADOS É MÁ IDEIA

Verdadeiro. Por mais tentador que seja, nunca pague para recuperar os seus ficheiros encriptados. Um ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou ficheiros pessoais e que lhes pede um pagamento para devolver o acesso.

A maioria do ransomware é espoletado por acções do próprio utilizador (vítima) tais como clicar num link, abrir um anexo enviado por um e-mail malicioso ou visitar um site fraudulento criado com a intenção de roubar os dados aos utilizadores. Estes sites fraudulentos assemelham-se aos sites verdadeiros e podem pedir aos seus visitantes que descarreguem algum software malicioso. É esta acção que pode, depois, comprometer o acesso ao seu equipamento, assim como à informação que nele consta.

Se for alvo de um ransomware, não ceda ao pedido para pagar um resgate. Não tem garantia de recuperar os seus ficheiros após o pagamento. No entanto, não é caso para desesperar. O site nomoreransom.org permite que verifique os seus arquivos encriptados e determine qual é o ransomware. Tente que um profissional elimine o ransomware ou, caso o faça em casa, use um programa como o Malwarebytes. Para minimizar os riscos, tenha sempre o seu software atualizado (em particular o sistema operativo). Além disso, nunca clique em links ou abra anexos de e-mails com remetentes suspeitos e faça backups frequentes dos seus dados. Use ainda um software de antivírus. Se for vítima de um ataque, deve denunciar de imediato a situação às autoridades, neste caso, à Polícia Judiciária. E ainda pode ter apoio se contactar o Centro Nacional de Cibersegurança.

2) A PASSWORD DE ACESSO AO E-MAIL É SAGRADA

Verdadeiro. Nunca subestime a importância de uma conta de correio electrónico bem protegida, com uma password complexa e, logo, difícil de piratear. Um endereço de e-mail é usado, em inúmeros casos, para fazer o registo em muitos serviços online, ficando definido como “utilizador”. E aqui entra uma regra importante: evite usar a mesma password para diversos serviços, visto que a primeira coisa que o hacker vai tentar é usar a mesma password da conta de e-mail. Caso esta não funcione, o hacker acederá ao campo “Esqueceu-se da palavra-passe?” e, tendo acesso à sua conta de e-mail, terá a possibilidade de definir uma nova password e passar a usar o serviço em seu nome.

Proteja o endereço de e-mail com uma password forte. Um gestor de passwords pode ajudar a gerir os diferentes acessos das suas contas e, até, sugerir palavras fortes como alternativa. Mas atenção: para as contas de e-mail, evite que seja o gestor de passwords a criar uma automaticamente. Escolha a sua. Assim, mesmo se perder o acesso ao seu gestor de passwords, continua a conseguir aceder ao e-mail, que inclusive é necessário para redefinir as palavras-passe dos seus serviços.

3) PARA PARAR COM O SPAM, O MELHOR É NÃO REAGIR

Verdadeiro. Não faça upload de nenhuma imagem nem clique em qualquer link na mensagem. Marque o e-mail como spam ou lixo electrónico para que as mensagens futuras do mesmo remetente acabem automaticamente na caixa de spam. O mesmo é aplicado a mensagens de phishing ou a outras mensagens indesejadas que receba através de SMS ou redes sociais: não reaja, mas bloqueie o número ou o remetente.

4) HÁ POUCOS RISCOS AO ABRIR UM E-MAIL DE PHISHING

Verdadeiro. Desde que não clique em nenhum link ou anexo de um e-mail malicioso, não acontecerá grande coisa. Mas, se clicar numa ligação, é melhor ficar vigilante. Não preencha nada na página que se vai abrir, pois assim evita que alguma coisa seja descarregada para o seu dispositivo. Caso tenha aberto o link ou o anexo, verifique a segurança do dispositivo usando um programa antivírus e antimalware.

5) É POUCO PROVÁVEL QUE ALGUÉM USURPE A IDENTIDADE ONLINE

Mito. É mais fácil e provável do que possa pensar. Facilmente alguém se faz passar por si, por exemplo, usando um perfil falso nas redes sociais ou um endereço de e-mail falso. Com essa usurpação de identidade podem, por exemplo, solicitar dinheiro a membros da sua família. Para parecer o mais credível possível nessas mensagens, começam por recolher informações sobre si (por exemplo, fotos, amigos ou comentários) através do que publica nas redes sociais. Daí também a importância de usar correctamente os controlos de privacidade das redes, evitando publicações públicas. Também podem apreender dados importantes sobre si através de técnicas de phishing. Podem ainda, em alguns casos, abrir uma conta ou contrair um empréstimo em seu nome. 

6) UM EQUIPAMENTO NOVO ESTÁ PROTEGIDO POR DEFEITO

Mito. O facto de ser um computador ou um telemóvel novo não o isenta de riscos. A segurança não está apenas relacionada com o equipamento, mas, sobretudo, com o utilizador. Ou seja, com toda a actividade que passa a ter no dispositivo. Isto engloba desde a instalação de software e aplicações, aos links em que entra ou à falta de protecção com antivírus e actualizações.

Além disso, a segurança de cada dispositivo não é logo configurada ao máximo. Ao comprar um equipamento, verifique as configurações de segurança e faça as adaptações e actualizações necessárias. Proteja a sua rede doméstica, usando, por exemplo, uma password forte no wi-fi.

7) É MELHOR NÃO DAR ACESSO AO COMPUTADOR A UM DESCONHECIDO

Verdadeiro. Caso tenha um problema informático que não consiga resolver, não terá outra hipótese a não ser recorrer aos serviços de um profissional. Se a intervenção puder ser feita remotamente, há programas como o TeamViewer que lhe permitem dar acesso a terceiros e ver o que estão a fazer no seu computador. Não deve confiar os dados de acesso ao computador a qualquer pessoa, sem antes se certificar da sua legitimidade, e acompanhar em tempo real as operações sempre que o acesso estiver activo. 

8) O SMARTPHONE ESTÁ BEM PROTEGIDO COM UM ANTIVÍRUS

Mito. Uma app de segurança pode ser útil em alguns casos, mas não oferece uma protecção absoluta. Para alguns modelos de iPhone, por exemplo, uma app antivírus não agrega muito valor: a Apple não permite funções de verificação de vírus, mas também não há muitas apps maliciosas em circulação para os equipamentos Apple.

A situação é mais complexa para os equipamentos Android. Também neste caso, o phishing é um problema, mas além disso é bem mais provável que descarregue uma aplicação maliciosa, sobretudo fora da Google Play Store. Felizmente, o Android está configurado por defeito para impedir descarregar as apps exteriores à Play Store. Parecendo restritivo para os utilizadores, é uma medida que menoriza os riscos e que deve ser mantida. O mesmo pode ser dito das alterações que alguns utilizadores fazem ao sistema operativo para terem acesso de administrador (root/jailbreak). Essas alterações permitem apagar algumas das apps pré-instaladas ou ter acesso a novas versões do sistema operativo, mesmo quando o fabricante deixa de as disponibilizar. Aumenta a liberdade do utilizador, mas também torna o dispositivo muito mais vulnerável, visto que software malicioso também passa a ter acesso a áreas antes inacessíveis, aumentando o seu impacto.

9) UM SITE COM ENDEREÇO "HTTPS" É SEMPRE FIÁVEL

Mito. Se o URL de um site começa por "https" significa que a ligação é segura e que ninguém pode interceptar, por exemplo, as informações de pagamento que der para alguma compra. Mas isto não significa que quem está atrás do site seja de confiança, conclui o artigo da DECO PROteste.