Ir para conteúdo

AMEAÇAS E PROSPETIVAS

Nas páginas anteriores, foi possível analisar dados sobre acontecimentos comprovados e categorizados enquanto incidentes e cibercrimes. Essa análise permitiu identificar processos materializados em efetivas ocorrências. Neste capítulo, o objetivo é, com base nos dados apresentados e em análises dos parceiros do CNCS, identificar as principais ameaças e prospetivas. Enquanto o primeiro capítulo incide sobre aquilo que já aconteceu, este foca-se sobretudo naquilo que pode acontecer. Em termos de formato, é menos quantitativo, mas apresenta um destaque no final de cada tópico e uma síntese no fim dos subcapítulos.


AMEAÇAS

Entende-se por ameaça uma “potencial causa de um incidente indesejado, que pode provocar danos a um sistema, indivíduo ou organização” (ISO/IEC 27032). Deste ponto de vista, uma ameaça é tudo aquilo que pode fomentar os acontecimentos descritos no primeiro capítulo: incidentes e cibercrimes. Estas ameaças podem 1) ser responsabilidade de certos agentes e 2) concretizarem- se através de táticas, técnicas e procedimentos (TTP) identificáveis - duas categorias em permanente correlação - os agentes são os promotores da ameaça e as TTP os meios utilizados para realizar um ataque. A ameaça é o processo que articula estas variáveis numa possível situação de agressão futura, considerando determinada vítima em potência.

Dos dados apresentados nos subcapítulos anteriores, é possível destacar um conjunto de TTP que se concretizaram em 2019 e que, por isso, têm maior probabilidade do que outras de continuarem a ser ameaças em 2020 e 2021. Do ponto de vista dos agentes, a atribuição de responsabilidade/culpa por determinado incidente/cibercrime é uma das maiores dificuldades no campo da cibersegurança. A este respeito, os dados mais certos de que dispomos são os relativos a condenados, mas esses incidem sobretudo sobre ameaças nacionais, excluindo um conjunto de agentes de ameaças muito alargado, e apresentam uma distância temporal em relação ao ato criminoso que não permite fazer leituras adequadas da atualidade. Portanto, no que se refere a agentes de ameaças, devemos remeter sobretudo para as conjeturas realizadas quanto à relação provável entre estes e determinados tipos de ataque. Estas correlações são feitas com base nas pesquisas efetuadas pela comunidade de informações nacional e euro-atlântica.

AGENTES DE AMEAÇAS

Uma das formas de tipificar os agentes de ameaças é através da identificação da sua relação com os Estados. Enquanto ator com muitos recursos e responsável pela soberania nacional, um Estado, ao relacionar-se com um tipo de ameaça, fornece a esta, em hipótese, os seus recursos e faz dessa ameaça parte da sua estratégia em termos das relações nacionais e internacionais. Esta conexão pode não ser completa, isto é, um grupo de cibercriminosos, por exemplo, pode não se integrar na estrutura de um Estado, mas ter o seu apoio. Nesse caso, estamos perante atores paraestatais.

Cabem no âmbito dos atores estatais entidades que atuam em nome de um órgão governamental, como, por exemplo, governos, representações oficiais, forças armadas ou serviços de informações. A quantidade e a qualidade dos recursos destes atores fazem com que se classifiquem muitos deles como “ameaças persistentes avançadas” (Advanced Persistent Threats – APT).

Numa esfera híbrida, os atores paraestatais são aqueles que são vinculados a Estados ou dirigidos por eles, mas que não pertencem formalmente a qualquer entidade governamental. Entre os agentes de ameaças incluídos neste tipo de ator estão os grupos de hackers que vendem os seus serviços (hackers for hire, isto é, cibercriminosos), podendo prestá-los, precisamente, a Estados, mas não só. Alguns destes grupos também podem tomar a forma de APT.

Os atores não estatais, por fim, distinguem-se por não serem unidades soberanas e incluírem organizações e indivíduos que não são afiliados, dirigidos ou financiados por um governo. São exemplos disso os cibercriminosos, os hacktivistas, alguns lobos solitários ou entidades do universo da cibersegurança, como empresas ou freelancers.

Considerando o tipo de agentes de ameaças proposto pela ENISA8, podemos considerar a seguinte distribuição dos agentes quanto à sua relação com os Estados. A distribuição que se propõe deve ser lida à luz da noção de ideal-tipo, ou seja, por regra esta é a correlação que existe entre os agentes de ameaças e os Estados, mas existirão zonas cinzentas nas quais por vezes e em dadas circunstâncias esta configuração apresenta exceções.

Quadro de Estados /Agentes de Ameaças

À luz deste quadro, é possível destacar três agentes de ameaças que sobressaem em relação a outros no contexto português, seguindo a taxonomia proposta pela ENISA: os cibercriminosos, os agentes estatais e os hacktivistas. Como referido anteriormente, o destaque atribuído a estes agentes de ameaças ocorre com base nas pesquisas empreendidas pela comunidade de informações em relação a Portugal. Não obstante, qualquer um dos restantes agentes de ameaças é um potencial agressor e possível responsável por alguns dos incidentes e cibercrimes registados.

A atividade dos cibercriminosos, entidades que regem as suas ações com base em motivos sobretudo económicos, tem sido muito relevante em território nacional. Estes grupos ou indivíduos têm agido com os objetivos principais de extorquir, realizar fraudes e obter credenciais. Por vezes, misturam-se com atores estatais, que os patrocinam, ou agem de forma solitária.

Alguns agentes estatais também continuam a ser uma ameaça importante, através do patrocínio e contratação de grupos de cibercriminosos ou mediante o uso dos seus próprios serviços de informações. Neste contexto, as práticas de ciberespionagem são um meio importante, usualmente com o objetivo de exfiltrar informação (isto é, extrair dados de teor político, estratégico, militar, económico e operacional), apontando indivíduos e organizações como alvos, procurando recrutar colaboração ou sabotar e comprometer sistemas.

O terceiro tipo de agente de ameaças relevante para Portugal, os hacktivistas, tem como objetivo promover a desestabilização sistémica através de sabotagens, danos reputacionais em organizações e indivíduos, exibindo a capacidade de realizar um determinado ataque sem na realidade o concretizar na sua totalidade (proof of concept) ou promovendo a divulgação de bugs ou vulnerabilidades em sistemas, para se autopromover ou como veículo da sua mensagem ativista.

Em geral, o objetivo destas ações é protestar contra decisões ou fazer afirmações com cunho político-ideológico.

Vejamos no quadro que se segue o peso de uma possível correlação com Estados que cada um destes agentes adquire, indicador importante, como referido, para a compreensão do seu nível de recursos.

Quadro de Estados/Agentes de Ameaças – ameaças mais relevantes para Portugal

Do ponto de vista da relação com os Estados e da quantidade e qualidade de recursos que cada um destes agentes de ameaças possui, logo, do nível de potencial impacto da ameaça, para lá da conclusão óbvia de que os agentes estatais são os que têm, potencialmente, mais recursos, verifica-se que os cibercriminosos, na medida em que por vezes são patrocinados por Estados, têm por regra acesso a mais recursos do tipo estatal do que os hacktivistas. Contudo, estes, comparando com alguns cibercriminosos não estatais, podem, em certos casos, obter mais recursos por via de uma maior capacidade de mobilização ideológica. Tendo objetivos mais correlacionados à provocação de danos reputacionais e à autopromoção do que à obtenção de ganhos económicos, conseguem com maior facilidade atingir os seus objetivos, que em geral requerem menos recursos.

As principais vítimas destes três tipos de agentes de ameaças são os organismos do Estado; algumas empresas-chave com dados sensíveis; e os sistemas de controlo industrial, devido ao seu caráter crítico. Muitas destas organizações são operadores de serviços essenciais ou infraestruturas críticas. Não obstante, os indivíduos e as PME continuam a ser alvos relevantes, como é possível verificar nos dados apresentados na primeira parte deste documento. Considerando esses dados e, portanto, ameaças concretizadas, as principais vítimas que se reconheceram como tal através de inquéritos foram as grandes empresas e as empresas de telecomunicações. Este dado é coerente com os indicadores produzidos pelo CERT.PT, nos quais se identifica um pendor forte das Infraestruturas Digitais e dos Prestadores de Serviços de Internet enquanto alvos frequentes. Como referido, pela sua natureza de prestação de um serviço, estes incidentes têm muitas vezes por alvo os clientes destas entidades, no que se incluem as empresas e os indivíduos, também eles vítimas quando se identificam ações maliciosas nestes setores. Com base nos dados do primeiro capítulo, é possível ainda realçar a área de governação da Educação, Ciência, Tecnologia e Ensino Superior e o setor da Banca como alvos recorrentes em 2019.


DESTAQUES

Três tipos de agentes de ameaças destacam-se no ciberespaço de interesse nacional português: cibercriminosos, agentes estatais e hacktivistas.

Os hacktivistas são aqueles que apresentam, potencialmente, uma ligação mais fraca a Estados, embora tenham capacidade de mobilização ideológica.

TOs principais alvos destes agentes de ameaças são organismos do Estado, algumas empresas-chave e sistemas de controlo industrial. Muitas destas organizações são operadores de serviços essenciais ou infraestruturas críticas. As entidades ligadas aos serviços digitais e de internet, a Educação, Ciência, Tecnologia e Ensino Superior, bem como a Banca, são alvos importantes.

TÁTICAS, TÉCNICAS E PROCEDIMENTOS (TTP)

Os agentes de ameaças utilizam diversas TTP para atingirem os seus fins. Associados aos agentes, estes meios são a componente mais visível de uma ameaça, pois são aqueles que se constituem como instrumentos usados para atingir diretamente as vítimas.

Um dos aspetos mais importantes das TTP dominantes entre os agentes de ameaças referidos é a engenharia social, a qual explora as fragilidades do fator humano. O phishing é um dos vetores relevantes a este respeito (mas também o spearphishing - phishing direcionado e adaptado a um alvo específico), através de emails ou SMS (smishing), promovendo a infeção por malware mediante cliques em links e anexos ou a recolha de credenciais. É relevante considerar alguns casos de CEO fraud através de telefonemas direcionados a altos dirigentes, com potencial recurso a deep fakes de voz. Neste contexto, o compromisso de conta é outro dos objetivos comuns da engenharia social. Não obstante, também se concretiza com recurso a bases de dados de palavras-passe disponíveis online e/ou utilizando mecanismos de força-bruta. A exploração de vulnerabilidades nos sistemas é levada a cabo em vários casos, quer como intrusão, quer como tentativa de intrusão. O ransomware, no âmbito da infeção por malware, tem tido algum impacto mediático e capacidade de desestabilização em certas organizações. Em geral, a devolução ou não dos dados cifrados é o fator-chave no pedido de resgate, mas a possibilidade de os divulgar a terceiros também é um elemento que fortalece a chantagem.

Verifica-se ainda um crescimento na utilização de técnicas de false flag – grupos estatais que mimetizam outros grupos e vice-versa, promovendo a falsa atribuição. Por vezes, estes agentes de ameaças roubam infraestruturas de outros coletivos de modo a simular ainda melhor a sua atuação. Existem também APT estatais que recorrem a outsourcing, o que pode ter um efeito semelhante, visto os ataques passarem a ser realizados pelas entidades contratadas, trazendo consigo as técnicas pelas quais são reconhecidas. A este propósito, é possível identificar o crescimento da oferta de campanhas de hacking e de desinformação como serviços e produtos (cibercrime-como-serviço). Este tipo de ação dificulta a atribuição e facilita a anonimização.

Considerando os dados de 2019, esta leitura é coerente com as ameaças concretizadas em termos de incidentes, com grande relevância para o phishing e a infeção por malware. Houve também uma maior identificação de vulnerabilidades (embora em termos de observáveis estas apresentem uma certa estabilização) e de compromissos de conta. Acresce que o terceiro trimestre e o segundo semestre são os períodos mais intensos no que diz respeito à concretização destas ameaças.

Observando de novo o quadro proposto pela ENISA, mas na articulação que estabelece entre os agentes e as ciberameaças, é possível, à luz da conjetura acerca dos principais agentes de ameaças em Portugal, identificar correlações.

Quadro de Ameaças: Ciberameaças/Agentes de ameaças9

Tendo em conta os três tipos de agentes que constituem as principais ameaças em Portugal, considerando ainda as TTP mencionadas anteriormente, no que se incluem os tipos de incidentes e o modus operandi dominantes, é possível identificar as ciberameaças integráveis nas ações dos referidos agentes e verificar algumas correlações possíveis, prováveis ou improváveis. Estas ciberameaças podem ser operacionalizadas em simultâneo - por exemplo, um ciberataque pode utilizar, ao mesmo tempo, na sua cadeia de ataque o phishing e o malware para atingir os seus objetivos.

Os cibercriminosos são dos agentes que maior diversidade de ciberameaças utilizam, sendo apenas improvável o uso da ciberespionagem. Contudo, visto esta ser uma prática típica de agentes estatais, quando cibercriminosos são patrocinados por Estados, não podemos colocar de parte a hipótese de utilizarem esse meio. Sendo o phishing e o malware ciberameaças de primeiro nível, é provável que em parte sejam promovidas por cibercriminosos, com intenções económicas, correlação reforçada pelo facto do quadro de ameaças prever uma utilização primária destas ciberameaças por estes agentes. Todavia, é possível que recorram a qualquer uma das restantes ciberameaças.

Os agentes estatais, de modo ainda mais transversal, recorrem a todas as ciberameaças identificadas e, portanto, também às mais ameaçadoras no contexto português. Esta transversalidade expressa a quantidade e qualidade de recursos que possuem. Tendo em conta o quadro proposto pela ENISA, a ciberespionagem não é o meio mais frequentemente utilizado pelos agentes estatais. Não obstante, essa utilização existe e será mais comum em relação a determinados alvos, dependendo dos objetivos. Em rigor, devemos considerar que é possível os agentes estatais serem responsáveis por qualquer uma das ciberameaças. No que diz respeito às de primeiro nível (malware e phishing) e a algumas de segundo nível no país (web-based attacks, web application attacks, botnets, ransomware e data breaches), os agentes estatais utilizam-nas de modo primário, o que faz com que a correlação entre essas ciberameaças e alguns agentes estatais seja provável.

Quanto aos hacktivistas, comparando com os outros tipos de agentes mais relevantes em Portugal, verificamos que são os que, tradicionalmente, recorrem a uma menor variedade de ciberameaças para realizarem os seus objetivos, correspondendo também a uma menor quantidade e qualidade de recursos. Entre as ciberameaças de primeiro nível em Portugal, os hacktivistas não se apresentam como os agentes que mais recorrem às mesmas. Além disso, será improvável recorrerem, por exemplo, ao SPAM, ao ransomware ou à ciberespionagem.

Contudo, algumas das ciberameaças de segundo nível têm uma utilização primária pelos hacktivistas, favorecendo a probabilidade de uma correlação: web-based attacks, web application attacks, DoS/DDoS e data breaches.


DESTAQUES

No âmbito das ciberameaças mais frequentes identificadas no ciberespaço de interesse nacional, o phishing e o malware (inclui ransomware) surgem destacadas. Estas ciberameaças são frequentemente acompanhadas pela exploração do fator humano, através de engenharia social.

É importante considerar ainda como relevantes o compromisso de conta, a exploração de vulnerabilidades, os DoS/DDoS, as botnets, o ransomware, os data breaches e a ciberespionagem.

Os agentes de ameaças mais comuns recorrem a grande parte das ciberameaças destacadas no primeiro e segundo níveis de utilização, destacando-se uma coincidência entre as mais frequentes em Portugal (phishing e malware) e o modus operandi comum destes agentes, com exceção dos hacktivistas, que fazem deles uma utilização secundária.

Há uma crescente utilização de técnicas de false flag que dificultam a atribuição.

Verifica-se o aumento de práticas de cibercrime-como-serviço, com a venda de campanhas de hacking e de desinformação.


SÍNTESE DO SUBCAPÍTULO AMEACAS

Os tipos de agentes que representam uma maior ameaça para Portugal são os cibercriminosos, os agentes estatais e os hacktivistas.

As ciberameaças a que estes agentes recorrem com mais frequência para atingirem os seus fins são o phishing, o malware (inclui ransomware), o compromisso de conta, a exploração de vulnerabilidades, o DoS/DDoS, as botnets e os data breaches, fazendo-se acompanhar frequentemente de ações de engenharia social e, cada vez mais, de técnicas de false flag, bem como, em alguns casos, ciberespionagem.

Muitas das ciberameaças estão disponíveis como serviços e produtos, no âmbito do cibercrime-como-serviço.


PROSPETIVAS

Neste subcapítulo apresentam-se algumas prospetivas que procuram identificar tendências e ajudar os agentes a gerir o futuro quanto ao risco de concretização de certas ameaças à cibersegurança. Estas análises realizam-se com base nos dados apresentados no primeiro capítulo e na identificação de algumas ameaças, dois aspetos avaliados à luz da previsibilidade aplicável à linha temporal que se avizinha. Reconhece-se, não obstante, a incerteza que estes exercícios sempre acarretam.

A este respeito, divide-se a análise em três tópicos: Tendências em Agentes e TTP, no qual se estima a continuidade ou não das ameaças já identificadas; Tendências Globais, em que se elencam algumas dinâmicas internacionais que podem interferir no nível nacional; e, por fim, em O Caso Covid-19, analisa-se a pandemia do ponto de vista da cibersegurança dando conta da sua interferência em todas as previsões.

TENDÊNCIAS EM AGENTES E TTP

Considerando as ameaças já identificadas, deve observar-se que existe uma elevada probabilidade de elas se manterem. Além disso, assiste-se a uma tendência de convergência cada vez mais acentuada entre tipos de atores estatais, paraestatais e não estatais na concretização de atividades hostis, reforçando- se o papel dos cibercriminosos, dos agentes estatais e dos hacktivistas, bem como a relação entre si. Por isso, a sua categorização e identificação clara tendem a tornar-se mais complexas de se realizar.

As TTP associadas ao universo destes agentes são cada vez mais fáceis de obter e de utilizar através de serviços e produtos de cibercrime vendidos online, como referido anteriormente, facto que, portanto, tende a intensificar-se. A multiplicação dos vetores de ataque contribuirá para o aumento de oportunidades e de hipóteses de sucesso, dificultando ainda mais a criação de perímetros de segurança.

É expectável que em 2020 e 2021 estes agentes de ameaças continuem a persecução dos seus objetivos táticos e estratégicos e que explorem novas vulnerabilidades nas dimensões digitais emergentes, como a Internet das Coisas, as redes 5G, a Inteligência Artificial e a criptomineração, o que representa um aumento da superfície de ataque.


DESTAQUES

Tendência para a convergência entre atores estatais, paraestatais e não estatais, dificultando a atribuição, e para o reforço das atividades de cibercriminosos, agentes estatais e hacktivistas.

Tendência para maior facilidade na obtenção dos instrumentos envolvidos nas TTP dominantes e para o aumento dos vetores e superfícies de ataque.

TENDÊNCIAS GLOBAIS

Na transformação destas ameaças em incidentes e cibercrimes, é importante considerar algumas tendências globais, quer devido a fatores tecnológicos, quer comportamentais. Uma das consequências mais relevantes destas dinâmicas é o referido aumento da superfície de ataque, com efeito na multiplicação dos vetores. Tendo um cunho global, esta tendência afeta também Portugal, ainda que com ritmos específicos, considerando as características sociais e económicas do país. Vejamos algumas tecnologias cujo desenvolvimento aumenta as oportunidades para a realização de ataques, mas também para a criação de inovações nos modos através dos quais estes se realizam. Acrescentamos alguns dados fornecidos por fontes internacionais:

Aumento da quantidade de dispositivos em rede, no âmbito da Internet das Coisas, bem como a importância estabilizada dos smartphones:

Há cerca de 21 mil milhões de dispositivos do tipo Internet das Coisas no mundo – perspetiva-se que em 2025 este número seja o dobro;

Na primeira metade de 2019 os ciberataques a dispositivos da Internet das Coisas aumentaram 300%;

A Internet das Coisas intensifica os efeitos cinéticos de um ciberataque e as vulnerabilidades em relação à proteção de dados.

(WEF, 2020)

Emergência do 5G, com desafios tecnológicos e comerciais:

A implementação do 5G exige novos controlos de risco.

(NISCG, 2020)

Crescente aplicabilidade da Inteligência Artificial:

A Inteligência Artificial é cada vez mais usada para deep fakes;

Com a Inteligência Artificial, a atribuição no cibercrime é ainda mais difícil.

(ENISA, 2019)

Desenvolvimento da Computação Quântica:

A computação quântica torna obsoletas antigas aplicações de cibersegurança.

(ENISA, 2019)

Uso crescente das Plataformas em Nuvem:

Uso que ameaça mais a proteção de dados.

(WEF, 2020)

Digitalização de grande parte dos serviços essenciais:

Os ciberataques aos serviços essenciais são um dos maiores riscos em 2020.

(WEF, 2020)

O Global Risk Report 2020, do World Economic Forum, coloca os ciberataques como o 7º risco mais provável no mundo e o 8º com mais potencial de impacto, reconhecendo que já no presente os ciberataques são cada vez mais frequentes contra organizações e indivíduos. Identificam-se dois aspetos, neste documento do World Economic Forum, que são importantes de destacar no que se refere ao contexto de governação do ciberespaço: 1) o caráter fragmentado dos quadros normativos de regulação do setor das TIC, dentro de uma determinada área e mesmo de país para país, o que dificulta uma ação global e coordenada contra o cibercrime; e 2) as consequências não intencionais, imprevisíveis, de certos desenvolvimentos tecnológicos, como é o caso da Inteligência Artificial. A dificuldade de coordenação e a imprevisibilidade da tecnologia tornam a governação da cibersegurança no mundo mais incerta (WEF, 2020).

Em termos de cibercrime, o Relatório da Europol Internet Organized Crime Threat Assessment, de 2019, identifica algumas ameaças à UE, que caracterizam 2019 e se estendem para 2020, que podem ser ameaças também para Portugal: o ransomware (apesar de existir menos em relação a anos anteriores, tem mais impacto); a fraude com cartões de crédito; a CEO fraud; o DoS/DDoS com extorsão; ataques à cadeia de fornecimento; a crescente digitalização do terrorismo; uma maior apetência para os ataques a dados; e o phishing e as criptomoedas a permanecerem como veículos transversais às ciberameaças. Também este documento, do ponto de vista da governação, tal como o Global Risk Report de 2020, aponta para a necessidade de haver articulação internacional para que o combate ao cibercrime funcione.


DESTAQUES

Tendências globais tecnológicas com implicações regionais no aumento da superfície de ataque: a Internet das Coisas, o 5G, a Inteligência Artificial, a Computação Quântica e as Plataformas em Nuvem.

Tendências que dificultam a governação da cibersegurança: fragmentação de standards e de regulamentações, bem como as consequências não intencionais.

Tendências globais no cibercrime: maior impacto do ransomware, crescimento da fraude, ameaças à cadeia de fornecimento e aos dados, digitalização do terrorismo, phishing e criptomoedas como ferramentas transversais.

O CASO COVID-19

A importância da pandemia de Covid-19 durante o ano de 2020, incidindo no mesmo período de publicação deste Relatório, exige uma análise às características e aos possíveis efeitos permanentes que este acontecimento tem e terá na cibersegurança nacional. Durante o período sujeito à pandemia, e que ainda vigora na data de publicação deste Relatório, assistiu-se, por parte de agentes maliciosos, à utilização da temática e do alarme relativos a esta doença por forma a tirarem partido da disposição dos indivíduos para reagirem ou procurarem soluções. As ameaças em termos de TTP mais identificadas foram:

Phishing/smishing (através de email, SMS e redes sociais) a utilizar o nome de organizações ligadas à saúde, instituições internacionais como a UNICEF, a Organização Mundial de Saúde e laboratórios, procurando a captura de dados pessoais ou infetando os dispositivos com malware;

Malware, algum dele ransomware, distribuído através de emails ou de redirecionamento de DNS (Sistema de Nomes de Domínio);

Aplicações que oferecem funcionalidades no âmbito da pandemia de Covid-19, mas distribuem malware, em alguns casos ransomware;

Fraudes digitais que recolhem donativos através de crowdfunding para a falsa compra de materiais médicos na ajuda à luta contra a doença;

Páginas de internet falsas, ou ofertas fraudulentas, para venda de materiais médicos contra a doença;

Venda na darkweb de Kits Covid-19, os quais permitem realizar ciberataques a indivíduos em teletrabalho;

Campanhas de desinformação que culpabilizam pela pandemia grupos minoritários e Estados.

Durante o mês de março de 2020, que corresponde ao início da resposta nacional à pandemia, o CERT.PT registou 138 incidentes, o que corresponde a um aumento de 84% em relação a fevereiro, que havia registado 75 incidentes. Se compararmos com os mesmos meses do ano anterior, verificamos que em 2019 houve apenas 57 incidentes em fevereiro e 50 em março – portanto, o mês de março de 2020 teve mais 176% de incidentes do que o de 2019. Quanto ao phishing, em março de 2020 assiste-se a um aumento de 217% em relação a fevereiro do mesmo ano, passando-se de 18 incidentes para 57.

26. Incidentes (total e phishing) registados pelo CERT.PT em março de 2020, comparação com fevereiro e meses homólogos

Fev. 2019 Mar. 2019 Fev. 2020 Mar. 2020
Phishing Total Inc. Phishing Total Inc. Phishing Total Inc. Phishing Total Inc.
17 57 23 50 18 75 57 138

Incidentes (total) registados pelo CERT.PT, entre janeiro e março de 2020

Incidentes registados pelo CERT.PT no mês de março, entre 2016 e 2020

Em consonância com estes registos, em documento do Gabinete de Cibercrime do Ministério Público, Nota Informativa COVID 19: cibercrime em tempo de pandemia, já referenciado, é possível identificar um aumento das denúncias recebidas no mesmo período. Enquanto no ano de 2019 houve, no total, 193 denúncias, em 2020, até 16 de abril, já se registavam 162, quase tantas como no ano anterior. Entre fevereiro e março de 2020 ocorreu um aumento em mais do dobro, de 20 denúncias para 46, respetivamente, um aumento de 130%. Os crimes mais reportados foram as fraudes na utilização da aplicação de pagamentos MB WAY, mensagens de email e SMS com malware, campanhas de phishing e extorsão via email (MP, 2020).

Em muitos destes casos, tal como em 2019, a engenharia social é uma ferramenta de ataque muito importante na medida em que utiliza a preocupação e a informação sobre uma situação hegemónica a nível social para conduzir os indivíduos a agirem contra os seus próprios interesses, beneficiando agentes maliciosos. É um exercício conjetural realizar prospetivas quanto a este acontecimento e ao nível de interferência que pode vir a ter na cibersegurança nacional, contudo, a natureza preponderante do mesmo a isso obriga. A este respeito, devem considerar-se, por um lado, a interferência deste evento em tendências já identificadas; e, por outro, as novas tendências que ele pode promover.

Quanto à interferência nas tendências globais já identificadas:

O esperado desaceleramento, e mesmo recessão, a nível económico poderá ter como efeito atrasar a implementação de algumas das tecnologias que colocam desafios à cibersegurança, como é o caso do 5G;

Não obstante, a relevância acrescida que adquiriu a utilização dos dados pessoais dos cidadãos no combate à doença pode tornar mais relevantes as tecnologias que os utilizam de forma mais central, como a Internet das Coisas, a Inteligência Artificial e a Computação em Nuvem;

Um aumento da pressão sobre os organismos internacionais no sentido de melhorarem a cooperação internacional no campo da cibersegurança, mas também a possibilidade de a componente restritiva da pandemia reforçar o fechamento nacional;

Intensificação dos veículos identificados de cibercrime que utilizam as fragilidades do fator humano: phishing, ransomware, fraude, com aproveitamento da crescente utilização dos dados.

Quanto ao desenvolvimento de tendências específicas fruto da pandemia de Covid-19:

Continuidade no aproveitamento da temática da Covid-19 para ações de engenharia social, através de phishing e malware, eventualmente utilizando emails, SMS e aplicações;

Desafio para os Estados democráticos quanto ao dilema que opõe segurança e privacidade. A utilização dos dados dos cidadãos com a justificação de necessidade de controlo da pandemia tem conduzido à aceitação social desta utilização. Existe o risco de, no mundo pós-pandemia, algumas destas medidas não serem revertidas, algo que pode facilitar o uso abusivo dos dados pessoais;

Aproveitamento por parte de cibercriminosos das fragilidades sociais e económicas, ligadas ao desemprego, por exemplo, para realizarem fraudes, reproduzindo as TTP relacionadas com a pandemia de Covid-19 em temas do âmbito de uma crise económica;

Aumento dos ataques a serviços essenciais e a infraestruturas críticas, aproveitando a maior dependência do digital;

A desestabilização social pode aumentar a atividade dos hacktivistas através de ações que procurem provocar impacto mediático e danos reputacionais, como sejam DDoS, data breaches ou compromissos de contas;

A crise económica e a desestabilização social podem ser vistas por alguns Estados como oportunidades para campanhas de desinformação e de ciberataques que comprometam a soberania de outros Estados.


DESTAQUES

A pandemia de Covid-19 foi uma oportunidade para agentes maliciosos realizarem ciberataques oportunistas, utilizando esta temática, através de phishing, smishing, ransomware, fraudes e desinformação.

Registou-se um aumento de 85% no número de incidentes reportados ao CERT.PT entre fevereiro e março de 2020 e de 176% comparando o mês de março de 2020 com o mês homólogo de 2019 - também os crimes online denunciados ao Ministério Público aumentaram para mais do dobro (130%), entre fevereiro e março.

Este acontecimento hegemónico interfere nas tendências globais e nacionais perspetivadas: possível desaceleramento do desenvolvimento de algumas tecnologias críticas para a cibersegurança, como o 5G; aprofundamento dos fatores de risco associados à segurança dos dados pessoais; desafios à coordenação internacional para a cibersegurança; aumento dos ciberataques de cibercriminosos que utilizam engenharia social oportunista em relação a uma previsível crise económica e social; crise económica e social que pode também favorecer ciberataques com motivos políticos.

SÍNTESE DO SUBCAPÍTULO PROSPETIVAS

Tendência para maior articulação entre ameaças estatais e não estatais, com reforço dos cibercriminosos, dos agentes estatais e dos hacktivistas, além de maior superfície e mais vetores de ataque, acesso a ciberameaças facilitado e crescente dificuldade na atribuição.

Tendências globais relevantes: tecnologias emergentes (Internet das Coisas, 5G, Inteligência Artificial, Computação Quântica e Plataformas em Nuvem) que aumentam a superfície e os vetores de ataque; fragmentação e imprevisibilidade da governabilidade da cibersegurança a nível internacional; importância de certas ciberameaças, como ransomware, fraude, phishing e ataques à cadeia de fornecimento.

A pandemia de Covid-19 vem trazer um potencial de interferência em todas as previsões, ameaçando alterar umas e intensificar outras, e trazendo consigo novas tendências: possível desaceleramento de algumas tecnologias; ameaça à proteção dos dados pessoais; aumento dos ciberataques que usam a engenharia social oportunista; ameaça a serviços essenciais e infraestruturas críticas; e possível uso político da crise económica e social por agentes de desinformação ou de desestabilização sociopolítica.


9 A seleção das principais ciberameaças e agentes de ameaças fez-se com base na pesquisa anteriormente realizada, quer neste capítulo, quer no anterior. Para uma compreensão mais aprofundada do significado de cada uma destas ciberameaças, consultar Termos e Abreviaturas e o texto ENISA Threat Landscape Report 2018. Chamamos “ciberameaças de primeiro nível” àquelas que ocupam os lugares cimeiros nos rankings do CERT.PT e da RNCSIRT e são redundantes nessa importância em várias fontes; “ciberameaças de segundo nível”, àquelas que ocupam lugares intermédios nesses rankings e/ou são referidas em análises qualitativas; e “ciberameaças de terceiro nível”, a todas as outras. A componente analítica, nas “ciberameaças de segundo nível”, para lá daquilo que os dados revelam, tem importância em particular se considerarmos ciberameaças como a ciberespionagem. A distinção entre grupos primários e secundários, utilizada pela ENISA, refere-se à utilização predominante (primários) ou complementar (secundários) dos meios envolvidos em cada uma das ciberameaças por parte dos agentes identificados.

10 As ciberameaças Web-based attacks e Application-based attacks referem-se, na taxonomia do CERT.PT, sobretudo a intrusão e tentativa de intrusão – ver Anexo, tabela A.


Seguinte
Última atualização em 05-04-2021