5- AlfaCon--ataques-phishing-pharming-spam-e-hoax-engenharia-social-brute-force-spoofing

Prévia do material em texto

CONTEÚDO PROGRAMÁTICO
AlfaCon Concursos Públicos
Lei do Direito Autoral nº 9.610, de 19 de Fevereiro de 1998: Proíbe a reprodução total ou parcial desse material ou divulgação com 
fins comerciais ou não, em qualquer meio de comunicação, inclusive na Internet, sem autorização do AlfaCon Concursos Públicos.
1
ÍNDICE
Ataques �����������������������������������������������������������������������������������������������������������������������������������������������������������������2
Phishing ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������2
Pharming ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������2
Qual a Diferença entre o Phishing e o Pharming ������������������������������������������������������������������������������������������������������2
SPAM �����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������3
Qual o Interesse de um SPAM? �����������������������������������������������������������������������������������������������������������������������������������3
Qual a Relação do SPAM com Malwares �������������������������������������������������������������������������������������������������������������������3
Tipos de SPAM ��������������������������������������������������������������������������������������������������������������������������������������������������������������3
HOAX ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������3
Engenharia Social ��������������������������������������������������������������������������������������������������������������������������������������������������������������3
Brute Force ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������3
Spoofing �������������������������������������������������������������������������������������������������������������������������������������������������������������������������4
Sniffing ��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������4
SQL Injection ����������������������������������������������������������������������������������������������������������������������������������������������������������������������4
AlfaCon Concursos Públicos
Lei do Direito Autoral nº 9.610, de 19 de Fevereiro de 1998: Proíbe a reprodução total ou parcial desse material ou divulgação com 
fins comerciais ou não, em qualquer meio de comunicação, inclusive na Internet, sem autorização do AlfaCon Concursos Públicos.
2
Ataques
Na Informática nem todos os problemas que afligem os usuários são causados por malwares, ou 
seja, não são causados por programas propriamente ditos, em muitas situações o computador do 
usuário não precisa se contaminado por um malware para causar problemas� Os ataques podem ter 
origem de computadores contaminados por malwares ou por ação direta dos invasores�
De modo geral, classifica-se como ataque as situações que não se definem como programas�
Dentre os ataques podemos citar:
 → Phishing
 → Pharming
 → Spam
 → Hoax
 → Engenharia Social
 → Brute Force
 → Spoofing
 → Sniffing
 → SQL Injection
 → Defacement
 → DoS
 → DDoS
 → Cross-Site Scripting (XSS)
Phishing
Também conhecido como pescaria, os phishings se tornaram um dos ataques mais comuns na 
atualidade, e ainda são uma brecha na legislação brasileira que não pune ou tipifica a sua prática, uma 
vez que é o próprio usuário que fornece seus dados pessoais sem que haja invasão ou seja obrigado a tal�
Um phishing consiste em um site ou e-mail falso, que tem por interesse capturar dados dos 
usuários� Quando o phishing tem um alvo específico ele pode ser mencionado como spear phishing�
Pharming
Também conhecido como DNS cache Poison ou DNS cache poisoning (envenenamento de cache 
DNS), pode ainda ser mencionado como Sequestro de DNS�
Essa técnica de ataque consiste em redirecionar o usuário que busca acessar a um site legítimo a 
outro endereço com conteúdo adverso, normalmente um site falso (phishing)
Essa manipulação pode ocorrer de dois modos:
 → Localmente: quando um malware altera o cache de DNS do navegador;
 → Em escala: quando o cracker (hacker black hat) consegue fraldar a estrutura de cache de DNS que 
o usuário acessa em busca do endereço IP do site legítimo;
Qual a Diferença entre o Phishing e o Pharming
O phishing envolve fazer com que um usuário insira informações pessoais por meio de um site 
falso� Já o pharming envolve a modificação de entradas de DNS, o que faz com que os usuários sejam 
direcionados para o site errado quando visitam um determinado endereço da Web�
AlfaCon Concursos Públicos
Lei do Direito Autoral nº 9.610, de 19 de Fevereiro de 1998: Proíbe a reprodução total ou parcial desse material ou divulgação com 
fins comerciais ou não, em qualquer meio de comunicação, inclusive na Internet, sem autorização do AlfaCon Concursos Públicos.
3
Portanto, no pharming, o usuário pode ter digitado o site certo, mas se o DNS na máquina dele 
estiver contaminado, ele será encaminhado a um site falso (muitas vezes sendo réplica do original)� 
Todo e qualquer dado enviado por formulário ou outro meio, será entregue ao hacker�
SPAM
Define-se por spam as mensagens não solicitadas pelo usuário e enviadas em massa, embora tipi-
camente associada ao contexto de e-mails ele não se limita a, ou seja, é também comum também em 
redes sociais, ou até mesmo por SMS�
Cuidado para não confundir com mensagens que em algum momento, mesmo que inadvertida-
mente, o usuário tenha solicitado para receber, como é o caso do Newsletter, em que o usuário assina 
uma lista de e-mail, de modo que indica o interesse em receber e-mails, sejam de propaganda ou 
atualizações de determinada fonte�
Em virtude dos spams, todos e-mails (legítimos como no caso de newsletter) devem oferecer 
para o usuário mecanismo para “sair da lista”, assim indicando o interesse em não receber mais 
mensagens daquela fonte�
O problema muitas vezes ocorre quando a própria opção para “sair da lista” é usada como arma-
dilha para identificar o usuário�
Qual o Interesse de um SPAM?
A finalidade das mensagens de spam são realizar propaganda ou mesmo refinar sua lista de contatos 
para agregar maior valor a ela� Se você pesquisar na Internet por listas de e-mails irá encontrar diversas 
opções de quantidade e valores, quanto mais específico o público da lista, maior será o valor agregado�
Qual a Relação do SPAM com Malwares
Um spam pode conter malware sim, mas não precisa conter para ser definido como spam� Assim 
como um spam pode ter sido produzido e disparado por um malware, ou seja, por um computador 
contaminado com um malware, como um Worm ou Bot, que fica enviando mensagens�
Tipos de SPAM
 → Hoax;
 → Corrente;
 → Filantrópicos;
HOAX
Um hoax (boato) pode ser visto como um tipo de spam é o ato de distribuir uma desinformação, 
que pode ter consequências pesadas ou mesmo denigrir a imagem de uma pessoa�
Engenharia Social
Também conhecida como arte de enganar, a engenharia social consiste em explorar falhas mais 
comuns e suscetíveis em termos de segurança: os usuários�
Um engenheiro social utiliza-se de artimanhas e práticas que levam o usuário a fornecer dados 
que não deveria, e que em um primeiro momento não enxerga a má intenção por trás destes atos�
Brute Force
O ataque de força bruta consiste em um ataque de tentativa e erro, muitas vezes usado para 
quebra de senhas de usuários a partir de informaçõesbásicas que usuários tipicamente utilizam 
como senha�
AlfaCon Concursos Públicos
Lei do Direito Autoral nº 9.610, de 19 de Fevereiro de 1998: Proíbe a reprodução total ou parcial desse material ou divulgação com 
fins comerciais ou não, em qualquer meio de comunicação, inclusive na Internet, sem autorização do AlfaCon Concursos Públicos.
4
Spoofing
Esse ataque consiste em falsificar o remetente, de modo que o usuário acredite ter recebido de 
outra fonte, seu emprego é comum em e-mails, você certamente já deve ter recebido um e-mail de você 
mesmo sem ter realizado tal envio, contudo não se limita a e-mails, atualmente empregado na telefonia�
Sniffing
O termo sniffing pode ser aplicado tanto ao ataque como ao ato em si, como ao usuário ou 
programa usado para realizar o processo�
Sniffing consiste em escutar a rede� Esse procedimento não indica necessariamente em ato 
indevido, pois é uma prática necessária também para avaliar a comunicação de uma rede e também 
a proteger, como no caso dos IDSs�
SQL Injection
(tradução: Injeção SQL)
É o ataque em que o invasor se utiliza de formulários presentes nos sites para inserir conteúdo 
que altere/apague ou lhe permita acessar o banco de dados de um site�
Exercícios
01. Frequentemente, os usuários de Correio Eletrônico recebem mensagens contendo frases como 
“atualize seus dados bancários” ou, então, “parabéns, você é o novo milionário”, cujo objetivo é 
capturar informações como senhas de banco e demais informações pessoais para utilizá-las de 
maneira fraudulenta� Esse tipo de crime, que cresce em ritmo acelerado, é chamado
a) Accounting�
b) Backdoor�
c) Download�
d) Phishing�
e) Redirecting�
Julgue o item, relativo a procedimentos de segurança da informação, noções de vírus, worms e 
pragas virtuais e procedimentos de backup�
02. Um ataque de rootkit é semelhante a um ataque de phishing, já que ambos exploram vulne-
rabilidades do sistema, por meio da engenharia social, objetivando conquistar a confiança do 
usuário e, posteriormente, obter informações sensíveis�
Certo ( ) Errado ( ) 
No que diz respeito aos conceitos de organização e de gerenciamento de arquivos, pastas e pro-
gramas, aos aplicativos para segurança da informação e aos procedimentos de backup, julgue o item�
03. Os antivírus são capazes de eliminar phishing e spyware� Contudo, devido à sua rápida multi-
plicação no ambiente, os rootkits não são identificados nem removidos pelos antivírus atuais�
Certo ( ) Errado ( ) 
04. Leia cada uma das afirmativas abaixo e assinale Verdadeiro(V) ou Falso(F):
( ) Hoax é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem 
como remetente, ou aponta como autora, alguma instituição ou órgão governamental�
( ) Phishing é um tipo de fraude por meio do qual um golpista tenta obter dados pessoais e fi-
nanceiros de um usuário, pela combinação de meios técnicos e engenharia social�
( ) Malware é um tipo de vírus que se propaga, de forma automática, no computador infectado�
AlfaCon Concursos Públicos
Lei do Direito Autoral nº 9.610, de 19 de Fevereiro de 1998: Proíbe a reprodução total ou parcial desse material ou divulgação com 
fins comerciais ou não, em qualquer meio de comunicação, inclusive na Internet, sem autorização do AlfaCon Concursos Públicos.
5
( ) Worm é uma praga virtual que diferente do vírus precisa da interação do usuário para se propagar�
a) F – F – F – V
b) V – V – V – F
c) V – F – V – F
d) V – V – F – F
e) V – V – V – F
Gabarito
01 - D
02 - Errado
03 - Errado
04 - D