- Publicidade -
Segunda-feira, Dezembro 6, 2021
- Publicidade -

Tecnologia | O caso Rui Pinto e a necessidade de cibersegurança por empresas e particulares

Alguns conselhos para estar mais protegido contra ataques informáticos

Os pormenores do julgamento de Rui Pinto têm vindo a ser apresentados pela imprensa e são muito interessantes para todos os que têm curiosidade por cibersegurança. Dele se podem tirar várias conclusões, nomeadamente que empresas e particulares têm mesmo de levar esta questão a sério.

- Publicidade -

Segundo o Público, no início da sexta sessão do julgamento, a procuradora Marta Viegas começou por perguntar a José Amador, inspetor da unidade de cibercrime da Polícia Judiciária (PJ):

– “Senhor inspetor, podia-me explicar como funciona um proxy, uma VPN e a rede Tor?”
O Público chama-lhe “informática avançada”; com efeito, são os temas que aqui abordamos regularmente e que fazem parte do nosso dia a dia.

- Publicidade -

Passwords 123 no Sporting CP
O Sporting CP foi uma das vítimas dos ataques de hacking de Rui Pinto, com documentos confidenciais a serem publicados pelo hacker no seu site Football Leaks. O inspetor José Amador revelou que não sabe se Rui Pinto atacou via phishing ou simplesmente adivinhou as passwords. É possível que tenha sido por este método, pois a PJ sabe que várias passwords do clube leonino consistiam no nome da pessoa responsável seguido por 123 – um clássico caso de passwords fracas e fáceis de adivinhar.

Spear phishing
Mas Rui Pinto atacou outras entidades através de técnicas de “spear phishing”, isto é, lançando iscos a pessoas específicas dentro das organizações.

Doyen
Nélio Lucas, responsável pelo fundo de investimento desportivo, terá recebido um e-mail aparentemente enviado do Dropbox por Antero Henrique, antigo dirigente do FC Porto. Ao colocar os seus dados para aceder ao conteúdo do e-mail, Lucas enviava inadvertidamente esses dados para Rui Pinto.

Procuradoria-Geral da República e Federação Portuguesa de Futebol
Também a PGR e a FPF terão sido alvo de ataques deste género. No caso destas duas entidades, Rui Pinto nunca divulgou conteúdos relativos às suas investigações, pelo que nenhuma delas sabia, sequer, que tinha sido atacada – foi a PJ que as informou.

Rui Pinto, um cidadão comum
Os elementos revelados até agora durante o julgamento de Rui Pinto mostram uma verdade tão interessante quanto assustadora. O perfil de um hacker pode ser o de um cidadão comum, sem meios técnicos especializados além do seu conhecimento de computadores e informática.

Os grandes ciberataques de nível internacional, que fazem as manchetes da imprensa, são geralmente levados a cabo por Estados. Apesar da opacidade em torno da questão, as acusações feitas a governos são frequentes. Aponta-se geralmente a Coreia do Norte como estando por trás de ataques de ransomware que causam prejuízos de milhões de dólares, com o objetivo de financiar o estado pária. Tal implica os meios financeiros e humanos que um Estado pode empenhar. Haverá muito dinheiro, vontade e capacidade ao nível de conhecimento técnico por parte dos engenheiros informáticos/hackers de Estado que trabalham vestidos com a farda das Forças Armadas ou dos serviços de Inteligência, Espionagem ou Informação do seu país. O papel da Rússia na manipulação de eleições em várias democracias ocidentais tem vindo igualmente a ser analisado.

Rui Pinto não é nada disso. É apenas um cidadão comum, sem uma grande infraestrutura técnica ou humana por trás. Vale-se do tempo que investe em conhecer as temáticas e as técnicas e em tentar repetidamente até conseguir. Nem todos podem ser como Rui Pinto, mas não é tão difícil como se possa pensar.

Vítimas de alto calibre
Tão chocante como a relativa simplicidade dos ataques é o tipo de pessoas que, neste caso, foram atacadas com sucesso. Poderíamos imaginar, se alguém quisesse aceder a documentação da Procuradoria-Geral da República, que o fizesse através de um simples funcionário. Ou através de um fornecedor de serviços que tivesse acesso parcial e que por alguma forma permitisse chegar aos servidores. Seria de esperar que um diretor do DCIAP fosse absolutamente imune a ataques de spear phishing. Certamente que Amadeu Guerra tem formação e conhecimento sobre informática e está atento aos perigos. Mas ainda assim acabou por ser o próprio diretor o “Cavalo de Tróia” de Rui Pinto na PGR. Se um diretor do DCIAP pode cair numa armadilha deste género, qualquer pessoa pode.

Como defender-se de hackers
Relembre algumas das principais medidas de defesa contra ataques como o de Rui Pinto

Passwords fortes e autenticação de fator duplo
Passwords do género 123, baseadas no nome de um familiar ou de um animal de estimação são frágeis e nunca devem ser utilizadas. Sempre que estiver disponível, a autenticação de fator duplo deve ser utilizada.

Use uma VPN online
É altamente improvável que as vítimas de spear phishing de Rui Pinto estivessem a usar uma VPN quando foram atacadas. Caso tivessem usado, o hacker teria recebido pacotes de informação encriptada praticamente impossíveis de decifrar. Esta é uma das vantagens proporcionadas por uma VPN online em termos de privacidade e segurança.

Desconfie de e-mails e links
E-mails e links com conteúdo aparentemente credível são dos meios mais utilizados para instalar malware ou recolher dados pessoais de forma imediata.

Natural de Tomar, apaixonada por viagens e palavras.

- Publicidade -
- Publicidade -

DEIXE UMA RESPOSTA

Faça o seu comentário, por favor!
O seu nome