A Unidade de Cibersegurança da SPMS realizou, entre 20 e 25 de maio, uma simulação de phishing, com o objetivo de avaliar a resposta dos colaboradores perante uma das ameaças cibernéticas mais comuns e perigosas. A ação decorreu na SPMS e em quatro Unidades Locais de Saúde (ULS).
O teste consistiu no envio de um e-mail com o tema ‘Formação on-line em inteligência artificial’, que incluía um link simulado com o objetivo de avaliar a sensibilização das melhores práticas de cibersegurança e prevenção do fornecimento de credenciais de acesso.
Phishing é a denominação de um tipo de ciberataque que usa o email, mensagens de texto, telefonemas ou sites falsos para iludir os utilizadores a partilhar dados confidenciais como credenciais, fazer instalação de “malware” ou expor o utilizador a outros tipos de cibercrimes, fazendo-se passar por entidades geralmente conhecidas e credíveis.
A página de phishing utilizada nesta campanha remetia para um URL não oficial e solicitava diretamente as credenciais de acesso, sem apresentar elementos visuais típicos de segurança, como logótipos, rodapés ou autenticação via SSO (Single Sign-On ou Login Único).
Este tipo de ações é fundamental para treinar os profissionais com vista a fortalecer a postura de cibersegurança individual e das organizações. Ao simular ataques de phishing de forma controlada, é possível avaliar o grau de preparação dos colaboradores, promover boas práticas e reduzir o risco de compromissos por engenharia social.
Os resultados foram animadores, no entanto, revelam a importância de investir continuamente em literacia digital e na adoção de comportamentos vigilantes por parte dos profissionais, uma vez que existiram colaboradores a clicar no link e a inserir as suas credenciais, o que numa situação real poderia resultar em compromisso da sua conta. Por outro lado, tivemos vários utilizadores a reportar este email às suas equipas de informática/cibersegurança, sinal de crescente consciencialização e resposta para este tipo de ataque.
A iniciativa decorreu não só na SPMS, mas também em quatro Unidades Locais de Saúde (ULS) – Barcelos/Esposende, Alto Minho, Alto Alentejo e Coimbra – numa ação considerada uma “wake-up call de cibersegurança”.
Alguns exemplos que configuravam um ataque de phishing na simulação:
- Remetente suspeito: o endereço continha um erro (“sspms” em vez de “spms”);
- Mensagem genérica: “Prezado Colaborador” é um exemplo clássico;
- Urgência exagerada: expressões como “vagas limitadas” são isco comum;
- Promessas de brindes: e-books, certificados ou acesso grátis? Desconfie;
- Página falsa pedindo credenciais: sites não institucionais, sem rodapés, logótipos, e outros sinais suspeitos;
- Mensagem final suspeita: após inserir informações e credenciais, se recebe uma mensagem vaga como “Submetido com sucesso” ou nenhuma mensagem.
O que devo fazer caso suspeite que recebi uma mensagem de phishing?
- Não clique em links suspeitos: se tiver dúvidas sobre a legitimidade de um link, não clique;
- Verifique o remetente: confirme se o endereço de e-mail ou o número de telefone corresponde ao da empresa que o remetente alega representar;
- Denuncie: se suspeitar de phishing, denuncie o e-mail ou mensagem ao suporte informático da sua instituição ou empresa.
Esta simulação veio reforçar uma realidade incontornável: a cibersegurança começa em cada um de nós. Numa altura em que as ameaças digitais são cada vez mais sofisticadas, é fundamental cultivar uma cultura de vigilância, responsabilidade e partilha de informação. Reconhecer os sinais de risco e agir de forma consciente são passos essenciais para proteger não só os sistemas, mas também as pessoas e os serviços de saúde que deles dependem.
