Saiba como começar a defender-se de Ciberataques, em 5 dicas úteis
Os Ciberataques são o buzz da atualidade nacional. Saber defender-se de um ataque, de preferência com 5 dicas essenciais, começa por gestos tão simples por parte do utilizador que, à partida, ajudam a inutilizar a base de qualquer tentativa de invasão, chantagem, malware, roubo ou destruição eletrónica que temos assistido.
Na verdade, com o aumento das denúncias de cibercrimes, que duplicaram em 2021, existem algumas dicas, no caso deste artigo 5, que podem ajudar a manter-nos longe das ameaças. Nós ajudamos.
Sempre em alerta, sempre com cuidado online: há que saber defender-se
Sem dúvida, a cibersegurança tem de passar a constar do nosso vocabulário diário. Esta tem de ser uma prioridade para todas as empresas e mesmo para o utilizador comum, todos e cada um de nós.
No fundo, ao atingir o pico de roubos e invasões a que temos assistido nas últimas semanas, nunca a literacia digital foi tão importante como agora. Esta é, sem piscar os olhos, a melhor arma para combater ataques informáticos.
Logo, a partir do momento em que uma grande maioria consiga compreender que o segredo reside precisamente no elemento que se encontra entre o ecrã e a cadeira, vulgo utilizador, então está dado o grande primeiro passo ao combate ao cibercrime e reforçada a segurança no meio digital.
É suficiente? Nunca o será, mas que estas 5 dicas para nos ajudar a defender de ciberataques vão diminuir, em muito, essa percentagem, que não duvide.
5 dicas de como começar a defender-se de Ciberataques
1 - Leia com atenção: Nunca clique em links de emails, mensagens, etc. duvidosos ou sites não fidedignos
Incontestavelmente, hoje em dia, este é um dos principais pontos onde é obrigatório ter o máximo de cuidado.
A engenharia social é um dos principais aproveitamentos efetuados pelos crackers de forma a conseguirem acesso e controlo da nossa informação e lançar ciberataques. Juntando a isto a grande iliteracia informática que ainda assola uma grande parte da nossa população.
Sobretudo, caso receba uma mensagem ou email de alguma entidade ou marca reconhecida que se apresente com um link e alerta que se tem de clicar nesse link, não o faça! As mensagens com alertas, promoções e afins podem vir disfarçados sobre várias capas: emails, SMS, pedidos de amizade em redes sociais, etc.
Em segundo, no caso dos websites, existe a necessidade cada vez mais de nos certificarmos de que são verdadeiros e não duplicados ou similares. Uma forma de comprovar se o site é fidedigno e seguro é perceber se este tem Certificado SSL (se o site tem HTTPS e um cadeado na barra do endereço).
No entanto, é também importante que valide quem é a entidade certificadora que emitiu o certificado SSL. Para comprovar a sua segurança, passe o rato por cima da hiperligação para ver o URL completo, avaliando assim a confiabilidade do conteúdo.
Do mesmo modo, os bancos estão atentos as situações de fraude que acontecem cada vez mais hoje em dia. Nesse sentido, têm vindo a ser criados mecanismos de segurança na ativação de cartões. No entanto, a duplicação de cartões ou o extravio de dados ainda é um problema por resolver.
Vítima de phishing
No caso de ter sido vítima de phishing, deve dar máxima prioridade ao cancelamento de todos os seus cartões e alertar o seu banco e apresentar queixa na polícia.
E, definitivamente, NUNCA FORNEÇA os dados do seu cartão de crédito, número e código de segurança, a ninguém. Opte por utilizar plataformas como o PayPal, Apple Pay e afins.
Ajuda à comunidade
Sob o mesmo ponto de vista, não se sinta retraído em expor o seu caso, afinal caso tenha acontecido algo grave o utilizador é uma vítima e tem de expor.
Então, portais como o Portal da Queixa, Trust Pilot, etc não só alertam a marca sobre o que está a acontecer, como também ajuda outros consumidores a perceberem que podem estar prestes a ser alvo de fraude.
2 - Utilize sempre uma password segura. Mas, importante, atualize-a de forma regular
Então, dentro das 5 dicas, a regra número dois é: NUNCA utilizar a mesma password para todos os serviços que necessitem de uma.
Na verdade, podemos encontrar alguns serviços seguros, como por exemplo o Lastpass, o 1password ou o Sticky Password onde se pode, com segurança, guardar todas as nossas palavras-chave e assim evitar usar sempre a mesma: geralmente apenas temos de memorizar 1 palavra-chave de acesso ao programa.
Por outro lado, para quem usufruir do serviço do Google, podemos aceitar as passwords geradas pelo serviço e guardá-las em plataformas para o efeito. Neste caso, recomenda-se atenção redobrada ao leitor com esta opção.
Sob o mesmo ponto de vista, se for alguém que gosta de memorizar todas as suas palavras-chave, mesmo aquelas mais complicadas, então pode sempre personalizar. Mas não esqueça as regras básicas de qualquer password minimamente segura no atual cenário:
- Obrigatório utilizar pelo menos 1 símbolo especial, por exemplo *,+, :, ^, /, -, ! ou ?
- Pelo menos 1 letra em maiúscula,
- Pelo menos 1 número,
- Utilizar um mínimo de 8 a 10 carateres, com as propriedades referidas.
Evitado será dizer que se recomenda a alteração para novas passwords a cada mês, pelo menos.
Partilha de passwords
Outras dicas de segurança passam por ações simples como:
- nunca partilhar as suas passwords com terceiros, tenha ou não confiança com essa pessoa,
- evitar deixar a password ou passwords escritas em papéis junto à sua secretária, local de trabalho ou mesmo em casa.
Telefonemas de falsas empresas
Porém, começamos a assistir em Portugal, e em larga escala, a um aumento das chamadas telefónicas, geralmente alguém do lado de lá que fala um inglês com muito sotaque, a querer oferecer assistência do nosso PC com a desculpa que fomos ou estamos infetados com malware e que nos querem ajudar, identificando-se como sendo o suporte da Microsoft (ou outro qualquer).
Em suma, o melhor conselho que lhe podemos oferecer para estas situações é desligar de imediato a chamada.
3 - Proteja a sua ligação à Internet. O uso de uma VPN pode ser uma excelente arma para começar a passar despercebido ou dificultar a vida a intenções maliciosas
Em boa verdade, o uso de uma VPN faz cada vez mais sentido. Porquê? Porque ao contrário do que muitos vaticinam, uma VPN consegue ajudar-nos a manter o nosso anonimato enquanto navegamos na Internet, de forma segura e completamente protegida.
É claro que existem dezenas e dezenas de VPN, mas podemos deixar aqui um exemplo de uma VPN que não só traz a função de esconder o nosso IP e manter a nossa segurança como ainda oferece os seus próprios mecanismos de defesa.
Neste caso em concreto apontamos à NordVPN. Mas existem outras, claro.
De uma forma muito simples, a NordVPN apresenta aos utilizadores um serviço de Virtual Private Network que nos permite criar ligações virtuais e privadas à Internet.
No fundo, trata-se de obter uma camada adicional de segurança na navegação na Internet uma vez que permite navegar de forma segura, rápida e sem que a nossa identidade (ex. Endereço IP da nossa máquina), seja partilhado com os sites que visitamos.
Por exemplo, com a utilização de uma VPN, contrariando muitos pseudo analistas de segurança, todas as nossas comunicações online são cifradas através de um túnel seguro, encriptado, por onde flui o tráfego online. Ninguém consegue ver o túnel criado pela VPN, nem ter acesso aos dados que por lá são passados.
Igualmente, é necessário garantir que subscrevemos um serviço de VPN que garanta o NO-LOG (não guarda registos da nossa atividade), para assim estarmos totalmente seguros. O exemplo que estamos a deixar, da NordVPN, é o espelho perfeito e garantia disso mesmo.
Threat Protection - proteção contra ameaças, novidade NordVPN
A Proteção contra Ameaças, ou em inglês a "Threat Protection" é uma das mais recentes características apresentada pelo serviço da NordVPN. Ou seja, fornece uma camada adicional de segurança e é essencialmente um passo para além da proteção VPN.
Simultaneamente, esta Proteção contra Ameaças tem como objectivo fulcral o de proporcionar uma navegação mais segura através do bloqueio de websites maliciosos, anúncios e trackers (localizadores), bem como ficheiros de identificação infetados com malware.
Para quem utilizar o serviço da NordVPN então poderá ativar a Proteção contra Ameaças nas suas aplicações Windows ou Mac, compatível com:
- Chrome,
- Firefox,
- Safari
- Edge.
Eventualmente, uma das grandes vantagens da Threat Protection é que o fim de 7 dias de uso gera, automaticamente, relatórios com informação sobre todo o tipo de trackers (localizadores), websites e anúncios bloqueados como também identifica todos os ficheiros maliciosos que tentaram passar por nós ou para a nossa máquina.
Por último, na questão da defesa contra ameaças, no caso desta VPN, existe um gestor e protetor de passwords do qual podemos beneficiar, como referimos no ponto anterior.
Mas como funciona essa Threat Protection ou Proteção contra ameaças?
Acima de tudo, o uso de VPN não tem de passar apenas por esconder o nosso IP ou criar ligações privadas. A NordVPN quis ir mais longe, tal como outros serviços semelhantes e inovou.
Mas como funciona esta proteção extra? Vejamos:
- Bloqueio de malwares: A Protecção contra Ameaças impede os utilizadores de visitar acidentalmente websites maliciosos, e analisa ficheiros descarregados para malwares, apagando os perigosos antes de poderem trazer quaisquer danos,
- A própria Threat Protection, ou Proteção contra Ameaças, efectua análises profundas em todos os ficheiros executáveis que tenham até 20MB de tamanho. Não são analisados ficheiros que possam conter informações pessoais, tais como PDFs ou .DOCXs,
- Alguns ficheiros em pen drives ou cartões de memória podem ser analisados para utilizadores do Windows, caso tenham sido descarregados da Internet, por exemplo.
- Rastreadores ou trackers: são bloqueados os rastreadores de terceiros, que recolhem informação privada,
- Anúncios: serão bloqueados anúncios intrusivos, tais como popups, que podem não só ser irritantes, mas também perigosos, já que alguns podem conter malware.
Em síntese, este serviço permite ficar sempre protegido. Melhor, uma vez configurado, a Protecção contra Ameaças está sempre activa, independentemente de o utilizador ter ou não uma ligação VPN ligada, funcionando como uma proteção extra em segundo plano.
4 - Redes sociais enquanto meio para ataques informáticos: cuidado!
Tanto quanto podemos assistir, o advento nas última década e meia, trouxe-nos para o bem e para o mal, a disseminação de todo o tipo de redes sociais.
Neste meandros, as engenharias sociais do engano são muito criativas e facilmente podem enganar qualquer um, mesmo aqueles mais atentos e mais cuidadosos.
Atualmente, a duplicação de perfis de marcas, celebridades ou influencers são os métodos mais comuns dos potenciais atacantes. Por outro lado, existem perfis falsos de “Giveaways” que levam as pessoas a deixarem os seus dados pessoais ou cartão de crédito em plataformas desconhecidas.
Perfil falso ou ofertas dúbias
Simultaneamente, existem perfis que enviam mensagens em massa a anunciar que foi o vencedor ou mesmo os que oferecem produtos diretamente. Num acepção ainda mais ampla, é comum o convite para conexão ou amizade de alguém que supostamente pretende vender os seus serviços sexuais.
Acima de tudo, atenção, existe em todos estes métodos ou outros não mencionados algo que os denuncia: por norma, o discurso apresentado é duvidoso e/ou tem erros de português, já que muitas vezes a tentativa de ataque é feita por hackers internacionais. É comum ver pedidos os do cartão de crédito ou para subscrever alguma plataforma que leve à partilha de tal informação.
Evite cair na patranha!
5 - Antivírus como uma ferramenta imprescíndível
Definitivamente, para terminar estas 5 dicas que ajudam a evitar ciberataques, o uso de um bom antivírus é tão importante quanto todas as dicas previamente indicadas! Não duvide.
É curioso ter-se criado nos últimos anos, especialmente entre a comunidade infomática e desde a criação do Windows Defender, aquando do Windows 8, que o uso de um antivírus criado fora do eco sistema Windows, deixou de ser necesário.
Todavia, o tema ainda é polémico, sem dúvidas. Se para uns isto é uma verdade absoluta, para outros nem por isso.
Logicamente, não pretendemos com este artigo desmistificar a questão mas sim reforçar: o uso constante do antivírus continua a ser importante não importa a marca que utiliza em especial se tivermos em conta a iliteracia digital que reina por Portugal, no utilizador comum.
Apesar disso, a escolha pessoal de cada um deve refletir o constante uso. Para quem tem dúvidas sobre qual a melhor opção do mercado, então é possível visitar um site como o AV Comparative e tentar tirar uma elação por si mesmo.
Ao mesmo tempo, marcas como Kaspersky, Eset, Trend Micro, entre outras, estão no top dos tops no que à segurança diz respeito.
Em grande medida, a recomendação de uso de um bom antivírus deve-se ao facto de muitos utilizadores comuns não terem a mais pequena ideia dos perigos que correm online.
Em outras palavras, não podemos desassociar o facto de a nossa população possuir uma pirâmide etária invertida o que leva a que muitos utilizadores nunca tenham recebido ou procurado formação na área da informática, tendo apenas descoberto como navegar na Internet e pouco mais.
Smartphones também?
Não obstante, não esqueçamos que este conselho não se restringe apenas ao uso do PC ou MAC, mas também nos smartphones e tablets, especialmente os que corram Android. A exposição a determinados sites pode ser demasiado perigosa e nociva, colocando em causa não só a nossa privacidade como também a nossa informação pessoal.
Nunca esqueça a melhor dica contra ciberataques
A melhor proteção contra ciberataques é um uso constante do bom senso e cuidado do utilizador. Nunca entre em sites suspeitos, nunca clique em links suspeitos nem nunca execute ficheiros desconhecidos. Isto somente para começar.
Este artigo tem mais de um ano
Linux – sistema operativo de eleição. Evite o microsoft windows a todo o custo
Firewall – por defeito, bloquear tudo o que entra, excepções somente a de abertura criteriosa de portas só para determinados endereços, como impressoras, entre outros.
uso de sftp , openSSH, OpenVPN , certificados, encriptação do filesystem com LVM e journaling, uso de quotas no filesystem
Router com NAT
Backup’s para tape ou storage. Backup’s on-line e off-line em mais que um local físico.
Só ter os serviços estritamente necessários a correr, tudo o resto desligado e não instalado no sistema.
Ter instalado o SELinux, com MAC (Mandatory Access Control) e DAC (Discretionary Access Control)
Obrigatoriedade de só localmente se poder aceder à conta do root e restringir as pessoas que podem aceder à conta de root, definir quais os comandos que podem ser usados
Utilizar o firefox e o google chrome, definir que de cada vez que o browser é fechado, apagar todos os cookies e limpar a cache
usar a extensão noscript no browser e bloquear por defeito o código javascript
obrigar o browser a usar o https
ter um bloqueador de publicidade instalado
Ter uma password por cada servidor , serviço ou site. As password’s não devem ser possíveis de aceder via internet
Artigo muito bom. Parabens ppware !!!!
+1
” Evite o microsoft windows a todo o custo, de preferência o pirateado”
+1
Em 28 anos que uso PC, só 1 vez fui vítima de uma tentiva de Ransonware:
Há pouco mais de 4 anos atrás, na página inicial do Sapo.pt. É que existiam anúncio de uma empresa de publicidade, num desses anúncios estava malware que infectou o Chrome. Esse malware apresentava uma página da PSP a exigir o pagamento de uma multa e estava a iniciar a encriptação do computador… reinício forçado, modo de segurança e removi aquilo.
Browser iniciado sem página, instalar um bloqueador de anúncios. Voilá, estamos em 2022, nunca tive qualquer problema.
E mudar a password não é solução… no mail profissional chego a receber 3000 mensagens diárias, com logos que parecem ser de muitos serviços que uso, a dizer que foram alvo de ataque informático e que é preciso mudar a password… spamm que cheguei a ter 1 milhão na pasta.
“na página inicial do Sapo.pt” ou seja, no Pornhub.
Muito bom este artigo, cheio de bons conselhos.
É um facto que muitos utilizadores não sabem nem compreendem que navegar na Internet é um risco muito grande nos dias de hoje.
Outras dicas podem ser lançadas, mas a base está toda aqui.
Tudo dito!
Na verdade o Windows é a base de todos os problemas mas também é verdade que uma elevada percentagem de utilizadores em todo o mundo, não apenas aqui no nosso Portugal, utilizam o Windows.
Gostei do alerta à faixa etária que nunca esteve tão assertiva: os mais velhos não tem a mínima ideia de proteção. É pegar no PC e no (pouco) que aprenderam e siga.
E nos smartphones a mesma coisa, navega e siga para a fente que é Lisboa!
os meus agradecimentos antecipados a quem me poder dar uma ajuda, tenho o desconforto de ter um um engraçadinho que se encarrega de me bloquear o teclado temporariamente ( uma hora duas no máximo desconheço quem é o inteligente será que mudando de router resolvo o problema ou exite algo mais sofisticado que posso fazer ???
O router das operadores tem um user/password por omissao. É necessário alterar essas credenciais. Dependendo do router, pode conter software que de para ver quem esta ligado. Verifique todos os equipamentos que estao ligados, o que lhe parecer suspeito, bloqueie.
Para evitar ciberataques:
– Não usar gestores de passwords.
São convenientes, para si, e para quem quer furtar a informação pois só tem de ir a um único sítio buscar tudo.
Encriptação/ cifra AES 128/ 192/ 256 bit e essas tretas só serve para proteger a informação enquanto ninguém legítimo aceder à informação… assim que alguém acede algum programa maligno pode capturar a informação usada para aceder.
A excepção é se usar por exemplo um mini-tablet com uma versão modificada de um sistema operativo desenhado para máxima segurança e que não tem sequer qualquer acesso a módulos de rádio (Wi-Fi, 3G, 4G, 5G, Bluetooth, NFC, etc.) e é aí onde corre o gestor de passwords.
– Não confiar em ligações seguras https .
Verifique o certificado digital do web site, em web sites importantes (de compras, bancos, etc.) geralmente está indicado não só quem emitiu o certificado mas também para quem (nome e morada física). Embora as entidades certificadoras possa ser enganadas, é um pouco mais difícil do que apenas obter um certificado aleatório.
– Criptomoedas.
Se for daqueles que acha boa ideia ter criptomoedas (eu não acho), somente carteiras físicas (Trezor Wallet, Ledger Wallet, ShapeShift Keepkey, etc.) são sequer algo a considerar para guardar a informação e fazer as transacções. O que estiver algures on-line é do “povo”… e não seu, pelo menos é assim que deve pensar.
– VPN’s.
Dê preferência ao protocolo de comunicação Wireguard.
Wireguard é mais difícil de configurar de forma errada entre o cliente e o servidor, e é muito mais rápido que os outros protocolos. Digamos que é bom para um nível de protecção de “informação sensível, mas não secreta”.
Todos os outros protocolos de comunicação ou são inseguros, ou muitas destas empresas configuram mal os ficheiros de configuração dos mesmos e então continuam a correr o perigo de ser interceptados, devido a erros estúpidos como não verificar se está mesmo ligado a um servidor legítimo.
Ao ligarem-se a uma VPN passam a também confiar na empresa que vos presta o serviço, assim como nas empresas de alojamento onde essa mesma empresa tem os servidores. Já várias pessoas que fizeram coisas erradas foram apanhadas apesar de usarem VPN’s… logo não é algo no qual possam confiar para casos de vida ou morte ou de ir parar à prisão. É uma indústria altamente rentável, mas ninguém quer ir preso porque algum idiota algures fez algo de errado.
– Antivírus.
Quando instalam um antivírus tenham em atenção que é mais uma empresa que tem acesso a todo o vosso dispositivo! E tanto a empresa, como alguém que explore vulnerabilidades nos produtos deles, poderão espiar-vos ou utilizar o vosso dispositivo para actividades malignas a coberto de uma suposta “protecção”. Existem muitas acusações de que a Kaspersky é utilizada para espionagem por parte do estado Russo… é de supor que todos os outros países fazem o mesmo com as suas empresas de antivírus.
– Chave de segurança física FIDO2.
São poucos os serviços online que suportam chaves de segurança física FIDO2 (por vezes nem FIDO U2F), mas aqueles que suportam permitem um nível de segurança teoricamente superior em dispositivos sem programas malignos em funcionamento, porque o utilizador não pode ser enganado a autenticar-se num web site falso já que vai assinar um domínio diferente inutilizando essa mesma assinatura junto do web site real: resultado, o atacante não consegue entrar.
O problema como de costume é que quase todos os web sites têm forma de contornar tal protecção (ex.: código único de backup, código para o e-mail ou sms, etc.) e é assim que os atacantes entram à mesma nas contas. A única vantagem é que dá oportunidade à pessoa menos burra de perceber que algo está errado e de parar antes de dar acesso total à conta. Também pode evitar ataques em larga escala se alguém furtar a base de dados do serviço e conseguir decifrar os dados de acesso.
– Não usar o número de telefone para recuperação.
Alguns serviços dizem que o número de telefone é útil para proteger a sua conta. A realidade é que não é, os atacantes incorporam tal nos seus ataques, e muitos conseguem simplesmente arranjar um cartão qualquer de telefone e convencer o seu operador a redireccionar as mensagens do seu número para o cartão deles… isso acontece tanta vez que alguns serviços muito atacados no passado se viram obrigados a deixar de utilizar tal método… infelizmente os legisladores são burros que nem uma porta e por isso ainda permitem tal.
Na realidade muitas empresas simplesmente querem o seu número de telefone para marketing e/ ou identificação de pessoas… e usam o argumento da segurança como desculpa.
Boa noite,
Uma dúvida, no artigo vem a falar do uso de uma VPN, neste caso a NordVPN, está é gratuita ou não?
Sabem informar quais as gratuitas? Já tentei usar mas querem cobrar dinheiro .
Erro n.º 1, não há nada grátis e tudo tem o seu preço…..