Não obstante a sofisticação técnica do malware actual, frequentemente os ciber-criminosos tentam explorar as fraquezas humanas como forma de difundir os seus programas. O que não constitui surpresa. Os humanos são, normalmente, “o elo mais fraco” de qualquer sistema de segurança. A protecção das casas é disso exemplo: pode ter o melhor alarme anti-roubo do mundo mas, se não o configurar, este não oferece qualquer tipo de protecção. O que é igualmente verdadeiro para a segurança online. Os ciber-criminosos continuam a usar a engenharia social de forma alargada, ou seja, a “seduzir” e enganar as pessoas levando-as a fazer algo que põe em causa a sua segurança online.

O que é comprovado pelo êxito recorrente dos embustes de phishing, projectados para atrair pessoas a sites falsos e aí divulgar informação pessoal, como nomes de utilizador, passwords, PINs e quaisquer outros dados passíveis de uso pelos ciber-criminosos. O clássico embuste de phishing assume a forma de um e-mail prospectivo, “enviado” para milhões de endereços na esperança de que um número significativo de pessoas “caia” na armadilha e clique no link incluído no e-mail. Estes ataques são também realizados de forma regular.

Todavia, à semelhança dos “carteiristas”, os embusteiros online privilegiam as multidões. Dado o crescente número de pessoas que usam o Facebook, MySpace, LinkedIn, Twitter e outras redes sociais, não constitui surpresa que os cibercriminosos tenham “em mira”, cada vez mais, esses serviços. Podem usar contas “sequestradas” no Facebook para enviar mensagens contendo links para programas maliciosos. Ou difundir "tweets" contendo links, mas escondendo o verdadeiro destino através do recurso a um serviço de encurtamento do URL. Ou podem simplesmente fazer-se passar por um amigo “encalhado” num país distante, que necessita desesperadamente de fundos para regressar a casa. Nenhuma destas abordagens é específica das redes sociais: os cibercriminosos estão simplesmente a reaplicar esquemas que têm gerado resultados no passado.

A “vulgarização” da “engenharia social” é igualmente evidenciada pelo aumento dos programas de "scareware". Tais fraudes começam com uma mensagem pop-up num website, prevenindo que o seu computador está infectado e que necessita de “descarregar” um programa antivírus gratuito para remover o malware supostamente encontrado. Mas, após “descarregar” e executar o programa, este informa-o de que precisa da versão "completa" para desinfectar o computador - e de que tem de pagar por isso. Evidentemente, com este esquema os ciber-criminosos ganham, potencialmente, duas vezes: não só se apoderam do seu dinheiro sob falsos pretextos, como passam a conhecer os detalhes do seu cartão de crédito.

Um dos problemas dos ataques baseados em “engenharia social” é o facto de constituírem um “alvo em movimento”: as sucessivas “investidas” nunca se assemelham. O que torna difícil para as pessoas distinguir o que é, do que não é, seguro.

Naturalmente, as pessoas não são vulneráveis apenas devido à falta de consciência. Por vezes, a sedução de conteúdos áudio ou vídeo gratuitos, ou de fotos da mais recente celebridade nua, pode levar as pessoas a clicar num link que deveriam simplesmente ignorar. Frequentemente, o senso comum sugere que, se algo parece bom demais para ser verdade, provavelmente é. No entanto, o mesmo senso comum, pode não permitir o entendimento de que determinada acção - neste caso, clicar no link - pode ser prejudicial.

Por vezes as pessoas escolhem “atalhos” a fim de facilitar a vida, subestimando, simplesmente, as respectivas implicações na segurança. Verdade indiscutível, por exemplo, nas passwords. Mais e mais negócios estão a ser desenvolvidos online: lojas, serviços bancários, pagamento de contas, networking profissional, etc. Não é raro ter 10, 20 ou mais contas online, o que torna muito difícil lembrar (ou até escolher) uma password exclusiva para cada conta. O que torna deveras tentador o uso da mesma password para cada conta, ou escolher algo como os nomes dos filhos, do cônjuge ou da localização, com um significado pessoal, e por isso, fácil de recordar. Outra abordagem, igualmente comum, é a “reciclagem” de passwords, usando, por exemplo, “nome1”, “nome2”, “nome3”, e assim por diante, para as sucessivas contas. Utilizando qualquer uma destas abordagens aumenta a probabilidade de um ciber-criminoso, tanto de adivinhar a password, ou, como quando uma conta está comprometida, ficar com fácil acesso a outras contas. No entanto, este risco não é óbvio para os profissionais não-técnicos nem para o público em geral. Mesmo quando estão cientes do perigo potencial, não vislumbram alternativa viável, uma vez que não é possível lembrar-se de 10, 20 ou mais passwords.

Há uma solução para o problema das passwords. Em vez de tentar recordar as passwords individuais, deve começar com uma componente fixa e, em seguida, aplicar uma fórmula simples de “baralhar”. Eis um exemplo: comece com o nome do recurso online, digamos “mybank”. Em seguida, aplique a fórmula:
1. Capitalizar o quarto caracter;
2. Mover o penúltimo caracter para o início;
3. Adicionar um número à escolha após o primeiro caracter;
4. Adicionar um caracter alfanumérico à escolha no fim.

O que daria a password “n1mybAk;”. Com este método gera uma password única para cada conta online, seguindo os mesmos quatro passos de cada vez.


A tecnologia é, evidentemente, uma parte essencial de qualquer solução para lidar com malware. Mas, segundo creio, seria imprudente ignorar a dimensão humana da segurança. No mundo real, sabemos que alarmes, ferrolhos nas janelas e correntes de segurança na porta da frente podem ser modos eficazes de proteger a propriedade. Mas não irão impedir a vítima inocente de pôr em risco a sua segurança abrindo a porta a um estranho.

Da mesma forma, as estratégias de segurança corporativa serão menos eficazes se não considerarem o “factor” humano. Há que encontrar formas criativas para "remendar" as limitações humanas, bem como para proteger as debilidades digitais.

Esta não é apenas uma questão empresarial. A maioria dos indivíduos que usam a Internet em casa enfrenta os mesmos problemas. Assim, enquanto sociedade, precisamos de encontrar maneiras de aumentar a consciência dos riscos associados à actividade online e de desenvolver métodos eficazes para os minimizar.


Os indivíduos estão razoavelmente bem equipados para gerir o risco no mundo off-line. Por exemplo, dispomos de uma série de estratégias de "senso comum", devidamente assentes, para educar as crianças sobre os potenciais perigos de atravessar a estrada: ensinando-as a usar pontos designados de passagem ou, quando tal não for possível, a olhar cuidadosamente em ambos os sentidos antes de iniciar a travessia da estrada. Foram, igualmente, desenvolvidas, diversas “mensagens” publicitárias de televisão, imprensa e rádio, concebidas para educar o público sobre os perigos de conduzir sob influência do álcool ou de não usar o cinto de segurança.

Evidentemente, o conselho de "senso comum" que damos às crianças e os alertas do governo sobre a condução segura não garantem a segurança. Mas fornecem informações que ajudam a minimizar o risco. Hoje, a condução sob a influência de álcool é considerada socialmente inaceitável e há muito menos incidentes na estrada, relacionados com o excesso de bebida, que há quarenta anos atrás.

Sem surpresa, tal “senso comum” não tem, infelizmente, paralelo online. Por comparação com as gerações de condutores de automóveis, e as muitas gerações de indivíduos que atravessam estradas, a Internet é muito incipiente. As pessoas estão ainda a começar a aperceber-se de como a internet pode melhorar as suas vidas: infelizmente, muitos são “inocentemente” inconscientes dos perigos potenciais que apresenta.

A sociedade enfrenta aqui um paradoxo. As crianças aprendem, com os seus pais, muitas estratégias de “senso comum” para se manterem seguras no mundo offline. Mas os pais de hoje estão frequentemente mal preparados para educar os seus filhos sobre segurança online, uma vez que não estão familiarizados com estas "novas tecnologias". Ao contrário, as crianças são capazes de usar a tecnologia mas, regra geral, sabem pouco sobre as potenciais ameaças online.

No entanto, é essencial que, colectivamente, desenvolvamos um “senso comum” online. Se o fizermos, as crianças de hoje estarão muito melhor equipadas para salvaguardar os seus próprios filhos.


Em primeiro lugar, é importante não confundir educação com formação. Seria irrealista preparar e treinar pessoas, em geral, para serem especialistas em segurança informática. Ao invés, devemos aumentar a sua consciência sobre as potenciais ameaças online e quais as etapas indispensáveis para se protegerem.

Para as empresas e outras organizações, a preparação dos quadros deve ser uma das pedras fundamentais de uma estratégia de segurança eficaz. Os funcionários têm de ser informados, em linguagem simples e directa, da natureza da ameaça. Precisam de entender as medidas de protecção implementadas pela organização, e o porquê, e de que modo estas podem afectá-los no exercício das suas funções. É muito mais provável que uma estratégia de segurança seja eficaz se os trabalhadores a entenderem e apoiarem. É igualmente essencial criar uma cultura de abertura: os funcionários devem ser encorajados a relatar actividades suspeitas, em vez de as ocultar com receio de enfrentarem uma acção disciplinar. Se os funcionários se sentirem ameaçados, ou se os fizerem sentir-se estúpidos, serão, quase de certeza, menos cooperantes.

Como em qualquer outro aspecto da segurança, não basta apenas definir uma política, conseguir que os funcionários a subscrevam e depois não fazer mais nada. Uma política de segurança eficaz deve desenvolver-se a par do cenário de ameaças em evolução e ser revista periodicamente. É, também, essencial ter presente que as pessoas aprendem de diferentes formas: algumas respondem melhor a comunicações verbais, outras a materiais escritos ou ilustrativos. Portanto, é preferível usar várias estratégias para reforçar as mensagens de segurança que pretende que os funcionários apreendam. Estas incluem apresentações. Como parte do programa de sensibilização dos funcionários, campanhas de cartazes, questionários de “sensibilidade” de segurança, “animações”, uma "dica do dia" apresentada quando o funcionário se “liga” à rede corporativa, e outras.

É ainda importante não encarar as informações de segurança e o “treino” apenas como uma questão de TI. Em vez disso, deve ser considerado dentro de um contexto de RH global que inclui a saúde e segurança no trabalho, comportamento pessoal adequado, etc. Para ser eficaz, um programa de educação de segurança deve ter o concurso dos RH, do departamento de formação e de quaisquer outras áreas relevantes.


Existe uma sobreposição entre “trabalho” e “casa”. As pessoas que utilizam computadores como recursos de negócio no trabalho, também os usam para fazer compras, aceder ao banco ou socializar a partir de casa. O uso de computadores para fins não profissionais pode ser integrado num programa de sensibilização do pessoal para a segurança: mostrar aos funcionários como proteger os seus próprios computadores, routers, etc. irá ajudar a criar interesse e apoio para o programa de “treino” de segurança em geral. Garante também que a equipa - que pode cada vez mais trabalhar a partir de casa - não irá expor os recursos do negócio a riscos desnecessários.

Existem pessoas, é claro, que não usam um computador no trabalho (ou se aposentaram), mas utilizam um computador em casa. É essencial, portanto, que a educação seja levada para além da segurança no trabalho e para a vida quotidiana.

Há já uma série de recursos públicos que fornecem conselhos sobre segurança na Internet. Estes incluem Get Safe Online, identitytheft.org.uk e Bank Safe Online. Além disso, os fabricantes de segurança normalmente fornecem um guia para a segurança online, como o nosso Guide to stopping cybercrime. Todos eles fornecem boa orientação sobre como minimizar o risco de se tornarem vítimas de ciber-criminosos. Todavia, todos assumem que o leitor já está online.

Acredito que é igualmente importante experimentar e encontrar meios off-line para transmitir as mesmas mensagens, incluindo o uso de anúncios de TV como os utilizados no passado para incentivar o uso de cintos de segurança no automóvel ou desencorajar a condução sob o efeito do álcool. Dado o sucesso destes anúncios no passado, considero que campanhas semelhantes sobre a segurança e criminalidade cibernéticas poderiam também ser eficazes. Por exemplo, no Reino Unido em 2005, a Capital One Group realizou uma série de anúncios televisivos protagonizados pelo muito conhecido “imitador” Alistair McGowan. Os anúncios foram criados para promover o serviço da empresa na assistência ao roubo de identidade, e, ao mesmo tempo, sublinhar a importância de “qualificar” a informação pessoal antes de a tornar disponível.


O cibercrime veio para ficar: é tanto produto da era da Internet como parte do cenário de criminalidade global. Pelo que não seria realista, creio, pensar em termos de "ganhar a guerra”. Pelo contrário, trata-se de encontrar maneiras de mitigar os riscos.

A Legislação e as acções de aplicação da lei são projectadas para maximizar os riscos sentidos pelos ciber-criminosos. O objectivo da tecnologia e da educação é minimizar o risco para a sociedade. Uma vez que muitos dos ciber-ataques actuais visam a falibilidade humana, é essencial encontrar formas de “corrigir” essas vulnerabilidades humanas do mesmo modo que nos esforçamos para proteger os dispositivos de computação. A educação de segurança é semelhante ao trabalho doméstico - não pode ser visto simplesmente como uma única tarefa, mas precisa de ser realizado numa base regular para garantir bons resultados e um ambiente limpo e seguro.

Autor : Ricardo Hernandéz, Director Técnico da Kaspersky Iberia