Este é um tema que muitos preferem ignorar porque enquanto estiver 'longe da vista', estará longe das preocupações...
Mas convém também lembrar outro ditado 'casa roubada, trancas à porta'.
A indústria do cibercrime atingiu níveis de performance extremamente altos, possibilitando mesmo aos cibercriminosos mais tecnologicamente idiotas efetuarem ataques extremamente sofisticados, simplesmente porque compraram um software à venda na 'internet negra', dispondo inclusivamente de suporte técnico ao idiota criminoso, bem como às suas vítimas.
Estes ataques são efetuados contra:
1-Máquinas com sistemas operativos ou software comum desatualizados que contenham vulnerabilidades;
2-Utilizadores de sistemas que sejam iludidos através de 'engenharia social': eles sabem como as pessoas reagem a algo que provoque emoções muito positivas ou negativas e enviam emails ou através do acesso a páginas web que contenham hiperligações (links) falsas para páginas muito semelhantes ou mesmo iguais às legítimas, sendo muito difícil de distinguir mesmo para o utilizador mais experiente (foi conhecido um ataque a clientes de um banco cujo endereço da página parecia igual ao original, mas estava escrito com carateres do alfabeto cirílico).
Para prevenir o ataque do primeiro caso, nada mais simples que manter os sistemas operativos atualizados, que para a maioria dos utilizadores já pode ser feito de forma automática. Para os servidores, poderá já ser necessária a ajuda de técnicos especializados.
Mais ainda: quando um determinado software deixa de ter manutenção é porque o número de utilizadores desse software baixou significativamente, não sendo viável para o produtor a sua manutenção. A partir daí, qualquer vulnerabilidade exposta desse software passa a ser uma porta de entrada para o software dos criminosos. Nessa altura, é necessário atualizar o sistema, mesmo que tudo pareça 'novinho em folha', 'ainda não amortizado', e ... etc, etc, etc.
Para prevenir ou minimizar ataques do segundo caso, já requer muito mais atenção de TODOS os utilizadores de um sistema, adotar um conjunto de regras internas, dar formação aos utilizadores sobre as mesmas e a importância das mesmas, e verificar / auditar sempre que possível se as mesmas estão a ser cumpridas. Alguns exemplos:
1-Qualquer utilizador só deve ter acesso a recursos e ficheiros do sistema que necessite para trabalhar. Nem a mais (vulnerabilidade) nem a menos (não pode trabalhar). Objeção: então agora já não confiam em mim? Resposta: Em si confiamos, mas não nos criminosos que podem atacar o seu computador!
2-Todos os utilizadores deverão ter uma chave de acesso (password) forte. Uma chave fraca (123456, data de nascimento de um familiar, nomes de clubes de futebol, de jogadores, de palavras simples dos dicionários de português, inglês etc. é para esquecer. Pode ser desagradável, mas muitas empresas optam por fornecer passwords fortes e não permitirem que os utilizadores as troquem, para evitar esta vulnerabilidade.
3-Pelo facto de um chefe ou administrador ter um cargo mais elevado, não significa que tenha de usar a 'conta de administrador do sistema'. Até poderá ter acesso a essa conta, mas não a deve usar no dia-a-dia, e sim a sua conta, como utilizador comum. Se este sofrer um ataque, só os ficheiros e recursos a que tenha acesso poderão ser afetados; se estiver com a conta de 'administrador', tem acesso a TUDO o que exista no sistema. NOTA: O último teimoso de meu conhecimento que insistiu nessa teimosia foi atacado e 'contemplado' com um resgate de cerca de 10.000€ ! (como podem observar, as coimas do R.G.P.D. que assustaram muita gente, em comparação com isto até parecem 'levezinhas').
4-Parem de usar a combinação desastrosa de 'Internet Explorer' + 'Microsoft Office' na mesma máquina. A Microsoft já disponibilizou o 'Edge' que já não tem as vulnerabilidades do antecessor.
5-Não abrir emails em português-brasileiro supostamente enviados por empresas portuguesas (CTT, Autoridade tributária, transportadores, fornecedores nacionais, etc.) e nunca abrir documentos anexos se não se conhecer o remetente.
6-Nenhum utilizador nunca ganha nenhum prémio por ser o 'n'ézimo visitante de uma página qualquer. Na internet (e não só) ninguém dá nada a ninguém, e quando existem serviços grátis (google, redes sociais, etc.), o lucro deles são os dados do utilizador que serão vendidos diretamente ou indiretamente a muitas empresas que os vão usar para lhes impingir publicidade.
7-A autoridade tributária, os tribunais ou qualquer outra entidade séria não envia emails indiscriminadamente com ameaças, e mesmo que o conteúdo pareça verosímil, não clique no primeiro link que meta medo. Poderá ser uma cilada.
8-Se os colaboradores utilizarem equipamento pessoal na empresa ou vice-versa, é muito importante saberem que podem ser contaminados em casa e transportarem o 'bicho' para a empresa!
9-Se os seus colaboradores usam Remote Desktop, prefira o seu uso sob VPN, ou se tal não for possível, que usem passwords extremamente complexas, mesmo que o utilizador tenha que fazer ‘copy’ desta num ficheiro de texto e ‘paste’ no remote desktop, e não deixem sessões abertas no sistema (fazendo ‘disconnect’ ao invés de ‘logoff)!
10-Se a empresa poder contratar um serviço de correio eletrónico gerido, vai deixar de receber a maior parte senão a totalidade de 'spam' e 'phishing'. Pode ser um serviço mais caro, mas, se evitar um ataque, o preço do resgate e o tempo de paragem do sistema, porventura compensarão.
11-Remover de imediato do sistema e das contas de email todos os utilizadores que já deixaram a empresa (esta parece básica, mas não é bem assim!). Por mais profissional ou simpático que tivesse sido, passou a ser mais uma vulnerabilidade.
12-Todos os utilizadores necessitam de ter acesso à internet? Se não, para quê deixar que possam ser mais uma vulnerabilidade? NOTA: mesmo que seja só fora-de-horas, há que relembrar que os hackers não atacam só entre as 9 e as 13 e das 14 às 18 horas!
13-Se o sistema for alvo de ataque:
a-Contacte um especialista. Qualquer entrada no sistema com o equipamento atacado e com outras credenciais poderá fazer com que mais ficheiros sejam encriptados ou destruídos.
b-Comunique o ataque às autoridades (polícia judiciária). Isso constituirá prova perante a autoridade tributária do eventual desaparecimento de dados fiscais, contribuirá para a estatística de crime (se ninguém comunicar nada, então nada se passa e nada é necessário prevenir!), e também poderá acontecer que já conheçam o tipo de ataque e a sua resolução.
c-Se tiver cópias de segurança, estas, se estiverem ao alcance do sistema, decerto também foram atacadas. Mude para um sistema de cópias de segurança que puxe os ficheiros e nunca um que seja o sistema a 'empurrar' os ficheiros para o dispositivo de salvaguarda. Ou melhor ainda: pense num sistema de cópias remoto (num servidor distante, como na núvem, por exemplo). Este sistema protege os dados da empresa mesmo em caso de fogo, inundação, terramoto, etc. e se for suficientemente seguro, não é afetado pelos ciber-criminosos.
Engº Feliz Granjeiro
