O que é o hacking e como proteger-se

Para responder resumidamente à questão “o que é um hacker”, trata-se de alguém que consegue identificar e explorar erros e vulnerabilidades em sistemas informáticos e aceder a dados que, de outra forma, não estariam disponíveis. A expressão hacking associa-se, em linguagem de senso comum, a fins ilegítimos (roubo de dados pessoais ou financeiros, ataques de ransomware, etc.), mas as mesmas técnicas podem ser usadas com objetivos legítimos (por exemplo, para investigação em cibersegurança).

O conceito nada tem com a ver com “growth hacking”, um conceito da área do marketing e que pediu o termo “emprestado” à gíria da cibersegurança, informática e tecnologias de informação e comunicação.

Vejamos em seguida os tipos de hacking mais comuns.

Tal como a palavra hacking se associa à intrusão ilegítima e não a um conjunto de técnicas, o termo hacker (também usado na grafia “haquer” na internet brasileira) é igualmente associado à figura do adolescente ou jovem adulto, ultra especializado em informática, a lançar ciberataques a partir do seu quarto. Em Portugal, a ideia de “jovem vagamente irresponsável” associada à figura de Rui Pinto remete também para esta ideia, em parte também pelo seu percurso pessoal invulgar e associado à mesma ideia.

O hacking, atualmente, já ultrapassou largamente este conceito. Pode ser implementado por grupos semiprofissionais ou totalmente profissionais, empenhando largos recursos em termos de tempo, competência e capacidade técnica, etc. É comummente aceite que departamentos de ciberdefesa estatais, integrando a estrutura militar dos respetivos países, trabalhem ativamente quer para lançar campanhas de desinformação quer para provocar danos reais em países inimigos.

Ainda assim, é essencial conhecer as técnicas e programas que os hackers utilizam com mais frequência, associados a um menor esforço e investimento por parte deles. Dessa forma podemos construir as nossas primeiras e mais eficientes barreiras contra o cibercrime e a atividade dos hackers.

Falsa rede Wi-Fi

Imagine que está num café, restaurante ou espaço público. Tenta ligar-se às redes Wi-Fi disponíveis. A lista mostra as redes dos estabelecimentos e diversas redes com nomes de código, ou personalizados por parte dos respetivos donos dos telemóveis. Trata-se de smartphones de outras pessoas e as redes estarão fechadas “a cadeado”.

Tenta ligar-se a uma rede com um nome aparentemente legítimo e aberto. Agora imagine que um hacker renomeou a sua própria rede com um nome igual ao do restaurante e a deixou aberta. Quantas pessoas irão ligar-se a essa rede, pensando estar a usar a do restaurante?

Subitamente, o hacker ficou com a possibilidade de monitorizar a sua ligação, levá-lo a instalar malware no seu telemóvel, etc. E provavelmente nem se aperceberá de que foi vítima de um ciberataque.

• A NordVPN pode protegê-lo? Sim. Ao encriptar o seu tráfego online, uma VPN como a NordVPN diminuirá drasticamente a possibilidade de um hacker poder ler ou aceder aos seus dados. Ainda assim, o melhor é nem chegar a ligar-se a uma rede falsa. Confirme sempre qual a rede e respetiva senha junto do responsável do estabelecimento.

Phishing

Um anúncio online desperta a sua atenção. Clica nele para saber mais. Ao clicar, o seu computador ou telemóvel pede autorização para ligar-se a outro servidor, para abrir o respetivo site, formulário, etc.

Se esse servidor for controlado por um cibercriminoso, tudo pode acontecer: download de malware, instalação de rastreadores no browser, etc. E se o anúncio ou o site estiverem bem feitos, você acabará por desistir do anúncio (pensando que houve um erro qualquer) e nem pensar mais no assunto.

Os anúncios falsos são apenas uma das formas de lançar ataques de phishing, nos quais o atacante tenta “pescar” potenciais vítimas. A divulgação de notícias sensacionalistas e o envio de mensagens que apelam ao lado emocional são outras formas de phishing muito disseminadas. A burla “Olá Pai Olá Mãe”, em voga através do WhatsApp, é uma modalidade específica – o chamado spear phishing – que tem sido brutalmente eficaz, atingindo inclusivamente uma governante e um ex-presidente do Tribunal Constitucional.

• A NordVPN pode protegê-lo? Depende. A funcionalidade Proteção Contra Ameaças da NordVPN impede-o de aceder a sites “manhosos” e inclui um ad blocker. Mas para eliminar totalmente esta possibilidade, só mesmo evitando anúncios e mensagens perigosos por completo. O browser que escolher também influencia.

Tailgating

Não devemos esquecer o tailgating, um conceito que se refere ao acesso por pessoas estranhas a divisões ou áreas reservadas de um edifício – pessoas que poderão aproveitar a intrusão para aceder a um computador ou rede. A apropriação de um telemóvel ou computador momentaneamente desbloqueados e sem vigilância insere-se neste conceito e é uma forma simples e muito eficaz de hacking.

• • A NordVPN pode protegê-lo? Depende. A VPN não pode impedir uma pessoa de ludibriar um segurança para entrar num edifício, claro. Mas a proteção que concede torna mais difícil a estranhos obter a informação necessária para lançar um ataque de tailgating certeiro.

Reutilização de credenciais

Suponha que um grupo de criminosos consegue hackear a base de dados de uma grande empresa como a TAP. Recolhe conjuntos de nomes de utilizador e passwords. Seguidamente, usa esses dados para tentar aceder às contas de utilizador dessas pessoas noutros serviços e portais online.

Qual a percentagem dessas pessoas que estará a usar o mesmo nome de utilizador e password no site da TAP e noutros? Muitas pessoas continuam a usar a mesma password em diferentes sítios, pelo que poderá ser compensadora para o criminoso.

• A NordVPN pode protegê-lo? Não. A encriptação dos seus dados não ajuda nesta situação; a única hipótese é mesmo usar uma senha diferente em cada portal ou serviço onde se inscreve. Por outro lado, a funcionalidade Dark Web Monitor pode ajudar, monitorizando a Dark Web e verificando se algumas credenciais possam ter sido expostas. (Leia mais sobre Dark Web vs. Deep Web aqui.) Se sim, poderá mudá-las de imediato antes que os criminosos tenham tempo de usá-las. Além disso, é fácil gerir muitas senhas diferentes usando um gestor de passwords como o NordPass.

Injeção de SQL

A técnica aplica-se a websites desenvolvidos na linguagem de programação SQL e que sejam inseguros. Se for o caso da sua empresa ou organização, será importante.

O hacker visita o site, abre um formulário e em vez de deixar uma questão ou inscrever-se como utilizador, insere um pedaço de código. O website aceitará o código, podendo passar dados ao hacker ou permitir-lhe atacar os futuros visitantes do site.

• A NordVPN pode protegê-lo? Não. Proteja os sites da sua empresa; mantenha-se afastado de sites inseguros ou desatualizados.

Sequestro de browser

O sequestro de browser é uma técnica geralmente relacionada com a dos anúncios falsos. O criminoso leva a vítima a clicar num anúncio; o browser da vítima é infetado com adware, abrindo um grande anúncio de anúncios incomodativos e difíceis de fechar! Irritada, a vítima recebe então uma mensagem como: “poderá existir um vírus no seu computador! Clique aqui para resolver o problema”. A vítima poderá ser levada a pagar por um serviço antivírus fictício.

• A NordVPN pode protegê-lo? Sim. A Proteção Contra Ameaças bloqueia ataques deste género e a sua base de dados é atualizada constantemente para bloquear novas ameaças que sejam identificadas a atacar na internet.

Vejamos em seguida os principais tipos de hackers, tendo em conta que estes termos definidos pela literatura especializada ajudam imenso a esclarecer o que está em causa.

Black Hat Hackers

O termo “hackers de chapéu perto” corresponde ao que se poderia chamar os “hackers propriamente ditos”, como o senso comum os interpreta: indivíduos com intenções maléficas, criminosos em busca de benefício próprio ou simplesmente de causar vandalismo, prejudicando outrem.

Aqui se incluem os mais diversos casos:

• pessoas, agindo em grupo ou individualmente, empenhadas em aceder a computadores de terceiros ou a redes empresariais;
• grupos que causam disrupção (ou “mandam abaixo”, na gíria popular) grande parte dos serviços de uma empresa de grande porte como a ciberataque Vodafone, ainda que não roubem dados, nem peçam resgate, nem causem outros danos que não os imediatos associados à suspensão de serviço;
• o ciberataque à Sony, em 2011, que expôs informação pessoal de 77 milhões de utilizadores;
• o famosíssimo ataque indiscriminado de ransonmware WannaCry de 2017;
• Etc.

White Hat Hackers

Os “hackers de chapéu branco” aplicam as técnicas de hacking mas com objetivos legítimos. Pode tratar-se de empresas ou até organismos estatais (militares ou de informação) que contratam peritos em hacking para os seus quadros. Tais peritos encarregar-se-ão de trabalhar nas ciberdefesas, evitar exploits antes que sejam utilizados e combater, por todos os meios, os hackers que queiram atacar os programas da empresa, do Estado, etc.

Importa notar que, tal como nas artes da guerra, a definição de um especialista em hacking como “black hat” ou “white hat” dependerá do posicionamento de quem a aplicar. Certamente que os ciberperitos das forças armadas norte-coreanas que se diz estarem por trás de ataques de ransomware e outros, sendo considerados “black hat” no Ocidente, serão considerados “white hat” e heróis nacionais na Coreia do Norte. Inversamente, os operativos norte-americanos e israelitas que atacaram o programa nuclear do Irão recorrendo ao worm Stuxnet em 2010 são encarados de forma diferente no Irão e em Israel.

A expressão “ethical hacking” (hacking ético) enquadra-se neste perfil, sendo associada a hackers de chapéu branco que, mesmo sem serem contratados por uma organização, se juntam voluntariamente a uma causa. O coletivo descentralizado “Anonymous” é muitas vezes designado por ambas as expressões, dependendo do tema e da perspetiva abordada (pelo grupo e por quem nele fala).

Grey Hat Hackers

A expressão “chapéus cinzentos”, menos referida nos média, refere-se a casos específicos em que, por exemplo, o hacker começa por atacar uma organização para depois lhe apresentar o resultado e incentivá-la a defender-se contra ataques semelhantes. Se a empresa se recusar a corrigir o exploit, o “chapéu cinzento” poderá trazer o caso a público para criar pressão que obrigue a empresa a fazê-lo.

Um caso destes aconteceu com o Facebook em 2013, tendo sido hackeado o perfil do próprio Mark Zuckerberg.

A palavra “hacking” começou por usada no contexto do “Tech Model Railroad Club”, um grupo informal de estudantes do MIT (Massachusetts Institute of Technology) que inventou o conceito e lhe aplicou este termo. Embora o contexto inicial fosse relativo à gestão de problemas técnicos de transporte ferroviário, o conceito e a cultura foram transportados para a informática. Com o surgimento dos primeiros computadores na década de 1960, esses entusiastas levaram consigo o termo “hacking” para o novo espaço tecnológico emergente, sendo que o MIT se encontrava na linha da frente em termos de desenvolvimento e inovação.

Nos anos 80, com a popularização dos computadores pessoais e a sua disponibilização para o grande público em geral, o interesse e a prática do hacking aumentaram significativamente. Muitas pessoas, movidas pela curiosidade e pela busca de conhecimento, experimentaram explorar e modificar os sistemas de computadores, ampliando ainda mais o uso do termo “hacking” para descrever essas atividades.

Inevitavelmente, surgiram os primeiros casos de utilização dessas técnicas para fins maliciosos, tais como o roubo de informações, invasões de sistemas, e outras formas de fraude cibernética. A necessidade de legislação contra essas atividades resultou na aprovação, nos Estados Unidos, da lei CFAA (“Computer Fraud and Abuse Act”), em 1986.

Tudo o que possa imaginar:

• Dados de identificação pessoal armazenados no seu telefone;
  • Seus;
  • Da sua família;
  • Dos seus amigos;
  • Dos seus colaboradores, colegas, parceiros, etc.
• Dados financeiros, referentes a saldos bancários, dados de acesso a contas bancárias ou a contas de e-wallets, etc;
• Dados de contactos de pessoas suas conhecidas, que possam vir a receber mensagens que pareçam escritas por si;
• Dados de início de sessão que possam estar armazenados no seu browser e usados para entrar nas suas contas;
• Dados de clientes da sua empresa, utilizadores dos serviços online fornecidos pela sua empresa ou organização, etc.
• Etc.

Para referir um exemplo, no caso do ataque informático ao sistema nacional de saúde britânico (NHS), estima-se que os dados pessoais de mais de um milhão de utentes tenham sido comprometidos.

Depende da natureza do ataque que sofrer e das intenções do hacker. Nalguns casos os sinais de alerta são imediatos e óbvios; por exemplo, quando uma empresa recebe uma mensagem a pedir um resgate ou um particular um pedido de dinheiro sob a forma de chantagem.

Noutros casos, como sucede quando acontece um vazamento de dados, poderá demorar até sentir as consequências – ou até nunca chegar a sofrê-las, se os dados que tiverem vazado não forem importantes. Por exemplo, se o vazamento se referir apenas a um conjunto de “username” e “password” num serviço onde não tenha preenchido dados de identificação pessoal quase nenhuns, e se não usar essa password noutros serviços.

O serviço “Have I Been Pwned?” é uma ferramenta conhecida para avaliar se um endereço de e-mail ou número de telemóvel foi incluído num vazamento identificado publicamente. Porém, a verdade é que a prevenção é de longe o melhor remédio.

Vejamos o que pode acontecer a quem sofrer um ataque desta natureza.

Perdas financeiras

Não importa se é um particular que é levado a transferir dinheiro para um suposto familiar (que afinal é um burlão), a pagar por um software antivírus fictício, a ter dinheiro desviado da conta bancária ou do PayPal, ou se é uma grande empresa ou organização forçada a pagar um resgate aos ciberatacantes para ter os seus dados de volta, ou simplesmente a perder negócios por via de ter deixado de poder operar durante um determinado tempo. O risco de perdas financeiras é real e está sempre presente.

Espionagem e chantagem

Nalguns casos, o criminoso pode não estar interessado nos seus dados pessoais mas… em si. Já se perguntou se um hacker pode aceder ao seu ecrã, à webcam do portátil ou smartphone, ou ao microfone? Sim, claro que pode! Os cibercriminosos usam malware específico, como spyware, para aceder remotamente e controlar a sua câmara, microfone e ecrã. De facto, indivíduos mal-intencionados usam frequentemente gravações de câmara e microfone para chantagear as pessoas posteriormente.

Casos como este, designados como “sextortion” se envolverem conteúdo erótico, podem ser executados por anónimos em busca de dinheiro ou vândalos em busca de divertimento ou gratificação sórdida; a cedência à chantagem pode funcionar, em ambos os casos.

Roubo de identidade

Acha que ter a mesma password em vários serviços online não é importante porque os hackers não fazem nada com ela? Pense de novo. Será que num desses serviços não estão dados como o seu e-mail, número de telemóvel, morada ou até número de identificação fiscal?

Esta é uma consequência menor associada ao roubo de dados; nos casos mais graves, pode levar a uma ação de roubo de identidade completa, se for possível recolher os dados pessoais de alguém em quantidade suficiente.

Perda de performance

O significado de hackeado pode, porém, ser bastante diferente. Algumas vítimas de hacking não sofrem perdas diretas em termos financeiros ou de dados pessoais, mas (não) veem os seus aparelhos ser utilizados por hackers. Sublinhamos o termo “não” porque a pessoa pode nunca chegar a saber.

Suponha que foi vítima de phishing bem-sucedido e que um cibercriminoso instalou malware no seu computador, passando a controlá-lo. Porém, o objetivo não é roubá-lo, mas sim usar as capacidades de processamento e memória do aparelho para fins particulares. O seu computador passou a fazer parte de uma botnet, que pode ser usada para lançar ataques DDoS, para minerar criptomoedas, etc.

Seria o equivalente a alguém roubar o seu carro de noite e entregá-lo de manhã, sem que você se apercebesse. Combustível gasto, desgaste do material, e sem saber porquê.

Na prática, o seu computador estará mais lento, a gastar bateria mais rapidamente, e até a aquecer de forma incompreensível – apenas porque está a ser usado por terceiros.

Basicamente, todos:

• Computadores, portáteis ou PC
• Tablets
• Smartphones (telemóveis digitais)
• Routers
• Dispositivos inteligentes (sensores, tomadas, assistentes virtuais, etc.)
• Etc.

No limite, qualquer dispositivo computorizado pode ser hackeado. Se um aparelho eletrónico pode ser operado informaticamente pelo seu proprietário ou administrador, poderá sê-lo também por um intruso.

É certo que os computadores Mac são menos vulneráveis a hacking que os Windows, mas também se registam casos de hackeamento de computadores Apple. No mesmo sentido, os iPhones podem tornar-se muito mais vulneráveis a acessos indevidos depois de proceder a um jailbreak.

Os wearables, eletrodomésticos inteligentes e aparelhos de domótica ligados em rede, num conceito de IoT ou Internet das Coisas, podem ser especialmente vulneráveis. O facto de normalmente acharmos que os hackers não lhes dão atenção, por não serem computadores “a sério”, faz com que deixemos as defesas a eles associadas mais fracas. Como uma janela que se deixa aberta por se acreditar que o ladrão não se lembrará de entrar por ela.

Porém, é precisamente por esse motivo que os hackers podem querer apossar-se do controlo do seu aspirador robótico. Estando ligado à sua rede doméstica, através dele poderão conseguir acesso a todos os computadores e smartphones da rede – ou simplesmente saber mais sobre os seus hábitos.

Claro que sim! Em Portugal, aplica-se a chamada “Lei do Cibercrime”, oficialmente Lei n.º 109/2009, de 15 de setembro, regulamentada pelo Decreto-Lei n.º 65/2021, de 30 de julho. Aplica-se também a Lei n.º 46/2018, de 13 de agosto, que transpõe para a leis nacionais a Diretiva da União Europeia 2016/1148.

Se foi vítima de ciberataque, não deixe de fazer queixa às autoridades e de pressionar no sentido de ver os seus direitos protegidos.

Veja algumas das principais medidas de cibersegurança para se proteger contra hackers.

• Faça sempre as atualizações (updates) que lhes forem sugeridas. É tentador clicar para adiá-las, mas estará a colocar-se em risco. Os updates são essenciais para eliminar vulnerabilidades já identificadas e que podem ser exploradas por hackers. Atualize tudo: sistema operativo (PC ou mobile), apps, programas do portátil, etc.
• Use a firewall para proteger os seus computadores. O Windows e o MacOS vêm com firewalls – software concebido para criar uma barreira entre a sua informação e o mundo exterior. As firewalls impedem acesso não autorizado à sua rede empresarial e alertam-no contra tentativas de acesso.
• Use passwords fortes. As boas senhas devem combinar letras maiúsculas e minúsculas, números e caracteres especiais. E não use a mesma palavra-chave em diferentes contas ou serviços. Recordamos que pode usar um gestor de passwords como o NordPass para geri-las.
• Ative a autenticação multifator ou de dois fatores. Uma simples password não é suficiente; combine-a com um segundo método de autenticação. Poderá ser uma app, o envio de um SMS, código ou token. O hacker que tentar aceder e só tiver acesso à sua password, acaba por “esbarrar” no segundo fator.
• Reduza a informação que partilha nas redes sociais. Ela pode ser usada contra si, quer para lançar ataques de engenharia social (se souberem algo sobre si saberão que tipo de mensagem poderão enviar para apelar às suas emoções) quer para roubo de identidade.
• Reduza a quantidade de serviços que usa. Assim reduz as probabilidades de ser vítima de um vazamento de dados. Não crie uma conta num serviço que não planeia usar.
• Mude as passwords de origem dos seus routers. Elas poderão ser identificadas por hackers, que poderão depois vasculhar a internet à procura da percentagem de routers cujos donos não se deram ao trabalho de as alterar.
• Evite sites que não usem a proteção HTTPS. Estão desatualizados e podem ser fonte de malware. Acima de tudo, não insira dados pessoais em tais sites.
• Torne-se cético, em geral. Desconfie de sites sem HTTPS, de notícias sensacionalistas, de anúncios com super pechinchas que acabam nos próximos 15 minutos, de cadeias de supermercados a oferecer eletrodomésticos pela partilha de um link ou sorteios fantásticos em troca de dados pessoais, e de outros apelos à emoção imediata.
• Use uma VPN. Um serviço como o da NordVPN cria um túnel de encriptação que torna praticamente indecifrável o conteúdo e a natureza das suas atividades online. A app também esconde o seu IP, dificultando a sua identificação, e vem com a funcionalidade de Proteção Contra Ameaças, que bloqueia anúncios, sites maliciosos e cookies rastreadores.

E já agora, alguma vez pensou como é que os hackers se protegem a eles mesmos? Para os hackers, usar dados de contacto reais é muito arriscado. Eles usam telefones “descartáveis”, baratos e quase de utilização única; múltiplos endereços de e-mail; e serviços de mensagens completamente encriptados, como o Signal, para manter a privacidade. São outras dicas que vale a pena aproveitar.