Artigo Comportamento Humano como Fator de Risco para a Segurança da Informação Revisão 2

Prévia do material em texto

CURSO DE PÓS-GRADUAÇÃO 
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
JEFERSON MAIA BARRETO
COMPORTAMENTO HUMANO COMO FATOR DE RISCO PARA A SEGURANÇA DA INFORMAÇÃO
Salvador
2018
JEFERSON MAIA BARRETO
COMPORTAMENTO HUMANO COMO FATOR DE RISCO PARA A SEGURANÇA DA INFORMAÇÃO
Artigo apresentado ao Centro Universitário Estácio da Bahia (Estácio-FIB), como requisito para aprovação no Curso de Pós-Graduação – Especialização em Segurança da Informação, sob a orientação do Professor André Luiz Costa de Oliveira.
Salvador
2018
CURSO DE PÓSGRADUAÇÃO 
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
TERMO DE APROVAÇÃO
jeferson maia barreto
COMPORTAMENTO HUMANO COMO FATOR DE RISCO PARA A SEGURANÇA DA INFORMAÇÃO
Artigo de conclusão do curso de Pós-Graduação – Especialização em Segurança da Informação, Centro Universitário Estácio da Bahia (Estácio-FIB), como requisito para a obtenção do título de Especialista em Segurança da Informação. 
Aprovado em: _____ / 04 / 2018.
Nota: 
BANCA EXAMINADORA:
		________________________________________
		Professor Mestre André Luiz Costa de Oliveira
 Orientador
________________________________________
________________________________________
Salvador
2018
RESUMO
Com o crescimento do uso da tecnologia aumenta consideravelmente o fluxo de dados manipulados, transportados e armazenados. Com isso, sobe também a necessidade de segurança e investimento na segurança da informação, porém mesmo com os maiores investimentos ninguém estará totalmente livre de determinados ataques, os quais se aproveitam do ponto mais fraco, que são as deficiências naturais do homem.
Alguns fatores humanos são objetos de exploração dos engenheiros, onde o homem possui o desejo de ser admirado por algo que tenha realizado em busca por novidades e por sempre achar que nunca acontecerá com ele acaba se expondo e tornando-se vulnerável. 
Este trabalho visa alertar que não bastam investimentos enormes com tecnologias, pois apenas eles não garantem a segurança total aos dados, mas é preciso a sensibilização sobre a importância do fator humano para minimizar os riscos.
PALAVRAS-CHAVES: Engenharia Social. Comportamento humano. Segurança da Informação.
SUMÁRIO
1. INTRODUÇÃO 	6
2. REFERENCIAL TEÓRICO 	6
2.1. SEGURANÇA DA INFORMAÇÃO 	7
2.2. ENGENHARIA SOCIAL 	7
2.2.1. ANALISE DO LIXO 	8
2.2.2. INTERNET E REDES SOCIAIS 	8
2.2.3. CONTATO TELEFÔNICO 	8 2.2.4. ABORDAGEM PESSOAL 	8
2.2.5. PHISHING 	9
2.2.6. FALHAS HUMANAS 	9
2.3. EXEMPLOS 10
2.3.1. CARTEIRA NACIONAL DE HABILITAÇÃO DE GRAÇA 10
2.3.2. VALES-PRESENTES 11
2.3.3. GOLPE DO FGTS 12
3. METODOLOGIA 12
3.1. CRITÉRIOS DE SELEÇÃO DE FONTES 12
3.1.1. CRITÉRIOS DE ELIMINAÇÃO 13
3.2. ESTRATÉGIA DE BUSCA 13
4. DESENVOLVIMENTO 13
4.1. PSI (POLÍTICA DE SEGURANÇA DA INFORMAÇÃO) 13
4.2. INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) 13
4.3. O ELO MAIS FRACO 14
4.4. POLÍTICA DE EDUCAÇÃO CONTINUADA 14
5. CONCLUSÃO 14
6. REFERÊNCIAS BIBLIOGRÁFICAS 15
	
INTRODUÇÃO
A ciência e a arte de hackear seres humanos, nome dado a Engenharia Social, com o aumento exponencial do uso das redes sociais, mensagens de e-mail e outras formas de comunicação online, essa arte tornou-se bastante popular nos últimos anos. No âmbito da segurança da informação, a Engenharia Social, é uma das técnicas mais usadas por cibercriminosos para manipular as suas vítimas com o objetivo de obter informações confidenciais ou convencê-las a executar ações que comprometam seu sistema (KARPESKY LAB, 2013).
“A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia” (Mitnick, 2002).
Segundo o Instituto Brasileiro de Geografia e Estatística (IBGE) o cenário é de avanço na inclusão digital, o que se dá pela multiplicação do uso de smartphones e das conexões WiFi, porém o problema do acesso é o desconhecimento. Praticamente 40% dos brasileiros dizem não saber usar a internet (CONVERGENCIA DIGITAL, 2018).
 As empresas investem alto para combater ataques cibernéticos, porém esquecem de investir no elo mais fraco, o ser humano. Os danos causados por crimes cometidos por crakers, como o ransomware causaram prejuízos mundiais de mais US$ 5 bilhões em 2016. Há uma previsão que os crimes cibernéticos custem ao mundo US$ 6 trilhões até 2021.
Nos Estados Unidos, 72% das empresas com mais de 250 empregados sofreram ao menos um ataque cibernético em 2016 e 60% das empresas com menos de 250 empregados também foram alvos.
Muitas empresas ainda prevalecem o pensamento de corrigir danos em vez de preveni-los. As empresas, não só nos Estados Unidos, tendem a começar a investir quando começam a ter problemas frequentes. (FELIPE, LEANDRA 2017)
REFERENCIAL TEÓRICO
Visando o entendimento dos assuntos abordados neste artigo serão apresentados os conceitos de Segurança da Informação, Engenharia Social, Tipos de ataques e a sua prevenção.
SEGURANÇA DA INFORMAÇÃO
É a preservação dos três pilares da informação: confidencialidade, integridade e disponibilidade. Ou seja, é a proteção da informação contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar os riscos e maximizar o retorno sobre o investimento e as oportunidades de negócios. (Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002)
ENGENHARIA SOCIAL
O termo Engenharia Social ficou conhecido em 1990, através do famoso hacker chamado Kevin Mitnick. Esse termo designa para as práticas utilizadas a fim de obter informações sigilosas ou importantes de empresas, pessoas e sistemas de informação, explorando a confiança das pessoas para enganá-las. Uma outra definição é descrita como a arte de enganar pessoas a fim de contornar dispositivos ou construir métodos e estratégias para ludibriá-las utilizando informações cedidaspor elas de maneira a ganhar a confiança delas para obter informações. (TECMUNDO, 2008).
Objetivando o acesso legítimo à rede e aos dados, os hackers usam técnicas parecidas com as utilizadas por fraudadores e estelionatários roubando credenciais de usuários autorizados para se passar por funcionários da própria empresa.
Kevin Mitnick, um dos hackers mais famosos do mundo, iniciou sua carreira muito jovem e já praticava engenharia social para pequenos ganhos. O mesmo chegou a revirar o lixo de empresas para obter informações e fazer telefonemas enganosos, essa modalidade chamava-se phreaking, que é o uso indevido de linhas telefônicas para obter informações não autorizadas. É comum que esse tipo de cibercriminoso se aproveite da inocência e da natureza prestativa de alguns usuários. Eles podem, por exemplo, ligar para algum deles simulando ter de resolver algum incidente, dizendo então que necessita do acesso urgente à rede corporativa. 
Os ataques também podem ser feitos por meio das redes sociais. Os cybers criminosos podem apelar a uma série de sentimentos por meio dos perfis de redes sociais das vítimas, descobrindo, por exemplo, sua função dentro da empresa, seus amigos e seus gostos pessoais. As táticas servem para convencer os usuários a abrir anexos infectados com malwares, persuadir funcionários a divulgar informações sensíveis ou até assustá-los para que instalem softwares infectados com malwares. (PROOF, 2017)
ANALISE DO LIXO
Provavelmente, poucas organizações tem o cuidado de verificar o que está sendo descartado da empresa e de que forma é realizado este descarte. O lixo é uma das fontes mais ricas de informações para os Engenheiros Sociais. Existem muitos relatos e matérias publicadas na Internet abordando este tipo de ataque, visto que através das informações coletadas no lixo podem conter nome de funcionários, telefone, e-mail, senhas, contato de clientes, fornecedores, transações efetuadas, entre outros, ou seja, este é um dos primeiros passos para que se inicie um ataque direcionado à empresa (RAFAEL, Gustavo C., 2013).
INTERNET E REDES SOCIAIS 
Atualmente muitas informações podem ser coletadas através da Internet e redes sociais sobre o alvo. Quando um Engenheiro Social precisa conhecer melhor seu alvo, esta técnica é utilizada iniciando um estudo no site da empresa para melhor entendimento, pesquisas na Internet e uma boa consulta nas redes sociais na qual é possível encontrar informações interessantes de funcionários da empresa, cargos, amizades, perfil pessoal, entre outros. (RAFAEL, Gustavo C., 2013)
CONTATO TELEFÔNICO 
Com as informações coletadas nas duas técnicas acima, o Engenheiro Social pode utilizar uma abordagem via telefone para obter acesso não autorizado, seja se passando por um funcionário da empresa, fornecedor ou terceiros. Com certeza neste ponto o Engenheiro Social já conhece o nome da secretária, nome e e-mail de algum gestor, até colaboradores envolvidos na TI. Com um simples telefonema e técnicas de Engenharia Social se passando por outra pessoa, de preferência do elo de confiança da vítima, fica mais fácil conseguir um acesso ou coletar informações necessárias da organização. (RAFAEL, Gustavo C., 2013)
ABORDAGEM PESSOAL
Esta técnica consiste de o Engenheiro Social realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários consegue, sem muita dificuldade, convencer um segurança, secretária, recepcionista a liberar acesso ao datacenter onde, possivelmente, conseguirá as informações que procura. Apesar desta abordagem ser arriscada, muitos Crackers já utilizaram e a utilizam até hoje.
PHISHING
Sem dúvidas, esta é a técnica mais utilizada para conseguir um acesso na rede alvo. O Phishing pode ser traduzido como “pescaria” ou “e-mail falso”, que são e-mails manipulados e enviados às organizações e pessoas com o intuito de aguçar algum sentimento que faça com que o usuário aceite o e-mail e realize as operações solicitadas. Os casos mais comuns de Phishing são e-mails recebidos de supostos bancos, nos quais afirmam que sua conta está irregular, seu cartão ultrapassou o limite ou que existe um novo software de segurança do banco que precisa ser instalado senão irá bloquear o acesso. Outro exemplo de phishing pode ser da Receita Federal informando que seu CPF está irregular ou que o Imposto de Renda apresentou erros e para regularizar consta um link, até as situações mais absurdas que muitas pessoas ainda caem por falta de conhecimento, tais como, e-mail informando que você está sendo traído (a) e para ver as fotos consta um link ou anexo, ou que as fotos do churrasco já estão disponíveis no link, entre outros. A maioria dos Phishings possuem algum anexo ou links dentro do e-mail que direcionam para a situação que o Cracker deseja. (RAFAEL, Gustavo C., 2013)
FALHAS HUMANAS
O Ser Humano possui várias vulnerabilidades que são exploradas pelos Engenheiros Sociais, tais como, confiança, medo, curiosidade, instinto de querer ajudar, culpa, ingenuidade, entre outros. No livro “Segredos do H4CK3R Ético”, escrito por Marcos Flávio Araújo Assunção, é abordada uma passagem interessante no capitulo “Manipulando Sentimentos” no qual, através do sentimento de curiosidade, um Cracker instalou um outdoor na frente da empresa alvo com as palavras “Compre seu celular de última geração de modo fácil: entregue seu aparelho antigo e, com mais um real, escolha aquele que você quiser ter” e, abaixo, o link do site. O site estava com códigos maliciosos no qual foi possível acessar vários computadores da organização através da vulnerabilidade de softwares e sistemas operacionais. (RAFAEL, Gustavo C., 2013)
EXEMPLOS
Difundido mundialmente, o WhatsApp agora é o foco dos Engenheiros. Em 2017, o DFNDR Security, aplicativo de segurança, bloqueou mais de 68 milhões de ataques através de phishing via aplicativos de mensagens. Desse total, 79% foram bloqueados no WhatsApp, o que revela que o mensageiro é o aplicativo preferido pelos hackers para espalhar golpes. Explicou Emilio Simoni, Diretor do DFNDR Lab, 2016
“Conteúdos compartilhados em mensageiros, como o WhatsApp, possuem grande potencial viral, tornando esse aplicativo vantajoso para os cibercriminosos disseminarem ataques em grande escala, alcançando um grande número de vítimas”. (PSAFE, 2018)
No Brasil, o phishing – mensagens que buscam enganar o usuário e forçá-lo a entregar dados – ainda é o principal vilão. Segundo a Symantec, dona do antivírus Norton, ataques de phishing ocorrem em 86% dos cibercrimes. Nesses casos, a solução comumente está, além de defesas de antivírus e bloqueador de spam, mas no próprio usuário. O problema é que, segundo dados da pesquisa, muitas pessoas são incapazes de identificar um conteúdo criminoso que tenta roubar seus dados. A Norton acredita que 44% dos usuários no país não sabe diferenciar uma mensagem de um amigo de um golpe de phishing. (FLORENZANO, 2017)
Segue alguns tipos de ataques utilizados pelos engenheiros para disseminar phishing no WhatsApp:
CARTEIRA NACIONAL DE HABILITAÇÃO DE GRAÇA
Os cyber-criminosos não são piedosos, e de forma desleal, atacaram exclusivamente pessoas que recebiam até dois salários mínimos, prometendo participação em um programa do governo para tirar a Carteira Nacional de Habilitação de graça. O golpe atingiu 630 mil pessoas. (PSAFE BLOG, 2018). 
Figura 1 Imagem da mensagem enviada pelo WhatsApp para aplicação do golpe. 
(Foto:Divulgação/PSafe)
VALES-PRESENTES
Em 2017, vários golpes foram discriminados utilizando nomes de lojas e redes com marcas conhecidas. Como, por exemplo, um golpe com a marca O Boticário. Muitas vezes, eram criados ataques praticamente idênticos às reais promoções que a empresa oferece, prometendo vale-presentes e brindes de produtos como isca. Em torno de 4 milhões de pessoas acessaram os falsos links que envolviam a marca O Boticário.
Figura 2 Página falsa pergunta:“Gostaria de receber uma amostra grátis da loção hidratante Nativa SPA?" 
(Foto: Divulgação/PSafe)
GOLPE DO FGTS
Em 2017, a Caixa Econômica protagonizou uma das maiores ou se não a maior operação bancária da história do país, onde milhares de brasileiros puderam realizar os saques das suas contas inativas do FGTS. E isso despertou os hackers para um novo ataque, aproveitando-se da fragilidade da população para bombardear a rede com golpes usando de forma fraudulenta o nome da caixa. As falsas promessas espalhadas no Whatsapp informavam que era possível receber R$1.760,00 de FGTS. Praticamente, 5 milhões de pessoas foram afetadas. (PSAFE BLOG, 2018).
Figura 3 Etapas do golpe do FGTS.
Divulgação: welvesecurity Eset
METODOLOGIA
Neste trabalho, foi realizada uma revisão quase sistemática, através de pesquisas bibliográficas sobre Engenharia social com o objetivo de analisar e promover métodos que dificultem a investida do Engenheiro Social.
CRITÉRIOS DE SELEÇÃO DE FONTES
Utilizando-se de palavras chaves, foi iniciada as pesquisas de artigos destacando alguns critérios. Um deles foi o período em que foi publicado o artigo, livro ou revista. Ficou estipulada a leitura e análise de artigos, revistas e sites de Tecnologia da Informação (T.I), sites de empresas de antivírus e Relatório de Informações de Segurança Cibernética com tempo de até 5 anos de publicado. Além dos critérios de tempo de publicação, foi priorizado fontes de pesquisa em idioma português.
3.1.1 CRITÉRIOS DE ELIMINAÇÃO
Foram eliminadas as fontes que não contemplasse todos os critérios de seleção. E foram eliminadas as fontes que não estivessem relacionadas ao assunto pesquisado.
ESTRATÉGIA DE BUSCA
Foram realizadas buscas bibliográficas nas bases do Google e Google Academics, usando os termos "artigo de engenharia social segurança da informação", "relatórios de crimes cibernéticos" “redes sociais x comportamento humano”. Filtrando mais a pesquisa, foram empregados os filtros "livros" e "artigos”. Foram identificados todos os artigos relacionados ao tema publicados do ano de 2015 até o ano de 2018. Os itens encontrados por este processo foram avaliados.
DESENVOLVIMENTO
Além da implementação de Políticas de Segurança da Informação (PSI), investimentos em equipamentos tecnológicos avançados, antivírus, firewall, proxy, sistemas para detectar intrusão, autenticação por biometria, entre outros, pode ser completamente inútil se os funcionários que trabalham com essas tecnologias não forem conscientizados e treinados adequadamente.
PSI (POLÍTICA DE SEGURANÇA DA INFORMAÇÃO)
A família das normas 27000 da ISO é o conjunto de normas, em sua maioria de segurança da informação, por isso, muitas vezes nomeada de família de normas ISO da Segurança da Informação. Cada uma destas normas ou relatórios técnicos tem em sua finalidade específica voltada para uma área da segurança. Destacam-se a 27001, 27002, 27005 e 27014. (CONTECSI, 2017)
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL)
Segundo o Wikipédia, ITIL é um conjunto de boas práticas para serem aplicadas na infraestrutura, operação e gerenciamento de serviços de tecnologia da informação. (FREITAS, 2017) 
O ELO MAIS FRACO
O comportamento humano é crucial na maioria dos ataques bem-sucedidos, onde as pessoas mais vulneráveis a este tipo de ataques são aquelas que tratam das informações sigilosas ou que podem permitir o acesso a elas. Estas pessoas, por desconhecimento ou por excesso de confiança, deixam de tomar cuidados que afetam a segurança das informações sensíveis ou sigilosas.
Política de Educação continuada pode ser definida como uma gama de informações dispostas de forma clara e concisa onde podem ser passadas diversas orientações àqueles que possuem ou podem ter acesso a informação. A política deve disciplinar e, acima de tudo, dever ser reforçada e fiscalizada a sua execução. 
POLÍTICA DE EDUCAÇÃO CONTINUADA 
Não deve ser revelado por telefone ou e-mail dados sensíveis como senhas, informações pessoais, dados de cartão de crédito, entre outras. Não deve se clicar em links de site que cheguem através de e-mails ou por redes sociais e que não haja certeza da origem. É preciso desconfiar de qualquer mensagem de e-mail que ofereça facilidades e promoções fora do comum. Não se fala mais do que o necessário com estranhos e o usuário precisar ter em mente que a Engenharia Social é uma técnica utilizada há centenas de anos. Muito antes da criação da internet, já se utilizava técnicas com objetivos maldosos.
CONCLUSÃO
Diante do avanço da inclusão digital pela multiplicação do uso de smartphones e das conexões WiFi, a fragilidade se dá mais no comportamento humano do que nos sistemas, a Engenharia Social se satisfaz das vulnerabilidades humanas, a qual é considerada o elo mais fraco no sistema de segurança. Sendo este o maior problema, já que a maioria das pessoas não possuem conhecimento ou esclarecimentos suficientes sobre os riscos iminentes. Não se trata somente de proteger os equipamentos tecnológicos com simples programas de antivírus e antispyware, as pessoas devem conhecer como ocorre um ataque, já que um simples convite de amizade no Facebook pode comprometer toda a segurança de um sistema. 
Um sistema de segurança não tem a ver somente com tecnologia, mas com processos. Diante disto, por mais avançado que seja a tecnologia, de nada adiantará se o fator humano não for considerado. É necessário conscientizar as pessoas de que elas podem estar sendo observada e que poderá se tornar um alvo em potencial de um Engenheiro Social. Pessoas que detém algum conhecimento ou que podem servir de canal de acesso a um determinado dado, que seja de interesse de um engenheiro, deve receber treinamento de segurança da informação e medidas preventivas no trato de assuntos sigilosos, para que essas pessoas tenham habilidade em detectar, de maneira mais apurada, este tipo de ataque e saber como agir nesses casos. 
A Engenharia Social é uma ameaça muito real e que, atualmente, tem domínio de ação, geralmente livre. Porém, isso não será sempre verdadeiro. Uma vez que se leve essa ameaça verdadeiramente a sério e se aplique uma metodologia de prevenção, a Engenharia Social se tornará uma via muito mais difícil, se não impossível, de ser empregada por um engenheiro social. 
Para maiores controles de segurança da informação alguns pilares devem ser observados: a defesa; intervenção; detecção; auditoria; recuperação e intervenção preemptiva, não esquecendo de focar no elo mais fraco, promovendo as políticas de educação continuada no processo humano da segurança da informação.
6. REFERÊNCIAS BIBLIOGRÁFICAS
ABNT NBR ISO/IEC 27001. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2013.
ABNT, NBR ISO. NBR ISO/IEC 27002–Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2013.
BRANDÃO, Sávio Santiago; LIMA, Iremar Nunes de. Técnicas de Segurança em Internet Banking. Pós em Revista do Centro universitário Newton Paiva, 2012. 6a Edição. Disponível em :< http://blog.newtonpaiva.br/pos/wp-content/uploads/2013/04/PDF-E6-SI531.pdf >. Acesso em: 01/03/2018.
CONTECSI USP - International Conference on Information Systems and Technology Management - ISSN 2448-1041, 14th. Alencar, G.D, A. J. de A., T. J., H. P. de M. Disponível em: < http://www.contecsi.fea.usp.br/envio/index.php/contecsi/14CONTECSI/paper/view/4799 > Acesso em 26/03/2018
FELIPE, LEANDRA. Cibercrimes causaram prejuízos de bilhões de dólares no mundo em 2016. Disponível em: < http://agenciabrasil.ebc.com.br/geral/noticia/2017-05/cibercrimes-causaram-prejuizos-de-bilhoes-de-dolares-no-mundo-em-2016 >. Acesso em: 26/03/2018
FERNANDES, A. A., & Abreu, V. F. (2014). Implantando a Governança de TI: Da estratégia à Gestão de Processos e Serviços. Brasport. Disponível em: < https://goo.gl/ZV8of7>. Acesso em 26/03/2018. 
FREITAS, P. Segurança da informação e QoS na gestão de redes de telecomunicações em conformidade com as práticas de ITIL®. Disponível em < http://tede.bibliotecadigital.puc-campinas.edu.br:8080/jspui/handle/tede/976>. Acesso em 28/03/2018 
FLORENZANO, L. Relatório da Norton aponta que o Brasil foi um dos principais alvos de hackers em 2016. Aplex, Disponível em: <http://aplex.com.br/seguranca/relatorio-da-norton-aponta-que-o-brasil-foi-um-dos-principais-alvos-de-hackers-no-ano-passado/ >. Acesso em: 28/03/2018.
HINTZBERGEN, J.K. H., A. S., H. B.,Brasport, 2018. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Disponível em: < https://books.google.com.br/books/about/Fundamentos_de_Seguran%C3%A7a_da_Informa%C3%A7%C3%A3.html?id=1CVFDwAAQBAJ&redir_esc=y >. Acesso em 26/03/2018. 
KARPESKY LAB, Disponível em: < https://www.kaspersky.com.br/blog/engenharia-social-hackeando-humanos/1845/?slow=1/ >. Acesso em 26/03/2018
MITNICK, Kevin D. e W. L. S., A arte de enganar, 2001, MAKRON BOOKS, Disponível em: < http://lelivros.love/book/baixar-livro-a-arte-de-enganar-kevin-d-mitnick-em-pdf-epub-e-mobi/#tab-description >. Acesso em 26/03/2018
PROOF. Ataques de engenharia social: tudo que você precisa saber! Disponivel em: < http://www.proof.com.br/blog/ataques-de-engenharia-social/ >. Acesso em 26/03/2018.
PSAFE. Tudo o que você precisa saber sobre engenharia social. Disponível em: < http://www.psafe.com/blog/rp-o-que-e-engenharia-social/ > Acesso em 26/03/2018.
PSAFE BLOG. Alerta! Novo golpe no WhatsApp promete CNH grátis; 630 mil já foram afetados. Disponível em < http://www.psafe.com/blog/novo-golpe-no-whatsapp-promete-cnh-gratis-630-mil-ja-foram-afetados/ >. Acesso em 26/03/2018.
RAFAEL, Gustavo C. Engenharia Social: as técnicas de ataques mais utilizadas Disponível em: < https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de-ataques-mais-utilizadas/ >. Acesso em 26/03/2018.
TECMUNDO. Cuidado com a engenharia social, 2008, Disponível em: < https://www.tecmundo.com.br/msn-messenger/1078-cuidado-com-a-engenharia-social.htm?utm_source=404corrigido&utm_medium=baixaki >. Acesso em 26/03/2018.