SMS voltam a ser alvo do cibercrime
Instalar uma aplicação é algo que todos os utilizadores fazem com alguma regularidade e até descontração. A confiança no Google Play (a loja da Google para Android), ou na loja da Apple (para iphones) são um dos motivos que leva as pessoas a instalar apps sem questionar a razão pela qual um jogo pede permissões para aceder a contactos, realizar chamadas, câmara, etc. A regra geral é seguir o processo de instalação até chegar ao "prémio": jogar sem pagar.
Mas, os riscos estão presentes e é por isso que têm surgido uma série de notícias a alertar para a necessidade de desinstalar determinadas aplicações por estas estarem a colocar em risco a segurança. Um sinal claro que o cibercrime está sempre um passo à frente da prevenção.
O crescimento do mercado mobile, já se sabe, traz consigo o aumento de ataques através destes aparelhos.
Fonte: StatCounter Global Stats - Device Vendor Market Share
Todos os dias há centenas de ataques informáticos. Nos gabinetes dos CSO (chief security oficers) das grandes empresas existem ecrãs que medem, ao segundo, todos os ataques em curso bem como outros dados relevantes que permitem atuar no momento certo. São uma espécie de centrais de alarme que soam quando alguma coisa sai dos parâmetros considerados "normais" nesta guerra contra vírus e malware. E, obviamente, estes sistemas são ainda mais cruciais no acompanhamento dos CSO que trabalham em empresas que prestam serviços de segurança a outras empresas.
Tal como refere José Alegria, CSO da Altice Portugal, "A grande falha da cibersegurança é a falta de governança". Ou seja, num mundo cada vez mais digital, a gestão de topo tem de olhar para a segurança de uma forma mais séria e assumir esta responsabilidade. Numa função desta dimensão é muitas vezes necessário tomar decisões que exigem maturidade profissional e margem de manobra com alguma latitude. Medidas que devem estar vinculadas a um reporte direto a um elemento da administração.
Os investimentos dos cibercriminosos são elevados permitindo que estejam sempre a inovar e a descobrir qualquer brecha que permita introduzir software malicioso, colocando em risco os dados das empresas e, muitas vezes, com danos graves para o negócio.
Proteger o negócio
É através de ataques aparentemente menos complexos que, em alguns casos, conseguem atingir os objetivos, principalmente quando penetram redes desprotegidas. Obviamente, trata-se de ataques em massa dirigido a indivíduos, como é o caso dos recentes ataques através de SMS. Uma prática que estava afastada dos radares, mas que tem sido muito aproveitada pelos piratas desde que entrou em vigor o novo sistema de autenticação través dos SMS Token.
Estes ataques, apesar de pontuais, envolvem a criação e a distribuição de malware com o objetivo de introduzir cavalos de troia nos smartphones que podem abrir a porta a vírus que chegam às redes empresariais.
Após a infeção, os cibercriminosos podem controlar os equipamentos para, por exemplo, realizar chamadas não autorizadas ou enviar mensagens de texto sem o conhecimento ou consentimento do utilizador. Normalmente, nestes ataques, as chamadas e mensagens são direcionadas para serviços de SMS pagos ou números a cobrar controlados pela rede criminosa. Através deste esquema, lançado em grande escala, conseguem obter um lucro significativo que serve para financiar as redes do cibercrime.
Mas o malware surge através e outras estratégias e com objetivos diversos, sendo um deles a penetração das redes de empresas. Por isso, é muito importante que as empresas mantenham os seus níveis de segurança no máximo e olhem para a política do BYOD (Bring Your Own Device) de forma séria. Ou seja, adotando medidas que permitem limitar os acessos às redes internas através de sistemas seguros como uma VPN, por exemplo.
Em casos extremos, como a Google, por exemplo, a restrição é total. Nas instalações da empresa não entram equipamentos pessoais.
Mas, regra geral, não há necessidade de ser tão extremista já que é preciso avaliar as medidas a tomar consoante o valor intrínseco da informação da empresa e o seu interesse para o cibercrime. Além da proteção das redes empresariais, será também útil realizar com alguma frequência ações de sensibilização dos colaboradores para esquemas mostrando exemplos e explicando como cada um deve agir quando recebe uma destas mensagens fraudulentas. Afinal, há coisas que apesar de terem um valor de mercado relativamente baixo significam a sustentabilidade de uma pequena empresa.
Como a aproximação da época natalícia, convém estar atento, por exemplo, a SMS com promoções e evitar clicar em links com origem desconhecida. Mas, como reconhecer uma mensagem de origem desconhecida quando ela vem através de um número de uma loja com a qual já interagi?
É muito comum os piratas informáticos conseguirem enviar SMS que identificam um número conhecido, tipicamente através de nome de marcas com as quais pode já ter existido uma interação. Muitas vezes, por se tratar de uma marca mais conhecida e, como tal, com maior probabilidade de acertar.
Nestes casos, e como estas mensagens tentam sempre atingir um grande número de pessoas, será relativamente fácil despistar através da forma como o texto está escrito. Muitas vezes com erros e com um português duvidoso.
Além disso, é boa política das empresas nunca enviarem SMS com links para confirmação de dados dos seus clientes ou com mensagens a dizer que ganhou um prémio. Este canal de comunicação deve ser usado apenas para informar os clientes de campanhas (quando solicitadas) ou de outros assuntos relacionados com uma encomenda. Mas esta comunicação deve ser sempre realizada de forma profissional. Além disso, as empresas devem manter os clientes informados sobre os ataques em curso.
Na área da banca, por exemplo, são constantes os alertas para o facto destas entidades nunca solicitarem aos seus clientes para inserirem dados pessoais ou códigos através de SMS ou canais com níveis de segurança reduzidos.
Quando um cliente é alvo de um esquema deste género por ser induzido em erro, vai reclamar junto da empresa de onde, supostamente, o SMS teve origem. As empresas têm de estar preparadas para lidar com estas reclamações e, apesar de não terem responsabilidade direta, compete também manterem a confiança dos seus clientes.
Agindo de forma preventiva, comunicando através dos canais que possuem com os clientes a alertar para este tipo de fraudes, divulgando as suas boas práticas, e abrindo um canal para que os clientes possam, de forma simples, saber se determinada comunicação é fraudulenta ou não. E, obviamente, agir quando algum ataque está em curso alertando, por todos os meios disponíveis, os clientes para estes esquemas.
Do lado da prevenção as empresas podem ainda adotar sistemas de segurança específicos através de estratégias definidas com o auxílio dos departamentos de tecnologias de informação ou com empresas especialistas.
Três regras para prevenir
- Nunca responda a SMS de origem desconhecida, que solicitem para enviar dados pessoais ou confirmar os seus dados através de um link. Quando tiver dúvidas, contacte a empresa que alegadamente está a enviar o SMS, através de contactos oficiais, para saber se tem de realizar alguma ação.
- Nunca deve enviar por SMS os seus dados como PINS, passwords, ou qualquer outra informação sensível mesmo que o número seja, supostamente, conhecido já que os hackers recorrem a uma técnica conhecida como spoofing. Através desta técnica conseguem mascarar a sua origem e dando a ideia que são outra entidade ou pessoa.
- Nos casos mais extremos, utilize um sistema de bloqueio de números desconhecidos para evitar a receção de mensagens maliciosas.
Artigos Relacionados
A grande falha da cibersegurança é a falta de governança
O ideal seria cada empresa delegar na figura de um CSO a responsabilidade da segurança digital.Saiba mais
5 dicas para gerir documentos digitais
Como organizar a informação? Por pastas, com nomes certeiros, com tags, em que disco?Saiba mais
Defina a segurança dentro dos seus processos e mantenha os hackers longe
O número e a complexidade dos ataques informáticos têm aumentado de forma exponencial nos últimos anos e as consequências para as empresas são cada vez mais graves.Saiba mais
Soluções Recomendadas
SEGURANÇA DE EMAIL
Tenha os emails da sua organização sempre protegidos.Saiba mais
SMS EXPRESS
Envie um número elevado de mensagens em simultâneoSaiba mais
SOLUÇÕES DE SEGURANÇA
A sua empresa 100% protegida.Saiba mais