Você está na página 1de 88

Universidade Federal de Pernambuco

Centro de Informtica

Graduao em Cincia da Computao

Avaliao da suscetibilidade dos discentes de TI


a ataques de phishing

Simone Campos Cohen

Trabalho de Graduao

Recife
Dezembro 2017
1

Universidade Federal de Pernambuco


Centro de Informtica

Simone Campos Cohen

Avaliao da suscetibilidade dos discentes de TI


a ataques de phishing

Trabalho apresentado ao curso de


Cincia da Computao da
Universidade Federal de Pernambuco
como requisito parcial para obteno
do grau de Bacharel em Cincia da
Computao.

Orientador: Vinicius Cardoso Garcia

Recife
Dezembro 2017
2
3

Agradecimentos

Em primeiro lugar, tenho muito a agradecer minha famlia, em particular e


sem distino, a minha av, Clara; meu pai, Roberto; e minhas tias, Sheila e Suely.
Agradecer por no desistirem de mim nunca, por formarem a pessoa que sou hoje,
por sempre estarem ao meu lado em todas as situaes, pelo amor, apoio, por me
proporcionarem todos os meios possveis para chegar at aqui, alm de todo o
resto.
Agradeo aos amigos que fiz, pela companhia e por todo o apoio. E jamais
deixaria de enfatizar com muito carinho as melhores pessoas que podia ter
conhecido durante esse longo caminho, mas que passou to rpido: Camila
(dogs!), Jlia (woop) e Victor (lindo e maravilhoso), cada um sua maneira que,
no final das contas, fez o Clique completo. Apesar dos aperreios, das noites viradas,
dos projetos sem fim, houve momentos e experincias maravilhosas. Alm dos no
menos importantes amigos de longa data, Lucas e Nathalia, fico muito feliz por, em
algum momento, termos nos aproximado no colgio e por nossa amizade continuar
at hoje, e que seja assim para sempre.
Tambm agradeo ao PET-Informtica por todas as oportunidades de
crescimento, tanto tcnico quanto como pessoa, proporcionadas e pelo grupo
maravilhoso que o compe.
Agradeo aos professores do Centro de Informtica, por todo o conhecimento
passado por eles e, em especial, a Vinicius que me acolheu e orientou de forma a
fazer esse trabalho possvel, assim como Carlo, por toda a sua ajuda.
A todos os outros que fizeram parte desse trajeto direta ou indiretamente,
agradeo-os com muito carinho por tudo.
4

Resumo

A Web, nos ltimos anos, foi se tornando cada vez mais essencial na vida das
pessoas, seja para fins educativos, sociais, financeiros, de entretenimento etc. Com
isso, cresceu o ndice de crimes cibernticos, como ataques de phishing que visam
obter informaes sensveis das vtimas, principalmente seus dados pessoais e
financeiros, possibilitando fraudes eletrnicas. Estudos apontam que todos esto
suscetveis a este tipo de ataque, mas que esse ndice maior entre os usurios
mais assduos da Web e, alm disso, possuir conhecimento sobre o assunto no
necessariamente diminui a vulnerabilidade ao ataque. Atravs de um experimento
usando cenrios de e-mails, foi avaliada a suscetibilidade dos discentes das reas
de Tecnologia da Informao ao phishing. Os resultados se mostraram equilibrados,
mas, ainda assim, favorveis para o sucesso do phishing, sugerindo que uma
grande parcela dos discentes no est atenta segurana digital e, portanto, est
suscetvel a ataques de phishing.

Palavras-chave: crimes cibernticos, phishing, Tecnologia da Informao,


segurana digital, pesquisa, engenharia social
5

Abstract

The Web in recent years has become essential in people's lives for many purposes,
be it educational, social, financial, entertainment, etc. As a result, cybercrime has
grown, such as phishing attacks targeting sensitive information from victims,
particularly their personal and financial data, enabling electronic fraud. Studies
indicate that everyone is susceptible to this type of attack, but that this index is higher
among the more assiduous users of the Web and, moreover, having knowledge on
the subject does not necessarily decrease vulnerability to the attack. Through an
experiment using e-mail scenarios, it was evaluated the susceptibility of the
Information Technology students to phishing. The results were balanced, but still
favorable to the success of phishing, suggesting that a large portion of students is not
attentive to digital security and therefore susceptible to phishing attacks.

Keywords: cyber crimes, phishing, Information Technology, digital security, survey,


social engineering
6

Sumrio
1. Introduo 11
1.1. Motivao 11
1.2. Objetivos 14
1.2.1. Geral 14
1.2.2. Especfico 14
1.3. Estrutura do trabalho 15
2. Conceitos fundamentais 16
2.1. Crimes cibernticos 16
2.2. Engenharia social 20
2.3. Phishing 22
2.3.1. Modalidades do ataque 28
2.3.1.1. Fraude de antecipao de recursos (Advance fee fraud) 28
2.3.1.2. Pharming 29
2.3.1.3. Whaling 29
2.3.1.4. Atendente impostor 29
2.3.1.5. Malware 30
2.3.2. Preveno 30
2.4. Consideraes finais 31
3. Trabalhos relacionados 33
3.1. Consideraes finais 38
4. Metodologia 39
4.1. O questionrio 40
4.1.1. Participantes 40
4.1.2. Role play 40
4.2. Validade das respostas 43
4.3. Consideraes finais 43
5. Resultados 44
5.1. Curso e perodo dos participantes 44
5.2. Uso do e-mail 45
5.3. Role play 46
5.3.1. Convite Formulrios Google 46
5.3.2. Convite de colaborao de pasta do Google Drive 47
5.3.3. Oportunidade de vagas 49
5.3.4. Dropbox 50
5.3.5. Netflix 51
5.4. Anlise dos resultados 53
5.4.1. Suscetibilidade ao phishing 53
5.4.2. Suscetibilidade a clicar nos links segundo o curso 54
5.4.3. Suscetibilidade a clicar nos links segundo o nvel de experincia 55
5.4.4. Relao entre digitar ou copiar a URL e cair no phishing 58
5.5. Consideraes finais 59
6. Consideraes finais 61
6.1. Trabalhos futuros 62
Apndice A - E-mail de convite 64
Apndice B - O questionrio 65
Referncias 82
7

Lista de Figuras

Figura 1: Incidentes reportados ao CERT.br de janeiro a dezembro de 2016 18

Figura 2: Fases do ataque de engenharia social 21

Figura 3: Exemplo de e-mail de phishing utilizado na pesquisa. 25

Figura 4:Pgina redirecionada do link do e-mail de phishing utilizado na pesquisa 26

Figura 5: Setores da indstria afetados por ataques de phishing 27

Figura 6: Incidentes de phishing por e-mail em nmeros 27

Figura 7: Websites de phishing reportados 28

Figura 8: Caractersticas relevantes dos e-mails usados na pesquisa 34

Figura 9: Comportamento dos participantes quanto s suas respostas sobre a


definio de phishing 36

Figura 10: Casos de e-mails usados na pesquisa 37


8

Lista de Grficos

Grfico 1: Resultado para o curso dos respondentes. 44

Grfico 2: Resultado para o perodo dos respondentes. 45

Grfico 3: Resultado para a frequncia de acesso ao e-mail do Centro de


Informtica. 45

Grfico 4: Resultado para o principal meio de acesso ao e-mail do Centro de


Informtica. 46

Grfico 5: Resultado percentual dos participantes em relao ao e-mail do


Formulrios Google. 46

Grfico 6: Resultado percentual dos participantes sobre sua ao ao acessar o


website do formulrio. 47

Grfico 7: Resultado percentual dos participantes em relao ao e-mail do Google


Drive. 48

Grfico 8: Resultado percentual dos participantes sobre sua ao ao acessar o


website ilegtimo do Google Drive. 48

Grfico 9: Resultado percentual dos participantes em relao ao e-mail sobre as


vagas de emprego. 49

Grfico 10: Resultado percentual dos participantes sobre sua ao ao optarem por
visualizar a imagem. 50

Grfico 11: Resultado percentual dos participantes em relao ao e-mail do


Dropbox. 50

Grfico 12: Resultado percentual dos participantes sobre sua ao ao optarem por
acessar o website do Dropbox. 51

Grfico 13:Resultado percentual dos participantes em relao ao e-mail do Netflix


51

Grfico 14: Resultado percentual dos participantes sobre sua ao ao optarem por
acessar o website ilegtimo do Netflix. 52

Grfico 15: Suscetibilidade ao phishing


53
Grfico 16: Relao entre curso de graduao ou ps-graduao e quantidade de
respostas de sucesso para o phishing ao optar por clicar no link e preencher com
os dados / fazer login / fazer download do arquivo. 54
9

Grfico 17: Relao proporcional entre curso de graduao ou ps-graduao e


quantidade de respostas de sucesso para o phishing ao optar por clicar no link e
preencher com os dados / fazer login / fazer download do arquivo. 55

Grfico 18: Quantidade de cliques, por perodo, que resultariam no fornecimento de


dados ou no download do arquivo. 56

Grfico 19: Relaes entre perodo de graduao ou ps-graduao e quantidade


de respostas de sucesso para o phishing. 57

Grfico 20: Comparativo entre clicar no link e digitar ou copiar a URL no


navegador. 58

Grfico 21: Comparativo entre inserir ou no os dados ao escolher a opo digitar


ou copiar a URL no navegador. 59
10

Lista de Tabelas

Tabela 1: 5 casos de e-mails utilizados na pesquisa:Suscetibilidade ao phishing 41


11

1. Introduo

1.1. Motivao

A globalizao, que pode ser definida como uma intensificao das relaes
sociais mundiais [18], tem a Internet como aliada, interligando ainda mais as
pessoas de todo o mundo em um nico e imenso ambiente atravs do qual os meios
de comunicao tem ainda mais poder. Atualmente, estatsticas apontam que em
2017, aproximadamente, 3,773 bilhes de pessoas, cerca de 50% da populao
mundial, tem acesso Internet, um crescimento de 10% em relao ao ano anterior
[12]. E, no Brasil, j so contabilizados, aproximadamente, 139 milhes de usurios
da Web [4] [12].
No entanto, esses dois fatores, associados a alguns outros como o
desenvolvimento de dispositivos mveis, aumento das redes wireless e a sociedade
que, cada vez mais, necessita e depende de computadores e conectividade,
tornaram-se um problema quando observado pela tica da segurana digital.
Crimes cibernticos (ou cibercrimes) consistem em utilizar um sistema
computacional conectado rede como meio de praticar o ato ilegal, como roubos de
identidade, fraudes eletrnicas alm de, entre outros, grandes ataques em massa a
infraestruturas [22]. Segundo dados do CERT.br, s no Brasil, em 2016 foi reportado
um total de 647.112 incidentes de segurana [15].
Um dos ataques cibernticos mais comuns, o phishing, uma forma de
engenharia social em que um atacante se passa por uma entidade de confiana da
vtima para obter suas informaes sensveis [21], um termo relativamente recente
que comeou a ser descrito no final da dcada de 1980, mas s se fixou como ttica
de cibercrime em 1995, com a criao da ferramenta AOHell [1] que possua a
funo de fazer tentativas de roubo de senhas ou detalhes financeiros de usurios
da AOL.
No auge, em 2016, o pior ano da histria de acordo com o Anti-Phishing
Working Group (APWG), foram reportados 1.220.523 de ataques, sendo a maioria
deles voltado para os setores de varejo e financeiro [26]. Desse nmero, 27,61% do
12

total global foi reportado apenas no Brasil, pas com maior nmero de ataques de
phishing [9].
Devido a questes ticas na realizao de pesquisas sobre phishing com o
uso de experimentos com um grupo de pessoas, como descrito por [17], seria
necessria a aprovao de um Comit de tica da instituio alm do total
consentimento dos participantes, o que poderia afetar os resultados devido ao nvel
de alerta deles. Em vista disso, pesquisadores tendem a optar por role plays,
encenaes de um caso imitando a realidade, de forma que os indivduos no
participem com qualquer tipo de propenso a uma ou outra resposta devido ao
conhecimento prvio da finalidade do estudo sobre phishing.
Em 2007, pesquisadores da Carnegie Mellon University (EUA) realizaram
uma anlise comportamental das pessoas frente ao risco do phishing no artigo
Behavioral Response to Phishing Risk [13], visando a descobrir os fatores
associados ao sucesso dos ataques de phishing atravs de um exerccio com uma
pequena encenao da realidade (role play). Os resultados apontaram que quanto
maior o conhecimento do indivduo sobre o contexto da Internet, como, por exemplo,
a interpretao de URLs, ataques e o prprio phishing, menor sua vulnerabilidade a
ele, mas que conhecimentos de informtica mais gerais no esto relacionados a
diminuio da probabilidade de suscetibilidade.
Com base na pesquisa anterior, em 2010, outros pesquisadores da mesma
universidade, em parceria com o Indraprastha Institute of Information Technology
(ndia), escreveram o artigo Who Falls for Phish? A Demographic Analysis of
Phishing Susceptibility and Effectiveness of Intervention [31], em que analisada a
relao entre dados demogrficos e a suscetibilidade e efetividade de ataques de
phishing. A partir dos resultados obtidos foi possvel ver que as pessoas tendem a
julgar a legitimidade de sites pela aparncia deles, que, assim como no anterior, o
conhecimento sobre certos conceitos no reduz sua vulnerabilidade ao phishing, e
boa parte dos usurios no compreendem ou confiam nos indicadores de segurana
dos navegadores.
Em ambas as pesquisas, para avaliar a suscetibilidade das pessoas ao
phishing, foram realizados questionrios com uma encenao (role play) de um
possvel caso (o de Pat Jones) a ser avaliado pelos participantes. O estudo mostra
13

resultados para grupos de participantes genricos, pessoas cujo conhecimento


prvio sobre certos conceitos, como a Internet, Web, vulnerabilidades, phishing e
sua preveno no era uma certeza.
A relao entre conhecimento e suscetibilidade apresentada nos resultados
das pesquisas citadas leva a entender que quanto maior o conhecimento, menor a
chance de se tornar uma vtima. Mas o quo imunes, de fato, esto os indivduos
que conhecem mais?
A partir desse questionamento, foi pensada a proposta de avaliar o quo
suscetveis esto as pessoas imersas no contexto tecnolgico, supostamente, as
que mais possuem conhecimento tcnico sobre os principais conceitos que podem
levar identificao do phishing e a real identificao dele de forma a no se tornar
uma vtima. Tais indivduos fazem parte da rea de Tecnologia da Informao, cuja
definio o uso de computadores, armazenamento, rede e dispositivos fsicos,
infraestrutura e processos para criar, processar, armazenar, proteger e trocar todas
as formas de dados eletrnicos [37].
Como mostrado na definio, integrantes dessa rea lidam constantemente
com dados que podem variar de irrelevantes a estritamente confidenciais, como
dados mdicos, por exemplo. So informaes manuseadas por todos os lados e de
todas as formas, mas cuja segurana deve ser uma preocupao, pois ela precisa
ser planejada e garantida. No entanto, essa garantia de segurana no via de
regra, tendo em vista os inmeros casos de vazamento de informaes confidenciais
(leaks) que ocorrem atravs de brechas no desenvolvimento de aplicaes e vrias
vezes atravs de falhas humanas atravs de engenharia social.
Levando em considerao a preocupao de cada pessoa dessa rea com a
segurana de suas prprias informaes, o que podemos inferir sobre os reflexos
desse comportamento pessoal no meio profissional? O quo presente est a
segurana digital entre esses indivduos?
14

1.2. Objetivos

1.2.1. Geral

Utilizando a abordagem utilizada na etapa de role play dos artigos citados na


seo 1.1 e tendo em vista o resultado sobre a relao entre maior conhecimento e
suscetibilidade ao phishing, este trabalho prope um experimento mais especfico,
voltado para um nico grupo de participantes: os discentes de graduao e
ps-graduao da rea de Informtica do Centro de Informtica da Universidade
Federal de Pernambuco (UFPE). Por meio de um questionrio, que avalia as aes
dos indivduos frente a casos que retratam a realidade dos ataques de phishing mais
comuns, ser verificado, de forma prtica, o conhecimento desses alunos acerca de
segurana e, portanto, sua suscetibilidade ao phishing.

1.2.2. Especfico

Por meio do questionrio, este trabalho tem como objetivo avaliar 4 critrios
especficos a partir dos resultados do comportamento dos participantes em relao
aos casos de e-mails apresentados, so eles:
Suscetibilidade ao phishing;
Suscetibilidade a clicar nos links segundo o curso: cincia da
computao, engenharia da computao e sistema de informao,
alm da ps-graduao;
Suscetibilidade a clicar nos links segundo o nvel de experincia,
mensurado de acordo com o perodo cursado pelo participante;
Relao entre digitar ou copiar a URL e cair no phishing.
15

1.3. Estrutura do trabalho

Este trabalho foi dividido em 6 captulos, incluindo este que apresenta uma
introduo pesquisa, alm de seus objetivos gerais e especficos. Os prximos
sero descritos abaixo:

Captulo 2 - nele apresentada a fundamentao terica acerca dos


principais conceitos utilizados neste trabalho, como crimes
cibernticos, engenharia social e phishing.

Captulo 3 - neste so apresentados os trabalhos utilizados como base


para o experimento realizado.

Captulo 4 - apresenta a metodologia utilizada para realizar a


pesquisa.

Captulo 5 - mostra os resultados da pesquisa segundo as respostas


fornecidas pelos participantes, avaliando-as a partir dos critrios
citados na seo 1.2.2.

Captulo 6 - apresenta as consideraes finais deste trabalho,


segundo os resultados obtidos na pesquisa, alm de possveis
trabalhos futuros envolvendo o tema desta pesquisa.
16

2. Conceitos fundamentais

2.1. Crimes cibernticos

O ataque comeou em maio de 2017. Milhares de sistemas ao redor do


mundo foram infectados em questo de horas: do Servio Nacional de Sade
(National Health Service - NHS) do Reino Unido a empresas de telecomunicaes,
bancos, etc. Mais de 200.000 sistemas em 150 pases com seus dados
sequestrados e apenas um aviso de resgate (ransom) para liber-los.
O maior ataque ciberntico dos ltimos anos ficou conhecido por WannaCry,
uma explorao de uma vulnerabilidade, conhecida como EternalBlue, na
implementao do protocolo Server Message Block (SMB) que prov acesso
compartilhado entre computadores, em sistemas com o sistema operacional
Windows. Vulnerabilidade essa que fora descoberta e utilizada pela Agncia de
Segurana Nacional (NSA) dos EUA, mas no reportada para a Microsoft, que s a
descobriu aps um vazamento de informaes e logo providenciou uma correo,
atravs do patch MS17-010 lanado em maro de 2017.
No entanto, aproveitando-se do fato de que muitos usurios Windows no
haviam instalado o patch e que explorar o EternalBlue continuava possvel, o ataque
se propagou rapidamente atravs de um ataque de ransonware, em que um sistema
bloqueado at que um resgate seja pago, um dos inmeros tipos da mais
promissora rea criminal da atualidade: a de crimes cibernticos.
De acordo com Halder e Jaishankar [19], crimes cibernticos (ou cibercrimes)
podem ser definidos como ofensas cometidas contra indivduos ou grupos de
indivduos com o intito de, intencionalmente, ferir a reputao da vtima, causar-lhe
dano fsico ou mental, ou, direta ou indiretamente, qualquer tipo de perda, atravs do
uso da rede de telecomunicaes.
CEO (Chief Executive Officer) da IBM, multinacional americana de tecnologia,
Ginni Rometty, em 2015, disse [20]:
17

Ns acreditamos que os dados so o fenmeno do nosso tempo. o


novo recurso natural do mundo. a nova base da vantagem
competitiva e est transformando todas as profisses e a indstria.
Se tudo isso for verdade, mesmo que inevitvel, crimes cibernticos,
por definio, a maior ameaa a todas as profisses, todas as
indstrias, todas as companhias do mundo.

Os primeiros casos de crimes cibernticos comearam a surgir por volta da


dcada de 1960, tendo como principais alvos as instituies financeiras. Casos mais
notrios s surgiram na dcada seguinte quando, em 1971, John Draper descobriu
que um apito, que vinha de brinde em uma caixa de cereal, reproduzia o tom usado
para acessar o satlite para ligaes de longa distncia e, assim, conseguiu fazer
ligaes gratuitas. Outro caso foi o de Ian Murphy, primeira pessoa a ser condenada
por um cibercrime em 1981 por conseguir hackear a rede AT&T, a maior empresa de
telecomunicaes do mundo, mudando o relgio interno do sistema e alterando as
tarifas que variavam de acordo com o horrio [38].
Mas foi no final da dcada de 1980 que surgiram os primeiros grandes
ataques: a tentativa de roubo de 70 milhes de dlares do First National Bank of
Chicago atravs de uma transferncia de fundos para a ustria; a primeira grande
infeco por um ransomware foi reportada quando o vrus AIDS infectou vtimas
atravs de um quiz, cobrando 500 dlares pelo resgate do computador; e, na mesma
poca, um grupo foi pego roubando informaes do governo americano e
repassando para a KGB russa [35] [38].
medida que a Internet evolua, junto a ela evoluram tambm as estratgias
e as tcnicas, o conhecimento passou a se propagar com mais velocidade e
fronteiras foram diminuindo. Na dcada de 1990, os prejuzos causados por crimes
cibernticos foram aumentando cada vez mais, como o roubo de 10 milhes de
dlares do Citibank em 1994; a alterao dos websites de rgos como o
Departamento de Justia e Fora Area americanos, FBI e CIA em 1996; e o maior
ataque por worm (um tipo de malware que se replica, espalhando-se por outros
sistemas), o Melissa, que causou prejuzos de aproximadamente 80 milhes de
dlares, alm de muitos outros. Segundo estatsticas, o prejuzo dos crimes
cibernticos chegaro a 2 trilhes de dlares em 2019 [2].
18

Na Figura 1, so mostradas os nmeros de incidentes virtuais do ano de 2016


no Brasil, de um total de 647.112 incidentes relatados ao CERT.br (Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurana) [7].

Figura 1: Incidentes reportados ao CERT.br de janeiro a dezembro de 2016.

Fonte: CERT.br

Os incidentes apresentados na Figura 1 tem como maioria o ataque do tipo


scan, que uma forma automatizada de obter informaes da rede a partir de
checagens de computadores e servios ativos nela. Em segundo lugar esto as
fraudes, modalidade onde podem ser inseridos ataques de phishing que sero
descritos na seo 2.3. Os outros ataques tm como principais objetivos ataques
mais diretos aplicaes e servios, como o caso das invases e negao de
servio - DoS (Denial of Service).
A comunidade online OWASP (Open Web Application Security Project ou
Projeto Aberto de Segurana em Aplicaes Web), que produz contedo gratuito
referente a segurana de aplicaes Web, divulgou seu Top 10 dos maiores riscos
de segurana desse tipo de aplicao para o ano de 2017 [25].
Segundo o relatrio, os trs principais riscos so: injeo, autenticao
quebrada e gerenciamento de sesso e exposio de dados sensveis. Em primeiro
19

lugar est uma vulnerabilidade que ocorre quando se possvel inserir um dado na
aplicao de forma a conseguir acesso a informaes as quais no deveria ter
acesso. Em segundo ficou a vulnerabilidade que ocorre quando h a possibilidade
de comprometimento de senhas ou de identificadores de sesso, cuja obteno
pode ocorrer de forma manual, atravs de ferramentas e at atravs engenharia
social, como o phishing (Sees 2.2 e 2.3), permitindo a explorao da aplicao.
Em terceiro est a exposio de dados sensveis, que ocorre quando a aplicao
no protege corretamente dados sensveis, como informaes sobre carto de
crdito ou credenciais de acesso, de serem obtidos por atacantes.
Assinado em 2001, a Conveno sobre Cibercrime, primeiro tratado
internacional na busca por crimes cibernticos numa cooperao entre naes,
distingue, em seu cdigo, esses crimes em 4 tipos de ofensas [36]:
contra a Segurana da Informao, ou seja, integridade,
confidencialidade e disponibilidade de sistemas ou dados 1 ;
relacionadas a computadores, como fraudes 2 ;
relacionadas ao contedo, como, por exemplo, pornografia infantil 3 ;
relacionadas aos direitos autorais 4 .
Um ano antes, em 2000, Bruce Schneier [30], um especialista da rea de
segurana e criptografia, descreveu as ondas de ataques cibernticos. A primeira
estava relacionada ataques fsicos, diretamente computadores, fios e eletrnicos.
O que foi abrandado pela Internet que, justamente, se defendia desse tipo de ataque
fsico.
Ao longo dos anos seguintes, foi se concretizando a segunda onda, a de
ataques sintticos, nos quais o foco estava na lgica operacional dos computadores
e da rede. Sendo assim, o alvo eram as vulnerabilidades dos softwares, das
criptografias utilizadas, dos protocolos, etc.
Foi ento que surgiu a terceira onda, a de ataques semnticos, que no mais
explora falhas de hardwares ou softwares, mas sim da forma como os prprios

1
Art. 2 (Illegal access), Art. 3 (Illegal interception), Art. 4 (Data interference), Art. 5 (System
interference), Art. 6 (Misuse of devices).
2
Art. 7 (Computer-related forgery), Art. 8 (Computer-related fraud)
3
Art. 9 (Offences related to child pornography)
4
Art. 10 (Offences related to infringements of copyright and related rights)
20

humanos lidam com o contedo ao qual so expostos. Como, por exemplo, a


credibilidade que damos ao que lemos, pois raramente temos a viso de ir em busca
da confirmao daquilo, j levamos como verdade desde o primeiro momento.
essa ingenuidade por trs da credulidade que alguns indivduos usam para
explorar outros. aproveitar a forma como lidamos com inputs e nossa capacidade
de raciocinar sobre eles.

2.2. Engenharia social

No contexto de segurana da informao, o termo engenharia social se


refere manipulao psicolgica da tendncia humana natural de confiar [34] ou
ainda qualquer estratgia no-tcnica para se aproveitar dos aspectos humanos
conhecidos como os sete pecados capitais: curiosidade, cortesia, credulidade,
ganncia, irreflexo, timidez e apatia [39].
O principal objetivo do ataque o de ganhar acesso a um sistema ou a
informaes de forma a cometer fraudes, invases da rede, espionagem industrial,
roubo de identidade ou at uma perturbao a um sistema ou rede internos [34]. E,
por no envolver diretamente nenhum aspecto tcnico que possa ser reconhecido
por ferramentas de segurana tradicionais, os ataques de engenharia social esto
entre as maiores ameaas atualmente.
A empresa Verizon, multinacional de telecomunicaes, em 2016, estudou
42.068 de incidentes de segurana reportados a ela e, do total, 1.935 resultaram em
vazamento de informao, apontando como causa de 43% desse nmero ataques
de engenharia social [33].
Apesar das diversas tcnicas existentes, que sero citadas a seguir, e das
diferentes formas de aproximao de cada uma, estudiosos observaram um padro
no ataque, dividido-o em 4 fases [3] [23], so elas:
21

Figura 2: Fases do ataque de engenharia social.

Fonte: The Attack Cycle [3]

Na coleta de informaes, considerada a mais custosa, mas mais importante


fase para a eficcia do ataque, necessrio um bom engajamento na pesquisa, que
pode ser restringida segundo os objetivos do atacante. Para facilitar a obteno dos
dados online, geralmente so usadas ferramentas, mas tambm podem ser usadas
outras formas de aproximao, inclusive fsica, a fim de extrair o mximo de
informao.
Essa aproximao pode, inclusive, ser caracterizada como da fase seguinte, a
de desenvolver um relacionamento. Nesta fase onde o atacante comea a
perceber o nvel de cooperao da vtima, o quanto ela fornece ou no informaes.
Depois, na fase de explorao, o objetivo fortalecer a relao de forma a
ganhar mais e mais confiana da vtima para que a execuo, de fato, ocorra na
prxima fase sem problemas. Ento, o ciclo chega ao fim na quarta fase (execuo)
na qual o atacante deve garantir que acabe da forma mais suave possvel, sem que
a vtima questione o acontecido e sem deixar fios soltos para que no haja formas
de rastreamento.
Os tipos mais comuns de ataques de engenharia social so [29]:
Baiting - Por meio de um dispositivo infectado por um malware, um software
malicioso, explorada a curiosidade do indivduo. O sucesso desse ataque
22

depende de trs aes da vtima: encontrar o dispositivo, abrir o contedo e


instalar o malware sem perceber, fazendo com que o atacante obtenha
acesso ao sistema desejado.
Pretexting - Atravs de informaes falsas sobre determinadas circunstncias,
um atacante entra em contato com a vtima, aps pesquisas de background
online, e se passa por uma pessoa de confiana para confirmar dados e obter
credenciais.
Quid pro quo - Termo que significa isso por aquilo, neste ataque dado
algum tipo de oferta vtima em troca de informaes sensveis. Uma forma
de abordagem oferecer brindes ao final de pesquisas de campos nas quais
so pedidas informaes sensveis do participante.
Tailgating - Essa se trata de uma tcnica fsica quando um atacante no
autorizado segue a vtima at uma determinada localizao para obter acesso
a uma rea com informaes confidenciais ou ativos valiosos. Um exemplo
disso fazer uso de dispositivos emprestados para infect-los.
Alm desses, existe outro tipo, ainda mais comum e foco deste trabalho, que
ser descrito na prxima seo.

2.3. Phishing

O termo phishing teve sua primeira meno registrada por volta da metade
da dcada de 1990, em grupos online da America-online Usenet. Inicialmente, a
aproximao com a vtima se dava atravs de mensagens instantneas no AIM
(AOL Instant Messenger) em que o atacante, precisando de informaes legtimas,
se passava por um funcionrio da AOL e pedia a senha da vtima. Logo depois, para
facilitar o processo, surgiram ferramentas como a AOHell [1], cuja funo era fazer
tentativas de roubo de senhas ou detalhes financeiros dos usurios da plataforma de
forma que o processo fosse automatizado.
A tcnica, no entanto, anos antes em 1987, havia sido, pela primeira vez,
descrita no artigo System Security: A Hacker's Perspective, apresentado na
International HP Users Group, Interex [16], no qual foi discutido um mtodo feito por
terceiros para imitar um servio confivel.
23

Uma mistura da palavra em ingls fishing, que significa pescar, com o termo
phreak, do ingls freak que significa aberrao, usado na poca para nomear os
primeiros hackers de telefonia, como o citado John Draper, o termo phishing, um
exemplo de tcnica de engenharia social, pode ser tido como qualquer tipo de golpe
que faz uso da tecnologia para obter informaes sensveis da vtima [21] [24], com
as finalidades de roubo, extorso, sabotagem, espionagem ou at mltiplos objetivos
combinados [5].
O phishing pode ser executado de diversas formas, que inclui e-mail, VOIP,
SMS, mensagens instantneas, redes sociais ou at jogos multiplayer, mas,
essencialmente, pode ser divididos em dois tipos. O phishing tradicional, termo
que faz aluso a pescar com rede, est mais relacionado a um ataque massivo,
como, por exemplo, o envio de e-mails, cujo baixo esforo proporciona facilidade
para mandar milhares, e qualquer retorno de pessoas afetadas j uma vantagem
[5].
O outro tipo, o spear phishing, do ingls lana ou arpo, apresenta um
objetivo mais especfico e direcionado. Nele faz-se o uso de tcnicas mais
elaboradas, como uma pesquisa de background, a fim de atingir o alvo da forma
mais eficaz e convincente possvel [5].
Segundo o PhishTank, uma plataforma colaborativa que rene dados sobre
phishing, so caractersticas a serem observadas em e-mails de phishing [28]:
Cumprimento genrico - como, geralmente, o ataque em grande
escala, no vale a pena usar detalhes especficos como nomes
prprios;
Links forjados - nem sempre o link escrito no corpo do e-mail
corresponde ao que ele realmente est apontando. Alm disso,
deve-se observar sempre se o protocolo utilizado o HTTPS na hora
de inserir dados pessoais, pois ele garante a segurana dos dados ao
encript-los, ao contrrio do HTTP;
Pedidos por informaes pessoais - dado que o objetivo principal do
phishing obter tais dados, deve-se sempre ficar atento a esses
pedidos;
24

Urgncia - como no do interesse do atacante esperar, ele faz com


que a vtima aja o mais rpido possvel ao dar um tom de urgncia no
pedido.
Essas caractersticas funcionam pois, ao contrrio da explorao de
vulnerabilidades computacionais, como bugs ou brechas na implementao de
softwares, o phishing explora as falhas humanas dos usurios da Internet. No artigo
Why Phishing Works [11] foram analisados relatrios sobre phishing mantidos pelo
Anti Phishing Working Group (APWG), organizao que se dedica preveno,
deteco, combate e monitoramento do Phishing [6]. Nele, os autores chegaram s
principais estratgias de explorao usadas pelos atacantes ao longo dos anos
separadas em 3 dimenses:
Falta de conhecimento;
Iluso de tica;
Falta de ateno.
A falta de conhecimento implica que a vtima no sabe alguns conceitos
determinantes do ataque e, portanto, pode no distinguir as diferenas entre o que
verdadeiro ou falso. J a iluso de tica, que tambm pode ser associada a falta de
conhecimento, considerando uma pessoa que entenda um pouco mais sobre o
assunto ou at uma pessoa que entende de verdade, torna o falso to parecido com
o verdadeiro que a diferena quase imperceptvel. J a falta de ateno para os
detalhes sutis, como a falta de uma letra no texto que, se o indivduo no estiver
atento, deixa passar com facilidade.
Na Figura 3, exemplo de e-mail de phishing utilizado nesta pesquisa com
e-mails e nomes fictcios, podemos observar algumas estratgias utilizadas. Nele,
um e-mail de compartilhamento de uma pasta do Google Drive, vemos que o
domnio usado para envio do e-mail foi o da prpria instituio de ensino, mas o
remetente indica via Google Drive, ou seja, o compartilhamento, que deveria partir
do Google Drive, no veio dele, podendo indicar que o corpo do e-mail uma cpia
do original. Alm disso, o link http://drive.com para abrir a pgina no corresponde
ao original https://drive.google.com, mas ambos so bastante similares, apelando
para a falta de ateno da vtima.
25

Figura 3: Exemplo de e-mail de phishing utilizado na pesquisa.


Fonte: Simone Cohen (2017)

Ou seja, ao acessar o link do e-mail, o indivduo seria direcionado a uma


pgina falsa, uma rplica o mais idntica possvel original, e nela, como mostrado
na Figura 4, seria dada a opo de login, fazendo, ento, com que a vtima digitasse
seus dados, sendo fisgada pelo phishing. Note que, para uma pessoa com mais
conhecimento, a falta da verificao de segurana atravs do certificado digital -
simbolizada por um cadeado, geralmente, junto URL no browser - seria um alerta
sobre a falsidade da pgina, alm da utilizao do protocolo HTTP.
26

Figura 4: Pgina redirecionada do link do e-mail de phishing utilizado na


pesquisa.


Fonte: Simone Cohen (2017)

So vrios os objetivos por trs do phishing, mas os principais deles tm o


teor de fraude, seja por meio do roubo de informaes, sabotagens, extorso (casos
similares ao do ransomware WannaCry), espionagem, etc.
A APWG, em seu relatrio sobre o primeiro semestre de 2017 [27], divulgou
dados sobre os setores da indstria mais afetados por ataques de phishing e mais
de 50% do total estava relacionado ao setor financeiro, como mostrado na Figura 5.
27

Figura 5: Setores da indstria afetados por ataques de phishing.

Fonte: APWG Phishing Attack Trends Reports 1H 2017 [27].

O mesmo relatrio tambm mostra nmeros altos de casos reportados de


janeiro a junho, totalizando cerca de 590.000 incidentes reportados, como pode ser
observado na Figura 6. Aps ela, na Figura 7, temos os nmeros relativos aos
websites usados para phishing.

Figura 6: Incidentes de phishing por e-mail em nmeros.

Fonte: APWG Phishing Attack Trends Reports 1H 2017 [27]


28

Figura 7: Websites de phishing reportados.

Fonte: APWG Phishing Attack Trends Reports 1H 2017 [27]

Na anlise sobre os domnios chamados de country-code top-level domains


(ccTLDs), ou seja, os domnios da Internet referentes aos pases (.br), o Brasil
aparece entre os mais usados, ficando em segundo lugar. Assim como, em outro
relatrio do primeiro quarto de 2017 da Kaspersky Lab [10], o Brasil aparece em
segundo lugar na quantidade de usurios vtimas, tendo ficado em primeiro no
relatrio referente ao ano de 2016.

2.3.1. Modalidades do ataque

Nesta seo sero apresentados as principais modalidades do phishing, dos


mais simples, que depende apenas de convencer a vtima, aos mais complexos que
utilizam softwares maliciosos para o atacante conseguir o que deseja [5] [8], sendo
possvel a combinao dessas modalidades na realizao de um ataque.

2.3.1.1. Fraude de antecipao de recursos (Advance fee fraud)

Nesse tipo de ataque, a vtima induzida pelo atacante por meio de algum
enredo a fornecer dados ou a realizar pagamentos adiantados com a promessa de
receber uma recompensa futura. Um dos tipos desse tipo de fraude o chamado
29

Golpe Nigeriano no qual a vtima recebe um e-mail com a histria de um


representante de uma famlia, de um pas distante, que encontra-se em dificuldade
de tirar seus bens do pas e, para isso, seria necessrio o envio de uma quantia para
que a documentao fosse resolvida. A recompensa seria uma porcentagem da
fortuna da famlia assim que o dinheiro fosse transferido para a conta da vtima.

2.3.1.2. Pharming

Nesse tipo de ataque, a vtima tem sua navegao redirecionada, por meio de
DNS (Domain Name System)5, de forma que, ao tentar acessar sites verdadeiros,
ocorra um redirecionamento para sites fraudulentos muito similares, sem que isso
seja percebido pela vtima.

2.3.1.3. Whaling

Semelhante ao Golpe Nigeriano, este ataque de spear phishing voltado para


grandes empresas com o objetivo de conseguir informaes ou at transferncias de
fundos por meio de funcionrios. O atacante se passa por um executivo que faz um
pedido urgente e confidencial a um dos funcionrios, passando-lhe alguns detalhes
internos que torne a situao mais real e fazendo com que a ordem seja cumprida.

2.3.1.4. Atendente impostor

Nesse ataque, o atacante entra em contato com a vtima se passando por


atendentes de uma dada empresa com o objetivo de conseguir informaes
privilegiadas. O golpe pode acontecer por meio de e-mail, no qual, por exemplo, a
vtima informada de algum problema em sua conta pessoal na empresa e precisa
realizar uma ao para resolver o problema, como acessar um site para trocar sua
senha; ou ainda por telefone para resolver, por exemplo, problemas tcnicos de
Internet ou at sobre contas bancrias e carto de crdito.

5
DNS: Sistema que associa informaes atribudas a nomes de domnios a cada entidade
participante, como, por exemplo, a traduo de nomes de domnio (URL) ao seu endereo IP
correspondente.
30

2.3.1.5. Malware

Malwares so softwares maliciosos que podem surgir com diversos


propsitos, entre eles: keyloggers, que captura aes no teclado da vtima;
screenloggers, que captura a tela do usurio, mantendo um registro do que foi
aberto nela em um perodo de tempo; ransomware, como o WannaCry, que
bloqueou computadores em troca de um resgate em dinheiro; APTs (Advanced
Persistent Threat ou Ameaa Persistente Avanada) que tem o objetivo ficar no
sistema da vtima pelo maior tempo possvel capturando informaes e as
repassando para o atacante; entre outros.

2.3.2. Preveno

O phishing nada mais do que uma forma de se aproveitar das aes


humanas, ento, ao entrar no mundo virtual, preciso se conscientizar e at
aprender certos conceitos sobre esse meio de forma a no se tornar uma vtima de
ataques. So vrios os cuidados que devem ser tomados, entre eles os principais
so [5] [8]:
Verificar o remetente dos e-mails - no somente se o e-mail familiar,
mas tambm verificando a escrita, se o domnio de envio est correto
ou se ele corresponde com o e-mail de quem o enviou;
Verificar o link - pode acontecer de o link mostrado no corpo do e-mail
no corresponder ao qual ele est direcionando o usurio, ento,
recomendado digitar a URL direto no navegador;
Nunca passar informaes pessoais por e-mail - empresas nunca
pedem dados pessoais dos clientes, ento, caso seja pedido,
recomendado entrar em contato direto com a empresa atravs de outro
meio de comunicao;
Desconfiar da urgncia em e-mails e SMS - a brevidade de tempo que
o usurio tem para resolver um certo problema ou receber um prmio,
31

por exemplo, pode faz-lo agir sem pensar direito, ento, antes de
tomar qualquer atitude, o ideal checar a veracidade daquilo que est
sendo dito;
Checar as regras de privacidade nas redes sociais - uma forma de
conseguir informaes sobre uma vtima a partir das informaes que
ela prpria coloca em suas redes sociais. Portanto, preciso verificar a
exposio dessas informaes para que estranhos no tenham
permisso de visualiz-las, assim como avaliar o que se diz mesmo
que em um crculo fechado de conhecidos;
Desconfiar de mensagens de texto - o phishing tambm pode ocorrer
via SMS, WhatsApp ou outros servios de mensagens instantneas,
ento importante validar a informao atravs de outras fontes e no
clicar diretamente em links ou baixar aplicativos.

2.4. Consideraes finais

Segundo um relatrio da Sophos de 2016, companhia inglesa de segurana


de software e hardware, consumidores da Internet temem mais os ataques
cibernticos que os ataques fsicos. A pesquisa foi realizada com a participao de
pessoas de 5 diferentes pases sobre seus maiores medos em relao a segurana
e os resultados mostraram que 63% deles esto mais preocupados com perdas
financeiras causadas por vazamentos de dados, em contraste com 46% que se
preocupa com assaltos ou roubos de carro [14].
O vice-presidente do grupo Sophos, John Shaw, observou:

As pessoas entendem como proteger sua casa ou seu carro - elas


sentem que o mundo fsico est acobertado. Enquanto que
cibercriminosos so invisveis e o mundo do crime virtual
imprevisvel e complicado, especialmente quando se trata de
ameaas cibernticas como phishing e ransonware [...]

E isso pode ser relacionado ao conhecimento do indivduo sobre os


ambientes em que habita. As regras e riscos do mundo real so mais palpveis,
podemos, por exemplo, acompanhar noticirios, atentando para informaes locais
32

sobre segurana pblica e tomar conhecimento dos riscos. Ao contrrio do mundo


virtual onde, como dito por Shaw, os criminosos so invisveis, podem surgir de
qualquer lugar e realizar feitos sem deixar rastros. Ao mesmo tempo que um crime
ciberntico ganha notoriedade e passa a ser mais observado, outro j est em
andamento e se aproveita tanto de novas oportunidades quanto de resqucios do
primeiro, tornando muito complicado prever um comportamento dos ataques de
forma a impedi-los de acontecer.
Procurar conhecer e entender o mundo virtual um caminho difcil quando o
indivduo no faz parte do meio tecnolgico e apenas o usufrui. Mas, para as
pessoas que esto imersas nesse mundo, que tm interesse no assunto e que o
conhecem e entendem, quo menos suscetveis elas esto ao crime ciberntico? E,
restringindo o escopo e levando em considerao o quo comum e abrangente o
phishing, essas pessoas prestam ateno a ele a ponto de no se tornarem vtimas?
Esses questionamentos serviram de base para este trabalho que busca
compreender o nvel de cuidado dos indivduos imersos na rea de Tecnologia da
Informao com seus dados, a partir de um experimento, com casos de phishing sob
o contexto deles, cuja fonte de inspirao partiu dos artigos citados na seo
seguinte onde so apresentados os trabalhos relacionados.
33

3. Trabalhos relacionados

Em 2007, no artigo Behavioral Response to Phishing Risk [13], Downs et al


realizou uma pesquisa piloto, em menor escala, que, mais tarde, seria trabalhada de
forma mais extensiva, visando a analisar o comportamento dos indivduos frente ao
risco de um phishing. A proximidade com a realidade do comportamento dos
indivduos ao enfrentar casos fictcios ajudam a compreender melhor a forma como
as pessoas agem com o phishing e, com isso, possvel desenvolver com mais
eficcia ferramentas de preveno que j prevem certas caractersticas do phishing
e o comportamento do indivduo.
Como no possvel, por questes ticas, realizar um experimento de
phishing propriamente dito, a pesquisa se d por meio de um questionrio online
com encenaes de casos reais em que os respondentes avaliam as opes com
possveis aes a serem tomadas. Para isso foram recrutados participantes, todos
membros da comunidade da Carnegie Mellon University (EUA), de funcionrios a
estudantes, registrados em um grupo com a possibilidade de concorrer a prmios.
No questionrio, os participantes deveriam se colocar (role play) no lugar de
Pat Jones, uma pessoa fictcia que trabalha numa empresa chamada Cognix, e
observar imagens de 5 e-mails na caixa de mensagens dela, cada uma contendo um
pequeno contexto para que o participante pudesse julgar melhor sua atitude em
relao queles e-mails. Na Figura 8, retirada do artigo, so mostradas as
caractersticas relevantes de cada e-mail usado no questionrio.
34

Figura 8: Caractersticas relevantes dos e-mails usados na pesquisa.

Fonte: Behavioral Response to Phishing Risk, Downs et al [13]

A pesquisa foi apresentada como relativa ao uso do computador, em vez de


falar sobre segurana, para no deixar os participantes to alertas para a finalidade
dela. E foi dividida em vrias sees: role play de e e-mails no qual os participantes
avaliavam imagens de e-mails e websites, uma avaliao de URLs (Uniform
Resource Locator) quanto a suas caractersticas, uma seo sobre os
conhecimentos dos participantes em relao a termos e cones referentes Internet,
e uma avaliao sobre as consequncias negativas do phishing.
Para cada um dos casos de e-mail foram apresentadas 7 opes de resposta:
responder por e-mail, contactar o remetente por telefone ou pessoalmente, deletar o
e-mail, salvar o e-mail, clicar no link, copiar o link e colar no navegador, ou digitar a
URL no navegador, assim como poderiam optar por no responder ou marcar outro
como resposta e detalhar melhor suas aes num campo de texto. Era permitido que
marcassem mais de uma opo e, caso uma delas envolvesse clicar no link, o
participante seria direcionado para uma imagem da pgina web correspondente ao
link. Nessa etapa, eram dadas 6 opes: clicar em um ou mais links da pgina,
35

entrar com os dados pedidos na pgina, salvar a pgina como favorita, salvar ou
arquivar a pgina, visitar uma pgina relacionada, ou deixar o website, alm de
poderem no responder ou marcar a opo outro.
Depois, na segunda parte do questionrio, os participantes foram indagados
sobre sua forma de avaliar URLs apenas ao olhar para elas, sem acessar o link,
para dizerem, por exemplo, se conseguiriam identificar a qual empresa quele site
pertencia, se o site era seguro ou at se no fosse possvel saber se era seguro ou
no.
Em seguida, vieram questes sobre alguns termos, como cookie, spyware,
vrus e phishing; e sobre alguns cones presentes nos navegadores, como o
cadeado de indicao de verificao de segurana. A partir de uma lista, havia
apenas uma definio correta para cada um dos termos, como, por exemplo, para
phishing havia: E-mail que tenta engan-lo para que fornea informaes sensveis
para ladres.
E, por ltimo, perguntas relativas a experincias passadas e consequncias
negativas de um ataque malicioso, como, por exemplo, o roubo de informaes
financeiras de forma que o indivduo pudesse ter perdido dinheiro e bens sem que
houvesse forma de recuper-los, ou se o computador do indivduo envia
automaticamente softwares maliciosos para todas as pessoas no seu livro de
endereos online.
Os resultados mostraram que uma minoria dos participantes haviam
enfrentado problemas que poderiam ser causados por phishing, mas que, no
necessariamente, ocorreu atravs dele, como terem dados de carto de crdito
roubados (21%), informaes roubadas ou comprometidas (14%) ou at roubo de
identidade (3%).
Em relao ao role play, foi atestado que os participantes o levaram a srio e
a maioria respondeu aos e-mails de uma forma muito similar a como teria
respondido um que chegasse para ele prprio. Alm disso, foi analisada a frequncia
dos cliques, quando o participante clicava no link ou digitava sua URL no navegador,
mostrando que eles tinham a tendncia a acessarem sites com temas similares. Se
o participante acessasse o primeiro site do tema financeiro, como o do eBay, ele
tinha a tendncia de tambm acessar o do PayPal. Em contrapartida, a avaliao de
36

cliques do e-mail que apresentava o spear phishing no mostrou nenhum padro


claro em relao aos outros e-mails, mostrando-se um dado no muito confivel e
no sendo, portanto, amplamente usado para os fins da pesquisa.
Alm disso, foi verificado que os participantes que responderam corretamente
a questo conceitual sobre phishing tinham menor probabilidade de carem no no
ataque, seja por meio do clique, visitando o site ou digitarem suas informaes nos
sites, como pode ser visto na Figura 9. No entanto, conhecer outros conceitos no
tinha relao direta com essas 3 aes. Tambm foi observada a correlao entre o
resultado da etapa de avaliao de URLs com o comportamento do participante no
role play, mostrando que, de fato, as pessoas que julgavam URLs inseguras tinham
menos propenso a clicarem nos links.

Figura 9: Comportamento dos participantes quanto s suas respostas sobre a


definio de phishing.

Fonte: Behavioral Response to Phishing Risk, Downs et al [13]

Em 2010, tendo como base a pesquisa citada anteriormente, foi realizada


outra por Sheng et al [31] com o vis de uma anlise demogrfica da suscetibilidade
ao phishing e a efetividade de uma interveno. Assim, com participantes recrutados
a partir de um site que fornecem inteligncia humana para trabalhos que a
necessitam, foi realizada uma pesquisa no mesmo molde da citada anteriormente,
mas que os dividia em 2 grupos: o primeiro que responderia ao role play, com
perguntas para avaliar experincias passadas e conhecimento prvio sobre phishing,
37

e depois passaria por um treinamento; e o segundo que passaria pelo processo na


ordem contrria, avaliando assim a eficcia do treinamento anti-phishing.
Assim como no primeiro artigo, foram apresentadas imagens com 14 casos
de e-mails, entre eles os mostrados na Figura 10, e opes similares de resposta,
tambm levando os participantes a pginas web caso fosse marcada a opo de
clicar no link.

Figura 10: Casos de e-mails usados na pesquisa.

Fonte: Who falls for phish?, Sheng et al [31]

Os resultados foram observados a partir de dois tipos de erros dos


participantes: os falsos positivos, quando um site verdadeiro considerado falso
erroneamente, e cair no phishing. Nessa pesquisa, assim como em outros trabalhos,
cair no phishing determinado por inserir seus dados no site e, de acordo com o
resultado, 90% dos indivduos que clicaram no link tambm forneceram suas
informaes.
Em relao questo demogrfica, foi observado que mulheres, antes do
treinamento, tm maior propenso a clicarem nos links e procederem com o
fornecimento de seus dados, em um comparativo de 54,7% de mulheres e 49% de
homens. Tambm foi percebido que o grupo etrio entre 10 e 25 anos so mais
38

suscetveis, devido menor exposio a treinamentos, menos anos de experincia


com a Internet e menor medo dos riscos financeiros.
Os resultados, assim como no primeiro artigo, apontaram que o conhecimento
prvio sobre phishing ajudava na menor suscetibilidade do indivduo ao ataque,
entretanto o conhecimento sobre outros conceitos computacionais no estava
relacionado diminuio na probabilidade de cair no ataque. E, em relao ao
treinamento, os participantes que o fizeram depois do role play caram em 47% dos
sites de phishing, enquanto que, do contrrio, esse nmero caiu para 28%.

3.1. Consideraes finais

Os resultados apresentados em ambos os trabalhos mostraram-se similares,


validando a eficcia do mtodo na avaliao da suscetibilidade ao phishing que,
mesmo no sendo igual a realidade, se aproxima bastante dela.
No entanto, houve limitaes que estavam na pouca diversidade do grupo de
participantes, pois todos eles faziam parte da comunidade da Universidade e no
uma parcela geral dos usurios de e-mail; na pequena quantidade de casos de
phishing de modo a no deixar o questionrio to longo (no caso do primeiro artigo
citado); e na falta de consequncias mais diretas do comportamento, visto que os
participantes poderiam agir com maior risco por no haver consequncias para suas
aes.
A metodologia utilizada nesses trabalhos foi usada como base para este que,
por meio de uma adaptao do questionrio, tendo como principal etapa a do role
play, para avaliar apenas um grupo especfico de participantes, focando, portanto, na
avaliao da relao entre o conhecimento e a suscetibilidade ao phishing.
No captulo seguinte, ser apresentada a metodologia utilizada para a
realizao deste trabalho.
39

4. Metodologia

A partir dos resultados obtidos na pesquisa foi possvel extrair conhecimentos


acerca do comportamento dos indivduos quanto aos seus hbitos em relao a
e-mails recebidos em sua caixa de mensagens. Em vista disso, podemos classificar
a pesquisa como de natureza bsica que, como definido por [32], tem como objetivo
gerar novos conhecimentos que sejam teis para o avano da cincia sem que haja,
necessariamente, uma aplicao prtica.
Foram utilizadas as tcnicas bibliogrfica, pois foram usados estudos j
publicados em artigos e materiais disponibilizados na Internet como base para a
elaborao do material, e a de levantamento realizada atravs do questionrio feito
com uma amostra cujo comportamento seria analisado.
Alm disso, foi usado o mtodo dedutivo, visando a explicar dadas premissas
e chegar a uma concluso sobre os dados obtidos. E, possui finalidade descritiva,
que expe as caractersticas de uma determinada amostra da populao atravs de
um questionrio online. Quanto a abordagem, foram adotadas tanto a qualitativa
quanto a quantitativa, pois realizada uma anlise numrica, alm da compreenso
e interpretao dos dados levantados sobre uma determinada amostra da
populao, ou seja, dos resultados obtidos a partir do questionrio, embasado em
tcnicas realizadas nos principais estudos cientficos sobre a suscetibilidade ao
phishing.
Para verificar a relao entre conhecimento e suscetibilidade ao phishing,
este trabalho prope a avaliao por meio de um questionrio que restringe os
participantes a indivduos inseridos na rea de Tecnologia da Informao,
verificando sua forma de interagir com e-mails e, assim, avaliar o nvel de
preocupao com a segurana de suas informaes.
40

4.1. O questionrio

4.1.1. Participantes

A pesquisa foi realizada dentro do Centro de Informtica (CIn), da


Universidade Federal de Pernambuco (UFPE). Para responder ao questionrio, os
participantes deveriam possuir o e-mail com o domnio da instituio (cin.ufpe.br),
como forma de no permitir respostas de outras pessoas de fora e garantir respostas
nicas.
Assim, participam dessa pesquisas os discentes de Tecnologia da Informao
dos trs cursos de graduao: cincia da computao, engenharia da computao e
sistemas de informao, alm dos discentes da ps-graduao.

4.1.2. Role play

Com base nos artigos citados no Captulo 3, foi elaborado um questionrio


similar para este trabalho. No entanto, tendo em vista o grupo restrito de
participantes, os discentes de Tecnologia da Informao do Centro de Informtica da
UFPE, cujo conhecimento sobre certos conceitos da Internet tido como prvio,
algumas partes dos questionrios dos artigos foram omitidas, como as perguntas
conceituais, sendo avaliado aqui o conhecimento obtido ao longo do curso e tambm
fora dele acerca de segurana. Assim, foram criados 5 casos de e-mails dentro do
contexto do CIn para que os participantes os avaliasse como se no lugar de uma
estudante fictcia, Maria Silva.
Assim como nos artigos, o enfoque da pesquisa no foi explicitado no
questionrio, sendo descrito nele o carter avaliativo sobre hbitos no uso do servio
de e-mail do CIn. Ento, em seguida, foram realizadas perguntas relativas ao
discente, como curso e perodo; e, depois, sobre a frequncia de acesso ao e-mail e
o principal meio utilizado para tal.
Em seguida foi iniciado o role play, contendo 5 questes, de forma a no
tornar o questionrio extenso, relativas a e-mails recebidos por Maria Silva, com
suas devidas consideraes, usadas para contextualizar o participante.
41

O objetivo do questionrio era verificar a principal ao do participante,


perguntando-lhe o que ele faria diante dos e-mails mostrados, dando-lhe as
seguintes opes, adaptando-as a cada caso: responder o e-mail, encaminhar o
e-mail, apenas ler a mensagem e deix-la na caixa de mensagens, deletar o e-mail,
clicar no link do e-mail, e digitar ou copiar a URL no navegador. Caso o participante
escolhesse clicar no link ou digitar a URL no navegador, seria mostrada a imagem
da pgina Web correspondente e novamente uma pergunta sobre sua ao diante
dela, tambm adaptando as opes a cada caso, como responder o formulrio, fazer
login, preencher com os dados, deletar o e-mail, etc.

Tabela 1: 5 casos de e-mails utilizados na pesquisa.

E-mail Legitimidade Consideraes

Convite Formulrios Google real 1- Maria acha importante responder


formulrios acadmicos

Convite de colaborao de phishing 1- O remetente conhecido


pasta Google Drive

Oportunidade de vagas possvel malware 1- Maria tem interesse em vagas de


trabalho
2- O remetente conhecido

Dropbox real 1- Maria possui uma conta do


Dropbox cadastrada neste e-mail
2- Maria acha possvel ter arquivos
importantes armazenados no
Dropbox

Netflix spear phishing 1- Maria possui cadastro do Netflix


neste e-mail

Fonte: Simone Cohen (2017)

O primeiro e-mail era legtimo e se tratava de um convite do Formulrios


Google para responder a um questionrio. Enviado ao grad-l@cin.ufpe.br, lista de
e-mail dos estudantes de graduao do CIn, por um e-mail da prpria instituio, no
havia nenhuma caracterstica de phishing no e-mail. A pgina direcionada pelo link
era tambm legtima e possua a verificao de segurana do Google atravs de
certificado digital, indicada pelo cadeado prximo URL.
42

O segundo, um e-mail similar ao anterior, era de um convite ilegtimo de


colaborao de uma pasta do Google Drive, armazenamento na nuvem bastante
utilizado pelos alunos do CIn. Embora o corpo do e-mail fosse idntico ao original,
nele podemos observar algumas caractersticas de sua ilegitimidade, como o
domnio de envio cin.ufpe.br sem assinatura, sendo que o mais comum seria um
dos domnios utilizados pelo Google Drive, como o doclist.bounces.google.com.
Alm disso, o link no corresponde ao original https://drive.google.com, sendo ele
http://drive.com sem o uso do protocolo HTTPS (Hypertext Transfer Protocol
Secure), que implementa o HTTP simples sobre uma camada de segurana,
utilizando o protocolo SSL/TLS (Secure Socket Layer / Transport Layer Security) e
fazendo com que os dados sejam transmitidos atravs de uma conexo
criptografada e com o uso de certificados digitais. A pgina direcionada pelo link era
idntica original e pedia para o participante fazer login com sua conta do CIn.
O terceiro e-mail, em relao a vagas de trabalho, tambm foi ilegtimo e
possua 2 imagens anexas que mostrariam detalhes sobre as vagas. As
caractersticas do phishing apareciam no formato das imagens .jpeq no lugar de
.jpeg, fazendo com que o Gmail no reconhecesse o formato para mostrar a
pr-visualizao da imagem. Ento, ao clicar na imagem, era exibida uma
mensagem Nenhuma visualizao disponvel e o boto para download, obrigando
o destinatrio do e-mail a baixar os anexos se quisesse visualiz-los. O perigo do
e-mail estava, justamente, em fazer esse download, pois um possvel malware
poderia infectar a mquina do indivduo.
O quarto e-mail era verdico, um comunicado do Dropbox sobre o
encerramento da conta de usurio aps muito tempo de sem uso. Nele havia um link
para a pgina do Dropbox que deveria ser acessado caso o usurio desejasse
manter sua conta. Ao acessar, era exibida uma pgina de login legtima, inclusive
com verificao de segurana.
O ltimo caso se tratava de um aviso do Netflix sobre confirmao de
cadastro. Esse e-mail foi baseado em casos reais de ataques de phishing que vm
acontecendo [40]. Em um e-mail com aparncia idntica a do Netflix, o texto fala
sobre uma atualizao dos dados de pagamento devido a um problema da empresa
na hora de validar essas informaes, implicando em uma possvel suspenso da
43

conta at a realizao da atualizao. Ento, h um link malicioso que direciona o


usurio para uma pgina falsa, muito similar a do Netflix, que pede todos os dados
do carto de crdito da vtima.

4.2. Validade das respostas

importante considerar que neste tipo de pesquisa, atravs de um


questionrio online, nem todos os participantes respondem com total cincia da
importncia de sua resposta e isso pode aparecer, consequentemente, no resultado
final da pesquisa em casos de respostas notavelmente incongruentes.
Uma possvel soluo para isso seria tornar o questionrio mais especfico e
extenso, como sugerido na seo 6.1, de forma a tratar tais tipos de respostas e,
assim, criar um critrio para separao das respostas.

4.3. Consideraes finais

Neste captulo foi apresentada a metodologia utilizada para a realizao do


experimento atravs do questionrio com os casos de e-mail a serem avaliados
pelos participantes. Foram todos casos simples e com caractersticas marcantes de
phishing para verificar o nvel de alerta dos respondentes.
No prximo captulo, sero discutidos os resultados obtidos com essas
respostas, avaliando-as de acordo com critrios que sero apresentados.
44

5. Resultados

Neste captulo sero apresentados os resultados obtidos no questionrio que


foi aplicado durante os meses de Outubro e Novembro, obtendo 414 respostas de
um total de 2.115 alunos do centro, o que correspondeu a 19,5% dos alunos
matriculados. No considerada nesse valor total uma margem de erro que leve em
considerao desistncias aps a matrcula no incio do perodo ou alunos pouco
participativos na instituio.
Em seguida, sero realizadas anlises dos dados obtidos seguindo os
seguintes critrios:
Suscetibilidade ao phishing;
Suscetibilidade a clicar nos links segundo o curso;
Suscetibilidade a clicar nos links segundo o nvel de experincia,
mensurado de acordo com o perodo cursado pelo participante;
Relao entre digitar ou copiar a URL e cair no phishing.

5.1. Curso e perodo dos participantes

As duas primeiras perguntas do questionrio foram referentes a amostra


populacional dos participantes quanto ao seu curso e perodo, caso fossem
discentes de graduao, ou da ps-graduao, como pode ser visto nos Grficos 1 e
2.

Grfico 1: Resultado para o curso dos respondentes.


45

Fonte: Simone Cohen (2017)

Grfico 2: Resultado para o perodo dos respondentes.

Fonte: Simone Cohen (2017)

5.2. Uso do e-mail

As perguntas 3 e 4 foram referentes frequncia de acesso ao e-mail do


Centro de Informtica e o principal meio para acessar sua caixa de entrada, como
pode ser visto nos Grficos 3 e 4. Os usurios que observam seus e-mails
assiduamente foram maioria entre os participantes, assim como o meio de acess-lo
foi atravs de cliente de e-mail para dispositivos mveis.

Grfico 3: Resultado para a frequncia de acesso ao e-mail do Centro de


Informtica.6

Fonte: Simone Cohen (2017)

6
O texto cortado representa: Diariamente, observando-o pelo menos uma vez por turno ou sempre
que chega um novo e-mail e Ocasionalmente, para verificar se h um e-mail importante.
46

Grfico 4: Resultado para o principal meio de acesso ao e-mail do Centro de


Informtica.

Fonte: Simone Cohen (2017)

5.3. Role play

Nesta seo sero apresentados os resultados para cada uma das perguntas
relacionadas aos casos de e-mail.

5.3.1. Convite Formulrios Google

O resultado obtido revelou que 71,5% dos participantes tendem a clicar no


link, o que pode indicar a confiana dele em relao ao site.

Grfico 5: Resultado percentual dos participantes em relao ao e-mail do


Formulrios Google.

Fonte: Simone Cohen (2017)


47

Desses, considerando os que optaram por clicar no link ou digitar ou copiar a


URL no navegador, 73,2% foram direcionados para uma imagem de um website com
o formulrio e, nesse caso, 97,4% dos participantes optaram por responder o
formulrio, 1,3% fechariam a janela sem responder e 1,3% fechariam mas
responderiam depois.

Grfico 6: Resultado percentual dos participantes sobre sua ao ao acessar


o website do formulrio.

Fonte: Simone Cohen (2017)

Esse foi o caso de teste, para ambientar os participantes ao contexto do


questionrio e, por isso, no ser levado em considerao nos critrios citados no
incio do captulo.

5.3.2. Convite de colaborao de pasta do Google Drive

O resultado mostrou que 54,3% dos participantes clicariam no link, nmero


expressivo que tambm se mostra nos 63,9% que preencheriam os campos de login
e senha para acessar o Google Drive do site falso, como pode ser visto nos Grficos
7 e 8. Essa atitude poderia trazer grandes prejuzos caso um atacante usasse as
credenciais do e-mail e nele obtivesse acesso s plataformas cadastradas com ele.
No caso do e-mail institucional talvez esse no fosse tanto o caso, embora seja
possvel, mas a mesma atitude no e-mail pessoal poderia ter esse resultado.
48

Grfico 7: Resultado percentual dos participantes em relao ao e-mail do


Google Drive.

Fonte: Simone Cohen (2017)

Grfico 8: Resultado percentual dos participantes sobre sua ao ao acessar


o website ilegtimo do Google Drive.

Fonte: Simone Cohen (2017)

De um total de 3,1% dos participantes que escolheram a opo Digitaria ou


copiaria a URL no navegador, 61,5% no faria login, indicativo de que esses
participantes podem ter percebido a ilegitimidade da URL e, por isso, no
procederam com o login. Entretanto, mesmo no caso de escolher essa opo, houve
participantes que fariam login, ou seja, o nvel de ateno para a URL foi pequeno a
ponto de sua semelhana com a original ser capaz de enganar os participantes.
Nesse caso, segundo as recomendaes da seo 2.3.2 para no cair no
phishing, a principal estratgia seria ter ateno URL do link e perceber que a
conexo insegura atravs de HTTP no seria utilizada numa pgina de login do
Google.
49

5.3.3. Oportunidade de vagas

Caso de e-mail que utilizava uma abordagem diferente dos demais, em que
no havia uma pgina web extra redirecionada a partir de um link, o usurio
precisaria observar a extenso dos arquivos anexados ao e-mail, atentando para o
fato de que a imagem no possua uma visualizao prvia, sem que fosse
necessrio o download, justamente para que um possvel usurio fosse obrigado a
fazer o download e abrir o arquivo, tendo assim sua mquina comprometida por um
possvel malware.
O resultado para esse caso se mostrou menos favorvel para o sucesso do
phishing, pois, comparado ao resultado do caso da seo 5.3.2, a quantidade de
participantes que clicaram no link foi bem menor, apenas 36,2%. No entanto, mesmo
com o menor nmero de cliques, ainda assim 60,7%, o que corresponde a 91
participantes, faria o download do arquivo, como mostrado no Grfico 10.

Grfico 9: Resultado percentual dos participantes em relao ao e-mail sobre


as vagas de emprego.

Fonte: Simone Cohen (2017)

O percentual de participantes que responderia o e-mail, tanto na pergunta


principal quanto na secundria, pode indicar que no houve a percepo sobre sua
ilegitimidade e que, de fato, tentariam entrar em contato por acreditar, por exemplo,
no arquivo como corrompido.
50

Grfico 10: Resultado percentual dos participantes sobre sua ao ao


optarem por visualizar a imagem.

Fonte: Simone Cohen (2017)

Nesse caso, era imprescindvel observar a extenso do arquivo e desconfiar


por ela no estar entre as mais comuns extenses de arquivos de imagem, alm de
impossibilidade de pr-visualizao que obriga o download para que o indivduo veja
seu contedo. Como casos de arquivos so mais difceis de reconhecer, geralmente,
a recomendao no fazer download de nenhum arquivo a menos que o remetente
seja totalmente confivel.

5.3.4. Dropbox

Caso de e-mail legtimo, o resultado demonstrou que a maioria dos


participantes clicariam no link, um total de 52,7%.

Grfico 11: Resultado percentual dos participantes em relao ao e-mail do


Dropbox.

Fonte: Simone Cohen (2017)


51

Sobre o resultado apresentado no Grfico 12, podem ser indcios de


desconfiana os 8,8% que no fariam login e os 5,2% que voltariam ao e-mail para
acessar o link novamente, apesar do cone de verificao de segurana do site.
Grfico 12: Resultado percentual dos participantes sobre sua ao ao
optarem por acessar o website do Dropbox.

Fonte: Simone Cohen (2017)

5.3.5. Netflix

Caso de e-mail com tema financeiro e, dentre todos, o que poderia trazer
maiores prejuzos para o indivduo que preenchesse seus dados no site. Embora
uma considervel parcela dos participantes tenha optado por deletar o e-mail, 49%
deles clicariam no link e 8,2% digitariam ou copiariam a URL no navegador.

Grfico 13: Resultado percentual dos participantes em relao ao e-mail do


Netflix.

Fonte: Simone Cohen (2017)


52

O resultado para aqueles que acessariam o website se mostrou bastante


dividido entre os que preencheriam com seus dados (43%) e os que verificariam
direto da conta (49,8%). Apesar disso, o nmero de participantes que preencheriam
com seus dados do carto de crdito, um total de 102 de 237, foi considervel a
ponto de ser preocupante. Em uma escala maior, um ataque de phishing nesse
molde seria capaz de vitimizar milhares de pessoas, levando a um prejuzo enorme.
preciso ter conscincia de que nenhuma grande empresa pediria dados
pessoais diretamente por e-mail e, principalmente, necessrio desconfiar de
pedidos desse tipo, principalmente quando envolvem dados financeiros, pois so os
maiores alvos de fraudes.

Grfico 14: Resultado percentual dos participantes sobre sua ao ao


optarem por acessar o website ilegtimo do Netflix.

Fonte: Simone Cohen (2017)

Para no cair no phishing nesse caso, seria preciso seguir recomendaes da


seo 2.3.2 e prestar ateno ao remetente, buscando garantir sua legitimidade,
alm de observar bem a URL do link, verificando se havia uma conexo segura
HTTPS na pgina que pedia por informaes sensveis do usurio. Tambm seria
recomendado desconfiar da urgncia do e-mail, pois ele d a entender que a conta
do usurio pode ser desabilitada justamente para causar medo e o indivduo no
procurar outros meios de resolver o problema.
53

5.4. Anlise dos resultados

A anlise feita a partir dos dados verificando quem cairia no phishing,


considerando os participantes que chegaram a fornecer suas informaes ou fazer o
download do arquivo em pelo menos 1 caso; e os que no cairiam em nenhum
deles. No entanto, no possvel diferenciar aqueles indivduos que responderam
conscientemente dos que no o fizeram e, por isso, todas as respostas sero
consideradas como vlidas.

5.4.1. Suscetibilidade ao phishing

Os resultados mostraram que 212 participantes no cairiam em nenhum dos


ataques de phishing, enquanto que 202 esto suscetveis a ele. Um resultado
bastante equilibrado que demonstra que os participantes demonstram ateno e
cautela frente aos casos de e-mail. Entretanto, no foi um nmero baixo o de
participantes suscetveis ao phishing.

Grfico 15: Suscetibilidade ao phishing

Fonte: Simone Cohen (2017)


54

5.4.2. Suscetibilidade a clicar nos links segundo o curso

Filtrando os resultados de clicar no link / digitar ou copiar a URL no


navegador e proceder com fazer login / fazer download do arquivo / preencher
com os dados, ou seja, que resultem em sucesso do phishing, por curso para cada
um dos casos, temos que o mais suscetvel deles, em dados brutos, o de
Engenharia da Computao, Grfico 16.

Grfico 16: Relao entre curso de graduao ou ps-graduao e


quantidade de respostas de sucesso para o phishing ao optar por clicar no link e
preencher com os dados / fazer login / fazer download do arquivo.

Fonte: Simone Cohen (2017)

No entanto, proporcionalmente, o curso de Sistema de Informao supera os


demais em 2 dos casos, o do Google Drive e do Netflix, como pode ser visto no
Grfico 17. Enquanto que o curso de Engenharia est, aproximadamente, 2,7%
frente do curso de Sistema de Informao no caso de Oportunidade de vagas.
55

Grfico 17: Relao proporcional entre curso de graduao ou ps-graduao


e quantidade de respostas de sucesso para o phishing ao optar por clicar no link e
preencher com os dados / fazer login / fazer download do arquivo.

Fonte: Simone Cohen (2017)

Nos grficos, o caso do Dropbox, por ser legtimo, exibido apenas para fins
comparativos.

5.4.3. Suscetibilidade a clicar nos links segundo o nvel


de experincia

O critrio de experincia foi mensurado segundo o perodo cursado pelo


participante. Assim, foram filtrados, por perodo, os dados relativos aos casos de
phishing nos quais os participantes clicaram no link. O Grfico 18 mostra o somatrio
de cliques, envolvendo os 3 casos de phishing, em que o ataque seria bem
sucedido, ou seja, se os dados fossem inseridos ou o arquivo baixado, totalizando
345 cliques (podendo ser contabilizado o mesmo participante mais de uma vez para
casos de e-mail distintos).
56

Grfico 18: Quantidade de cliques, por perodo, que resultariam no


fornecimento de dados ou no download do arquivo.

Fonte: Simone Cohen (2017)

Separando as respostas por perodo possvel perceber, em cada um dos


casos, que a quantidade de respostas tende a diminuir medida que aumenta o
perodo de graduao do participante. So pontos fora da curva o caso do 7-8
perodos no caso de Oportunidade de vagas e depois o 10 para o caso do
Netflix, em que cairiam no phishing mais do que participantes de perodos
passados.
57

Grfico 19: Relaes entre perodo de graduao ou ps-graduao e


quantidade de respostas de sucesso para o phishing.

Fonte: Simone Cohen (2017)

No entanto, foi constatado que os participantes da ps-graduao obtiveram


um grande nmero de respostas em dois dos casos, superando todos os perodos
da graduao, no caso do Google Drive, e todos os perodos a partir do 3-4, no
caso do Netflix. Isso pode implicar que, embora tenham sido um dos grupos mais
atentos extenso errada do arquivo do caso Oportunidade de vagas, talvez um
indicativo do seu desinteresse pelo contedo do e-mail, eles no foram
completamente capazes de distinguir os detalhes que caracterizavam os outros dois
casos (de Oportunidade de vagas e Netflix) como phishing, como, por exemplo, a
URL incorreta do ou a falta do cadeado de verificao de segurana.
Alm disso, interessante considerar que entre os participantes da
ps-graduao pode haver indivduos de graduaes fora da rea de Informtica, o
que pode ter aumentado o sucesso do phishing.
58

5.4.4. Relao entre digitar ou copiar a URL e cair no


phishing

A partir dos resultados obtidos, ficou perceptvel o baixo nvel de desconfiana


dos participantes por no se preocuparem em digitar ou copiar a URL no navegador,
como pode ser visto no Grfico 20, ao que poderia evitar a eficcia do phishing
nos casos como o do Netflix em que a URL possui erros de grafia
(http://netflx.com, sem o i) ou do Google Drive com a URL diferente da original
(http://drive.com, em contrapartida com o original https://drive.google.com),
indicando a ilegitimidade de ambos.
No possvel atestar se todos que clicaram no link conferiram a URL, mas,
dado o grande nmero de casos de phishing bem sucedido, podemos inferir que a
maioria, de fato, no deu ateno URL. Em contrapartida, os nmeros mostram, de
acordo com o Grfico 21, que os participantes que digitaram ou copiaram a URL
tiveram uma menor tendncia a cair no phishing, assim como a maioria deles
chegou a fazer login no Dropbox corretamente, pois o site era legtimo.

Grfico 20: Comparativo entre clicar no link e digitar ou copiar a URL no


navegador.

Fonte: Simone Cohen (2017)


59

Grfico 21: Comparativo entre inserir ou no os dados ao escolher a opo


digitar ou copiar a URL no navegador.

Fonte: Simone Cohen (2017)

Mas tambm, assim como no possvel afirmar se os que clicaram no link


conferiram a URL, no caso de digitar ou copiar a URL no navegador tambm no
possvel. Dados os casos mostrados no Grfico 21, vemos que mesmo assim ainda
houve casos de participantes que caram no phishing, o que pode significar que a
resposta no foi to consciente como esperado, e isso mostra a importncia de
validar tais respostas, como sugerido na seo 6.1.

5.5. Consideraes finais

Neste captulo foram apresentados os resultados da pesquisa que mostraram


um total de 48,8% dos participantes suscetveis ao phishing, quase metade da
amostra de respondentes, o que indica um alto nvel de alerta para um dos mais
comuns ataques cibernticos. Alm de mostrar, proporcionalmente que o curso de
Sistema de Informao o mais suscetvel entre os de graduao.
Os nmeros tambm mostram que a experincia adquirida ao longo da
graduao faz diminuir a suscetibilidade, no entanto, mostrando um nmero alto
para os participantes de ps-graduao. E, alm disso, foram poucos os que
60

optaram por digitar ou copiar a URL no navegador, o que mostra maior confiana
dos participantes em relao ao remetente dos e-mails.
No role play havia a possibilidade, em cada um dos casos, de responder o
e-mail e encaminhar o e-mail. Na primeira opo, podemos observar a escolha
dessa opo como uma forma de desconfiana e responder o e-mail poderia
significar que o indivduo desejava uma confirmao dele. J no caso de encaminhar
seria o contrrio, pois o indivduo confiou tanto naquele e-mail que, mesmo no
sendo de seu interesse, valeria a pena compartilhar com quem se interessasse mais,
o que, no caso de um phishing, significaria o aumento de seu alcance, pois pessoas
serviram de vetor para espalh-lo ainda mais.
Em um caso como o do Dropbox, de um e-mail legtimo, houve uma parcela
de respondentes que deletariam o e-mail. Seja por desinteresse ou desconfiana
dos participantes, esse caso pode ser exemplo de que manter o e-mail como
principal meio de comunicao seria uma falha de grandes empresas, pois, na
dvida sobre a legitimidade daquela comunicao, os indivduos tendem a procurar
outra forma de contato, como ocorreu no caso do Netflix, ou, simplesmente,
ignoram o contedo do e-mail.
O prximo captulo conclui esta pesquisa, mostrando as concluses tiradas
acerca dos resultados obtidos e possveis trabalhos futuros a serem realizados.
61

6. Consideraes finais

O objetivo deste trabalho foi realizar um experimento como forma de avaliar a


presena da segurana digital no contexto dos discentes do Centro de Informtica.
Ento, a partir disso, surgiu a proposta de fazer tal avaliao por meio de um dos
mais comuns, simples e abrangentes ataques cibernticos: o phishing.
Por questes ticas, no seria possvel realizar o ataque de forma direta.
Assim, por meio de um questionrio no muito extenso, com perguntas diretas
acerca de casos fictcios de e-mails, os alunos foram indagados sobre suas aes
diante de tais e-mails. Foram casos simples e com as principais caractersticas do
ataque sem muitas sofisticaes.
Os resultados se mostraram equilibrados, dos 414 respondentes, 212 no
caram em nenhum ataque, o equivalente a aproximadamente 51,2% dos
participantes, o que no necessariamente indica que no cairiam em outras
abordagens de phishing. Por outro lado, 202 podem ser considerados vtimas em
potencial de pelo menos um dos e-mails, sem considerar que um nico participante
poderia cair em mais de um e-mail, totalizando 345 casos de sucesso de phishing.
Para um ataque de to baixo custo e, geralmente, de to pouca sofisticao,
atingir nem que seja um indivduo j pode ser considerado um sucesso para o
atacante e possveis prejuzos para a vtima. Para o phishing tradicional no importa
o nmero de pessoas que no caram e sim aquelas que forneceram suas
informaes para o atacante, mesmo que mnimas. No caso do Centro de
Informtica, ressaltando que as pessoas ali dentro j lidam ou iro lidar em algum
momento com dados sensveis de terceiros, se considerarmos que 202 discentes
esto suscetveis a ataques de phishing, tambm consideramos que muitos dados
esto vulnerveis caso uma dessas pessoas caia em um phishing real. No somente
a suscetibilidade a um ataque pessoal, mas ser um instrumento de entrada para um
atacante com objetivos muito maiores.
A preocupao com a segurana digital no est somente em proteger uma
mquina contra acesso indevido, est em conhecer as portas de entrada, sabendo
que uma delas, e a mais visada, representada pelos prprios seres humanos.
62

Medidas de preveno como as citadas na seo 2.3.2, so apenas o incio e


evitam os casos mais simples do phishing. No entanto, para os mais elaborados
ataques, o que vale a experincia e um pouco de desconfiana. Como dito por
Schneir, citado na seo 2.1, damos muita credibilidade ao que lemos e, raramente,
procuramos confirmao. Em um caso como o do exemplo do Netflix, acessar a
conta para conferir a informao poderia evitar as consequncias futuras do ataque,
mas damos credibilidade em demasia e a urgncia nos faz agir rapida e
incorretamente.
No caso como o do Centro de Informtica, necessrio que haja
conscientizao e incluso de mais tpicos referentes segurana ao longo das
disciplinas para, desde o princpio, alertar os discentes do Centro, para faz-los criar
o interesse pelo tema e saberem se precaver de ataques, reduzindo, ento, a
porcentagem de discentes que se mostraram suscetveis ao ataque de phishing
neste trabalho.

6.1. Trabalhos futuros

Devido ao curto perodo de realizao deste trabalho, no foi possvel um


maior aprofundamento no assunto, como questionar a motivao de cada pessoa ao
decidir por uma das aes em cada caso de e-mail. O phishing muitas vezes explora
questes psicolgicas dos humanos, podendo apelar para a boa vontade, o
desespero, o medo, entre outros.
Por isso, em trabalhos futuros, poderiam ser avaliados esses quesitos a partir
de questionrios mais extensos e at entrevistas com questes tanto objetivas
quanto subjetivas, com grupos no aleatrios de participantes de forma a obter
resultados mais detalhados e com maior nvel de preciso, inclusive para
compreender melhor o modo de pensar de cada um dos participantes e os pontos
que os levaram a dado comportamento. Tambm poderiam ser dadas mais opes
de respostas para os participantes, mudando a abordagem de mltipla escolha para
caixas de seleo, fazendo com que o indivduo preenchesse com todas as suas
possveis aes diante do caso de e-mail mostrado no questionrio.
63

Alm disso, poderiam ser realizados treinamentos para aqueles que carem
no phishing para, posteriormente, reavaliar seu comportamento e verificar a eficcia
desse tipo de ao paliativa.
64

Apndice A - E-mail de convite


65

Apndice B - O questionrio
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82

Referncias

[1] [Infogrfico] Histria dos principais ataques de Phishing. Disponvel em:

<https://www.elpescador.com.br/blog/index.php/infografico-historia-dos-principa

is-ataques-de-phishing/>. Acesso em: 3 out. 2017.

[2] 20 Eye-Opening Cybercrime Statistics. Security Intelligence. Disponvel em:

<https://securityintelligence.com/20-eye-opening-cybercrime-statistics/>.

Acesso em: 11 nov. 2017.

[3] The Attack Cycle. Security Through Education. Disponvel em:

<https://www.social-engineer.org/framework/attack-vectors/attack-cycle/>.

Acesso em: 7 out. 2017.

[4] AVELLAR E DUARTE - CLAUDIA DUARTE. Internet no Brasil 2017

(estatsticas). Avellar e Duarte. Disponvel em:

<http://www.avellareduarte.com.br/fases-projetos/conceituacao/demandas-do-p

ublico/pesquisas-de-usuarios-atividades-2/dados-sobre-o-publico-alvo/internet-

no-brasil-2017-estatisticas/>. Acesso em: 1 out. 2017.

[5] Baixe o guia completo sobre ataques de phishing. El Pescador - Ebook.

Disponvel em: <https://www.elpescador.com.br/ebook/>. Acesso em: 1 out.

2017.

[6] BAUNFIRE.COM, SparkCMS by. APWG Phishing Attack Trends Reports.

APWG Reports | APWG. Disponvel em:

<https://www.antiphishing.org/resources/apwg-reports/>. Acesso em: 14 out.

2017.

[7] CERT.br Stats (janeiro a dezembro de 2016). CERT.br. Disponvel em:


83

<https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html>. Acesso

em: 1 out. 2017.

[8] CERT.BR. Cartilha de Segurana -- Golpes na Internet. Cartilha de Segurana

para Internet. Disponvel em: <https://cartilha.cert.br/golpes>. Acesso em: 4

nov. 2017.

[9] DARYA GUDKOVA, MARIA VERGELIS, NADEZHDA DEMIDOVA, TATYANA

SHCHERBAKOVA ON FEBRUARY 20, 2017. 10:57 AM. Spam and phishing

in 2016. Securelist - Information about Viruses, Hackers and Spam. Disponvel

em:

<https://securelist.com/kaspersky-security-bulletin-spam-and-phishing-in-2016/

77483/>. Acesso em: 4 nov. 2017.

[10] DARYA GUDKOVA, MARIA VERGELIS, NADEZHDA DEMIDOVA, TATYANA

SHCHERBAKOVA ON MAY 2, 2017. 8:57 AM. Spam and phishing in Q1

2017. Securelist - Information about Viruses, Hackers and Spam. Disponvel

em: <https://securelist.com/spam-and-phishing-in-q1-2017/78221/>. Acesso

em: 4 nov. 2017.

[11] DHAMIJA, Rachna; TYGAR, J. D. and HEARST, Marti. Why phishing works.

Proceedings of the SIGCHI conference on Human Factors in computing

systems - CHI '06, 2006.

[12] Digital in 2017: Global Overview. We Are Social. Disponvel em:

<https://wearesocial.com/special-reports/digital-in-2017-global-overview>.

Acesso em: 30 set. 2017.

[13] DOWNS, Julie S.; HOLBROOK, Mandy and CRANOR, Lorrie Faith. Behavioral

response to phishing risk. Proceedings of the anti-phishing working groups


84

2nd annual eCrime researchers summit on - eCrime '07, 2007.

[14] EDITOR, By: Sophos News. Disponvel em:

<https://news.sophos.com/en-us/2016/12/14/consumers-fear-a-cyberattack-ove

r-a-physical-attack-but-what-are-they-doing-about-it/>

Acesso em: 24 nov. 2017

[15] Estatsticas do CERT.br -- Incidentes. CERT.br. Disponvel em:

<https://www.cert.br/stats/incidentes/>. Acesso em: 4 nov. 2017.

[16] FELIX, Jerry; HAUCK, Chris. System Security: A Hacker's Perspective. 1987

Interex Proceedings. Acesso em: 14 nov. 2017.

[17] FINN, Peter and JAKOBSSON, Markus. Designing ethical phishing experiments.

IEEE Technology and Society Magazine, vol. 26, no. 1, p. 4658, 2007.

Acesso em: 1 out. 2017.

[18] GIDDENS, Anthony. The consequences of modernity. [s.l.]: Polity Press,

2015.

[19] HALDER, Debarati and JAISHANKAR, K. Cyber crime and the victimization of

women: laws, rights and regulations. [s.l.]: Information Science Reference,

2011.

[20] IBM's CEO on hackers: IBM Digital Nordic. Disponvel em:

<https://www.ibm.com/blogs/nordic-msp/ibms-ceo-on-hackers-cyber-crime-is-th

e-greatest-threat-to-every-company-in-the-world/>. Acesso em: 15 nov. 2017.

[21] JAGATIC, Tom N.; JOHNSON, Nathaniel A.; JAKOBSSON, Markus; et al. Social

phishing. Communications of the ACM, vol. 50, no. 10, p. 94100, 2007.

[22] KIZZA, Joseph Migga. Guide to Computer Network Security. [s.l.]:

Springer-Verlag, 2015.
85

[23] KOYUN, Arif; JANABI, Ehssan Al. Social engineering attacks. Journal of
multidisciplinary engineering science and technology (jmest)

[24] Language Log. Language Log: Phishing. Disponvel em:

<http://itre.cis.upenn.edu/myl/languagelog/archives/001477.html>. Acesso em:

7 out. 2017.

[25] OWASP. OWASP Top 10 2017. Disponvel em:

<https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Final.pdf>.

Acesso em: 23 nov. 2017.

[26] Phishing Activity Trend Report 2016 APWG. Disponvel em:

<https://docs.apwg.org/reports/apwg_trends_report_q4_2016.pdf>

Acesso em: 4 nov. 2017.

[27] Phishing Activity Trend Report H1 2017 APWG. Disponvel em:

<http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf>

Acesso em: 4 nov. 2017.

[28] PhishTank > What is phishing? (definition of phishing, with examples).

PhishTank - Out of the Net, Into the Tank. Disponvel em:

<https://www.phishtank.com/what_is_phishing.php>. Acesso em: 5 nov. 2017.

[29] REIS, Miguel and JOIA, Isabelle. Ataques de Engenharia Social: tudo que

voc precisa saber! PROOF. Disponvel em:

<http://www.proof.com.br/blog/ataques-de-engenharia-social/>.

Acesso em: 28 out. 2017.

[30] Schneier on Security. Blog. Disponvel em:

<https://www.schneier.com/crypto-gram/archives/2000/1015.html>. Acesso em:

21 out. 2017.
86

[31] SHENG, Steve; HOLBROOK, Mandy; KUMARAGURU, Ponnurangam; et al.

Who falls for phish? Proceedings of the 28th international conference on

Human factors in computing systems - CHI '10, 2010.

[32] SILVA, Edna Lcia Da; MENEZES, Estera Muszkat. Metodologia da pesquisa
e elaborao de dissertao/. 4 ed. Florianpolis: UFSC, 2005.

[33] SOCIAL-ENGINEER. 2017 Verizon DBIR Social Engineering Breakdown.

Social-Engineer.Com - Professional Social Engineering Training and Services.

Disponvel em:

<https://www.social-engineer.com/2017-verizon-dbir-social-engineering-breakd

own/>. Acesso em: 28 out. 2017.

[34] GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics |

Symantec Connect. Disponvel em:

<https://www.symantec.com/connect/articles/social-engineering-fundamentals-

part-i-hacker-tactics>. Acesso em: 28 out. 2017.

[35] TRAINING, Focus; OLSON, Chris; ROOSENRAAD, Chris; et al. The Secret

History of Cyber Crime. Information Security Buzz. Disponvel em:

<http://www.informationsecuritybuzz.com/articles/the-secret-history-of-cyber-cri

me/>. Acesso em: 18 out. 2017.

[36] UNION, International Telecommunication. Understanding cybercrime: A guide


for developing countries. [S.L.: s.n.], 2009.

[37] What is Information Technology (IT)? - Definition from WhatIs.com.

SearchDataCenter. Disponvel em:

<http://searchdatacenter.techtarget.com/definition/IT>.

Acesso em: 25 nov. 2017


87

[38] Where Does Cyber Crime Come From? History of Cyber Crime. Le VPN.

Disponvel em: <https://www.le-vpn.com/history-cyber-crime-origin-evolution/>.

Acesso em: 18 out. 2017.

[39] WOODWARD, Prof Alan. Viewpoint: How hackers exploit 'the seven deadly

sins'. BBC News. Disponvel em:

<http://www.bbc.com/news/technology-20717773>. Acesso em: 11 nov. 2017.

[40] ZETLIN, Minda. Highly Successful Netflix Scam Fools Even Sophisticated

Users--and Security Software. Inc.com. Disponvel em:

<https://www.inc.com/minda-zetlin/highly-successful-netflix-scam-fools-even-so

phisticated-users-and-security-software.html>. Acesso em: 11 nov. 2017.