"Em dois anos mais que duplicaram os cibercrimes. Houve uma explosão"
Ataques a hospitais públicos, a operadores de telecomunicações, grupos de comunicação social, a partidos, têm sido faces visíveis do cibercrime. Quem nos está a atacar? Há um padrão? Como tem evoluído?
Os ataques informáticos têm vindo em crescendo. De facto, desde início do ano temos assistido a alguma frequência de ciberataques contra empresas e instituições que constituem infraestruturas críticas ou são detentoras de informação sensível e valiosa, ações essas que puseram em causa o próprio funcionamento dos sistemas dessas organizações.
Esse crescendo não coincidiu logo com a fase que antecede à invasão da Ucrânia? Até porque o risco de ciberataques por parte de grupos ligados à Rússia foram considerados uma ameaça a segurança interna no âmbito do Sistema de Segurança Interna...
É uma linha que não podemos desprezar. Isto porque percebemos que a motivação que está subjacente a alguns deste tipo de ataques foge do normal perfil, que é a motivação patrimonial. Se pensarmos que existiram e existem ataques onde a motivação patrimonial não foi evidente, que é o caso que tem sido noticiado, da Impresa, ficamos com uma preocupação diferenciada porque temos de perceber então qual é a motivação. Houve um erro dos atacantes? Houve destruição dos dados? Com que objetivo?
E já têm resposta a essas perguntas?
Estamos ainda a trabalhar nisso. A primeira avaliação que fizemos foi que houve mesmo destruição de dados. Mas isso não quer dizer que, com a investigação, não se venha a recuperar alguma da informação. Isso era o que mais desejaríamos.
Tem sido um padrão nestes últimos ataques que vieram a público?
Em relação a dois ou três ciberataques deste tipo o padrão até se repete, o que pode indicar que estamos a falar do mesmo grupo de atacantes. Um deles, que já foi noticiado, foi grupo Lapsus$, em relação ao qual já foram constituídos arguidos em Londres.
Está a falar do ataque à Vodafone e à Impresa. A BBC noticiou que a polícia inglesa tinha feito detenções de suspeitos, entre os quais um hacker de 16 anos, relacionados com os casos. Qual foi o envolvimento da PJ? Essa notícia nunca foi confirmada cá...
O envolvimento da PJ foi total. Tivemos em cooperação estreita desde início, quer com as autoridades inglesas, quer com as norte-americanas, com as quais, aliás, começámos a investigação. Já posteriormente aos ataques em Portugal foram atacadas pelo mesmo grupo outras grandes empresas nestes países.
Mas há ligação destes grupos à Rússia ou a atores estatais?
Não temos ainda evidências concretas e que haja alguma ligação entre estes ciberataques a conflitos entre Estados. Mas sabemos que, quando estamos a falar de cibersegurança, há quem eventualmente coloque pessoas a soldo que atacam em nome individual a coberto do crime organizado ou até de Estados.
O que sabem mais sobre estes grupos que têm atacado em Portugal?
A questão destes grupos é muito ingrata para a investigação. À partida não sabemos quem são. O nome é o que eles utilizam na reivindicação. Quem é o líder, quem integra, o que motiva que alguém seja considerado membro do grupo? Só porque interagi um dia no chat? Só com uma investigação, normalmente exaustiva e demorada podemos chegar a conclusões. É esse trabalho que está a ser feito.
Como se faz uma investigação destas? Quais são as principais dificuldades com que se deparam?
São investigações muito complexas que têm em conta, por vezes, este elemento único, que são os dados informáticos. Se pensarmos que não existem testemunhas sobre estes ilícitos, a prova terá de ser essencialmente técnica e depende muito de opiniões especializadas.
Estamos a falar de logs, de registos, desvios de padrões do funcionamento das instituições, através dos quais se conseguirá saber que houve um utilizador que se registou indevidamente naquela organização. Depois com a nuance que é a de ser possível deferir o impacto no tempo.
CitaçãocitacaoEstes indivíduos, e já o detetamos em ataques que investigámos, podem ter-se introduzido na instituição há 5, 6, 7 meses e só produzir o resultado no final desse tempo.
Estes indivíduos, e já o detetamos em ataques que investigámos, podem ter-se introduzido na instituição há 5, 6, 7 meses e só produzir o resultado no final desse tempo. Daí que tenha de haver, por vezes, um esforço acrescido na recuperação dos registos vários meses para trás. Esses são os que chamamos de indicadores de cibercrime que é aquilo que é anormal nos registos informáticos e muitas vezes nem é evidente.
De alguma forma o virem a público estes casos desperta um pouco o cuidado? Sente que as empresas e instituições estão mais alerta e colaboram mais com o vosso trabalho?
É preciso ter noção que, em geral, as organizações já têm uma clara perceção de que a cibersegurança tem de ser uma aposta. Se adotam ou não as medidas necessárias é um receio que tenho.
Mas repare nesta coincidência: temos grandes empresas, de referência, que sabemos que apostam na cibersegurança, a serem atacadas. E têm mecanismos de defesa, até com empresas que suportam essa proteção. Se baixarmos um pouco o nível da maturidade das empresas, deixa-me muito preocupado saber se efetivamente estão mesmo apostar na cibersegurança e se até que ponto conseguem detetar que a sua informação já pode estar a ser acedida ou exfiltrada.
CitaçãocitacaoPodemos estar, eventualmente, a falar de cifras negras. Crimes que não são denunciados. Uma característica deste tipo de ciberataques é que, numa primeira fase, começam por ser silenciosos. As organizações nem se apercebem.
Podemos estar, eventualmente, a falar de cifras negras. Crimes que não são denunciados. Uma característica deste tipo de ciberataques é que, numa primeira fase, começam por ser silenciosos. As organizações nem se apercebem. Se não houver logo uma destruição de dados que implique que uma empresa deixe de funcionar, durante um tempo, o objetivo do atacante pode ser só retirar informação.
Já tiveram casos desses?
Houve situações em que percebemos que o objetivo único dos atacantes era estar em escuta permanente. Há um modus operandi que é o CEO Fraud, que consiste em entrar, por exemplo, no email do CEO da empresa - são às centenas esses inquéritos - capturar as credenciais e o hacker é como se fosse o titular do email. Durante dois ou três meses a atividade desse dirigente está a ser monitorizada. O cibercriminoso sabe que, mais tarde ou mais cedo, vai passar por ali um negócio, que implica uma transferência de dinheiro. Nessa altura, basta substituir o IBAN para o valor ir parar a outra conta. Estamos a falar de transferências de centenas de milhões de euros.
Tivemos o Rui Pinto, mais recentemente um outro português foi detido em Inglaterra, numa operação coordenada entre o FBI e a Europol, (Operação Torniquete) por suspeita de ser o líder de uma organização de hackers que roubava e vendia informação. Ficou surpreendido de ver mais um hacker português numa rede destas?
Não fiquei, não. Mas isso não significa que Portugal seja um paraíso para prática deste tipo de crimes. O ciberespaço é indiferenciado. No entanto temos pessoas, neste caso miúdos, com apetências. Neste caso concreto foi criada uma plataforma que disponibilizava de ferramentas de hacking com bases de dados que tinham sido exfiltradas.
Este suspeito trabalhava a partir de casa em Portugal?
É o que está indiciado, sim. Um dos servidores, que cremos ser o mais importante, foi apreendido em Portugal. Começou com 16 anos.
E o Rui Pinto, sempre está a colaborar com a PJ?
Esse é um caso que ainda está em julgamento. No entanto, como foi público, a determinada altura houve alguma disponibilidade da parte do Rui Pinto em assumir alguma colaboração, mas no âmbito do seu inquérito em concreto. Nem lhe chamaria colaboração. Mais uma postura diferenciada daquela que no início teve.
Como é que a PJ recruta os seus ciber-investigadores? Vão buscar hackers também?
O recrutamento dos investigadores do cibercrime para a PJ é feito exatamente como o de todos os outros inspetores. Concurso e curso geral. Depois, claro, vamos vendo os que têm mais apetências e esses vão fazendo formação, com as nossas congéneres ou noutros organismos internacionais, como a Interpol e a Europol.
CitaçãocitacaoGrande parte da cibercriminalidade tem por base a fragilidade humana. É essa a vulnerabilidade de 80% dos casos que investigamos.
Grande parte da cibercriminalidade tem por base a fragilidade humana. É essa a vulnerabilidade de 80% dos casos que investigamos. Em algum momento houve uma pessoa que forneceu uma password, concedeu um acesso, ou se descuidou com os seus dados.
A Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T ) foi criada em 2017. Como se têm reforçado para fazer face a esta escalada de inquéritos?
Face ao aumento exponencial de investigações, a Unidade só pode colmatar essa subida com mais meios. Na medida do possível a direção nacional da PJ tem dotado a UNC3T com meios. Nesta última colocação de inspetores recebemos 20 novos efetivos, cerca de 30% dos novos elementos.
Mas esse reforço também aconteceu nas outras secções do país que investigam estes crimes. Em números redondos, o crime informático e o crime praticado com recurso a meios informáticos representará cerca de 50% da criminalidade da PJ.
Costumo dizer que são crimes velhos praticados nas novas plataformas. Vinho velho em garrafas novas. Aqueles modus operandi que conhecíamos como de interação pessoal entre o criminoso e a vítima, como nas burlas, por telefone, passou a ser feito por estes novos meios.
Quantos inquéritos tem neste momento em mãos? Pode caracterizá-los um pouco e como têm evoluído nos últimos anos?
Houve um aumento muito significativo de cibercrimes. Só a Unidade de Cibercrime de Lisboa, que constitui uma amostra bastante razoável, em 2019 tivemos 2236 inquéritos, em 2020 houve um aumento grande para 3376 e em 2021 com 4 664. Ou seja em dois anos mais que duplicaram os cibercrimes. Há aqui uma explosão.
Que tipo de crimes estão aqui incluídos?
Os ciberataques de que falámos inicialmente, as fraudes informáticas, que são a maior fatia, os crimes relacionados com os meios de pagamento eletrónico, com as moedas virtuais e, mais recentemente, o MBWay, especificamente português, e a pornografia de menores.
E têm aumentado também as detenções?
Fizemos 80 detenções em 2021, praticamente o dobro das de 2020 (44), embora nesse ano tenha havido uma diminuição em relação a 2019 (75), que atribuímos à pandemia.
E 2022, já têm dados que suportem o aumento a partir de janeiro que nos referiu?
Os únicos dados que existem indicam que as entradas de inquéritos estão com uma cadência semelhante à do ano passado.
Mas tinha dito que notaram uma maior frequência de ataques...
Sentimos um aumento dos ciberataques contra empresas e organizações sim. Mas também é verdade que a visibilidade que passou a haver sobre a cibersegurança tem motivado mais denúncias.
Como se podem defender as pessoas e as empresas destes ataques? Por vezes parece um pouco bizarro o tipo de burlas que são usadas e como as pessoas se deixaram enganar...
É preciso ver que as vítimas são quase sempre pessoas que usam as tecnologias e por isso até têm um certo nível de formação. Quem é infoexcluído normalmente não é vítima. Ninguém pode dizer que desta água não beberei.
As técnicas de engenharia social utilizadas pelos criminosos para ludibriar e fazer crer as pessoas que estão a falar com entidades verdadeiras é tal que mesmo pessoas que têm conhecimentos e que usam diariamente a tecnologia, acabam por ser enganadas.
São muitas solicitações e aplicações em que cedemos os nossos dados. Qualquer um de nós pode ser vítima. O aviso que posso deixar é que tenham a perceção de que a realidade digital tem de ser encarada como a realidade física.
CitaçãocitacaoNão podemos ter os nossos dados expostos, temos de segmentar a informação que damos e a quem podemos dar, não acreditar à primeira em tudo o que nos dizem, desconfiar, certificar-nos, não repetir passwords, usarmos também tecnologia que nos proteja. Principalmente não facilitar e desconfiar.
Não podemos ter os nossos dados expostos, temos de segmentar a informação que damos e a quem podemos dar, não acreditar à primeira em tudo o que nos dizem, desconfiar, certificar-nos, não repetir passwords, usarmos também tecnologia que nos proteja. Principalmente não facilitar e desconfiar.
Existe uma estratégia pública coordenada para a prevenção destes ataques?
Felizmente há algum tempo que temos uma colaboração estreita com o Centro Nacional de Cibersegurança, com os Serviços de Informações e com o Centro Nacional de Ciberdefesa...
O G4?
Sim. Fazemos reuniões frequentes e há uma avaliação permanente dos problemas de cibersegurança e análise dos próprios incidentes. A cibersegurança e o cibercrime são duas faces da mesma moeda.
Quem trata da cibersegurança quer repor o "negócio" o mais rapidamente possível e, numa segunda fase, essa retoma dos serviços tem de ter na base a recuperação dos indícios que possam ter a ver com o crime. Sabemos que 80 a 90% das situações acabam por redundar em crime. É muito importante que as organizações tenham a perceção das necessidades que a investigação tem para chegar aos autores dos crimes.