De acordo com um estudo da Google, cerca de um terço dos proprietários de smartphones utiliza os seus dispositivos exclusivamente para aceder a serviços bancários online, compras e correio electrónico.
À medida que grande parte do trabalho, a nível mundial, passa para o regime híbrido, os dispositivos móveis também se tornaram cada vez mais comuns entre os funcionários, e nem sempre sob a protecção da equipa de cibersegurança de uma organização. Um estudo realizado pela Microsoft em 2022 revelou que mais de dois terços (67%) dos trabalhadores utilizam o seu smartphone pessoal para tarefas relacionadas com o trabalho.
Os nossos dispositivos móveis representam uma vulnerabilidade muito real, não só no que diz respeito aos nossos dados pessoais, mas também no que diz respeito a dados de trabalho potencialmente sensíveis. Este ano, essa vulnerabilidade aumentou à medida que as ameaças móveis continuam a crescer em número e sofisticação.
A Check Point Research, líder mundial de soluções de cibersegurança, revelou que a maioria das organizações sofreu um ataque de malware móvel em 2022, com phishing (52%), comando e controlo (25%) e navegação automática para websites infectados (23%) entre os tipos mais comuns de tráfego malicioso. Os trojans bancários, concebidos para roubar as credenciais bancárias online dos utilizadores, e os marcadores premium, que subscrevem serviços de tarifa premium sem o conhecimento dos utilizadores, também estão a aumentar.
No relatório semestral de cibersegurança 2023 da Check Point, os dispositivos móveis continuam a revelar-se um vector de ataque comum. O malware “FluHorse”, por exemplo, camufla-se como aplicações Android populares, com o objectivo de extrair códigos de autenticação de dois factores (2FA) e outros dados sensíveis do utilizador. Outro malware, conhecido como “FakeCalls”, simula mais de vinte aplicações financeiras distintas e gera chamadas de voz fraudulentas, o que realça ainda mais as tácticas inovadoras utilizadas pelos cibercriminosos.
Aprender com o passado para preparar o futuro
Embora os dispositivos móveis ofereçam comodidade e eficiência, também apresentam um conjunto único de vulnerabilidades. A sua natureza omnipresente, combinada com medidas de segurança frequentemente pouco rigorosas, torna-os os principais alvos.
Uma das revelações mais alarmantes de 2023 é que, apesar dos avanços tecnológicos e da crescente dependência dos dispositivos móveis, estes continuam a ser um dos modos de ataque mais inseguros. Isto deve-se, em parte, ao facto de o ónus da segurança ter sido tradicionalmente colocado nos fornecedores, como a Apple ou o Android, e não em medidas de segurança adicionais e em camadas. Só o tempo dirá se nos próximos anos se assistirá a uma correcção de rumo nesta matéria.
Os riscos inerentes
Os riscos associados às ameaças móveis são multifacetados. Para além da ameaça imediata de roubo de dados, os dispositivos móveis podem servir de porta de entrada para os atacantes acederem às redes empresariais, conduzindo potencialmente a violações em maior escala ou a ataques à cadeia de fornecimento. O movimento dentro das redes, facilitado por dispositivos móveis comprometidos, pode ter efeitos em cascata, comprometendo vários sistemas e repositórios de dados.
Os dispositivos móveis são, obviamente, pontos finais de rede, o que significa que fazem frequentemente parte de cadeias de abastecimento complexas. As vulnerabilidades podem ser introduzidas nestas cadeias de fornecimento em qualquer fase, desde o fabrico do dispositivo e o desenvolvimento do software, até à implantação de serviços para os utilizadores finais. Os telemóveis, sobretudo os que não são propriedade da empresa ou que não são cuidadosamente monitorizados, são actualmente a parte mais fraca da cadeia.
Fora do âmbito empresarial, os dispositivos móveis são também alvos privilegiados para ataques de phishing e engenharia social. Os ecrãs mais pequenos podem dificultar a identificação de URL maliciosos e os utilizadores têm maior probabilidade de clicar em ligações fraudulentas em mensagens de texto ou aplicações de redes sociais quando estão distraídos ou em movimento. Há também receios de que os telemóveis estejam a criar uma cultura de dependência excessiva de tecnologias como a autenticação biométrica. Embora o reconhecimento facial e a leitura de impressões digitais sejam convenientes, não são infalíveis e podem ser falsificados por agentes maliciosos.
Quem é responsável pela segurança móvel?
Embora os fornecedores desempenhem um papel crucial na correcção de vulnerabilidades conhecidas, as organizações e os indivíduos devem tomar medidas proactivas para proteger os seus dispositivos. Confiar apenas no fornecedor é uma abordagem reactiva que deixa os dispositivos vulneráveis a ataques de dia zero. Em vez disso, uma abordagem de segurança a vários níveis, incluindo actualizações regulares do software, métodos de autenticação robustos e formação dos utilizadores, pode reduzir significativamente o risco representado pelas ameaças móveis.
À medida que olhamos para o futuro, prevê-se que o cenário de ameaças móveis se torne ainda mais complexo. Com a crescente integração de dispositivos IoT (Internet of Things ou, em português, Internet das Coisas) e as linhas ténues entre a utilização de dispositivos pessoais e profissionais, a potencial superfície de ataque continua a crescer. As organizações e os indivíduos devem manter-se vigilantes, dando prioridade à segurança móvel não como uma reflexão tardia, mas como um aspecto fundamental da sua estratégia global de cibersegurança.
Pese embora os dispositivos móveis tenham revolucionado a forma como vivemos e trabalhamos, também introduziram um novo conjunto de desafios no domínio da cibersegurança. Se compreendermos o cenário de ameaças em evolução e tomarmos medidas proactivas, poderemos usufruir das vantagens da tecnologia móvel sem comprometer a segurança.