Escolar Documentos
Profissional Documentos
Cultura Documentos
Cartilha Seguranca Internet
Cartilha Seguranca Internet
Cartilha Seguranca Internet
u
b
l
i
c
a
o
http://cartilha.cert.br/
ATRIBUIC
AO USO N
E PODE:
copiar, distribuir e transmitir a obra sob as seguintes condic oes:
ATRIBUIC
AO:
Voc e deve creditar a obra da forma especicada pelo autor ou licenciante
(mas n ao de maneira que sugira que estes concedem qualquer aval a voc e ou
ao seu uso da obra).
USO N
AO COMERCIAL:
Voc e n ao pode usar esta obra para ns comerciais.
VEDADA A CRIAC
AO DE OBRAS DERIVADAS:
Voc e n ao pode alterar, transformar ou criar em cima desta obra.
N ucleo de Informac ao e Coordenac ao do Ponto BR
Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranca no Brasil
Cartilha de Seguranca
para Internet
Vers ao 4.0
Comit e Gestor da Internet no Brasil
S ao Paulo
2012
Comit e Gestor da Internet no Brasil (CGI.br)
N ucleo de Informac ao e Coordenac ao do Ponto BR (NIC.br)
Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br)
Textos e Edic ao: Equipe do CERT.br
Ilustrac oes: H ector G omez e Osnei
Cartilha de Seguranca para Internet, vers ao 4.0 / CERT.br S ao Paulo: Comit e Gestor da Internet no
Brasil, 2012.
Primeira edic ao: 2006
ISBN: 978-85-60062-05-8
ISBN: 85-60062-05-X
Segunda edic ao: 2012
ISBN: 978-85-60062-54-6
A Cartilha de Seguranca para Internet e uma publicac ao independente, produzida pelo Centro de Estudos, Resposta e
Tratamento de Incidentes de Seguranca no Brasil (CERT.br), do N ucleo de Informac ao e Coordenac ao do Ponto BR
(NIC.br), braco executivo do Comit e Gestor da Internet no Brasil (CGI.br) e n ao possui qualquer relac ao de aliac ao,
patrocnio ou aprovac ao de outras instituic oes ou empresas citadas em seu conte udo.
Os nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcas
registradas comerciais, de produtos ou servicos, no Brasil ou em outros pases, e s ao utilizados com prop osito de
exemplicac ao, sem intenc ao de promover, denegrir ou infringir.
Embora todas as precauc oes tenham sido tomadas na elaborac ao desta obra, autor e editor n ao garantem a correc ao
absoluta ou a completude das informac oes nela contidas e n ao se responsabilizam por eventuais danos ou perdas que
possam advir do seu uso.
Pref acio
A Cartilha de Seguranca para Internet e um documento com recomendac oes e dicas sobre como
o usu ario de Internet deve se comportar para aumentar a sua seguranca e se proteger de possveis
ameacas. O documento apresenta o signicado de diversos termos e conceitos utilizados na Internet,
aborda os riscos de uso desta tecnologia e fornece uma s erie de dicas e cuidados a serem tomados
pelos usu arios para se protegerem destas ameacas.
A produc ao desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes
de Seguranca no Brasil (CERT.br), que e um dos servicos prestados para a comunidade Internet do
Brasil pelo N ucleo de Informac ao e Coordenac ao do Ponto BR (NIC.br), o braco executivo do Comit e
Gestor da Internet no Brasil (CGI.br).
N os esperamos que esta Cartilha possa auxili a-lo n ao s o a compreender as ameacas do ambiente
Internet, mas tamb em a usufruir dos benefcios de forma consciente e a manter a seguranca de seus
dados, computadores e dispositivos m oveis. Gostaramos ainda de ressaltar que e muito importante
car sempre atento ao usar a Internet, pois somente aliando medidas t ecnicas a boas pr aticas e possvel
atingir um nvel de seguranca que permita o pleno uso deste ambiente.
Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, por favor, entre
em contato por meio do endereco doc@cert.br.
Boa leitura!
Equipe do CERT.br
Junho de 2012
Estrutura da Cartilha
Este documento conta com quatorze captulos, que dividem o conte udo em diferentes areas rela-
cionadas com a seguranca da Internet, al em de um gloss ario e um ndice remissivo.
De forma geral, o Captulo 1 apresenta uma introduc ao sobre a import ancia de uso da Internet, os
riscos a que os usu arios est ao sujeitos e os cuidados a serem tomados. Do Captulo 2 ao 6 os riscos
s ao apresentados de forma mais detalhada, enquanto que do Captulo 7 ao 14 o foco principal s ao os
cuidados a serem tomados e os mecanismos de seguranca existentes.
1. Seguranca na Internet: Trata dos benefcios que a Internet pode trazer na realizac ao de atividades
cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb em
esclarecer que a Internet n ao tem nada de virtual e que os cuidados a serem tomados ao
us a-la s ao semelhantes aos que se deve ter no dia a dia.
iii
iv Cartilha de Seguranca para Internet
2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes gol-
pes representam e os cuidados que devem ser tomados para se proteger deles.
3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as
motivac oes que levam os atacantes a praticar atividades deste tipo e as t ecnicas que costumam
ser utilizadas. Ressalta a import ancia de cada um fazer a sua parte para que a seguranca geral
da Internet possa ser melhorada.
4. C odigos maliciosos (Malware): Aborda os diferentes tipos de c odigos maliciosos, as diversas for-
mas de infecc ao e as principais ac oes danosas e atividades maliciosas por eles executadas.
Apresenta tamb em um resumo comparativo para facilitar a classicac ao dos diferentes tipos.
5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter im-
plicac oes de seguranca, e m etodos de prevenc ao.
6. Outros riscos: Aborda alguns dos servicos e recursos de navegac ao incorporados a grande maioria
dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados
que devem ser tomados ao utiliz a-los. Trata tamb em dos riscos apresentados e dos cuidados a
serem tomados ao compartilhar recursos na Internet.
7. Mecanismos de seguranca: Apresenta os principais mecanismos de seguranca existentes e os cui-
dados que devemser tomados ao utiliz a-los. Ressalta a import ancia de utilizac ao de ferramentas
de seguranca aliada a uma postura preventiva.
8. Contas e senhas: Aborda o principal mecanismo de autenticac ao usado na Internet que s ao as
contas e as senhas. Inclui dicas de uso, elaborac ao, gerenciamento, alterac ao e recuperac ao,
entre outras.
9. Criptograa: Apresenta alguns conceitos de criptograa, como func oes de resumo, assinatura
digital, certicado digital e as chaves sim etricas e assim etricas. Trata tamb em dos cuidados que
devem ser tomados ao utiliz a-la.
10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s ao feitos da Internet
e os cuidados que devem ser tomados ao utiliz a-los. Aborda quest oes referentes a seguranca
nas conex oes Web especialmente as envolvem o uso de certicados digitais.
11. Privacidade: Discute quest oes relacionadas ` a privacidade do usu ario ao utilizar a Internet e aos
cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes
a disponibilizac ao de informac oes pessoais nas redes sociais.
12. Seguranca de computadores: Apresenta os principais cuidados que devem ser tomados ao usar
computadores, tanto pessoais como de terceiros. Ressalta a import ancia de manter os compu-
tadores atualizados e com mecanismos de protec ao instalados.
13. Seguranca de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces-
so ` a Internet, como banda larga (xa e m ovel), Wi-Fi e Bluetooth.
14. Seguranca em dispositivos m oveis: Aborda os riscos relacionados ao uso de dispositivos m o-
veis e procura demonstrar que eles s ao similares aos computadores e que, por isto, necessitam
dos mesmos cuidados de seguranca.
v
Licenca de Uso da Cartilha
A Cartilha de Seguranca para Internet e disponibilizada sob a licenca Creative Commons Atribui-
c ao-Uso n ao-comercial-Vedada a criac ao de obras derivadas 3.0 Brasil (CC BY-NC-ND 3.0).
A licenca completa est a disponvel em: http://cartilha.cert.br/cc/.
Hist orico da Cartilha
No incio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que
` a epoca chamava-se NBSO NIC BR Security Ofce), identicou a necessidade de um guia com
informac oes sobre seguranca que pudesse ser usado como refer encia pelos diversos setores usu arios
de Internet. Como conseq u encia, a pedido do Comit e Gestor da Internet no Brasil e sob supervis ao
do CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers ao 1.0.
Em 2003 foi vericada a necessidade de uma revis ao geral do documento, que n ao s o inclusse
novos t opicos, mas que tamb em facilitasse sua leitura e a localizac ao de assuntos especcos. Neste
processo de revis ao a Cartilha foi completamente reescrita, dando origem ` a vers ao 2.0. Esta vers ao, a
primeira totalmente sob responsabilidade do CERT.br, possua estrutura dividida em partes, al em de
contar com o checklist e o gloss ario. Tamb em nesta vers ao foram introduzidas as sec oes relativas a
fraudes na Internet, banda larga, redes sem o, spam e incidentes de seguranca.
Na vers ao 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido ` a evoluc ao da tec-
nologia, novos assuntos foram includos. Foi criada uma parte especca sobre c odigos maliciosos,
expandida a parte sobre seguranca de redes sem o e includos t opicos especcos sobre seguranca
em dispositivos m oveis. Esta vers ao tamb em foi a primeira a disponibilizar um folheto com as dicas
b asicas para protec ao contra as ameacas mais comuns.
A vers ao 3.1 n ao introduziu partes novas, mas incorporou diversas sugest oes de melhoria recebi-
das, corrigiu alguns erros de digitac ao e atendeu a um pedido de muitos leitores: lanc a-la em formato
de livro, para facilitar a leitura e a impress ao do conte udo completo.
Em 2012 foi vericada novamente a necessidade de revis ao geral do documento, o que deu origem
` a vers ao 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente
pela popularizac ao dos dispositivos m oveis e facilidades de conex ao, constatou-se a necessidade de
abordar novos conte udos e agrupar os assuntos de maneira diferente. Esta vers ao conta com um livro
com todo o conte udo que, com o objetivo de facilitar a leitura e torn a-la mais agrad avel, e totalmente
ilustrado. Este livro, por sua vez, e complementado por fascculos com vers oes resumidas de alguns
dos t opicos, de forma a facilitar a difus ao de conte udos especcos.
Agradecimentos
Agradecemos a todos leitores da Cartilha, que t emcontribudo para a elaborac ao deste documento,
enviando coment arios, crticas, sugest oes ou revis oes.
Agradecemos as contribuic oes de Rafael Rodrigues Obelheiro, na vers ao 3.0, e de Nelson Murilo,
na Parte V da vers ao 3.1 e no Captulo 13 da atual vers ao.
Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da
primeira vers ao; a Marcelo H. P. C. Chaves, pela produc ao das vers oes 2.0, 3.0 e 3.1 e pela criac ao
das guras da atual vers ao; a Lucimara Desider a, pelas pesquisas realizadas, pela contribuic ao nos
Captulos 9 e 13 e tamb em pela pela criac ao das guras da atual vers ao; e a Miriam von Zuben, pela
produc ao da vers ao 4.0 e por ser a principal mantenedora da Cartilha.
vii
Sum ario
Pref acio iii
Agradecimentos vii
Lista de Figuras xiii
Lista de Tabelas xiii
1 Seguranca na Internet 1
2 Golpes na Internet 5
2.1 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Fraude de antecipac ao de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . 7
2.3 Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3.1 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4 Golpes de com ercio eletr onico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4.1 Golpe do site de com ercio eletr onico fraudulento . . . . . . . . . . . . . . . 12
2.4.2 Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . 13
2.4.3 Golpe do site de leil ao e venda de produtos . . . . . . . . . . . . . . . . . . 14
2.5 Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.6 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3 Ataques na Internet 17
3.1 Explorac ao de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.3 Falsicac ao de e-mail (E-mail spoong) . . . . . . . . . . . . . . . . . . . . . . . . 18
3.4 Interceptac ao de tr afego (Snifng) . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ix
x Cartilha de Seguranca para Internet
3.5 Forca bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.6 Desgurac ao de p agina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.7 Negac ao de servico (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.8 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4 C odigos maliciosos (Malware) 23
4.1 Vrus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.3 Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.4 Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.5 Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.6 Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.7 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.8 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.9 Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5 Spam 33
5.1 Prevenc ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6 Outros riscos 39
6.1 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2 C odigos m oveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3 Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6.4 Plug-ins, complementos e extens oes . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6.5 Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.6 Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
6.7 Programas de distribuic ao de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . 44
6.8 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7 Mecanismos de seguranca 47
7.1 Poltica de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.2 Noticac ao de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
7.3 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Sum ario xi
7.4 Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.5 C opias de seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.6 Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
7.7 Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7.8 Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.9 Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
8 Contas e senhas 59
8.1 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8.2 Elaborac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
8.3 Alterac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.4 Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.5 Recuperac ao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
9 Criptograa 67
9.1 Criptograa de chave sim etrica e de chaves assim etricas . . . . . . . . . . . . . . . 68
9.2 Func ao de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.3 Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.4 Certicado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.5 Programas de criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.6 Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
10 Uso seguro da Internet 75
10.1 Seguranca em conex oes Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
10.1.1 Tipos de conex ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10.1.2 Como vericar se um certicado digital e con avel . . . . . . . . . . . . . . 82
11 Privacidade 85
11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12 Seguranca de computadores 93
12.1 Administrac ao de contas de usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . 98
12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . . 99
xii Cartilha de Seguranca para Internet
12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 100
13 Seguranca de redes 101
13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
13.4 Banda larga xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
13.5 Banda Larga M ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
14 Seguranca em dispositivos m oveis 107
Gloss ario 111
E preciso, portanto, que voc e leve para a Internet os mesmos cuidados e as mesmas preocupac oes
que voc e tem no seu dia a dia, como por exemplo: visitar apenas lojas con aveis, n ao deixar p ublicos
dados sensveis, car atento quando for ao banco ou zer compras, n ao passar informac oes a
estranhos, n ao deixar a porta da sua casa aberta, etc.
Para tentar reduzir os riscos e se proteger e importante que voc e adote uma postura preventiva e
que a atenc ao com a seguranca seja um h abito incorporado ` a sua rotina, independente de quest oes
como local, tecnologia ou meio utilizado. Para ajud a-lo nisto, h a diversos mecanismos de seguranca
que voc e pode usar e que s ao detalhados nos Captulos: Mecanismos de seguranca, Contas e senhas e
Criptograa.
Outros cuidados, relativos ao uso da Internet, como aqueles que voc e deve tomar para manter a
sua privacidade e ao utilizar redes e dispositivos m oveis, s ao detalhados nos demais Captulos: Uso
seguro da Internet, Privacidade, Seguranca de computadores, Seguranca de redes e Seguranca em
dispositivos m oveis.
1
Nesta Cartilha a palavra computador ser a usada para se referir a todos os dispositivos computacionais passveis de
invas ao e/ou de infecc ao por c odigos maliciosos, como computadores e dispositivos m oveis.
2. Golpes na Internet
Normalmente, n ao e uma tarefa simples atacar e fraudar dados em um servidor de uma institui-
c ao banc aria ou comercial e, por este motivo, golpistas v em concentrando esforcos na explorac ao de
fragilidades dos usu arios. Utilizando t ecnicas de engenharia social e por diferentes meios e discursos,
os golpistas procuram enganar e persuadir as potenciais vtimas a fornecerem informac oes sensveis
ou a realizarem ac oes, como executar c odigos maliciosos e acessar p aginas falsas.
De posse dos dados das vtimas, os golpistas costumam efetuar transac oes nanceiras, acessar
sites, enviar mensagens eletr onicas, abrir empresas fantasmas e criar contas banc arias ilegtimas,
entre outras atividades maliciosas.
Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrim onio,
tipicados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat ario.
Nas pr oximas sec oes s ao apresentados alguns dos principais golpes aplicados na Internet e alguns
cuidados que voc e deve tomar para se proteger deles.
5
6 Cartilha de Seguranca para Internet
2.1 Furto de identidade (Identity theft)
O furto de identidade, ou identity theft, e o ato pelo qual uma pessoa tenta se passar por outra,
atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de
furto de identidade podem ser considerados como crime contra a f e p ublica, tipicados como falsa
identidade.
No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu em abra uma empresa ou
uma conta banc aria usando seu nome e seus documentos. Na Internet isto tamb em pode ocorrer, caso
algu em crie um perl em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens
se passando por voc e ou falsique os campos de e-mail, fazendo parecer que ele foi enviado por voc e.
Quanto mais informac oes voc e disponibiliza sobre a sua vida e rotina, mais f acil se torna para
um golpista furtar a sua identidade, pois mais dados ele tem disponveis e mais convincente ele pode
ser. Al em disto, o golpista pode usar outros tipos de golpes e ataques para coletar informac oes sobre
voc e, inclusive suas senhas, como c odigos maliciosos (mais detalhes no Captulo C odigos maliciosos
(Malware)), ataques de forca bruta e interceptac ao de tr afego (mais detalhes no Captulo Ataques na
Internet).
Caso a sua identidade seja furtada, voc e poder a arcar com consequ encias como perdas nanceiras,
perda de reputac ao e falta de cr edito. Al em disto, pode levar muito tempo e ser bastante desgastante
at e que voc e consiga reverter todos os problemas causados pelo impostor.
Prevenc ao:
A melhor forma de impedir que sua identidade seja furtada e evitar que o impostor tenha acesso
aos seus dados e ` as suas contas de usu ario (mais detalhes no Captulo Privacidade). Al em disto,
para evitar que suas senhas sejam obtidas e indevidamente usadas, e muito importante que voc e seja
cuidadoso, tanto ao us a-las quanto ao elabor a-las (mais detalhes no Captulo Contas e senhas).
E necess ario tamb em que voc e que atento a alguns indcios que podem demonstrar que sua
identidade est a sendo indevidamente usada por golpistas, tais como:
voc e comeca a ter problemas com org aos de protec ao de cr edito;
voc e recebe o retorno de e-mails que n ao foram enviados por voc e;
voc e verica nas noticac oes de acesso que a sua conta de e-mail ou seu perl na rede social
foi acessado em hor arios ou locais em que voc e pr oprio n ao estava acessando;
ao analisar o extrato da sua conta banc aria ou do seu cart ao de cr edito voc e percebe transac oes
que n ao foram realizadas por voc e;
voc e recebe ligac oes telef onicas, correspond encias e e-mails se referindo a assuntos sobre os
quais voc e n ao sabe nada a respeito, como uma conta banc aria que n ao lhe pertence e uma
compra n ao realizada por voc e.
2. Golpes na Internet 7
2.2 Fraude de antecipac ao de recursos (Advance fee fraud)
A fraude de antecipac ao de recursos, ou advance fee fraud, e aquela na qual um golpista procura
induzir uma pessoa a fornecer informac oes condenciais ou a realizar um pagamento adiantado, com
a promessa de futuramente receber algum tipo de benefcio.
Por meio do recebimento de mensagens eletr onicas ou do acesso a sites fraudulentos, a pessoa
e envolvida em alguma situac ao ou hist oria mirabolante, que justique a necessidade de envio de
informac oes pessoais ou a realizac ao de algum pagamento adiantado, para a obtenc ao de um benef-
cio futuro. Ap os fornecer os recursos solicitados a pessoa percebe que o tal benefcio prometido n ao
existe, constata que foi vtima de um golpe e que seus dados/dinheiro est ao em posse de golpistas.
O Golpe da Nig eria (Nigerian 4-1-9 Scam
1
) e um dos tipos de fraude de antecipac ao de recursos
mais conhecidos e e aplicado, geralmente, da seguinte forma:
a. Voc e recebe uma mensagem eletr onica em nome de algu em ou de alguma instituic ao dizendo-
se ser da Nig eria, na qual e solicitado que voc e atue como intermedi ario em uma transfer encia
internacional de fundos;
b. o valor citado na mensagem e absurdamente alto e, caso voc e aceite intermediar a transac ao,
recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor;
c. o motivo, descrito na mensagem, pelo qual voc e foi selecionado para participar da transac ao
geralmente e a indicac ao de algum funcion ario ou amigo que o apontou como sendo uma pessoa
honesta, con avel e merecedora do tal benefcio;
d. a mensagem deixa claro que se trata de uma transfer encia ilegal e, por isto, solicita sigilo
absoluto e urg encia na resposta, caso contr ario, a pessoa procurar a por outro parceiro e voc e
perder a a oportunidade;
e. ap os responder a mensagem e aceitar a proposta, os golpistas solicitam que voc e pague anteci-
padamente uma quantia bem elevada (por em bem inferior ao total que lhe foi prometido) para
arcar com custos, como advogados e taxas de transfer encia de fundos;
f. ap os informar os dados e efetivar o pagamento solicitado, voc e e informado que necessita rea-
lizar novos pagamentos ou perde o contato com os golpistas;
g. nalmente, voc e percebe que, al em de perder todo o dinheiro investido, nunca ver a a quantia
prometida como recompensa e que seus dados podem estar sendo indevidamente usados.
Apesar deste golpe ter cado conhecido como sendo da Nig eria, j a foram registrados diversos
casos semelhantes, originados ou que mencionavam outros pases, geralmente de regi oes pobres ou
que estejam passando por conitos polticos, econ omicos ou raciais.
A fraude de antecipac ao de recursos possui diversas variac oes que, apesar de apresentarem dife-
rentes discursos, assemelham-se pela forma como s ao aplicadas e pelos danos causados. Algumas
destas variac oes s ao:
1
O n umero 419 refere-se ` a sec ao do C odigo Penal da Nig eria equivalente ao artigo 171 do C odigo Penal Brasileiro,
ou seja, estelionato.
8 Cartilha de Seguranca para Internet
Loteria internacional: voc e recebe um e-mail informando que foi sorteado em uma loteria interna-
cional, mas que para receber o pr emio a que tem direito, precisa fornecer seus dados pessoais e
informac oes sobre a sua conta banc aria.
Cr edito f acil: voc e recebe um e-mail contendo uma oferta de empr estimo ou nanciamento com
taxas de juros muito inferiores ` as praticadas no mercado. Ap os o seu cr edito ser supostamente
aprovado voc e e informado que necessita efetuar um dep osito banc ario para o ressarcimento
das despesas.
Doac ao de animais: voc e deseja adquirir um animal de uma raca bastante cara e, ao pesquisar por
possveis vendedores, descobre que h a sites oferecendo estes animais para doac ao. Ap os entrar
em contato, e solicitado que voc e envie dinheiro para despesas de transporte.
Oferta de emprego: voc e recebe uma mensagem em seu celular contendo uma proposta tentadora
de emprego. Para efetivar a contratac ao, no entanto, e necess ario que voc e informe detalhes de
sua conta banc aria.
Noiva russa: algu em deixa um recado em sua rede social contendo insinuac oes sobre um possvel
relacionamento amoroso entre voc es. Esta pessoa mora em outro pas, geralmente a R ussia, e
ap os alguns contatos iniciais sugere que voc es se encontrem pessoalmente, mas, para que ela
possa vir at e o seu pas, necessita ajuda nanceira para as despesas de viagem.
Prevenc ao:
A melhor forma de se prevenir e identicar as mensagens contendo tentativas de golpes. Uma
mensagem deste tipo, geralmente, possui caractersticas como:
oferece quantias astron omicas de dinheiro;
solicita sigilo nas transac oes;
solicita que voc e a responda rapidamente;
apresenta palavras como urgente e condencial no campo de assunto;
apresenta erros gramaticais e de ortograa (muitas mensagens s ao escritas por meio do uso de
programas tradutores e podem apresentar erros de traduc ao e de concord ancia).
Al em disto, adotar uma postura preventiva pode, muitas vezes, evitar que voc e seja vtima de
golpes. Por isto, e muito importante que voc e:
questione-se por que justamente voc e, entre os in umeros usu arios da Internet, foi escolhido para
receber o benefcio proposto na mensagem e como chegaram at e voc e;
descone de situac oes onde e necess ario efetuar algum pagamento com a promessa de futura-
mente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descon-
tadas do valor total).
Aplicar a sabedoria popular de ditados como Quando a esmola e demais, o santo descona ou
Tudo que vem f acil, vai f acil, tamb em pode ajud a-lo nesses casos.
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para
conrmar que o seu endereco de e-mail e v alido. Esta informac ao pode ser usada, por exemplo, para
inclu-lo em listas de spam ou de possveis vtimas em outros tipos de golpes.
2. Golpes na Internet 9
2.3 Phishing
Phishing
2
, phishing-scam ou phishing/scam, e o tipo de
fraude por meio da qual um golpista tenta obter dados pessoais
e nanceiros de um usu ario, pela utilizac ao combinada de meios
t ecnicos e engenharia social.
O phishing ocorre por meio do envio de mensagens eletr onicas que:
tentam se passar pela comunicac ao ocial de uma instituic ao conhecida, como um banco, uma
empresa ou um site popular;
procuram atrair a atenc ao do usu ario, seja por curiosidade, por caridade ou pela possibilidade
de obter alguma vantagem nanceira;
informam que a n ao execuc ao dos procedimentos descritos pode acarretar s erias consequ encias,
como a inscric ao em servicos de protec ao de cr edito e o cancelamento de um cadastro, de uma
conta banc aria ou de um cart ao de cr edito;
tentam induzir o usu ario a fornecer dados pessoais e nanceiros, por meio do acesso a p aginas
falsas, que tentam se passar pela p agina ocial da instituic ao; da instalac ao de c odigos malicio-
sos, projetados para coletar informac oes sensveis; e do preenchimento de formul arios contidos
na mensagem ou em p aginas Web.
Para atrair a atenc ao do usu ario as mensagens apresentam diferentes t opicos e temas, normalmente
explorando campanhas de publicidade, servicos, a imagem de pessoas e assuntos em destaque no
momento, como exemplicado na Tabela 2.1
3
. Exemplos de situac oes envolvendo phishing s ao:
P aginas falsas de com ercio eletr onico ou Internet Banking: voc e recebe um e-mail, em nome de
um site de com ercio eletr onico ou de uma instituic ao nanceira, que tenta induzi-lo a clicar em
um link. Ao fazer isto, voc e e direcionado para uma p agina Web falsa, semelhante ao site que
voc e realmente deseja acessar, onde s ao solicitados os seus dados pessoais e nanceiros.
P aginas falsas de redes sociais ou de companhias a ereas: voc e recebe uma mensagem contendo
um link para o site da rede social ou da companhia a erea que voc e utiliza. Ao clicar, voc e
e direcionado para uma p agina Web falsa onde e solicitado o seu nome de usu ario e a sua se-
nha que, ao serem fornecidos, ser ao enviados aos golpistas que passar ao a ter acesso ao site e
poder ao efetuar ac oes em seu nome, como enviar mensagens ou emitir passagens a ereas.
Mensagens contendo formul arios: voc e recebe uma mensagem eletr onica contendo um formul a-
rio com campos para a digitac ao de dados pessoais e nanceiros. A mensagem solicita que
voc e preencha o formul ario e apresenta um bot ao para conrmar o envio das informac oes. Ao
preencher os campos e conrmar o envio, seus dados s ao transmitidos para os golpistas.
Mensagens contendo links para c odigos maliciosos: voc e recebe um e-mail que tenta induzi-lo a
clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e apresentada uma men-
sagem de erro ou uma janela pedindo que voc e salve o arquivo. Ap os salvo, quando voc e
abri-lo/execut a-lo, ser a instalado um c odigo malicioso em seu computador.
2
A palavra phishing, do ingl es shing, vem de uma analogia criada pelos fraudadores, onde iscas (mensagens
eletr onicas) s ao usadas para pescar senhas e dados nanceiros de usu arios da Internet.
3
Esta lista n ao e exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento.
10 Cartilha de Seguranca para Internet
Solicitac ao de recadastramento: voc e recebe uma mensagem, supostamente enviada pelo grupo de
suporte da instituic ao de ensino que frequenta ou da empresa em que trabalha, informando que
o servico de e-mail est a passando por manutenc ao e que e necess ario o recadastramento. Para
isto, e preciso que voc e forneca seus dados pessoais, como nome de usu ario e senha.
T opico Tema da mensagem
E muito importante ressaltar que o nome rootkit n ao indica que os programas e as t ecnicas que o
comp oe s ao usadas para obter acesso privilegiado a um computador, mas sim para mant e-lo.
Rootkits inicialmente eram usados por atacantes que, ap os invadirem um computador, os instala-
vam para manter o acesso privilegiado, sem precisar recorrer novamente aos m etodos utilizados na
invas ao, e para esconder suas atividades do respons avel e/ou dos usu arios do computador. Apesar
de ainda serem bastante usados por atacantes, os rootkits atualmente t em sido tamb em utilizados e
incorporados por outros c odigos maliciosos para carem ocultos e n ao serem detectados pelo usu ario
e nem por mecanismos de protec ao.
H a casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de m usica,
sob a alegac ao de necessidade de protec ao aos direitos autorais de suas obras. A instalac ao nestes
casos costumava ocorrer de forma autom atica, no momento em que um dos CDs distribudos con-
tendo o c odigo malicioso era inserido e executado.
E importante ressaltar que estes casos constituem
uma s eria ameaca ` a seguranca do computador, pois os rootkits instalados, al em de comprometerem a
privacidade do usu ario, tamb em podem ser recongurados e utilizados para esconder a presenca e os
arquivos inseridos por atacantes ou por outros c odigos maliciosos.
4.8 Prevenc ao
Para manter o seu computador livre da ac ao dos c odigos maliciosos existe umconjunto de medidas
preventivas que voc e precisa adotar. Essas medidas incluem manter os programas instalados com
as vers oes mais recentes e com todas as atualizac oes disponveis aplicadas e usar mecanismos de
seguranca, como antimalware e rewall pessoal.
Al em disso, h a alguns cuidados que voc e e todos que usam o seu computador devem tomar sempre
que forem manipular arquivos. Novos c odigos maliciosos podem surgir, a velocidades nem sempre
acompanhadas pela capacidade de atualizac ao dos mecanismos de seguranca.
Informac oes sobre os principais mecanismos de seguranca que voc e deve utilizar s ao apresenta-
dos no Captulo Mecanismos de seguranca. Outros cuidados que voc e deve tomar para manter seu
computador seguro s ao apresentados no Captulo Seguranca de computadores.
4.9 Resumo comparativo
Cada tipo de c odigo malicioso possui caractersticas pr oprias que o dene e o diferencia dos
demais tipos, como forma de obtenc ao, forma de instalac ao, meios usados para propagac ao e ac oes
maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classicac ao e a
conceituac ao, a Tabela 4.1 apresenta um resumo comparativo das caractersticas de cada tipo.
r
u
s
W
o
r
m
B
o
t
T
r
o
j
a
n
S
p
y
w
a
r
e
B
a
c
k
d
o
o
r
R
o
o
t
k
i
t
Como e obtido:
Recebido automaticamente pela rede
Recebido por e-mail
Baixado de sites na Internet
Compartilhamento de arquivos
Uso de mdias removveis infectadas
Redes sociais
Mensagens instant aneas
Inserido por um invasor
Ac ao de outro c odigo malicioso
Como ocorre a instalac ao:
Execuc ao de um arquivo infectado
Execuc ao explcita do c odigo malicioso
Via execuc ao de outro c odigo malicioso
Explorac ao de vulnerabilidades
Como se propaga:
Insere c opia de si pr oprio em arquivos
Envia c opia de si pr oprio automaticamente pela rede
Envia c opia de si pr oprio automaticamente por e-mail
N ao se propaga
Ac oes maliciosas mais comuns:
Altera e/ou remove arquivos
Consome grande quantidade de recursos
Furta informac oes sensveis
Instala outros c odigos maliciosos
Possibilita o retorno do invasor
Envia spam e phishing
Desfere ataques na Internet
Procura se manter escondido
Tabela 4.1: Resumo comparativo entre os c odigos maliciosos.
5. Spam
Spam
1
e o termo usado para se referir aos e-mails n ao solicitados, que geralmente s ao enviados
para um grande n umero de pessoas. Quando este tipo de mensagem possui conte udo exclusivamente
comercial tamb em e referenciado como UCE (Unsolicited Commercial E-mail).
O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada
na caixa de correio, o paneto recebido na esquina e a ligac ao telef onica ofertando produtos. Por em,
o que o difere e justamente o que o torna t ao atraente e motivante para quem o envia (spammer):
ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer
necessita investir muito pouco, ou at e mesmo nada, para alcancar os mesmos objetivos e em uma
escala muito maior.
Desde o primeiro spam registrado e batizado como tal, em 1994, essa pr atica tem evoludo, acom-
panhando o desenvolvimento da Internet e de novas aplicac oes e tecnologias. Atualmente, o envio de
spam e uma pr atica que causa preocupac ao, tanto pelo aumento desenfreado do volume de mensagens
na rede, como pela natureza e pelos objetivos destas mensagens.
1
Para mais detalhes acesse o site Antispam.br, http://www.antispam.br/, mantido pelo Comit e Gestor da Internet
no Brasil (CGI.br), que constitui uma fonte de refer encia sobre o spam e tem o compromisso de informar usu arios e
administradores de redes sobre as implicac oes destas mensagens e as formas de protec ao e de combate existentes.
33
34 Cartilha de Seguranca para Internet
Spams est ao diretamente associados a ataques ` a seguranca da
Internet e do usu ario, sendo um dos grandes respons aveis pela
propagac ao de c odigos maliciosos, disseminac ao de golpes e venda
ilegal de produtos.
Algumas das formas como voc e pode ser afetado pelos problemas
causados pelos spams s ao:
Perda de mensagens importantes: devido ao grande volume de spam recebido, voc e corre o risco
de n ao ler mensagens importantes, l e-las com atraso ou apag a-las por engano.
Conte udo impr oprio ou ofensivo: como grande parte dos spams s ao enviados para conjuntos alea-
t orios de enderecos de e-mail, e bastante prov avel que voc e receba mensagens cujo conte udo
considere impr oprio ou ofensivo.
Gasto desnecess ario de tempo: para cada spam recebido, e necess ario que voc e gaste um tempo
para l e-lo, identic a-lo e remov e-lo da sua caixa postal, o que pode resultar em gasto desne-
cess ario de tempo e em perda de produtividade.
N ao recebimento de e-mails: caso o n umero de spams recebidos seja grande e voc e utilize um
servico de e-mail que limite o tamanho de caixa postal, voc e corre o risco de lotar a sua area de
e-mail e, at e que consiga liberar espaco, car a impedido de receber novas mensagens.
Classicac ao errada de mensagens: caso utilize sistemas de ltragem com regras antispam ineci-
entes, voc e corre o risco de ter mensagens legtimas classicadas como spam e que, de acordo
com as suas congurac oes, podem ser apagadas, movidas para quarentena ou redirecionadas
para outras pastas de e-mail.
Independente do tipo de acesso ` a Internet usado, e o destinat ario
do spam quem paga pelo envio da mensagem. Os provedores, para
tentar minimizar os problemas, provisionam mais recursos computa-
cionais e os custos derivados acabam sendo transferidos e incorpora-
dos ao valor mensal que os usu arios pagam.
Alguns dos problemas relacionados a spam que provedores e empresas costumam enfrentar s ao:
Impacto na banda: o volume de tr afego gerado pelos spams faz com que seja necess ario aumentar
a capacidade dos links de conex ao com a Internet.
M a utilizac ao dos servidores: boa parte dos recursos dos servidores de e-mail, como tempo de pro-
cessamento e espaco em disco, s ao consumidos no tratamento de mensagens n ao solicitadas.
Inclus ao em listas de bloqueio: um provedor que tenha usu arios envolvidos em casos de envio de
spam pode ter a rede includa em listas de bloqueio, o que pode prejudicar o envio de e-mails
por parte dos demais usu arios e resultar em perda de clientes.
Investimento extra em recursos: os problemas gerados pelos spams fazem com que seja necess ario
aumentar os investimentos, para a aquisic ao de equipamentos e sistemas de ltragem e para a
contratac ao de mais t ecnicos especializados na sua operac ao.
5. Spam 35
Os spammers utilizam diversas t ecnicas para coletar enderecos de e-mail, desde a compra de
bancos de dados at e a produc ao de suas pr oprias listas, geradas a partir de:
Ataques de dicion ario: consistem em formar enderecos de e-mail a partir de listas de nomes de
pessoas, de palavras presentes em dicion arios e/ou da combinac ao de caracteres alfanum ericos.
C odigos maliciosos: muitos c odigos maliciosos s ao projetados para varrer o computador infectado
em busca de enderecos de e-mail que, posteriormente, s ao repassados para os spammers.
Harvesting: consiste em coletar enderecos de e-mail por meio de varreduras em p aginas Web e arqui-
vos de listas de discuss ao, entre outros. Para tentar combater esta t ecnica, muitas p aginas Web
e listas de discuss ao apresentam os enderecos de forma ofuscada (por exemplo, substituindo o
@ por (at) e os pontos pela palavra dot). Infelizmente, tais substituic oes s ao previstas
por v arios dos programas que implementam esta t ecnica.
Ap os efetuarem a coleta, os spammers procuram conrmar a
exist encia dos enderecos de e-mail e, para isto, costumam se utili-
zar de artifcios, como:
enviar mensagens para os enderecos coletados e, com base nas respostas recebidas dos servido-
res de e-mail, identicar quais enderecos s ao v alidos e quais n ao s ao;
incluir no spam um suposto mecanismo para a remoc ao da lista de e-mails, como um link ou
um endereco de e-mail (quando o usu ario solicita a remoc ao, na verdade est a conrmando para
o spammer que aquele endereco de e-mail e v alido e realmente utilizado);
incluir no spam uma imagem do tipo Web bug, projetada para monitorar o acesso a uma p agina
Web ou e-mail (quando o usu ario abre o spam, o Web bug e acessado e o spammer recebe a
conrmac ao que aquele endereco de e-mail e v alido).
5.1 Prevenc ao
E considerada como um importante mecanismo de seguranca, tanto para as instituic oes como
para os usu arios, pois com ela e possvel deixar claro o comportamento esperado de cada um. Desta
forma, casos de mau comportamento, que estejam previstos na poltica, podem ser tratados de forma
adequada pelas partes envolvidas.
A poltica de seguranca pode conter outras polticas especcas, como:
Poltica de senhas: dene as regras sobre o uso de senhas nos recursos computacionais, como tama-
nho mnimo e m aximo, regra de formac ao e periodicidade de troca.
Poltica de backup: dene as regras sobre a realizac ao de c opias de seguranca, como tipo de mdia
utilizada, perodo de retenc ao e frequ encia de execuc ao.
7. Mecanismos de seguranca 49
Poltica de privacidade: dene como s ao tratadas as informac oes pessoais, sejam elas de clientes,
usu arios ou funcion arios.
Poltica de condencialidade: dene como s ao tratadas as informac oes institucionais, ou seja, se
elas podem ser repassadas a terceiros.
Poltica de uso aceit avel (PUA) ou Acceptable Use Policy (AUP): tamb em chamada de Termo de
Uso ou Termo de Servico, dene as regras de uso dos recursos computacionais, os direitos
e as responsabilidades de quem os utiliza e as situac oes que s ao consideradas abusivas.
A poltica de uso aceit avel costuma ser disponibilizada na p agina Web e/ou ser apresentada no
momento em que a pessoa passa a ter acesso aos recursos. Talvez voc e j a tenha se deparado com
estas polticas, por exemplo, ao ser admitido em uma empresa, ao contratar um provedor de acesso e
ao utilizar servicos disponibilizados por meio da Internet, como redes sociais e Webmail.
Algumas situac oes que geralmente s ao consideradas de uso abusivo (n ao aceit avel) s ao:
compartilhamento de senhas;
divulgac ao de informac oes condenciais;
envio de boatos e mensagens contendo spam e c odigos maliciosos;
envio de mensagens com objetivo de difamar, caluniar ou ameacar algu em;
c opia e distribuic ao n ao autorizada de material protegido por direitos autorais;
ataques a outros computadores;
comprometimento de computadores ou redes.
O desrespeito ` a poltica de seguranca ou ` a poltica de uso aceit avel de uma instituic ao pode ser
considerado como um incidente de seguranca e, dependendo das circunst ancias, ser motivo para en-
cerramento de contrato (de trabalho, de prestac ao de servicos, etc.).
Cuidados a serem tomados:
procure estar ciente da poltica de seguranca da empresa onde voc e trabalha e dos servicos que
voc e utiliza (como Webmail e redes sociais);
que atento ` as mudancas que possam ocorrer nas polticas de uso e de privacidade dos servicos
que voc e utiliza, principalmente aquelas relacionadas ao tratamento de dados pessoais, para n ao
ser surpreendido com alterac oes que possam comprometer a sua privacidade;
que atento ` a poltica de condencialidade da empresa onde voc e trabalha e seja cuidadoso ao
divulgar informac oes prossionais, principalmente em blogs e redes sociais (mais detalhes na
Sec ao 11.1 do Captulo Privacidade);
notique sempre que se deparar com uma atitude considerada abusiva (mais detalhes na Se-
c ao 7.2).
50 Cartilha de Seguranca para Internet
7.2 Noticac ao de incidentes e abusos
Um incidente de seguranca pode ser denido como qualquer evento adverso, conrmado ou sob
suspeita, relacionado ` a seguranca de sistemas de computac ao ou de redes de computadores.
Alguns exemplos de incidentes de seguranca s ao: tentativa de uso ou acesso n ao autorizado a
sistemas ou dados, tentativa de tornar servicos indisponveis, modicac ao em sistemas (sem o conhe-
cimento ou consentimento pr evio dos donos) e o desrespeito ` a poltica de seguranca ou ` a poltica de
uso aceit avel de uma instituic ao.
E muito importante que voc e notique sempre que se deparar com uma atitude que considere
abusiva ou com um incidente de seguranca. De modo geral, a lista de pessoas/entidades a serem
noticadas inclui: os respons aveis pelo computador que originou a atividade, os respons aveis pela
rede que originou o incidente (incluindo o grupo de seguranca e abusos, se existir um para aquela
rede) e o grupo de seguranca e abusos da rede a qual voc e est a conectado (seja um provedor, empresa,
universidade ou outro tipo de instituic ao).
Ao noticar um incidente, al em de se proteger e contribuir para a seguranca global da Internet,
tamb em ajudar a outras pessoas a detectarem problemas, como computadores infectados, falhas de
congurac ao e violac oes em polticas de seguranca ou de uso aceit avel de recursos.
Para encontrar os respons aveis por uma rede voc e deve consultar um servidor de WHOIS, onde
s ao mantidas as bases de dados sobre os respons aveis por cada bloco de n umeros IP existentes. Para
IPs alocados ao Brasil voc e pode consultar o servidor em http://registro.br/cgi-bin/whois/,
para os demais pases voc e pode acessar o site http://www.geektools.com/whois.php que aceita
consultas referentes a qualquer n umero IP e as redireciona para os servidores apropriados
2
.
E importante que voc e mantenha o CERT.br na c opia das suas noticac oes
3
, pois isto contribuir a
para as atividades deste grupo e permitir a que:
os dados relativos a v arios incidentes sejam correlacionados, ataques coordenados sejam iden-
ticados e novos tipos de ataques sejam descobertos;
ac oes corretivas possam ser organizadas em cooperac ao com outras instituic oes;
sejam geradas estatsticas que reitam os incidentes ocorridos na Internet brasileira;
sejam geradas estatsticas sobre a incid encia e origem de spams no Brasil;
sejam escritos documentos, como recomendac oes e manuais, direcionados ` as necessidades dos
usu arios da Internet no Brasil.
A noticac ao deve incluir a maior quantidade de informac oes possvel, tais como:
logs completos;
data, hor ario e fuso hor ario (time zone) dos logs ou da atividade que est a sendo noticada;
2
Os e-mails encontrados nestas consultas n ao s ao necessariamente da pessoa que praticou o ataque, mas sim dos
respons aveis pela rede ` a qual o computador est a conectado, ou seja, podem ser os administradores da rede, s ocios da
empresa, ou qualquer outra pessoa que foi designada para cuidar da conex ao da instituic ao com a Internet.
3
Os enderecos de e-mail usados pelo CERT.br para o tratamento de incidentes de seguranca s ao: cert@cert.br (para
noticac oes gerais) e mail-abuse@cert.br (especco para reclamac oes de spam).
7. Mecanismos de seguranca 51
o e-mail completo, incluindo cabecalhos e conte udo (no caso de noticac ao de spam, trojan,
phishing ou outras atividades maliciosas recebidas por e-mail);
dados completos do incidente ou qualquer outra informac ao que tenha sido utilizada para iden-
ticar a atividade.
Outras informac oes e respostas para as d uvidas mais comuns referentes ao processo de notica-
c ao de incidentes podem ser encontradas na lista de quest oes mais frequentes (FAQ) mantida pelo
CERT.br e disponvel em http://www.cert.br/docs/faq1.html.
7.3 Contas e senhas
Contas e senhas s ao atualmente o mecanismo de au-
tenticac ao mais usado para o controle de acesso a sites e
servicos oferecidos pela Internet.
Indice Remissivo
A
advance fee fraud. . veja fraude de antecipac ao
de recursos
adware . . . . . . . . . . . . . . . . . . . . . . . veja spyware
anonymizer . . . . . . . . . veja navegac ao an onima
antimalware 11, 30, 44, 45, 5557, 76, 9597,
99, 100, 102, 108
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
antirootkit . . . . . . . . . . . . . . . . . veja antimalware
antispyware . . . . . . . . . . . . . . . veja antimalware
antitrojan . . . . . . . . . . . . . . . . . veja antimalware
antivrus . . . . . . . . . . . . . . . . . . veja antimalware
assinatura digital . . . . . . . . . . . . . . . . . . . . . 6970
ataques. 3, 6, 1723, 25, 26, 29, 33, 41, 4850,
54, 60
de dicion ario . . . . . . . . . . . . . . . . . . . . . . . . 35
de forca bruta 6, 18, 20, 22, 54, 60, 61, 73,
77, 88, 102, 105
motivac ao . . . . . . . . . . . . . . . . . . . . . . . 1718
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
t ecnicas usadas. . . . . . . . . . . . . . . . . . . 1822
autoridade certicadora . . . . . . . . . . . 70, 82, 83
B
backdoor . . . . . . . . . . . . . . . . . . . . . . . . 2830, 57
backup. . . . 5153, 67, 69, 73, 96, 97, 100, 109
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 48
banda larga
xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
m ovel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
banners de propaganda . . . . . . . . . . . . . . . 4344
bluetooth. . . . . . . . . . . . . . . . . . . 24, 63, 105, 109
boato . . . . . . . . . . . . . . . . . . . . . . 2, 1516, 49, 60
bot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26, 30
botnet . . . . . . . . . . . . . . . . . . . . . . . 21, 22, 26, 107
brute force . . . . . . . . veja ataques de forca bruta
C
cavalo de troia . . . . . . . . . . . . . . . . . . . veja trojan
certicado digital . . . . . . . . . . . . . . . . . . . . 7072
autoassinado . . . . . . . . . . . . . . 7072, 80, 83
EV SSL . . . . . . . . . . . . . . . . . . . . . . . . . 71, 80
vericar se e con avel . . . . . . . . . . . . 8283
chave sim etrica . . . . . . . . . . . . . . . . . . . . . . 6869
chaves assim etricas. . . . . . . . . . . . . . . . . . . 6869
c odigos maliciosos . . . . . . . . . . . . . . . . . . . 2330
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 30
resumo comparativo . . . . . . . . . . . . . . . . . 30
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2430
c odigos m oveis . . . . . . . . . . . . . . . . . . . . . . 4142
com ercio eletr onico. . . . . . 9, 1114, 27, 40, 64
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . 1214
compartilhamento de recursos . . . . 23, 45, 102
complementos . . 4143, 58, 72, 75, 76, 95, 97,
108
computador
de terceiros . 4042, 60, 61, 63, 64, 77, 78,
86, 100
pessoal . . . . . . . . . . . . . . . . . . . . . . . . . 93100
conex oes Web . . . . . . . . . . . . . . . . . . . . . . . 7883
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7981
condencialidade . 3, 48, 63, 68, 70, 71, 7880
poltica de . . . . . . . . . . . . . . . . . . . . . . . . . . 49
cookies . . . . . . . . 4041, 58, 64, 76, 85, 86, 100
c opia de seguranca . . . . . . . . . . . . . . veja backup
criptograa . . . . . . . . . . . . . . . . . . . . . . 51, 6774
conceitos . . . . . . . . . . . . . . . . . . . . . . . . 6872
cuidados . . . . . . . . . . . . . . . . . . . . . . . . 7374
programas . . . . . . . . . . . . . . . . . . . . . . . . . . 72
termos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
cuidados a serem tomados
administrac ao de contas . . . . . . . . . . . 9899
ao usar computadores de terceiros . . . . 100
ao usar redes . . . . . . . . . . . . . . . . . . . . . . . 102
backup . . . . . . . . . . . . . . . . . . . . . . . . . . 5253
banda larga xa . . . . . . . . . . . . . . . . . . . . 106
123
124 Cartilha de Seguranca para Internet
banda larga m ovel . . . . . . . . . . . . . . . . . . 106
bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . 105
com ercio eletr onico . . . . . . . . . . . . . . . . . . 78
computador pessoal . . . . . . . . . . . . . . 9397
contas e senhas . . . . . . . . . . . . . . . . . . . . . . 61
criptograa . . . . . . . . . . . . . . . . . . . . . . 7374
dispositivos m oveis . . . . . . . . . . . . 108109
ferramentas antimalware . . . . . . . . . . . . . 56
ltro antispam. . . . . . . . . . . . . . . . . . . . . . . 58
rewall pessoal . . . . . . . . . . . . . . . . . . . . . . 57
Internet Banking. . . . . . . . . . . . . . . . . . . . . 77
logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
navegadores Web . . . . . . . . . . . . . . . . . 7576
poltica de seguranca . . . . . . . . . . . . . . . . . 49
privacidade . . . . . . . . . . . . . . . . . . . . . . 8687
programas leitores de e-mails . . . . . . . . . 76
redes sociais . . . . . . . . . . . . . . . . . . . . . 8991
Webmails . . . . . . . . . . . . . . . . . . . . . . . . 7677
Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . 103104
D
DDoS. . . . . . . . . . . . . . . veja negac ao de servico
defacement . . . . . . veja desgurac ao de p agina
desgurac ao de p agina . . . . . . . . . . . . . . . . . . . 21
dispositivos m oveis
cuidados . . . . . . . . . . . . . . . . . . . . . . 108109
riscos . . . . . . . . . . . . . . . . . . . . . . . . . 107108
DoS . . . . . . . . . . . . . . . . veja negac ao de servico
E
e-commerce. . . . . . . . . veja com ercio eletr onico
e-mail spoong . . . . veja falsicac ao de e-mail
engenharia social . . . . . . . . . . . . . 5, 9, 60, 87, 88
extens oes. . . . . . . . . . . . . . . . . . . . 4243, 97, 108
F
falsa identidade . . . . . . veja furto de identidade
falsicac ao de e-mail . . . . . . . . . . . . . . . . . 1819
falso positivo . . . . . . . . . . . . . . . . . . . . . . . . 36, 48
ltro
antiphishing . . . . . . . . . . . . . . . . . . . . . 11, 58
antispam. . . . . . . . . . . . . . . . . . . . . 34, 35, 58
de bloqueio de propagandas. . . . . . . . . . . 58
de c odigos m oveis . . . . . . . . . . . . . . . . . . . 58
de janelas de pop-up . . . . . . . . . . . . . . . . . 58
rewall pessoal . 11, 44, 48, 55, 57, 90, 95, 102
forca bruta . . . . . . . . veja ataques de forca bruta
fraude de antecipac ao de recursos . . . . . . . . 78
func ao de resumo . . . . . . . . . . . . . . . . . veja hash
furto de identidade . . . . . . . . . . . . . . . . . . . . . . . . 6
G
golpes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
da Nig eria. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
prevenc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . 16
sites de compras coletivas . . . . . . . . . . . . 13
sites de leil ao e venda de produtos . . . . . 14
sites fraudulentos. . . . . . . . . . . . . . . . . 1213
tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
H
harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69, 73
hoax . . . . . . . . . . . . . . . . . . . . . . . . . . . . veja boato
I
identity theft . . . . . . . . . veja furto de identidade
interceptac ao de tr afego . . . 6, 19, 66, 102, 103
Internet
ataques . . . . . . . . . . . . . . . . . . . . veja ataques
golpes . . . . . . . . . . . . . . . . . . . . . . veja golpes
prevenc ao . . . . . . . . . . . . . . . veja prevenc ao
riscos . . . . . . . . . . . . . . . . . . . . . . . veja riscos
seguranca . . . . . . . . . . . . . . . . veja seguranca
spam . . . . . . . . . . . . . . . . . . . . . . . . veja spam
uso seguro . . . . . . . . . . . . . . . . . . . . . . . 7583
Internet Banking . 9, 11, 12, 27, 29, 40, 63, 64,
107
cuidados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
J
janelas de pop-up. . . . . . . . . . . . . . . . . . . . . . . . 42
K
keylogger . . . . . . . . . . . . . . . . . . . . . veja spyware
L
links
curtos . . . . . . . . . . . . . . . . . . . . . . . . . . . 58, 95
patrocinados . . . . . . . . . . . . . . . . . . . . . 12, 43
logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29, 5354
M
malvertising . . . . . veja banners de propaganda
malware . . . . . . . . . . . . veja c odigos maliciosos
N
navegac ao an onima . . . . . . . . . . 41, 58, 86, 100