ENTREVISTA || Depois da Europol ter alertado para o aumento do terrorismo digital, e de o SIS ter avisado esta terça-feira que está em curso um ataque para roubar informações de políticos e militares no WhatsApp ou o Signal, a CNN Portugal falou com Nuno Mateus-Coelho, especialista em cibersegurança e ciberterrorismo, que explica os perigos para Portugal, em especial para as PME nacionais
Têm surgido vários alertas sobre os ciberataques que a guerra do Médio Oriente pode provocar. Que tipo de ataques são estes? Portugal será um dos atingidos?
Sem qualquer dúvida. Aliás, a questão já não é se Portugal será visado, mas sim quais os setores que o serão.
Já há, neste momento, alguns sinais?
Neste momento já observamos um aumento significativo de incidentes envolvendo empresas de pequena e média dimensão, como pagamentos de faturas com IBAN alterado, ransomware que bloqueia máquinas e sistemas, ou tentativas de acesso a contas bancárias. Estes ataques são realizados através de meios relativamente sofisticados, mas que hoje são rápidos de executar e facilmente escaláveis. Não tenho dúvidas de que em breve veremos notícias sobre casos deste tipo em Portugal.
Portugal está preparado para se defender?
Não na totalidade. Não pretendo pintar um cenário catastrófico, mas sim um cenário realista.
Estou atualmente a prestar consultoria em casos que surgiram esta semana envolvendo burlas tecnicamente complexas e com valores elevados. Em vários desses casos, as entidades afetadas são PME que até possuem alguma capacidade financeira para implementar medidas preventivas, mas que não o fizeram.
Isto acontece muitas vezes por desconhecimento do risco ou pela perceção de que as medidas de segurança são dispendiosas. Infelizmente, quando o investimento não é feito a tempo, o custo de um incidente pode ser muito superior.
Quais os principais objetivos destes ciberataques que podem vir do Irão ou estar relacionados com a guerra do Médio Oriente?
Ao contrário do que muitas vezes se pensa, estes ataques raramente são motivados apenas por vingança ou simbolismo político. Muitos dos grupos afiliados, ou que simpatizam com determinadas causas, operam com objetivos muito semelhantes aos grupos ligados à Coreia do Norte: financiar atividades estratégicas, sejam elas militares, tecnológicas ou de influência internacional.
Ou seja, o cibercrime acaba por funcionar como uma fonte de financiamento paralela para determinados interesses geopolíticos.
Está a dizer que os cibercrimes relacionados com esta guerra podem servir para a financiar?
Sim, o cibercrime está a ser usado para financiar a guerra do Irão. O objetivo principal é fazer com que países que não se alinham com o Irão acabem, indiretamente, por financiar o seu esforço de guerra, uma espécie de dupla "justiça".
Ataques de propaganda têm impacto muito limitado, mas operações de cibercrime como ransomware, a fraude financeira ou roubo de ativos digitais, permitem gerar receitas reais. Isso cria um duplo efeito: financiamento para sustentar operações militares e satisfação ideológica para os grupos envolvidos.
As empresas são as mais vulneráveis?
As empresas são frequentemente as mais vulneráveis porque concentram recursos financeiros e informação valiosa. Mesmo quando possuem meios para se proteger, enfrentam desafios relacionados com a complexidade das suas operações. Implementar segurança sem impactar o funcionamento diário da organização nem sempre é simples, e os atacantes sabem isso.
Hoje em dia utilizam também inteligência artificial para tornar os ataques mais credíveis, humanizando mensagens de phishing ou esquemas de engenharia social.Curiosamente, um cidadão individual pode ser um alvo mais difícil em alguns cenários, porque não possui processos automatizados de negócio que possam ser explorados.
E que tipo de empresas correm maiores riscos?
Principalmente as PME com bons resultados financeiros e volume de negócios relevante. Em muitos países europeus, incluindo Portugal, parte da informação financeira das empresas é pública. Para um atacante, isto é praticamente um guia de seleção de vítimas. É semelhante a escolher um produto numa montra: quem procura retorno financeiro tenta identificar onde estão os recursos.
No Irão há muito conhecimento e capacidade de ação a nível de piratas informáticos? Ou terão apoio de algum outro país?
Sim, existe capacidade técnica significativa e também várias redes de apoio. Há diferentes eixos de colaboração: grupos que se identificam com causas religiosas, outros que são anti-Israel, alguns alinhados geopoliticamente com blocos como os BRICS, outros com motivações nacionalistas ou simplesmente anti-EUA e anti-Ocidente. Mas este fenómeno não é novo. Há vários anos que diferentes Estados ou estruturas associadas a Estados subsidiam atividades de ciberdisrupção dirigidas contra países da NATO, da Europa ou aliados ocidentais.
A Europol lançou um alerta recentemente, a propósito da Guerra do Médio Oriente, sobre o aumento do risco de terrorismo na Europa, nomeadamente associado ao cibercrime. A nível de terrorismo o que pode estar em causa?
No domínio do cibercrime, o objetivo continua a ser sobretudo financiar operações e criar instabilidade, explorando sistemas e recursos de terceiros; mas a Europol está também preocupada com outro fenómeno: os chamados “lobos solitários”. Muitas vezes estes processos começam com conteúdos publicados em redes sociais abertas. Depois, os indivíduos são direcionados para plataformas de comunicação privadas, como servidores de chat ou aplicações encriptadas. Dentro desses espaços fechados, torna-se muito mais difícil monitorizar ou compreender o que está a acontecer, e é aí que podem ocorrer processos de radicalização que misturam política, religião e sentimentos de pertença. Por isso, a Europol apela também à atenção aos sinais de radicalização em ambientes públicos, onde ainda é possível detetar padrões de comportamento.
Também o Serviço de Informações de Segurança (SIS) fez esta terça-feira um alerta, garantindo que “está em curso uma campanha cibernética global, patrocinada por um Estado estrangeiro, com o objetivo de obter acesso às contas de WhatsApp e de Signal de governantes, diplomatas, militares e outros responsáveis com acesso a informação confidencial de origem nacional, bem como de países aliados”. Qual é o objetivo deste tipo de ataque?
Os grupos de inteligência tentam infiltrar-se nesses ecossistemas porque sabem que é aí que muitas conversas sensíveis acontecem e são operações alargadas a toda a Europa, focadas em recolha de informação estratégica. Já vimos no passado, por exemplo no caso da Generalitat, que muitas decisões estratégicas acabam por ser discutidas em plataformas de comunicação informal. Em Portugal também houve relatos de decisões governativas discutidas através de aplicações de mensagens.
O problema é que, se por um lado estas plataformas oferecem segurança e encriptação forte, por outro lado tornam-se também alvos de elevado valor para espionagem.
Devemos estar atentos às redes sociais? Como é que nos devemos prevenir?
Devemos, sobretudo, estar atentos ao comportamento da informação que recebemos.Hoje em dia muitas campanhas começam com algo aparentemente inofensivo: uma ligação, um convite para um grupo, um ficheiro ou uma mensagem urgente. A regra principal é simples: desconfiar sempre de pedidos inesperados, mesmo que venham de contactos conhecidos.
É também fundamental manter sistemas atualizados, usar autenticação multifator sempre que possível e evitar partilhar informação sensível em canais que não sejam estritamente necessários. No fundo, a melhor defesa continua a ser uma combinação de tecnologia, prudência e literacia digital.
Quais as principais atitudes que os cidadãos e os empresários devem tomar para evitar serem vítimas de ciberataques?
Aplicar a regra dos 4 para o cidadão comum:
- usar palavras-passe fortes e diferentes em cada serviço;
- ativar autenticação multifator sempre que disponível;
- evitar clicar em links ou abrir anexos de origem duvidosa.
- Não abrir conteúdo no Whatsapp que não venha de fonte conhecida.
Quanto às empresas também há esta “regra dos 4”, embora a abordagem tenha que ser mais estruturada:
- investir em formação de colaboradores, pois a maioria dos ataques começa por engenharia social;
- implementar cópias de segurança regulares e isoladas;
- garantir monitorização e atualização constante dos sistemas;
- e ter planos de resposta a incidentes, porque a questão hoje já não é “se” vai acontecer, mas quando.
