Segurança da Informação

segurança informática

Em que consiste o phishing (envio de e-mails ou SMS fraudulentos) e qual é o seu objetivo?

Os esquemas de phishing caracterizam-se pela prática de envio de e-mails ou SMS que, pretendendo ser provenientes de determinada entidade ou organização (normalmente são cópias fiéis), contêm mensagens enganadoras com o intuito de conduzir o utilizador a revelar informação confidencial – por exemplo nome de utilizador e senha de acesso a sites seguros tais como os de homebanking, números de cartão de crédito, etc. – ou instalar inadvertidamente um software malicioso (malware)que pode permitir o controlo remoto do seu computador.

O que posso fazer para distinguir este tipo de mensagens e para evitar as suas consequências?

A forma de proteção contra estes ataques segue as regras comuns a uma utilização segura da internet que são:
> nunca envie informação pessoal que lhe seja solicitada por e-mail ou SMS tal como: nº do cartão de crédito, username, password ou outra informação privada. A EDP nunca lhe pedirá este tipo de informação por este veículo de comunicação;
> não siga as ligações de e-mails ou SMS suspeitos. Caso queira aceder, introduza diretamente no browser o endereço da entidade referida na mensagem e navegue a partir daí;
> em caso de dúvida contacte a entidade para confirmar a veracidade do e-mail ou SMS, mas nunca use os contactos indicados. Faça-o da forma que costuma fazer habitualmente;
> certifique-se que atualiza o software que utiliza no seu computador, nomeadamente o browser e software de proteção como antivírus e firewall;
> instale uma barra de ferramentas para o seu browser. A NetCraft disponibiliza uma que fornece informação diversa sobre o site a que está a aceder: a localização geográfica do servidor que aloja o site, a entidade responsável pelo site e a primeira vez que o endereço foi detetado pela NetCraft.

Onde se obtêm os endereços de e-mail para enviarem este tipo de mensagens?

Os endereços de e-mail ou números de telemóvel utilizados para o envio de e-mails de phishing em nome da EDP não foram obtidos de qualquer base de dados da EDP. A informaçao é habitualmente recolhida através de listas de contactos de utilizadores cujo equipamento, ligado à internet, se encontra infetado com malware, propagando o esquema de phishing.

O que fazer para quem foi apanhado no esquema de phishing?

Caso um utilizador tenha carregado na ligação enviada pela mensagem fraudulenta e executado o ficheiro anexo deverá:
> procurar ajuda técnica especializada, indicando que instalou malware, vítima de um esquema de phishing (mostrar o e-mail ou SMS). Existem algumas indicações técnicas de limpeza de máquinas infetadas. Recomendamos que sejam realizadas por utilizadores experientes, pois incluem a execução de alguns comandos que, se realizados de forma incorreta, podem deixar o equipamento inutilizado e não resolver o problema por completo. Acresce que o esquema de phishing realizado em nome da EDP usa algumas variantes de malware, que poderão ter especificidades diferentes na sua limpeza;

> proceder à mudança de credenciais para os acessos mais sensíveis (ex: no homebanking mudar os códigos de acesso), não utilizando para o efeito qualquer computador ou equipamento que possa ter sido afetado e que não esteja comprovadamente “limpo”.

A EDP pode fazer alguma coisa para mitigar os impactos dos ataques de phishing de que foi vítima?

Apesar de ser totalmente alheia aos esquemas de phishing, a EDP pode e tem realizado ações com o objetivo de mitigar as consequências destes ataques de phishing, em concreto:
> à semelhança de todas as entidades que contribuem para o esforço de melhoria da cibersegurança nacional, lançar avisos de alerta e informações relevantes, através dos meios de comunicação que tem ao seu dispor;
> sempre que detetar um novo site que aloja malware, alertar o administrador desse site para o facto de o mesmo estar a ser usado de forma abusiva, devendo ser tomadas as medidas de correção das vulnerabilidades existentes;
> enviar ao seu fornecedor de antivírus o malware usado no esquema de phishing, de modo a que o mesmo possa ser analisado e desenvolvidos mecanismos de resolução do problema, que depois são distribuídos pelos utilizadores através das atualizações periódicas dos antivírus. Esta ação não soluciona a situação das máquinas já infetadas mas ajuda a prevenir novas infeções.

A fatura eletrónica EDP é segura?

A fatura eletrónica é o método mais eficaz de respeitar a privacidade e segurança da informação do cliente. A consulta da fatura está protegida por controlos de segurança robustos que regulam o serviço da fatura eletrónica, acessível para consulta ou impressão através da área reservada de cliente. Os casos de phishing que envolveram o nome da EDP não alteram em nada o nível de segurança de utilização da fatura eletrónica.