Princípio básico da cibersegurança: estar alerta

Estar alerta é algo que temos que fazer sempre, como adultos, como empregados, como pais, como chefes, como estudantes, como cidadãos.

Na nossa vida, no dia-a-dia, a maioria das atividades devemos desenvolvê-las estando alerta, uma atitude alerta evita riscos desnecessários, e evita acidentes. É preciso estar alerta ao subir e descer escadas, ao atravessar uma rua mesmo tendo prioridade pelo facto de estar na passadeira, ao conduzir mesmo estando na nossa faixa de rodagem, uma atitude alerta perante tudo o que nos rodeia. Estar alerta é necessário quando interagimos com um cliente, ou com um fornecedor para evitar mal-entendidos, ou possíveis perdas; igualmente estamos alerta quando os nossos filhos brincam no parque e quando interagem com outras pessoas.

Em relação à cibersegurança, estar alerta é o meu primeiro conselho. Isto envolve cada atividade eletrónica que realizamos.

Neste ano, recebi três telefonemas de alguém que disse ligar-me em nome da Microsoft. Disseram-me pelo telefone que a razão do telefonema se prendia com o facto de ter um vírus no meu computador, e pedia-me para abrir um determinado browser e ir a um endereço que me ia indicar. Se o telefonema fosse verdadeiro as implicações com a minha privacidade seriam maiúsculas, a começar pelo meu número de telefone, e por monitorizar o meu PC.

Outro telefonema que recebi este ano foi de alguém que dizia ligar da parte de um banco, e para “minha segurança” precisava que eu lhe fornecesse dados pessoais para me identificar, além disso telefonou depois das sete da tarde. Ao dizer-lhe que não lhe daria dados meus até se zangou e disse que era para minha segurança, pois ela (era uma mulher) não sabia quem poderia atender o meu telemóvel. Os bancos e as empresas sérias não telefonam para pedir ou para dar informações privadas e confidenciais. Os utilizadores é que não podem validar se quem lhes telefona é mesmo quem diz ser, no entanto essa pessoa que faz o telefonema possui o número do destinatário.

Nos correios eletrónicos recebemos muitas mensagens que nos deveriam colocar em alerta máximo. Alguns exemplos:

• O email dos Correios. Um email que nos diz que recebemos uma encomenda e inclui links para iniciar a diligência. Se estivermos alerta sabemos que não estamos à espera de nenhuma encomenda, além disso, se assim for, o normal é recebê-la fisicamente e não por email, e, claro, não fornecemos o nosso email aos Correios para que estes enviem um email em vez de entregar a encomenda.
• A conta de luz. Um email de uma empresa de eletricidade ou de qualquer outro serviço que nos informa que a fatura já está disponível. A razão mais fácil para descartar o email é o facto de não termos contratos de serviços dessa empresa, e depois porque não costumamos receber a conta desta forma.
• Sequestro de passwords. Uma mensagem de email que diz ter as nossas passwords e pede um resgate. Se assim fosse, seria normal que usassem as passwords para roubar informações ou causar danos. Normalmente é falso, mas recomendo que mude imediatamente as suas passwords (comece pelo serviço de email), e claro que não é a partir do email recebido.
• A oferta de emprego. Alguns cibercriminosos enviam emails a oferecer um emprego para o qual não enviou qualquer oferta, nem interagiu a esse respeito. Se lhe der seguimento certamente ser-lhe-á pedido dinheiro para gerir a imediata incorporação, sem entrevistas, nada, só porque “somos os melhores do mundo”.
• Vírus ou problema técnico. Outro dos clássicos é enviar uma mensagem a dizer ou que tem um vírus no computador ou que tem problemas técnicos, e enviam novamente links para “resolver o problema”. Se for verdade, essa empresa é o problema e não a solução, pois está a monitorizar o computador. Não é assim que funciona.

A juntar a estes cenários, quando se lê com atenção encontram-se muitas inconsistências na mensagem, por exemplo:

• O nosso nome está mal escrito
• Tem erros de ortografia
• O português é bastante mau, e mal redigido
• O endereço de correio eletrónico a partir do qual se envia a mensagem não representa a instituição
• A mensagem costuma estar “mal formatada”, ao olhar para ela o aspeto é péssimo, descuidado, algo que em geral uma empresa séria não faria

Não são só emails ou telefonemas. Os sites fraudulentos estão em abundância, e há também mensagens publicitárias fraudulentas como aquelas que dizem que a sua ligação é lenta. Pesquisar no Google e navegar diretamente nos sites propostos nos resultados não é uma atividade segura, o Google não discrimina entre um site com notícias falsas, ou um real.

O melhor, diante de todas as situações, é estar alerta. O melhor sistema de identificação é a nossa própria suspeita, da mesma forma que o fazemos no mundo não digital, o melhor é visitar o mundo digital com uma atitude crítica.