Pro C 7, 8th Edition

Prévia do material em texto

PRIVACIDADE PSCOLOGICA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 JOSAFÁ ADELINO JOSSANO CARDOSO 
 
 
 
 
 
Introdução 
 
Quando se fala em segurança da informação ( SI ) estamos a falar 
de uma mentalida de nunca se deixar levar pelas engenharias 
social da viada. Trabalhar na áera da segurança da informação é 
como estar em uma linha tenu, você deve saber gerir bem á sua 
 motivação e saber os pilares da segurança. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 PILARES DA SEGURANçA 
 
 O pessoal de Segurança da Informação (SI) precisam se adaptar 
rapidamente aos novos requisitos necessários para os negócios e, ao 
mesmo tempo, estar preparadas para lidar com um ambiente que se 
torna cada vez mais hostil. Os profissionais da área precisam 
aprender a trabalhar com as últimas tendências de tecnologia para 
conseguirem definir e manter a proteção de todo o sistema 
corporativo. Para ser possível manter a proteção diante das 
ameaças internas e externas existem alguns fundamentos básicos 
necessários em todas as empresas. Eles são essenciais para vencer 
os desafios do cyber-crime. Confira quais são: 
1-Confidecialidade:sÉ o modo de garantir que a informação estará 
acessível apenas para pessoas autorizadas. A principal forma de 
mantê-la é por meio da autenticação, controlando e restringindo os 
acessos. Ela impõe limitações aos milhares de dados sigilosos que as 
empresas possuem. Sem a confidencialidade, as empresas ficam 
vulneráveis a cyber-ataques, roubo de informações confidenciais e 
até utilização de dados pessoais de clientes, o que pode causar 
diversos prejuízos, inclusive financeiros. 
2- Integridade: O princípio de integridade refere-se a manutenção 
das condições iniciais das informações de acordo com a forma que 
foram produzidas e armazenadas. Ou seja, a informação mantém sua 
origem e ela não pode ser alterada, assim somente pessoas 
autorizadas poderão acessar e modificar os dados do sistema. 
Quando o processo é executado estrategicamente é possível 
utilizaferramentas para realizar a recuperação de informações 
danificadas ou perdidas. 
 
3-Disponibilidade: Os dados corporativos precisam estar seguros e 
disponíveis para serem acessados a qualquer momento pelos 
usuários autorizados. Esse princípio diz respeito à eficácia do 
sistema e do funcionamento da rede para que seja possível utilizar 
a informação quando necessário. Ela deve ser hospeda em um 
sistema à prova de falhas lógicas e redundantes. Na hora de gerar 
relatórios para auditoria, por exemplo, é necessário que os dados 
possam ser facilmente encontrados e processados. Esse é o 
princípio da disponibilidade. 
4-Autenticidade: Esse processo realiza a tarefa de identificar e 
registrar o usuário que está enviando ou modificando a informação. 
Ou seja, autenticidade é quando um usuário vai manipular algum 
dado e ocorre uma documentação sobre essa ação. Todos esses 
métodos são importantes para garantir a segurança das informações 
corporativas das possíveis ameaças, que podem ter origens tanto 
externas quanto internas. Elas podem ser uma pessoa, um evento 
ou uma ideia capaz de causar danos ao sistema. As ameaças 
externas são tentativas de ataque ou desvio de informações vindas 
de fora da empresa, normalmente originadas por pessoas com a 
intenção de prejudicar a corporação. As internas podem ser 
causadas por colaboradores de forma intencional. Essas ameaças 
podem causar pequenos incidentes e até prejuízos graves, por isso 
também devem ser levados em conta na hora do planejamento 
dos processos de segurança da empresa. É importante que o 
profissional de SI mantenha sempre em alta importância de 
segurança dos dados corporativos entre todos os usuários. Há 
diversas formas de manter a proteção da informação e não apenas 
criando mecanismos que realizam esse trabalho, mas desenvolver 
projetos que envolvam os usuários para conscientizá-los. 
 
 
 
 
 AMEAÇAS AO SISTEMA DE SEGURANÇA 
 
 Com certeza o assunto segurança tira o sono de qualquer 
empresário, ainda mais quando está relacionada ao acesso à rede 
que contém todos os dados, histórico, informações, ou seja, toda a 
vida e plano de negócios de uma empresa. Por isso, as organizações 
tem rastreado e estudado as principais ameaças em relação à 
segurança de seus dados. E nestes estudos ficam evidentes as 
piores ameaças que uma empresa pode sofrer quando permite um 
acesso sem autenticação na rede. Embora a lista de preocupações 
de segurança possa parecer interminável, na verdade existem várias 
de ameaças primordiais com as quais todas as empresas precisam 
se preocupar: malware, computação móvel, nuvem, erros de 
usuários e ataques internos. Enquanto algumas ameaças de 
segurança das empresas não mudaram ao longo dos anos, como 
crackeres-malware, outras novas surgiram e estão entre as 
campeãs, como por exemplo permitir o funcionário utilizar seu 
próprio dispositivo móvel e a computação em Nuvem , cenário esse 
bem recente. Mesmo que essas tecnologias ofereçam inúmeros 
benefícios para a empresa, elas trazem consigo seus próprios riscos 
e um conjunto de desafios em relação à segurança. Mobile e Cloud 
estão forçando a TI e equipe de segurança reavaliar a estrutura da 
sua rede e renovar as suas estratégias para garantir que suas 
informações permaneçam protegidas. Aqui está o que você deve 
saber sobre os principais ameaças de segurança no sistema: 
 
Crackere/ Malware: Malware e ataques direcionados não são 
novidade, mas o seu nível de sofisticação melhora a cada ano que 
passa. 
 Essas ameaças enganam os usuários para fazer o download ou abrir 
arquivos maliciosos, aproveitando-se de ações de rede e 
vulnerabilidades de software para infectar e se espalhar. Os ataques 
utilizam de técnicas complexas para evitar a detecção. Os 
pesquisadores estimam que cerca de 25 milhões de novas estirpes, 
únicas de malware foram lançadas em 2019 e que devem chegar a 
87 milhões de novas variantes até 2020. Os atacantes estão se 
aproveitando da vulnerabilidade dos usuários ( engenharia social) que 
acessam as redes sociais e elaboram o ataque. Muitos tipos de 
malware criptografam suas comunicações com servidores remotos, 
tornando-se difícil para os administradores de rede identificar os 
pacotes de ofensa. Endereços IP e nomes de host alterados 
dinamicamente fazem com que a proteção se torne ineficaz. 
 
 Scan: É um ataque que quebra a confidencialidade com o objetivo 
de analisar detalhes dos computadores presentes na rede (como 
sistema operacional, atividade e serviços) e identificar possíveis 
alvos para outros ataques. 
A principal forma de prevenção é a manutenção de um firewall na 
empresa e uma configuração adequada da rede. 
 
Worm: são alguns dos malwares mais comuns e antigos. Malwares 
são softwares com o intuito de prejudicar o computador 
“hospedeiro”. 
Essa categoria engloba tantoos vírus quanto os worms, entre 
diversos outros tipos de programas maliciosos. 
Os worms são perigosos devido à sua capacidade se espalhar 
rapidamente pela rede e afetar arquivos sigilosos da empresa. 
 Rootki: Essa é uma ameaça que teve origem na exploração de kits 
do Linux. Tem como objetivo fraudar o acesso, logando no sistema 
como root, ou seja, usuário com poder para fazer qualquer coisa. 
Os ataques de rootkit são feitos a partir de um malware. Quando 
a máquina é infectada, os arquivos maliciosos se escondem no 
sistema e, com essa discrição, liberam o caminho para os invasores 
agirem. Apesar de seu surgimento no Linux, o malware é capaz de 
causar danos nos sistemas operacionais Windows e Mac. Sem 
dúvidas, trata-se de um grande perigo para ambientes corporativos. 
DDOS( ataques de negação de serviço): Os ataques de negação de 
serviço, mais conhecidos como DDoS (Distributed Denial of Service), 
estão entre os mais frequentes. Eles têm como objetivo tornar um 
sistema, infraestrutura ou servidores indisponíveis, causando 
interrupção dos serviços. 
Como isso acontece ? Ao receber o ataque, o alvo é sobrecarregado 
de diferentes formas (uso de banda larga, falhas de software ou 
excessivo uso de recursos), o que pode gerar muito prejuízo à 
vítima. 
 Ransomware: É um conjunto de vírus do tipo malware e tem sido 
massivamente utilizada para a prática de crimes de extorsão de 
dados, prática também conhecida como sequestro de dados. 
O modo como o ransomware age varia conforme a sua versão, pois 
cada malware lançado explora uma diferente brecha do sistema 
operacional. Esse detalhe, inclusive, é o que torna os ataques tão 
repentinos e, ao mesmo tempo, fatais. 
Embora a maneira como o vírus se manifesta varie, a finalidade é 
a mesma: bloquear todos os arquivos do computador, impedindo 
que o sistema possa ser utilizado adequadamente, e encaminhando 
mensagens solicitando o pagamento pelo resgate. 
Algumas empresas chegaram a negociar valores milionários com 
os criminosos para que os dados fossem devolvidos. 
Contudo, fazer o pagamento não é uma atitude recomendável, 
porque não há garantias de que a situação se normalize, além de 
acabar estimulando o crime. Devido ao número de ataques, o 
ransomware é visto atualmente como a maior das todas. 
Vírus de regate Conforme a expansão dos ataques de ransomware 
foi acontecendo, muitos usuários ( a maioria corporativos ) se 
desesperaram por não saber como agir diante do sequestro de 
dados. A recomendação é sempre evitar o pagamento pelo resgate 
e utilizar uma solução para recuperar os arquivos de preferência 
desenvolvida por fabricantes confiáveis. 
Contudo, os cibercriminosos buscaram driblar isso ao criar um vírus 
que ativa a oferta de um programa para resgatar os dados 
sequestrados. Ou seja, é um vírus que oferece outro para que o 
usuário pague por uma solução ilegítima. 
 Anti-vírus falso: Selecionar os produtos de anti-vírus não é uma 
tarefa simples como parece, visto que existem soluções que, na 
verdade, são raízes para problemas ainda maiores que sua rede 
possa estar enfrentando. 
Da mesma maneira que existe o vírus de resgate, uma nova onda 
de anti-vírus falsos, os quais oferecem um produto para rastrear 
ameaças e limpar o computador. 
Esses vírus são conhecidos como do tipo locker (bloqueador), assim 
como o ransomware e o malware, solicita pagamentos por 
bitcoins(BTC), ou cartão de crédito. 
O phishing ( pescar ): Consiste no envio de mensagens de email, 
onde o invasor se passa por uma instituição legítima e confiável 
(geralmente bancos e serviços de transação online etc...), induzindo a 
vítima a passar informações cadastrais. 
Essa é uma das mais antigas armadilhas conhecidas na Internet e, 
ainda assim, continua atraindo muitas vítimas que utilizam email. 
Ultimamente o phishing vem sendo utilizado em ataques de BEC 
(Business Email Compromise), que tem como propósito fazer com 
que representantes da empresa alvo pensem estar se comunicando 
com executivos. 
Dessa maneira, as instituições acabam fazendo depósitos em conta 
de terceiros sem saber que se trata de uma fraude. O pior disso 
tudo é que o criminoso não deixa rastros, pois a mensagem não 
contém nenhum anexo ou links. Concluímos que, a todo o 
momento, essas ameaças podem surgir e fazer de sua empresa uma 
vítima grave. Portanto é importante se manter atualizado, bem 
como investir nas melhores práticas de Segurança da Informação. 
Engenharia social: É termo utilizado para descrever um método de 
ataque, onde alguém faz uso da persuasão, muitas vezes abusando 
da ingenuidade ou confiança do usuário, para obter informações 
que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações. 
Exemplos apresentam casos onde foram utilizadas mensagens de 
e-mail. O último exemplo apresenta um ataque realizado por 
telefone. 
1-Exemplo: Você recebe uma mensagem e-mail, onde o remetente 
é o gerente ou alguém em nome do departamento de suporte do 
seu banco. Na mensagem ele diz que o serviço de internet Banking 
está apresentando algum problema e que tal problema pode ser 
corrigido se você executar o aplicativo que está anexado à 
mensagem. A execução deste aplicativo apresenta uma tela análoga 
àquela que você utiliza para ter acesso a conta bancária, 
aguardando que você digite sua senha. Na verdade, este aplicativo 
está preparado para furtar sua senha de acesso a conta bancária e 
enviá-la para o atacante. 
2-Exemplo: Você recebe uma mensagem de e-mail, dizendo que seu 
computador está infectado por um vírus. A mensagem sugere que 
você instale uma ferramenta disponível em um site da internet, para 
eliminar o vírus de seu computador. A real função desta 
ferramenta não é eliminar um vírus, mas sim permitir que alguém 
tenha acesso ao seu computador e a todos os dados nele 
armazenados. 
3-Exemplo: Algum desconhecido liga para a sua casa e diz ser do 
suporte técnico do seu provedor. Nesta ligação ele diz que sua 
conexão com a internet está apresentando algum problema e, 
então, pede sua senha para corrigi-lo. Caso você entregue sua 
senha, este suposto técnico poderá realizar uma infinidade de 
atividades maliciosas, utilizando a sua conta de acesso a internet e, 
portanto, relacionando tais atividades ao seu nome.Estes casos 
mostram ataques típicos de engenharia social, pois os discursos 
apresentados nos exemplos procuram induzir o usuário a realizar 
alguma tarefa e o sucesso do ataque depende única e 
exclusivamente da decisão do usuário em fornecer informações 
sensíveis ou executar programas. 
 
 
 
 
 CRIPTOGRAFIA 
 
 
Cada vez mais disseminada, a criptografia de sites que protege as 
informações trafegadas e dados de clientes, conhecida como SSL, 
deixou de ser diferencial para os sites e blogs há muito tempo. 
Atualmente, sabe-se do tamanho da importância dessa medida na 
proteção da segurança da informação no mundo digital. Alémdisso, 
a criptografia passa muito mais confiança para os clientes fecharem 
negócio e até mesmo para posicionar melhor os sites na busca do 
Google. 
Existem vários tipos de criptografia que podem proteger não 
apenas os sites, mas inclusive códigos fonte de aplicações e e-
mails. 
O que é criptografia? 
Pode-se dizer que a criptografia é o nome que se dá às técnicas 
que transformam toda informação inteligível em algo indecifrável, 
ou seja, que um agente externo seja incapaz de compreender. ( arte 
de esconder uma informação á olho nú ). Em outras palavras, a 
criptografia funciona como códigos: sem ela, um cracker poderia 
facilmente interceptar a sua senha de e-mail durante seu login. Com 
a criptografia, caso ele intercepte seu acesso, ele não vai ter a 
chave correta e vai ver somente uma lista desordenada e confusa 
de caracteres, ficando de mãos atadas. A criptografia é um método 
de proteção e privacidade de dados muito importante e cada vez 
mais presente em todo o mundo. 
 
 TIPOS DE CRIPTOGRAFIAS 
 
Criptografia Simples (SSL) 
A criptografia simples é uma importante medida de segurança 
recomendada para todos os sites, especialmente aos que solicitam 
alguma informação confidencial dos seus clientes, como dados 
pessoais ou bancários. 
Ela valida a URL de domínio do site e protege todas as informações. 
É identificado pelo HTTPS na barra de navegação ou através do 
desenho de um cadeado verde na mesma. 
Criptografia de Validação Estendida (SSL EV) 
A criptografia de validação estendida é comum em grandes 
empresas do mercado, pois também valida e identifica a razão 
social da empresa, passando maior confiança ao consumidor de que 
o site que acessou é realmente da empresa que ele está comprando 
um produto ou serviço. É identificado pelo HTTPS acompanhado da 
razão social da empresa na barra de navegação. 
 Certificado WildCard 
Esse tipo de criptografia protege também os subdomínios da URL 
certificada, mesmo que estejam em servidores diferentes. Veja o 
seguinte exemplo: WildCard para “.marca.com.mz” pode ser usado 
em “carrinho.marca.com.mz”, “webmail.marca.com.mz”. Todos os 
subdomínios desse tipo de criptografia serão identificados pelo 
HTTPS na barra de navegação. 
 Certificado Multidomínio (MDC) 
tipo é indicado para empresas que possuem vários domínios 
diferentes e pretendem certificar todos eles, por segurança. 
Concentra todo o processo na emissão de um único SSL que 
pode validar até 210 domínios, após a validação de todas as 
informações. Todos os domínios serão identificados pelo HTTPS 
na barra de navegação do site. 
Certificado Multidomínio EV (MDC EV) 
Semelhante ao MDC, esse também valida vários domínios em um 
único serviço, mas com os benefícios da validação estendida. Todos 
os domínios serão identificados pelo HTTPS acompanhado da 
razão social da empresa na barra de navegação do site da mesma. 
 
 Certificado Multi-domínio SAN (UCC) 
Valida multi-domínios apenas de aplicações em Microsoft 
Exchange (OWA, SMTP, Autodiscovery, ActiveSync e Outlook 
Anywhere) com apenas um certificado e endereço IP por servidor. 
Contempla até 210 domínios e todos precisam ser validados no 
momento da emissão. 
 Certificado CodeSign 
Esse tipo de criptografia, permite que desenvolvedores de softwares 
 assinem digitalmente o código fonte da aplicação. Pode ser usado 
para assinatura de códigos em: 
JAVA (.jar); 
 Microsoft (arquivos .exe, .cab, .dll, .ocx, .msi, .xpi e .xap inclusive VBA); 
 Adobe (AIR); 
E também plataformas Mobile (Windows Phone, IOS e Android). 
 Criptografia para e-mails (S/MIME) 
Permite a criptografia e assinatura de e-mails, garantindo a 
procedência das mensagens enviadas e recebidas. É indicado para 
empresas que precisam de sigilo e total proteção em questões 
jurídicas, onde e-mails podem ser utilizados como provas em alguns 
contextos. É extremamente seguro e eficaz! 
Criptografia no computador e no celular 
É bastante comum associar o uso da criptografia diretamente com 
a proteção de dados na internet. Com essa moderna técnica, fica 
muito mais difícil o Cracker descobrir seu login e senha de qualquer 
site e seus todos os seus dados pessoais são protegidos a cada 
compra.. Mas a criptografia tem aplicações que vão além disso. No 
computador, caso você decida criptografar seus dados, o Windows 
aplicará uma chave criptográfica que protegerá todo o conteúdo 
armazenado em sua máquina de forma que só se torne visível por 
quem possua a chave, No caso o seu PIN, senha de usuário na 
máquina ou qualquer tipo de autenticação biométrica oferecida pelo 
Windows. No caso de telefones celulares, o mesmo procedimento é 
válido. Ao criptografar os dados no seu aparelho, você os torna 
totalmente inacessíveis a um possível invasor. 
Níveis de segurança 
A criptografia vai depender da aplicação e do nível de segurança 
exigido, mas de uma forma geral, uma criptografia de 128 bits é 
muito mais segura do que uma de 56 bits, por exemplo. 
Para você ter uma pequena ideia da segurança oferecida, uma 
chave de 56 bits oferece 72 quatrilhões de possibilidades de troca 
de caracteres para ocultar uma mensagem. 
Pode parecer um pouco absurdo, mas os computadores atuais já 
podem fazer bilhões dessas operações por segundo. Dessa forma, 
56 bits pode não ser um número tão seguro se o Cracker possuir 
um aplicativo que tenta milhões de alternativas para quebrar a 
criptografia a cada segundo. 
Para comparar, uma chave de 128 bits tem uma capacidade 20 
vezes maior do que uma chave de 56 bits. Hoje, o 128 bits é tido 
como referência de segurança e usado por serviços do Google como 
o Gmail e pelo Facebook. 
 
 Breve história sobre o Cavalo de Tróia 
O Cavalo de Tróia foi um grande cavalo de madeira construído 
pelos gregos durante a , guerra de Tróia como um forma decisivo 
para a conquista da cidade fortificada de , com ruínas estão em 
terras hoje turcas. Tomado pelos troianos como um símbolo de sua 
vitória, foi carregado para dentro das muralhas, sem saberem que 
no seu interior se ocultava o inimigo. À noite, guerreiros saem do 
cavalo, dominam as sentinelas e possibilitam a entrada do exército 
grego, levando a cidade à ruína. A história da guerra foi contada 
primeiro na Iiiad de Homero , mas ali o cavalo não é mencionado, 
só aparecendo brevemente na sua história, que narra a acidentada 
viagem de Odisseu de volta para casa. Outros escritores depois 
dele ampliaram e detalharam o episódio. 
Em segurança da Informação um cavalo de Tróia ( do Inglês Trojan 
h ou, simplesmente, Trojan) é qualquer malwer que engana os 
usuários sobre sua verdadeira intenção. O termo é derivado da 
história grega antiga do Cavalo de Tróia enganoso que levou à 
queda da cidade de Tróia. Os cavalos de Tróia geralmente são 
espalhados por alguma forma de Engenharia Social, por exemplo: 
quando um usuário é levado a executar um anexo de e-mail 
disfarçado para não parecer suspeito ( por exemplo: um 
formulário de rotina a serpreenchido ) ou clicando em algum 
anúncio falso no site de mídia social ou qualquer outro. Embora a 
carga útil possa ser qualquer coisa, muitas formas modernas atuam 
como backdoor, entrando em contato com um controlador que 
pode ter acesso não autorizado ao computador afetado. Os cavalos 
de Tróia podem permitir que um invasor acesse os dados dos 
usuários, como informações bancárias, senhas ou identidade pessoal. 
Também pode excluir os arquivos de um usuário ou infectar outros 
dispositivos conectados à rede. 
NB= Os ataques de ransomwer geralmente são realizados usando 
um trojan. 
Principais tipos de ataques de 
engenharia social 
 
Os tipos mais comuns de ataques de engenharia social incluem 
baiting, phishing, pretexting, quid pro quo, spear phishing e 
tailgating. Soluções como firewalls, filtros de e-mail e ferramentas 
de monitoramento da rede e de dados podem ajudar a mitigar 
essas ameaças, porém, a conscientização do usuário é a tarefa 
mais importante para combater os ataques de engenharia social. 
 
 
 
 
 
 
ENGENHARIA SOCIAL REVERSA 
 
No ataque por internet e redes sociais, o atacante tem que 
conhecer o seu alvo, estudado-lo, ou fazer o ataque em massa, 
como em uma empresa, onde o atacante estuda um funcionário e 
algum tempo depois faz um ataque, enviando para essa tal pessoa 
um documento por e-mail, um documento de extrema importância 
para a empresa, o engeheiro Social iria colocar um trojan dentro 
do documento e assim, conseguindo entrar na rede da empresa e 
fazer oque desejar. No ataque pessoal, um engenheiro social estuda 
a vítima, procura um parente, estuda o parente e se “disfarça” 
desse tal parente, envia uma foto, documento e etc, com um 
trojan dentro, e conseguindo com sucesso fazer o seu ataque. 
Exempolo: Engenharia reversa não muito conhecida ou usada, pois 
precisa-se de um alvo extremamente específico. Lembra de quando 
você desmontou um carrinho, relógio ou qualquer outra coisa? A 
Engenharia reversa é exatamente isso, o atacante demonta 
completamente um sistema, para saber tudo sobre ele, suas falhas 
principalmente, essa técnica foi usada na fabricação das placas de 
linhagem AMD; A empresa provavelmente comprou alguns 
processadores da Intel, abriu-os e os estudou detalhadamente, 
conseguindo criar uma cópia perfeita através de tentativa e erro. 
Baiting 
Por meio dessa técnica, Cracker’s deixam à disposição do usuário 
um dispositivo infectado com malware, como um pen-drive ou um 
CD. A intenção é despertar a curiosidade do indivíduo para que 
insira o dispositivo em uma máquina a fim de checar seu 
conteúdo. O sucesso dos ataques de baiting depende de três ações 
do indivíduo: encontrar o dispositivo, abrir seu conteúdo e 
instalar o malware sem perceber. Uma vez instalado, o malware 
permite que ao Cracker tenha acesso aos sistemas da vítima. A 
tática envolve pouco trabalho por parte do Cracker. Tudo que ele 
precisa fazer é infectar um dispositivo e ocasionalmente deixá-lo à 
vista do alvo, seja na entrada ou no interior dos escritórios. 
 O dispositivo pode ser, por exemplo: um pen-drive contendo um 
arquivo com nome “chamativo”, como “folha salarial 2017”. 
Em 2011, a Bloomberg relatou que, em um teste feito com 
funcionários do governo norte-americano, 60% das pessoas 
pegaram um pen-drive deixado no estacionamento e plugaram nos 
computadores do escritório. No caso dos dispositivos que tinham 
um logo oficial, 90% instalaram o arquivo. 
Phishing 
O e-mail de phishing, apesar de já existir há anos, ainda é uma 
das técnicas mais comuns de engenharia social pelo alto nível de 
eficiência. O phishing ocorre quando um Cracker produz 
comunicações fraudulentas que podem ser interpretadas como 
legítimas pela vítima por alegarem vir de fontes confiáveis. 
Em um ataque de phishing, os usuários podem ser coagidos a 
instalar um malware em seus dispositivos ou a compartilhar 
informações pessoais, financeiras ou de negócio. 
Apesar de o e-mail ser o modo mais tradicional para o envio de 
phishing, esse tipo de ataque também pode vir na forma de um 
contato telefônica ou de uma mensagem no Facebook, por 
exemplo. 
Os piores ataques de phishing se aproveitam de situações trágicas 
com o objetivo de explorar a boa vontade das pessoas, fazendo 
com que passem informações pessoais e de pagamento para 
realizar doações, por exemplo, Alguns e-mails de phishing são 
incrivelmente fáceis de identificar, no entanto, há os que são 
extremamente convincentes, simulando, por exemplo, comunicações 
do banco e empresas de cartão de crédito e comunicados oficiais 
da própria empresa pedindo para que os funcionários façam 
download de um novo software de segurança corporativa, por 
exemplo. 
Pretexting 
Por meio do pretexting, os Cracker’s fabricam falsascir cunstâncias 
para coagir a vítima a oferecer acesso a informações e sistemas 
críticos. Nesse caso, os Cracker’s assumem uma nova identidade 
ou papel para fingir que são alguém de confiança da vítima. 
Tudo que o cyber-criminoso precisa é dar uma olhada nos perfis 
da vítima nas redes sociais para descobrir informações como data 
e local de nascimento, empresa, cargo, nomes de parentes, colegas 
de trabalho, amigos, entre outros. Depois, basta enviar um e-mail 
( ou outro tipo de comunicação ) à vítima fingindo a necessidade 
de confirmar dados para garantir seu acesso a algum sistema 
específico. Pode ser, por exemplo, um e-mail supostamente da 
equipe de TI coagindo a vítima a divulgar suas credenciais 
Quid pro quo 
Um ataque de quid pro quo ocorre quando um Cracker requer 
informações privadas de alguém em troca de algo. “Quid pro 
quo” basicamente significa “isso por aquilo”, em que o cyber-
criminoso oferece algo à vítima em troca de informações 
sensíveis. A tática mais comum envolve se passar por alguém da 
TI e abordar diversas vítimas encontrar alguém com um 
problema real de TI. Sob instruções do Cracker, a vítima então 
dá acesso a códigos, desabilita programas vitais e instala malwares 
achando que conseguirá resolver seu problema. 
Outra tática bastante usada é a de simular uma pesquisa em que 
funcionários passam uma série de informações sensíveis em troca 
de brindes, como canetas e canecas. 
Spear phishing 
O spear-phishing é uma forma mais sofisticada de phishing que 
foca em indivíduos e organizações específicas. Nesse tipo de 
ataque, o Cracker se passa por algum executivo ou outro membro 
chave da empresa e aborda funcionários com intuito de obter 
informações sensíveis. 
Os cyber-criminosos podem obter, por meio das redes sociais, 
informações sobre o alvo e o quadro organizacional da empresa. 
Depois disso, basta enviar alguma comunicação fingindo ser, por 
exemplo, um dos executivos da empresa com uma demanda 
urgente que requer uma transação financeira imediata para uma 
conta específica. 
Esse tipo de ataque costuma ter altas taxas de sucesso no 
convencimento de funcionários para que executem açõesespecíficas 
ou passem informações sensíveis. 
Segundo o SANS Institute Report de 2016, os ataques de spear-
phishing estão cada vez mais efetivos pois são tão tecnicamente 
convincentes que a maioria dos destinatários não se dá ao 
trabalho de procurar por pequenos indícios de fraude ou tentar 
se comunicar com o remetente por outro meio. A técnica também 
está sendo muito utilizada de forma direcionada para pequenas e 
médias empresas, pois geralmente são menos maduras em 
segurança. 
 
Tailgating 
O tailgating é uma técnica física de engenharia social que ocorre 
quando indivíduos não autorizados seguem indivíduos autorizados 
até localizações seguras. O objetivo é obter ativos valiosos e 
informações confidenciais. 
É o caso, por exemplo, de quando alguém pede para o outro 
“segurar a porta” porque esqueceu seu cartão de acesso, ou pede 
seu smartphone ou computador emprestado para fazer “algo 
rapidinho”, mas na verdade instala malwares e rouba dados da 
máquina. 
Afinal, como se proteger? 
A coisa mais importante que você pode fazer para evitar ser 
uma vítima de engenharia social é abraçar o ceticismo saudável 
e sempre ser tão vigilante quanto possível. 
Apenas estar ciente de truques comuns coloca você um passo à 
frente do jogo ( mas não fique muito arrogante e lembre-se de 
questionar tudo, sempre ) 
No fim das contas, podemos listar algumas boas práticas 
comportamentais que ajudam na segurança e prevenção desse 
tipo de investida maliciosa. 
Cuidado ao falar sobre informações sensíveis 
Nunca divulgue informações confidenciais ou mesmo informações 
aparentemente não confidenciais sobre você ou sua empresa, seja 
por telefone, on-line ou pessoalmente, a menos que você possa 
primeiro verificar a identidade da pessoa que solicita e a 
necessidade dessa pessoa tentar ter essa informação. 
Digamos que você recebeu uma chamada de sua empresa de 
cartão de crédito dizendo que seu cartão foi comprometido. Diga 
“Ok”, desligue o telefone e retorne diretamente para a empresa 
de cartões, em vez de falar com quem te ligou. Aposte em uma 
“dupla autentificação” no mundo físico, sem acreditar de primeira 
nos telefonemas e mensagens que chegam até você. 
Além disso, lembre-se sempre que os departamentos de TI reais e 
seus serviços financeiros nunca pedirão sua senha ou outras 
informações confidenciais por telefone ou email. 
Tenha calma 
Os engenheiros sociais sabem que cometemos erros quando 
estamos sob pressão, e eles usam isso contra nós. Eles vão tentar 
encher sua cabeça com avisos sobre as conseqüências terríveis da 
inação, e podem até mesmo fazer ameaças sobre o que poderia 
acontecer se você não ajudar. 
O risco é ainda maior quando as empresas não possuem políticas 
claras de segurança. É importante que a política de segurança 
seja cumprida e que os funcionários compreendam que não serão 
punidos por respeitar essa política, mesmo que isso torne a ação 
mais lenta. 
 
 Para as empresas 
 
Mudando táticas regularmente e incorporando informações de 
negócios e tecnologia em seus esquemas, os atacantes criaram 
uma paisagem variável de ataques muito sofisticados. 
 Como resultado, as equipes de segurança devem ir além de 
simplesmente treinar funcionários para responder corretamente a 
ameaças específicas. 
Os funcionários devem ter o poder de reconhecer ameaças 
potenciais e tomar decisões de segurança corretas por conta 
própria, de modo que mesmo solicitações muito realistas de 
informações seguras possam ser instintivamente atendidas com 
ceticismo e cautela. 
Incorporar consciência de segurança tão profundamente nas 
mentes dos funcionários é um desafio significativo que envolve 
muito mais do que programas periódicos de conscientização. 
Cultura de Segurança é a melhor prevenção 
Os riscos de segurança da engenharia social são significativos e 
as organizações devem abordar as ameaças de engenharia social 
como parte de uma estratégia global de gestão de riscos. 
NB= Não existe segurança na rede, e nunca vai existir 
(engenharia social ). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
TÉCNICO EM ENGENHARIA SOCIAL/ REDES DE PC 
 
 
 
CONTACTO; +258 868065556 
 
 
 
 
 
 
 JOSAFÁ ADELINO JOSANO CARDOSSO