Hugo Nunes: “Acesso à ‘dark web’ aumentou consideravelmente na guerra”

A próxima mensagem é um alerta no sector financeiro: há cada vez mais dados bancários à venda na “deep web” (“internet profunda”, que não se acede no Google). A conclusão consta no último relatório “Threat Landscape Report” da empresa ibérica de cibersegurança S21sec, que identificou os principais malwares bancários que marcaram 2021.

Hugo Nunes, líder da equipa de Inteligência de Ameaças da S21sec em Portugal, conta ao Jornal Económico como, perante o aumento dos ciberataques, houve cada vez mais hackers a conseguir dados e acesso a computadores infetados para os colocarem à venda. A operação costuma ser feita em mercados negros na “deep web”, como o Genesis Market, Russian Market e 2easy Market, onde, mediante pagamento, é possível aceder a equipamentos com vírus, credenciais e dados sensíveis. Em termos de malwares bancários, que se propagam através de campanhas de envio de emails com phising, destacaram-se o SquirrelWaffle, o Numando, o Guildma e o Infostealers.

Neste estudo, a que informações chegaram sobre Portugal?
É um estudo global, que envolveu 101 países. Não temos dados concretos sobre Portugal, mas digamos que Portugal não está imune e estará relativamente na média da União Europeia. Só fazemos essa divulgação de percentagens de afetação em relação ao tipo de ameaça, como o ransomware, porque temos maior visibilidade sobre as vítimas, o que aqui não se consegue aferir com tantas certezas. Infelizmente, o sector bancário em termos de risco é maduro, porque consiste numa fonte de rendimento constante, que movimenta volumes de dinheiro consideráveis e torna-se primordial em termos de ciberataques até devido à crescente utilização de telemóvel para tudo.

O sector bancário é o principal alvo?
É muito apetecível. As vítimas têm sempre uma componente financeira associada. A banca será sempre alvo constante e não acreditamos que vá acabar. Em relação aos bancos tradicionais e aos digitais, têm riscos diferentes. Será mais possível na banca online, porque o ataque poderá acontecer tanto de Portugal como de Espanha, França, Israel… Há uma multiplicação de potenciais agressores. Na banca tradicional, em termos físicos, se alguém quiser assaltar um banco tem muitos parâmetros que desconhece. A exposição à internet acarreta outros riscos. Mas as infraestruturas críticas, entre as quais logística, energia ou telecomunicações, são sempre alvos apetecíveis por cibercriminosos pelo volume de dados e de negócios.

Segundo a NordVPN, há mais de três mil cartões bancários portugueses à venda na “dark web”. É o mesmo número que têm?
Diria que três mil números de cartão de crédito de entidades portuguesas é um número perfeitamente viável. Esse valor não nos choca. Todos os dias nos deparamos com situações novas e faz parte dos nossos dos nossos serviços de data leaks para notificar as empresas, entidades bancárias ou empresas financeiras.

Sintetizando, o que é a “dark web”?
De uma forma simples, é a internet escondida, que requer ferramentas próprias e não é possível aceder-lhe através de um browser normal, pois precisa de um browser que tenha essa capacidade de interagir com plataformas que estão feitas para garantir mais anonimidade do que a “clean web”. Não está indexada como a web clara. Se eu for ao Google pesquisar serviços de homebanking vai-nos aparecer a lista dos bancos. Na “dark web” não há essa capacidade, porque não é acessível de pesquisável. Mas depois nos fóruns criminosos vão aparecendo pequenos motores de busca direcionados ou páginas de venda de cartões de crédito, etc.

Existem mecanismos que bloqueiem esse acesso, se for malicioso?
Existem mecanismos que bloqueiem o acesso à “dark web”, mas são difíceis. Por exemplo, um caso muito recente é do Twitter, que só estava na “clean web”, e transportou a sua plataforma também para a “dark web”, para permitir a cidadãos que estão na Rússia acederem sem monitorização ou possibilidade de o estado russo bloquear-lhes o acesso. É um protocolo encriptado sem rastreamento acessível ao comum dos mortais. No último mês os acessos à “dark web” até poderão ter estado com um aumento considerável nalgumas geografias, nomeadamente na Rússia, para circundar alguma censura em vigor. Estes últimos acontecimentos mostram que a imagem da “dark web” pode mudar, mas está sempre muito associada a atos ilícitos. É como uma autoestrada: tanto posso estar a andar de forma perfeitamente normal como a transportar droga. Dou-lhe um exemplo muito concreto: as bitcoins. As bitcoins não foram criadas para atos ilícitos mas, por vezes, estão associadas a tal, porque permitem a transferência de dinheiro anónimo.

Portugal está preparado para um contexto europeu de ciberguerra?
O que este conflito vem evidenciar é que uma guerra também passa pela parte online. Nunca estivemos nunca situação assim em que é tão válido um ataque físico como um cibernético. Isso vê-se neste conflito com os constantes ciberataques entre a Rússia e a Ucrânia, mas o escalar desta situação poderá trazer também, por exemplo, a NATO e os países aderentes para jogo, para a guerra cibernética.

O ‘ransomware’ vai continuar a ser dos maiores tipos de ataques?
Nos últimos três anos, o ransomware tem vindo exponencialmente a crescer porque também consegue ter retorno financeiro substancial. São organizações cibercriminosas bastante capazes e com volumes de negócios, digamos assim, muito elevadas. Temos também algumas tendências a crescer, nomeadamente o malware sobre o Android – sobre os nossos telemóveis, porque cada vez mais os estados a utilizar para mais coisas – e os infostealers, que são malwares específicos para recolha de dados de acessos. Ou seja, se eu tiver esse malware no computador ele vai guardar e transmitir para o seu dono os dados bancários que estou a digitar ou os meus cookies da Netflix ou do Continente.pt para depois serem vendidos. Não sei se a cibercriminalidade não terá já ultrapassado outra criminalidade como o tráfico de droga e de armas, porque consegue ser ter uma abrangência e desmaterialização tão grandes.