A mensagem de correio apresentava o remetente disfarçado (funcionarios@governo.mad.com) através da técnica designada de spoofing, e o texto, aparentando normalidade, solicitava o preenchimento de dados pessoais numa página a que o destinatário chegava clicando numa hiperligação designada “formulário”, sendo desta forma redirecionado para um sítio cujo endereço consistia apenas do respetivo IP (sequência de 4 grupos de 3 dígitos que identifica o servidor na internet), consubstanciando assim um ciberataque designado por phishing (“pesca” de dados).
Para dar maior credibilidade ao vetor de ataque, a mensagem e a página no sítio internet falsificado, continham o logotipo oficial do Governo Regional, inserido através de uma simples hiperligação da imagem oficial.
Durante a execução do simulacro não foram recolhidos quaisquer dados pessoais, mesmo dos mais incautos que os submeteram, uma vez que na página falsificada os campos do formulário não se encontravam associados a qualquer repositório de dados, embora surgisse uma página final indicando sucesso no processo, apenas para credibilizar o ciberataque.
Esta iniciativa teve como objetivo exercitar e avaliar a maturidade da resposta dos trabalhadores da Administração Pública Direta da Região, incluindo os técnicos e especialistas de informática, face à ocorrência de ciberataques desta natureza, uma vez que este vetor de ataque tem sido responsável pela maior parte dos incidentes de Cibersegurança ocorridos a nível global, nomeadamente sequestro de dados (ransomware).
Permitiu também à PaGeSP analisar as vulnerabilidades e avaliar os riscos associados à gestão do serviço de correio eletrónico, incluindo a credibilidade da plataforma em exploração e a resiliência do sistema, bem como o potencial risco e dano associado à captura não autorizada de dados pessoais, matéria de especial importância, uma vez que estamos a um ano da efetiva entrada em vigor o Regulamento Geral de Proteção de Dados.
A PaGeSP recomenda a todos os trabalhadores em funções públicas e à população em geral que tomem medidas preventivas na utilização dos equipamentos com acesso à internet, nomeadamente a utilização de antivírus atualizado, firewall ativa e uso de passwords complexas. Por outro lado, devem conferir, sempre, as variáveis que permitam despoletar alguma desconfiança quanto à origem, conteúdo e ações requeridas pelo texto do correio eletrónico, tais como endereço desconhecido ou similar ao real e apelos a abrir anexos e clicar em hiperligações. Em caso de dúvida, os trabalhadores da Administração Pública Regional devem sempre contactar os serviços de suporte ao utilizador.