Segurança na internet: 9 mitos e verdades

Grupo Impresa, Vodafone, Hospital Garcia de Orta, Sonae, BCP, Estado-Maior-General das Forças Armadas, TAP... e, agora, Super Bock. Todos foram alvo de ataque informático. No caso mais recente, não estão em causa os dados pessoais dos consumidores finais. O ataque à Super Bock parece ter como principal objetivo a disrupção dos serviços da empresa, o que compromete a cadeia de abastecimento de cervejas, águas, sidras, refrigerantes, vinhos e sangrias.

Tipicamente, os ciberataques visam o acesso indevido e desvio de dados (além da destruição de dados nos arquivos dos serviços). Os desvio de dados, ou data breach, é crime. Neste tipo de crime, os hackers acedem aos dados que estão armazenados nos servidores alocados a uma determinada organização e podem divulgá-los ou usá-los, de forma maliciosa (por exemplo, roubo de identidade). Na maioria dos casos, não é feita uma divulgação pública, mas sim uma venda dessas bases de dados, por exemplo, na dark web.

É aconselhável que tenha alguns cuidados, nomeadamente alterar as passwords que usa para aceder a estes sites. Caso use a mesma combinação de e-mail e password noutros serviços online, deve também alterá-la nesses sites. Não repita palavras-chave em diferentes serviços e use passwords complexas (relativamente longas, que incluam caracteres especiais, combinação de maiúsculas e minúsculas, etc.). É também aconselhável que use um gestor de palavras-passe, assim como, sempre que possível, a autenticação de dois fatores. Pode, ainda, verificar se o seu e-mail já foi afetado por algum ataque, no site haveibeenpwned.com. Relativamente aos dados de pagamento, a melhor prática para se proteger é recorrer a cartões de crédito virtuais ou a plataformas como o Paypal.

Embora existam muitas vantagens na utilização da internet, há vários perigos escondidos. No que diz respeito à segurança online, há mitos e verdades que deve conhecer.

1) Pagar para recuperar ficheiros encriptados é má ideia

Verdadeiro. Por mais tentador que seja, nunca pague para recuperar os seus ficheiros encriptados. Um ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou ficheiros pessoais e que lhes pede um pagamento para devolver o acesso. Inicialmente, suspeitava-se que teria sido o que tinha acontecido aos vários serviços do grupo Impresa, nomeadamente aos sites do Expresso e da SIC. Sabe-se agora que não foi feito um pedido de resgate à empresa e, com base nos factos que foram comunicados pelo grupo Impresa, suspeita-se que a intenção do ataque possa ser não só a disrupção dos serviços, mas também, entre outros, o acesso indevido e desvio de dados (além da destruição de dados nos arquivos dos serviços).

A maioria do ransomware é espoletado por ações do próprio utilizador (vítima), tais como clicar num link, abrir um anexo enviado por um e-mail malicioso ou visitar um site fraudulento criado com a intenção de roubar os dados aos utilizadores. Estes sites fraudulentos assemelham-se aos sites verdadeiros e podem pedir aos seus visitantes que descarreguem algum software malicioso. É esta ação que pode, depois, comprometer o acesso ao seu equipamento, assim como à informação que nele consta.

Se for alvo de um ransomware, não ceda ao pedido para pagar um resgate. Não tem garantia de recuperar os seus ficheiros após o pagamento. No entanto, não é caso para desesperar. O site nomoreransom.org permite que verifique os seus arquivos encriptados e determine qual é o ransomware. Tente que um profissional elimine o ransomware ou, caso o faça em casa, use um programa como o Malwarebytes. Para minimizar os riscos, tenha sempre o seu software atualizado (em particular o sistema operativo), nunca clique em links ou abra anexos de e-mails com remetentes suspeitos, faça backups frequentes dos seus dados e use um software de antivírus. Se for vítima de um ataque, deve ainda denunciar de imediato a situação às autoridades, neste caso, à Polícia Judiciária. E ainda pode ter apoio se contactar o Centro Nacional de Cibersegurança.

2) A password de acesso ao e-mail é sagrada

Verdadeiro. Nunca subestime a importância de uma conta de correio eletrónico bem protegida, com uma password complexa e, logo, difícil de piratear. Um endereço de e-mail é usado, em inúmeros casos, para fazer o registo em muitos serviços online, ficando definido como “utilizador”. E aqui entra uma regra importante: evite usar a mesma password para diversos serviços, visto que a primeira coisa que o hacker vai tentar é usar a mesma password da conta de e-mail. Caso esta não funcione, o hacker acederá ao campo “Esqueceu-se da palavra-passe?” e, tendo acesso à sua conta de e-mail, terá a possibilidade de definir uma nova password e passar a usar o serviço em seu nome.

Proteja o endereço de e-mail com uma password forte. Um gestor de passwords pode ajudar a gerir os diferentes acessos das suas contas e, até, sugerir palavras fortes como alternativa. Mas atenção: para as contas de e-mail, evite que seja o gestor de passwords a criar uma automaticamente. Escolha a sua. Assim, mesmo se perder o acesso ao seu gestor de passwords, continua a conseguir aceder ao e-mail, que inclusive é necessário para redefinir as palavras-passe dos seus serviços.

3) Para parar com o spam, o melhor é não reagir

Verdadeiro. Não faça upload de nenhuma imagem nem clique em qualquer link na mensagem. Marque o e-mail como spam ou lixo eletrónico para que as mensagens futuras do mesmo remetente acabem automaticamente na caixa de spam. O mesmo é aplicado a mensagens de phishing ou a outras mensagens indesejadas que receba através de SMS ou redes sociais: não reaja, mas bloqueie o número ou o remetente.

4) Há poucos riscos ao abrir um e-mail de phishing

Verdadeiro. Desde que não clique em nenhum link ou anexo de um e-mail malicioso, não acontecerá grande coisa. Mas, se clicar numa ligação, é melhor ficar vigilante. Não preencha nada na página que se vai abrir, pois assim evita que alguma coisa seja descarregada para o seu dispositivo. Caso tenha aberto o link ou o anexo, verifique a segurança do dispositivo usando um programa antivírus e antimalware.

5) É pouco provável que alguém usurpe a identidade online

Mito. É mais fácil e provável do que possa pensar. Facilmente alguém se faz passar por si, por exemplo, usando um perfil falso nas redes sociais ou um endereço de e-mail falso. Com essa usurpação de identidade podem, por exemplo, solicitar dinheiro a membros da sua família. Para parecer o mais credível possível nessas mensagens, começam por recolher informações sobre si (por exemplo, fotos, amigos ou comentários) através do que publica nas redes sociais. Daí também a importância de usar corretamente os controlos de privacidade das redes, evitando publicações públicas. Também podem apreender dados importantes sobre si através de técnicas de phishing. Podem ainda, em alguns casos, abrir um conta ou contrair um empréstimo em seu nome. 

6) Um equipamento novo está protegido por defeito

Mito. O facto de ser um computador ou um telemóvel novo não o isenta de riscos. A segurança não está apenas relacionada com o equipamento, mas, sobretudo, com o utilizador. Ou seja, com toda a atividade que passa a ter no dispositivo, desde a instalação de software e aplicações, aos links em que entra ou à falta de proteção com antivírus e atualizações.

Além disso, a segurança de cada dispositivo não é logo configurada ao máximo. Ao comprar um equipamento, verifique as configurações de segurança e faça as adaptações e atualizações necessárias. Proteja a sua rede doméstica, usando, por exemplo, uma password forte no wi-fi.

7) É melhor não dar acesso ao computador a um desconhecido

Verdadeiro. Caso tenha um problema informático que não consiga resolver, não terá outra hipótese a não ser recorrer aos serviços de um profissional. Se a intervenção puder ser feita remotamente, há programas como o TeamViewer que lhe permitem dar acesso a terceiros e ver o que estão a fazer no seu computador. Não deve confiar os dados de acesso ao computador a qualquer pessoa, sem antes se certificar da sua legitimidade, e acompanhar em tempo real as operações sempre que o acesso estiver ativo. 

8) O smartphone está bem protegido com um antivírus

Mito. Uma app de segurança pode ser útil em alguns casos, mas não oferece uma proteção absoluta. Para alguns modelos de iPhone, por exemplo, uma app antivírus não agrega muito valor: a Apple não permite funções de verificação de vírus, mas também não há muitas apps maliciosas em circulação para os equipamentos Apple.

A situação é mais complexa para os equipamentos Android. Também neste caso, o phishing é um problema, mas além disso é bem mais provável que descarregue uma aplicação maliciosa, sobretudo fora da Google Play Store. Felizmente, o Android está configurado por defeito para impedir descarregar as apps exteriores à Play Store. Parecendo restritivo para os utilizadores, é uma medida que menoriza os riscos e que deve ser mantida. O mesmo pode ser dito das alterações que alguns utilizadores fazem ao sistema operativo para terem acesso de administrador (root/jailbreak). Essas alterações permitem, entre outras possibilidades, apagar algumas das apps pré-instaladas ou ter acesso a novas versões do sistema operativo, mesmo quando o fabricante as deixa de disponibilizar. Aumenta a liberdade do utilizador, mas também torna o dispositivo muito mais vulnerável, visto que software malicioso também passa a ter acesso a áreas antes inacessíveis, aumentando o seu impacto.

9) Um site com endereço "https" é sempre fiável

Mito. Se o URL de um site começa por "https" significa que a ligação é segura e que ninguém pode intercetar, por exemplo, as informações de pagamento que der para alguma compra. Mas isto não significa que quem está atrás do site seja de confiança.