“Quase 90% dos ciberataques começam no email”

Sejam pequenas, médias ou grandes, a esmagadora maioria das empresas dependem hoje do email para conduzirem os seus negócios. Esta, que é uma das ferramentas mais antigas da internet, tornou-se praticamente ubíqua, permitindo comunicar internamente e também com o exterior. Mas essa é também a característica que faz do email, de longe, a principal porta de entrada a ameaças cibernéticas às empresas, diz Gil Friederich, vice-presidente de segurança de email da Check Point, uma empresa israelita de cibersegurança.

Em 2018, a maioria dos problemas de cibersegurança começavam na web, provavelmente com o download de um ficheiro malicioso. Esse cenário mudou de forma drástica, com o correio eletrónico a servir de vetor de ataque em praticamente nove em cada dez ciberataques, segundo a Check Point. Em Viena, na Áustria, onde a Check Point promoveu em fevereiro o seu evento anual para o mercado EMEA – o CPX 2024 –, Gil Friederich explica ao ECO o que mudou para que o email, além de um aliado, se transformasse num importante risco de cibersegurança. O especialista dá também algumas dicas aos gestores sobre como melhorar as proteções.

As nossas vidas vão definitivamente ficar mais complicadas com o uso de inteligência artificial pelos hackers.

O email é o vetor usado em 88% dos ataques que identificaram, de acordo com o Relatório Anual de Segurança 2024 da Check Point. É um aumento significativo face a 2018, quando representava apenas um terço. Como explica esta tendência?

Penso que há duas coisas, uma delas não mudou e outra mudou desde 2018. O que não mudou é que o email é muito singular no sentido em que podemos estar aqui a falar agora, trocamos cartões de contacto e, a seguir, pode imediatamente enviar-me um email. Qualquer pessoa na organização está basicamente aberta a receber comunicação de qualquer outra pessoa no mundo. É como se não houvesse uma firewall, está aberto a toda a gente, e isso faz parte do funcionamento do email, porque é assim que o queremos. Queremos que as pessoas possam interagir diretamente. É por isso que [quase] 90% dos ataques começam no email, por ser tão acessível. Conseguimos alcançar qualquer um tão rapidamente.

Penso que o que fez dele ainda mais preponderante desde 2018 é a passagem para o email assente na cloud, principalmente o Office 365 [da Microsoft] e o Gmail [Google Workspace]. Por várias razões. Primeiro, algumas das camadas de segurança desapareceram. Já não está por detrás de uma VPN, está na cloud, podemos aceder em qualquer lugar, portanto, os ataques de apropriação de conta, obtenção de credenciais, são, atualmente, muito valiosos, porque roubam-se as credenciais do utilizador final e pode-se, a seguir, roubar os seus dados e espalhar o ataque pelo resto da organização.

Portanto, a transição para a cloud, definitivamente, criou muitos vetores de ataque que não tínhamos visto antes. Também criou um mundo muito monolítico, um pouco como na biologia, em que toda a gente é suscetível ao mesmo vírus, porque estamos a usar a mesma plataforma com a mesma segurança. E isso atrai muito o interesse dos hackers: se atacam uma pessoa, conseguem atacar toda a gente.

"A transição para a cloud, definitivamente, criou muitos vetores de ataque que não tínhamos visto antes.”

Ou seja, está a dizer que o email é como uma porta aberta em todas as empresas?

Existe muita segurança por cima do email, não é uma porta aberta. Pode haver quem não tenha segurança nos dispositivos móveis – nós temos na Check Point, mas muitas organizações não fazem nada no mobile. Eu acho que não deve haver nenhuma organização que não tenha segurança no email, porque seria impossível de usar sem segurança. Ainda assim, continua a ser o mais atacado e muitos dos ataques bem-sucedidos acontecem por email.

É a forma mais usada para propagar ransomware, ou mais outros tipos de malware?

O que vemos é mais phishing [um tipo de ataque em que os burlões fazem-se passar por uma entidade conhecida para roubar dinheiro, dados pessoais ou outra informação das vítimas], muito mais do que malware. Um rácio de 1 para 100.

E esse phishing não conduz a ransomware?

O phishing conduz, provavelmente, a três objetivos. Um é comprometer a conta, para que seja usada para propagar a próxima onda de ataques. A outra é monetização direta, mas não ransomware – portanto, faturas falsas, ou extorsão, como ameaças de vários tipos, aproveitando a bitcoin, ou esquemas como “daqui é o CEO, estou a entrar para um voo, por favor envie-me dez cartões-presente porque tenho de os dar quando aterrar”.

Estes esquemas enganam o cérebro do utilizador final com essa urgência e, depois, perde-se dinheiro. E o terceiro, provavelmente o terceiro, é o ransomware [um tipo de ataque em que os dados da organização são bloqueados ou roubados e é pedido um resgate].

Que também tem fortes motivações financeiras.

Os ataques mais fortes não têm motivação financeira. Eles querem os seus dados, são altamente direcionados e, por vezes, patrocinados por Estados, portanto, vão atrás de organizações governamentais. Esses são os piores.

Diria que, à luz do que estamos a falar, o email está obsoleto em termos de cibersegurança?

Não pode estar, porque o email ainda é a joia da coroa das aplicações empresariais. Penso que é uma corrida sem fim à vista. Acredito que assistimos a uma reinvenção da segurança do email em que, antes de o email ter passado para a cloud, era uma espécie de duopólio em que poucas grandes empresas controlavam o mercado.

Assim que o email passou para a cloud, de repente, assistimos a uma proliferação de novas tecnologias e novos métodos. E também porque, ao mesmo tempo, foi introduzida inteligência artificial na cloud. Vê-se muitas soluções como as nossas em que as abordagens são focadas na cloud e focadas na inteligência artificial. Por isso, conseguimos detetar ataques que não conseguiríamos detetar há cinco anos com processamento de linguagem natural.

Quais diria serem os maiores avanços na cibersegurança especificamente relacionados com o email?

Definitivamente, inteligência artificial. Agora temos tecnologias que permitem a um computador perceber sobre o que se trata o email. Consegue saber que num determinado email há um pedido para mudar a informação da conta bancária ou para pagar uma fatura, analisar a fatura e perceber que tem um número de telefone. Algumas organizações dizem que antes de se pagar qualquer fatura é preciso ligar ao fornecedor e garantir que foi mesmo ele que a enviou.

Só que as pessoas são preguiçosas, olham para a fatura e dizem: “Aqui está o número”, e ligam para o telefone dos próprios hackers. A inteligência artificial consegue olhar para a fatura e dizer que esse número não pertence a essa empresa. Mesmo que tentem fazer-se passar por alguém com quem trabalhamos. Por vezes, o valor da fatura até é o valor exato e correto de uma encomenda, mas o número de telefone é incorreto. São exemplos que a inteligência artificial é capaz de detetar.

Ou seja, o vetor web não está a perder relevância, o email é que está a crescer enquanto risco.

Absolutamente. É definitivamente o foco dos hackers, o nosso foco enquanto fornecedores e o dos nossos clientes.

Conseguimos detetar ataques que não conseguiríamos detetar há cinco anos com processamento de linguagem natural.

Acredita que o email vai continuar a ser uma porta aberta – não uma porta escancarada, como disse, mas ainda assim um vetor para ciberataques no futuro? Ou acredita que pode já ter atingido o pico?

É muito difícil prever. Não creio que tenha atingido o pico, porque acho que não existe outro serviço tão aberto quanto este. Mas vemos, sim, outros métodos. Por exemplo, começámos a falar de “phishing 360” – não é a segurança do email que temos de resolver, é o problema do phishing. E o problema do phishing é uma mensagem de texto que eu recebo e que é, na verdade, phishing, ou uma mensagem no LinkedIn de alguém que se faz passar por outra pessoa e me envia uma má ligação.

Todas as linhas de comunicação são potenciais plataformas para o phishing. De certa forma, esse é o poder da plataforma da Check Point, porque sim, temos a melhor solução de segurança de email, também temos a melhor solução mobile e também temos uma solução para o browser para os apanhar quando vêm através do LinkedIn, etc.

Como tem visto a inteligência artificial ser usada em ciberataques nos últimos dois anos?

O preço de lançar um ciberataque tornou-se muito mais baixo: “Escreve um email para um CFO…”, e obtemos esse email, em segundos, do ChatGPT. Ou testes A/B: fazemos cinco versões, testamo-las e vemos qual funciona. Correr campanhas de email tornou-se muito, muito mais fácil. Dantes, antes do ChatGPT, em países onde se fala inglês, víamos muito phishing e menos malware.

Em países onde não se fala inglês, víamos menos phishing e mais malware. Porque para os hackers, sobretudo em países pequenos, como a República Checa, escrever uma campanha no idioma local era caro e víamos menos vezes. O ChatGPT mudou completamente isso: agora, podem usar qualquer linguagem para conduzir os seus ataques. Assistimos a um crescimento do phishing em países onde não se fala inglês, especialmente territórios pequenos.

Como podemos alertar melhor as pessoas para este problema e dizer-lhes que não devem carregar em links? E possível, ou, como disse, é uma corrida em que nunca se chega à meta?

Penso que investindo em duas coisas: na melhor segurança que se possa, para que o número de emails maliciosos que cheguem aos utilizadores, ou mensagens de texto, seja o mais baixo possível, e também dando formação periodicamente aos utilizadores finais para que, basicamente, suspeitem de tudo. Não confiem em nada.

As pessoas são ingénuas por natureza, acreditam no que veem e temos de lhes dizer que esse não é o caso. Talvez as gerações mais novas saibam que, por alguém ter escrito algo numa rede social, não significa que seja verdade.

De certa forma, mesmo sendo um especialista, é possível cair nos esquemas e ser-se vítima. O relatório da Check Point aponta nesse sentido, de que o nível de sofisticação está a aumentar, por isso, como podemos dar formação aos trabalhadores para estarem mais alerta? É sequer justo esperar que estejam conscientes e constantemente vigilantes?

Primeiro, tenho visto ataques em que olho para ele e digo “100%, este email é legítimo”. Penso que a melhor maneira de pensar para os utilizadores finais é, quando estão prestes a fazer algo, recuar e refletir sobre o caminho até ali: está prestes a pagar uma fatura – seguiu a política da empresa? Sim, ligou para o fornecedor, mas terá ligado para o contacto que está na fatura? Ou seja, é preciso pensar que do outro lado pode estar um criminoso. Em muitas circunstâncias, isso vai colocar um travão, e isso é imperativo, e penso que os fornecedores, as camadas de segurança, têm de ser o mais sofisticados possível.

Vou dar um exemplo louco. Vemos qual é o número de telefone da organização que enviou a fatura. Se virmos alguma coisa, suspeitamos. Sabemos a base de dados de algumas centenas, talvez milhares, de números que são usados pelos atacantes. Se os vermos, é uma red flag, não precisamos de mais nada: “Hey, esta fatura tem um número de telefone que já vimos ser usado por hackers.”

Exige-se este nível de sofisticação. Adicionámos muita tecnologia a volta da “estilometria”, em que recebo um email, através da minha rede de 23 mil clientes eu vejo esse email e aprendo o seu estilo; e se vir um desvio desse estilo, isso é suspeito. Se eu descrevesse este cenário antes do ChatGPT, dir-me-iam “isso é ficção científica”. Agora é uma coisa óbvia, toda a gente entende que isto é possível.

Como é possível conduzir negócios num ambiente como esse, em que temos de desconfiar de tudo o que aparece no nosso computador?

Não existe outra hipótese. Mais do que tudo, é maturidade digital, porque não é só o email, é tudo o que lemos nas redes sociais, e até noutros meios… Temos de ter uma dose de suspeição com tudo o que vemos.

Mais de 99% das empresas em Portugal são pequenas e médias empresas (PME) e alguns gestores não têm capacidades básicas de digital. Pode partilhar algumas dicas básicas para que as pessoas possam lidar com estes problemas e para prevenir que não caiam nestes esquemas, na sua perspetiva de especialista?

A primeira coisa que precisam enquanto PME é uma solução de segurança de email. Precisam de algo que seja fácil de instalar e não exija muitas capacidades da organização. Em alguns casos, recomendaria usar algo como um fornecedor de serviços geridos (managed services provider) que ofereça a segurança com o serviço, para que saibam que estão a receber um serviço de qualidade de topo.

Com a segurança de email, corram campanhas de sensibilização dentro da organização: no mínimo, uma vez por ano, cada trabalhador ter de fazer uma formação de sensibilização, e não apenas em phishing, mas também em higiene digital, mensagens de texto, etc. Fazer também simulações de phishing, para ver quem cai e onde estamos ao nível da maturidade da organização. E porque não faz parte da sua profissão e as PME não conseguem contratar especialistas, recorram a outsourcing, encontrem o parceiro ideal, um fornecedor de serviços que ajude a dar maturidade ao ambiente.

Por fim, instalar alguns processos que confiram proteção. Antes de pagar uma fatura, por exemplo, o que é que a secretária tem de fazer antes de aprovar o pagamento? Talvez adicionar uma segunda camada: ser é preciso aprovação do CEO e CFO, para reduzir as chances. E dizer à organização: “Sou o vosso CEO, nunca vou pedir nada urgente por mensagem de texto, porque podem tentar fazer-se passar por mim. Só para que se saiba que se receberem uma mensagem dessas vinda de mim, não fui eu.”

Dizer desde logo “eu nunca irei fazer isto” ou “se tiverem o meu número, liguem-me antes para garantir que sou eu”. Com inteligência artificial, provavelmente vão conseguir hackear isso também, mas pelo menos por agora penso que podemos confiar na voz.

Podemos mesmo ainda confiar na voz?

Hum… não tenho a certeza. Nem sequer vídeo. E andamos todos a trabalhar remotamente. As nossas vidas vão definitivamente ficar mais complicadas com o uso de inteligência artificial pelos hackers.

Última pergunta: têm visto estes ataques chegarem a outras plataformas de comunicação no trabalho, como o Slack e o Teams?

Sim. O que vemos é que quando um hacker invade uma conta [Office] 365, a primeira coisa que tenta fazer é propagar não pelo email, mas pelo Teams, One Drive, etc. Porque são mais confiáveis. É uma oportunidade melhor e não apenas dentro da organização. Um parceiro pode ser hackeado e o ataque também vir pelo Teams. Recomendamos a todos os clientes não apenas comprarem a nossa solução de email mas a de email e colaboração. Proteger todas as linhas de comunicação.

O ECO viajou para Viena (Áustria) a convite da Check Point Software.