Escolar Documentos
Profissional Documentos
Cultura Documentos
Centro de Informtica
Trabalho de Graduao
Recife
Dezembro 2017
1
Recife
Dezembro 2017
2
3
Agradecimentos
Resumo
A Web, nos ltimos anos, foi se tornando cada vez mais essencial na vida das
pessoas, seja para fins educativos, sociais, financeiros, de entretenimento etc. Com
isso, cresceu o ndice de crimes cibernticos, como ataques de phishing que visam
obter informaes sensveis das vtimas, principalmente seus dados pessoais e
financeiros, possibilitando fraudes eletrnicas. Estudos apontam que todos esto
suscetveis a este tipo de ataque, mas que esse ndice maior entre os usurios
mais assduos da Web e, alm disso, possuir conhecimento sobre o assunto no
necessariamente diminui a vulnerabilidade ao ataque. Atravs de um experimento
usando cenrios de e-mails, foi avaliada a suscetibilidade dos discentes das reas
de Tecnologia da Informao ao phishing. Os resultados se mostraram equilibrados,
mas, ainda assim, favorveis para o sucesso do phishing, sugerindo que uma
grande parcela dos discentes no est atenta segurana digital e, portanto, est
suscetvel a ataques de phishing.
Abstract
The Web in recent years has become essential in people's lives for many purposes,
be it educational, social, financial, entertainment, etc. As a result, cybercrime has
grown, such as phishing attacks targeting sensitive information from victims,
particularly their personal and financial data, enabling electronic fraud. Studies
indicate that everyone is susceptible to this type of attack, but that this index is higher
among the more assiduous users of the Web and, moreover, having knowledge on
the subject does not necessarily decrease vulnerability to the attack. Through an
experiment using e-mail scenarios, it was evaluated the susceptibility of the
Information Technology students to phishing. The results were balanced, but still
favorable to the success of phishing, suggesting that a large portion of students is not
attentive to digital security and therefore susceptible to phishing attacks.
Sumrio
1. Introduo 11
1.1. Motivao 11
1.2. Objetivos 14
1.2.1. Geral 14
1.2.2. Especfico 14
1.3. Estrutura do trabalho 15
2. Conceitos fundamentais 16
2.1. Crimes cibernticos 16
2.2. Engenharia social 20
2.3. Phishing 22
2.3.1. Modalidades do ataque 28
2.3.1.1. Fraude de antecipao de recursos (Advance fee fraud) 28
2.3.1.2. Pharming 29
2.3.1.3. Whaling 29
2.3.1.4. Atendente impostor 29
2.3.1.5. Malware 30
2.3.2. Preveno 30
2.4. Consideraes finais 31
3. Trabalhos relacionados 33
3.1. Consideraes finais 38
4. Metodologia 39
4.1. O questionrio 40
4.1.1. Participantes 40
4.1.2. Role play 40
4.2. Validade das respostas 43
4.3. Consideraes finais 43
5. Resultados 44
5.1. Curso e perodo dos participantes 44
5.2. Uso do e-mail 45
5.3. Role play 46
5.3.1. Convite Formulrios Google 46
5.3.2. Convite de colaborao de pasta do Google Drive 47
5.3.3. Oportunidade de vagas 49
5.3.4. Dropbox 50
5.3.5. Netflix 51
5.4. Anlise dos resultados 53
5.4.1. Suscetibilidade ao phishing 53
5.4.2. Suscetibilidade a clicar nos links segundo o curso 54
5.4.3. Suscetibilidade a clicar nos links segundo o nvel de experincia 55
5.4.4. Relao entre digitar ou copiar a URL e cair no phishing 58
5.5. Consideraes finais 59
6. Consideraes finais 61
6.1. Trabalhos futuros 62
Apndice A - E-mail de convite 64
Apndice B - O questionrio 65
Referncias 82
7
Lista de Figuras
Lista de Grficos
Grfico 10: Resultado percentual dos participantes sobre sua ao ao optarem por
visualizar a imagem. 50
Grfico 12: Resultado percentual dos participantes sobre sua ao ao optarem por
acessar o website do Dropbox. 51
Grfico 14: Resultado percentual dos participantes sobre sua ao ao optarem por
acessar o website ilegtimo do Netflix. 52
Lista de Tabelas
1. Introduo
1.1. Motivao
A globalizao, que pode ser definida como uma intensificao das relaes
sociais mundiais [18], tem a Internet como aliada, interligando ainda mais as
pessoas de todo o mundo em um nico e imenso ambiente atravs do qual os meios
de comunicao tem ainda mais poder. Atualmente, estatsticas apontam que em
2017, aproximadamente, 3,773 bilhes de pessoas, cerca de 50% da populao
mundial, tem acesso Internet, um crescimento de 10% em relao ao ano anterior
[12]. E, no Brasil, j so contabilizados, aproximadamente, 139 milhes de usurios
da Web [4] [12].
No entanto, esses dois fatores, associados a alguns outros como o
desenvolvimento de dispositivos mveis, aumento das redes wireless e a sociedade
que, cada vez mais, necessita e depende de computadores e conectividade,
tornaram-se um problema quando observado pela tica da segurana digital.
Crimes cibernticos (ou cibercrimes) consistem em utilizar um sistema
computacional conectado rede como meio de praticar o ato ilegal, como roubos de
identidade, fraudes eletrnicas alm de, entre outros, grandes ataques em massa a
infraestruturas [22]. Segundo dados do CERT.br, s no Brasil, em 2016 foi reportado
um total de 647.112 incidentes de segurana [15].
Um dos ataques cibernticos mais comuns, o phishing, uma forma de
engenharia social em que um atacante se passa por uma entidade de confiana da
vtima para obter suas informaes sensveis [21], um termo relativamente recente
que comeou a ser descrito no final da dcada de 1980, mas s se fixou como ttica
de cibercrime em 1995, com a criao da ferramenta AOHell [1] que possua a
funo de fazer tentativas de roubo de senhas ou detalhes financeiros de usurios
da AOL.
No auge, em 2016, o pior ano da histria de acordo com o Anti-Phishing
Working Group (APWG), foram reportados 1.220.523 de ataques, sendo a maioria
deles voltado para os setores de varejo e financeiro [26]. Desse nmero, 27,61% do
12
total global foi reportado apenas no Brasil, pas com maior nmero de ataques de
phishing [9].
Devido a questes ticas na realizao de pesquisas sobre phishing com o
uso de experimentos com um grupo de pessoas, como descrito por [17], seria
necessria a aprovao de um Comit de tica da instituio alm do total
consentimento dos participantes, o que poderia afetar os resultados devido ao nvel
de alerta deles. Em vista disso, pesquisadores tendem a optar por role plays,
encenaes de um caso imitando a realidade, de forma que os indivduos no
participem com qualquer tipo de propenso a uma ou outra resposta devido ao
conhecimento prvio da finalidade do estudo sobre phishing.
Em 2007, pesquisadores da Carnegie Mellon University (EUA) realizaram
uma anlise comportamental das pessoas frente ao risco do phishing no artigo
Behavioral Response to Phishing Risk [13], visando a descobrir os fatores
associados ao sucesso dos ataques de phishing atravs de um exerccio com uma
pequena encenao da realidade (role play). Os resultados apontaram que quanto
maior o conhecimento do indivduo sobre o contexto da Internet, como, por exemplo,
a interpretao de URLs, ataques e o prprio phishing, menor sua vulnerabilidade a
ele, mas que conhecimentos de informtica mais gerais no esto relacionados a
diminuio da probabilidade de suscetibilidade.
Com base na pesquisa anterior, em 2010, outros pesquisadores da mesma
universidade, em parceria com o Indraprastha Institute of Information Technology
(ndia), escreveram o artigo Who Falls for Phish? A Demographic Analysis of
Phishing Susceptibility and Effectiveness of Intervention [31], em que analisada a
relao entre dados demogrficos e a suscetibilidade e efetividade de ataques de
phishing. A partir dos resultados obtidos foi possvel ver que as pessoas tendem a
julgar a legitimidade de sites pela aparncia deles, que, assim como no anterior, o
conhecimento sobre certos conceitos no reduz sua vulnerabilidade ao phishing, e
boa parte dos usurios no compreendem ou confiam nos indicadores de segurana
dos navegadores.
Em ambas as pesquisas, para avaliar a suscetibilidade das pessoas ao
phishing, foram realizados questionrios com uma encenao (role play) de um
possvel caso (o de Pat Jones) a ser avaliado pelos participantes. O estudo mostra
13
1.2. Objetivos
1.2.1. Geral
1.2.2. Especfico
Por meio do questionrio, este trabalho tem como objetivo avaliar 4 critrios
especficos a partir dos resultados do comportamento dos participantes em relao
aos casos de e-mails apresentados, so eles:
Suscetibilidade ao phishing;
Suscetibilidade a clicar nos links segundo o curso: cincia da
computao, engenharia da computao e sistema de informao,
alm da ps-graduao;
Suscetibilidade a clicar nos links segundo o nvel de experincia,
mensurado de acordo com o perodo cursado pelo participante;
Relao entre digitar ou copiar a URL e cair no phishing.
15
Este trabalho foi dividido em 6 captulos, incluindo este que apresenta uma
introduo pesquisa, alm de seus objetivos gerais e especficos. Os prximos
sero descritos abaixo:
2. Conceitos fundamentais
Fonte: CERT.br
lugar est uma vulnerabilidade que ocorre quando se possvel inserir um dado na
aplicao de forma a conseguir acesso a informaes as quais no deveria ter
acesso. Em segundo ficou a vulnerabilidade que ocorre quando h a possibilidade
de comprometimento de senhas ou de identificadores de sesso, cuja obteno
pode ocorrer de forma manual, atravs de ferramentas e at atravs engenharia
social, como o phishing (Sees 2.2 e 2.3), permitindo a explorao da aplicao.
Em terceiro est a exposio de dados sensveis, que ocorre quando a aplicao
no protege corretamente dados sensveis, como informaes sobre carto de
crdito ou credenciais de acesso, de serem obtidos por atacantes.
Assinado em 2001, a Conveno sobre Cibercrime, primeiro tratado
internacional na busca por crimes cibernticos numa cooperao entre naes,
distingue, em seu cdigo, esses crimes em 4 tipos de ofensas [36]:
contra a Segurana da Informao, ou seja, integridade,
confidencialidade e disponibilidade de sistemas ou dados 1 ;
relacionadas a computadores, como fraudes 2 ;
relacionadas ao contedo, como, por exemplo, pornografia infantil 3 ;
relacionadas aos direitos autorais 4 .
Um ano antes, em 2000, Bruce Schneier [30], um especialista da rea de
segurana e criptografia, descreveu as ondas de ataques cibernticos. A primeira
estava relacionada ataques fsicos, diretamente computadores, fios e eletrnicos.
O que foi abrandado pela Internet que, justamente, se defendia desse tipo de ataque
fsico.
Ao longo dos anos seguintes, foi se concretizando a segunda onda, a de
ataques sintticos, nos quais o foco estava na lgica operacional dos computadores
e da rede. Sendo assim, o alvo eram as vulnerabilidades dos softwares, das
criptografias utilizadas, dos protocolos, etc.
Foi ento que surgiu a terceira onda, a de ataques semnticos, que no mais
explora falhas de hardwares ou softwares, mas sim da forma como os prprios
1
Art. 2 (Illegal access), Art. 3 (Illegal interception), Art. 4 (Data interference), Art. 5 (System
interference), Art. 6 (Misuse of devices).
2
Art. 7 (Computer-related forgery), Art. 8 (Computer-related fraud)
3
Art. 9 (Offences related to child pornography)
4
Art. 10 (Offences related to infringements of copyright and related rights)
20
2.3. Phishing
O termo phishing teve sua primeira meno registrada por volta da metade
da dcada de 1990, em grupos online da America-online Usenet. Inicialmente, a
aproximao com a vtima se dava atravs de mensagens instantneas no AIM
(AOL Instant Messenger) em que o atacante, precisando de informaes legtimas,
se passava por um funcionrio da AOL e pedia a senha da vtima. Logo depois, para
facilitar o processo, surgiram ferramentas como a AOHell [1], cuja funo era fazer
tentativas de roubo de senhas ou detalhes financeiros dos usurios da plataforma de
forma que o processo fosse automatizado.
A tcnica, no entanto, anos antes em 1987, havia sido, pela primeira vez,
descrita no artigo System Security: A Hacker's Perspective, apresentado na
International HP Users Group, Interex [16], no qual foi discutido um mtodo feito por
terceiros para imitar um servio confivel.
23
Uma mistura da palavra em ingls fishing, que significa pescar, com o termo
phreak, do ingls freak que significa aberrao, usado na poca para nomear os
primeiros hackers de telefonia, como o citado John Draper, o termo phishing, um
exemplo de tcnica de engenharia social, pode ser tido como qualquer tipo de golpe
que faz uso da tecnologia para obter informaes sensveis da vtima [21] [24], com
as finalidades de roubo, extorso, sabotagem, espionagem ou at mltiplos objetivos
combinados [5].
O phishing pode ser executado de diversas formas, que inclui e-mail, VOIP,
SMS, mensagens instantneas, redes sociais ou at jogos multiplayer, mas,
essencialmente, pode ser divididos em dois tipos. O phishing tradicional, termo
que faz aluso a pescar com rede, est mais relacionado a um ataque massivo,
como, por exemplo, o envio de e-mails, cujo baixo esforo proporciona facilidade
para mandar milhares, e qualquer retorno de pessoas afetadas j uma vantagem
[5].
O outro tipo, o spear phishing, do ingls lana ou arpo, apresenta um
objetivo mais especfico e direcionado. Nele faz-se o uso de tcnicas mais
elaboradas, como uma pesquisa de background, a fim de atingir o alvo da forma
mais eficaz e convincente possvel [5].
Segundo o PhishTank, uma plataforma colaborativa que rene dados sobre
phishing, so caractersticas a serem observadas em e-mails de phishing [28]:
Cumprimento genrico - como, geralmente, o ataque em grande
escala, no vale a pena usar detalhes especficos como nomes
prprios;
Links forjados - nem sempre o link escrito no corpo do e-mail
corresponde ao que ele realmente est apontando. Alm disso,
deve-se observar sempre se o protocolo utilizado o HTTPS na hora
de inserir dados pessoais, pois ele garante a segurana dos dados ao
encript-los, ao contrrio do HTTP;
Pedidos por informaes pessoais - dado que o objetivo principal do
phishing obter tais dados, deve-se sempre ficar atento a esses
pedidos;
24
Fonte: Simone Cohen (2017)
Fonte: Simone Cohen (2017)
Nesse tipo de ataque, a vtima induzida pelo atacante por meio de algum
enredo a fornecer dados ou a realizar pagamentos adiantados com a promessa de
receber uma recompensa futura. Um dos tipos desse tipo de fraude o chamado
29
2.3.1.2. Pharming
Nesse tipo de ataque, a vtima tem sua navegao redirecionada, por meio de
DNS (Domain Name System)5, de forma que, ao tentar acessar sites verdadeiros,
ocorra um redirecionamento para sites fraudulentos muito similares, sem que isso
seja percebido pela vtima.
2.3.1.3. Whaling
5
DNS: Sistema que associa informaes atribudas a nomes de domnios a cada entidade
participante, como, por exemplo, a traduo de nomes de domnio (URL) ao seu endereo IP
correspondente.
30
2.3.1.5. Malware
2.3.2. Preveno
por exemplo, pode faz-lo agir sem pensar direito, ento, antes de
tomar qualquer atitude, o ideal checar a veracidade daquilo que est
sendo dito;
Checar as regras de privacidade nas redes sociais - uma forma de
conseguir informaes sobre uma vtima a partir das informaes que
ela prpria coloca em suas redes sociais. Portanto, preciso verificar a
exposio dessas informaes para que estranhos no tenham
permisso de visualiz-las, assim como avaliar o que se diz mesmo
que em um crculo fechado de conhecidos;
Desconfiar de mensagens de texto - o phishing tambm pode ocorrer
via SMS, WhatsApp ou outros servios de mensagens instantneas,
ento importante validar a informao atravs de outras fontes e no
clicar diretamente em links ou baixar aplicativos.
3. Trabalhos relacionados
entrar com os dados pedidos na pgina, salvar a pgina como favorita, salvar ou
arquivar a pgina, visitar uma pgina relacionada, ou deixar o website, alm de
poderem no responder ou marcar a opo outro.
Depois, na segunda parte do questionrio, os participantes foram indagados
sobre sua forma de avaliar URLs apenas ao olhar para elas, sem acessar o link,
para dizerem, por exemplo, se conseguiriam identificar a qual empresa quele site
pertencia, se o site era seguro ou at se no fosse possvel saber se era seguro ou
no.
Em seguida, vieram questes sobre alguns termos, como cookie, spyware,
vrus e phishing; e sobre alguns cones presentes nos navegadores, como o
cadeado de indicao de verificao de segurana. A partir de uma lista, havia
apenas uma definio correta para cada um dos termos, como, por exemplo, para
phishing havia: E-mail que tenta engan-lo para que fornea informaes sensveis
para ladres.
E, por ltimo, perguntas relativas a experincias passadas e consequncias
negativas de um ataque malicioso, como, por exemplo, o roubo de informaes
financeiras de forma que o indivduo pudesse ter perdido dinheiro e bens sem que
houvesse forma de recuper-los, ou se o computador do indivduo envia
automaticamente softwares maliciosos para todas as pessoas no seu livro de
endereos online.
Os resultados mostraram que uma minoria dos participantes haviam
enfrentado problemas que poderiam ser causados por phishing, mas que, no
necessariamente, ocorreu atravs dele, como terem dados de carto de crdito
roubados (21%), informaes roubadas ou comprometidas (14%) ou at roubo de
identidade (3%).
Em relao ao role play, foi atestado que os participantes o levaram a srio e
a maioria respondeu aos e-mails de uma forma muito similar a como teria
respondido um que chegasse para ele prprio. Alm disso, foi analisada a frequncia
dos cliques, quando o participante clicava no link ou digitava sua URL no navegador,
mostrando que eles tinham a tendncia a acessarem sites com temas similares. Se
o participante acessasse o primeiro site do tema financeiro, como o do eBay, ele
tinha a tendncia de tambm acessar o do PayPal. Em contrapartida, a avaliao de
36
4. Metodologia
4.1. O questionrio
4.1.1. Participantes
5. Resultados
6
O texto cortado representa: Diariamente, observando-o pelo menos uma vez por turno ou sempre
que chega um novo e-mail e Ocasionalmente, para verificar se h um e-mail importante.
46
Nesta seo sero apresentados os resultados para cada uma das perguntas
relacionadas aos casos de e-mail.
Caso de e-mail que utilizava uma abordagem diferente dos demais, em que
no havia uma pgina web extra redirecionada a partir de um link, o usurio
precisaria observar a extenso dos arquivos anexados ao e-mail, atentando para o
fato de que a imagem no possua uma visualizao prvia, sem que fosse
necessrio o download, justamente para que um possvel usurio fosse obrigado a
fazer o download e abrir o arquivo, tendo assim sua mquina comprometida por um
possvel malware.
O resultado para esse caso se mostrou menos favorvel para o sucesso do
phishing, pois, comparado ao resultado do caso da seo 5.3.2, a quantidade de
participantes que clicaram no link foi bem menor, apenas 36,2%. No entanto, mesmo
com o menor nmero de cliques, ainda assim 60,7%, o que corresponde a 91
participantes, faria o download do arquivo, como mostrado no Grfico 10.
5.3.4. Dropbox
5.3.5. Netflix
Caso de e-mail com tema financeiro e, dentre todos, o que poderia trazer
maiores prejuzos para o indivduo que preenchesse seus dados no site. Embora
uma considervel parcela dos participantes tenha optado por deletar o e-mail, 49%
deles clicariam no link e 8,2% digitariam ou copiariam a URL no navegador.
Nos grficos, o caso do Dropbox, por ser legtimo, exibido apenas para fins
comparativos.
optaram por digitar ou copiar a URL no navegador, o que mostra maior confiana
dos participantes em relao ao remetente dos e-mails.
No role play havia a possibilidade, em cada um dos casos, de responder o
e-mail e encaminhar o e-mail. Na primeira opo, podemos observar a escolha
dessa opo como uma forma de desconfiana e responder o e-mail poderia
significar que o indivduo desejava uma confirmao dele. J no caso de encaminhar
seria o contrrio, pois o indivduo confiou tanto naquele e-mail que, mesmo no
sendo de seu interesse, valeria a pena compartilhar com quem se interessasse mais,
o que, no caso de um phishing, significaria o aumento de seu alcance, pois pessoas
serviram de vetor para espalh-lo ainda mais.
Em um caso como o do Dropbox, de um e-mail legtimo, houve uma parcela
de respondentes que deletariam o e-mail. Seja por desinteresse ou desconfiana
dos participantes, esse caso pode ser exemplo de que manter o e-mail como
principal meio de comunicao seria uma falha de grandes empresas, pois, na
dvida sobre a legitimidade daquela comunicao, os indivduos tendem a procurar
outra forma de contato, como ocorreu no caso do Netflix, ou, simplesmente,
ignoram o contedo do e-mail.
O prximo captulo conclui esta pesquisa, mostrando as concluses tiradas
acerca dos resultados obtidos e possveis trabalhos futuros a serem realizados.
61
6. Consideraes finais
Alm disso, poderiam ser realizados treinamentos para aqueles que carem
no phishing para, posteriormente, reavaliar seu comportamento e verificar a eficcia
desse tipo de ao paliativa.
64
Apndice B - O questionrio
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
Referncias
<https://www.elpescador.com.br/blog/index.php/infografico-historia-dos-principa
<https://securityintelligence.com/20-eye-opening-cybercrime-statistics/>.
<https://www.social-engineer.org/framework/attack-vectors/attack-cycle/>.
<http://www.avellareduarte.com.br/fases-projetos/conceituacao/demandas-do-p
ublico/pesquisas-de-usuarios-atividades-2/dados-sobre-o-publico-alvo/internet-
2017.
2017.
<https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html>. Acesso
nov. 2017.
em:
<https://securelist.com/kaspersky-security-bulletin-spam-and-phishing-in-2016/
[11] DHAMIJA, Rachna; TYGAR, J. D. and HEARST, Marti. Why phishing works.
<https://wearesocial.com/special-reports/digital-in-2017-global-overview>.
[13] DOWNS, Julie S.; HOLBROOK, Mandy and CRANOR, Lorrie Faith. Behavioral
<https://news.sophos.com/en-us/2016/12/14/consumers-fear-a-cyberattack-ove
r-a-physical-attack-but-what-are-they-doing-about-it/>
[16] FELIX, Jerry; HAUCK, Chris. System Security: A Hacker's Perspective. 1987
[17] FINN, Peter and JAKOBSSON, Markus. Designing ethical phishing experiments.
IEEE Technology and Society Magazine, vol. 26, no. 1, p. 4658, 2007.
2015.
[19] HALDER, Debarati and JAISHANKAR, K. Cyber crime and the victimization of
2011.
<https://www.ibm.com/blogs/nordic-msp/ibms-ceo-on-hackers-cyber-crime-is-th
[21] JAGATIC, Tom N.; JOHNSON, Nathaniel A.; JAKOBSSON, Markus; et al. Social
phishing. Communications of the ACM, vol. 50, no. 10, p. 94100, 2007.
Springer-Verlag, 2015.
85
[23] KOYUN, Arif; JANABI, Ehssan Al. Social engineering attacks. Journal of
multidisciplinary engineering science and technology (jmest)
7 out. 2017.
<https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Final.pdf>.
<https://docs.apwg.org/reports/apwg_trends_report_q4_2016.pdf>
<http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf>
[29] REIS, Miguel and JOIA, Isabelle. Ataques de Engenharia Social: tudo que
<http://www.proof.com.br/blog/ataques-de-engenharia-social/>.
21 out. 2017.
86
[32] SILVA, Edna Lcia Da; MENEZES, Estera Muszkat. Metodologia da pesquisa
e elaborao de dissertao/. 4 ed. Florianpolis: UFSC, 2005.
Disponvel em:
<https://www.social-engineer.com/2017-verizon-dbir-social-engineering-breakd
<https://www.symantec.com/connect/articles/social-engineering-fundamentals-
[35] TRAINING, Focus; OLSON, Chris; ROOSENRAAD, Chris; et al. The Secret
<http://www.informationsecuritybuzz.com/articles/the-secret-history-of-cyber-cri
<http://searchdatacenter.techtarget.com/definition/IT>.
[38] Where Does Cyber Crime Come From? History of Cyber Crime. Le VPN.
[39] WOODWARD, Prof Alan. Viewpoint: How hackers exploit 'the seven deadly
[40] ZETLIN, Minda. Highly Successful Netflix Scam Fools Even Sophisticated
<https://www.inc.com/minda-zetlin/highly-successful-netflix-scam-fools-even-so