Administração Pública ‘alvo’ de simulação de ciberataque

A Direção Regional do Património e da Gestão dos Serviços Partilhados (PaGeSP), levou a cabo na passada sexta-feira, dia 31 de março, um simulacro não anunciado de ciberataque, consistindo no envio pelas 11h59, de uma mensagem de correio eletrónico para as contas de todos os trabalhadores da Administração Pública Regional direta.

A mensagem de correio apresentava o remetente disfarçado (funcionarios@governo.mad.com) através da técnica designada de spoofing, e o texto, aparentando normalidade, solicitava o preenchimento de dados pessoais numa página a que o destinatário chegava clicando numa hiperligação designada “formulário”, sendo desta forma redirecionado para um sítio cujo endereço consistia apenas do respetivo IP (sequência de 4 grupos de 3 dígitos que identifica o servidor na internet), consubstanciando assim um ciberataque designado por phishing (“pesca” de dados).

Para dar maior credibilidade ao vetor de ataque, a mensagem e a página no sítio internet falsificado, continham o logotipo oficial do Governo Regional, inserido através de uma simples hiperligação da imagem oficial.

Durante a execução do simulacro não foram recolhidos quaisquer dados pessoais, mesmo dos mais incautos que os submeteram, uma vez que na página falsificada os campos do formulário não se encontravam associados a qualquer repositório de dados, embora surgisse uma página final indicando sucesso no processo, apenas para credibilizar o ciberataque.

Esta iniciativa teve como objetivo exercitar e avaliar a maturidade da resposta dos trabalhadores da Administração Pública Direta da Região, incluindo os técnicos e especialistas de informática, face à ocorrência de ciberataques desta natureza, uma vez que este vetor de ataque tem sido responsável pela maior parte dos incidentes de Cibersegurança ocorridos a nível global, nomeadamente sequestro de dados (ransomware).

Permitiu também à PaGeSP analisar as vulnerabilidades e avaliar os riscos associados à gestão do serviço de correio eletrónico, incluindo a credibilidade da plataforma em exploração e a resiliência do sistema, bem como o potencial risco e dano associado à captura não autorizada de dados pessoais, matéria de especial importância, uma vez que estamos a um ano da efetiva entrada em vigor o Regulamento Geral de Proteção de Dados.

A PaGeSP recomenda a todos os trabalhadores em funções públicas e à população em geral que tomem medidas preventivas na utilização dos equipamentos com acesso à internet, nomeadamente a utilização de antivírus atualizado, firewall ativa e uso de passwords complexas. Por outro lado, devem conferir, sempre, as variáveis que permitam despoletar alguma desconfiança quanto à origem, conteúdo e ações requeridas pelo texto do correio eletrónico, tais como endereço desconhecido ou similar ao real e apelos a abrir anexos e clicar em hiperligações. Em caso de dúvida, os trabalhadores da Administração Pública Regional devem sempre contactar os serviços de suporte ao utilizador.

Pin It on Pinterest