Conselhos básicos: 1. Ao falar na rua nunca esteja completamente do que e de quem o rodeia 2. Não atenda o telemóvel se não estiver num local seguro para prevenir o roubo por esticão 3. Não deixe o seu telemóvel em balcões ou mesas fora do seu alcance e quando o fizer esteja sempre atento remova-o se se aproximar alguém estranho ao estabelecimento 4. Anote o IMEI do seu equipamento num local seguro 5. Instale e configure aplicações de geolocalização do seu telemóvel: o Android e o iOS têm já essas funcionalidades que pode reforçar com antivirus como BitDefender ou o Panda (entre outros que também oferecem essa funcionalidade) 6. Use palavras-passe ou padrões ou, melhor ainda, a impressão digital para desbloquear o seu equipamento.
Se lhe roubarem o seu telemóvel: 1. não perca a calma e não reaja com violência 2. tente chamar a atenção de alguém que esteja perto 3. se não correr riscos grite por socorro 4. procure fixar características do ladrão: cor da pele, vestuário, estatura, calçado, idade aparente, tipo de cabelo, óculos, chapéu/bone, sinais na pele, tatuagens. 5. Se se afastou num veículo anote a marca, modelo, cor e idealmente a matrícula 6. Ligue para o 112 ! E nunca deixe de apresentar Participação na Polícia! 7. Peça uma segunda via do cartão e informe o operador para que bloqueie todos os outros cartões no mesmo número. Se houve chamadas ou consumos de dados apresente a cópia da Participação na loja da sua operadora.
Desde o início de março de 2024, a Microsoft Threat Intelligence observou um aumento nas campanhas de phishing que distribuem o trojan bancário Grandoreiro. O Grandoreiro foi originalmente descoberto na América Latina e tem estado ativo pelo menos desde 2017. Anteriormente, o trojan era distribuído principalmente no Brasil, México, Argentina e Espanha.
Este aumento nas campanhas de phishing seguiu-se à operação de interrupção em janeiro de 2024 pela Polícia Federal do Brasil e por empresas de pesquisa em cibersegurança, que anunciaram a desativação da infraestrutura do trojan bancário Grandoreiro e a prisão de vários indivíduos que controlavam essa infraestrutura. Dados da Microsoft mostram que a desactivação visou um cluster de Grandoreiro caracterizado por uma cadeia de distribuição que envolvia a entrega de ficheiros .zip seguidos de ficheiros .msi.
A Microsoft rastreia as campanhas recentemente observadas sob um cluster diferente, que envolve a entrega de ficheiros .zip seguidos de ficheiros .exe. Nestas campanhas, os agentes de ameaças estão a expandir os seus alvos da América Latina para incluir vários sectores industriais nos Estados Unidos, Reino Unido, África do Sul e Austrália.
Os contratos com a Microsoft são, aliás, tão numerosos que a plataforma Base não é capaz de lidar com o seu volume e devolve um erro cada vez que os tentamos extrair para ficheiro para os podermos analisar. Ou seja, quem quiser trabalhar e processar estes dados não o consegue fazer o que, de per si, é um atentado à transparência que se exige às entidades públicas e à própria legislação (Decreto-Lei nº 111-B/2017, de 31 de agosto, que procedeu à nona alteração ao Código dos Contratos Públicos, aprovado pelo Decreto-Lei nº 18/2008, de 29 de janeiro).
Apesar desta falta “técnica” de transparência, não há qualquer dúvida que a Microsoft, é a principal fornecedora tecnológica do governo e autarquias portuguesas. Ora, actualmente, a empresa enfrenta muitas críticas por falhas de segurança que comprometeram dados públicos e, em particular, do governo dos EUA (https://www.crn.com/news/security/2024/cisa-publishes-emergency-order-on-microsoft-breach-by-russian-group-confirms-stolen-emails) sendo agora sabido que a agência de cibersegurança dos Estados Unidos (CISA) afirma que vários emails foram roubados de órgãos federais em conexão com o comprometimento do sistema de email corporativo da Microsoft pelo actor estatal de ameaças (APT) conhecido como Midnight Blizzard e que, geralmente, é associado à Rússia.
Estas falhas graves poderão já ter afectado ou vir a afectar no futuro também entidades públicas (autarquias e governo central) portuguesas e temos que sublinhar que um relatório recente do Cyber Security Council critica a Microsoft pela sua cultura de segurança inadequada e pela falta de investimento em medidas preventivas. A isto somamos uma dependência crescente da cultura de outsourcing massivo para países terceiros e uma obsessão na redução de custos operacionais que se traduz na perda de confiança e segurança por parte de muitos clientes.
Actualmente a Microsoft é essencial para o funcionamento das suas operações detendo um conhecimento profundo das infraestruturas digitais das entidades públicas, tornando-a um parceiro crucial na defesa contra ciberataques. Contudo, a falta de responsabilização da empresa norte-americana nesta vaga de ataques e a sua crescente perda de qualidade de suporte torna as entidades públicas portuguesas mais vulneráveis a ataques informáticos. Recordamos ainda que a Microsoft lucra com a venda de serviços de segurança adicionais, em vez de os tornar padrão para todos os clientes, criando um incentivo para manter um certo nível de risco.
A CpC acredita que: a) O governo português pode impor novas exigências aos fornecedores de serviços informáticos, como auditorias de segurança regulares e a obrigatoriedade de implementar medidas de segurança robustas. b) A sociedade civil portuguesa poderá pressionar a Microsoft a adotar práticas mais responsáveis em termos de segurança, protegendo os dados dos cidadãos e a infraestrutura digital do país. c) Existe uma necessidade urgente de investir em formação e capacitação em cibersegurança para os funcionários das entidades públicas portuguesas. d) É preciso promover a criação de uma cultura de segurança da informação em todo o setor público português. e) É preciso diversificar os fornecedores de serviços informáticos para reduzir a dependência da Microsoft. f) Em alguns sectores é possível abandonar a Microsoft e a sua plataforma de Office em lugar a distribuições Linux e de soluções baseadas em software equivalente mas em open source. g) O Estado central e as autarquias locais precisam de implementar um sistema de documentação interno similar ao modelo Linux, com maior abertura e acesso à informação para programadores e administradores. h) É urgente fazer uma redução de pontos únicos de falha através da implementação de mecanismos de autenticação multifactorial robusta, evitando o uso de passwords únicas como credenciais de adminstração (recentemente uma falha num datacenter no Texas impediu a autenticação a muitos serviços públicos e o mesmo pode repetir-se em breve na Europa). i) Investir em redundância de serviços críticos, tanto em soluções locais quanto na nuvem, para garantir disponibilidade em caso de falhas pontuais. j) Estabelecer planos de contingência para cenários de indisponibilidade de serviços terceirizados, como tai como os fornecedores de MFA.
Ao implementar estas medidas, o Governo e as autarquias podem fortalecer a sua segurança digital, proteger os dados dos cidadãos e garantir a continuidade dos serviços públicos. Acreditamos que a colaboração entre Governo, a sociedade civil e o sector privado é fundamental para construir um futuro digital mais seguro e resiliente para Portugal.
Não existem estudos sobre aumento ou baixa de crimes não registados mas as únicas estatísticas de crimes não registados, elaboradas em 2022 pela Câmara Municipal de Lisboa indicavam que menos de metade dos Lisboetas participaram crimes de que foram vítimas: https://www.dn.pt/sociedade/menos-de-metade-dos-lisboetas-participaram-crimes-de-que-foram-vitimas–15157451.htm. No que respeita ao crime cibernético, pela generalização, pelo carácter etário de muitas vítimas e pelos pequenos valores (inferiores a 50 euros) de muitos destes crimes a chamadas “cifras negras” deverão ser ainda maiores.
Os dados disponíveis evidenciam uma preocupante explosão de crimes cibernéticos em Portugal, especialmente durante os anos da COVID-19, reflectindo-se em fraudes com cartões bancários e outros tipos de delitos virtuais. É importante notar que estes dados provavelmente subestimam a verdadeira extensão do problema, já que muitos crimes não são denunciados. A falta de estudos sobre crimes não reportados, aliada à subnotificação já identificada em estatísticas anteriores, sugere que a chamada “cifra negra” de crimes cibernéticos pode ser ainda maior.
Diante desse cenário, é crucial que o legislador responda de forma ágil e eficaz a essa crescente ameaça, promovendo actualizações nas leis e regulamentos relacionados à segurança cibernética e garantindo que as forças policiais tenham os recursos e o foco adequados para investigar e combater esses delitos. Além disso, é fundamental investir em campanhas de conscientização pública sobre segurança digital, fornecendo orientações práticas para os cidadãos se protegerem contra fraudes e ataques online. Somente com uma abordagem coordenada e proactiva, envolvendo tanto o governo quanto a sociedade civil, poderemos enfrentar efectivamente os desafios apresentados pelo aumento dos crimes cibernéticos em Portugal.
Sete homens chineses foram acusados de realizar uma extensa campanha de ciberataques “maliciosos” desde há, pelo menos, 14 anos. A China já rejeitou as acusações dos EUA e Reino Unido de estar por trás de uma operação estatal de hacking visando milhões de pessoas em países ocidentais e que tinham como alvo políticos, as suas famílias e muitos organismos estatais e empresas de distribuição de água e energia e acusou os EUA e outros países de realizarem seus próprios ataques cibernéticos contra Pequim. Tanto o Reino Unido quanto os EUA culpam uma unidade cibernética estatal chinesa (o “APT31”) pelos ataques. O Reino Unido anunciou sanções contra dois indivíduos e uma empresa chineses, congelando os seus activos e impondo uma proibição de viagem.
O Reino Unido relatou ainda um ataque muito significativo à Comissão Eleitoral mas afirmou que a segurança das eleições não chegou a ser comprometida. Tanto o Reino Unido quanto os EUA prometeram continuar expor as actividades hostis contínuas de Pequim. Contudo, da União Europeia e, em particular, de Portugal que estão à beira de eleições europeias, nada de ouviu. Ou nenhum país europeu é alvo destas organizações chinesas (o que é altamente improvável) ou a Europa e Portugal estão a optar por não reagirem a estas agressões e intrusões.
Seria assim desejável que:
1. Sejam removidos todos os mails de todos os sites do Governo, CNE, órgãos do Estado, Assembleia da República (formulários de contactos com os deputados) e que todos os contactos com os cidadãos sejam feitos a partir de uma lista pré-determinada de domínios de mails de entidades “confiáveis” e converter estas comunicações em preenchimento de formulários onde a adição de anexos potencialmente perigosos ou a presença de URLs (http ou https) é proibida. As respostas dos cidadãos devem ser feitas através de um link presente em cada mensagem e não através da troca de mails por forma a não usar essa importante via de penetração nas redes.
2. Tanto o Parlamento Português quanto o Parlamento Europeu poderiam convocar audiências públicas para discutir as acusações de ciberataques atribuídas à China. Essas audiências permitiriam que especialistas em segurança cibernética, representantes do governo e membros da sociedade civil compartilhassem informações e perspectivas sobre a situação, possibilitando uma compreensão mais abrangente do impacto dos ataques e das medidas necessárias para enfrentar essa questão.
3. Os parlamentos português e europeu poderiam considerar a formação de uma comissão de investigação conjunta para examinar detalhadamente as alegações de ciberataques atribuídas à China. Essa investigação poderia incluir análises forenses de sistemas comprometidos, entrevistas com especialistas em segurança cibernética e cooperação com autoridades internacionais para reunir evidências adicionais. Os resultados dessa investigação poderiam ser usados para informar futuras políticas e ações contra o ciberataque.
4. Os parlamentos poderiam pressionar os governos português e europeu para coordenarem a adopção de sanções contra entidades chinesas e indivíduos envolvidos nestas actividades maliciosas. Estas sanções poderiam incluir restrições financeiras, proibições de viagens e outras medidas destinadas a responsabilizar os perpetradores e dissuadir futuros ataques cibernéticos.
5. Os parlamentos poderiam trabalhar em conjunto com os governos e o sector privado para fortalecer as capacidades de segurança cibernética em Portugal e, em geral, em todos os países da União Europeia. Isto poderia envolver investimentos adicionais em tecnologias de segurança, programas de conscientização cibernética e cooperação internacional para compartilhar informações e melhores práticas.
6. Os parlamentos poderiam instar os governos português e a Comissão Europeia a procurarem abordagens diplomáticas multilaterais para lidar com o problema dos ciberataques patrocinados pelo Estado chinês. Isto poderia incluir a promoção de normas internacionais de comportamento responsável no ciberespaço, a participação em fóruns de cooperação cibernética e o compromisso com parceiros internacionais para o desenvolvimento de respostas conjuntas aos desafios cibernéticos da actualidade.
Estas propostas visam propor uma acção coordenada e robusta para enfrentar os ciberataques atribuídos à China, protegendo os interesses de Portugal, da União Europeia e da comunidade internacional como um todo.
Enviada às Câmaras Municipais, Governo da República e aos partidos políticos portugueses com assento parlamentar.
Iniciativa CpC: Cidadãos pela Cibersegurança 