O gestor do serviço de cibersegurança da unidade FCCN da Fundação para a Ciência e a Tecnologia (RCTS CERT), Carlos Friaças, explica os perigos que, em tempo de pandemia, derivam de diversas campanhas de phishing.
Estamos a viver tempos de excepção, mas, ao contrário do que algumas pessoas possam pensar, não há sinais de que a atividade maliciosa na Internet tenha diminuído neste período conturbado. Pelo contrário, tem-se observado um aproveitamento destas circunstâncias para lançar novas campanhas, explorando medos alheios e o grande grau de incerteza da população em geral sobre o futuro imediato.
Nas últimas semanas, têm-se multiplicado as notícias de campanhas de phishing associadas ao tema do COVID-19. O sector das entregas já é tipicamente muito afectado por este tipo de ameaça e, nesta época de isolamento, mais pessoas dependem de entregas para minimizarem as suas saídas de casa. O maior volume de encomendas e entregas fornece um contexto mais plausível aos atacantes, se recorrerem à imitação de um serviço ou marca de que os alvos estejam à espera de receber notícias. É por isso necessário, enquanto consumidores finais, que os nossos cuidados sejam redobrados. Tudo para não expormos os nossos dados pessoais ou permitirmos que os nossos dispositivos sejam comprometidos.
Fraudes aos contribuintes
A época de entrega de declarações de impostos é também algo que, todos os anos, dá azo a campanhas que tentam defraudar os contribuintes. Noutros países, já foram identificados casos de campanhas desenhadas de forma a explorar eventuais apoios estatais (decorrentes da pandemia) para infectar os sistemas das vítimas. Também neste caso necessitamos de desconfiar, certificando-nos que a informação que recebemos e as acções que nos solicitam são provenientes das autoridades competentes.
Universidades e Hospitais
Nos últimos dias, foi também relatada a observação de uma campanha dirigida a Universidades norte-americanas e aos seus estudantes, visando o controlo dos dispositivos das vítimas. O ataque recorreu a um código malicioso já utilizado em campanhas que ocorreram há alguns anos. Isto parece demonstrar que há algumas preocupações de reciclagem nesta indústria com fins maliciosos. Os objectivos centrais destes ataques aparentam ser, em alguns casos, a exfiltração de dados pessoais e, noutros casos, o pagamento de resgates para que a informação capturada volte a ficar acessível.
Entretenimento e teletrabalho
A indústria do entretenimento também foi visada com campanhas de phishing, fazendo uso do contexto da pandemia e causando danos na reputação de marcas líderes no segmento das plataformas de streaming de conteúdos. Uma plataforma de conteúdos de entretenimento infantil foi uma das visadas.
A explosão do contexto do teletrabalho é algo que está também a oferecer um novo ângulo ao surgimento de fraudes cujo primeiro vetor é o phishing. Surgiram vários casos reportados de abuso de imagem de empresas de recrutamento para chegar a mais vítimas e até casos de tentativas de usurpação de identidade de pessoas de departamentos de Recursos Humanos para ludibriar trabalhadores de algumas empresas. Estes casos estão mais perto do que é habitualmente considerado como «spear phishing», que é um fenómeno dirigido sobretudo a pessoas previamente identificadas, e onde existe um objectivo específico já definido.
O que fazer?
Não será certamente neste período que acontecerão avanços significativos contra o fenómeno do phishing. As infraestruturas que suportam este tipo de fraudes e criminalidade continuam a operar de uma forma transnacional, o que dificulta seriamente o seu combate pelas autoridades de vários países.
Do ponto de vista da FCCN, o volume de mensagens relativas a campanhas de phishing não se alterou significativamente. Continua a registar-se a receção diária de múltiplas mensagens em endereços de e-mail institucionais, caixas de suporte de serviços, ou mesmo em endereços individuais de colaboradores. Em linha com as notícias referidas acima, temos alguns casos que fazem uso do tema COVID-19, embora não se trate de uma percentagem significativa, face ao total de campanhas que observámos nos últimos dois meses.
Por fim, é necessário alertar que todos devemos gastar o tempo necessário para avaliar a fidedignidade de cada mensagem recebida. Não basta analisar apenas a sua proveniência, pois os interlocutores que conhecemos podem também já ter sido comprometidos. A sofisticação das campanhas é variável, mas raramente se encontra uma campanha perto da perfeição, e há sempre algum detalhe na narrativa que auxiliará a identificar uma provável fraude.
Em caso de dúvida, não deixe que o distanciamento social contribua para comprometer os seus dispositivos ou os seus dados pessoais. Quando a dúvida surgir, pergunte a opinião de outras pessoas da sua confiança sobre a mensagem duvidosa que recebeu. Em última análise, pode sempre recorrer à sua equipa ou núcleo de segurança informática.
Caso pertença à comunicade RCTS, e pretenda apoio, envie email para info@cert.rcts.pt
*O autor escolhe não adoptar o novo acordo ortográfico