Você está na página 1de 36

1

Avaliao da suscetibilidade dos


discentes de TI a ataques de phishing
Simone Campos Cohen
Orientador: Vinicius Cardoso Garcia
Agenda
2

Contexto
Introduo
Crimes cibernticos
Engenharia social
Phishing
Trabalhos relacionados
Metodologia
Questionrio
Resultados
Anlise dos resultados
Trabalhos futuros
Motivao
3

Em 2016, foram reportados


Cerca de 3,773 bilhes de
1.220.523 ataques de phishing,
pessoas tm acesso internet,
27,61% desse nmero somente
139 milhes apenas no Brasil
no Brasil
Motivao
4

Avaliao da suscetibilidade ao phishing


Behavioral response to phishing risk
Who falls for phish?
O questionrio
Resultados
Quanto maior o conhecimento sobre o contexto da
Internet, menor a probabilidade de cair no phishing
Mas o conhecimento sobre certos conceitos no reduz a
vulnerabilidade ao phishing
Quo suscetveis esto os integrantes da rea de TI?
Objetivos
5

Avaliar a suscetibilidade dos discentes de TI ao phishing


Suscetibilidade ao phishing
Suscetibilidade a clicar nos links segundo o curso
Suscetibilidade a clicar nos links segundo o nvel de
experincia, mensurado de acordo com o perodo cursado
pelo participante
Relao entre digitar ou copiar a URL e cair no phishing
Crimes cibernticos
6

De acordo com Halder e Jaishankar:


so ofensas cometidas contra indivduos ou grupos de
indivduos com o intito de, intencionalmente, ferir a
reputao da vtima, causar-lhe dano fsico ou mental, ou,
direta ou indiretamente, qualquer tipo de perda, atravs do
uso da rede de telecomunicaes
Os primeiros casos surgiram na dcada de 1960
At 2019, cerca de 2 trilhes de dlares de prejuzo
Crimes cibernticos
7

Nmero de incidentes reportados ao CERT.br em 2016

Figura 1
Crimes cibernticos
8

Cdigo da Conveno sobre Cibercrime assinado em 2011:


contra a Segurana da Informao, ou seja, integridade,
confidencialidade e disponibilidade de sistemas ou dados
relacionadas a computadores, como fraudes
relacionadas ao contedo, como, por exemplo, pornografia
infantil
relacionadas aos direitos autorais
Ondas dos ataques cibernticos
1 - ataques fsicos
2 - ataques sintticos
3 - ataques semnticos
Engenharia social
9

De acordo com Granger, a manipulao psicolgica da


tendncia humana natural de confiar
Ou ainda, de acordo com Woodward, qualquer estratgia
no-tcnica para se aproveitar dos aspectos humanos
conhecidos como os sete pecados capitais: curiosidade,
cortesia, credulidade, ganncia, irreflexo, timidez e apatia
Com o objetivo de:
ganhar acesso a um sistema ou a informaes de forma a
cometer fraudes, invases da rede, espionagem industrial,
roubo de identidade ou at uma perturbao a um sistema
ou rede internos
Engenharia social
10

Fases: Tipos comuns:


Baiting
Pretexting
Tailgating
Phishing

Figura 2
Phishing
11

Fishing + phreak
tido como qualquer tipo de golpe que faz uso da tecnologia
para obter informaes sensveis da vtima, com as finalidades
de roubo, extorso, sabotagem, espionagem ou at mltiplos
objetivos combinados
Tipos
tradicional
spear phishing
Phishing
12

Caractersticas
Cumprimento genrico
Links forjados
Pedidos por informaes pessoais
Urgncia
Principais estratgias de explorao
Falta de conhecimento
Iluso de tica
Falta de ateno
Phishing
13

Setores da indstria afetados em 2017, segundo a APWG

Figura 3
Phishing
14

Incidentes reportados no primeiro semestre de 2017

Figura 4
Phishing
15

Modalidades Preveno
Fraude de antecipao Verificar o remetente dos
de recursos (Advance e-mails
Verificar o link
fee fraud) Nunca passar informaes
Pharming pessoais por e-mail
Whaling Desconfiar da urgncia em
e-mails e SMS
Atendente impostor
Checar as regras de
Malware privacidade nas redes
sociais
Desconfiar de mensagens
de texto
Trabalhos relacionados
16

Behavioral response to phishing risk


Questionrio
Role play
Avaliao de URLs
Conceitos da Internet
Experincias passadas
Resultados
Conhecimento sobre phishing indicava menor
percentual de vulnerabilidade a ele
Trabalhos relacionados
17

Who falls for phish?


Questionrio
Role play
Treinamento
Resultados
Conhecimento prvio sobre phishing ajudava na
menor suscetibilidade do indivduo ao ataque
Questionrio
18

414 Participantes - 19,5% do total de alunos do CIn


Role play
4 questes
curso
perodo
frequncia de acesso ao e-mail
meio de acesso ao e-mail
5 casos de e-mail
Formulrios Google
Google Drive
Oportunidade de vagas
Dropbox
Netflix
19
20
21
22
23
Anlise dos resultados
24

Curso dos participantes

Grfico 1
Anlise dos resultados
25

Perodo dos participantes

Grfico 2
Anlise dos resultados
26

Frequncia de uso do e-mail

Grfico 3
Anlise dos resultados
27

Meio de acesso ao e-mail

Grfico 4
Anlise dos resultados
28

Suscetibilidade ao phishing

Grfico 5
Anlise dos resultados
29

Suscetibilidade a clicar nos links segundo o curso

Grfico 6
Anlise dos resultados
30

Suscetibilidade a clicar nos links segundo o nvel de


experincia

Grfico 7
Anlise dos resultados
31

Relao entre digitar ou copiar a URL e cair no phishing

Grfico 8
Anlise dos resultados
32

Relao entre digitar ou copiar a URL e cair no phishing

Grfico 9
Anlise dos resultados
33

Aproximadamente 48,8% dos


participantes caram no
phishing
345 casos de sucesso do
phishing
Validade das respostas
Preveno
Conscientizao
Educao
Alertas Grfico 10
Trabalhos Futuros
34

Anlise mais aprofundada a partir de questionrios mais


extensos e especficos, e entrevistas
Anlise psicolgica dado o comportamento diante de uma
resposta
Treinamentos e verificao de sua eficcia
35

Obrigada!
scc@cin.ufpe.br Simone Campos Cohen
vcg@cin.ufpe.br Vinicius Cardoso Garcia
36
Referncias
HALDER, Debarati and JAISHANKAR, K. Cyber crime and the victimization of women: laws,
rights and regulations. [s.l.]: Information Science Reference, 2011.
CERT.br Stats (janeiro a dezembro de 2016). CERT.br. Disponvel em:
<https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html>. Acesso em: 1 out. 2017.
UNION, International Telecommunication. Understanding cybercrime: A guide for developing countries. [S.L.:
s.n.], 2009.
Schneier on Security. Blog. Disponvel em: <https://www.schneier.com/crypto-gram/archives/2000/1015.html>.
Acesso em: 21 out. 2017.
DOWNS, Julie S.; HOLBROOK, Mandy and CRANOR, Lorrie Faith. Behavioral response to phishing risk.
Proceedings of the anti-phishing working groups 2nd annual eCrime researchers summit on - eCrime
'07, 2007.
SHENG, Steve; HOLBROOK, Mandy; KUMARAGURU, Ponnurangam; et al. Who falls for phish? Proceedings
of the 28th international conference on Human factors in computing systems - CHI '10, 2010.
GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics | Symantec Connect. Disponvel
em: <https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics>.
Acesso em: 28 out. 2017.
WOODWARD, Prof Alan. Viewpoint: How hackers exploit 'the seven deadly sins'. BBC News. Disponvel
em: <http://www.bbc.com/news/technology-20717773>. Acesso em: 11 nov. 2017.
Phishing Activity Trend Report H1 2017 APWG. Disponvel em:
<http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf> Acesso em: 4 nov. 2017.