Proibir o pagamento de resgates de ransomware

17 de Março de 202426 de Março de 2024 ~ Rui Martins ~ Comentar

Os peticionários acreditam que proibir o pagamento de ransomware por lei pode ser uma estratégia eficaz para combater este tipo de crime cibernético:
1. Incentivo à criminalidade: Permitir o pagamento de resgates encoraja os criminosos a continuarem com as suas actividades. Se as organizações (públicas e privadas) continuarem a pagar, isso só aumentará a incidência de ataques de ransomware.
2. Financiamento de atividades ilícitas: O pagamento de resgates pode financiar outras formas de crime organizado, incluindo o tráfico de drogas, tráfico humano e terrorismo e, naturalmente, as próximas campanhas de ransomware. Ao proibir esses pagamentos, limitamos efectivamente a capacidade dos criminosos de financiar as suas actividades.
3. Não há garantia de recuperação dos dados: Mesmo que o resgate seja pago, não há garantia de que os dados serão restaurados. São muito numerosos os casos que demostraram que os criminosos não cumpriram suas promessas após a vítima ter feito o pagamento.
4. Impacto económico: O pagamento de resgates tem um custo significativo para as organizações afectadas. Além do resgate em si, há custos associados à interrupção dos negócios, imagem pública e credibilidade junto de clientes e fornecedores, recuperação de dados e reparo de sistemas comprometidos. Proibir os pagamentos pode reduzir esses custos.
5. Fomento à preparação e segurança cibernética: Ao proibir os pagamentos de resgate, as organizações são incentivadas a investir em medidas proativas de segurança cibernética, como backups regulares, sistemas de detecção de intrusões e treinamento de funcionários em conscientização sobre segurança.
6. Cooperação internacional: Proibir o pagamento de resgate pode facilitar a cooperação internacional na investigação e aplicação da lei contra os perpetradores de ransomware. Isto pode levar a uma maior eficácia na identificação e punição dos responsáveis.

Esses argumentos demonstram como proibir o pagamento de resgates pode ser uma estratégia fundamental na luta contra o crime cibernético e na proteção das organizações e da sociedade como um todo.

Por esta razão os peticionários apelam a que a Assembleia da República legisle no sentido de proibir e incorpore coimas pesadas a todas as organizações públicas e privadas que realizem o pagamento de resgates em operações de ransomware.

https://peticaopublica.com/pview.aspx?pi=proibirransomware

A União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial

5 de Março de 2024 ~ Rui Martins ~ Comentar

Recentemente uma petição que fizemos ao Parlamento Europeu e em que se pedia que “A União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial” viu recusado o “seguimento” porque foi também dirigida à Comissão uma pergunta parlamentar com pedido de resposta escrita sobre a utilização enganosa e fracturante da IA na comunicação política (E-003421/2023): https://www.europarl.europa.eu/doceo/document/E-9-2023-003421_EN.html

Desde 2022 que o Parlamento tem debatido esta questão:

1. Em 3 de maio de 2022, o Parlamento Europeu aprovou, por 495 votos a favor, 34 votos contra e 102 abstenções, uma Resolução sobre a inteligência artificial (IA): https://www.europarl.europa.eu/doceo/document/TA-9-2022-0140_PT.html;

2. Estudo do EPRS, o Serviço de Estudos do Parlamento Europeu: um órgão interno do Parlamento Europeu, responsável por fornecer análises e investigações independentes, objetivas e fundamentadas aos deputados e comissões parlamentares sobre questões políticas relacionadas à UE e que, a julho de 2021, elaborou o “Tackling deep fakes in Europeanpolicy” [Combate à falsificação profunda na política europeia: https://www.europarl.europa.eu/thinktank/pt/document/EPRS_STU(2021)690039), que identificou cinco aspectos do ciclo de vida das falsificações profundas que os decisores políticos podem ter em conta para prevenir e combater os impactos negativos das falsificações profundas.

3. Proposta da Comissão, de abril de 2021, relativa ao primeiro quadro jurídico em matéria de IA, que aborda os seus riscos e se destina a tornar a UE um líder mundial (https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0001.02/DOC_1&format=PDF). A proposta de regulamento visa proporcionar aos fornecedores, aos responsáveis pela implantação e aos utilizadoresde IA obrigações e requisitos inequívocos no que diz respeito às suas utilizações específicas. O processo legislativo relativo a este regulamento está em curso e o Parlamento Europeu adoptou a sua posição de negociação em junho deste ano:https://www.europarl.europa.eu/news/pt/press-room/20230609IPR96212/parlamento-negoceia-primeiras-regras-para-inteligencia-artificial-mais-segura. A posição do Parlamento inclui considerar os sistemas de IA utilizados para influenciar os eleitoresnas eleições como aplicações de alto risco.

Este era o texto da nossa petição:

“União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial:
Quando sabemos que a China se está a tornar numa gigantesca “sociedade de vigilância”, a uma escala que nunca houve na História da Humanidade e que, pela primeira vez, pode criar condições para a eternização de um regime ditatorial através da omnivigilância e da contenção/anulação de qualquer desafio ao poder e que o reconhecimento facial (usando tecnologias de Inteligência Artificial) joga nesta tenebrosa equação um papel central as democracias liberais têm que colocar um pé adiante e defenderem-se contra as portas que este tipo de tecnologia abre.
Numa abordagem mais superficial a tecnologia de reconhecimento facial, com incorporação de Inteligência Artificial, em sistemas de videovigilância parece algo de relativamente inócuo. Mas não é assim: se permitirmos que estes sistemas se espalhem pelas nossas cidades não estamos a falar de um sistema de CCTV que pode ser usado pelas autoridades para reagirem rapidamente a uma situação de insegurança na via pública (que defendo) mas de algo que pode ser facilmente apropriado pelos Serviços de Informações (cuja monitorização, mesmo em democracia, é sempre imperfeita) ou, pior, pelas megaempresas que agora estão omnipresentes em praticamente tudo o que fazemos (porque fazemos, praticamente tudo, com os nossos smartphones fabricados por elas).
Neste sentido, a decisão recente da cidade de Brookline, no Massachusetts (EUA) de se tornar a quinta cidade dos Estados Unidos a proibir o uso de sistemas de vigilância facial no seu território. Este tipo de iniciativas legislativas são possíveis num país como os EUA dado o seu grande nível de descentralização mas também porque não existe, ainda, legislação federal a regular esta matéria.
Na Europa não existe ainda uma iniciativa regulatória que proíba os Estados membros mas a ameaça é cadente à medida que Estados e Empresas estão a compilar – sem o conhecimento dos cidadãos – dados de reconhecimento facial. Estas bases de dados (algumas assentes fora da Europa) ameaçam a privacidade dos cidadãos europeus e – caso sejam comprometidas – podem colocar em mãos indesejáveis dados sensíveis.
No Reino Unido, na Suécia e na Hungria decorrem neste momento projectos de reconhecimento facial a partir de câmaras CCTV instaladas na rua com o objectivo de identificarem “criminosos” e “terroristas” com o auxílio de bases de dados de rostos e de tecnologia de Inteligência Artificial.
É preciso que a União Europeia desenvolva uma resposta que:
1. Regule todos os sistemas de reconhecimento facial automático indicando de forma clara e visível os locais onde esses sistemas estão em utilização.
2. Que os cidadãos não sejam sujeitos a processos de seguimento ou perfilamento emocional ou geolocalização e que estes dados não sejam conservados e usados sem o seu expresso consentimento.
3. É necessário incorporar este tipo de regulação na abordagem de regulação da Inteligência Artificial que a nova Comissão Europeia colocou na agenda para os seus primeiros cem dias de mandato.”

Petição n.º 1044/2023, apresentada por Rui Martins, de nacionalidade portuguesa, em nome da CpC – Cidadãos pela Cibersegurança, sobre a proteção das campanhas eleitorais de conteúdos falsos gerados por IA

1 de Fevereiro de 2024 ~ Rui Martins ~ Comentar

Dados da petição

1044/2023

Título da síntese: Petição n.º 1044/2023, apresentada por Rui Martins, de nacionalidade portuguesa, em nome da CpC – Cidadãos pela Cibersegurança, sobre a proteção das campanhas eleitorais de conteúdos falsos gerados por IA

Número da petição: 1044/2023

Assuntos: Direito de Voto e Eleições

País: Todos os países da UE

Nome da associação: CpC – Cidadãos pela Cibersegurança

Dados do peticionário

Nome: Rui Martins

Síntese da petição

O peticionário apresenta sucintamente um pedido de adoção de legislação para proteger os atores e os artistas da utilização não autorizada das suas imagens através da inteligência artificial e para permitir que os EstadosMembros penalizem aqueles que utilizem vozes de outras pessoas de forma fraudulenta, em especial no contexto de eleições. O peticionário refere, como exemplo a seguir, a «No Fakes Act» [Lei contra conteúdos falsos], que está atualmente a ser debatida pelos órgãos legislativos dos EUA.

Estado: Encerrada

Fraudes Online: Falsificação de Cartas de Condução e a Fragilidade das Redes Sociais em torno do anonimidade da compra de cartões SIM

29 de Novembro de 2023 ~ Rui Martins ~ Comentar

Chegou recentemente ao conhecimento da CpC uma actividade criminosa conduzida através de páginas facebook em que a
https://www.facebook.com/profile.php?id=100088056097924 do “Instituto de Mobilidade e Transportes Terrestres” é a mais activa (desde meados de Novembro) com mais de 150 partilhas em vários grupos de facebook e milhares de visualizações ligados ao sector automóvel. A página é apenas uma entre várias onde se promove descaradamente a falsificação de cartas de condução em vários países europeus. À data destas linhas o falsário vendia cartas de condução, além de Portugal (onde parece concentrar o essencial da sua actividade) na Lituânia, Reino Unido e Espanha com os nomes:
“Más rápido y más fiable el permiso de conducir”,
“original and legal UK driving license”,
“Latvijas autovadītāja apliecība legāla” e
“carta de condução portuguesa legal”.

O facto de as comunicações por WhatsApp e os textos destas páginas terem sido escritos com traduções automáticas indica que esta operação pode estar a ser conduzida a partir do estrangeiro.

A página falsa do IMTT não tem – obviamente – nada a ver com o verdadeiro IMTT e, de facto, quando foi criada a 19 de Novembro de 2020 chamava-se muito prosaicamente “Ok ok”.

Activos na página deste falsário estão vários perfis falsos que, pelo estilo, são operados pela mesma pessoa. Estes perfis agem como seguidores que elogiam o “serviço” vendido pela página: um diz estar “realmente emocionado” outro diz que “fui parado pela polícia para verificação” e que “graças a Deus minha carta foi registada correctamente” (leia-se “falsificada”), outro proclama que “convive” com esta estrutura há 3 anos e, de facto sabemos que andam por aí – Impunemente – graças à inércia da Meta (Facebook) desde 2022. Um deste panegiristas de serviço diz mesmo que “você é simplesmente patético” (um elogio distorcido por uma má tradução automática). Entre estes vários perfis falsos encontramos Josephine O’brien:
https://www.facebook.com/profile.php?id=100092500805005&sk=friends que só segue páginas clones da página falsa do IMTT. Outros perfis falsos usam os nomes de Oliver Motola, John Herring, Aslanove Elkhan ou Engurs Gints. De permeio aparece o perfil de um cidadão sãotomense vivendo em Lisboa que aparenta ser verdadeiro e que escreve terá caído no engodo e escreve “necessito uma carta quanto custa?”.

Questionado por Whatsapp sobre o custo desta “carta de condução legal” o falsário responde dizendo ser a “Agência IMT” e que “a inscrição na categoria na nossa agência IMT tem um custo de 400 euros” e que “Aqui estão os dados que precisamos para o processo de carteira de motorista.
1. Foto de frente e verso da carteira de identidade.
2. assinatura… (assine em papel branco comum e envie a imagem da assinatura)
3. Tire uma foto com você (tire uma foto nítida com você com as duas orelhas visíveis e envie).
4. Categoria da carteira de habilitação
5. Seu endereço
6. Número de telefone
7. e-mail”

Quando questionado sobre a forma de pagamento o falsário deu pistas sobre a sua língua principal: “Suivez nos processus”.

O tipo de elementos pedidos confirmam – sem a mais pequena sombra de dúvida – de que não estamos a lidar com a uma “agência de documentação” mas com um mero falsificador.

Em outubro de 2023 o IMTT (o verdadeiro) já tinha alertado para fraudes com o seu nome (3):

“O IMT, I.P. alerta para a existência de esquemas fraudulentos para a obtenção da carta de condução, através de sites, redes sociais e aplicações de comunicação tais como o whatsapp, que prometem a habilitação legal para conduzir a troco de uma soma em dinheiro. Essas cartas de condução são falsas e não têm qualquer validade legal, não constando nos registos do IMT, ao qual têm acesso as entidades fiscalizadores de trânsito. (…) Reforçamos que o pagamento de quaisquer valores para obtenção de carta de condução falsa, bem como a emissão destas cartas são crimes puníveis por lei”.

Todas as páginas e perfis Facebook foram denunciados à Meta. O mesmo aconteceu com o número whatsapp. Contudo, como sucedeu com a página falsa do Zoo Lisboa que esteve online durante meses, todas estão ainda no ar e a vender as falsificações de cartas de condução portuguesas e de outros países. A Meta precisa – urgentemente – de melhorar a eficácia das suas respostas por forma a não continuar a ser um porto seguro de burlões e criminosos.

Apesar deste alerta e desta atividade estar no ar há quase dois anos o Facebook permite a continuação desta atividade criminosa. O facto de este falsário funcionar a partir do WhatsApp I assim como a burla Olá Pai Olá Mãe (2) é mais um sinal de que a venda de cartões SIM de forma totalmente desconectada da identificação do comprador é uma fragilidade explorada por actividades criminosas. A maioria dos países no mundo (1) requer a identificação dos compradores de cartões SIM, 28 requerem ou vão passar a requerer dados biométricos. Em todo o mundo há apenas 14 países onde qualquer pessoa pode comprar um cartão SIM sem se identificar. Portugal é um deles. O Reino Unido e a Lituânia (países onde este falsário também está activo) são outros dois. Manifestamente isto é um problema porque permite que burlões e falsários hajam sob cobertura do anonimato.

Informação enviada à Meta, CNCS e à unidade de cibercrime da Polícia Judiciária.

CpC Cidadãos pela Cibersegurança

1)
https://www.comparitech.com/blog/vpn-privacy/sim-card-registration-laws/
2)
https://peticaopublica.com/pview.aspx?pi=referenciasMB
3)
https://www.imt-ip.pt/sites/IMTT/Portugues/Noticias/Paginas/NoticiaFraudeCartasCondu%C3%A7%C3%A3o31052021.aspx

Autor de burla “Olá Mãe/Olá Pai” detido com milhares de cartões de telemóvel” (JN), a petição e a incompreensível inércia de SIBS e Banco de Portugal

17 de Novembro de 2023 ~ Rui Martins ~ 1 Comentário

Saudamos a detenção pela Polícia Judiciária a 17.11.2023 de um burlão da “Olá Mãe/Olá Pai” que tinha sua posse, na sua casa em Leiria, 8500 de cartões de telemóvel, que através de 7 modems operavam 32 cartões SIM de cada vez (224 cartões em simultâneo). Destes 8500, cerca de 1500 já tinham sido usados em actividades criminosas criando 200 denúncias apenas em Leiria (milhares em todo o país) numa burla que, à escala nacional, deve ascender a vários milhões de euros por ano.

A escala da operação implica a aquisição de grandes volumes de cartões SIM a operadoras o que – de per si – deveria ter disparado junto destas alguns alertas de conformidade.

Esta é a burla para a qual os CpC têm lançados vários alertas e pedidos de intervenção (sempre sem resposta) por parte da SIBS e do Banco de Portugal e que conduziu à petição https://peticaopublica.com/pview.aspx?pi=referenciasMB.

“Todos os anos muitos portugueses são vítimas de burlas cada vez mais sofisticadas e credíveis que usam fragilidades do sistema de Multibanco. As burlas são realizadas de várias formas, em compras online, p.ex. no OLX, o nome da EDP, da Electricidade da Madeira, da PSP Porto e muitas outras.

As entidades multibanco usadas pelos burlões são “entidades financeiras” autorizadas pelo Banco de Portugal desde 2017 e algumas surgem muito associadas a actividades criminosas. Os burlões registam-se nestas entidades deixando vários elementos de identificação e conseguem estar activos durante muitos anos em total impunidade e lesando milhares de cidadãos, a maioria dos quais idosos e que não chegam a apresentar queixa na Justiça. Tendo em conta que os criminosos se identificam nestas plataformas que isto ocorre desde 2017 é incompreensível como é que este crime continua a ser possível e o Banco de Portugal (BdP) e a SIBS ainda não tenham agido para travarem estas burlas.

É preciso resolver as lacunas que permitem a operação destes criminosos:

1. Se as empresas que vendem referências multibanco forem associadas a um grande surto de actividade criminosa devem ter a sua licença no Banco de Portugal suspensa até que a sua segurança interna seja reforçada. Embora muitas destas entidades (como a 21800 com sede na Holanda) estejam a vender serviços a burlões desde 2017 continuam a ter licença como operador financeiro no BdP.

2. A SIBS (Multibanco) deve mostrar nas ATMs o nome da entidade que gera as referências e o beneficiário final do pagamento. Se a entidade estiver associada a burlas esse alerta deve surgir na ATM. É o caso das 21800, 21312, 11249, 11893, 10241, 10611, 12167 ou 11893.”

Audição dos peticionários da Petição n.º 68/XV/1.ª – “Petição contra empresas de subscrições de jogos, APPs, Vídeos, Música e Wallpapers”

29 de Setembro de 2023 ~ Rui Martins ~ Comentar

No próximo dia 4 de outubro, pelas 14:00 os peticionários da “Petição n.º 68/XV/1.ª – « Petição contra empresas de subscrições de jogos, APPs, Vídeos, Música e Wallpapers que faturam nos operadores sem consentimento dos clientes” serão ouvidos em sede da comissão https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalhePeticao.aspx?BID=13801
Em que será relator o deputado Hugo Costa.

Petição contra empresas de subscrições de jogos, APPs, Vídeos, Música e Wallpapers que faturam nos operadores sem consentimento dos clientes

Razões para assinar:

– Todos os anos dezenas de milhar de utilizadores de telemóveis são enganados e pagam cerca de 6 milhões de euros a empresas de “serviços de valor acrescentado” SEM CONSENTIMENTO e diretamente nas contas de telefone

– A subscrição do serviço ocorre de forma obscura, sem indicação de preço, nem que os dados pessoais (nº de telefone) são enviados diretamente para a faturação do operador

– As empresas escondem-se por detrás de outras empresas, por vezes, em 3 ou 4 níveis, e passando por empresas sediadas no Panamá ou nas Antilhas

– O alvo maioritário deste esquema/burla são idosos e crianças, cidadãos com menor capacidade de percepcionaram o esquema e os seus efeitos, logo, o Estado deve colocar um especial esforço na sua defesa e protecção contra estes abusos.

Os subscritores desta petição requerem à Assembleia da República que os serviços de valor acrescentado baseados no envio de mensagens:

– Que por defeito estes serviços sejam (como já são os 68) barrados por defeito em todos os operadores e que apenas por vontade expressa do cliente (opt-in) possam ser abertos

– Obrigar os prestadores destes serviços a enviarem uma fatura discriminada dos serviços assim como a forma, data e hora onde obtiveram esses dados com indicação de nome, morada e NIF da empresa cobradora

– Sempre que ocorrer a subscrição de um destes serviços deve ser enviado um SMS de confirmação de subscrição e o pagamento só decorre do envio de outro SMS de resposta (com a palavra “aceito”) só nesta condição é que será efetivado o pagamento pelos utilizadores de um valor adicional sobre o preço do serviço de comunicações eletrónicas. Alternativamente, não deve ser possível a utilização de um “registo” efetuado na Internet (será apenas possível através do envio de SMS) de um contrato de prestação de serviços de toques de chamadas, jogos, gráficos, imagens e outros dados de informação.

– Qualquer subscrição de um serviço deste tipo feita num telemóvel utilizador por um menor de idade deve ser considerada como automaticamente nula (atualmente, há um prazo para reclamar)

– A actividade de prestação destes serviços não deve ser permitida a pessoas singulares (como é actualmente) mas apenas a pessoas coletivas

– Deve ser obrigatório o registo na ANACOM (actualmente não é) de todas as entidades legalmente estabelecidas num Estado-Membro da União Europeia ou do Espaço Económico Europeu para a prestação de serviços de valor acrescentado baseados no envio de mensagem

– Actualmente a faturação e a cobrança das importâncias correspondentes à prestação destes serviços tanto podem ser efetuadas pelos prestadores respetivos, como pelo prestador do serviço de móvel: deve passar a ser feita apenas pelo prestador de serviços ou, não sendo, as importâncias inerentes à prestação dos serviços de valor acrescentado devem ser autonomizadas, numa fatura distinta, em que a falta do seu pagamento não afecta os restantes serviços contratualizados.

Para saber mais:
https://naoaoservicosdevaloracrescentado.wordpress.com/

Apresentada à AR: “Por mais cibersegurança nos equipamentos dos gabinetes dos ministérios e dos presidentes de câmara municipal”

19 de Julho de 202319 de Julho de 2023 ~ Rui Martins ~ 1 Comentário

Exmo. Senhor Presidente da Assembleia da República

O caso de Frederico Pinheiro revela algumas más práticas no que respeita a segurança informática que podem estar disseminadas no Governo da República.

Proponho assim que seja realizada uma revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que – como sucedeu – possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República:

1.
Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis):
Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.

2.
Os telemóveis do Estado não têm sistemas de backup a funcionar:
Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.

3.
Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp):
A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em que
a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.
b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.
c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.
d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.
e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.”
Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.

4.
Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.

5.
O laptop de Frederico Pinheiro estava em modo “standalone”:
Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.

6.
Frederico Pinheiro era administrador local do equipamento:
Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:
Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República.
Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.
Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.
Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.
Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.

7.
Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado:
Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.

8.
O laptop permitia a ligação de Storage Devices USB externos:
Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento.
Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.

9.
O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações:
Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.

10.
O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado:
Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.

11.
O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto:
Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como
AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica.
O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza.
O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.

12.
Foram feitas impressões de documentos confidenciais:
É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview).
Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente.
Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.

13.
Terá sido possível enviar documentos de trabalho para mails pessoais:
É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).

Os peticionários propõe que estas 13 sugestões, ou algumas das propostas desta lista ou outra correlacionadas sejam tornadas obrigatórias os equipamentos (computadores e smartphones) dos gabinetes dos ministérios e dos presidentes de câmara municipal: numa primeira fase e, posteriormente, a todos os ministérios e redes informáticas das autarquias portuguesas.

https://participacao.parlamento.pt/initiatives/3356

8 em 15 das Referências Multibanco fraudulentas usadas por burlões com a 21800 MediaMedics: continuam activas! (graças à inacção da MediaMedics, SIBS e da Assembleia da República)

30 de Maio de 202317 de Janeiro de 2024 ~ Rui Martins ~ Comentar

A 19 de Abril de 2023 foram testadas todas as referências multibanco fraudulentas identificadas desde, pelo menos desde 2017.
O teste usou a plataforma de homebanking do Millennium com pagamentos de 0,01 euros (que seriam sempre rejeitados pelo seu baixo valor mas que permitem testar se a referência multibanco usada pelo burlão ainda está activa.
Foram testadas 15 referências multibanco associadas a estes burlões que usam a 21800 (MediaMedics) identificando-se que 8 ainda estavam a funcionar e permitiam o uso e recepção dos valores da burlas.
A MediaMedics foi informada da situação a 19 de Abril de 2023 (não tendo respondido) assim como a SIBS.

Referências usadas por burlões:
110 257 077 Erro “referência inválida”: O burlão já não a pode usar
131 813 882 A referência MB ainda funciona e permite que os burlões a usem
256 207 202 A referência MB ainda funciona e permite que os burlões a usem
380 779 516 A referência MB ainda funciona e permite que os burlões a usem
366 183 259 A referência MB ainda funciona e permite que os burlões a usem
387 477 632 Erro “referência inválida”: O burlão já não a pode usar
461 530 643 Erro “referência inválida”: O burlão já não a pode usar
480 936 052 A referência MB ainda funciona e permite que os burlões a usem
591 064 751 Erro “referência inválida”: O burlão já não a pode usar
612 053 744 Erro “referência inválida”: O burlão já não a pode usar
621 133 233 A referência MB ainda funciona e permite que os burlões a usem
669 068 635 Erro “referência inválida”: O burlão já não a pode usar
810 694 886 Erro “referência inválida”: O burlão já não a pode usar
932 714 773 A referência MB ainda funciona e permite que os burlões a usem
989 040 047 A referência MB ainda funciona e permite que os burlões a usem
323 537 331 A referência MB ainda funciona e permite que os burlões a usem
175 032 546 A referência MB ainda funciona e permite que os burlões a usem

Outras referências usadas em burlas e geradas pela 21800:
157 563 080
837 564 499
820 440 218

Aguardamos agora que a SIBS e a MediaMedics procedam rapidamente ao cancelamento de todas estas referências fraudulentas.

Infelizmente nada disto seria um problema se a SIBS já tivesse implementado nas ATM a revelação no nome da entidade (neste caso 21800 = MediaMedics) e da referência das transferências (nestes casos: o nome dos burlões).

Se a SIBS nada faz para acabar com estas burlas (bastaria nas ATM indicar quem é o beneficiário último do pagamento) a Assembleia da República não tem estado melhor ao não ter ainda determinado que a SIBS já deveria ter reagido e colmatado esta lacuna com mais de dez anos e que já terá lesado em mais de um milhão de euros milhares de famílias portuguesas.

Relacionadas com este levantamento:
https://cidadaospelaciberseguranca.com/2023/03/19/peticao-contra-as-burlas-por-referencia-multibanco/
https://cidadaospelaciberseguranca.com/2023/04/08/mensagem-enviada-a-sibs-a-08-04-2023-a-seu-pedido/
https://cidadaospelaciberseguranca.com/2023/03/29/burlas-com-referencias-multibanco-accoes-e-iniciativas-ja-tomadas-e-em-curso-pelos-cpc-continuacao/

Relatório da Comissão Europeia sobre a petição “0643/2022” dos “CpC – Cidadãos pela Cibersegurança, on regulating the use of cryptocurrencies in the EU”

17 de Abril de 2023 ~ Rui Martins ~ Comentar

European Parliament
2019-2024
{PETI}Committee on Petitions

{15/02/2023}
NOTICE TO MEMBERS

1. Summary of petition
The petitioner considers that the EU should create a European deterrence plan for the use and regulation of cryptocurrencies. He believes that continuing the current outbreak of appreciation will ultimately affect the real economy and, together with distribution problems, rising raw material and fuel prices and the war in Ukraine, will create an even more negative economic situation. Many investors have now converted their savings into this currency. The petitioner believes that the EU can and should create mechanisms to deter, regulate and monitor transactions in such financial assets that (at least) hinder or (ideally) prevent their use by speculators, cybercriminals, dishonest states or mafias trading in illicit products.

2. Admissibility
Declared admissible on 14 December 2022. Information requested from Commission under Rule 227(6).

3. Commission reply, received on 15 February 2023
The Commission’s observations
On 24 September 2020, the Commission adopted a proposal for a Regulation on markets in crypto-assets (MiCA). MiCA has a number of goals: protecting consumers, ensuring market integrity, ensuring financial stability and encouraging innovation in the crypto-assets space. On 30 June 2022, the Council presidency and the European Parliament reached a provisional agreement on the proposal. It is currently in the process of being adopted into law.
MiCA contains numerous provisions aimed at increasing transparency around crypto-assets offered to European citizens as well as transactions and services in those assets intermediated by crypto-asset service providers (CASPs) active in the EU. CASPs therefore need to follow clear rules on corporate governance, how they offer services, handle client funds and keep records. The latter set of rules is particularly important in monitoring suspicious transactions in crypto-assets. In particular, CASPs must keep records of all transactions by their clients so that competent authorities are able to access these records for the purpose of enforcement. These obligations are even stricter when it comes to crypto-assets with in-built anonymisation function (‘privacy tokens’), which are often used for illicit activities, including in ransomware attacks. Privacy tokens may only be offered by trading platforms if the holders of those crypto-assets and their transaction history can be identified. There are other various requirements addressed to either CASPs or issuers of crypto-assets that increase overall transparency in the market and give regulators the tools to monitor transactions in crypto currencies.
Importantly, CASPs such as crypto asset exchange platforms are also obliged entities under the Anti-money Laundering Directive² and as such are required, in the context of preventing money laundering and terrorist financing, to perform know-your-customer checks and verify the identity of their users. They are also obliged to monitor transactions on their platform and flag any suspicious transactions to competent authorities.
Finally, the European Parliament and the Council have also agreed new rules to stop illicit flows in the EU, aimed at tracing transfers of crypto-assets. This so called ‘travel rule’ already exists in traditional finance, and will now cover transfers in crypto-assets, requiring that information on the source of the assets and its beneficiary travels with the transaction and is stored on both sides of the transfer. CASPs will be obliged to provide this information to competent authorities if an investigation is conducted into money laundering and terrorist financing.
The petitioner also expresses concerns about the risks for uninformed investors investing their savings in crypto-assets. The Commission fully appreciates the need to protect investors from putting their money in speculative assets the complexities of which may not fully understand. This sentiment is shared by the co-legislators. That is why MiCA provides for various rules on investor protection, requiring both CASPs and issuers of crypto-assets to provide clear information to investors about the services and tokens offered in the EU. Additionally, the MiCA framework gives the right to competent authorities to exercise control over marketing communications. Information contained in the crypto-asset white paper, in advertising messages and marketing material, including through new channels such as social media platforms, should be fair, clear and not misleading. Advertising messages and marketing material should be consistent with the information provided in the crypto-asset white paper. These marketing rules will reduce the risks that investors end up being misled about the features of assets and services touted by their promotors.
Finally, MiCA also contains organisational and operational requirements for CASPs, to ensure that investors’ interests and assets are adequately safeguarded.

Conclusion
It is indeed important that the use of crypto-assets for illicit activities in the Union is strongly countered by the authorities, to prevent financing of crime and help develop a healthy ecosystem. Many existing or soon to be applicable rules, such as MiCA, oblige intermediaries in the crypto market to collect information about their customers and transactions, whilst giving regulators and enforcement bodies the tools to detect the misuse of crypto-assets. The Commission also agrees with the petitioner that investors should be appropriately protected when buying crypto. The Commission believes that MiCA will ensure such investor protection and market integrity for investors and consumers wanting to trade in crypto.

Burlas com Referências Multibanco: Acções e iniciativas já tomadas e em curso pelos CpC [continuação]

29 de Março de 202319 de Abril de 2023 ~ Rui Martins ~ Comentar

Proposta à PGR para que avalie a tomada de medidas para com a MediaMedics 21800:Resposta a 24.03.2023“Muito obrigado pelo contacto com o Gabinete Cibercrime da Procuradoria-Geral da República, do qual tomámos boa nota.Da mensagem que remeteu, resultam factos com possível relevância criminal. Tais factos podem estar conexos com aqueles que se investigam num inquérito já em investigação, razão pela qual a mensagem foi encaminhada para o DIAP de Lisboa.Com os melhores cumprimentos.”

Resposta do Banco de Portugal:
Resposta do Banco de Portugal a “Referências Multibanco fraudulentas: Banco de Portugal e SIBS têm que agir” [Observador]

Resposta da Assembleia da República de 31.03.2023:
“Tendo recebido a vossa exposição infra através da 1.ª CACDLG, vimos acusar a receção da mesma e informar que esta será distribuída aos Senhores Deputados, membros da Comissão de Orçamento e Finanças.”

Resposta do Banco Central Holandês de 04.04.2023 (resposta a comunicação de 29.03.2023):
“Thank you for your email to De Nederlandsche Bank (DNB). With this message we would like to inform you that your e-mail has been processed. We expect to be able to send you a response within five working days.
We prefer to respond to every message we receive. We do have a number of guidelines. For example, we do not answer e-mails containing insults, profanity, discrimination, spam, advertising and e-mails that are sent to us for information and/or do not contain questions.
Yours sincerely,
De Nederlandsche Bank NV
Department of Communication – Public Information
For more information see www.dnb.nl.“

Enviada à SIBS e MediaMedics (21800) a 05.04.2023:
Uma lista de referências da MediaMedics holandesa (entidade multibanco 21800) usadas em fraudes e reportadas às autoridades, SIBS e MediaMedics.
Enviada a listagem de 15 referências multibanco usadas por burlões: a 19.04.2023 oito ainda estavam activas.