Paulo Vasconcelos, OBEGEF

O sucesso de um ataque cibernético a uma organização dependerá mais da especialização em encontrar vulnerabilidades técnicas parcas em sistemas complexos ou do mero desleixo dos utilizadores?

O que estará a acontecer no mundo do cibercrime? Haverá números que nos ajudem a percecionar o impacto e a grandeza deste fenómeno? O sucesso de um ataque cibernético a uma organização dependerá mais da especialização em encontrar vulnerabilidades técnicas parcas em sistemas complexos ou do mero desleixo dos utilizadores?

A Microsoft divulgou os resultados do Relatório de Defesa Digital 2022, onde revela que os ciberataques de estado aumentaram o nível de eficácia, passando de uma taxa de sucesso de 20% para 40%, em apenas um ano. O estudo tem por base mais de 43 mil bilhões (triliões) de sinais diários, entre julho de 2021 e junho de 2022, e no qual foram reportados o bloqueio de 37 mil milhões (biliões) de ameaças por email e 34,7 mil milhões de ameaças de roubo de identidade. Os principais setores afetados pelos ataques detetados pela Microsoft e reportados foram as tecnologias de informação (TI) (22%), ONG e grupos de reflexão (17%), educação (14%), governos (10%), finanças (5%), meios de comunicação (4%), serviços de saúde (2%), transportes (2%), organizações intergovernamentais (2%) e comunicações (2%).

Estes dados são de uma empresa relevante no mundo digital, mas não abrange obviamente o todo, longe disso.

Desde fevereiro deste ano, com a guerra iniciada pela Rússia à Ucrânia, há ataques quer físicos quer digitais. O relatório da Microsoft indica que 90% dos ataques detetados no ano passado provenientes da Rússia visaram os estados-membros da OTAN, sendo que 48% desses ataques comprometeram empresas de TI sediadas em países da OTAN. Países como o Irão, Coreia do Norte e China são também atores de ataques cibernéticos retratados no relatório. Além da recolha de informação, estes estados procuram a interrupção de serviços, roubo de criptomoedas ou destruição de dados e ativos físicos. O relatório não menciona, nem poderia, as ações inversas.

A superfície de ataque no mundo digital tem vindo a alargar-se, tendo a recente pandemia contribuído para a acelerada transformação digital. Os atacantes são cada vez em maior número, tentando a oportunidade oferecida pela explosão de dispositivos digitais e aproveitando vulnerabilidades no firmware para infiltração em redes corporativas. À medida que as defesas cibernéticas melhoram e mais governos e empresas adotam uma postura proativa na prevenção, a intrusão usa basicamente duas estratégias: campanhas com alvos amplos que dependem do volume e direcionamento seletivo para aumentar a taxa de retorno. O cibercrime continua a apoiar-se nas redes sociais e na exploração de questões atuais para maximizar o sucesso das campanhas. A falsa informação também é uma ameaça digital. Assiste-se à proliferação de ferramentas que facilitam, criam e disseminam imagens artificiais altamente realistas, vídeos e áudio. A internet é um meio através do qual se reverberam ideias e comportamentos tóxicos assim como notícias falsas.

Os ataques digitais ou virtuais são em geral fruto de atividades de ransomware e phishing. No último ano, foram registados mais de 900 ataques a palavras-chave por segundo, representando um aumento de 74% face ao ano homólogo anterior. A Microsoft terá bloqueado cerca de 710 milhões de emails de phishing por semana.

O ransomware (software malicioso que bloqueia o acesso a dados, arquivos ou sistemas contra o pagamento de um resgate) é a ameaça mais prevalente e a que mais tem crescido, evidenciando que o maior objetivo do cibercrime é, mesmo em tempo de guerra explícita, económico. Cerca de 30% dos alvos são comprometidos com sucesso e 5% destes são resgatados, evidencia o relatório. Também o chamado phishing tem aumentado, atingindo de forma indiscriminada caixas de correio eletrónico. Esta é a forma mais simples e talvez eficaz de ciberataque pois não procura vulnerabilidades nos sistemas, mas antes no ser humano. Em vez de procurar falhas técnicas, em geral raras, num código informático, é muito mais simples obter de um utilizador, através de um email ou mensagem de texto que copia uma organização ou pessoa conhecida, informação confidencial. Reporta o relatório uma estimativa de roubo de 66 mil biliões de dólares em ataques cibernéticos para este ano.

Continuamos a encarar de forma lasciva o acesso à internet na procura rápida e cega de informação e a precipitar a leitura e resposta a emails. Proteja-se a si e à instituição em que está inserido: use autenticação multifator (prática já comum e imposta na maior parte dos serviços), aplicação do princípio de confiança zero, usar anti-malware moderno, ter software atualizado, e dados protegidos. Segundo dados do relatório, a segurança básica ainda protege contra cerca de 98% dos ataques. A resiliência cibernética requer uma abordagem holística e adaptativa para suportar as ameaças em permanente evolução, sendo a grande maioria dos ataques cibernéticos evitados usando estes princípios básicos de segurança.

O ano de 2022 foi profícuo em ciberataques em Portugal: TAP, Estado-Maior-General das Forças Armadas, Impresa, Vodafone Portugal, Segurança Social. Uso abusivo da sua imagem tem sido relatado pela banca (CTT em particular), AT, EDP, Hospital Garcia da Horta, Sonae MC, agência Lusa, o jornal I e o Nascer do Sol. O ano que se avizinha poderá/deverá ser ainda pior.

O Centro Nacional de Cibersegurança (CNCS) mantém no endereço https://dyn.cncs.gov.pt/pt/alertas/?persona=organizations uma lista atualizada de alertas de vulnerabilidade em sistemas. Só neste mês de dezembro, que ainda não terminou, existem 4 avisos de sistemas afetados. A notificação de incidentes ao CNCS é recebida e processada pelo CERT.PT, quer proveniente de particulares quer de empresas. E a partilha é fundamental para proteção mútua.

ram a reclamar os montantes em dívida. Aparentemente não existem ativos para cobrir os montantes devidos, apesar de todos os credores pensarem que estavam seguros por garantias reais.

O Presidente da Associação de Bancos disse à imprensa que se poderá estar em presença de um esquema “muito sofisticado” de fraude. A marosca envolvia um conjunto de empresas que se financiavam junto da banca e por sua vez financiavam a atividade do promotor. Os créditos obtidos por uma empresa do conjunto tinha como colateral as ações de outras empresas do mesmo conjunto. Assim de forma agregada a totalidade destes empréstimos não tinha qualquer garantia, para além do capital dessas empresas. Algumas das empresas cujo capital foi dado em garantia revelaram também não ter qualquer atividade, nem ativos.

Podia ser em Portugal mas felizmente esta fraude ocorreu nos Estados Unidos no Estado do Nebrasca, banhado pelo rio Platte, um estado com cerca de 2 milhões de habitantes cuja economia se baseia na agropecuária. As autoridade de Lincoln, capital do Estado do Nebrasca, estão a investigar.

O promotor imobiliário Aaron Marshbanks morreu no dia 2 de Novembro último aos 45 anos de idade e o que parece ser uma enorme fraude revelou-se pouco depois. Antigo basquetebolista, profundamente religioso, tinha uma personalidade carismática que lhe permitia desenvolver os seus negócios sem que fosse questionado.

A dimensão da fraude, apesar de tudo relativamente pequena, não coloca em causa o sistema financeiro do Nebrasca, mas levanta muitas questões sobre a forma como são avaliadas e valorizadas as garantias do crédito concedido. Este é um tema muito importante não só para os bancos norte-americanos mas para todos os bancos em geral.

Emprestar somas elevadas e receber como garantia ações de empresas sem avaliar os ativos que essas empresas possuem e se estão já penhorados, hipotecados a terceiros, é um grande risco. Recorde-se que em Portugal esta situação de concessão de elevados volumes de crédito tendo como única garantia ações de terceiras empresas avaliadas à cotação do dia, se revelaram desastrosas para várias instituições de crédito que viram esses créditos tornar-se incobráveis quando as cotações das ações baixaram na bolsa. Em Portugal ao contrário do Nebrasca, onde o volume era pequeno e dividido por dezenas de bancos e caixas, os valores envolvidos colocaram a sobrevivência de alguns bancos em causa.

O sistema financeiro do Nebrasca está integrado no sistema americano, supervisionado pelo Federal Reserve Board (Fed) e pelo Office of the Comptroller of the Currency (OCC). O Fed tem uma sucursal para o Nebrasca, o Omaha Branch localizado na cidade de Omaha a maior do Estado. Apesar de todas estas camadas de supervisão e da medidas internas de cada um dos bancos e caixas envolvidas não foi possível detetar a fraude.

Fica uma lição. São necessários melhores instrumentos para avaliar e valorizar as garantias baseadas em valores mobiliários.