Dicas essenciais de segurança informática| Solinf

Blog

As nossas últimas notícias e artigos de opinião

Dicas essenciais de segurança informática

Dicas essenciais de segurança informática

Grupo Impresa, Vodafone, Hospital Garcia de Orta, Sonae, BCP, Estado-Maior-General das Forças Armadas, TAP... e, mais recentemente a Super Bock. Todos estas empresas/instituições foram alvo de ataque informático. No caso mais recente, não estão em causa os dados pessoais dos consumidores finais. O ataque à empresa Super Bock parece que teve como principal objetivo a disrupção dos serviços da empresa, o que compromete a cadeia de abastecimento e funcionamento da marca.

Tipicamente, os ciberataques visam o acesso indevido e desvio de dados (além da destruição de dados nos arquivos dos serviços). Os desvio de dados, ou data breach, é crime. Neste tipo de crime, os hackers acedem aos dados que estão armazenados nos servidores alocados a uma determinada organização e podem divulgá-los ou usá-los, de forma maliciosa (por exemplo, roubo de identidade). Na maioria dos casos, não é feita uma divulgação pública, mas sim uma venda dessas bases de dados, por exemplo, na dark web.

É aconselhável que tenha alguns cuidados, nomeadamente alterar as passwords que usa para aceder a estes sites. Caso use a mesma combinação de e-mail e password noutros serviços online, deve também alterá-la nesses sites. Não repita palavras-chave em diferentes serviços e use passwords complexas (relativamente longas, que incluam caracteres especiais, combinação de maiúsculas e minúsculas, etc.). É também aconselhável que use um gestor de palavras-passe, assim como, sempre que possível, a autenticação de dois fatores. Pode, ainda, verificar se o seu e-mail já foi afetado por algum ataque, no site haveibeenpwned.com. Relativamente aos dados de pagamento, a melhor prática para se proteger é recorrer a cartões de crédito virtuais ou a plataformas como o Paypal.

Sabia que ...

Pagar para recuperar ficheiros encriptados é má ideia

Por mais tentador que seja, nunca pague para recuperar os seus ficheiros encriptados. Um ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou ficheiros pessoais e que lhes pede um pagamento para devolver o acesso. Inicialmente, suspeitava-se que teria sido o que tinha acontecido aos vários serviços do grupo Impresa, nomeadamente aos sites do Expresso e da SIC. Sabe-se agora que não foi feito um pedido de resgate à empresa e, com base nos factos que foram comunicados pelo grupo Impresa, suspeita-se que a intenção do ataque possa ser não só a disrupção dos serviços, mas também, entre outros, o acesso indevido e desvio de dados (além da destruição de dados nos arquivos dos serviços). A maioria do ransomware é espoletado por ações do próprio utilizador (vítima), tais como clicar num link, abrir um anexo enviado por um e-mail malicioso ou visitar um site fraudulento criado com a intenção de roubar os dados aos utilizadores. Estes sites fraudulentos assemelham-se aos sites verdadeiros e podem pedir aos seus visitantes que descarreguem algum software malicioso. É esta ação que pode, depois, comprometer o acesso ao seu equipamento, assim como à informação que nele consta. Se for alvo de um ransomware, não ceda ao pedido para pagar um resgate. Não tem garantia de recuperar os seus ficheiros após o pagamento. No entanto, não é caso para desesperar. O site nomoreransom.org permite que verifique os seus arquivos encriptados e determine qual é o ransomware. Tente que um profissional elimine o ransomware ou, caso o faça em casa, use um programa como o Malwarebytes. Para minimizar os riscos, tenha sempre o seu software atualizado (em particular o sistema operativo), nunca clique em links ou abra anexos de e-mails com remetentes suspeitos, faça backups frequentes dos seus dados e use um software de antivírus. Se for vítima de um ataque, deve ainda denunciar de imediato a situação às autoridades, neste caso, à Polícia Judiciária. E ainda pode ter apoio se contactar o Centro Nacional de Cibersegurança.

A password de acesso ao e-mail é sagrada

Nunca subestime a importância de uma conta de correio eletrónico bem protegida, com uma password complexa e, logo, difícil de piratear. Um endereço de e-mail é usado, em inúmeros casos, para fazer o registo em muitos serviços online, ficando definido como “utilizador”. E aqui entra uma regra importante: evite usar a mesma password para diversos serviços, visto que a primeira coisa que o hacker vai tentar é usar a mesma password da conta de e-mail. Caso esta não funcione, o hacker acederá ao campo “Esqueceu-se da palavra-passe?” e, tendo acesso à sua conta de e-mail, terá a possibilidade de definir uma nova password e passar a usar o serviço em seu nome. Proteja o endereço de e-mail com uma password forte. Um gestor de passwords pode ajudar a gerir os diferentes acessos das suas contas e, até, sugerir palavras fortes como alternativa. Mas atenção: para as contas de e-mail, evite que seja o gestor de passwords a criar uma automaticamente. Escolha a sua. Assim, mesmo se perder o acesso ao seu gestor de passwords, continua a conseguir aceder ao e-mail, que inclusive é necessário para redefinir as palavras-passe dos seus serviços.

Há poucos riscos ao abrir um e-mail de phishing

Desde que não clique em nenhum link ou anexo de um e-mail malicioso, não acontecerá grande coisa. Mas, se clicar numa ligação, é melhor ficar vigilante. Não preencha nada na página que se vai abrir, pois assim evita que alguma coisa seja descarregada para o seu dispositivo. Caso tenha aberto o link ou o anexo, verifique a segurança do dispositivo usando um programa antivírus e antimalware.

Um site com endereço "https" não é sempre fiável

Se o URL de um site começa por "https" significa que a ligação é segura e que ninguém pode intercetar, por exemplo, as informações de pagamento que der para alguma compra. Mas isto não significa que quem está atrás do site seja de confiança.

É possível que alguém usurpe a identidade online

É mais fácil e provável do que possa pensar. Facilmente alguém se faz passar por si, por exemplo, usando um perfil falso nas redes sociais ou um endereço de e-mail falso. Com essa usurpação de identidade podem, por exemplo, solicitar dinheiro a membros da sua família. Para parecer o mais credível possível nessas mensagens, começam por recolher informações sobre si (por exemplo, fotos, amigos ou comentários) através do que publica nas redes sociais. Daí também a importância de usar corretamente os controlos de privacidade das redes, evitando publicações públicas. Também podem apreender dados importantes sobre si através de técnicas de phishing. Podem ainda, em alguns casos, abrir um conta ou contrair um empréstimo em seu nome.

Fonte: Site Deco