Segurança da Informação 2

Prévia do material em texto

Segurança 
da Informação
Material Teórico
Responsável pelo Conteúdo:
Prof. Me. Vagner da Silva
Revisão Textual:
Prof. Me. Luciano Vieira Francisco
Principais Tipos de Ataques e Ameaças
• Introdução aos Ataques e às Ameaças;
• Tipos de Ataques.
• Estabelecer os conceitos de ataque e ameaça e apresentar quais são os ataques mais 
utilizados em redes locais e de acesso remoto;
• Entender como são feitos os principais ataques e quais são as vulnerabilidades que alguns 
protocolos oferecem na rede de computadores;
• Compreender porque a engenharia social é o ataque que mais oferece resultados positi-
vos e quais são os métodos mais utilizados atualmente.
OBJETIVOS DE APRENDIZADO
Principais Tipos de Ataques e Ameaças
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem 
aproveitado e haja maior aplicabilidade na sua 
formação acadêmica e atuação profissional, siga 
algumas recomendações básicas:
Assim:
Organize seus estudos de maneira que passem a fazer parte 
da sua rotina. Por exemplo, você poderá determinar um dia e 
horário fixos como seu “momento do estudo”;
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
alimentação saudável pode proporcionar melhor aproveitamento do estudo;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos 
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua 
interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o 
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de 
aprendizagem.
Organize seus estudos de maneira que passem a fazer parte 
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Determine um 
horário fixo 
para estudar.
Aproveite as 
indicações 
de Material 
Complementar.
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
Não se esqueça 
de se alimentar 
e de se manter 
hidratado.
Aproveite as 
Conserve seu 
material e local de 
estudos sempre 
organizados.
Procure manter 
contato com seus 
colegas e tutores 
para trocar ideias! 
Isso amplia a 
aprendizagem.
Seja original! 
Nunca plagie 
trabalhos.
UNIDADE Principais Tipos de Ataques e Ameaças
Introdução aos Ataques e às Ameaças
Ao descrever sobre segurança da informação, alguns termos surgirão frequente-
mente e deverão ser bem-conceituados para a devida compreensão do assunto; de 
modo que entre os conceitos utilizados em segurança da informação temos:
• Exploit: código capaz de explorar as vulnerabilidades;
• Vulnerabilidade: algo que está frágil, podendo fornecer uma porta de entrada 
a um ataque;
• Ameaça: ação que se aproveita de uma vulnerabilidade;
• Ataque: incidência da ameaça sobre a vulnerabilidade;
• Risco: possibilidade de a ameaça ocorrer.
Em segurança da informação, os responsáveis devem estar sempre atentos às 
ameaças que a organização pode sofrer, afinal, pode colocar em risco os pilares da 
segurança – confidencialidade, integridade, disponibilidade. As vulnerabilidades de-
vem ser identificadas sob o risco de comprometer toda a segurança da organização.
As ameaças podem ocorrer de forma lógica, em que são usados códigos – exploit –, 
ou física – podendo também comprometer a segurança dos dados pelo acesso ou expo-
sição a áreas ou equipamentos indevidos. Entre as ameaças físicas podemos citar:
• Alagamento;
• Raios;
• Desabamentos;
• Acessos indevidos.
E dentro do que conhecemos como ameaças lógicas temos:
• Infecções por vírus;
• Acessos remotos à rede;
• Violações de senhas.
Os ataques também se dividem em dois grupos, podendo ocorrer de maneira 
interna ou externa:
Dentro da composição dos ataques internos estão os funcionários insatisfeitos ou 
aqueles que querem, por algum motivo, vingança; há ainda aqueles que compõem 
organizações de espionagem. Em um aspecto mais atenuante – porém, não menos 
prejudicial à segurança – estão os funcionários despreparados e que pelas configu-
rações ou instalações malfeitas, podem comprometer a segurança da informação.
Os ataques externos geralmente são realizados por crackers que são motivados 
a encontrar vulnerabilidades em equipamentos e aplicativos para roubar dados con-
fidenciais, ou como desafio aos obstáculos que são colocados.
8
9
Tipos de Ataques
Há alguns ataques já bem conhecidos, objetivando o roubo de informações, ou 
então a indisponibilidade do serviço; de modo que serão descritas as características 
dos principais casos.
Denial of Service (DoS)
Tem como principal característica negar um serviço ao usuário. A indisponi-
bilidade do serviço pode ser realizada de diversas formas, desde a utilização de 
ferramentas que inundem de requisições os servidores, até a geração de radiofrequ-
ências que interfiram em dispositivos WiFi.
Inundar os servidores com solicitações pode fazer com que fiquem sobrecarre-
gados e sejam impedidos de executar as suas tarefas e, consequentemente, acabam 
por parar o(s) serviço(s). Esse tipo de procedimento era muito usado há muitos 
anos, utilizando-se do comando ping direcionado ao servidor a ser atacado.
Um dos ataques mais utilizados usa a vulnerabilidade do protocolo TCP. Ao fazer 
uma requisição de página web a um servidor, há uma comunicação previamente 
estabelecida para depois começar a trocar os dados da própria página. Tal comuni-
cação prévia denomina-se handshake triplo, correspondendo aos sinais dos passos 
1, 2, 3 e 4 da Figura 1:
Cliente (Máquina A)
Servidor (Máquina B)
SYN Flag = 1, Seq # = 3001
2
3
4
5
6
7
8
9
10
11
12
Conexão TCP é �nalizada
Conexão TCP desfeita em B
Conexão TCP desfeita em A
Transferência de dados é iniciada
Conexão TCP é estabelecida
Seq # = 305, Ack # = 805
Seq # = 804, Ack # = 305, ACK Flag = 1, FIN Flag = 1
[Data] Seq # = 803, Ack # = 305, ACK Flag = 1
Seq # = 304, Ack # = 803, ACK Flag = 1
[Data] Seq # = 802, Ack # = 304, ACK Flag = 1
Seq # = 303, Ack # = 802, ACK Flag = 1, FIN Flag = 1
[Data] Seq # = 302, Ack # = 802, ACK Flag = 1
[Data] Seq # = 801, Ack # = 302, ACK Flag = 1
[Data] Seq # = 301, Ack # = 801, ACK Flag = 1
Ack # = 801, ACK Flag = 1
Seq # = 800, Ack = 301, SYN Flag = 1, ACK Flag = 1
Figura 1 – Handshake triplo TCP
A partir do passo 4 (Figura 1), os dados são trocados entre o cliente e servidor. 
O ataque feito denomina-se SYN flooding, onde um computador cliente tenta 
estabelecer a comunicação utilizando-se de várias requisições do sinal SYN do 
9
UNIDADE Principais Tipos de Ataques e Ameaças
passo 1. No passo 2, o servidor envia uma resposta ao cliente e utilizando-se de 
uma ferramenta ou comando adequado, o cliente não responde com o passo 3, ou 
seja, o cliente evita apenas o passo 1 de forma ininterrupta. O servidor manterá 
abertas as conexões que não foram respondidas pelo cliente, sobrecarregando-se 
de tal forma a parar o serviço. 
O DoS pode ser aplicado também em redes WiFi, geralmente de forma não 
intencional ao instalar o roteador WiFi próximo a aparelhos que trabalham na mes-
ma frequência de transmissão – tais como fornos de micro-ondas, telefones sem fio 
e babás eletrônicas –, interferindo na frequência e, consequentemente, bloqueando 
o sinal WiFi. Um gerador de frequência com potência suficiente para anular o sinal 
WiFi pode também ser empregado propositalmente a fim de parar esse serviço. 
Distributed Denial of Service (DDoS)
Tem a mesma finalidade do DoS, porém, a sua forma de ataque é aplicada de 
modo diferente, pois são empregadas várias máquinas para acometer um único 
servidor. Tais ataques podem ser realizados utilizando-se um vírus instalado na 
máquina deuma pessoa que, sem saber da infecção, participará desse processo. 
Dito de outra forma, um programa simples – vírus – pode ativar o ataque sem que 
o usuário perceba, reiterando requisições de um servidor por tempo indeterminado.
Esse vírus, quando instalado em milhares de máquinas, pode ativar o ataque em 
um momento pré-determinado, de modo que milhares de requisições serão realiza-
das ao mesmo tempo, fazendo com que o servidor não consiga responder a todas, 
de modo a parar o serviço em razão da alta demanda de requisições.
Para que esse tipo de ataque tenha sucesso, grande quantidade de máquinas 
deve participar de forma simultânea. Além disso, para dar vazão aos pacotes requi-
sitantes, uma boa largura de banda se faz necessária. Essas características, aliadas 
a ferramentas hackers, facilitam os ataques.
Port Scanning Attack
Este tipo de ataque consiste em utilizar ferramentas para encontrar vulnerabi-
lidades. Utilizado para varrer servidores em busca de portas abertas e possíveis 
informações que possam ser utilizadas para invasão.
Há várias ferramentas disponíveis para fazer esse tipo de ataque. Primeiramente 
utiliza-se o protocolo ICMP pelo comando ping, a fim de verificar se uma máquina 
está ativa na rede, ou traceroute para mapear roteadores até um destino.
Após a confirmação das máquinas ativas, utiliza-se ferramentas para varrer as por-
tas que estiverem abertas. Conforme visto na Figura 1, a comunicação TCP é estabele-
cida após a troca de informações entre as máquinas, de modo que a norma específica 
estabelece o seguinte: sempre que houver uma porta aberta, responderá com um SYN 
+ ACK; e a toda porta fechada, responderá com um RST. Portanto, ao utilizar uma 
ferramenta para varrer portas, esta saberá como informar o status de cada qual.
10
11
Ataque de Força Bruta
É a forma mais conhecida para quebrar senhas. Consiste em fazer um ataque 
utilizando várias tentativas e conexões a partir das credenciais de um provável usu-
ário da máquina a ser invadida. Diversas combinações de senhas são inseridas ou 
criadas em uma lista que é usada para tal.
A lista pode conter o nome de usuário e/ou a senha, então chamada de wordlist, 
a qual apresenta uma combinação, comumente, de senhas utilizadas no ataque. 
Wordlist pode ser encontrada para download na internet, ou pode ser gerada com 
ferramentas disponíveis para tal finalidade.
Ataque MAC Flooding
Os ataques descritos até o momento são realizados por pessoas que estão fora 
da rede da empresa; de modo que internamente, na própria rede LAN, há outras 
abordagens que se aproveitam das vulnerabilidades que essa rede possa oferecer.
Assim, o ataque MAC flooding consiste em assaltar o switch da rede, este que 
armazena, em sua tabela MAC, as correspondências de endereço MAC e porta do 
switch; de modo que quando um quadro chega ao switch, possibilita abri-lo para ler 
o endereço MAC de destino e verificar por qual porta tal quadro sairá. O problema 
está na limitada quantidade de memória para armazenar esses endereços MAC.
Aproveitando-se dessa característica, o atacante gera vários endereços MAC fal-
sos que preencherão toda a tabela MAC, sem deixar espaço para endereços MAC 
verdadeiros. Nessa situação, o switch comporta-se de um dos dois modos possíveis: 
simplesmente deixa de funcionar; ou passa a encaminhar os pacotes de forma bur-
ra, ou seja, encaminha para todas as portas, comportando-se como fosse um hub; 
neste caso, encaminhar os quadros para todas as portas fará com que trafeguem 
na rede, sendo facilmente capturados pelo atacante – enquanto que a análise dos 
pacotes capturados pode ser realizada por ferramentas apropriadas.
ARP Spoofi ng
O protocolo ARP tem a função de buscar o endereço MAC de uma máquina 
pelo endereço IP desta. Toda a comunicação em nível de camada dois é operada 
por quadros que contêm os campos de endereço MAC de origem e destino para es-
tabelecer comunicação em uma rede LAN. Portanto, quando a máquina não sabe 
o endereço MAC, o protocolo ARP entra em ação por broadcast para encontrá-lo.
O ataque ocorre a partir do momento em que uma máquina mal-intencionada 
recebe tal solicitação, por broadcast, e responde com o seu endereço MAC. Assim, 
passa a receber quadros da rede local e poderá capturá-los para análise.
Ransomware
Entre os ataques mais temerosos às empresas figura o ransomware, que con-
siste em sequestrar os dados da organização, impossibilitando o acesso aos quais. 
11
UNIDADE Principais Tipos de Ataques e Ameaças
Frequentemente os ataques são realizados pelo acesso remoto ao computador-alvo, 
criptografando os dados e informando, via mensagem, que serão devolvidos me-
diante um pagamento, comumente realizado por meio de criptomoedas.
Esse tipo de ataque não é operado apenas pelo acesso remoto, pois há casos 
em que ocorre ao se selecionar links maliciosos ou mesmo por algumas vulnerabi-
lidades na máquina. Embora existam determinadas formas de infectar a máquina, o 
objetivo final é sempre o mesmo, ou seja, deixar o usuário refém, pois não há muito 
o que se fazer ao ser infectado.
Empresas tiveram prejuízos enormes, de modo que quando são veiculados ata-
ques desse tipo, muitas das quais preferem desligar as máquinas a ter os seus dados 
criptografados. A paralisação da rede, pelo desligamento das máquinas, leva tam-
bém a prejuízos significativos. 
Os ataques que foram vistos até então envolvem alguma técnica ou ferramentas 
para obter sucesso. Há, contudo, outra linha de ataques que contempla a manipu-
lação dos sentimentos das pessoas, utilizando-se de determinadas ferramentas, ou 
de uma “boa conversa”, apenas; ataques assim são chamados de engenharia social, 
sobre os quais discorreremos a seguir.
Engenharia Social
A engenharia social corresponde a um conjunto de técnicas utilizadas pela maio-
ria dos estelionatários ou mesmo por pessoas que realizam phishing na internet ou 
em qualquer outro tipo de invasão com o objetivo de enganar, obter informações 
das pessoas, manipulando os seus sentimentos e as aspirações contidas nos seres 
humanos. Não se trata de uma técnica empregada apenas por pessoas mal-inten-
cionadas, mas também muito utilizada por policiais para desvendar algum tipo de 
comportamento ilícito usado em sites na internet. 
O Facebook e qualquer outro site de relacionamento são pesquisados frequente-
mente por policiais em busca de algum comportamento considerado estranho para, 
então, a tomada de providências usando, quando necessário, algum recurso de en-
genharia social. Uma das técnicas que veremos no decorrer desta Unidade se refere 
à confiança, de modo que as autoridades, passando-se por outras pessoas – a fim de 
criar certa afinidade –, tentam se aproximar de uma determinada pessoa para obter 
informações. Existem vários meios usados pelos estelionatários com o objetivo de 
manipular os sentimentos, métodos praticados tanto na internet como fora desta.
Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia 
de segurança que tínhamos para manter os computadores longe de ataques não eram 
as mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoa-
mento e desenvolvimento. Por exemplo, se formos comparar o Windows XP com o 
Windows 7, perceberemos que novos recursos de segurança foram implementados.
Se os investimentos em segurança são realizados pelas empresas, se temos softwares 
cada vez mais seguros e, consequentemente, redes de computadores protegidas, por que 
os ataques aumentam?
Ex
pl
or
12
13
Percebe-se uma contradição em relação ao exposto, de modo que a resposta é 
a seguinte:
Os invasores perceberam que não adianta atacar a tecnologia, ou seja, o elo mais 
fraco de toda a segurança ainda é o ser humano, afinal, o usuário continua por trás 
dessas tecnologias. Assim, o fator humano é um problema gravíssimo, pois por 
mais que existam sistemas seguros, suportados em tecnologias de ponta, a grande 
maioria dos usuários não sabe lidar com o sistema de forma corretaou não recebe 
a instrução ou treinamento adequado, subestimando a possibilidade de sofrer um 
ataque; daí que o ser humano é facilmente enganado por um engenheiro social.
O tema engenharia social não é considerado novo, pois convivemos com isto o 
tempo todo, o que comumente pode ser visto no comportamento das pessoas; afi-
nal, sempre que alguém se utilizar de algum tipo de sentimento para obter algo em 
benefício próprio, isto será considerado engenharia social. É lógico que esse tipo de 
comportamento é totalmente diferente daqueles que você estudaria nesta Unidade: 
existem engenheiros sociais ditos “normais”, ou seja, que agem intuitivamente; e 
existem engenheiros sociais que objetivam cometer crimes.
Portanto, a engenharia social se baseia em atacar o elo mais fraco do sistema, 
o ser humano; razão pela qual é conhecida como a arte de enganar, manipulando 
pessoas e obtendo informações sigilosas das quais.
Várias técnicas de engenharia social foram demonstradas no fi lme Hacker 2: operação takedown; 
trata-se da história fi ccional do hacker Kevin Mitnik, cassado pelo FBI depois de aplicar vários ata-
ques e conseguir informações sigilosas. Por este motivo, fi cou preso durante cinco anos e proibido 
de usar computadores.
Ex
pl
or
Considerando as pessoas físicas, a engenharia social pode ser aplicada de vá-
rias formas, pode-se, por exemplo, conseguir os dados da conta corrente – incluin-
do a senha. É comum você ver pessoas desatentas em caixas de banco solicitando 
informações a pessoas desconhecidas ou indivíduos se aproximando de outros 
para oferecer ajuda, tendo como objetivo obter a senha e outras informações.
Temos também os casos de sequestro e ataques de vigaristas. O site de relacio-
namento Facebook é uma rica fonte de informações, podendo ser utilizado com o 
objetivo de sequestrar alguém, pois muitas pessoas deixam os dados considerados 
confidenciais abertos para que qualquer outro possa acessar. Com isto, fica fácil 
levantar características e informações para fazer um ataque de engenharia social, 
pois não é difícil arquitetar uma invasão usando informações como nome do namo-
rado, ano de nascimento, álbum de fotos, recados, comunidades e outras informa-
ções que geralmente ficam expostas.
Por incrível que pareça, há ainda muitos usuários desatentos ou com pouco 
conhecimento, acabando por propiciar aos engenheiros sociais informações pre-
ciosas, com as quais alguém pode iniciar contatos, seja por telefone, e-mail ou até 
fisicamente e ganhar a confiança para posteriormente aplicar algum tipo de golpe.
13
UNIDADE Principais Tipos de Ataques e Ameaças
No meio jurídico, as empresas devem se preocupar também com a engenharia 
social, inclusive colocando-a como um dos itens de risco à segurança de rede, isto, 
infelizmente, nem sempre acontece nas organizações – embora, muitas vezes não 
percebam, sofrem algum tipo de ataque usando a engenharia social.
O vazamento de informações é outro problema encontrado pelas organizações, 
pois em uma conversa informal, um funcionário pode passar dados importantes e 
confidenciais que poderão ser utilizados por empresas concorrentes.
É costume os funcionários se encontrarem após o expediente para um happy 
hour e trocar informações sobre o trabalho do dia a dia, de modo que um indivíduo 
pode se aproveitar dessas circunstâncias e até tentar uma aproximação para obter 
mais informações. Neste caso, percebe-se que o funcionário não tem a maldade de 
prejudicar a própria empresa, no entanto, acaba por fazê-lo.
Para que isso não aconteça, deve ser instruído dos riscos que determinadas in-
formações podem causar à organização e a si caso venham a ser divulgadas para 
terceiros. Certamente, a perda financeira será a consequência desse vazamento de 
informações, portanto, conhecer as técnicas e os ataques usados em engenharia 
social é de suma importância para todos aqueles que trabalham com informação.
Como você poderá ver ao longo desta Unidade, alguns casos são bem conhe-
cidos e outros surgirão; o importante a ser notado é que ainda que as formas de 
ataque sejam diferentes entre si, o objetivo permanece o mesmo, a manipulação 
do ser humano.
Ademais, seja através da internet ou de telefone, a engenharia social pode ser 
realizada por meio de ataques com as seguintes abordagens:
• Phishing consiste em um ataque onde são enviados e-mails para vários usuários. 
Tais mensagens apresentam conteúdo que chamará a atenção, fazendo com que 
o destinatário abra a mensagem e execute o que veio como anexo ou clique no 
link que está no corpo do próprio e-mail; com isto, um programa será executado 
e, provavelmente, o seu computador terá as informações roubadas pelo qual. 
Esse tipo de ataque é um dos mais utilizados pelos hackers atualmente.
• Pharming é outro tipo de invasão, o qual consiste em gerenciar vários phishing 
sob a sua custódia – pharm significa fazenda, no sentido de criar, manter os 
computadores infectados com phishing.
O roubo de identidade é uma terceira forma de ataque, comumente aplicada 
com o envio de e-mail de pessoas conhecidas para prover confiança. Tal mensa-
gem pode conter arquivos para execução ou solicitar que o destinatário abra uma 
apresentação ou veja uma imagem. O único problema é que embora o e-mail tenha 
o endereço da pessoa conhecida, não foi enviado pela qual, ao passo que o conte-
údo que fornece é malicioso.
Por acreditar que é um e-mail de uma pessoa conhecida, cria uma das principais 
características da engenharia social, a confiança. Dificilmente o destinatário deixará 
de ver o conteúdo enviado e contaminará a própria máquina com programas que 
lhe monitorarão e até roubarão as suas informações.
14
15
A engenharia social não usa apenas a tecnologia para atingir os seus objetivos, 
dado que pode também se manifestar pessoalmente, ou seja, presencialmente e 
por meio das seguintes técnicas:
• No shoulder surfing uma pessoa fica observando a outra para obter dados 
como o login e a senha. Em bancos ou laboratórios de informática, posicio-
nam-se atrás das vítimas, observando o que digitam. Muitos não dão tanta im-
portância para esse tipo de postura, no entanto, já houve casos em que bancos 
foram roubados com a utilização desse método.
• Rush authentication utiliza da boa vontade de outra pessoa para ter acesso 
ao local ou às informações dessa; por exemplo, determinada área pode ser 
acessada apenas por quem tem cadastro biométrico; assim, para conseguir 
adentrar, o engenheiro social pode simular que carrega uma caixa pesada, 
esperando que uma pessoa abra a porta para si e, daí, pedindo que a segure a 
fim de que possa aproveitar a passagem – dado que as suas mãos estão ocupa-
das carregando a tal caixa –, comumente há pessoas que procuram ajudar as 
demais em situações difíceis; contudo, neste caso, ainda que sem a utilização 
da biometria, o engenheiro social consegue entrar no local que originalmente 
lhe era inacessível.
A confiança é muito explorada em engenharia social, de modo que – em outro 
exemplo – o golpe da música do telefone procura adquirir confiança de uma deter-
minada pessoa à qual se deseja atacar: esse tipo de abordagem consiste em gravar 
a música em espera que determinada empresa costuma usar para, ao fazer uma 
chamada telefônica a determinado funcionário dessa organização, então se passan-
do por outro profissional dessa mesma instituição, o engenheiro social comentar 
receber outra chamada e pedir ao primeiro interlocutor que o aguarde por alguns 
instantes, momento em que coloca o telefone em espera com a referida música 
para que, ao ouvir e reconhecer tal canção, a vítima acreditar que tudo ocorre den-
tro da normalidade empresarial, ficando, a partir daí, mais acessível e proativa em 
ajudar no que lhe for solicitado.
Boatos também podem trazer benefícios ao atacante. Por exemplo, considere 
que as bolsas de valores ao longo do Planeta frequentemente sofrem com rumores 
de determinadas notícias que se mostram falsas, fazendo com que oscilem paracima ou para baixo. Nesse sentido, há algum tempo, bem antes de morrer, um 
boato sobre a saúde de Steve Jobs, então da Apple, foi divulgado; em consequência 
disso, as ações da empresa caíram significativamente. Caso essa notícia tenha sido 
veiculada com tal propósito, então o atacante pôde aproveitar o momento de baixo 
valor das ações a fim de comprar a quantidade que seus recursos lhe permitiam; 
quando o boato foi, então, esclarecido, as ações da empresa voltaram ao patamar 
financeiro original – ou passaram a valer um pouco mais –, de modo que o boatei-
ro fez valorizar a sua aquisição, pois comprou na baixa, tendo-as valorizadas para, 
adiante, vender por um preço que lhe fosse mais interessante.
Conforme comentado, phishing é um ataque enviado por e-mail para chamar a 
atenção do usuário através de conteúdo que o deixe curioso, comumente composto 
15
UNIDADE Principais Tipos de Ataques e Ameaças
por mensagens relacionadas à promoção ou o convidando a visitar determinada 
página de relacionamento, ou ainda felicitando o destinatário pelo “prêmio ganho”.
Embora existam várias mensagens com conteúdos diferentes, o objetivo é um 
só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário 
clique em um botão ou link para executar ou instalar e executar um programa na 
máquina. Quem pratica o phishing é chamado de phishing scammer.
Um exemplo típico de phishing está representado na seguinte Figura:
Figura 2 – Phishing O Boticário
#paratodosverem: Imagem de uma página fake do O Boticário com o objetivo de des-
pertar a curiosidade do usuário para ele faça do download na máquina de um progra-
ma, ou seja, vírus, utilizados como ataque dos hackers. A página é colorida, chamativa 
e remete a uma promoção “Na Boticário Mamãe Ganha”, possui o logo da empresa, 
informando que ao clicar no vale presente, o usuário ganha da Boticário um vale de 
R$19,50. #fimdadescrição
Trata-se de um phishing muito bem feito, salvo que nenhuma empresa deve 
solicitar que o usuário faça download de qualquer tipo de página, programa ou 
imagem, isto é inadmissível; no entanto, as pessoas menos atentas, com menos 
conhecimento sobre esse tipo de ataque – que, na verdade, é a grande maioria – 
acabam caindo em golpes dessa natureza.
Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na seguin-
te Figura, incentivando o destinatário a baixar um formulário para ser preenchido. 
Considerando que não se baixa formulário para preencher, pois licitamente são 
oferecidos em páginas da internet da própria empresa, uma vez salvo esse arquivo 
e executado, o referido computador será contaminado.
Na maioria das vezes esse tipo de ataque solicita que o usuário faça o download 
ou então clique em algum link para ser aceito na promoção; infelizmente, a maioria 
16
17
das pessoas não tem o hábito de colocar o mouse sobre o link ou o botão de do-
wnload para verificar o endereço completo – se fizessem isso, constatariam estar 
prestes a executar um programa. Os engenheiros sociais se aproveitam dessa falha 
de atenção para instalar softwares com códigos maliciosos, pois a grande maioria 
dos usuários não sabe diferenciar um programa e uma página de internet.
Figura 3 – Phishing Chevrolet
#paratodosverem: Imagem de um exemplo conhecido de phishing, este é da Chevrolet, 
incentivando o usuário baixar um formulário. No texto da imagem está descrito de 
e-mail: chevrolet@gm.com.br, enviada na quarta-feira 10/01/2017 às 13 e 34, as-
sunto: parabéns você pode ser sorteado, entre parentes a sorteada, texto do e-mail: 
parabéns você foi um dos sorteados do concurso Natal Chevrolet na internet. Maria da 
Penha Souza Cunha ao efetuar uma compra nas lojas autorizadas Chevrolet ganhou 
a honra de cadastrar o e-mail de 3 amigos na promoção Natal Chevrolet ,você foi se-
lecionado, entre parentes a, e acaba de ficar entre os 100 últimos finalistas a ganhar 
10 Meriva 0 km. Preencha corretamente os dados do formulário e aguarde o contato 
de um funcionário do Chevrolet. Clique aqui para baixar o formulário. Boa sorte! Aten-
ciosamente Adalberto César Coelho, central de marketing Chevrolet, e na sequencia 
tem o logo da Chevrolet. #fimdadescriçao
Ademais, o phishing é usado para atingir determinado perfil de usuários e, por 
este motivo, é transmitido ao maior número de pessoas, afinal, algumas o apaga-
rão, pois não é de seu interesse, mas outras acessarão e possivelmente clicarão e 
instalarão o programa. Portanto, vários tipos de propagandas e anúncios surgem 
a todo o momento com o objetivo de contaminar grupos de pessoas que tenham 
interesse em determinadas promoções. 
17
UNIDADE Principais Tipos de Ataques e Ameaças
Outro golpe advindo por e-mail é o Nigerian scan – ou fraude da Nigéria –, que 
consiste em enviar uma mensagem descrevendo histórias variadas, uma das quais 
sobre um parente distante que morreu e deixou uma fortuna em dinheiro, de modo 
que o destinatário precisará pagar determinado valor relacionado aos custos docu-
mentais para que tal fortuna seja depositada em sua conta corrente. Muitas outras 
variações dessas histórias são inventadas, mas sempre com o mesmo propósito: 
depositar dinheiro mediante a promessa de que receberá o valor indicado. Esse tipo 
de golpe já era praticado por meio de cartas, de modo que atualmente o e-mail é 
empregado, entre outros motivos, porque atinge maior quantidade de pessoas.
Há casos mais avançados de engenharia social, tais como os exemplos vistos, 
os quais utilizando phishing para atingir um grupo específico de usuários a fim de 
aguçar a curiosidade de seus integrantes.
O objetivo do engenheiro social é conquistar e manipular o sentimento das pes-
soas e para chegar a essa meta pode usar o telefone, a internet, ou até mesmo o 
meio físico. Os pontos principais manipulados são a curiosidade, confiança, simpa-
tia, culpa, intimidação e o orgulho, cada um a partir de técnicas totalmente diferen-
tes e que podem ser utilizadas com certa variação; vejamos mais alguns exemplos:
A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois não 
é característica de um grupo específico, sendo inerente a todo ser humano, afinal, 
somos movidos por essa qualidade. Portanto, se você fizer engenharia social por 
meio de um phishing que tenha a característica de utilizar o princípio da curiosidade, 
certamente fará com que alguns destinatários executem o programa que lhes foi en-
viado, mesmo em um meio físico, veja: se visitar uma empresa e deixar um CD com 
a descrição “salário dos funcionários”, ou “fotos da família do diretor X” em um local 
de significativo trânsito de pessoas, criará curiosidade naqueles que tiverem acesso 
a essa mídia, a qual, uma vez executada, poderá infectar o computador do curioso.
A confiança é outro atributo que o engenheiro social pode utilizar, pois nessa 
condição agirá com mais facilidade; é o caso já citado sobre o e-mail enviado por 
um terceiro que, colocando-se como fosse uma pessoa conhecida, comumente fará 
a vítima clicar no link e até executar algum arquivo enviado, pois considerará que 
a mensagem advém de uma pessoa conhecida. Como a confiança é reconhecida-
mente primordial aos engenheiros sociais, para que seja possível, deve-se ter boa 
aproximação às pessoas para estabelecer um contato mais “espontâneo”.
Por sua vez, a simpatia acaba atraindo muitas vítimas, afinal, adoramos pessoas 
simpáticas. Por exemplo, quando entramos em uma loja e um vendedor nos fica 
pressionando ou, pelo contrário, não nos dá muita atenção, ou ainda nos trata com 
certo mau humor, grandes são as possibilidades de não comprarmos em tal esta-
belecimento; por outro lado, se o vendedor for simpático, prestativo, dificilmente 
deixaremos de adquirir o produto necessário. Naturalmente que não se refere aqui 
à questão de valor e/ou qualidade do produto ofertado, mas – para efeito didático – 
consideremos que as lojas têm os mesmos critérios de preço e qualidade, de modo 
18
19
que às pessoas simpáticasnos será mais difícil dizer não quando nos oferecem uma 
venda, ou nos pedem algo.
A simpatia está diretamente ligada ao orgulho, de modo que pessoas orgulhosas 
gostam que outras falem bem de algo sobre si ou que tenha realizado. Dito de outra 
forma, os elogios feitos às pessoas orgulhosas servem como portas à aproximação. 
Sem surpresa, a simpatia é muito utilizada em ataques a pessoas orgulhosas.
A culpa também é explorada por engenheiros sociais, dado ser excelente meio 
a ser empregado para obter informações, principalmente de pessoas com baixa 
estima, as quais comumente se sentem responsáveis por qualquer motivo e, conse-
quentemente, podem ser facilmente manipuladas.
Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar 
e, intuitivamente, a culpa pode se estabelecer por um simples serviço prestado. Por 
exemplo, caso alguém faça um favor a você, algumas vezes poderá usar da seguin-
te frase: “Você me deve uma”; significa que a culpa é manipulada, pois em algum 
momento lhe cobrará pelo favor prestado.
A intimidação é diferente de tudo o que foi descrito até agora, pois se refere a 
fingir ser o chefe ou estar no controle de uma determinada situação para atingir 
o seu objetivo – em síntese, intimidar alguém. Geralmente o tom de voz usado na 
intimidação é diferente em relação a outros tipos de ataque.
Mas por quais motivos uma pessoa acaba caindo nesses truques?
Ex
pl
or
Uma das razões é que as pessoas não desconfiam de muitas coisas que aconte-
cem em seu dia a dia, como no caso dos e-mails enviados como propagandas – os 
mencionados phishing.
Deve-se, portanto, desconfiar de tudo o que é enviado pela internet; não execu-
tar nada que não seja de pessoa confiável. De modo que se não estiver esperando 
um e-mail e mesmo assim o receber, é sempre interessante checar a sua veraci-
dade. Caso acesse o conteúdo do e-mail, averigue com atenção o endereço que 
está por trás do link ou botão – para isto, basta posicionar, sem clicar, o cursor do 
mouse sobre o link ou botão para examinar, no canto inferior esquerdo da tela, o 
endereço completo.
Todos os documentos da empresa que estiverem em papel devem ser destruídos 
de tal forma que nenhuma informação fique visível. Caso isto não ocorra e o enge-
nheiro social adquira esses papéis, poderá, com certa facilidade, saber o nome de 
determinadas pessoas e se aproveitar disso.
Revelar dados sem consulta é outro caso usado pelos engenheiros sociais como, 
por exemplo, determinada pessoa que venha a telefonar e solicitar os dados do 
gerente com o argumento de precisar enviar informações ao qual; de modo que 
19
UNIDADE Principais Tipos de Ataques e Ameaças
especial cuidado deve ser tomado em casos assim – se a pessoa que solicita a infor-
mação não é conhecida, então não deve ser informada.
Ademais, acessar sistemas duvidosos, tais como sites da internet, pode trazer 
programas maliciosos que serão executados na máquina em questão.
A curiosidade em se ter acesso a determinadas informações, como no caso do 
CD colocado propositadamente em um local para que alguém o pegue e insira no 
computador, deve ser evitada, pois o próprio auto run poderá instalar arquivos 
maliciosos na máquina em questão.
Conversar sobre o dia a dia e dados confidenciais da empresa estando fora desta 
também deve ser evitado, pois caso isto ocorra, tais informações poderão ser ad-
quiridas por pessoas alheias que a usarão em benefício próprio.
A melhor forma de se defender dos ataques de engenharia social é o treinamen-
to, a participação em workshops e a divulgação dos tipos de ataque. A política é 
um dos recursos igualmente utilizáveis para evitar essa prática criminosa.
20
21
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
História dos Vírus de Computador
https://youtu.be/zdxo0sL9q6o
Engenharia Social
https://youtu.be/PTs4__aHxI8
 Leitura
Cartilha de Segurança para Internet – Golpes na Internet
https://goo.gl/s914E2
Cartilha de Segurança para Internet – Outros Riscos 
https://goo.gl/1cKkbD
21
UNIDADE Principais Tipos de Ataques e Ameaças
Referências
GALLO, M. A.; HANCOCK, W. M. Comunicação entre computadores e tecno-
logias de rede. São Paulo: Thomson Learning, 2003.
GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson 
Education do Brasil, 2015.
22