A Unidade de Cibersegurança da SPMS realizou, entre 20 e 25 de maio, uma simulação de phishing, com o objetivo de avaliar a resposta dos colaboradores perante uma das ameaças cibernéticas mais comuns e perigosas. A ação decorreu na SPMS e em quatro Unidades Locais de Saúde (ULS). 

O teste consistiu no envio de um e-mail com o tema ‘Formação on-line em inteligência artificial’, que incluía um link simulado com o objetivo de avaliar a sensibilização das melhores práticas de cibersegurança e prevenção do fornecimento de credenciais de acesso.

Phishing é a denominação de um tipo de ciberataque que usa o email, mensagens de texto, telefonemas ou sites falsos para iludir os utilizadores a partilhar dados confidenciais como credenciais, fazer instalação de “malware” ou expor o utilizador a outros tipos de cibercrimes, fazendo-se passar por entidades geralmente conhecidas e credíveis.

A página de phishing utilizada nesta campanha remetia para um URL não oficial e solicitava diretamente as credenciais de acesso, sem apresentar elementos visuais típicos de segurança, como logótipos, rodapés ou autenticação via SSO (Single Sign-On ou Login Único). 

Os resultados obtidos na SPMS revelam a importância de se continuar a investir em literacia digital e na adoção de comportamentos mais vigilantes. Metade dos destinatários (50%) abriu o e-mail malicioso, 5% clicaram no link e 3% introduziram as suas credenciais na página falsa. Apesar disso, 13% dos utilizadores reportaram o incidente, sinal de crescente consciencialização e resposta para este tipo de ataque. 

A iniciativa decorreu não só na SPMS, mas também em quatro Unidades Locais de Saúde (ULS) – Barcelos/Esposende, Alto Minho, Alto Alentejo e Coimbra – numa ação considerada uma “wake-up call de cibersegurança”.

Como agir quando suspeitamos de um ataque de phishing? 

A simulação serviu também para reforçar os sinais de alerta que devem ser tidos em conta na análise de e-mails suspeitos. Entre os principais indicadores estão erros subtis no endereço do remetente, mensagens com sentido de urgência, promessas de recompensas atrativas e o uso de linguagem genérica.  

 
Alguns exemplos que configuram um ataque de phishing: 

• Remetente suspeito: o endereço continha um erro (“sspms” em vez de “spms”); 
• Mensagem genérica: “Prezado Colaborador” é um exemplo clássico; 
• Urgência exagerada: expressões como “vagas limitadas” são isco comum; 
• Promessas de brindes: e-books, certificados ou acesso grátis? Desconfie; 
• Página falsa pedindo credenciais:  sites não institucionais, sem rodapés, logótipos, e outros sinais suspeitos; 
• Mensagem final suspeita: após inserir informações e credenciais, se recebe uma mensagem vaga como “Submetido com sucesso” ou nenhuma mensagem. 

O que devo fazer caso suspeite que recebi uma mensagem de phishing? 

• Não clique em links suspeitos: se tiver dúvidas sobre a legitimidade de um link, não clique; 
• Verifique o remetente:confirme se o endereço de e-mail ou o número de telefone corresponde ao da empresa que o remetente alega representar; 
• Denuncie: se suspeitar de phishing, denuncie o e-mail ou mensagem ao suporte informático da sua instituição ou empresa.  

Esta simulação veio reforçar uma realidade incontornável: a cibersegurança começa em cada um de nós. Numa altura em que as ameaças digitais são cada vez mais sofisticadas, é fundamental cultivar uma cultura de vigilância, responsabilidade e partilha de informação. Reconhecer os sinais de risco e agir de forma consciente são passos essenciais para proteger não só os sistemas, mas também as pessoas e os serviços de saúde que deles dependem.