“Quando a esmola é demais, o santo desconfia”. Este provérbio popular vem de longe e ainda se mostra útil em muitas situações do cotidiano. Serve também para este nosso mundo cada vez mais conectado e sujeito à ação de aproveitadores que surfam nas ondas virtuais. Um exemplo recente: em junho, o site Café História noticiou uma fraude que está se tornando comum nos meios acadêmicos, especialmente depois do aumento das atividades remotas. Trata-se do “phishing” (ou “phishing scam”): um golpe praticado por um falsário que se faz passar por uma empresa ou pessoa conhecida a fim de conseguir dados da vítima.
Para saber como devemos lidar com este e outros tipos de ataques virtuais, conversamos com o técnico-administrativo Aroldo do Santos Brum, analista de Tecnologia da Informação (TI) e gestor de Segurança da Informação e Comunicações da UFRRJ desde 2012. E o principal conselho que ele nos deixou segue de perto aquele velho provérbio do “santo desconfiado”: “Qualquer oferta vantajosa demais, busque confirmar diretamente a instituição ou pessoa citada – sem usar os meios de contato exibidos na mensagem falsa, é claro. E, na dúvida, não siga em frente, não execute a ação sugerida na mensagem (clicar no link, compartilhar, ver o vídeo, instalar o app etc.) ”, disse Brum.
Não é novidade
A matéria veiculada no Café História reportou um caso ocorrido em 4 de junho, no Departamento de História da Universidade de Brasília (UnB), quando docentes receberam um e-mail em nome de uma colega aposentada que os convidava a prestar serviços profissionais remunerados. Na verdade, um golpista se fez passar pela professora, adicionando detalhes que davam mais veracidade à mensagem, como foto, assinatura, logo da instituição e link para o currículo Lattes. Entretanto, um pequeno erro na escrita do sobrenome da docente revelou a fraude aos destinatários mais atentos. Além deste caso, o Café História citou outros ocorridos em universidades federais, entre elas a de Minas Gerais (UFMG), que registrou um caso em fevereiro deste ano, e a de Lavras (Ufla), que alertou sua comunidade em nota publicada em junho de 2020.
Brum lembrou que a Rural já passou por um caso de “phishing” em outubro de 2016, levando a Coordenadoria de Tecnologia de Informação e Comunicação (Cotic/UFRRJ) a emitir um alerta aos usuários no Portal da Universidade. O analista de TI detalha a farsa elaborada pelo estelionatário cibernético:
“Um golpista enviou um e-mail se passando por um professor da UFRRJ, em suposta parceria com uma colega da Universidade Federal do Paraná (UFPR). Era oferecida uma oportunidade de trabalho temporário, com vaga garantida para quem fosse indicado por ele. Mas para participar do processo seletivo a pessoa deveria pagar uma quantia de R$ 175, e enviar o comprovante com seus dados pessoais e de contato. O impostor, ao receber esse primeiro valor, entrava em contato com a vítima por telefone, fingindo novamente ser o professor. Ele então dizia que seu carro enguiçou a caminho do local de realização das supostas atividades, mas que teria esquecido o cartão de crédito em casa. Aí ele pedia que a pessoa fizesse uma transferência bancária para o ‘mecânico’ – dessa vez pedindo um valor maior, obviamente”.
Aroldo Brum ainda relatou o episódio em que uma conta de e-mail teve credenciais de acesso comprometidas – “Provavelmente por ataque de ‘phishing scam’”, afirmou. “O atacante utilizou de automatização externa para usar essa conta e enviar mensagens de spam para vários destinatários no exterior. Isso ocasionou o bloqueio temporário do recebimento de e-mails @ufrrj.br”, explicou.
Protocolos e ferramentas de segurança
Segundo Aroldo Brum, o recebimento de e-mails de “phishing scam” é comum, e medidas de contenção já são programadas por meio de dispositivos automáticos que bloqueiam grande parte das tentativas. O webmail da UFRRJ, por exemplo, consegue deter mais de 60% das tentativas de entrega de mensagens, que são reconhecidas pelas ferramentas de segurança como prejudiciais ao usurário – spam, phishing, vírus etc.
“Também adicionamos procedimentos operacionais para diminuir a chance de sucesso desses golpes, quando os mesmos conseguem romper essa contenção automatizada e chegam às contas de e-mail institucionais. Atualmente, notificamos os provedores envolvidos através do apoio do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (Cais/RNP), que na maioria dos casos ‘tira do ar’ a estrutura usada pelos atacantes em poucas horas”, disse o técnico.
A interação com os usuários também é importante nessa batalha contra os gatunos da rede. Nesse sentido, a Cotic mantém um canal de contato pelo e-mail abuse@ufrrj.br, para que sejam enviadas notificações de suspeita de golpe. “Assim que tomamos conhecimento, acionamos o apoio do Cais/RNP e demais órgãos pertinentes, para que possamos mitigar o risco de concretização desses golpes ou, no mínimo, interromper a continuidade dos mesmos”, ressaltou o analista. “Quando a tentativa ocorre em larga escala, publicamos nota no Portal da UFRRJ e demais meios de comunicação com a comunidade universitária. Ainda temos de obrigatoriamente avisar o Departamento de Polícia Federal se o caso envolver crime eletrônico contra a instituição”.
Investimento e treinamento
Servidor da Universidade desde 2011, Aroldo Brum avalia que seu setor tem experimentado avanços, especialmente a partir do investimento em equipamentos de segurança de rede, além do aperfeiçoamento da capacidade de proteção e de detecção de riscos. Para desenvolver ainda mais a estratégia de defesa, Brum salienta que é fundamental a qualificação da equipe: “Com equipamentos tão especializados e complexos, o treinamento adequado possibilitaria um melhor entendimento para usar todas as funcionalidades, permitindo uma implantação mais ágil e segura das diversas possibilidades de automatização na identificação e tratamento de ameaças”.
Atualmente, o gestor de Segurança da Informação da Rural conta com apoio de dois bolsistas, que o auxiliam nas tarefas de monitoramento e atendimento de incidentes. De acordo com Brum, sua seção também elabora tutoriais para a equipe técnica da Cotic e trabalha na pesquisa de novos recursos de proteção. “Temos nos preparado para avançar em materiais e ações para conscientização da comunidade universitária”, completou.
Setor público
Entre as principais ameaças virtuais sofridas por instituições públicas, Aroldo Brum cita: o comprometimento de dados de acesso às redes e sistemas por usuários que compartilham indevidamente essas informações; o “ransomware”, que é a infecção de dispositivos para sequestro de dados; o uso de “botnets” (máquinas infectadas, controladas remotamente); e equipamentos de rede wireless instalados por usuários sem a participação dos técnicos de TI, expondo a rede interna institucional a acessos indevidos.
Com tantas ameaças, será que o setor público está bem preparado?
“Tenho visto uma melhoria com a adoção de soluções de e-mail mais modernas, em convênio com empresas como a Google e a Microsoft, por exemplo, que possuem mecanismos de proteção mais eficientes que aqueles de que dispomos atualmente. O que pode ser ainda mais trabalhado é a conscientização dos usuários. Pois, seja qual for o meio utilizado para envio do ‘phishing scam’ (WhatsApp, mensagem de texto, e-mail ou ligações), a falta de conhecimento ou de atenção do destinatário é fator determinante para o sucesso ou não do golpe”, alertou Brum.
Fique ligado
Então, parece que o usuário tem um papel determinante em sua defesa contra os golpes virtuais. Na linha do “seguro morreu de velho”, vale a pena seguir algumas recomendações de um profissional com tantos anos de combate nas trincheiras da segurança de rede:
“Manter os sistemas operacionais dos dispositivos atualizados, não instalar aplicativos de origem não oficial e ter alguma solução antivírus pode ajudar bastante. Porém, o entendimento de que esses golpes costumam aproveitar gatilhos emocionais da busca por vantagens, curiosidade ou comoção sobre algum assunto em evidência (para atrair a atenção do usuário e convencê-lo a clicar e espalhar a mensagem falsa), já nos deixa em estado de alerta quando nos deparamos com esse tipo de mensagem”, aconselha Brum.
Mas ele tem mais a dizer:
“Também ressaltamos a importância de não compartilhar as credenciais de acesso ao e-mail da Rural e de nenhum outro sistema. Devemos sempre nos lembrar de que essas credenciais são pessoais e intransferíveis. Equipamentos de rede – como roteadores sem fio e switches – devem ser instalados com a participação da equipe técnica da Cotic, para estar em conformidade com a proteção que nossos aparelhos podem fornecer. E não devemos utilizar softwares piratas, pois geralmente os mesmos trazem códigos maliciosos que colocam o dispositivo sob controle de atacantes que terão acesso aos dados ou utilizarão os recursos de armazenamento/processamento/rede para finalidades criminosas”.
Para quem quiser se aprofundar – e não dar mais cliques para os golpes – a RNP criou um Catálogo de Fraudes com mais de 12 mil amostras, incluindo conselhos para o usuário se proteger. Acesse-o em: https://www.rnp.br/sistema-rnp/cais/catalogo-de-fraudes
Na UFRRJ, a comunidade acadêmica pode contar com suporte técnico pelo e-mail cotic@ufrrj.br. Para tratar de incidentes de segurança da informação, o canal é o abuse@ufrrj.br.
Por João Henrique Oliveira (Coordenadoria de Comunicação Social/UFRRJ)