Cibercrime: quais são os principais tipos de ataques informáticos?

A cibersegurança já não é suficiente para evitar ataques informáticos cada vez mais sofisticados. Ataques a empresas, a entidades governamentais, ataques a consumidores, tudo parece somar pontos no mundo do cibercrime, deixando a segurança online em franca desvantagem.

Os consumidores que compram mais online, também são aqueles que revelam agora sentir-se inseguros relativamente à fiabilidade de certos sites. Outro botão de pânico – acionado cada vez mais pelos hackers mundiais – é o dos bancos, da apropriação de dados ou da clonagem de cartões, que deixam muitos consumidores em situações de perigo ou sufoco financeiro.

Só nos primeiros dois meses de 2022, Portugal sofreu dois ataques informáticos em larga escala, que tiveram um impacto considerável no quotidiano dos consumidores. E, agora que o conflito político entre a Rússia e a Ucrânia é real, o alerta já foi dado: o cibercrime vai aumentar, e todos temos que aprender a lidar com isso da melhor forma.

Tudo isto, gera desconfiança e tem estado na ordem do dia. Afinal, como munir os consumidores para fazerem frente da melhor maneira a possíveis ataques informáticos. Primeiramente há que saber quais são os mais comuns. Continua a ler.

Principais tipos de ataques informáticos

Há vários tipos de ciberataques, que representam uma séria ameaça a consumidores, empresas, entidades públicas e governamentais, mas, de uma forma geral, podemos agrupá-los em três grupos, cada um com as suas denominações. 

Phishing. Vem do termo inglês fishing, que em linguagem digital significa um tipo de roubo de identidade online. É uma ação fraudulenta que se caracteriza por tentativa de adquirir ilicitamente dados pessoais de terceiros, sejam passwords, dados bancários, dados de cartão de crédito, pelos meios mais variados. Email, redes sociais, mensagens, aplicações, todas são meios de ataque ao consumidor comum. Dentro do Phishing, existem ainda dois subtipos recorrentes.

• Spear Phishing. Representam os ataques informáticos dirigidos a uma determinada pessoa ou empresa em concreto. Não são facilmente detetáveis, uma vez que o ataque, por norma, é feito através de emails de um remetente “supostamente” credível, que contém normalmente um link ou um documento em anexo. Poderá ser denunciável pelo corpo do email, ou pelo envio do mesmo sem motivo aparente.
• Whaling. São ataques diretos a perfis de altos executivos, figuras públicas ou políticas de elevada importância. O objetivo não varia muito: ter acesso a informação confidencial ou ter acesso a dados bancários que permitam transferências eletrónicas de valores elevados.

Malware. Resumidamente, um malware é vírus - um código criado para corromper um sistema informático. Um malware intrusivo invade, danifica ou desabilita computadores, sistemas informáticos ou mesmo telemóveis, assumindo o controle das operações. Ainda que, no geral, não danifique o hardware dos sistemas, permite o roubo de dinheiro, dados pessoais ou mesmo de funcionalidades básicas do computador, e pode servir para espiar alguém de forma incógnita. Dentro deste tipo de ataque, os mais comuns:

• Spyware. O spyware pode infetar qualquer dispositivo e dar aos cibercriminosos acesso total a informações confidenciais, como passwords, dados bancários ou mesmo a identidade digital. Quanto mais tempo permanecer ativo, mais danos pode causar. Uma vez instalado num dispositivo, pode realizar várias ações, entre as quais, keylogging (registo de tudo o que é digitado, incluindo dados de acesso pessoais), gravação de áudio e vídeo, controlo remoto do dispositivo, acesso a email ou ao histórico do navegador.
• Ransomware ou sequestro de dados. Esta ação dá a possibilidade ao hacker de bloquear um dispositivo remotamente, e também de encriptar os arquivos. O utilizador deixa de controlar toda a informação e dados armazenados, algo que apenas será novamente habilitado após o pagamento da quantia pedida no resgate.
• Descargas automáticas. Acontecem a partir de sites inseguros, onde é instalado um script que infeta diretamente o dispositivo desde onde se acede ao link.
• Cavalo de Troia. É um programa que finge ser inofensivo – e útil – levando a que os usuários o descarreguem. Servem os mesmos propósitos referidos acima (roubo e espionagem, sobretudo).

Ataques Web. São ataques feitos diretamente a sites, através de debilidades que possam ter a nível de programação ou de design, que facilitem a entrada de hackers.

• Injeção de SQL. É um método de infiltração através de um código malicioso, que se aproveita da vulnerabilidade informática do site ou aplicação. Por norma, os hackers aproveitam-se de erros de programação informática ou design web sobretudo para aceder a bases de dados de usuários.
• XSS ou Cross Site Scripting. Este tipo de ataque aproveita uma dada vulnerabilidade em um website considerado confiável para instalar um script que irá executar ações maliciosas como copiar cookies, tokens ou roubar dados de acesso registados no navegador web do usuário. São ataques realizados em função de falha na validação dos dados de entrada do usuário e a resposta do servidor Web.

Portugal: mais de 100 mil ameaças em quatro meses  

O mais recente caso da Vodafone Portugal levantou a ponta do véu do que já é mais que visível: os ataques informáticos só têm tendência a aumentar, sobretudo agora que estalou um conflito político na Europa, ainda com precedentes desconhecidos a todos os níveis. Portugal não foge à regra, já recebeu mais de 100 mil ameaças só nos últimos quatro meses. Dados divulgados no final de janeiro de 2022, pelo Gabinete de Cibercrime da Procuradoria-Geral da República confirmam que as queixas por cibercrimes duplicaram em 2021, situação muito agravada também pela Covid-19.

O Portal da Queixa já alertou em várias ocasiões sobre tentativas de burla online, ataques informáticos ou tentativa de Phishing nos mais variados setores. “Recebi duas mensagens do vosso número, a informar-me de uma tentativa de contacto no seguimento do meu pedido de contrato, queria saber onde têm um pedido de contrato associado ao meu NIF, e onde está registado este número de telemóvel, pois o mesmo foi ativado hoje apenas. E não tenho, nem nunca tive associado de maneira alguma á EDP.”, diz Claudio Neto sobre a EDP. Ou Cristina Esteves, que diz ter sido alvo de um ataque de Phishing através da WiZink. E são muitas as reclamações sobre sites fraudulentos, que levam os consumidores a comprar produtos que nunca recebem.

Neste sentido, é preciso estar alerta perante situações de ataques informáticos ou burlas online cada vez mais recorrentes. Aqui deixamos-te pequenas dicas que podem fazer toda a diferença.

Literacia digital: a melhor arma contra o cibercrime

Esta vaga recente de ataques informáticos, só vem comprovar o que temos vindo a reforçar ultimamente: há uma evidente iliteracia digital que é preciso colmatar com conteúdo online fidedigno e completo, que ajude os consumidores neste campo. O erro humano é, na maioria dos casos, a porta escancarada por onde os hackers entram à vontade. Exemplo disso é o caso da Vodafone Portugal, uma vez que já se apurou que o ataque aconteceu através de um roubo de credenciais de um funcionário da empresa. 

Por outro lado, a edição de 2021 do Índice de Digitalidade da Economia e da Sociedade (IDES) revela que Portugal continua abaixo da média europeia, apesar de registar uma subida de três lugares relativamente a 2020, ocupando agora o 16.º lugar entre os 27 Estados-membros da UE.

Perante isto, torna-se imprescindível o investimento em literacia digital. No Portal da Queixa, além de ser possível pesquisar sobre marcas e ler sobre o seu desempenho ou sobre a experiência de outros consumidores, também temos içada a bandeira da literacia digital. Neste sentido, elaboramos um estudo sobre Segurança Online, para saber o quão seguros online estão os consumidores portugueses e que conteúdos necessitam para combater esta onda de cibercrime que parece não ter fim nem limites.