O documento entregue na terça-feira pelo Governo na Assembleia da República considera que o impacto dos incidentes “continua a ser relevante”, pois quase metade dos registos “teve um forte envolvimento do fator humano, nomeadamente os do tipo ‘Phishing’ (fraude eletrónica para obtenção ilegal de dados pessoais) e Engenharia Social”.
A fraude destaca-se, com 806 registos, apesar de uma baixa (-65) em relação ao ano anterior, seguindo-se 391 tentativas de intrusão (+341), 219 casos de código malicioso (-81), 212 de recolha de informação (-88), 188 de intrusão informática (-14), 88 de vulnerabilidade (+18), 64 casos de violação de segurança de informação (-14), 35 de disponibilidade de serviço (-22), seis de conteúdo abusivo e 16 casos classificados como ‘outros assuntos’ (-14).
Em 2023, o CERT.PT processou 5.830 notificações, menos 35% do que no ano anterior.
Os dados do RASI apontam que enquanto 22,6% das notificações resultaram em incidentes abertos em 2022, este valor fixou-se nos 34% em 2023, sendo que naquele ano foi verificada uma maior eficácia das notificações relativamente ao registo de incidentes.
As quatro classes com mais registos de incidentes foram a fraude, tentativa de intrusão, código malicioso e recolha de Informação.
Na classe de fraude, o tipo de incidente mais frequente foi o ‘phishing’, com 700 registos (34,6% do total de incidentes), sendo ao longo dos anos de registo o ilícito com mais consistência ao longo dos últimos anos, apesar de um decrescimento de 6% face ao ano anterior.
No âmbito da ‘tentativa de intrusão’, o tipo mais frequente foi a ‘tentativa de login’, com 375 registos (18,5%), sendo que na classe ‘código malicioso’, o maior número de registos foi de ‘distribuição de malware’ (software informático com intenção maliciosa), com 124 ocorrências (6,1%).
Na ‘recolha de informação’, destacou-se em 2023 a ‘engenharia social’ (técnica de manipulação que explora erros humanos para obter informações privadas, acessos ou coisas de valor), com 205 incidentes (10,1%).
Dois tipos de incidentes implicaram uma forte exploração das fragilidades do fator humano, o ‘phishing’ e a ‘engenharia social’, destaca o documento, correspondendo ambos a 44,7% dos incidentes registados.
O RASI aponta que em 2023 o modo de operação nestes dois tipos de incidentes são semelhantes aos do ano anterior, sendo que no caso do ‘phishing’, sobressaem campanhas que procuraram capturar dados pessoais e sensíveis personificando marcas de instituições bancárias, plataformas de correio eletrónico e de entidades que prestam serviços de logística e transportes.
Na esfera dos eventos de engenharia social, por sua vez, foram relevantes situações de uso de telefonemas ou mensagens instantâneas para conduzir as vítimas a revelar dados pessoais e sensíveis ou a praticar ações contra os seus interesses, como a instalação de código malicioso nos seus dispositivos ou a realização de transferências bancárias.
Lusa