Mês: Novembro 2023

Fraudes Online: Falsificação de Cartas de Condução e a Fragilidade das Redes Sociais em torno do anonimidade da compra de cartões SIM

~ Rui Martins ~ Comentar

Chegou recentemente ao conhecimento da CpC uma actividade criminosa conduzida através de páginas facebook em que a
https://www.facebook.com/profile.php?id=100088056097924 do “Instituto de Mobilidade e Transportes Terrestres” é a mais activa (desde meados de Novembro) com mais de 150 partilhas em vários grupos de facebook e milhares de visualizações ligados ao sector automóvel. A página é apenas uma entre várias onde se promove descaradamente a falsificação de cartas de condução em vários países europeus. À data destas linhas o falsário vendia cartas de condução, além de Portugal (onde parece concentrar o essencial da sua actividade) na Lituânia, Reino Unido e Espanha com os nomes:
“Más rápido y más fiable el permiso de conducir”,
“original and legal UK driving license”,
“Latvijas autovadītāja apliecība legāla” e
“carta de condução portuguesa legal”.

O facto de as comunicações por WhatsApp e os textos destas páginas terem sido escritos com traduções automáticas indica que esta operação pode estar a ser conduzida a partir do estrangeiro.

A página falsa do IMTT não tem – obviamente – nada a ver com o verdadeiro IMTT e, de facto, quando foi criada a 19 de Novembro de 2020 chamava-se muito prosaicamente “Ok ok”.

Activos na página deste falsário estão vários perfis falsos que, pelo estilo, são operados pela mesma pessoa. Estes perfis agem como seguidores que elogiam o “serviço” vendido pela página: um diz estar “realmente emocionado” outro diz que “fui parado pela polícia para verificação” e que “graças a Deus minha carta foi registada correctamente” (leia-se “falsificada”), outro proclama que “convive” com esta estrutura há 3 anos e, de facto sabemos que andam por aí – Impunemente – graças à inércia da Meta (Facebook) desde 2022. Um deste panegiristas de serviço diz mesmo que “você é simplesmente patético” (um elogio distorcido por uma má tradução automática). Entre estes vários perfis falsos encontramos Josephine O’brien:
https://www.facebook.com/profile.php?id=100092500805005&sk=friends que só segue páginas clones da página falsa do IMTT. Outros perfis falsos usam os nomes de Oliver Motola, John Herring, Aslanove Elkhan ou Engurs Gints. De permeio aparece o perfil de um cidadão sãotomense vivendo em Lisboa que aparenta ser verdadeiro e que escreve terá caído no engodo e escreve “necessito uma carta quanto custa?”.

Questionado por Whatsapp sobre o custo desta “carta de condução legal” o falsário responde dizendo ser a “Agência IMT” e que “a inscrição na categoria na nossa agência IMT tem um custo de 400 euros” e que “Aqui estão os dados que precisamos para o processo de carteira de motorista.
1. Foto de frente e verso da carteira de identidade.
2. assinatura… (assine em papel branco comum e envie a imagem da assinatura)
3. Tire uma foto com você (tire uma foto nítida com você com as duas orelhas visíveis e envie).
4. Categoria da carteira de habilitação
5. Seu endereço
6. Número de telefone
7. e-mail”

Quando questionado sobre a forma de pagamento o falsário deu pistas sobre a sua língua principal: “Suivez nos processus”.

O tipo de elementos pedidos confirmam – sem a mais pequena sombra de dúvida – de que não estamos a lidar com a uma “agência de documentação” mas com um mero falsificador.

Em outubro de 2023 o IMTT (o verdadeiro) já tinha alertado para fraudes com o seu nome (3):

“O IMT, I.P. alerta para a existência de esquemas fraudulentos para a obtenção da carta de condução, através de sites, redes sociais e aplicações de comunicação tais como o whatsapp, que prometem a habilitação legal para conduzir a troco de uma soma em dinheiro. Essas cartas de condução são falsas e não têm qualquer validade legal, não constando nos registos do IMT, ao qual têm acesso as entidades fiscalizadores de trânsito. (…) Reforçamos que o pagamento de quaisquer valores para obtenção de carta de condução falsa, bem como a emissão destas cartas são crimes puníveis por lei”.

Todas as páginas e perfis Facebook foram denunciados à Meta. O mesmo aconteceu com o número whatsapp. Contudo, como sucedeu com a página falsa do Zoo Lisboa que esteve online durante meses, todas estão ainda no ar e a vender as falsificações de cartas de condução portuguesas e de outros países. A Meta precisa – urgentemente – de melhorar a eficácia das suas respostas por forma a não continuar a ser um porto seguro de burlões e criminosos.

Apesar deste alerta e desta atividade estar no ar há quase dois anos o Facebook permite a continuação desta atividade criminosa. O facto de este falsário funcionar a partir do WhatsApp I assim como a burla Olá Pai Olá Mãe (2) é mais um sinal de que a venda de cartões SIM de forma totalmente desconectada da identificação do comprador é uma fragilidade explorada por actividades criminosas. A maioria dos países no mundo (1) requer a identificação dos compradores de cartões SIM, 28 requerem ou vão passar a requerer dados biométricos. Em todo o mundo há apenas 14 países onde qualquer pessoa pode comprar um cartão SIM sem se identificar. Portugal é um deles. O Reino Unido e a Lituânia (países onde este falsário também está activo) são outros dois. Manifestamente isto é um problema porque permite que burlões e falsários hajam sob cobertura do anonimato.

Informação enviada à Meta, CNCS e à unidade de cibercrime da Polícia Judiciária.

CpC Cidadãos pela Cibersegurança

1)
https://www.comparitech.com/blog/vpn-privacy/sim-card-registration-laws/
2)
https://peticaopublica.com/pview.aspx?pi=referenciasMB
3)
https://www.imt-ip.pt/sites/IMTT/Portugues/Noticias/Paginas/NoticiaFraudeCartasCondu%C3%A7%C3%A3o31052021.aspx

Alerta: Scam de Trabalho Remoto Utilizando Lista Exfiltrada do WhatsApp e Telegram

~ Rui Martins ~ 3 comentários

Usando – provavelmente – a lista de telemóveis de 360 milhões de números do WhatsApp exfiltrada em 2022 (1) decorre agora na internet em Portugal um “scam” (burla) que começa através um contacto por mensagem de WhatsApp de um número “WhatsApp empresarial” (2).

Na abordagem que nos fizeram o burlão (scammer) usou um telemóvel com o indicativo +67 das Ilhas Nauru e Christmas (territórios com soberania australiana). O burlão, que escrevia em inglês e usava o nome “Amelia Santos” alegava ser “Community Manager” da Webcomum digital agency. Esta empresa de marketing digital existe, efectivamente, e é baseada no Porto o que indica que o scammer realizou algum trabalho de pesquisa básica para credibilizar a sua campanha. Não há indícios, naturalmente, de que esta empresa saiba que o seu nome está a ser usado. A Webcomum foi contactada com este alerta de uso impróprio do seu nome mas nunca nos respondeu.

A abordagem começa por informar que estão a contratar “trabalhadores remotos” e que o “trabalho” não iria afectar a actividade profissional actual. O “trabalho” consistiria na promoção de páginas Instagram de vários clientes por forma a captar para as mesmas mais tráfego. Para cada página que fosse seguida a empresa (não a “Webcomum” mas um “parceiro”) faria um pagamento diário.
a) Se a representação em nome da Webcomum fosse verdadeira poderia ser um dos muitos esquemas que existem para fazer crescer páginas do facebook e instagram: Contudo, não era, como veremos mais adiante.

“Amelia” (o nome não é, obviamente, verdadeiro) alega que se as vítimas seguirem entre 25 a 30 contas de instagram de clientes seus, por dia, recebem 5 USDT (criptomoeda Tether) uma token Ethereum indexada ao valor de um dólar norte-americano (uma “stablecoin”) e que por dia é possível receber até 250 USDTs apenas por seguir páginas Instagram. “Amelia” indica que para receber a verba há que instalar no telemóvel e aderir a um corretor de cripto, a BYBIT. Mais tarde é possível passar essa verba para um banco convencional.
b) Poderia ser uma app maliciosa ou uma falsa bolsa de criptomoedas. Mas a operadora cripto (apesar de mal classificada) existe e a sua aplicação móvel também e parecem, ambas, legítimas. O esquema da burla (scam) também não é, assim, o que está a aqui a ser seguido (embora existam muitos esquemas com a BYBIT (3).

Quando questionada como foi obtido o número de telemóvel “Amelia” responde que foi o “research and development team da nossa agência” (a alegada Webcomum portuguesa). Não foi. Foi uma exfiltração de dados.

Para atrair vítimas o burlão começa por transferir 20 USDTs para a conta da vítima. Esta transferência tem mesmo lugar como pudemos comprovar e observámos num grupo de telegram criado especificamente para a “campanha”. As páginas que estão a ser indicadas são alegadas clientes da Webcomum e, a 22.11.2023 eram as páginas Instagram da lisboa_pt, redeexpressos e dominoportugal: estas empresas confirmaram tratar-se de um esquema e desconheciam completamente esta “campanha de tráfego” realizada em seu nome e algumas disseram-nos que vão agir judicialmente.

No decurso do “registo” da vítima são pedidos dados pessoais tais como o nome (o burlão conhece apenas, aparentemente, o número de telemóvel), idade, cidade e profissão. Estes elementos vão alimentar a base de dados e poderão depois ser usados para operações de cracking de passwords nas redes sociais.
c) A captura de dados pessoais parece ser um dos objectivos secundários desta campanha criminosa.

Após ter obtido a aceitação inicial, “Amelia” coloca a vítima em contacto com um segundo elemento já não no WhatsApp mas no Telegram. Este usa o nome “Allen” (provavelmente é a mesma pessoa por detrás de “Amelia”) e dá mais detalhes sobre a operação. Esta segunda enrtidade diz ser a “recepcionista dedicada” e indica a segunda página a seguir (a página “Portugal” no Instagram a primeira era a da lisboa_pt) e pede o envio de um screenshot do seguimento e um endereço cripto para fazer a recepção de um pagamento de 20 criptomoedas Tether. Pede ainda mais alguns dados pessoais e diz que vai pedir a “Finance” para processarem o pagamento. De seguida, adiciona a vítima a um grupo telegram com outras 80/90 pessoas que, nesta campanha específica que terá começado em Portugal em meados de novembro, se chamava “A078 Digital Net Media Ltd” (ou seja: o nome da portuguesa Webcomum já desapareceu…). Esta segunda empresa existe de facto e tem a sede na Índia (5). Contactada: não respondeu mas, provavelmente é apenas uma tentativa de distrair da verdadeira origem deste burlão ou burlões (como veremos mais adiante). No grupo distribuem-se pelos participantes as páginas instagram a seguir em blocos que são remunerados a 5 criptomoedas cada (alegadamente: não ficou claro se esta segunda verba era mesmo paga).

Todas as interacções feitas por “Amelia” e “Allen” usam um bom inglês mas com erros de digitação que indicam não serem bots mas pessoais reais. Usam um tom muito frio e profissional embora nas fotografias de perfil usem imagens de mulheres jovens e caucasianas. Termos como “fast approval” e outros apelos à urgência são feitos várias vezes o que, de per si, também é um sinal de alerta. Quando o scammer percebeu que tinha sido identificado apagou rapidamente algumas das contas WhatsApp e telegram. Ficou activa apenas a conta que parece ser a principal (ver adiante) e outras contas que estão ainda hoje activas em grupos telegram onde se partilham acessos a fotografias íntimas mas que servem, de facto, para divulgar links bit.ly para software malicioso.

O grupo de telegram “A078 Digital Net Media Ltd” é composto por várias possíveis vítimas (79) e por 9 nomes anglosaxónicos como “Billy Bells”, sempre com o mesmo padrão de username <nome><3 dígitos> o que indica que existe um amplo leque de contas com os mesmos nomes nesta operação. No meio de pedidos de “gosto” às páginas no instagram começa, finalmente, a transparecer o verdadeiro objectivo financeiro da operação (tudo indica ser apenas um indivíduo com vários telemóveis): “Billy Beans” (nome mudado, minutos depois, de “Billy Bells”) afirmava no grupo – de permeio aos convites para “gostar” de páginas Instagram portuguesas – ter “investido” 901 USDT e convidava os 79 outros membros do grupo a seguir o seu exemplo. Nestes encorajamentos aparecem outros nomes anglo-saxónicos: “Alina Nelson” (Alina128427), “Catherine” (cath143), “Marina ou Fernandez” (Fernandez365598) aparecem escrevendo (em inglês) algumas frases como “Recebi o meu lucro pela minha segunda transacção” (Stephen Kurt) e, logo depois, outro: “Hoje fiz um bom lucro logo investi mais 200 dólares” (Mandy Green). E aqui está a burla: Depois de a vítima ter comprovado ter uma conta capaz de processar criptomoedas são convidados a fazer pedidos de transferência para fora da sua conta. “Ariana Hall” reforça dizendo que “enquanto prepara o jantar” vai fazer também o seu investimento e “Jaan Indrek” (Jaan7853) diz que vai investir 500 dólares e, de seguida, quase no mesmo segundo, “Autumn Muller”, “William”, “Carlos”, “Brenan” e “Helen” reforçam a urgência de fazer o “investimento” antes do dia terminar.
Fixo na página do grupo telegram aparece a real motivação do scammer (ainda em inglês): “Devido ao aumento da procura estamos a recrutar assistentes para especulação (!) em criptomoedas com um número de vagas limitado. O “Trader” paga um depósito que depois será devolvido em dez minutos (!)” e acrescenta “A Segurança é garantida!” (uma garantia que, já de si própria, é suspeito…).

Após termos alertado várias das várias vítimas potenciais (algumas vítimas froam efectivas porque tinha feito alguns pagamentos) o burlão começou a apagar contas ou a mudar nomes de contas: “Billy Beans/Bells” mudou para um nome em cirilíco (“Dimi”: um diminuitivo de Dimitry: um nome russo). Outras contas foram apagadas no dia seguinte ao alerta enviado pela CpC a várias vítimas: “Stephen Kurt”, “Mandy Green”, “Jaan Indrek”, “Autumn Miller” e outras). A única que ficou activa foi a de Dimitry: o que pode indicar que este é o nome por detrás de toda esta operação e outras contas ainda hoje ativas em grupos com conteúdos pornográficos.

O endereço que faz estes pagamentos e recebimentos para “investimento” no Etherscan (um explorador de blocos para a blockchain Ethereum) permitiu-nos observar pelo volume desta conta do burlão que se trata de uma operação muito significativa movimentando quase 20 mil dólares apesar de ter menos de dois meses de actividade.

No grupo telegram aparece uma tabela destes “investimentos”:
https://imgur.com/a/2gMNS8n onde se promete um retorno de 80 dólares em 108, numa escala de valores em que o mais alto começa com um “investimento” de 26.800 dólares (!) com um retorno esperado (!) de 32.696 euros com a mesma nota, a vermelho e sublinhado “Safety is Guaranteed” (pois claro). E cá está o esquema desvendado: estes investimentos cairão na conta do scammer e nunca serão devolvidos nem produzirão qualquer lucro ou retorno e ficarão na carteira cripto do burlão que, depois, transferirá o valor para o seu banco. Excepto no caso em que aceitámos o “convite” para compreender a natureza da burla e onde ficou a perder 20 dólares… é claro que para a escala desta operação isto é um valor desprezível já que nesta conta foram realizadas mais de 12 mil transacções nos últimos 45 dias e, manifestamente 20 dólares são uma pequena gota num grande oceano…
E este é o scam: não é a instalação de uma móvel maliciosa (poderia ser); não é a captura de dados pessoais (apenas parcialmente), nem nenhum dos vários scams com criptomoedas:
1. Esquemas Ponzi/Esquemas de Pirâmide com novas criptomoedas:
Prometem retornos elevados com pouco ou nenhum risco.
Os investidores mais antigos são pagos pelos fundos dos novos investidores.
2. ICO Fraudulento (Oferta Inicial de Moedas):
Projectos falsos ou inexistentes arrecadam dinheiro através de uma ICO e desaparecem com os fundos.
3. Phishing:
Sites falsos que imitam exchanges ou carteiras para roubar informações de login.
4. Malware:
Que leva à instalação de software malicioso pode infectar computadores e roubar informações de carteiras.
5. Pump and Dump (Inflaccionar e Despejar):
Usada por grupos manipulam o preço de uma moeda através de promoção exagerada (pump) e, em seguida, vendem em massa (dump), deixando os investidores com perdas.
6. Roubo de Identidade:
Recolha de dados para falsificar identidades
7. Esquemas de Recuperação Falsos:
Executados por empresas ou indivíduos prometem recuperar fundos perdidos em golpes anteriores mediante pagamento antecipado.
8. Esquemas de Mineração Falsos:
Ofertas de mineração em nuvem que não são genuínas, levando os investidores a perderem dinheiro.
9. Carteiras Falsas:
Aplicações e/ou sites falsos que afirmam ser carteiras legítimas para armazenar suas criptomoedas.
10. Investimentos em Falsas Criptomoedas:
Ofertas de investimento em moedas que não existem ou não têm valor real.
11. Esquemas de “Giveaway” Fraudulentos:
Ofertas que prometem dar criptomoedas gratuitas em troca de um depósito inicial.
12. Roubo de Chaves Privadas:
13. Abordagens que buscam obter acesso às chaves privadas das carteiras para roubar os fundos.

Para evitar cair em scams deste género, é crucial pesquisar cuidadosamente antes de investir, utilizar carteiras seguras, habilitar a autenticação de dois fatores e manter-se informado sobre as práticas fraudulentas mais recentes. Esteja ciente de que o espaço das criptomoedas é propenso a mudanças rápidas, e novos scams podem surgir.
Neste caso concreto, deste scam é preciso estar atento aos sinais de alerta:
1. Um contacto desconhecido que procura vender um serviço
2. Como obteve o contacto?
3. Se há um apelo à urgência: há que suspeitar.
4. A partir do momento em que se compreende que há um fluxo financeiro envolvido: suspeitar (muito)
5. Na dúvida: nunca aceite transferir uma verba se falar, antes, com um amigo ou familiar: na maioria dos casos uma segunda opinião irá revelar-se como essencial para evitar que sejamos vítimas de uma burla.

Fontes:
1) https://blog.checkpoint.com/2022/12/01/check-point-research-analyzes-files-on-the-dark-web-and-finds-millions-of-records-available/
2) A opção pela versão empresarial do WhatsApp permite ao burlão automatizar as mensagens enviadas nas fases iniciais da abordagem à potencial vítima.
https://mobiletrans.wondershare.com/whatsapp-business/vs-whatsapp.html
3) https://www.bybit.com/en/help-center/article/How-to-Avoid-Crypto-P2P-Scams
4) https://www.investopedia.com/articles/forex/042315/beware-these-five-bitcoin-scams.asp
5) https://www.digitalnetindia.com

Em Defesa do Voto Digital Seguro

~ Rui Martins ~ Comentar

Praticamente desde 1976 que a participação eleitoral em Portugal tem vindo sustentadamente a decair, com raríssimas exceções pontuais. As razões para esta tendência são de variada ordem, desde o “desafeto democrático” ao alheamento profundo sobre questões políticas.

Atendendo a que o aumento crescente e continuado da abstenção eleitoral é um problema transversal às democracias liberais modernas, a que Portugal não é exceção e às dificuldades evidentes da participação em eleições de primeira e segunda ordem, por parte da diáspora portuguesa, assim como ao envelhecimento acelerado da população mas tendo em conta que são os menos jovens que, tendencialmente, são os menos propensos a exercer o direito de voto, terá chegado o momento de adoptarmos o voto eletrónico, remoto e seguro (tanto quanto é possível) em Portugal?

Enquanto vantagens do Voto Digital podemos listar:

1. É sabido que fora das zonas urbanas, as deslocações são por vezes particularmente difíceis para os mais idosos e que os que menos votam, os mais jovens, são também os maiores adeptos e utilizadores precoces e avançados das possibilidades geradas pela digitalização de serviços a introdução do voto digital poderia ter um impacto significativo na participação eleitoral.

2. As contagens são feitas imediatamente.

3. É possível aumentar a segurança dos actos eleitorais através da introdução de sistemas de segurança multi-nível no ato eleitoral.

4. A possibilidade de auditar todo o ato eleitoral em todas as suas fases.

5. É mais preciso que os sistemas manuais de contagem de votos.

O que deve garantir um sistema de voto eletrónico:

A anonimidade do voto

A prévia e adequada avaliação dos riscos envolvidos

A suscetibilidade de auditoria externa

A segurança do sistema

A (futura) escalabilidade

O suporte a picos de carga

Uma integração com o Cartão de Cidadão (CC) ou Chave Móvel Digital (CMD)

O voto remoto, seguro mas adequado ao RGPD

Anonimidade do Voto

Vantagens:

O voto anónimo (ou “voto secreto”) limita a quantidade de informação que está disponível aos votantes e às outras partes neste processo.

É usado quando se deseja manter o secretismo quanto à direção do voto sendo uma forma de desassociar os votantes do seu voto.

Desvantagens:

Alguns sistemas têm dificuldade em conciliar Anonimidade com Integridade dos votos e permitem que alguém vote mais do que uma vez o que distorce os resultados eleitorais.

Os eleitores têm que confiar na tecnologia que está a ser usada, nomeadamente na sua capacidade para manter o seu voto anónimo, bem como na manutenção da integridade dos resultados eleitorais.

Auditoria externa:

Através de recibos ou “end-to-end voter verifiable (E2E) systems”

Auditoria Individual:

Deve ser possível ao eleitor consultar a direção do seu voto e se este foi devidamente registado.

Universal: Todos conseguem verificar que todos os votos foram corretamente contabilizados.

Segurança

Um sistema de voto deve ser avaliado e testado por forma a provar a sua resistência contra ataques como aquele que afetou o sistema Rousseau do M5E italiano em 2018.

Deve ser resistente às vulnerabilidades mais comuns nos sistemas onde vai correr (clientes e servidores).

A operação do sistema deve incorporar protocolos resistentes a erros dos operadores (ver caso da Universidade de Michigan sobre o sistema Estónio em 2018) e à instalação de malware ou cavalos de Tróia. O acesso de superusers deve ser limitado e muito monitorizado.

A integridade do sistema pode ser desenvolvida através do uso – sempre que possível – de unidades apenas de leitura: nomeadamente quanto aos programas de sistemas e aos dados básicos de configuração.

Escalabilidade

Um sistema de voto eletrónico e remoto tem de ser capaz de suportar uma pequena eleição local nacional ou referendo (ver o caso do Podemos e do M5E, por exemplo)

Suporte a picos de carga

Um sistema de voto eletrónico tem de ser capaz de suportar picos de carga nos acessos e votos em quaisquer momentos da votação, antecipando os mesmos e testando a robustez do sistema através de testes em escala.

Integração com o Cartão do Cidadão ou Chave Móvel Digital

Não sendo um requisito essencial, proporciona maior segurança garantida pelo leitor do Cartão do Cidadão (que nem todos têm) ou através da Chave Móvel Digital (CMD) – que já permite o acesso a sistemas de homebanking ou à marcação de consultas no SNS, com cerca de 2 milhões de utilizadores.

A CMD usa credenciais utilizador-password com códigos únicos, enviados por SMS ou E-mail (MFA ou “autenticação multi-factor”) garantindo assim um nível de segurança robustamente elevado.

Voto remoto e seguro

O sistema deve permitir a votação através da Internet via Browser seguro, em sistemas baseados em SO Windows, MacOS ou Linux e, ao mesmo tempo, smartphones e tablets com SO IOS ou Android.

A Iniciativa CpC: Cidadãos pela Cibersegurança sugere assim que seja avaliado um sistema de Voto Digital que:

1. Seja desenvolvido por uma empresa nacional em que todo o software seja aberto e autónomo de sistemas ou frameworks partilhadas

2. Use uma base de dados distribuída (blockchain) que dispense a existência de uma base de dados centralizada (ponto único de ataque)

3. Seja auditável em todas as fases, por entidades terceiras (auditores) e pelo próprio eleitor com recepção de recibos de voto

4. O sistema de votação seja integrado com o Cartão de Cidadão

5. Deve garantir a anonimidade do voto e a capacidade para repetir a votação (como sucede na Estónia) durante a duração das eleições

6. Deve funcionar em smartphones, computadores pessoais ou tablets

7. Deve permitir a votação presencial (voto eletrónico) ou remoto (em casa)

8. Deve combinar autenticação por username/password com PIN enviados por SMS e onde se exija o nome completo, data de nascimento e este PIN com sistemas de dupla autenticação

9. Na eleição, o eleitor deve ver uma breve mensagem da lista ou candidato

10. Deve permitir – em todas as eleições – a coexistência com métodos analógicos de voto para os infoexcluídos ou para quem – simplesmente – opte por não usar o Voto Digital.

11. Que inclua auditorias regulares e um programa de bug bounty e de patch management.

12. Que registe um conjunto muito extenso de logs de todos os equipamentos do sistema que permita a triagem e remediação rápida e eficaz de qualquer incidente de segurança. Que estes logs sejam centralizados num SIEM por forma a anular a tentativa por parte de agentes maliciosos de apagamento de logs locais em máquinas comprometidas.

13. Que existam registos em papel que possam coadjuvar qualquer auditoria pós-eleitoral

Um sistema de Voto Digital deve ser capaz de induzir confiança aos eleitores e de garantir que os resultados não são adulterados ou a partir de um dos candidatos ou a partir do estrangeiro.

Ora não existem sistemas absolutamente seguros e que sejam capazes de garantir a intromissão de agentes ao serviço de potências estrangeiras, contudo, se forem seguidas as orientações descritas será possível digitalizar o voto, mantendo um elevado nível de segurança cibernética.

Tácticas de Fraude Cibernética em Portugal: A campanha “CGD” de Outubro (fake caller ID), Chamadas de Alerta e Medidas Preventivas

~ Rui Martins ~ 1 Comentário

Recentemente chegou ao conhecimento da CpC um caso que indicia um novo método de operações dos cibercriminosos em Portugal. O caso não está isolado e a operação deste grupo – sofisticado, criativo e muito provavelmente baseado no nosso país – parece ter começado em outubro mas tem potencialidade para crescer nos próximos meses ou, até, nos próximos anos. Segundo informações prestadas pela linha de suporte telefónico da CGD a uma das vítimas, apenas em outubro teriam havido “centenas de casos”.

A campanha deste grupo começa com o envio de um SMS por um sistema automatizado para as várias listas de telefones móveis portugueses que está hoje em dia também a ser usada por grupos que usam a burla “Olá Pai/Olá Mãe” (https://peticaopublica.com/?pi=referenciasMB). Estas listas foram alimentadas pela grande exfiltração de dados de 2018 ao Facebook que colocou os dados de contacto de 29 milhões de utilizadores nas mãos de criminosos e foi reforçada com a operação do grupo “Ragnar Locker” que, em 2022, publicou na dark web 581 GB de informação da TAP, incluindo os contactos de mais de 1,5 milhões dos seus clientes. De recordar que recentemente a Polícia Judiciária deteve um burlão de nacionalidade estrangeira que com a burla Olá Mãe/Pai tinha e 8500 cartões SIM https://www.leak.pt/autor-da-burla-ola-mae/ mas que este indivíduo operava com o apoio de uma rede que continua a iludir as autoridades.

A campanha envia um SMS pedindo a actualização de dados (algo que os Bancos estão, por lei, obrigados a fazer de 2 em 2 anos) para uma lista de números de telemóvel e, confiando que uma percentagem tenha conta no banco público envia um link para um site onde são capturadas as credenciais do utilizador no serviço de online banking da CGD “Caixadirecta”. Após o acesso é enviado um código de confirmação (não sendo clara a razão). Os números de origem dos SMS são os mesmos usados pela CGD o que indicia o uso da técnica de “Caller ID spoofing” onde se mascara o nº de origem e substitui o nº por outro (o mesmo método tem sido usado na burla https://cidadaospelaciberseguranca.com/2023/05/07/campnha-viaverde-sessao-fraude-por-sms-activa-em-portugal/). Após a captura das credenciais do utilizador os criminosos realizam uma chamada de voz – sem qualquer sotaque e em português – também a partir do número oficial da CGD para particulares 217 900 790 (usando novamente a técnica de “Caller ID spoofing”) para credibilizar o contacto e aumentarem as possibilidades de a vítima realizar a transferência para um IBAN. A chamada é realizada com grande profissionalismo questionando mesmo a dado ponto se a chamada pode ser gravada e é no seu decurso que a vítima é convencida a fazer a transferência bancária.

O “Caller ID Spoofing” tem sido amplamente usado e faz com que actualmente já não se possa confiar na informação do número chamador nem de chamadas de voz nem de mensagens de SMS. Sem nos alongarmos em detalhes técnicos o método requer uma ligação digital especializada a um operador telefónico (um “ISDN PRI circuit”) e foi popularizada a partir de 2004 pela empresa norte-americana star88.com que vendia chamadas a partir de uma interface web. A empresa fechou no ano seguinte mas surgiram depois vários clones que ainda hoje funcionam a partir de paraísos fiscais e de países como a Índia, no norte de África, Rússia ou China e está acessível através de aplicações móveis como a “Falso Call – Spoof Caller ID” h.ttps://apps.apple.com/pt/app/falso-call-spoof-caller-id/id1497272472

Este método é usado por vários esquemas criminosos para credibilizar chamadas que viriam de países associados a burlas (como a Nigéria ou Índia) e fazendo-as aparecer nos telefones das vítimas como sendo originárias da Alemanha ou da Suíça.

O uso do método é relativamente simples para um sistema de VoIP (como o gratuito Asterisk) já que estes permitem que um administrador configure o número que é apresentado ao chamador através de uma página web. É este número que é enviado na chamada ou no SMS. Isto é feito sem software adicional nem conhecimentos técnicos muito profundos (se for usado um serviço alojado na web) e algumas destas entidades permitem o envio de mensagens de SMS pela mesma plataforma (como aconteceu no caso desta burla da CGD)

O que pode ser feito:

  1. Anacom/Parlamento:
    a) Combater a técnica de “Caller ID spoofing” tornando ilegal o “Caller ID spoofing” não só para impedir o seu uso por scammers mas também por campanhas agressivas de telemarketing as quais, frequentemente, mascaram ou omitem o número chamador. Actualmente, operadores como a Altice já colocam nas suas “condições de acesso ao serviço VoIP” que “Não é permitido ao utilizador:
    a) Interceptar, monitorar, danificar ou modificar qualquer comunicação da qual não seja remetente ou destinatário;
    b) Selecionar ou usar um Nome de Utilizador de outra pessoa com a intenção de fazer passar-se por essa pessoa (Caller Id Spoofing” mas tal obrigação não devia ser contratual e depender da discricionariedade dos operadores mas ter força de lei.
    b) O Legislador deveria também trabalhar no mesmo sentido em que trabalha actualmente o Canadá que está a tornar obrigatório um sistema de autenticação obrigatório (o sistema de autenticação CID “STIR/SHAKEN” que também é usado nos EUA) e que, em 2018, anunciou que a partir de 2020 os operadores telefónicos deviam bloquear todas as chamadas cujos callers IRS não fossem conformes ao plano de numeração utilizado pelo chamador ou que tenham sido explicitamente autorizado pelo proprietário da numeração (como é obrigatório no Reino Unido).
    c) Fazer como fez a Índia e proibir o uso e comercialização de todos os serviços que ofereçam “caller ID spoofing” e todos os que os usaram no passado recente devem ser reportados às autoridades por parte dos operadores telefónicos com licença em Portugal.
    d) Criar um serviço online que simplifique a denúncia de todos os números usados em campanhas deste tipo e nas burlas “Olá Pai/Olá Mãe” como já existe actualmente nos EUA através de um assistente de queixas online operado pela “Federal Trade Commission” (FTC).
    e) Denuncie todas as chamadas que usam o método “Caller ID spoofing” à Polícia Judiciária usando o formulário web e o formulário do Centro Nacional de Cibersegurança em https://www.cncs.gov.pt/pt/notificacao-incidentes/
  2. Anacom/Parlamento:
    Seguir e replica a recomendação emitida pela Agência Finlandesa de Transportes e Comunicações (Traficom) em 2002 e que apresenta modelos para análise e ação para detetar os seguintes casos básicos de falsificação de identificação de chamadas:
    Em terminação de chamadas internacionais:
    Chamadas em que o número do chamador não pertence ao espaço numérico ativo na Finlândia.
    Chamadas em que o número do chamador é fraudulentamente apresentado como um número pertencente ao espaço numérico finlandês alocado a áreas de telecomunicações em redes telefónicas fixas ou ao espaço numérico alocado a números de assinantes ou serviços nacionais.
    Chamadas em que o número do chamador é fraudulentamente apresentado como um número pertencente ao espaço numérico alocado a redes móveis finlandesas (número móvel).
    Chamadas em que o campo para o número do chamador está vazio ou a identidade da linha do chamador (CLI) no campo não está em conformidade com a sintaxe.
    Desencadear medidas obrigatórias nos operadores telefónicos que travem estas chamadas.
    E, em particular, determinar que os operadores de telecomunicações bloqueiem chamadas provenientes internacionais quando o número do chamador é um número de telefone português que não seja um número de assinante de rede móvel (número de telemóvel). O procedimento recomendado pelos finlandeses aqui também se aplicaria à terminação de chamadas encaminhadas a partir da interface internacional quando o número do chamador é um número de telefone nacional. Assim, sendo a Traficom recomenda que os operadores de telecomunicações:
  • activem a restrição de identificação da linha de chamada para chamadas encaminhadas a partir de um número de telefone internacional e que bloqueiem chamadas encaminhadas a partir de um número de telefone finlandês. Algo semelhante já deveria estar em vigor em Portugal.
  1. BdP/Parlamento: Impedir que sejam enviados Links por mensagens de SMS para todo o tipo de operações, sejam elas de marketing ou que envolvam directamente actividades financeiras.
  2. BdP/Bancos: Responsabilizar os Bancos por estas situações obrigando-os a apresentarem queixas ao MP sempre que o seu nome for usado em campanhas criminosas.
  3. BdP/Bancos: Sempre que um banco tiver conhecimento (p.ex. através da aquisição de bases de dados de exfiltrações) de que os contactos por email ou telemóvel dos seus clientes foram revelados deve enviar um alerta personalizado a cada potencial vítima recomendando a mudança do contacto e alertando para o uso desse contactos em possíveis burlas.

  4. Utilizadores/potenciais vítimas:

a) Seja Céptico: Seja sempre muito cauteloso ao receber chamadas, especialmente se lhe pedirem informações pessoais ou financeiras.
b) Não Confie no Identificador de Chamadas (“Caller ID”) dado que este pode ser facilmente manipulado. Mesmo que uma chamada pareça ser de uma fonte confiável, verifique a identidade do chamador desligando, fazendo uma chamada para o seu Banco ou operador de comunicações e dizendo isso ao scammer. Se for o caso este perderá interesse e vai focar a sua atenção na próxima vítima da sua lista.
c) Desligue a Chamada: Se receber uma chamada suspeita, desligue imediatamente. Não interaja com o chamador e não ceda qualquer informação a um chamada sobre a qual tem algumas suspeitas.
d) Use a função de bloqueio de chamadas disponível na maioria dos smartphones da actualidade. Isto vai permitir bloquear algumas chamadas de spam e de fraude. Algumas aplicações de confiança existem no mercado e estão ao alcance (tenha cuidado com aplicações falsas e que exfiltração os seus dados pessoais)
e) Denuncie todas as chamadas que usam o método “Caller ID spoofing” às autoridades.
f) Sensibilize a sua família, amigos e colegas sobre as fraudes de spoofing de identificação de chamadas. Quanto mais pessoas estiverem cientes dos métodos e natureza destes crimes, menos probabilidades têm de cair nessas fraudes e mais possibilidade há destes scammers deixarem de terem alvos para as suas actividades.
g) Sobretudo, lembre-se que todas estas precauções podem ajudar a reduzir o risco, mas nenhum método é infalível e que todos nós – especialistas e não especialistas – iremos ao longo da nossa vida cair pelo menos uma vez numa fraude ou burla.

Para saber mais:
https://abhandshake.com/community/cli-spoofing-fraud-europe-obr/
https://www.mcafee.com/blogs/pt-br/mobile-security/como-evitar-o-spoofing-no-seu-celular/
https://www.subex.com/blog/shaken-and-stirred-how-telecom-industry-is-dealing-with-robocalls/
https://spamcalls.net/en/country-code/351#google_vignette
https://www.anacom.pt/streaming/consulta_voip.pdf?contentId=305495&field=ATTACHED_FILE
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/EN%20Recommendation%20to%20Telecommunications%20Operators%20on%20Detecting%20and%20Preventing%20Caller%20ID%20Spoofing.pdf
https://www.europol.europa.eu/media-press/newsroom/news/beware-of-scams-involving-fake-correspondence-europol

Resposta da Anacom a 20.11.2023:

“Na sequência do pedido de informação remetido por V. Exa., o qual mereceu a nossa melhor atenção, a ANACOM esclarece que as empresas que oferecem serviços de comunicações interpessoais com base em números acessíveis ao público devem, nomeadamente, garantir que a identificação da linha chamadora e do remetente de uma mensagem é «válida de forma a identificar em exclusivo o originador da comunicação ou, no caso de uma mensagem, o seu remetente» e que é «transmitida sem alterações, para além das previstas em normas internacionais» (tal como estabelecem as alíneas a) e b) do n.º 3 do artigo 146.º da Lei das Comunicações Eletrónicas [1]). As referidas empresas e os operadores devem tomar as medidas adequadas no sentido de assegurar a integridade da rede e a fidedignidade da identificação apresentada, para impedir que o número ou recurso associado à identificação da linha chamadora ou do remetente de uma mensagem seja inválido ou não esteja, se aplicável, acessível ao chamado.

Relativamente ao spoofing, pese embora a ANACOM não tenha competências para aferir eventuais práticas do foro criminal, tem acompanhado o assunto, tendo em vista, ao abrigo das suas competências, promover a adoção de medidas regulamentares relativas à identificação da linha chamadora e do remetente de uma mensagem, no que respeita à geração, validação e transporte da identificação da origem das comunicações.

Sobre esta matéria a ANACOM está a elaborar uma proposta de projeto de regulamento [2], o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais aplicáveis ao setor das comunicações eletrónicas, de forma a contribuir para uma maior clareza e confiança das empresas/organismos e utilizadores finais sobre a identificação da linha chamadora e do remetente de uma mensagem.

Na expetativa de terem sido prestados os esclarecimentos pretendidos.

Com os melhores cumprimentos,

Direção-Geral de Informação e Inovação

[1] Disponível em https://diariodarepublica.pt/dr/detalhe/lei/16-2022-187481298.

[2] Informação sobre este tema disponível em https://anacom.pt/render.jsp?contentId=1740779.&#8221;

Autor de burla “Olá Mãe/Olá Pai” detido com milhares de cartões de telemóvel” (JN), a petição e a incompreensível inércia de SIBS e Banco de Portugal

~ Rui Martins ~ 1 Comentário

Saudamos a detenção pela Polícia Judiciária a 17.11.2023 de um burlão da “Olá Mãe/Olá Pai” que tinha sua posse, na sua casa em Leiria, 8500 de cartões de telemóvel, que através de 7 modems operavam 32 cartões SIM de cada vez (224 cartões em simultâneo). Destes 8500, cerca de 1500 já tinham sido usados em actividades criminosas criando 200 denúncias apenas em Leiria (milhares em todo o país) numa burla que, à escala nacional, deve ascender a vários milhões de euros por ano.

A escala da operação implica a aquisição de grandes volumes de cartões SIM a operadoras o que – de per si – deveria ter disparado junto destas alguns alertas de conformidade.

Esta é a burla para a qual os CpC têm lançados vários alertas e pedidos de intervenção (sempre sem resposta) por parte da SIBS e do Banco de Portugal e que conduziu à petição https://peticaopublica.com/pview.aspx?pi=referenciasMB.

“Todos os anos muitos portugueses são vítimas de burlas cada vez mais sofisticadas e credíveis que usam fragilidades do sistema de Multibanco. As burlas são realizadas de várias formas, em compras online, p.ex. no OLX, o nome da EDP, da Electricidade da Madeira, da PSP Porto e muitas outras.

As entidades multibanco usadas pelos burlões são “entidades financeiras” autorizadas pelo Banco de Portugal desde 2017 e algumas surgem muito associadas a actividades criminosas. Os burlões registam-se nestas entidades deixando vários elementos de identificação e conseguem estar activos durante muitos anos em total impunidade e lesando milhares de cidadãos, a maioria dos quais idosos e que não chegam a apresentar queixa na Justiça. Tendo em conta que os criminosos se identificam nestas plataformas que isto ocorre desde 2017 é incompreensível como é que este crime continua a ser possível e o Banco de Portugal (BdP) e a SIBS ainda não tenham agido para travarem estas burlas.

É preciso resolver as lacunas que permitem a operação destes criminosos:

1. Se as empresas que vendem referências multibanco forem associadas a um grande surto de actividade criminosa devem ter a sua licença no Banco de Portugal suspensa até que a sua segurança interna seja reforçada. Embora muitas destas entidades (como a 21800 com sede na Holanda) estejam a vender serviços a burlões desde 2017 continuam a ter licença como operador financeiro no BdP.

2. A SIBS (Multibanco) deve mostrar nas ATMs o nome da entidade que gera as referências e o beneficiário final do pagamento. Se a entidade estiver associada a burlas esse alerta deve surgir na ATM. É o caso das 21800, 21312, 11249, 11893, 10241, 10611, 12167 ou 11893.”

Utilização de Videoconferência pelo Conselho de Estado: Recomendações e alertas

~ Rui Martins ~ Comentar

Segundo notícias recentes, uma falha técnica durante o Conselho de Estado impediu alguns conselheiros de votar e forçou um empate (9). Tenhamos em conta que este Conselho é o “órgão político de consulta do Presidente da República, por ele presidido” a quem cabe “pronunciar-se sobre um conjunto de atos da responsabilidade do Presidente da República” (1). Estes pronunciamentos não são vinculativos (2) mas o Presidente da República é fortemente influenciado por estas votações como aqui é admitido: “O empate evitou, ainda assim, que o Presidente da República decidisse contra a maioria dos seus conselheiros, embaraço que surgiria caso a votação tivesse pendido para a manutenção da maioria” (2).

Na reunião do Conselho de Estado “15 conselheiros estiveram presencialmente no Palácio de Belém e Miguel Albuquerque, António Damásio e Lídia Jorge participaram na reunião por videoconferência”. Portanto, é comum este tipo de participação remota. E daqui advém a nossa primeira perplexidade: no Portal Base da Contratação Pública encontramos apenas um contrato de serviços que pode justificar a utilização de equipamento de videoconferência: “Aquisição e instalação de solução de ativos de rede para a Presidência da República; Ajuste Direto Regime Geral” à “Warpcom Services, S.A. por 189.995,00 € e assinado em 14-09-2022. Anexo encontramos apenas um documento “65.pdf” que menciona a aquisição de “uma solução de gestão de activos de rede”. A cláusula 7 refere-se à “instalação de equipamentos”. Serão equipamentos de teleconferência? Tal parece extremamente improvável porque poderia implicar a instalação nas residências de cada um dos 18 conselheiros de Estado. Esta improbabilidade aumenta quando no “Relatório de Actividades” da Presidência encontramos “Nº. de dias para substituição dos equipamentos ativos de rede switches”. Assim sendo: O mais provável, assim sendo, é a utilização de software baseado na Cloud (como o Zoom ou Teams) ou, alternativamente (muito improvável dada a falta de contratos públicos) de uma solução semelhante mas instalada em servidores no datacenter da Presidência da República. Mas encontramos várias entidades (administrações regionais de saúde, SCML, Direção Geral da Educação, Município de Silves, Município da Trofa, Município da Maia, Centros de Formação, Agência para o Desenvolvimento e Coesão, Universidade de Coimbra, Universidade do Porto, LIPOR, Secretaria-Geral do Ministério da Economia, Instituto da Mobilidade e dos Transportes, INESC, etc) mas nenhuma referência à Presidência da República.

A Presidência da República tem um orçamento de 17.8 milhões de euros onde caberiam facilmente a aquisição e manutenção de um sistema fechado e seguro de videoconferência. Mas não há vestígios de tal aquisição no site da Presidência (4). Belém usará assim licenças gratuitas de Zoom ou Teams: com as decorrentes limitações horárias? É altamente improvável. Ficamos assim sem saber como é financiado este licenciamento já que não encontramos nem no Portal Base nem no site da Presidência informações sobre estes serviços.

Mas admitamos, como é provável, que seja usado o Zoom ou o Microsoft Teams. Existe o “Zoom for Government” que foi criado para ser usado pela administração pública nos EUA e que dá a estas organizações um nível acrescido de segurança mas não há qualquer indício da sua utilização em Portugal. E tal devia acontecer já que o produto garante um foco especial em segurança com: “Controlo de segurança durante reuniões” que “permitem gerir quem pode participar das reuniões e como as informações são partilhadas. Isso inclui a marca d’água do ID do utilizador para ajudar a evitar divulgações não autorizadas.”; “Proteção de dados” com “criptografia AES-GCM de 256 bits” como “padrão para conteúdo e média tempo real, aplicando-se a dados em trânsito em reuniões do Zoom, webinars do Zoom, reuniões realizadas via salas do Zoom e o Zoom Phone” sendo que o “chat persistente do Zoom também oferece uma criptografia avançada para chat”. A versão (baseada no Zoom comercial) oferece também uma grande compliance com regulamentos e leis em vigor nos EUA. Mas Portugal não é os EUA… e embora a Zoom alegue não capturar dados das reuniões realizadas com Zoom estes dados já foram captados e partilhados com parceiros. Recentemente, a empresa teve que pagar 85 milhões de dólares num processo judicial envolvendo a partilha de dados pessoais de utilizadores nos EUA com Google, Facebook, LinkedIn e outros. Há dados das reuniões em Belém nos servidores da Zoom? Se sim: quais e desde quando?

Os problemas de segurança com o Zoom são amplamente conhecidos (6)
a) “Utilizadores de Mac queixaram-se de que os seus microfones não desligavam após saírem de reuniões no Zoom em fevereiro de 2022.”
b) “Em abril de 2021, investigadores de cibersegurança descobriram falhas ocultas que permitiam a hackers assumir o controlo de PCs e Macs onde o Zoom estava a ser executado.”
c) “A FTC lançou uma declaração condenatória de que o Zoom enganou os utilizadores acerca das suas alegadas funcionalidades de segurança de ponta a ponta em 2020.”
d) “Os especialistas em cibersegurança ficaram chocados ao descobrir que o Zoom instala secretamente um servidor web no Mac, o que pode permitir que hackers espiem através das câmaras dos utilizadores. A Apple lançou entretanto uma atualização que remove esse servidor web secreto.”
e) “A Talos (Cisco) revelou algumas falhas de segurança que instalavam malware à força em computadores através das funções de reunião do Zoom.”
f) “A TrendMicro reportou que hackers estavam a distribuir instaladores corrompidos do Zoom, que instalavam malware malicioso juntamente com a aplicação de videoconferência.”

Se a Presidência da República usa este software deve tomar conhecimento destes riscos: razão pela qual este texto foi também enviado a esta instituição.

As recomendações da CpC: Cidadãos pela Cibersegurança são:

  1. Todos os serviços do Estado e das Autarquias Locais devem usar sistemas de videoconferência fechados: instalados on-premises e uso através de VPN (7).
  2. Se ainda assim for tomada a opção de usar o Zoom (o que não recomendamos (8) o serviço do Estado Central ou Local deve:
    2a) Usar a autenticação de dois fatores (2FA) para os participantes das reuniões, aumentando assim a segurança do login.
    2b) Usar uma sala de espera que mantém todos os participantes e permite-lhe avaliar cada indivíduo antes de conceder acesso.
    2c) Proteja a reunião com uma palavra-passe e partilhe-a por uma via segura.
    2d) Desactive todos os recursos que sabe que não serão utilizados tais como o chat privado, a anotação, silencie os participantes e controle o partilhar de ecrã para assumir o controlo da reunião.
  3. Se foi e está a ser usado o “Microsoft Teams” nem por isso deixam de existir riscos de segurança. E a partir das sugestões em http://www.lepide.com (19) recomendamos que:
    3a) É possível associar os logins a controlos de segurança de risco por acesso condicional, forçando a autenticação por autenticação de duplo factor e com controlo geográfico (limitando o login, p.ex, apenas aos países de onde os participantes irão entrar na reunião).
    3b) Mitigar os riscos através de uma monitorização permanente e especialmente atenta dos logs de segurança quando decorrem as teleconferências.
    3c) Em chamadas privadas, o Teams usa criptografia ponto a ponto em dados de voz, vídeo e partilha de écran, e apenas o destinatário é capaz de descriptografar os dados. No entanto, ambas as partes precisarão habilitar a criptografia para que funcione. Se isso acontecer, nem mesmo a Microsoft pode interceptar e ler os dados.
    3d) Os administradores do tenant de Office 365 onde está alojado o Teams têm a capacidade de monitorizar conversas no Microsoft Teams e podem configurar alertas de palavras-chave para serem informados sempre que uma palavra específica for usada. Contudo, esta monitorização tem que ser manual e previamente autorizada pelos utilizadores (neste caso a Presidência e todos os membros do Conselho de Estado).
    3e) No Teams é possível ter “chats supervisionados”: isto pode ser utilizado para impedir o lançamento de chats privados, a menos que certos membros estejam incluídos.
    3f) O Microsoft Defender é usado pelo Teams para proteger a organização de partilhar inadvertidamente arquivos maliciosos. O Defender fornece um recurso de “links seguros” para ajudar os utilizadores a decidir em quais links podem confiar e quais podem ser potencialmente maliciosos. Esta opção pode, contudo, estar desligada.
  4. Todas as teleconferências devem ser feitas em computadores com ligação por VPN e, após esta, com um acesso mediado à Internet por um proxy com serviço de antivírus e filtragem de conteúdos. Esta camada adicional de segurança aumenta a encriptação com uma dupla camada e reduz as possibilidades de intercepção das reuniões e conteúdos partilhados.

Recordamos que segundo o “Citizen Lab” (8) desaconselhava o seu uso por “O aviso indicou que o Zoom “pode não ser adequado” para: “Governos e empresas preocupados com espionagem, Provedores de cuidados de saúde que lidam com informações sensíveis de pacientes e activistas, advogados e jornalistas que trabalham em tópicos sensíveis”. Manifestamente: é o caso das Reuniões do Conselho de Estado, Municípios e entidades de Saúde que constam no Portal Base como clientes Zoom. A mesma organização lançava ainda um alerta muito preocupante: “os investigadores também descobriram que o Zoom envia tráfego para a China – mesmo quando todas as pessoas numa reunião do Zoom estão fora da China. Durante múltiplas chamadas de teste na América do Norte, observámos chaves para a encriptação e desencriptação de reuniões a serem transmitidas para servidores em Pequim, China”. O mesmo artigo da BBC termina com o alerta de Alan Woodward, professor de ciência da computação na Universidade de Surrey: “Eu não usaria o Zoom para discussões sensíveis ou secretas.” O alerta é de 2020 e entretanto, o fabricante já melhorou a segurança do Zoom mas continuam a existir preocupações com a segurança dos dados e o padrão de encriptação e especialmente com o mau uso da ferramenta.

Referências:
1)
https://www.presidencia.pt/presidente-da-republica/as-funcoes/conselho-de-estado/
2)
https://cnnportugal.iol.pt/crise-politica/antonio-costa/conselheiros-de-estado-metade-direita-votou-a-favor-de-eleicoes-metade-esquerda-queria-manter-o-governo/20231109/654d50e0d34e371fc0b9b32c
3)
https://www.sg.presidencia.pt/DSAF/ImagensSite/2022/RelAtividades2022.pdf
4)
https://www.sg.presidencia.pt/DSAF/Pag/content.aspx?Menu=Administra%C3%A7%C3%A3o%20Financeira%20e%20de%20Recursos%20Humanos&Submenu=Publicita%C3%A7%C3%A3o&ContentId=PublicitacaoContent
5)
https://www.zoomgov.com/
6)
https://clearvpn.com/blog/zoom-security/
7)
https://aws.amazon.com/pt/what-is/vpn/
8)
https://www.bbc.com/news/technology-52152025
9)
https://www.cmjornal.pt/politica/detalhe/falha-tecnica-durante-conselho-de-estado-impede-conselheiros-de-votar-e-forca-empate
10)
https://www.lepide.com/blog/microsoft-teams-security-tips-and-best-practices/

Desvendando as Fraudes nas Referências Multibanco: O Caso da 888poker.pt e a Necessidade de Maior Fiscalização

~ Rui Martins ~ Comentar

Uma das causas da CpC: Iniciativa de Cidadãos pela Cibersegurança é a https://peticaopublica.com/pview.aspx?pi=referenciasMB que visa atalhar ou – pelo menos – dificultar a vida dos burlões que usam referências fraudulentas de Multibanco. Boa parte dessa actividade criminosa usa a entidade holandesa “MediaMedics” 21800 mas têm surgido outras entidades nestas campanhas sendo uma das mais recentes a https://poker.888.pt (ou https://888.pt).

Este site de Poker Online permite que os utilizadores carreguem as suas contas no Multibanco através de uma referências (neste caso: a 12189). Foram-nos enviadas várias mensagens de WhatsApp – usando o método “Olá Pai/Olá Mãe” e que usavam este serviço da 888poker.pt e encontrámos no Portal da Queixa outros casos idênticos: https://portaldaqueixa.com/brands/888/complaints e, em particular https://portaldaqueixa.com/brands/888/complaints/888-burla-com-entidade-12189-pertencente-a-888poker-96696323.

Alertada para este uso a empresa respondeu de forma evasiva e não mencionando que tinham bloqueado essas contas usadas por burlões dando a entender, pelo contrário, que não o fariam a não ser que a tal fossem obrigadas por ordem do tribunal. Isto quer dizer que continuam activas e que é possível a estes burlões criarem outras contas e continuam a mascarar a sua identidade. Esta resposta contradiz os seus próprios termos de serviço que, a dado ponto, informam que “no caso de termos suspeitas razoáveis que um pagamento fraudulento está a ser feito ou recebido, incluindo o uso de cartões de crédito roubados, ou qualquer outra atividade fraudulenta (incluindo qualquer cobrança ou outra reversão de pagamento), iremos, a titulo cautelar, suspender a conta do utilizador e informar quaisquer autoridades ou entidades relevantes (incluindo agências de crédito de referência)”.

No caso que chegou à CpC a vítima perdeu mais de 4 mil euros ninguém destes autoridades policiais desde ao Banco deu qualquer esperança na recuperação da verba perdida num padrão que é recorrente neste tipo de criminalidade razão pela qual é crucial que as entidades emissoras de referências Multibanco sejam intensamente monitorizadas nas suas boas práticas pela SIBS e pelo Banco de Portugal e sejam vigiadas quanto à sua competência para a detecção pro-activa de fraudes e reacção a sinais de actividade criminosa nos seus serviços. Tal, manifestamente, não parece estar a acontecer, dada a recorrência destas situações.

No caso concreto destas burlas com a entidade 12189 estas são emitidas pela “A 888 Portugal Limited” que, apesar do nome, é uma empresa com sede em… Malta (https://www.888.pt/seguranca-e-privacidade/acordo-do-utilizador/: “A 888 Portugal Limited (doravante a “Empresa”) foi constituída sob as leis de Malta e faz parte do grupo empresarial 888”).

A 888 investe muito texto dos seus termos de serviço a procurar que os jogadores sejam quem, efectivamente, dizem ser: “Deverá aceder ao Software e utilizar os Serviços apenas através de uma conta titulada por si, não podendo nunca aceder ao Software ou utilizar os Serviços através da conta de outra pessoa” mas procura descartar responsabilidades pelo uso fraudulento dos seus serviços: “A Empresa não será responsável por qualquer uso ilegal ou não autorizado que possa fazer do Software e/ou dos Serviços”. Deixa muito claro que se a conta for usada por alguém que “não tenha a Idade Legal” ou que não seja o “legítimo titular” a conta é suspensa “imediatamente e a título cautelar” mas nada diz quando tem indícios (como neste caso) de uso fraudulento dos seus sistemas por burlões ou outros criminosos podendo inferir-se que as suas contas permanecem assim activas apesar das queixas e denúncias recebidas.

Nos mesmos termos de serviço a https://poker.888.pt admite que tem dados pessoais dos burlões estando assim em condições de auxiliar as autoridades se o decidir fazer ou se estas realizarem as suas investigações: “Reservamo-nos o direito de verificar os seus dados de registo, nomeadamente o seu nome completo, a data de nascimento, a nacionalidade, a profissão, a morada de residência, o número de identificação civil ou do passaporte, o número de identificação fiscal, o endereço de correio eletrónico e os elementos identificadores da conta de pagamento” e que conserva também o “cartão de crédito que utiliza para depositar fundos na sua conta” que é assim usado para retirar fundos da conta no site para as contas bancárias dos burlões as quais – facilitando o trabalho das autoridades – estão limitadas “a a contas bancárias cujo IBAN associado seja um IBAN português (PT50)”.

Embora mencione que a empresa “pode não ordenar a transferência de fundos da conta de jogador para a conta de pagamento, quando suspeite que essa operação está relacionada com a prática dos já mencionados crimes de branqueamento de capitais ou de financiamento do terrorismo” e que, nestes casos, suspende, a título cautelar, a conta do jogador nada diz quando esta é usada para burlas de referências Multibanco.

Alegam também nestes “Termos de Utilização” terem “tecnologia proprietária sofisticada concebida para procurar e identificar utilizadores que façam uso fraudulento ou ilegal dos Serviços ou do Software” mas, se a têm, esta é ineficiente e incompleta como demonstram estas burlas. No mesmo texto a 888poker.pt alega que “não tem qualquer obrigação de verificar se os utilizadores estão a utilizar os Serviços de acordo com os Termos de Utilização, conforme venham a ser atualizados” nem que “não será obrigada em nenhuma circunstância a investigar ou prosseguir quaisquer queixas feitas por um jogador contra qualquer outro jogador que utilize os Serviços, ou a adotar qualquer outra medida em relação a essa queixa, ou a tomar qualquer ação contra um jogador por qualquer motivo” o que é, do ponto de vista legal e moral, altamente duvidoso.

Proibição de Aplicações WeChat e Kaspersky pelo Governo do Canadá: Desafios de Segurança Cibernética e Recomendações para Portugal

~ Rui Martins ~ Comentar

A 30 de Outubro, o “Treasury Board of Canada Secretariat” proibiu a instalação e uso da rede social chinesa WeChat e de todo o software do fabricante russo Kaspersky em todos os dispositivos que sejam fornecidos pelo governo. Segundo a nota enviada pelo Conselho do Tesouro do Canadá, as aplicações representam uma séria “ameaça de segurança para o país”. Não foram dados detalhes sobre a natureza ou a especificidade do risco mas o texto publicado refere “Effective October 30, 2023, the WeChat and Kaspersky suite of applications will be removed from government-issued mobile devices. Users of these devices will also be blocked from downloading the applications in the future”: parece significar que, no Canadá, estes equipamentos são geridos centralmente (“will be removed”) conforme a Iniciativa CpC recomendou ao governo e às autarquias portuguesas em https://cidadaospelaciberseguranca.com/2023/07/19/apresentada-a-ar-por-mais-ciberseguranca-nos-equipamentos-dos-gabinetes-dos-ministerios-e-dos-presidentes-de-camara-municipal/ não obtendo – a este propósito – qualquer resposta por parte das autoridades nacionais.

A proibição canadiana visa responder ao tipo de acesso muito elevado que uma aplicação como um antivirus da russa Kaspersky tem para poder funcionar e à certeza de que se a empresa for (ou já tiver sido) abordada pelo Kremlin para ceder dados e acesso aos equipamentos protegidos por este software os funcionários da empresa serão obrigados a colaborar com as autoridades. O WeChat, por sua vez, representa vários riscos. Desde logo porque a aplicação está baseada na China e – como sucede na Rússia – as empresas locais são obrigadas a colaborarem e a cederem dados e informações dos seus utilizadores ao governo. Por outro lado, porque esses dados e informações não estão encriptados se forem mensagens trocadas dentro da aplicação (com um protocolo fechado e muito opaco) havendo a possibilidade de existirem módulos de keylogging (registo de tudo o que é teclado no device) e de captura de clipboard na aplicação. O WeChat – para funcionar – exige uma extensa lista de permissões não sendo claro qual será o seu uso funcional: gravação de audio, MAC address do Wi-Fi, dados do operador móvel, IMEI, modelo, localização GPS, actividade física do device são colhidos pelo WeChat. Muitas destes dados podem ser de alto interesse para um governo estrangeiro e, de facto, são actualmente muito mais intensas e perigosas que aquelas que o polémico TikTok actualmente recolhe (https://tek.sapo.pt/noticias/internet/artigos/devera-portugal-bloquear-o-acesso-ao-tiktok-movimento-cidadaos-apela-a-medidas-semelhantes-as-da-uniao-europeia). Estima-se que, em Portugal, existirão cerca de cem mil utilizadores do WeChat (https://worldpopulationreview.com/country-rankings/wechat-users-by-country) alguns dos quais, provavelmente, terão equipamentos móveis cedidos pelo governo e autarquias locais e a organização está autorizada pelo Banco de Portugal para prestar serviços financeiros (https://www.bportugal.pt/en/entidadeautorizada/wechat-pay-europe-bv) o que aumenta ainda mais a quantidade de informações de natureza financeira que fica assim disponível a esta empresa baseada na China.

Recomendação CpC – Iniciativa dos Cidadãos para a Cibersegurança ao Governo central e às autarquias locais portuguesas:

1. Reiteramos a necessidade de que todos os equipamentos (computadores, tablets e smartphones) entregues para uso profissional a colaboradores e representantes eleitos do Estado central e das autarquias locais tenham software de antivirus e um sistema de MDM: “Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite gerir dispositivos móveis – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos”: sendo que, assim sendo, a esta lista se deveria somar o TikTok, o WeChat e todo o software da Kaspersky. No Portal Base da contratação pública apenas o “Centro de Formação Profissional da Indústria Têxtil, Vestuário, Confecção e Lanifícios (Modatex)” e a “Fundação Casa da Música ” parecem ter adquirido este tipo de serviços MDM de gestão centralizada de equipamentos (não sendo claro se estão a ser usados para bloquearem aplicações deste tipo).

2. Todas as autarquias e hospitais públicos que adquiriram software da Kaspersky devem terminar imediatamente esses contratos e substituir este fornecedor
https://www.base.gov.pt/Base4/pt/pesquisa/?type=contratos&texto=kaspersky&tipo=0&tipocontrato=0&cpv=&aqinfo=&adjudicante=&adjudicataria=&sel_price=price_c1&desdeprecocontrato=&ateprecocontrato=&desdeprecoefectivo=&ateprecoefectivo=&desdeprazoexecucao=&ateprazoexecucao=&sel_date=date_c1&desdedatacontrato=&atedatacontrato=&desdedatapublicacao=&atedatapublicacao=&desdedatafecho=&atedatafecho=&pais=0&distrito=0&concelho=0
Entre estas entidades encontramos, entre outras, organizações com acessos a dados potencialmente interessantes a serviços de informações estrangeiros e que, apesar disso, usam ou usaram até recentemente software da Kaspersky:
ANAC – Autoridade Nacional da Aviação Civil
ASAE
Águas de Lisboa e Vale do Tejo, S. A.
Águas do Norte, SA
Águas do Tejo Atlântico, S. A.
Câmara Municipal de Barreiro
Câmara Municipal de Portimão
Câmara Municipal de Pedrógão Grande
Câmara Municipal de Portimão
Centro Hospitalar de Leiria, E. P. E.
Comissão de Coordenação e Desenvolvimento Regional de Lisboa e Vale do Tejo
Comissão de Coordenação e Desenvolvimento Regional do Norte
Direção-Geral de Alimentação e Veterinária
Direção-Geral de Energia e Geologia
Direção-Geral de Recursos Naturais, Segurança e Serviços Marítimos
Direção Regional de Agricultura e Pescas do Alentejo
Direção Regional de Agricultura e Pescas do Centro
EPAL – Empresa Portuguesa das Águas Livres, S. A.
Estado-Maior-General das Forças Armadas
Hospital Distrital da Figueira da Foz, EPE
Hospital Garcia de Orta, E. P. E.
Instituto de Financiamento da Agricultura e Pescas – IFAP, I. P.
Instituto Nacional de Estatística, I. P.
Instituto Português de Acreditação, I. P.
Instituto Português de Oncologia de Lisboa Francisco Gentil, E. P. E.
ISEG – Instituto Superior de Economia e Gestão
Municipio da Marinha Grande
Município de Évora
Município de Sabrosa
Município de São Brás de Alportel
Município de Valongo
Município de Vila Nova de Gaia
Santa Casa da Misericórdia de Lisboa
Secretaria-Geral do Ministério da Economia
Serviço Estrangeiros e Fronteiras
Serviços Municipalizados da Câmara Municipal de Torres Vedras
Serviços Municipalizados de Transportes Urbanos de Coimbra

Destes contratos públicos 4 foram assinados depois da invasão da Ucrânia:
Município de Castro Daire, Centro Hospitalar de Leiria, Serviços Municipalizados de Transportes Urbanos de Coimbra e Hospital Distrital da Figueira da Foz. Castro Daire, por exemplo, celebrou em 28-06-2023 um contrato de três anos com a empresa russa… Outras entidades – de elevado risco de segurança como a Secretaria-Geral do Ministério da Economia (2021-2022) e o Estado-Maior-General das Forças Armadas (2021) parecem já não usar o software mas a Rússia é um risco de segurança óbvio e evidente pelo menos desde a invasão da Crimeia em 2014: como se compreende que estas entidades tenham assinado um contrato de serviço que, na prática, concede a uma empresa russa o acesso a todos os ficheiros em todos os computadores onde é instalado o seu software?

Em março de 2022, o BSI alemão emitiu um alerta contra o uso do antivírus Kaspersky, alegando riscos de ciberataques estrangeiros. Em resposta, a Kaspersky negou as acusações e prometeu colaborar para esclarecer a situação. Além disso, várias entidades, como o governo italiano, cancelaram parcerias com a Kaspersky devido às preocupações de segurança. Em março, a FCC dos EUA também incluiu a Kaspersky em sua lista de ameaças à segurança nacional. Nada de semelhante parece ter acontecido em Portugal estando essa possibilidade legalmente ainda ao dispôr de qualquer entidade pública portuguesa.

Em maio de 2023 o Parlamento Europeu produziu o relatório “on foreign interference in all democratic processes in the European Union, including disinformation (2022/2075(INI))” que se refere explicitamente à Kaspersky:
Este texto discute os esforços do Parlamento Europeu para lidar com desinformação e potenciais riscos de segurança relacionados a empresas estrangeiras, especialmente aquelas de países de alto risco como China e Rússia e existe uma força-tarefa do Parlamento que coordena as acções em áreas como consciência situacional, construção de resiliência e promoção de um ambiente de informação saudável mas apesar dos mecanismos de triagem de investimentos estrangeiros, empresas chinesas como a Nuctech conseguiram contratos em infraestruturas críticas na Europa, representando riscos de segurança. O relatório pede ainda ao Conselho e à Comissão que excluam equipamentos e software de países de alto risco e insta sectores vitais a evitar o uso de hardware e software que possam ameaçar a integridade dos dados. Especificamente, o texto destaca preocupações sobre o TikTok e da Kaspersky sabendo-se que as instituições da UE já restringiram o uso do TikTok em dispositivos corporativos, e o texto recomenda a proibição do TikTok em níveis governamentais nacionais e nas instituições da UE, especialmente durante processos eleitorais sendo implicitamente a mesma sugestão é dada para com software da Kaspersky. Posteriormente, foi aprovada no Parlamento Europeu uma resolução (com 476 votos favoráveis e 151 contra) em que este é classificado como “malicioso”. Apesar de tudo isto: o eco parece ainda não parece ter chegado ao Estado central Português (hospitais públicos) nem às nossas autarquias locais.

Enviada às câmaras municipais de Portugal, Governo da República, Grupos Parlamentares e, em particular, ao Ministério da Saúde.

Para saber mais:
https://www.canada.ca/en/treasury-board-secretariat/news/2023/10/minister-anand-announces-a-ban-on-the-use-of-wechat-and-kaspersky-suite-of-applications-on-government-mobile-devices.html
https://www.jstor.org/stable/resrep26120.8?seq=1
https://en.wikipedia.org/wiki/Kaspersky_bans_and_allegations_of_Russian_government_ties
https://www.europarl.europa.eu/doceo/document/A-9-2023-0187_EN.pdf