1

Avaliação da suscetibilidade dos
discentes de TI a ataques de phishing
Simone Campos Cohen
Orientador: Vinicius Cardoso Garcia
Agenda
2

● Contexto
○ Introdução
○ Crimes cibernéticos
○ Engenharia social
○ Phishing
● Trabalhos relacionados
● Metodologia
○ Questionário
● Resultados
○ Análise dos resultados
○ Trabalhos futuros
Motivação
3

Em 2016, foram reportados
Cerca de 3,773 bilhões de
1.220.523 ataques de phishing,
pessoas têm acesso à internet,
27,61% desse número somente
139 milhões apenas no Brasil
no Brasil
Motivação
4

● Avaliação da suscetibilidade ao phishing
○ Behavioral response to phishing risk
○ Who falls for phish?
● O questionário
● Resultados
○ Quanto maior o conhecimento sobre o contexto da
Internet, menor a probabilidade de cair no phishing
○ Mas o conhecimento sobre certos conceitos não reduz a
vulnerabilidade ao phishing
● Quão suscetíveis estão os integrantes da área de TI?
Objetivos
5

● Avaliar a suscetibilidade dos discentes de TI ao phishing
○ Suscetibilidade ao phishing
○ Suscetibilidade a clicar nos links segundo o curso
○ Suscetibilidade a clicar nos links segundo o nível de
experiência, mensurado de acordo com o período cursado
pelo participante
○ Relação entre digitar ou copiar a URL e cair no phishing
Crimes cibernéticos
6

● De acordo com Halder e Jaishankar:
○ são ofensas cometidas contra indivíduos ou grupos de
indivíduos com o intúito de, intencionalmente, ferir a
reputação da vítima, causar-lhe dano físico ou mental, ou,
direta ou indiretamente, qualquer tipo de perda, através do
uso da rede de telecomunicações
● Os primeiros casos surgiram na década de 1960
● Até 2019, cerca de 2 trilhões de dólares de prejuízo
Crimes cibernéticos
7

● Número de incidentes reportados ao CERT.br em 2016

Figura 1
Crimes cibernéticos
8

● Código da Convenção sobre Cibercrime assinado em 2011:
○ contra a Segurança da Informação, ou seja, integridade,
confidencialidade e disponibilidade de sistemas ou dados
○ relacionadas a computadores, como fraudes
○ relacionadas ao conteúdo, como, por exemplo, pornografia
infantil
○ relacionadas aos direitos autorais
● Ondas dos ataques cibernéticos
○ 1ª - ataques físicos
○ 2ª - ataques sintáticos
○ 3ª - ataques semânticos
Engenharia social
9

● De acordo com Granger, é a manipulação psicológica da
tendência humana natural de confiar
● Ou ainda, de acordo com Woodward, qualquer estratégia
não-técnica para se aproveitar dos aspectos humanos
conhecidos como “os sete pecados capitais”: curiosidade,
cortesia, credulidade, ganância, irreflexão, timidez e apatia
● Com o objetivo de:
○ ganhar acesso a um sistema ou a informações de forma a
cometer fraudes, invasões da rede, espionagem industrial,
roubo de identidade ou até uma perturbação a um sistema
ou rede internos
Engenharia social
10

● Fases: ● Tipos comuns:
○ Baiting
○ Pretexting
○ Tailgating
○ Phishing

Figura 2
Phishing
11

● “Fishing” + “phreak”
● tido como qualquer tipo de golpe que faz uso da tecnologia
para obter informações sensíveis da vítima, com as finalidades
de roubo, extorsão, sabotagem, espionagem ou até múltiplos
objetivos combinados
● Tipos
○ tradicional
○ spear phishing
Phishing
12

● Características
○ Cumprimento genérico
○ Links forjados
○ Pedidos por informações pessoais
○ Urgência
● Principais estratégias de exploração
○ Falta de conhecimento
○ Ilusão de ótica
○ Falta de atenção
Phishing
13

● Setores da indústria afetados em 2017, segundo a APWG

Figura 3
Phishing
14

● Incidentes reportados no primeiro semestre de 2017

Figura 4
Phishing
15

● Modalidades ● Prevenção
○ Fraude de antecipação ○ Verificar o remetente dos
de recursos (Advance e-mails
○ Verificar o link
fee fraud) ○ Nunca passar informações
○ Pharming pessoais por e-mail
○ Whaling ○ Desconfiar da urgência em
e-mails e SMS
○ Atendente impostor
○ Checar as regras de
○ Malware privacidade nas redes
sociais
○ Desconfiar de mensagens
de texto
Trabalhos relacionados
16

● Behavioral response to phishing risk
○ Questionário
■ Role play
■ Avaliação de URLs
■ Conceitos da Internet
■ Experiências passadas
○ Resultados
■ Conhecimento sobre phishing indicava menor
percentual de vulnerabilidade a ele
Trabalhos relacionados
17

● Who falls for phish?
○ Questionário
■ Role play
■ Treinamento
○ Resultados
■ Conhecimento prévio sobre phishing ajudava na
menor suscetibilidade do indivíduo ao ataque
Questionário
18

● 414 Participantes - 19,5% do total de alunos do CIn
● Role play
○ 4 questões
■ curso
■ período
■ frequência de acesso ao e-mail
■ meio de acesso ao e-mail
○ 5 casos de e-mail
■ Formulários Google
■ Google Drive
■ Oportunidade de vagas
■ Dropbox
■ Netflix
19
20
21
22
23
Análise dos resultados
24

● Curso dos participantes

Gráfico 1
Análise dos resultados
25

● Período dos participantes

Gráfico 2
Análise dos resultados
26

● Frequência de uso do e-mail

Gráfico 3
Análise dos resultados
27

● Meio de acesso ao e-mail

Gráfico 4
Análise dos resultados
28

● Suscetibilidade ao phishing

Gráfico 5
Análise dos resultados
29

● Suscetibilidade a clicar nos links segundo o curso

Gráfico 6
Análise dos resultados
30

● Suscetibilidade a clicar nos links segundo o nível de
experiência

Gráfico 7
Análise dos resultados
31

● Relação entre digitar ou copiar a URL e cair no phishing

Gráfico 8
Análise dos resultados
32

● Relação entre digitar ou copiar a URL e cair no phishing

Gráfico 9
Análise dos resultados
33

● Aproximadamente 48,8% dos
participantes caíram no
phishing
● 345 casos de sucesso do
phishing
● Validade das respostas
● Prevenção
○ Conscientização
○ Educação
○ Alertas Gráfico 10
Trabalhos Futuros
34

● Análise mais aprofundada a partir de questionários mais
extensos e específicos, e entrevistas
● Análise psicológica dado o comportamento diante de uma
resposta
● Treinamentos e verificação de sua eficácia
35

Obrigada!
scc@cin.ufpe.br Simone Campos Cohen
vcg@cin.ufpe.br Vinicius Cardoso Garcia
36
Referências
● HALDER, Debarati and JAISHANKAR, K. Cyber crime and the victimization of women: laws,
rights and regulations. [s.l.]: Information Science Reference, 2011.
● CERT.br Stats (janeiro a dezembro de 2016). CERT.br. Disponível em:
<https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html>. Acesso em: 1 out. 2017.
● UNION, International Telecommunication. Understanding cybercrime: A guide for developing countries. [S.L.:
s.n.], 2009.
● Schneier on Security. Blog. Disponível em: <https://www.schneier.com/crypto-gram/archives/2000/1015.html>.
Acesso em: 21 out. 2017.
● DOWNS, Julie S.; HOLBROOK, Mandy and CRANOR, Lorrie Faith. Behavioral response to phishing risk.
Proceedings of the anti-phishing working groups 2nd annual eCrime researchers summit on - eCrime
'07, 2007.
● SHENG, Steve; HOLBROOK, Mandy; KUMARAGURU, Ponnurangam; et al. Who falls for phish? Proceedings
of the 28th international conference on Human factors in computing systems - CHI '10, 2010.
● GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics | Symantec Connect. Disponível
em: <https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics>.
Acesso em: 28 out. 2017.
● WOODWARD, Prof Alan. Viewpoint: How hackers exploit 'the seven deadly sins'. BBC News. Disponível
em: <http://www.bbc.com/news/technology-20717773>. Acesso em: 11 nov. 2017.
● Phishing Activity Trend Report H1 2017 APWG. Disponível em:
<http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf> Acesso em: 4 nov. 2017.