Segurança online

Cibersegurança alerta para os riscos online

Negócios

Desiluda-se se confia que, pela pouca exposição online ou por a sua empresa ter pequena dimensão, ficará imune às ameaças cibernéticas. 17-05-2019

Desiluda-se se confia que, pela pouca exposição online ou por a sua empresa ter pequena dimensão, ficará imune às ameaças cibernéticas. As ameaças são bem reais e podem causar dano severo à integridade de dados de negócio ou de dados pessoais e financeiros.

Num ambiente online, os riscos tendem a tornar-se mais sofisticados. À medida que as estruturas de segurança se tornam mais robustas, mais engenhosas se tornam também as abordagens utilizadas pelo cibercrime para atingir os seus intentos.

Os pontos de contacto com o risco são da mais diversa natureza mas, o resultado para a vítima apresenta padrões comuns. Ou seja, roubo de identidade, seu uso indevido e criminoso, uso ilícito de dados financeiros ou bancários para cometer fraude, exposição e apropriação de informação profissional crítica – com prejuízo para a empresa ou para a organização onde trabalhe o visado.

Em matéria de cibersegurança, ainda mais importante que as soluções informáticas – escolhidas, instaladas e atualizadas com o critério devido -, vale uma rotina diária de prudência e precaução. Uma atitude que devemos ter presente sempre que recorremos à net, usemos um dispositivo informático, damos uso ao telemóvel ou a qualquer disco ou pen. Em caso de dúvida, ou de qualquer suspeita, não clique, não responda, não aceda.

Lembre-se que como responsável pela sua empresa, o exemplo parte de si. Promover as boas práticas deve ser uma maneira de reforçar sinais de liderança. Aposte em pequenas sessões para partilha de informação sobre os riscos online e sobre as medidas a garantir no dia-a-dia perante sinais de ataque.

Atenção às ameaças mais tradicionais

Entre os incidentes que ocorrem com maior frequência destacam-se as práticas de phishing, vishing e smishing. Acontecem com grande frequência e colocam em risco os seus dados pessoais, bancários ou até códigos de segurança.

É muito simples de explicar mas às vezes algo difícil de detetar. Nestas ocasiões, recebe inesperadamente um pedido de confirmação de dados que parece ter origem numa entidade que já conhece e com quem trabalha, por exemplo o seu banco. Deve, contudo, reforçar a sua atenção.

Mesmo que o formato, cores e logotipo da comunicação lhe pareçam familiares, há elevado risco de se tratar de um contacto fraudulento. Não se deixe levar pela facilidade de aceder a links ou documentos em mensagens, de email; de SMS ou das redes sociais, que não solicitou. Desconfie também de pop ups (anúncios que surgem de modo inesperado enquanto navega) ou anúncios nos motores de pesquisa. Suspeite de solicitações ou ofertas de ajuda, recebidas por telefone.

Os criminosos que recorrem ao email (phishing), ao telefone (vishing) ou ao envio de SMS (smishing) apresentam-se de maneira sinuosa e com pequenas diferenças face aos verdadeiros interlocutores.

Há sinais a que deve estar atento e para os quais deve sensibilizar os seus colaboradores. Por exemplo, redação com erros ortográficos, endereços de proveniência fora do habitual; urgência ou tom de ameaça no assunto e corpo da mensagem; pedidos de clique em links e em anexos. Lembre-se das regras de segurança bancária, suspeite sempre de links e ficheiros em mensagens eletrónicas. Uma boa prática que deve ter em conta – sempre que receber uma alegada comunicação do seu banco.

Promessas que podem sair goradas

Imagine que recebe uma ordem de pagamento de alguém que se identifica como sendo o seu mais alto superior hierárquico mas com quem nunca terá falado. Por telefone ou email, confirma-lhe tratar-se de uma operação confidencial, que confia em si para a executar urgentemente. Elogia-lhe a competência e profissionalismo ou ameaça-o, caso se atrase.

Mesmo que a conversa lhe pareça credível, deve sempre suspeitar de instruções fora de contexto, que não cumpram as rotinas instituídas na empresa.

Cabe, contudo, à própria empresa ter regras e procedimentos perfeitamente instituídos e conhecidos por toda a equipa. Um exercício que cabe antes de mais à gestão mas que, não isenta os colaboradores de uma atitude prudente e ponderada. É daqueles que trabalham consigo que depende o cumprimento destas normas de segurança cibernética. Basta que um deles não as cumpra para pôr em risco os procedimentos de controlo da empresa.

Os riscos são diversos. As fraudes com faturas ou com compras online são também comuns. Acontece ser contactado pelo representante de um fornecedor – alegadamente para lhe dar conta da alteração da conta destino para uma conta alternativa que está, na verdade, a ser controlada pelo atacante.

Também aqui, é fundamental que a sua empresa tenha regras instituídas capazes de a defender destas ameaças e que, ao mesmo tempo, possam alertar colaboradores para o risco e de como lidar com propostas idênticas.

Nas compras online – na sua empresa, no seu computador ou dispositivo pessoal – deve sempre confirmar que os sites de navegação são seguros (veja caixa de texto). Suspeite de propostas excessivamente aliciantes e convites para clicar em links ou ficheiros com alegados prémios inesperados. Em vez do prémio, pode ser contemplado com um código malicioso, capaz de lhe extorquir informação crítica ou até de comprometer os sistemas informáticos da empresa.

Estes ataques de ransomware recorrem a criptografia controlada pelos atacantes e podem impedi-lo de aceder a informação relevante da sua empresa. Mais uma vez, dupla atenção à origem e contexto dos ficheiros em que clica porque podem vir a desencadear manobras de chantagem para a recuperação dos dados.

Fuja do investimento e do romance

Nada de cair em generalizações precipitadas mas, deve saber identificar o risco deste tipo de abordagens. Muitas das fraudes passam por propostas aparentemente irrecusáveis de investimento, ações, metais raros, criptomoedas ou terrenos, mas existe todo um universo de burlas e outros ilícitos criminais quotidianamente explorados pelos criminosos online.

Por exemplo, alguém que pode ter conhecido nas redes sociais e que revela gostar de si ao ponto de um suposto envolvimento romântico. Depois de conquistar a sua confiança, o passo seguinte passa por lhe pedir dinheiro, presentes ou dados bancários. Vale a pena lembrar que ofertas insistentes e que acabem por resultar num pedido de transferência de dinheiro devem sempre suscitar grandes reservas. Tome as devidas precauções e não hesite em contactar a Polícia em caso de ter sido alvo destas extorsões.

Treze regras para a cibersegurança da sua PME

1. Proteger e atualizar infraestruturas e sistemas informáticos. Garanta proteções firewall, antivírus, antisspam, assim como a prevenção de intrusões, filtragem de acesso a conteúdos web. Invista na deteção e eliminação de vulnerabilidades técnicas e aplicacionais;

2. Instituir  uma política e controlo técnico para segurança e proteção de dados pessoais e da informação mais crítica, assim como para a segurança dos pagamentos;

3. Apostar em ações de formação e alerta, abrangentes à gestão e aos colaboradores. Não precisam de ser extensas ou com custos elevados mas, consciencializar é preciso;

4. Atenção à partilha de informação fora do contexto de trabalho. Opte pela reserva no uso de documentação de trabalho fora da empresa. Evite comentar rotinas ou procedimentos internos com estranhos, ou em fóruns abertos, por exemplo nas redes sociais;

5. Nunca aceder a sites ou links suspeitos que facilmente podem levá-lo a conteúdos danosos para a empresa. Prefira sites com autenticidade certificada – cujo endereço começa sempre por https://;

6. A gestão de emails e de SMS é particularmente crítica. Opte por uma regra simples de não clicar em links, de emails ou de SMS. Ao aceder a um link malicioso incorre em riscos elevados de fraude, compromisso de dados e intrusão informática;

7. Evitar abrir emails de origem desconhecida ou com aspeto suspeito. Nunca aceda aos links ou ficheiros anexos;

8. Cautela com convites ou propostas excessivamente aliciantes na sua caixa de email, telemóvel, redes sociais ou anúncios em motores de pesquisa. Não se deixe enganar;

9. As redes sociais podem revelar vulnerabilidades e informação sensível da sua empresa. Constituem um canal de entrada para o cibercrime. Não proíba o seu uso mas, aconselhe os colaboradores para uma utilização adequada e prudente. Recorra a um manual de regras de utilização;

10. Cuidado com os pedidos de dados pessoais e informação financeira. O seu banco nunca lhe pede informação sensível online. Muitos dos bancos disponibilizam recomendações de segurança importantes para proteção dos seus clientes. Consulte aqui os conselhos da Caixa;

11. Acompanhe com regularidade os movimentos bancários da sua empresa e reporte imediatamente ao seu Banco qualquer operação suspeita;

12. Caso desconfie ter partilhado, de modo inadvertido, dados sensíveis, reporte de imediato a ocorrência ao seu Banco e às autoridades policiais;

13. Proceda ao backup regular de informação da sua PME. Em caso de ataque, ficará menos vulnerável.