Os ciberataques, o efeito do SARS CoV-2, e os tipos de incidentes cibernéticos

Vincent Van de Winckel (VVDW): O que contribui para o agravamento recente destas práticas? Quais são as tipologias de cyber riscos, qual a sua evolução recente e prevista?

Mauro Almeida (MA): Em Portugal os ataques informáticos têm seguido a tendência mundial. Em cibersegurança não existem fronteiras, e é natural que se observe uma globalização dos ataques informáticos, ganhando maior relevância aqueles que são economicamente mais atrativos para os atacantes.

Um aumento generalizado dos ciberataques é comum em tempos de crise, como se verificou em 2008 com a crise económica mundial. Os cibercriminosos procuram tipicamente as vulnerabilidades sociais como uma porta de entrada, explorando os receios dos indivíduos.

A crise pandémica, causada pelo sars-cov-2 (COVID) que vivemos atualmente não é exceção. Alias, tem duas particularidades que a tornaram mais permeável a ataques: por um lado, atingiu a globalidade dos países de forma quase imediata, o que levou ao aumento de alguns tipos de ataques informáticos que tiraram partido da mudança de foco das organizações e dos governos para darem resposta à crise; por outro lado, como uma das respostas das organizações foi assegurar a continuidade dos seus negócios num formato de trabalho remoto, exponenciaram esse risco.

Em consequência, em Portugal assistiu-se a um aumento particular do registo de domínios da internet com termos associados à pandemia, como “coronavírus” ou “covid”, com intenções maliciosas de envio de spam ou de ações de phishing.

Também os ataques de malware e ransomware tiveram um aumento considerável. Nos ataques de malware assistiu-se ao aumento global da comunicação e informação relacionada com o COVID, com software malicioso embebido em mapas informativos da evolução da doença ou em emails maliciosos, que levam os utilizadores a carregar em links. Estes links descarregam, posteriormente, o malware para os computadores ou telemóveis dos seus utilizadores danificando os equipamentos ou recolhendo dados de forma ilícita. Os ataques de ransomware têm tido um maior foco nos setores que já se encontram sob pressão pela crise sanitária, como hospitais, instituições públicas ou farmacêuticas, e que não podem ver a sua atividade parar, tornando-se por isso nos alvos preferenciais dos atacantes. Neste tipo de ataque, um software ilícito torna “reféns” os dados do sistema infetado em troco de um resgate, tipicamente, em criptomoedas.

Existem vários tipos de ciberataques que são comumente usados e que têm como alvo, dentro das organizações, pessoas, processos e/ou tecnologias, com recurso a técnicas e ferramentas de ataque em constante evolução. O cibercrime é um negócio extremamente rentável e por isso cada vez mais profissionalizado e com uma tendência clara de crescimento.

Ficha: Tipos de incidentes cibernéticos[1]

Exfiltração de dados: a perda de dados confidenciais de empresas para pessoas não autorizadas que violam a privacidade de seus clientes, funcionários, clientes ou contrapartes.

Comprometimento de e-mail de negócio / fraude de CEO: nesses ataques, um cibercriminoso finge ser um CEO ou outro executivo sênior de sua organização. Os criminosos enviam um e-mail para membros da equipe como você que tentam induzi-lo a fazer algo que não deveria.

Infecção por malware – Ransomware: um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear perpetuamente o acesso a eles, a menos que um resgate seja pago.

Infecção por malware – Cryptojacking: Cryptojacking é definido como o uso secreto do dispositivo de computação de uma organização para minerar criptomoedas.

Negação de serviço distribuído (DDoS): DDoS é um tipo de ataque em que vários sistemas comprometidos, frequentemente infectados por um cavalo de Tróia, são usados para atingir um único sistema, causando um ataque de negação de serviço (DoS).

Ataque de injeção de SQL: a injeção de SQL é uma técnica de injeção de código, usada para atacar aplicativos orientados a dados, em que as instruções SQL são inseridas em um campo de entrada para execução (por exemplo, para despejar o conteúdo crítico do banco de dados para o invasor).

Exploração de dia zero: uma exploração de dia zero é um ataque cibernético que ocorre no mesmo dia em que uma vulnerabilidade é descoberta no software. Nesse ponto, ele é explorado antes que uma correção seja disponibilizada por seu criador.

Roubo de transações financeiras: transferência não autorizada de fundos por meio de redes de transações confiáveis para desviar dinheiro e não ser recuperável.

Falhas de contrapartes ou fornecedores: falhas de sistemas de terceiros nos quais as empresas dependem para seus serviços de tecnologia da informação, como provedores de produtos de software, provedores de serviços online, provedores de serviços em nuvem e outros.

Email de phishing: esse ataque normalmente direciona o usuário a visitar um site onde é solicitado que atualize informações pessoais, como senha, cartão de crédito, previdência social ou números de contas bancárias, da organização legítima.

[1] https://www.eiopa.europa.eu/sites/default/files/publications/reports/eiopa_cyber_risk_for_insurers_sept2019.pdf