Quando dizemos que as novas tecnologias estão à nossa volta na nossa vida quotidiana, este é realmente o caso. Podemos tornar-nos no alvo dos “maus da fita”, quer sejam hackers (com conhecimentos informáticos) ou fraudadores (com técnicas de engano pessoal), tanto na vida profissional como pessoal.

É por isso que os conselhos de hoje são orientados para sinais de aviso a ter em conta quando se utilizam caixas multibanco. Especialmente se estamos a viajar:

• Utilizar apenas caixas multibanco onde exista uma câmara de segurança bancária: se virmos uma desprotegida por câmaras, devemos suspeitar que não está a ser monitorizada e, portanto, poderia ter sido adulterada.
• Verificar fisicamente o multibanco, especialmente se estiver localizado na rua: os criminosos podem substituir a parte onde inserimos o cartão, ou mesmo o teclado, e depois duplicar o cartão e utilizá-lo com o nosso PIN.
• Cancelar a transacção se o ecrã não se parecer com um ecrã normal de ATM ou “faz coisas estranhas”: tanto os cibercriminosos podem manipular o software da ATM, como os infractores podem substituir o ecrã por um tablet semelhante que regista a informação introduzida.
• Cubra o teclado com a sua mão quando introduzir o seu PIN: como as compras on-line são agora também confirmadas com o PIN do cartão através de uma ligação SMS do banco, saber estes quatro números é muito importante para os criminosos.
• Manter uma distância segura entre as pessoas: Isto é para evitar que as pessoas à sua volta possam ver por cima do seu ombro (surfar no ombro) a informação que entra.

La entrada SECURE&TIP: ATMS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: RESPONDE AOS CIBERATAQUES se publicó primero en Secure & Academy.

La entrada SECURE&TIP: VIDEOCHAMADAS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: LIMPEZA DE PRIMAVERA se publicó primero en Secure & Academy.

La entrada SECURE&TIP: PALAVRAS-PASSE SEGURAS se publicó primero en Secure & Academy.

Os dados pessoais, ou seja, as informações que nos distinguem das outras pessoas e nos permitem identificar-nos, devem ser protegidos tanto por nós como por terceiros que possam ter acesso a eles.

Nem sempre é fácil saber como é que uma empresa ou entidade pode proteger adequadamente os dados pessoais que tem nos seus sistemas. Porque isso depende de múltiplos factores, como o tipo de empresa ou entidade, se é pública ou privada, o serviço ou produto que fornece, as informações que recolhe, as tecnologias que utiliza, o país em que opera, etc. Esta complexidade significa que é essencial que as empresas e entidades disponham de aconselhamento jurídico, especializado em proteção de dados.

No entanto, gostaríamos de te dar a ti, nosso leitor, algumas orientações gerais, para que saibas como tratar os dados pessoais, especialmente se não forem os teus próprios dados, mas informações pertencentes a terceiros.

• Base legal ou legítima: A base legal é o que nos autoriza a nós ou à nossa empresa ou entidade a gerir e manter nos seus sistemas dados de terceiros. Atualmente, deve prevalecer sempre o consentimento da pessoa a quem os dados dizem respeito, que pode ser através de uma autorização expressa ou de um contrato. Só nos casos em que a lei exija a recolha de dados de terceiros ou em que estejamos a prestar um serviço público de interesse vital para essa pessoa ou para o público em geral é que a recolha do consentimento pode ser dispensada. Mas estes serão casos muito extremos, por exemplo, se a pessoa receber cuidados de saúde numa situação de emergência e os seus dados tiverem de ser processados para a poder identificar.
• Transparência: A partir do momento em que processamos dados pessoais de terceiros, quer tenhamos de pedir o seu consentimento, quer estejamos legalmente autorizados a processá-los sem consentimento, devemos sempre, sempre, sempre informar essa pessoa sobre o processamento dos seus dados. Isto implica informá-la sobre:
  • • Que dados iremos tratar.
    • Como é que vamos lidar com eles.
    • Quando é que vamos começar a tratá-los e durante quanto tempo?
    • Porque é que vamos utilizar estes dados.
    • Onde os trataremos e armazenaremos (em que tipo de sistema físico ou digital e em que país).
• Segurança: Deve ser considerada a forma de proteger os dados, aplicando medidas de segurança técnicas (como uma palavra-passe), mas também físicas (uma gaveta fechada à chave) e organizacionais (limitando a utilização às pessoas que têm efetivamente de trabalhar com esses dados). Para saber que medidas de segurança seguir, o ideal é mantermo-nos actualizados sobre as políticas, procedimentos, manuais e guias disponibilizados pela nossa empresa ou entidade, que nos ajudam a proteger de forma segura tanto os dados pessoais como as informações confidenciais, mesmo que não pertençam a indivíduos.
• Direito do titular dos dados: O titular dos dados é a pessoa a quem pertencem os dados com que estamos a trabalhar. A informação, quando se trata de dados pessoais, não pertence à empresa ou entidade, nem ao empregado que a gere, pertence ao terceiro a quem a informação identifica. Por isso, se esse terceiro nos pedir para exercer um dos seguintes direitos, devemos sempre atendê-lo de forma simples e gratuita, pois é seu direito escolher se quer ou não que os seus dados sejam utilizados:
  • • Acesso (recebe informações sobre todos os pontos enumerados na rubrica transparência e solicita cópias das mesmas)
    • Retificar (modificar a informação porque pode afetar-te se estiver desactualizada).
    • Eliminar (elimina os dados e deixa de os utilizar)
    • Porting (retirar os dados e deixar de os utilizar)
    • Limitar (restringir a utilização dos dados ao mínimo necessário)
    • opor-se (impedir o tratamento posterior dos dados para determinados fins para os quais não dá o seu consentimento)

La entrada SECURE&TIP: PROTECÇÃO DOS DADOS PESSOAIS se publicó primero en Secure & Academy.

Neste tipo de ciberataque, os cibercriminosos fazem-se passar por uma pessoa conhecida ou próxima de nós e tentam convencer-nos, seja por correio, telefone, SMS, Whatsapp ou redes sociais, que estão numa situação financeira complicada ou de emergência e que precisam que façamos uma transferência de dinheiro urgente e imediata. As desculpas que dão vão desde a necessidade de dinheiro para pagar um táxi, até à necessidade de um empréstimo para pagar as contas no final do mês.

Como é que podemos detetar estas fraudes?

• • Nestes casos, é comum que, para atingir o maior número possível de vítimas, sejam novamente utilizados programas de Inteligência Artificial. Portanto, a pessoa que nos contacta não é real, é um atendedor de chamadas e podemos detectá-lo na voz mecanizada. Em caso de dúvida, recomendamos que faças à pessoa que nos contacta uma pergunta muito pessoal, à qual só ela deve saber responder. Se se tratar de um cibercriminoso, responderá incorretamente, desligará o telefone ou deixará de responder às mensagens.
  • Mesmo que o número de telefone pertença ao mesmo contacto, também é importante estar atento e verificar quem te está a contactar. Na maioria das vezes, os cibercriminosos não tentam esconder o número de contacto ou o e-mail a partir do qual nos escrevem, indicando que são nossos colegas de trabalho, amigos, filhos, familiares, mas que ficaram sem bateria no telemóvel e que, por isso, nos escrevem a partir do telefone de outra pessoa. Neste caso, a suspeita pode ser mais óbvia. Mas também existe a possibilidade de ter um cartão SIM duplicado do nosso conhecido e de estar a utilizar o mesmo número de telemóvel. Em qualquer dos casos, recomendamos que ligues diretamente para o número para verificar a voz da pessoa que atende a chamada e verificar se se trata realmente do teu conhecido.

La entrada SECURE&TIP: O CONHECIDO EM APUROS se publicó primero en Secure & Academy.

O que é que se entende por “informação em trânsito”?

A informação em trânsito é toda a informação que se desloca do ponto A para o ponto B. Este movimento pode ser feito por meios técnicos (de um computador para outro) ou por meios físicos.

Quando isso é feito por meios técnicos, seja através do envio de um e-mail que viaja pela Internet ou da introdução de dados num sítio Web, são necessárias medidas de proteção que são da responsabilidade do departamento de TI e que se designam por “encriptação das comunicações”. Estas medidas podem envolver a utilização de palavras-passe, certificados digitais, factores de autenticação dupla e sistemas VPN, tanto para consultar, como para recuperar e transferir informações.

Mas hoje não vamos falar sobre esta parte mais técnica, vamos apenas focar-nos na parte física, que é da responsabilidade do Utilizadorou seja, a pessoa que está a aceder à informação empresarial remotamente (a partir de casa ou de qualquer outro local), ou que a transporta por motivos de viagem, visita de trabalho ou porque precisa de continuar a trabalhar nela em casa.

Além disso, quando falamos de dados em trânsito, não devemos pensar apenas na informação como tal, ou seja, como um documento digital ou físico, mas também temos a responsabilidade de a proteger, mesmo que viaje em dispositivos aparentemente seguros. Isto implica a aplicação de um princípio que é sempre lembrado em locais públicos, como estações de comboio, aeroportos, etc., de não deixar pertences ou objectos pessoais sem vigilância., Isto inclui pastas físicas, computadores, pen drives, telemóveis e/ou tablets e quaisquer outros “contentores de informação”.

Quais são os incidentes de segurança mais prováveis e como podem ser evitados?

• ROUBO: Podemos ser vítimas de roubo de dados, tanto em locais públicos como em transportes públicos, onde, por exemplo, um computador pode ser roubado, e também se a porta do nosso veículo for forçada para roubar o seu conteúdo.
• PERDE: Ao contrário do ponto anterior, em que um terceiro força a situação, a perda de dados deve-se normalmente a um erro humano ou a um descuido. Por isso, é da nossa responsabilidade ter cuidado com a informação, especialmente se estivermos fora do ambiente de trabalho.
• LIGAÇÃO INSEGURA: Não é raro, especialmente quando se viaja, tentar ligar-se a redes WIFI disponíveis em comboios, hotéis, aeroportos, restaurantes, etc., para que a ligação à Internet seja mais rápida e funcione melhor. Neste sentido, devemos ter cuidado e só nos ligarmos a redes WIFI que estejam oficialmente disponíveis no estabelecimento, sendo preferível confirmar isso com o pessoal de um ponto de informação, receção ou serviço de apoio ao cliente antes de nos ligarmos.
• ACESSO NÃO AUTORIZADO: Quer estejamos a consultar informações num avião, num comboio ou num café, devemos estar atentos a um tipo de técnica chamada “olhar por cima do ombro”, que implica que as pessoas à nossa volta podem ter no seu campo de visão o nosso telemóvel e o ecrã do computador ou a documentação física que estamos a ler. Nem sempre é necessário que tenham um interesse criminoso em conhecer esta informação, mas por vezes podemos cometer o erro de fornecer dados, sem nos apercebermos, a um terceiro não autorizado. E pode dar-se o caso de esse terceiro utilizar posteriormente os dados no seu próprio interesse. Por conseguinte, a nossa recomendação a este respeito é que trates e trabalhes com informações estritamente confidenciais (incluindo respostas a mensagens de correio eletrónico), de preferência num ambiente privado, longe de olhares indiscretos. É preferível adiar esta leitura para casa ou para um quarto de hotel.

NOTA IMPORTANTE: Se tiveres a mínima suspeita de que passaste por uma situação semelhante ou de que foste vítima de um incidente de segurança, não hesites em comunicar o facto ao teu superior hierárquico, ao responsável pela segurança da CISO e ao departamento de TI, para que te possam aconselhar adequadamente. E, a nível pessoal, denuncia o ciberataque à autoridade policial.

La entrada SECURE&TIP: INFORMAÇÕES EM TRÂNSITO se publicó primero en Secure & Academy.

Os cibercriminosos podem infetar e aceder aos nossos dispositivos (especialmente telemóveis e tablets), sejam eles profissionais ou pessoais, através de aplicações falsas que possamos ter descarregado ou de programas maliciosos que tenham sido instalados ao clicar numa ligação fraudulenta.

Desta forma, podem utilizá-los como bem entenderem, sem o nosso conhecimento ou consentimento, e até lançar ciberataques a partir deles.

O prejuízo para nós, portanto, não é apenas o facto de as nossas informações contidas no dispositivo ou nas aplicações (por exemplo, aplicação bancária, Whatsapp, correio eletrónico, redes sociais, etc.) serem utilizadas indevidamente, mas também o facto de sermos utilizados para cometer um crime e de, em caso de investigação policial, o nosso dispositivo ser implicado como o meio pelo qual o crime foi cometido.

• A bateria esgota-se rapidamente, apesar das horas de carregamento.
• O aparelho sobreaquece, sem ter sido exposto a temperaturas elevadas.
• Instalamos um novo programa ou aplicação, que não descarregámos conscientemente.
• Recebemos notificações invulgares dos nossos programas e aplicações.
• Detectamos alterações na nossa localização quando utilizamos programas ou aplicações de mapas ou GPS.
• Perdemos poder de processamento, o que faz com que o sistema funcione muito lentamente.
• Verifica-se um aumento notável nas estatísticas de consumo de dados, que pode até ser prejudicial para as nossas contas se excedermos o tarifário contratado (verifica em “Definições – Dados móveis” ou no computador em “Definições – Rede e Internet – Utilização de dados”).
• Se tudo se encaixar, temos de informar o departamento de TI a nível do trabalho e a polícia a nível individual o mais rapidamente possível.

La entrada SECURE&TIP: TELEMÓVEIS INFECTADOS se publicó primero en Secure & Academy.

Os cibercriminosos contactam-nos por e-mail, telefonema, SMS ou aplicações como o Whatsapp, Line, Telegram e similares, para nos informar que fomos selecionados para um emprego. De seguida, na mesma conversa, pedem-nos para confirmar que concordamos em continuar no processo de seleção e que, para formalizar o recrutamento, precisam que forneçamos alguns dados pessoais (incluindo dados bancários).

Até agora, como é que estas fraudes estão a ser detectadas pelos utilizadores?

• Nestes casos, é comum a utilização de programas de Inteligência Artificial para atingir o maior número possível de vítimas. Assim, a pessoa que nos contacta não é real, é uma resposta e podemos detectá-la na voz digitada.
• Nestas conversas, normalmente não indicam de que empresa estão a telefonar ou para que empresa estão a recrutar.
• Muitas vezes, as condições de trabalho não são apenas boas, mas “espectaculares”, para atrair a nossa atenção. Por outras palavras, oferecem-nos um salário muito elevado, teletrabalho a 100%, horários de trabalho flexíveis, etc.
• Se não tivermos participado ativamente num processo de seleção, é muito raro que uma empresa nos contacte diretamente para nos oferecer um emprego.Se não tivermos participado ativamente num processo de recrutamento, é muito raro que uma empresa nos contacte diretamente para nos oferecer um emprego.

Nestes casos, é preferível perguntar se podemos voltar a ligar-lhes noutra altura ou pedir-lhes que nos contactem novamente, para que possamos verificar na Internet (em sites oficiais ou redes sociais profissionais) se a oferta existe realmente. Se ainda tivermos dúvidas sobre se é real ou não, podemos também contactar a empresa da qual dizem que nos estão a ligar (marcando o número de telefone que encontramos no site oficial), para perguntar sobre a mesma oferta.

La entrada SECURE&TIP: OFERTA DE EMPREGO FALSA se publicó primero en Secure & Academy.