VITORIA DRIELE DE JESUS PIRES

CRIMES VIRTUAIS

São Paulo
2021
VITORIA DRIELE DE JESUS PIRES

CRIMES VIRTUAIS

Trabalho de Conclusão de Curso

apresentado à Anhanguera, como
requisito parcial para a obtenção do título
de graduado em direito.

Orientador: Marina Bravo

São Paulo
2021
VITORIA DRIELE DE JESUS PIRES

CRIMES VIRTUAIS

Trabalho de Conclusão de Curso apresentado

à Anhanguera como requisito parcial para a
obtenção do título de graduado em direito.

BANCA EXAMINADORA

Prof(a). Titulação Nome do Professor(a)

Prof(a). Titulação Nome do Professor(a)

Prof(a). Titulação Nome do Professor(a)

São Paulo, _____ de junho de 2021.

Pires, Vitoria Driele de jesus. Crimes virtuais. 2021. 47 folhas. Trabalho de
Conclusão de Curso (Direito) – Anhanguera, São Paulo, 2021.

RESUMO

O objetivo do trabalho é analisar através de revisão bibliográfica os crimes

virtuais.Os navegadores da Web são ferramentas importantes na maioria dos crimes
cometidos no ambiente virtual. Os suspeitos podem usar o modo privativo para
coletar, espionar ou falsificar informações sem autorização dos usuários. Baseado
nisso as evidências obtidas a partir do uso do navegador da Web é um componente-
chave do perito forense.Tratou-se de revisão da literatura, baseando-se na busca de
artigos publicados entres 2013 a 2020. As bases de dados utilizadas serão: SCIELO
(Scientific Electronic Library Online); Google academico.

Palavras-chave: Crimes virtuais; Softwares, Direito.

PIRES, Vitoria Driele de Jesus. Crimes virtuais. 2021. 47 folhas. Trabalho de
Conclusão de Curso (Direito) – Anhanguera, São Paulo, 2021.

ABSTRACT

The objective of the work is to analyze through bibliographic review the virtuais
crimes. Web browsers are important tools in most crimes committed in the virtual
environment. Suspects can use private mode to collect, spy on or falsify information
without authorization from users. Based on this, the evidence obtained from the use
of the Web browser is a key component of the forensic expert. It was a literature
review, based on the search for articles published between 2013 and 2020. The
databases used will be: SCIELO (Scientific Electronic Library Online); Academic
Google.

Keywords: Virtuais crimes; Softwares, Law.

 SUMÁRIO

1. INTRODUÇÃO..........................................................................................................7
2. CRIMES VIRTUAIS E SUA HISTÓRIA..................................................................10
2.1. PRINCIPAIS CRIMES VIRTUAIS........................................................................15
2.1.1. O crime de bullying por meio da internet..........................................................18
3. DIREITO DIGITAL..................................................................................................21
4. CRIMES VIRTUAIS E O DIREITO HODIERNO.....................................................29
4.1. SEGURANÇA DA INFORMAÇÃO.......................................................................32
5. CONSIDERAÇÕES FINAIS...................................................................................44
REFERÊNCIAS...........................................................................................................45
 7

1. INTRODUÇÃO

A internet foi criada por militares durante a guerra fria, com o objetivo de criar
uma rede de comunicação para troca de informações. Posteriormente, na década de
1970, tornou-se importante também no meio acadêmico, pela troca de
conhecimentos. Na década de 1990, após a comunicação pela internet tornar-se
bem-sucedida no exterior, o Brasil teve seu marco histórico, por meio de um
procedimento acadêmico que trouxe a internet, com o objetivo de ligar as conexões
das redes universitárias e centro de pesquisas, após conectar também, os domínios
federais e estaduais.
O que era um meio de comunicação para fins acadêmicos, troca de
informações limitadas, acabou sendo ampliado pela Embratel e os Ministérios de
Comunicações e de Ciência e Tecnologia para fins comerciais e para os setores
privados. Hoje em dia, os usuários da internet, já não são os mesmos da década de
1970, pois para a prática de delitos virtuais atualmente, não é mais necessário que o
usuário tenha conhecimento aprofundado em informática e tecnologia, basta
apenas, ter acesso a internet.
Por esse ângulo, o navegador web é uma plataforma que permite aos
usuários o acesso, compartilhamento e todas as demais atividades realizadas pela
internet. No entanto, com a procura crescente pela privacidade on line, os
navegadores oferecem serviço de modo privativo para impedir que dados
pesquisados sejam armazenados. Atualmente os principais navegadores são
Mozilla, Internet Explorer e Google Chrome, e neles é possível navegar no modo
privativo sem deixar vestígios em seus computadores.
Os navegadores da Web são ferramentas importantes na maioria dos crimes
cometidos no ambiente virtual. Os suspeitos podem usar o modo privativo para
coletar, espionar ou falsificar informações sem autorização dos usuários. Baseado
nisso as evidências obtidas a partir do uso do navegador da Web é um componente-
chave do perito forense.
O objetivo do trabalho é analisar através de revisão bibliográfica os crimes
virtuais.
 8

Tratou-se de revisão da literatura, baseando-se na busca de artigos

publicados entres 2013 a 2020. As bases de dados utilizadas serão: SCIELO
(Scientific Electronic Library Online); Google acadêmico. Os descritores utilizados
para a busca foram: Crimes virtuais; Softwares, Direito. Os critérios de inclusão
utilizados serão: artigos que respondessem à questão de metodologia de projeto, e
os critérios de exclusão foram: editoriais, artigos de revisão da literatura e artigos
que não respondessem à questão de outras metodologias proposto por este estudo.
Assim como o estudioso Andrade (2013) mostra que a pesquisa é o conjunto
de procedimentos sistemáticos, baseado no raciocínio lógico, que tem por objetivo
encontrar soluções para problemas propostos, mediante a utilização de métodos
científicos. Segundo Ferrão (2013) quanto aos objetivos, à pesquisa divide-se em
exploratória, descritiva e explicativa. Analisando os objetivos da pesquisa serão
utilizadas as pesquisas exploratórias e descritivas.
A pesquisa pode ser classificada sob três aspectos: quanto aos objetivos,
quanto à abordagem do problema e quanto aos procedimentos. No tocante aos seus
objetivos, a pesquisa que gerou este texto caracterizou-se como sendo de natureza
exploratória e descritiva. As pesquisas exploratórias têm por fim “[...] mostrar mais
contexto com o problema, tornando o assim mais explícito ou construindo hipóteses,
sendo assim estas pesquisas têm como o grande objetivo aprimorar as ideias.” (GIL,
2018 p. 45).
O tipo do estudo é uma revisão bibliográfica, pesquisas do tipo tem o objetivo
primordial à exposição dos atributos de determinado fenômeno ou afirmação entre
suas variáveis (GIL, 2018). Assim, recomenda-se que apresente características do
tipo: analisar a atmosfera como fonte direta dos dados e o pesquisador como um
instrumento interruptor; não agenciar o uso de artifícios e métodos estatísticos,
tendo como apreensão maior a interpretação de fenômenos e a imputação de
resultados, o método deve ser o foco principal para a abordagem e não o resultado
ou o fruto, a apreciação dos dados deve ser atingida de forma intuitiva e
indutivamente através do pesquisador (GIL, 2018).
Quanto à abordagem do estudo, tendo em consideração os objetivos
definidos, considerou-se mais adequada a adoção de uma metodologia qualitativa.
Conforme Richardson (2019), mostra que vários estudos os quais empregam assim
 9

uma metodologia qualitativa “[...] podem descrever a complexidade de determinado

problema, analisar a interação de certas variáveis, compreender e classificar
processos dinâmicos vividos por grupos sociais.”
Segundo Ferrão (2013) mostra que são considerados documentos: os livros,
revistas, jornais, Internet, anuários, estatísticos, monografias, mapas, documentos
audiovisuais, entre outras fontes, que contém informações fundamentais sobre a
proposta do trabalho. As possibilidades de tratamento e análise dos dados depois de
coletados, os dados serão analisados e interpretados.
 10

2. CRIMES VIRTUAIS E SUA HISTÓRIA

O termo infração pode se referir a um crime, a um delito ou a uma

contravenção, sendo o primeiro de maior gravidade, reprovado pelas normas penais,
como também pela sociedade. O crime é o ato praticado por um indivíduo cujos
pressupostos são representados por um fato antijurídico e um fato típico (DAMÁSIO,
2018).
Em relação ao fato antijurídico, este se apresenta contrário às normas legais.
O fato típico caracteriza-se pelo comportamento humano, podendo ser representado
por uma ação ou omissão, resguardando-se o que está previsto em lei penal. No
entanto, se não ocorrer os dois fatos simultaneamente o crime não poderá ser
caracterizado. Então, se o fato se enquadrar em causa de exclusão de
antijuricidade, ocorre o fato típico, porém não acontece o fato antijurídico
(DAMÁSIO, 2018; CAPEZ, 2013).
A culpa do crime é a reprovação do direito jurídico sobre o comportamento
típico e antijurídico do sujeito, o qual tinha a responsabilidade de cumprir o
ordenamento jurídico, mas não o fez, contrariando a lei (DAMÁSIO, 2018; CAPEZ,
2013). Para se detectar a culpa de um sujeito se deve, à priori buscar evidências e
provas para poder acusar alguém. É nesse momento que entra a ação da
Inteligência Policial.
Shafqat (2016), ao citar uma investigação forense no trabalho intitulado
Investigação forense da atividade da Web do usuário no Google Chrome usando
várias ferramentas forenses informou que a pesquisa foi realizada na HP Laptop
Pavilion executando o Windows 8.
Nesse sentido, o Chrome 40 foi instalado no PC, tendo em vista experimentar
a regularidade do modo privado de operação, investigando o uso do Chrome por
mais de uma semana. Decorrido esse tempo, é possível identificar que foi acessado
uma quantidade abundante de informação, permitindo que fosse realizada a análise
forense (AYERS; BROTHERS; JANSEN, 2014).
Como metodologia de investigação forense, para a análise de modo portátil,
foi instalado o Goggle Chrome Aplicativo Portátil em USB e o experimento foi
repetido. Para que essa metodologia de investigação surta o efeito desejado irá
 11

depender do sistema operacional instalado no PC da pessoa investigada, do

navegador da web sob investigação, dentre outros. (SHAFQAT, 2016).
Shafqat (2016), sugere que uma maneira de analisar o navegador forense é
tirar a imagem do disco rígido, selecionando algumas palavras-chave de pesquisa
do usuário no arquivo do histórico, usando a opção FTK Live Search para pesquisá-
las na unidade de imagem.
Por esse ângulo, os dados podem então ser autenticada usando CRC
(verificação de redundância cíclica), SHA-1 (Secure Hash Algorithm) ou MD-5
(Message Algoritmo Digest). A segunda abordagem para análise forense de
navegador é abrir cada arquivo presente na pasta Chrome padrão e analisá-lo
separadamente para evidências de internet usando vários forense ferramentas e
técnicas. Em seguida, valide todos os resultados com ferramentas alternativas de
código aberto também, se softwares proprietários não foram utilizados no inquérito.
(SHAFQAT, 2016, p. 124).
Conforme Shafqat (2016), para que a equipe forense encontre os dados
incriminadores é preciso identificar, pesquisar e analisar os dados encontrados.
Portanto, caberá ao perito selecionar os vestígios, mantendo suas características,
pois alguns somente poderão ser examinados no laboratório. Tendo em vista
armazenar os vestígios, Farias (2017) orienta o uso de embalagem e recipientes
especiais e específicos para cada tipo encontrado.
Pesquisa de Ghafarian; Seno (2015), relatou que a captura RAM Redline é
chamada Coletor, o qual pode ser personalizado com base no tipo de investigação.
Nessa pesquisa, o interesse foi identificar os processos que o sistema operacional
criou para os navegadores. Nesse sentido, usando o recurso Memoryze é possível
estabelecer uma interface gráfica, incorporado em Redline.
Para que as informações fossem visualizadas, foi usado o WinHex.
Outrossim, foram usados cinco laptops de 64 bits executando o Windows 7, SP;
quatro laptops suspeitos e o quinto serviu como estação de trabalho forense. Nesse
último foi instalado a ferramenta de análise de memória da Redline, Memória de
software.
Ghafarian; Seno (2015, p. 4), asseveram que para simplificar análise,
desativamos o modo de extensão de endereço físico em Linha Vermelha. Nós
 12

rodamos o Redline, criamos o software de captura de RAM chamado Coletor e

salvou em um flash drive apagado. Então nós seguimos os passos abaixo:
1. Criamos uma máquina virtual de linha de base, ou seja, VMware 10
estações de trabalho (VM) em todas as quatro máquinas suspeitas. As
máquinas virtuais também estavam executando o Windows 7, SP;
2. Para tornar a extração de dados menos complicada, desinstalou todos os
navegadores da Web atualmente instalados as máquinas suspeitas, limpou
todos os cookies, cache, histórico, favoritos, etc .
3. Em cada máquina suspeita 'VM, instalamos um navegador de Internet
específico. Os navegadores da web instalados foram Firefox, Microsoft
Internet Explorer, Google Chrome Incognito (o termo usado pelo Google
para o modo de navegação privada) e Safari. Então, nós configuramos os
navegadores como o navegador padrão com extensões e plug-ins
desativados.
4. Para esta experiência, definimos uma sessão de navegação
5. Na máquina de cada suspeito, realizamos sessão de navegação,
conforme descrito no passo 4 acima.
6. O passo 5 foi repetido para todos os outros suspeitos máquinas.
7. Para fins de comparação, repetimos os passos 5 e 6 acima, mas desta
vez deixamos os navegadores da web abertos depois de uma sessão de
navegação terminada.
8. Para a parte de análise de memória, anexamos o disco rígido externo que
tinha memória Redline instalado na estação de trabalho forense. Nós
configurado Redline para recuperar apenas a navegação relacionada
informações e processos.
9. O passo 8 foi repetido para os outros três suspeitos arquivos RAM
capturados pelas máquinas. Acima de tudo, tivemos quatro arquivos
capturados de RAM para os casos em que os navegadores foram fechados
após cada sessão de navegação e quatro arquivos capturados de memória
para os casos em que os navegadores foram deixados abertos. do total de
arquivos de memória capturados eram oito.

Ao analisar um crime cibernético, é necessário identificar se é mesmo um

crime virtual ou não, identificar o bem jurídico atingido e posteriormente aplicar o tipo
penal correspondente em nosso Código Penal, pois segundo Fragoso (2013, p. 5): a
Classificação dos crimes na parte especial do código é questão ativa, e é feita com
base no bem jurídico tutelado pela lei penal, ou seja, a objetividade jurídica dos
vários delitos ou das diversas classes de intenções (KOLLING, 2015).
São diversas as classificações de crimes virtuais: atos dirigidos contra um
sistema de informática, tendo como subespécies atos contra o computador e atos
contra os dados ou programas de computador. Atos cometidos por intermédio de um
sistema de informática e dentro deles incluídos infrações contra o patrimônio; as
infrações contra a liberdade individual e as infrações contra a propriedade imaterial.
(IVETE; SENISE; FERREIRA, 2015, p. 261).
 13

Há uma grande discussão sobre os crimes virtuais, se são uma nova

modalidade de crime ou apenas meios para atingir os crimes reais, já existentes em
nosso ordenamento jurídico. Nesse sentindo, Pinheiro dispõe: a lei penal é
elaborada para viger dentro dos limites em que o Estado exerce a sua soberania.
Porém, a maior dificuldade é determinar onde aconteceu a conduta ilícita na Internet,
pois ela não tem lugar fixo, não é física e também é atemporal. Daí a necessidade
de adaptações legais, no que diz respeito por exemplo ao local do cometimento do
delito, que há de ser o mesmo onde se encontra o bem, ou pelo menos onde
acreditamos que deva se encontrar (uma vez que a virtualização dos dados não
deixa de ser uma simulação). (PINHEIRO, 2019, p. 30)
Os crimes virtuais são considerados crimes meios, para realização de crimes
fins, pois sua natureza se encontra em ambiente virtual somente, salvo em crimes
cometidos por hackers, pois o comportamento pode ser virtual, no entanto, o crime
pode não estar somente em ambiente virtual, como também pode se materializar,
por exemplo, estelionato; falsificação ideológica, fraude entre outros.
Em 2012, a Lei nº 12.735 e a Lei nº 12.737, ambas do mesmo ano, foram
editadas para nortearem o direito da informática, pois tipificam as condutas mediante
o sistema eletrônico, dando suporte para as legislações posteriores do ordenamento
jurídico brasileiro, ressaltando inclusive, determinações para estruturar setores e
equipes especializadas no combate dos delitos virtuais, criando um sistema jurídico
especializado no assunto. E ainda, editou e tipificou os principais delitos virtuais,
suas condutas, sanções e o procedimento da ação penal, competindo ao Direito
Penal, a obrigação de prevenir e punir efetivamente as condutas lesivas e os novos
bens e valores jurídicos, nos ditames da Constituição (BRASIL, 2012).
Todas as iniciativas tomadas até o presente momento, não foram suficientes
para coibir as práticas de crimes cibernéticos, gerando uma discussão em torno do
Marco Civil da Internet, instituto este que contém os princípios que guiarão o uso
correto da internet no Brasil, além de direcionar o Poder Público a buscar o
desenvolvimento benéfico e útil da internet e isso refletirá em âmbito cível e criminal.
Segundo a empresa Symantec, em 2012, especializada em segurança da internet,
em pesquisa feita em 2014, 54 pessoas são vítimas de crimes na internet por
 14

minuto. Grande parte dos crimes são cometidos contra o patrimônio, contra a honra
e à liberdade individual (KOLLING, 2015).
Apesar da rede de computadores ser um campo fértil para a criminalidade,
somente com a exposição de uma celebridade fez com que o Congresso Nacional
acordasse para a urgência de aprovar leis proteção contra os hackers.
Citando o famoso caso, em maio de 2012, da atriz Carolina Dickmann, a lei
12.737 de 30 de novembro de 2012, tipificou o crime contra ela cometido como
“invasão de dispositivo de informática alheio, pena de reclusão de três meses a um
ano e multa”, o termo dispositivo informático, foi usado para que sempre fique
atualizado, inclusive não taxando os dispositivos, para abranger a todos os meios
informáticos, os já existentes e os que ainda virão a existir. No entanto, o acusado
respondeu por extorsão e injúria, previsto no Código Penal, pois ainda não havia a
tipificação como devassa do computador, uma vez que a informática foi o meio
usado para o crime, o entendimento foi de que por envolver pessoa famosa, a
repercussão foi grande e o dano causado muito maior, o que reflete numa eventual
condenação por danos morais (BRASIL, 2012).
Contudo, essa segurança da informação pode estar expondo as pessoas a
crimes e outros tipos de ameaças, como também violações de direitos, causando
danos à sociedade. Portanto, se faz necessidade precípua proteger os sistemas da
internet no sentido de evitar a manipulação de forma intencional ou não de
informações confidenciais e dos dispositivos periféricos do computador por
elementos não autorizados (SOARES; LEMOS; COLCHER, 2015).
Kolling (2015), assevera que existem possíveis ameaças à segurança dos
sistemas da internet, se destacando os vírus, que são programas usados com
finalidades maliciosas, com capacidade para tanto apagar, quanto alterar os
arquivos dos usuários, prejudicando o funcionamento do sistema operacional.
Dentre os vírus, se caracterizam o de macro, feitos na linguagem dos macros,
funcionando dentro dos programas a que se associam. Ao abri um arquivo infectado
por um vírus este automaticamente será ativado, podendo gravar arquivos que
substituem partes dos comandos normais do programa.
Os outros vírus (Boot; Arquivo; de Programa e o Cavalo de Tróia), infectam a
máquina do computador, arquivos, podendo alterar o arquivo original, levando-o até
 15

a memória Random Access Memory – RAM, anteriormente ao arquivo original e

correto. Alecrim (2013), assevera que o keylogger é usado para capturar tudo que é
digitado pelo usuário, podendo conseguir as senhas de contas.
Nessa mesma acepção, o backdoor, causa uma falha na segurança,
conhecida como porta dos fundos, permitindo, por meio de um programa, a invasão
do sistema operacional a partir de um cracker neste, obtendo acesso incondicional à
máquina do computador, instalando vírus e programas maliciosos. (KOLLING,
2015).
Ao discutir acerca do direito penal, Marques (apud DAMÁSIO, 2018) o define
como o conjunto de normas interligadas a um fato criminal, tendo como
consequência a pena. Assim, o direito penal é responsável por disciplinar as
relações jurídicas, objetivando estabelecer e aplicar as medidas de segurança e a
tutela do direito de liberdade, observando-se, neste aspecto, o poder do Estado em
punir. Nesse mesmo sentido, Nucci, (2018, p. 57) afirma que o direito penal “é o
conjunto de normas jurídicas voltadas à fixação dos limites do poder punitivo do
Estado, instituindo infrações penais e sanções correspondentes, bem como regras
atinentes à sua aplicação”.

2.1. PRINCIPAIS CRIMES VIRTUAIS

Embora a Engenharia Social frequentemente dependa de um ataque

direcionado e específico, eles se enquadram em algumas táticas comuns. Estes são
os tipos de ataques de engenharia social que todos os funcionários devem estar
cientes (MARCIANO, 2016).
Semelhante à isca, a técnica quid pro quo se baseia em uma troca, no
entanto, isso também envolve um elemento de falsa personificação. Segundo
Peixoto (2016) um dos tipos mais comuns de quid pro quo envolve um criminoso se
passando por um funcionário de serviço de TI.  Enviar spam para tantos números
diretos que pertençam à empresa que desejam atingir.  O invasor oferecerá
assistência de TI a todas as vítimas; assim que a vítima concordar, será solicitado
que desabilitem o programa antivírus. Isso ocorre para que o “assistente de TI”
 16

agora tenha acesso administrativo para instalar qualquer software malicioso de sua
escolha, como mostra a figura abaixo (SILVA; COSTA, 2019).
Phishing é talvez o crime cibernético mais conhecido, mas na verdade está se
tornando cada vez mais bem-sucedido. Phishing é o uso de e-mail para fazer com
que um alvo insira suas informações privadas ou clique em um link que os expõe a
malware. Os números de 2018 mostram que 30% dos e-mails de phishing foram
abertos pelo alvo pretendido e 12% dos usuários continuaram a clicar em anexos
maliciosos que permitiram aos atacantes a oportunidade de violar uma organização
(SILVA; COSTA, 2019). 
A eficácia dessa tática de engenharia social depende de o criminoso
pesquisar seus alvos que desejam personificar ou atacar. Segundo Alexandria
(2019) os constantes avanços do phishing são um dos muitos motivos pelos quais
eles ainda são bem-sucedidos e continuarão a ser até que todos saibam como
identificá-los. Os sinais de alerta típicos para ataques de phishing serão um e-mail
com um link suspeito, um e-mail procurando informações bancárias ou de login, um
e-mail de um 'funcionário' que você não conhece. Saber os sinais indicadores e
sinalizar e-mails suspeitos o mais rápido possível ajudará a reduzir o risco imediato
para a empresa.
Este é um método mais incomum de engenharia social, que envolve um site
legítimo ou conhecido o poço de água. O criminoso escolherá primeiro seus alvos,
como funcionários da empresa que deseja atacar. Em seguida, eles determinam
quais sites esses funcionários visitam com frequência, o "poço" visitado pelos
funcionários visados. O hacker infectará o 'watering hole' com malware. Este código
irá redirecionar o alvo escolhido para um site separado, onde o malware está sendo
hospedado, o site comprometido agora está pronto para infectar os alvos com
malware em seu acesso (BEAL, 2015).  
Pretexting é talvez o 'truque de confiança' mais flagrante da Engenharia
Social. É uma forma de falsificação de identidade que depende da falta de
habilidade do usuário final em distinguir se é uma fonte legítima. Isso geralmente
assume a forma de falsificação de identidade por telefone, em que um agente
malicioso pode, por exemplo, fingir ser um cliente que requer acesso às informações
privadas do usuário final (MANDARINI, 2015).
 17

Utilizar uma identidade falsa tornou-se muito mais fácil para esses atores
maliciosos com o advento de mais meios de comunicação digitais, e fica mais difícil
reconhecer um perfil social legítimo, chamador ou endereço de e-mail. Segundo
Marciano (2016) mostra que, portanto, é sempre importante verificar se você sabe
com quem está se comunicando antes de enviar qualquer informação sensível.
O problema da Engenharia Social (SE) está evoluindo há poucos anos a um
ritmo incrível. Até o final do século passado, o SE era uma forma avançada, mas de
nicho, de atacar sistemas dedicados; hoje é uma metodologia dominante em crimes
cibernéticos e terrorismo cibernético. O nível de complexidade dos ataques,
explorando o elemento humano, é incrivelmente alto e muitas vezes a camada
humana é o habilitador dos seguintes ataques tecnológicos (PEIXOTO, 2016). 
Como um exemplo explicativo, considere o ataque Pawn Storm, um dos
Grupos do Crime Organizado (OCG) para explorar melhor a camada de segurança
humana. Há alguns anos nossa equipe na Cefriel, explora o papel e a evolução do
SE nos ataques, para encontrar algumas soluções para medir, mitigar e “corrigir” a
camada humana de segurança (SANTOS, 2014).
Hoje, apenas cerca de 3% do malware tenta explorar uma falha
exclusivamente técnica. Os outros 97% visam, em vez dos usuários, por meio da
Engenharia Social (SE) (fonte KnowBe4), ou seja, uma abordagem em que os
invasores usam humanos como canais para atingir seu alvo. As tentativas de
hackear se concentram cada vez mais nas vulnerabilidades humanas de um sistema
de elaboração de informações, em vez de falhas no software ou hardware (SILVA;
COSTA, 2019). 
As estimativas percentuais exatas podem variar de estudo para estudo, mas a
maioria dos ataques cibernéticos de hoje são projetados para tirar proveito dos erros
humanos e apenas mais adiante no processo de infecção de falhas de hardware ou
software. De acordo com o Human Factor Report 2018 da ProofPoint (uma empresa
líder em segurança cibernética), “ as vulnerabilidades humanas são mais perigosas
para as organizações modernas do que as falhas de software ” (ALEXANDRIA,
2019).
Esta praga atinge igualmente todos os setores, e todos são igualmente
vulneráveis. Ataques direcionados (ATs) estão entre aqueles que exploram de forma
 18

eficiente as técnicas de SE para facilitar violações de dados e explorações em

geral. Os ATs não são os mais usados, mas são os mais bem-sucedidos, pois têm a
maior probabilidade de levar a violações de dados em hospitais, órgãos públicos e,
em geral, qualquer setor comercial (BEAL, 2015). 

2.1.1. O crime de bullying por meio da internet

O bullying pode ser classificado como físico (o mais perceptível), verbal,

social e relacional, podendo se apresentar, também, sob a forma de cyberbullying.
Beane assevera que (2015), o autor do bullying físico é o responsável por:
bater, dar tapas, cotoveladas e empurrões com os ombros. Empurrar, forçar
com o corpo, colocar o pé na frente. Chutar. Tomar, roubar, danificar ou
desfigurar pertences. Restringir. Beliscar. Enfiar a cabeça da outra criança
no vaso sanitário. Enfiar outra criança no armário. Atacar com comida,
cuspe, e assim por diante. Ameaças e linguagem corporal intimidadora.
(BEANE, 2015, p. 19-20)
A prática dessa violência citada anteriormente: bater, chutar, empurrar é um
problema que vem tendo cada vez mais espaço nas escolas. Para confrontar essa
prática violenta, o bullying, as escolas necessitam estar munidas de novas
estratégias, metodologias, práticas pedagógicas para resgatar o respeito as
diferenças, evidenciando o respeito e promovendo bem-estar psicossocial do
ambiente escolar, incentivando a aceitação das diferenças (MASCARENHAS, 2016).
O bullying verbal acontece por meio do uso de apelidos ofensivos, insultos e
humilhações, ameaças, comentários racistas, assédio moral e intimidação. No que
diz respeito ao bullying social e relacional, Beane (2015) observa que se relaciona
às seguintes situações:
destruir e manipular relacionamentos (por exemplo, jogando melhores
amigos um contra o outro. Destruir reputações (fofocar, espalhar rumores
maliciosos e cruéis e mentir sobre outras crianças). Excluir o indivíduo de
um grupo (rejeição social, isolamento). Constrangimento e humilhação.
Linguagem corporal negativa, gestos ameaçadores. Pichação ou bilhetes
com mensagens ofensivas. Cyberbullying (feito em páginas na web, e-mail,
mensagens de texto e assim por diante). (BEANE, 2015, p.22).
Baseado na afirmação anterior, o bullying é uma relação em que sujeitos
diferentes podem desvalorizar ou negar a identidade do outro. Onde o bullying por
vezes, assume um papel de preconceito bem definido entre as relações sociais.
Todo e qualquer sujeito pode adequar-se aos estereótipos culturais da sociedade e
 19

modificar da forma que prefere, ainda que sejam poucos que tenham a
conscientização destas diferenças e multiplicidades sociais que constituem uma
sociedade.
O Cyberbullying dentre algumas definições tem como explicação que
compreende como um conjunto de atitudes agressivas, repetitivas e intencionais que
acontecem sem motivo evidente, originado por um ou vários indivíduos promovendo
dor e angústia no meio de um convívio desigual de poder, como insultos, situações
que causam intimidações, apelidos cruéis que causam coação, acusações injustas e
sarcásticas por meio da internet. Situações de hostilização ridicularizam e magoam
intensamente a vida de quem sofre o cyberbullying. Levando a exclusão,
ocasionando a sérios problemas psicológicos, físicos.
O Cyberbullying é um fenômeno recente e vem tomando espaço nos dias
atuais, se expandindo de uma maneira perceptível e se tornando um grave problema
social e de saúde pública, tendo como consequências o convívio das relações
individuais e fenômenos sociais. Para diagnosticar o cyberbullying, de acordo com
Taylor apud (SHAFQAT, 2016, p. 124):
o Google Chrome, é o navegador da web mais rápido e mais usado no
mundo hoje. Para o Windows 8, o Chrome armazena seus arquivos e banco
de dados nos seguintes locais padrão na unidade C. C: \ Users \
[USERNAME] \ AppData \ Local \ Google \ Chrome \ UserData \ Default. A
pasta contém arquivos de nosso interesse, ou seja, Marcadores, Cookies,
abas atuais, histórico, últimas abas, dados de login, Preferências, Top Sites
e Dados da Web. Esses sites artefatos de navegação são armazenados em
SQLite, SNSS (Session Saver) e formatos JSON (Java Script Object
Notation). A estrutura do arquivo DB é bem diferente daquela dos outros
navegadores de renome, por exemplo, o Mozilla Firefox.

Conforme Beal (2015, p. 2) para prevenir o cyberbullying se deve investir na

segurança da comunicação, tendo em vista prevenir a
integridade do conteúdo: garantia de que a mensagem enviada pelo emissor
é recebida de forma completa e exata pelo receptor.
Irretratabilidade da comunicação: garantia de que o emissor ou receptor não
tenha como alegar que uma comunicação bem-sucedida não ocorreu.
Autenticidade do emissor e do receptor: garantia de que quem se apresenta
como remetente ou destinatário da informação é realmente quem diz ser.
Confidencialidade do conteúdo: garantia de que o conteúdo da mensagem
somente é acessível a seu(s) destinatário(s).
Capacidade de recuperação do conteúdo pelo receptor: garantia de que o
conteúdo transmitido pode ser recuperado sem sua forma original pelo
destinatário. Para que esse objetivo seja alcançado, emissor e receptor
precisam usar protocolos de comunicação consistentes [...].
 20

Contudo, essa segurança da informação pode estar expondo as pessoas a

crimes e outros tipos de ameaças, como também violações de direitos, causando
danos à sociedade. Portanto, se faz necessidade precípua proteger os sistemas da
internet no sentido de evitar a manipulação de forma intencional ou não de
informações confidenciais e dos dispositivos periféricos do computador por
elementos não autorizados (SOARES; LEMOS; COLCHER, 2015).
Kolling (2015), assevera que existem possíveis ameaças à segurança dos
sistemas da internet, se destacando os vírus, que são programas usados com
finalidades maliciosas, com capacidade para tanto apagar, quanto alterar os
arquivos dos usuários, prejudicando o funcionamento do sistema operacional.
Dentre os vírus, se caracterizam o de macro, feitos na linguagem dos macros,
funcionando dentro dos programas a que se associam. Ao abri um arquivo infectado
por um vírus este automaticamente será ativado, podendo gravar arquivos que
substituem partes dos comandos normais do programa.
Os outros vírus (Boot; Arquivo; de Programa e o Cavalo de Tróia), infectam a
máquina do computador, arquivos, podendo alterar o arquivo original, levando-o até
a memória Random Access Memory – RAM, anteriormente ao arquivo original e
correto. Alecrim (2013), assevera que o keylogger é usado para capturar tudo que é
digitado pelo usuário, podendo conseguir as senhas de contas.
Nessa mesma acepção, o backdoor, causa uma falha na segurança,
conhecida como porta dos fundos, permitindo, por meio de um programa, a invasão
do sistema operacional a partir de um cracker neste, obtendo acesso incondicional à
máquina do computador, instalando vírus e programas maliciosos. (KOLLING,
2015).
 21

3. DIREITO DIGITAL

À medida que mais e mais usuários se tornam móveis e utilizam dispositivos

interconectados, os computadores costumam estar no centro de incidentes e
investigações. Evidências para discussão em um tribunal são frequentemente
reunidas graças às habilidades de especialistas forenses digitais que podem extrair
dados cruciais de dispositivos eletrônicos pertencentes às partes afetadas (SILVA;
COSTA, 2019). 
Os oficiais da lei às vezes dependem do testemunho de analistas forenses
especializados em e-discovery; esses especialistas são chamados para trabalhar
diretamente com policiais e detetives para ajudar na identificação, preservação,
análise e apresentação de evidências digitais para ajudar a resolver casos de crime.
Indivíduos treinados e qualificados trabalham para a aplicação da lei pública
ou no setor privado para realizar tarefas relacionadas à coleta e análise de
evidências digitais. Eles também são responsáveis por escrever relatórios
significativos para uso em ambientes investigativos e jurídicos. Além de trabalhar em
laboratórios, os especialistas forenses aplicam técnicas investigativas digitais em
campo, descobrindo metadados importantes em um tribunal (AYERS; BROTHERS;
JANSEN, 2014).
Os analistas forenses de computadores de hoje são capazes de recuperar
dados que foram excluídos, criptografados ou estão escondidos nas dobras da
tecnologia de dispositivos móveis; eles podem ser chamados para testemunhar em
tribunal e relatar as evidências encontradas durante as investigações. Eles podem
estar envolvidos em casos desafiadores, incluindo a verificação dos álibis dos
criminosos, exame de abuso da Internet, uso indevido de recursos de computação e
uso de rede para fazer ameaças relacionadas ao computador. 
Peritos forenses podem ser chamados para apoiar casos importantes
envolvendo violações de dados, invasões ou qualquer outro tipo de incidente. Ao
aplicar técnicas e aplicativos forenses de software proprietário para examinar
 22

dispositivos ou plataformas do sistema, eles podem ser capazes de fornecer

descobertas importantes para identificar quem foi / foram responsáveis por um crime
investigado.
O objetivo de um exame forense de computador é recuperar dados de
computadores apreendidos como prova em investigações criminais (SILVA;
COSTA, 2019). 
Os especialistas usam uma abordagem sistemática para examinar as
evidências que podem ser apresentadas em tribunal durante o processo. O
envolvimento de especialistas forenses deve ser feito no início de uma
investigação, pois eles podem ajudar na coleta adequada de material técnico de
forma a permitir a restauração do conteúdo sem qualquer dano à sua integridade
(AYERS; BROTHERS; JANSEN, 2014).
Os esforços de investigação forense podem envolver muitas (ou todas) das
seguintes etapas:
 Coleta - busca e apreensão de evidências digitais e aquisição de
dados;
 Exame - aplicação de técnicas para identificar e extrair dados;
 Análise - usando dados e recursos para provar um caso;
Relatório - apresentar as informações coletadas (por exemplo, relato de
caso por escrito) (AYERS; BROTHERS; JANSEN, 2014).
Ferramentas de softwares forenses abrangentes (como Encase Forensic
Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD,
etc.) são usadas por investigadores de cena de crime para fornecer sua coleção,
indexação e análise detalhada (SILVA; COSTA, 2019).
Uma investigação forense consiste na coleta de informações forenses do
computador; o processo pode começar analisando o tráfego de rede com um
analisador de pacotes ou uma ferramenta sniffer como o Wireshark, que é capaz
de interceptar o tráfego e registrá-lo para análise posterior. NetworkMiner, outra
Network Forensic Analysis Tool (NFAT), é uma alternativa ao Wireshark para
extrair ou recuperar todos os arquivos. O Snort , em vez disso, é uma ferramenta
valiosa para rastrear intrusos na rede em tempo real (AYERS; BROTHERS;
JANSEN, 2014).
 23

O software NFAT também contém recursos forenses, realizando análises no

tráfego de rede armazenado, como seu nome sugere. Quanto à Resposta e
Identificação de Incidentes, um Kit de Ferramentas Forenses, ou FTK, pode ser
usado para identificar arquivos excluídos e recuperá-los; enquanto o EnCase é
apto para uso forense, cibersegurança e e-discovery. A implementação e o rápido
crescimento de novas tecnologias criaram alguns problemas para analistas
forenses que agora se deparam com a tarefa de procurar informações não apenas
em computadores pessoais e laptops, mas também (e mais frequentemente) em
tablets e smartphones (SILVA; COSTA, 2019).
A perícia forense de dispositivos móveis é a ciência da recuperação de
evidências digitais de um dispositivo móvel sob condições forenses sólidas
usando métodos aceitos, destaca como os analistas forenses devem ter um firme
entendimento, hoje, da singularidade do mundo móvel e entender a maioria dos
recursos de tecnologia por trás de qualquer modelo e tipo de dispositivo que pode
ser encontrado na cena do crime (AYERS; BROTHERS; JANSEN, 2014).
A proliferação de sistemas operacionais proprietários, tecnologias de
criptografia e ferramentas de proteção desenvolvidas por empresas de
smartphones como Nokia, Samsung, LG, Huawei, Apple e mais obriga os
analistas a acompanhar os últimos desenvolvimentos em um ritmo mais rápido do
que nunca. Os novos dispositivos avançados de hoje são produzidos em taxas
mais altas e a extração de informações deles, mesmo depois de contornar os
recursos de segurança óbvios que os protegem, oferecem desafios únicos (SILVA;
COSTA, 2019).
Trabalhando com computadores autônomos, um analista sabia onde
procurar os dados (RAM, BIOS, HHD ...). Em um armazenamento de dispositivo
móvel, não é tão claro e informações relevantes podem ser encontradas em vários
locais, de NAND a memória flash NOR para a RAM de um cartão SIM, por
exemplo (AYERS; BROTHERS; JANSEN, 2014).
É importante trabalhar de forma a preservar os dados considerando, por
exemplo, questões como os efeitos da drenagem de energia na memória volátil do
dispositivo, que podem revelar informações importantes sobre a execução de
programas no dispositivo. Além disso, “os sistemas operacionais fechados
 24

dificultam a interpretação de seu sistema de arquivos e estrutura

associados. Muitos dispositivos móveis com o mesmo sistema operacional
também podem variar amplamente em sua implementação, resultando em uma
miríade de sistema de arquivos e permutações de estrutura. Essas permutações
criam desafios significativos para os fabricantes e examinadores de ferramentas
forenses móveis (SILVA; COSTA, 2019).
A computação em nuvem é uma tecnologia de rápido crescimento agora
usada pela maioria dos usuários de dispositivos móveis e muitas empresas. Sua
flexibilidade e escalabilidade o tornam uma escolha atraente para a maioria dos
usuários, mas também apresenta desafios forenses únicos (AYERS; BROTHERS;
JANSEN, 2014).
Além dos desafios técnicos, na verdade, a computação em nuvem apresenta
problemas jurídicos e de jurisdição. Os dados, na verdade, podem ser armazenados
e acessados em qualquer lugar e pode ser problemático para os investigadores
acessarem os dados em diferentes países ou de maneiras que preservem os direitos
de privacidade de outros usuários da nuvem. Além disso, às vezes é difícil atribuir
dados e ações a um usuário específico. A recuperação de dados também pode ser
problemática devido à substituição e reutilização de espaço em um ambiente de
nuvem (SILVA; COSTA, 2019).
Os investigadores também precisam estar cientes das técnicas, ferramentas e
práticas anti-forenses que podem tornar a análise forense inconclusiva,
especialmente em um ambiente de nuvem. Certos tipos de malware e técnicas de
ofuscação podem comprometer a integridade das evidências coletadas e podem
dificultar a apresentação de conclusões em tribunal. As agências de justiça criminal
são as operações por trás das campanhas de prevenção do crime cibernético e da
investigação, monitoramento e julgamento de criminosos digitais. Dependendo do
seu país de residência, uma agência de justiça criminal tratará de todos os casos
relacionados ao crime cibernético (AYERS; BROTHERS; JANSEN, 2014).
Por exemplo, nos EUA e dependendo do caso , um crime cibernético pode ser
investigado pelo FBI, Serviço Secreto dos EUA, Centro de Reclamações de Crime
na Internet, Serviço de Inspeção Postal dos EUA ou Comissão de Comércio Federal.
 25

Em outros países, como a Espanha, a polícia nacional e a guarda civil cuidam

de todo o processo, independentemente do tipo de crime cibernético que está sendo
investigado (SILVA; COSTA, 2019).
Isso também muda de um país para outro, mas, em geral, esse tipo de
agência geralmente investiga o crime cibernético diretamente relacionado à agência.
Por exemplo, uma agência de inteligência deve ser responsável por investigar
crimes cibernéticos que tenham alguma conexão com sua organização, como contra
suas redes, funcionários ou dados; ou foram realizados por atores de inteligência.
Nos Estados Unidos, outro bom exemplo são os militares, que conduzem suas
próprias investigações de crimes cibernéticos usando uma equipe interna treinada
em vez de depender de agências federais (AYERS; BROTHERS; JANSEN, 2014).
Agências de segurança privada também são importantes na luta contra o
crime cibernético, especialmente durante o processo de investigação. Embora
governos e agências nacionais executem suas próprias redes, servidores e
aplicativos, eles representam apenas uma pequena fração da imensa infraestrutura
e do código mantido em execução por empresas, projetos, organizações e
indivíduos privados em todo o mundo (SILVA; COSTA, 2019).
Com isso em mente, não é surpresa que especialistas em cibersegurança
privada, empresas de pesquisa e equipes azuis desempenhem um papel crítico
quando se trata de prevenir, monitorar, mitigar e investigar qualquer tipo de crime de
segurança cibernética contra redes, sistemas ou dados executados em dados
privados de terceiros centros, redes, servidores ou computadores domésticos
simples (AYERS; BROTHERS; JANSEN, 2014).
A ampla gama de crimes cibernéticos investigados por agências privadas não
conhece limites e inclui, mas não se limita a, hacking, cracking, distribuição de vírus
e malware, ataques DDoS, fraudes online, roubo de identidade e engenharia social.
SIFT é uma coleção de ferramentas forenses criada para ajudar as equipes de
resposta a incidentes e pesquisadores forenses a examinar dados forenses digitais
em vários sistemas. Ele suporta diferentes tipos de sistemas de arquivos, como FAT
12/16/32, bem como NTFS, HFS +, EXT2 / 3/4, UFS1 / 2v, vmdk, swap, RAM dta e
dados RAW (SILVA; COSTA, 2019).
 26

Quando se trata de suporte de imagem de evidência, ele funciona

perfeitamente com arquivos de imagem simples, AFF (Formato Forense Avançado),
EWF (Formato de Testemunha Especializada, EnCase), AFM (AFF com metadados
externos) e muitos outros. Outros recursos importantes incluem: Sistema de base
Ubuntu LTS 16.04 de 64 bits, ferramentas forenses mais recentes, compatibilidade
cruzada entre Linux e Microsoft Windows, opção de instalação como um sistema
autônomo e vasta documentação para atender a todas as suas necessidades
forenses. O melhor de tudo é que é open source e totalmente gratuito (AYERS;
BROTHERS; JANSEN, 2014).
Escrito por Brian Carrier e conhecido como TSK, The Sleuth Kit é uma
coleção de software livre de ferramentas forenses baseadas em Unix e Windows
que ajuda os pesquisadores a analisar imagens de disco e recuperar arquivos
desses dispositivos. Seus recursos incluem suporte completo de análise para
diferentes sistemas de arquivos, como FAT / ExFAT, NTFS, Ext2 / 3/4, UFS 1/2,
HFS, ISO 9660 e YAFFS2, o que leva na análise de quase qualquer tipo de imagem
ou disco para Windows- , Sistemas operacionais baseados em Linux e Unix.
Disponível na linha de comando ou usado como uma biblioteca, The Sleuth Kit é o
aliado perfeito para qualquer pessoa interessada na recuperação de dados de
sistemas de arquivos e imagens de disco baseadas em raw (SILVA; COSTA, 2019).
Este software é um dos mais completos conjuntos forenses para sistemas
operacionais baseados em Windows. É amplamente compatível com quase todas as
versões do Windows, tornando-o um dos melhores neste mercado específico e
permitindo que você trabalhe facilmente com versões como Windows XP / 2003 /
Vista / 2008/7/8 / 8.1 / 2012/10 *, com suporte ambos de 32 bits / 64 bits. Um de
seus recursos mais interessantes é o fato de ser totalmente portátil, possibilitando
executá-lo de um cartão de memória e levá-lo facilmente de um computador para
outro. Seus principais recursos incluem: capacidade de realizar clonagem e imagem
de disco, ler partições de arquivos de imagem bruta, HDDS, matrizes RAID, LVM2 e
muito mais. Ele também oferece detecção avançada de partições excluídas em
FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, etc., bem como
escultura avançada de arquivo e criação de catálogo de arquivo e diretório (AYERS;
BROTHERS; JANSEN, 2014).
 27

O CAINE não é um simples aplicativo ou suíte de investigação de crimes

cibernéticos, é uma distribuição Linux completa usada para análise forense digital.
Ele funciona a partir do live CD e pode ajudá-lo a extrair dados criados em vários
sistemas operacionais, como Linux, Unix e Windows. Sistema de arquivos, memória
ou extração de dados de rede, o CAINE pode fazer tudo combinando o melhor
software forense que roda em interfaces de linha de comando e baseadas em GUI.
Inclui aplicativos populares de investigação de crimes digitais, como The Sleuth Kit,
Autopsy, Wireshark, PhotoRec, Tinfoleak e muitos outros (SILVA; COSTA, 2019).
Conhecido como DFF, o Digital Forensics Framework é um software de
computador forense de código aberto que permite aos profissionais de perícia digital
descobrir e salvar a atividade do sistema nos sistemas operacionais Windows e
Linux. Ele permite que os pesquisadores acessem dispositivos locais e remotos,
como unidades removíveis, unidades locais, sistemas de arquivos de servidor
remoto e também reconstruam discos virtuais VMware. Quando se trata de sistemas
de arquivos, ele pode extrair dados de FAT12 / 16/32, EXT 2/3/4 e NTFS em
arquivos e diretórios ativos e excluídos. E ainda ajuda a inspecionar e recuperar
dados de pen drives, incluindo conexões de rede, arquivos e processos locais
(AYERS; BROTHERS; JANSEN, 2014).
Esta ferramenta é um dos melhores aplicativos forenses multiplataforma
usados por pesquisadores de segurança e profissionais forenses para navegar todos
os dados críticos em um único lugar. Com o Oxygen Forensic Detective, você pode
facilmente extrair dados de vários dispositivos móveis, drones e sistemas
operacionais de computador, incluindo: obtenção de senhas de backups
criptografados do sistema operacional, contornando o bloqueio de tela no Android,
obtendo dados de chamada críticos, extração de dados de voo de drones,
informações de usuário do Linux, Computadores MacOS e Windows. Ele também
oferece suporte à extração de dados do dispositivo IoT (SILVA; COSTA, 2019).
Conhecida como OCFA, a Open Computer Forensics Architecture é uma
estrutura de análise forense escrita pela Agência Nacional de Polícia
Holandesa. Eles desenvolveram este software com o objetivo principal de acelerar
suas investigações de crimes digitais, permitindo que os pesquisadores acessem
dados a partir de uma interface unificada e amigável. Ele foi integrado ou faz parte
 28

do núcleo de muitas outras ferramentas populares de investigação de crimes

cibernéticos, como The Sleuth Kit, Scalpel, PhotoRec e outros (AYERS;
BROTHERS; JANSEN, 2014).
Embora o projeto oficial tenha sido descontinuado há algum tempo, essa
ferramenta ainda é usada como uma das principais soluções forenses por agências
de todo o mundo. Existem muitos outros projetos relacionados que ainda estão
trabalhando com a base de código OCFA, eles podem ser encontrados no site oficial
em SourceForge (SILVA; COSTA, 2019).
Bulk Extractor é um dos aplicativos mais populares usados para extrair
informações críticas de dados de evidências digitais. Ele funciona extraindo recursos
como URLs, endereços de e-mail, números de cartão de crédito e muito mais de
imagens de disco ISO e diretórios ou simplesmente arquivos - incluindo imagens,
vídeos, arquivos compactados e de escritório. É uma ferramenta que serve não
apenas para extração de dados, mas também para análise e coleta. E um de seus
melhores atributos é seu amplo suporte para quase qualquer plataforma de sistema
operacional, incluindo Linux, Unix, Mac e Windows, tudo sem problemas (AYERS;
BROTHERS; JANSEN, 2014).
Escrita em Perl, esta ferramenta forense desenvolvida por Phil Harvey é um
utilitário baseado em linha de comando que pode ler, escrever e manipular
metadados de vários arquivos de mídia, como imagens e vídeos. ExifTool suporta a
extração de EXIF de imagens e vídeos (metadados comuns e específicos), como
coordenadas GPS, imagens em miniatura, tipo de arquivo, permissões, tamanho de
arquivo, tipo de câmera, etc. Ele também permite que você salve os resultados em
um formato baseado em texto ou HTML simples (SILVA; COSTA, 2019).
SurfaceBrowser ™ é seu aliado perfeito para detectar a infraestrutura online
completa de qualquer empresa e obter dados valiosos de inteligência de registros
DNS, nomes de domínio e seus registros históricos de WHOIS, subdomínios
expostos, dados de certificados SSL e muito mais. Analisar a superfície de qualquer
empresa ou nome de domínio na Internet é tão importante quanto analisar drives
locais ou ram sticks - pode levar à localização de dados críticos que podem estar
ligados a crimes cibernéticos (AYERS; BROTHERS; JANSEN, 2014).
 29

4. CRIMES VIRTUAIS E O DIREITO HODIERNO

De acordo com a lei de responsabilidade civil, uma pessoa é condenada a

compensar uma perda quando comete uma violação para que a perda é imposta a
alguém. Em virtude da teoria baseada na culpa do réu, uma ação tem
responsabilidade civil de compensação de perda quando ele / ela comete uma
violação em sua ação significa que, se ele / ela causa perda ao fazer ato razoável,
ele / ela não é sentença para compensar. Porém, de acordo com a teoria baseada
no risco, ato nocivo criar responsabilidade civil e culpa não é necessária
(LEONARDI, 2015).
Alguns comportamentos no ciberespaço são intencionais e outros são
não intencionais. Uma das maneiras de prejudicar outras pessoas no ciberespaço é
destruindo e interrompendo os dados ou o sistema do computador. Por exemplo de
destruição de dados ocorre quando uma pessoa projeta um programa para destruir
dados existentes em outras pessoas computadores. Em outras palavras, um
programa subversivo desmonta a ordem lógica dos dados para que os tornem inútil
sem removê-los (LONGHI, 2014).
A interrupção do sistema informático é de forma a que a exploração e
adequada e desejável o aplicativo é obtido do computador. Por exemplo, a
importação de vírus para o computador pessoal causa início automático ou
desligamento do computador ou danos ao hardware. Destruição e interrupção de
dados e sistemas são principalmente por meio de vírus de computador e ataques de
Worms (MIRAGEM, 2015).
No que diz respeito à lei civil, lei de responsabilidade civil e lei de punição
islâmica no sistema jurídico do Irã, responsabilidade civil dos hackers podem, ser
apresentados por razões documentadas e comprovadas. No artigo 328 da lei civil, a
perda de bens de terceiros é proibida e é causa de responsabilidade; certamente
como os dados são valiosos, eles podem ser considerados como bens e perda pode
ocorrer em todos os direitos dos beneficiários, sobre seu assunto (OLIVEIRA, 2014).
 30

Às vezes, o hacker importa vírus para a rede da Internet, o que prejudica os

dados do software de indivíduos; neste caso, o hacker é o ator. Às vezes, o vírus é
um meio entre o hacker e a perda imposta. Portanto, o hacker é causador. Nesse
caso, pode-se usar o artigo 331 da lei civil. A diferença entre causalidade e perder
regras é importante em nossa discussão, pois em caso de perda, a falha não é uma
condição para responsabilidade, mas na causa, ato causal deve ser criminoso.
Também em caso de perda, uma pessoa impõe perda diretamente à propriedade de
outros enquanto em causalidade, a situação está preparada para a perda, então é
provável que está preparação leve à perda de tempo ou ineficaz resultado (STOCO,
2014).
Sobre a atividade de hackers, no que diz respeito ao artigo 1º da lei de
responsabilidade civil, pode-se dizer que se não podemos concluem seu ato de
destruição, distorção e desordem de dados e informações de computador no artigo
328 leis civil, com referência a esta lei, podemos concluir as ações dos hackers em
perda de propriedade, honra ou negócios reputação ou outros direitos criados por lei
para os indivíduos (TEFFÉ, 2015).
A violação da lei contra um autor na Internet ocorre quando o direito exclusivo
de um criador é violado durante a conexões da Internet. Dentre esses direitos, pode-
se citar a prevenção de reprodução ou cópia de uma obra. Além disso, o principal
problema é a violação de direitos autorais por provedores de serviços de Internet.
Provedores de serviços de Internet são institutos que oferecer aos usuários a
possibilidade de acessar e conectar-se à internet. Eles fornecem serviços de internet
em troca de pagamentos pelos clientes (TEIXEIRA, 2016).
Responsabilidade dos provedores de serviços de Internet em suas atividades
para com seus clientes geralmente se baseia em seu conhecimento sobre as
atividades dos clientes. Se eles não estão cientes das atividades de seus clientes,
muitos tribunais estrangeiros tendem a reconhecê-los responsáveis por seu
comportamento. Portanto, atividades de serviço de internet os provedores são
baseados em duas teorias: violação participativa ou relativa e responsabilidade
incluída de outras atividades. Eles são responsáveis mesmo que não participem da
violação de direitos autorais (ANDRIGUI, 2012).
 31

A violação da lei pelos autores no ciberespaço tem sido mais moderna e

complicada. Por exemplo, os usuários violam direito dos autores por meio do
sistema ponto a ponto. O sistema ponto a ponto é uma atividade da Internet com a
qual os usuários se conectam um ao outro sem usar o servidor intermediário (cultura
anatômica do computador). Esta tecnologia permite usuários para compartilhar
dados e arquivos e acessar diferentes arquivos de áudio e texto. Na verdade, cada
usuário tem arquivos em seu PC que fornece a possibilidade de se conectar à
internet. O que é importante é "quem é o responsável" (BINICHESKI, 2011).
A solução é que os provedores de serviços são responsáveis por perdas
impostas. Há casos de violação de direitos autorais por meio de sistema ponto a
ponto e o veredicto foi emitido sobre eles. O caso do Napster, que é uma rede ponto
a ponto, foi responsável com base em outros atos e confiabilidade participativa como
tribunal.
O tribunal argumentou que o Napster poderia criar limitações para os usuários
para que eles tivessem menos acesso às coisas protegidas por lei, além disso, o
Napster obteve benefício financeiro desta violação. Portanto, é responsável pela
atividade de seus usuários e clientes (COTS; OLIVEIRA, 2014).
Sobre a violação do direito do autor no sistema jurídico consuetudinário, uma
obra é violada quando sua parte básica é copiado ou atribuído a outra pessoa, mas
se parte básica de uma obra não for violada, então não se poderia dizer que o direito
do autor é violado. Não há qualquer dúvida de aceitar a responsabilidade, inclusive
de culpa como regra no sistema jurídico de acordo com o artigo 1 da lei de
responsabilidade civil; portanto, o elemento necessário para a responsabilidade dos
agentes é falta (DAHER, 2012).
Também no artigo 78 da lei de comércio eletrônico, a violação ou fragilidade
dos sistemas de privacidade ou de institutos públicos é considerado como falha;
portanto, se for estabelecido que a perda é incluída devido à fraqueza do provedor
de serviços de internet, sistema de segurança de dados ou sua privacidade ou
fraqueza do sistema para evitar a publicação de trabalho não autorizado ou violação
de direitos autorais de terceiros, então o agente que é costume, religiosamente e
logicamente esperado para fornecer um sistema de prevenção de perda ou seu
agravamento é culpado e responsável em virtude do artigo 78 da referida lei e artigo
 32

1 da lei de responsabilidade civil. A violação do direito do autor inclui algumas

exceções que são discutidas em reivindicações conhecidas como aplicação justa e
defesa completa (DIMARIO; SOUZA, 2011).

4.1. SEGURANÇA DA INFORMAÇÃO

Para uma segurança cibernética eficaz, uma organização precisa coordenar

seus esforços em todo o seu sistema de informações.  Segundo Santos (2014) o
processo de proteger a rede de usuários indesejados, ataques e intrusões.
Os aplicativos exigem atualizações e testes constantes para garantir que esses
programas estejam protegidos contra-ataques. O acesso remoto é uma parte
necessária dos negócios, mas também pode ser um ponto fraco para os dados. 
A segurança do terminal é o processo de proteção do acesso remoto à rede
de uma empresa. Dentro de redes e aplicativos estão os dados. Proteger as
informações da empresa e do cliente é uma camada separada de segurança.
Gerenciamento de identidade: essencialmente, é um processo de compreensão do
acesso que cada indivíduo tem em uma organização. Segurança de banco de dados
e infraestrutura é tudo em uma rede envolve bancos de dados e equipamentos
físicos. Proteger esses dispositivos é igualmente importante (SILVA; COSTA, 2019).
Muitos arquivos estão em ambientes digitais ou “a nuvem”. Proteger dados
em um ambiente 100% online apresenta uma grande quantidade de desafios.
Telefones celulares e tablets envolvem praticamente todo tipo de desafio de
segurança por si só. Planejamento de recuperação de desastres / continuidade de
negócios no caso de uma violação, os dados de desastres naturais ou outros
eventos devem ser protegidos e os negócios devem prosseguir. Para isso, você
precisará de um plano (ALEXANDRIA, 2019).
Os usuários podem ser funcionários que acessam a rede ou clientes que
fazem logon em um aplicativo da empresa. Segundo Beal (2015) educar bons
hábitos (mudanças de senha, autenticação de dois fatores etc.) é uma parte
importante da segurança cibernética. O desafio mais difícil na segurança cibernética
é a natureza em constante evolução dos próprios riscos de segurança. 
 33

Tradicionalmente, as organizações e o governo concentram a maior parte de

seus recursos de segurança cibernética na segurança de perímetro para proteger
apenas seus componentes de sistema mais importantes e se defender contra
ameaças conhecidas. Hoje, essa abordagem é insuficiente, pois as ameaças
avançam e mudam mais rapidamente do que as organizações podem acompanhar
(MANDARINI, 2015).
 Como resultado, as organizações de consultoria promovem abordagens mais
proativas e adaptativas para a segurança cibernética. Da mesma forma, segundo
Marciano (2016) o Instituto Nacional de Padrões e Tecnologia ( NIST ) emitiu
diretrizes em sua estrutura de avaliação de risco  que recomendam uma mudança
em direção ao monitoramento contínuo e avaliações em tempo real, uma abordagem
de segurança com foco em dados, em oposição ao modelo tradicional baseado em
perímetro.
A National Cyber Security Alliance, por meio de SafeOnline.org , recomenda uma
abordagem de cima para baixo para a segurança cibernética, na qual o
gerenciamento corporativo lidera a priorização do gerenciamento da segurança
cibernética em todas as práticas de negócios (PEIXOTO, 2016). 
O NCSA informa que as empresas devem estar preparadas para “responder
ao inevitável incidente cibernético, restaurar as operações normais e garantir que os
ativos da empresa e a reputação da empresa sejam protegidos”. Segundo Santos
(2014) as diretrizes do NCSA para conduzir avaliações de risco cibernético se
concentram em três áreas principais: identificar as “joias da coroa” da sua
organização ou suas informações mais valiosas que requerem proteção; identificar
as ameaças e riscos enfrentados por essas informações; e delineando os danos que
sua organização incorreria se esses dados fossem perdidos ou expostos de forma
incorreta. As avaliações de risco cibernético também devem considerar quaisquer
regulamentações que afetem a forma como sua empresa coleta, armazena e
protege dados, como PCI-DSS , HIPAA , SOX , FISMA, e outros. 
Após uma avaliação de risco cibernético, desenvolva e implemente um plano
para mitigar o risco cibernético, proteja as “joias da coroa” descritas em sua
avaliação e detecte e responda com eficácia aos incidentes de segurança . Este
 34

plano deve abranger os processos e tecnologias necessários para construir um

programa de segurança cibernética maduro (SILVA; COSTA, 2019). 
Um campo em constante evolução, as melhores práticas de segurança
cibernética devem evoluir para acomodar os ataques cada vez mais sofisticados
realizados por invasores. Segundo Alexandria (2019) mostra que combinar medidas
de segurança cibernética sólidas com uma base de funcionários instruída e
preocupada com a segurança fornece a melhor defesa contra criminosos
cibernéticos que tentam obter acesso aos dados confidenciais de sua empresa.
Embora possa parecer uma tarefa difícil, comece aos poucos e concentre-se nos
dados mais confidenciais, ampliando seus esforços conforme o programa cibernético
amadurece.
Nos últimos anos, a engenharia social se tornou o método de ataque favorito
dos criminosos cibernéticos. Está provado que é a maneira mais bem-sucedida de
um criminoso entrar “dentro” de uma organização. Segundo Beal (2015) os cibe
criminosos estão usando táticas cada vez mais sofisticadas para golpes de hacking
humano. Um engenheiro social descobrirá tudo o que quiser sobre um indivíduo ou
uma empresa. Isso pode ser por meio da mídia social ou localizando os dados do
alvo online.
Evitar os perigos dos Engenheiros Sociais requer atenção constante,
educação e consciência dos métodos que esses hackers usam. O comprometimento
do e-mail comercial pode ter um impacto dramático em seus negócios (MANDARINI,
2015). 
Os engenheiros sociais manipulam os sentimentos humanos, como
curiosidade ou medo, para executar esquemas e atrair as vítimas para suas
armadilhas. Santos (2014) mostra que, portanto, tenha cuidado sempre que se sentir
alarmado por um e-mail, atraído por uma oferta exibida em um site ou quando se
deparar com uma mídia digital perdida. 
Estar alerta pode ajudá-lo a se proteger contra a maioria dos ataques de
engenharia social que ocorrem no mundo digital. Além disso, algumas dicas podem
ajudar a melhorar sua vigilância em relação a hacks de engenharia social. Não abra
e-mails e anexos de fontes suspeitas  - Se você não conhece o remetente em
questão, não precisa responder a um e-mail. Mesmo que você os conheça e
 35

desconfie da mensagem, cruze e confirme as notícias de outras fontes, como por

telefone ou diretamente do site de um provedor de serviços. Lembre-se de que
endereços de e-mail são falsificados o tempo todo; até mesmo um e-mail
supostamente vindo de uma fonte confiável pode ter sido iniciado por um invasor
(SILVA; COSTA, 2019).
Use autenticação multifatorial, uma das informações mais valiosas que os
invasores buscam são as credenciais do usuário. Segundo Albuquerque Jr; Santos
(2013) o uso da autenticação multifatorial ajuda a garantir a proteção de sua conta
no caso de comprometimento do sistema. Imperva  Login Protect  é uma solução
2FA fácil de implantar que pode aumentar a segurança da conta para seus
aplicativos. A engenharia social se baseia fortemente nos seis princípios de
influência estabelecidos em influências como: 
 Reciprocidade  - as pessoas tendem a retribuir um favor, daí a difusão
das amostras grátis no marketing;
 Compromisso e consistência  - se as pessoas se comprometem com
uma ideia ou objetivo (oralmente ou por escrito), é mais provável que honrem esse
compromisso porque agora é congruente com sua autoimagem. Mesmo que o
incentivo ou motivação original seja removido após o comprometimento, as pessoas
continuarão a honrar o acordo;
 Prova social  - as pessoas farão coisas que veem outras fazendo;
 Autoridade  - as pessoas tendem a obedecer a figuras de autoridade,
mesmo que essas figuras lhes peçam para realizar atos questionáveis;
 Gostar  - As pessoas são facilmente persuadidas por outras de que
gostam;
 Escassez  - a escassez percebida gerará demanda. Por exemplo, ao
dizer que as ofertas estão disponíveis por "tempo limitado", os varejistas incentivam
as vendas;
 Outras técnicas de engenharia e manipulação social incluem
a elicitação , a coleta sutil e indireta de informações; enquadramento , que força a
informação em um determinado contexto; pretextos , invocação de histórias e
desculpas para fazer perguntas (também conhecido como posicionamento
 36

emocional); e ligações não solicitadas , obtendo informações por meio de uma

interação aparentemente aleatória.
A iluminação a gás é outra técnica de particular interesse para engenheiros
sociais; a técnica envolve má orientação, negação persistente e mentira para
confundir um alvo e perturbar seu senso de realidade. Segundo Alexandria (2019)
embora a influência seja complicada em qualquer contexto, desde o marketing até o
chamado hacking humano, o último caso oferece uma vantagem fundamental: as
defesas são de muitos para muitos, enquanto o ataque é de um para muitos . É
muito mais vantajoso ser o atacante do que o alvo.   
Mantenha seu software antivírus / antimalware atualizado certifique-se de
que as atualizações automáticas estejam ativadas ou crie o hábito de baixar as
assinaturas mais recentes a cada dia. Segundo Beal (2015) mostra que
periodicamente para ter certeza de que as atualizações foram aplicadas e fazer uma
varredura em seu sistema para possíveis infecções.
Tudo se resume a conhecer seus alvos e obstáculos bem o suficiente para
manobrar com o mínimo de esforço e ainda cumprir seu objetivo. Isso é verdadeiro
para qualquer tipo de campanha de influência, razão pela qual a engenharia social,
no sentido de segurança cibernética, não é apenas uma ameaça às informações do
cliente, operação comercial ou segredos militares. A engenharia social é uma
ameaça à estabilidade política e ao discurso livre e independente. As técnicas sutis
de publicidade atualmente usadas em plataformas de mídia social levantam
questões éticas suficientes - no entanto, a manipulação política e a disseminação de
desinformação e desinformação ampliam muito os problemas éticos existentes
(MANDARINI, 2015).
O cerne das ideias globais de democracia é que o poder deriva do povo, para
o povo . Os cidadãos podem falar o que pensam e são fornecidos fóruns nos quais
podem ter um diálogo aberto, protegido e livre. Segundo Marciano (2016) a
responsabilização, especificamente para funcionários do governo, empresas e
cidadãos privados é um princípio igualmente importante. Por meio da coleta de
dados em massa sem responsabilidade , no entanto, esses princípios são colocados
em risco.  
 37

Portanto, a ameaça à sociedade não vem de organizações como o Facebook

ou o Google, embora certamente haja problemas éticos a serem resolvidos em
relação à coleta de dados e práticas de publicidade. A ameaça real, como
evidenciado por escândalos e as acusações  de Agências de Pesquisa na Internet, é
como os agentes maliciosos podem explorar essas plataformas (PEIXOTO, 2016). 
Apesar de todos os danos que ocorrem na Internet e por meio dela, a
plataforma também  auxiliou movimentos políticos , forneceu plataformas para vozes
oprimidas de outra forma e conferiu poderes a regimes corruptos. Mas a engenharia
social em grande escala interrompe todos esses efeitos positivos. Santos (2014)
mostra que explorar a confiança humana, injetar desinformação e desinformação no
discurso público legítimo e distorcer as percepções da realidade por meio da
iluminação a gás pode empurrar as sociedades para a periferia.
 A verdade é questionada mais do que nunca. Tempo e recursos são retirados
da cobertura legítima da mídia e, em vez disso, gastos na refutação de alegações
patentemente falsas . A polarização política parece crescer, o que é um produto da
verdadeira polarização ou da cobertura desproporcional da mídia sobre os extremos
ou ambos (SILVA; COSTA, 2019).  
As técnicas de engenharia social são baseadas em atributos específicos da
tomada de decisão humana, conhecidos como preconceitos cognitivos. Segundo
Alexandria (2019) esses preconceitos, às vezes chamados de "bugs no hardware
humano", são subprodutos do cérebro que toma atalhos para processar informações
rapidamente. Eles são vantajosos em um sentido evolucionário , mas também nos
deixam abertos à exploração por meio da engenharia social. 
O gerenciamento  adequado da segurança cibernética  reduz o impacto e o
custo do gerenciamento de riscos sem afetar a produtividade geral e a capacidade
de integrar terceiros em uma organização. Segundo Grazziotin (2014) as estruturas
de gerenciamento de risco de terceiros fornecem à sua organização padrões
compartilhados para a tomada de decisões, minimizando o incômodo e o tempo que
leva para gerenciar o risco de terceiros. Em última análise, economizando dinheiro
para sua organização e, mais importante, sua reputação e relacionamento com seus
clientes.
 38

Antes de começar a gerenciar riscos em terceiros, precisa  entender quem

são e como se integram ao seu ambiente, têm acesso direto ao ambiente, 
armazenam informações confidenciais e Informações não confidenciais. Por mais
simples que isso possa parecer, pode ser difícil reunir todos os fornecedores ou
organizações parceiras que estão distribuídos em sua organização, especialmente
se essas informações não estiverem armazenadas em um local central (GIL; ARIMA;
NAKAMURA, 2018).
Cada organização tem processos ligeiramente diferentes para gerenciamento
de risco de terceiros, mas os componentes principais podem ser divididos em quatro
partes. Segundo Oliveira, et al (2018) o   processo de avaliação de risco deve fazer
parte dos controles internos da sua organização e incluir a cadeia de suprimentos e
outras avaliações de risco de terceiros.
Antes de começar a gerenciar riscos em terceiros, precisa  entender quem
são e como se integram ao seu ambiente, têm acesso direto ao ambiente, 
armazenam informações confidenciais e Informações não confidenciais. Por mais
simples que isso possa parecer, pode ser difícil reunir todos os fornecedores ou
organizações parceiras que estão distribuídos em sua organização, especialmente
se essas informações não estiverem armazenadas em um local central (VANCA,
2014).
O melhor lugar para iniciar o processo de identificação é em seus contratos,
geralmente com o departamento jurídico ou de compras. Conforme sua organização
continua a definir e construir o processo de gerenciamento de risco de terceiros,
certifique-se de desenvolver um processo para integrar novos fornecedores ou
fornecedores em seu ambiente e estabelecer um local onde sua equipe possa
gerenciar facilmente cada um de seus fornecedores (ZENO, 2017). 
Às vezes chamado de banda, a próxima etapa é categorizar essas empresas
terceirizadas com base no nível de acesso que elas têm aos seus sistemas ou nos
tipos de dados que tratam em seu nome. Segundo Oliveira, et al (2018) dividir seus
terceiros em categorias apropriadas torna mais fácil priorizar as organizações que
lidam com dados confidenciais ou acessam sistemas críticos em seu ambiente. 
Os terceiros que não lidam com quaisquer dados ou acessam sistemas
confidenciais não precisam ser medidos com tanta profundidade quanto aqueles que
 39

acessam informações pessoalmente identificáveis ou têm acesso direto ao seu

sistema (GIL; ARIMA; NAKAMURA, 2013). 
Depois de categorizar os terceiros, precisa avaliar, a próxima etapa é realizar
uma avaliação. O objetivo da avaliação é medir a eficácia das proteções e da
segurança geral da organização.  Avaliações de risco típicas de terceiros podem
envolver um questionário, testes técnicos e, às vezes, até uma avaliação no local
(GRAZZIOTIN, 2014). 
Essas perguntas geralmente se alinham a uma estrutura de práticas
recomendadas de segurança para determinar o quanto o terceiro que está sendo
avaliado está em conformidade com essa estrutura. Segundo Coimbra (2013) a
organização também pode solicitar documentação de suporte para dar suporte às
respostas fornecidas, especialmente para terceiros ou fornecedores que podem
acessar dados mais confidenciais. 
Além de administrar um questionário, uma avaliação de risco pode incluir testes
adicionais do ambiente técnico de terceiros para validar suas salvaguardas
técnicas.  Isso pode incluir uma varredura de vulnerabilidade, teste de penetração ou
uma combinação de ambos. Também pode haver casos em que pode visitar o
terceiro para verificação de salvaguardas específicas e práticas gerais de segurança
no local (BASSO, 2013). 
O gerenciamento de riscos de terceiros geralmente faz parte do programa geral
de gerenciamento de riscos de segurança da sua organização, o que significa que
há aspectos do programa geral de gerenciamento de riscos que se sobrepõem. 
Depois de avaliar os terceiros, os resultados dessas atividades de medição precisam
ser coletados em um relatório para apresentação às partes interessadas (BASSO,
2013). 
Os principais tomadores de decisão em sua organização devem ser capazes
de ver e revisar os riscos de fornecedores e suprimentos individuais, bem como
todos os riscos em uma base agregada, para compreender a melhor maneira de
seguir em frente. Normalmente, existem três maneiras de tratar ou abordar os riscos
identificados no processo de avaliação de terceiros: aceitos, reduzidos ou
transferidos (ALMEIDA, 2013). 
 40

Segundo Brasiliano (2013) a aceitação de risco é o que parece, ou seja,

quando uma organização aceita que existe um risco em um ambiente de terceiros
relacionado. A redução de risco normalmente envolve um projeto de remediação,
bem como posterior acompanhamento com o ambiente de terceiros. A transferência
de risco geralmente é feita com o uso de uma apólice de seguro cibernético. 
Depois que sua organização decidir como lidar com os riscos identificados,
tanto os riscos quanto as decisões resultantes devem ser documentados em
um registro de riscos centralizado. Os riscos de todos os aspectos do programa de
gerenciamento de riscos de sua organização devem ser inseridos no registro de
riscos, para que sua organização possa controlá-los e quaisquer atividades de
correção associadas ao longo do tempo (BASSO, 2013). 
Para terceiros que requerem correção, é comum que sua organização trabalhe
com eles para desenvolver um plano de correção de acordo com os cronogramas de
ambas as empresas e seus recursos. Segundo Coimbra (2013) a organização
também deve planejar o acompanhamento com tarefas de correção de terceiros ao
longo do tempo para garantir sua execução. 
O programa de segurança de uma organização muda constantemente com o
tempo. Os terceiros devem ser monitorados e reavaliados regularmente, geralmente
anualmente. O monitoramento contínuo de seu ambiente também pode ser feito com
ferramentas ou programas específicos sobre como automatizar o gerenciamento de
riscos de terceiros (GRAZZIOTIN, 2014). 
As classificações de segurança ou ciber segurança são uma forma cada vez
mais popular de medir as posturas de segurança de terceiros em tempo real. 
Segundo Gil; Arima; Nakamura (2013) permitem que equipes de gerenciamento de
risco terceirizadas realizem due diligence em parceiros de negócios, prestadores de
serviços e fornecedores terceirizados em minutos, em vez de semanas, avaliando de
forma instantânea e objetiva sua postura de segurança externa. 
As classificações de segurança são semelhantes às classificações de crédito,
pois buscam medir o risco de segurança cibernética associado a uma organização. 
Assim como as agências de classificação de crédito, os provedores de classificação
de títulos são independentes, o que significa que são objetivos e usam os mesmos
critérios para avaliar cada empresa. Dito isso, cada provedor de classificações de
 41

segurança usará dados diferentes para gerar suas classificações (OLIVEIRA, et al,
2018).
As classificações são geradas por algoritmos proprietários que absorvem e
analisam feeds confiáveis de ameaças comerciais e de código aberto e métodos de
coleta de dados não intrusivos para avaliar quantitativamente o risco empresarial.
Segundo Vanca (2014) a classificação de segurança de uma organização variará de
0 a 950, composta por uma média ponderada das classificações de risco de todos
os seus domínios.  Quanto mais alta a classificação, melhor é a segurança da
organização.
As classificações de segurança preenchem uma grande lacuna deixada
por metodologias tradicionais de  avaliação de risco,  como  testes de penetração  e
visitas no local. Os métodos tradicionais são demorados, pontuais, caros e
geralmente dependem de avaliações subjetivas. Além disso, pode ser difícil verificar
as afirmações de um fornecedor sobre seus controles de segurança de informações
(ZENO, 2017).
Ao usar classificações de segurança em conjunto com as técnicas de
gerenciamento de risco existentes, as equipes de gerenciamento de risco de
terceiros podem ter informações objetivas, verificáveis e sempre atualizadas sobre
os controles de segurança de um fornecedor. 
De acordo com o  Vanca (2014), as  classificações de segurança cibernética
se tornarão tão importantes quanto as classificações de crédito ao avaliar o risco de
relações comerciais existentes e novas, esses serviços se tornarão uma pré-
condição para as relações comerciais e parte do padrão de devido cuidado para
fornecedores e compradores de serviços. Além disso, os serviços terão ampliado
seu escopo para avaliar outras áreas, como seguro cibernético, due diligence para
M&A e até mesmo como métrica bruta para programas de segurança interna.
Além disso, muitos líderes de segurança consideram as classificações de
segurança e as métricas de segurança cibernética que oferecem inestimáveis para
relatar ao conselho de diretores, executivos e, cada vez mais, aos acionistas
(OLIVEIRA, et al, 2018). 
A tendência geral no setor de serviços financeiros é terceirizar serviços para
provedores externos, resultando em maior eficiência, qualidade e custos mais
 42

baixos. A tendência geral no setor de serviços financeiros é terceirizar serviços para

fornecedores externos, resultando em maior eficiência, qualidade e custos mais
baixos. Portanto, o Gerenciamento de Riscos de Terceiros recebe cada vez mais
atenção devido aos seus benefícios, desvantagens e riscos, como o aumento da
dependência de produtos / serviços, segurança cibernética ou não cumprimento dos
requisitos regulamentares (GIL; ARIMA; NAKAMURA, 2013). 
A gestão inadequada de riscos de terceiros resultou no passado em multas
elevadas por parte do regulador, danos à reputação ou perda de participação no
mercado. Segundo Grazziotin (2014) portanto, há uma forte necessidade de uma
estrutura de TPRM robusta, com foco especial nos três principais capacitadores a
seguir: conformidade regulatória, excelência operacional e uma solução digital.
Uma estrutura de TPRM requer governança e processos claros em torno do
ciclo de vida do terceiro. As tendências são, neste sentido, a centralização e
uniformização das tarefas de avaliação e operacionais para reduzir custos e ganhar
eficiência no centro de competência (COC). Os ganhos de excelência operacional
não podem ser totalmente alcançados sem o suporte de uma solução digital
abrangente baseada em tecnologia (COIMBRA, 2013).
Com base em um estudo recente da PwC, quase 50% dos participantes usam
soluções manuais simples de escritório, o que resulta em processos altamente
interrompidos. Segundo Basso (2013) uma solução digital TRPM deve ser
gerenciada dentro de uma única ferramenta que oferece uma facilidade de
funcionalidades básicas, como: Avaliação de fornecedores individuais;
Monitoramento de relacionamentos contínuos; e relatórios em níveis individuais e de
portfólio. Portanto, é necessária uma solução ponta a ponta para atender aos
requisitos atuais.
A transformação digital está criando oportunidades, enquanto introduz novos
desafios. Empresas públicas e privadas estão sob pressão para descobrir melhores
maneiras de fazer as coisas; melhores maneiras de melhorar a eficiência, reduzir
custos, aumentar a receita e acelerar a entrega de seu valor exclusivo aos clientes.
Uma tendência muito popular que as organizações podem seguir para atingir esses
objetivos é terceirizar os processos e funções de negócios e, no mundo digital de
 43

hoje, isso normalmente significa transformação digital e uma mudança para a

energia e economia da nuvem (ZENO, 2017).
Mas mudar para a nuvem também significa colocar partes de sua cadeia de
valor nas mãos de um fornecedor e, por extensão, dos fornecedores desse
fornecedor. Isso não apenas expõe sua organização aos riscos operacionais,
financeiros, de reputação, legais e regulatórios que existem nessas organizações de
terceiros, quarto e enésimo partes, mas também aumenta o cenário de risco
cibernético de sua organização além de sua infraestrutura interna. E sua
organização permanece responsável perante suas partes interessadas e
constituintes por danos que surjam como resultado da falha de seus parceiros em
gerenciar seus riscos (VANCA, 2014).
Por uma questão de boa governança, qualquer organização que atue no
mundo digital e hoje muito poucas não o fazem, precisa de uma forma de entender
os riscos envolvidos e de gerenciá-los. Um programa robusto de Gerenciamento de
Riscos de Terceiros (TPRM) fornece ambos e pode ajudar a acelerar sua
transformação digital (OLIVEIRA, et al, 2018). 
À medida que as organizações procuram maneiras de melhorar a eficiência,
reduzir custos, aumentar a receita e acelerar a entrega de seu valor exclusivo aos
clientes, muitas vezes terceirizam processos e funções de negócios para a nuvem. A
pressão para entender completamente a exposição ao risco que acompanha os
relacionamentos críticos com terceiros só está crescendo (OLIVEIRA, et al, 2018).
 44

5. CONSIDERAÇÕES FINAIS

É notório que com poucas leis foram criadas para a prevenção dos crimes
eletrônicos. Em um ambiente em que existe uma gama de ferramentas gratuitas,
acessíveis e disponíveis ao uso virtual, os crescentes grupos organizados se
articulam para praticar o cibercrime. Há um grande problema quanto a jurisdição dos
crimes cometidos virtualmente. No Brasil, por falta de legislação específica, só são
puníveis condutas realizadas por provedores e usuários dentro do país, pois as
realizadas no exterior dificultam a investigação do crime, porque dependem de lei do
país estrangeiro para o incio das investigações.
A pesquisa realizada nesse trabalho em tela demonstrou que os navegadores
já anunciam a navegação privada, resguardando o usuário do sistema, sendo que
muitos preferem, para se resguardar de investigações forenses preferem,
inevitavelmente, usar esse modo privado de exibição. Havendo a suspeita do crime,
os peritos forenses deverão tutelar a máquina para poder procurar artefatos
deixados por meio de qualquer atividade de navegação na web. Como resultados,
se identificou que ainda há muito a avançar nesse campo forense, pois os
criminosos procuram diariamente formas de burlar a comprovação do seu crime.
 45

REFERÊNCIAS

ALECRIM, Emerson. Vírus de computador e outros malwares: o que são e como

agem. Infowester. 2013.

ALEXANDRIA, João C. S de. Gestão de Segurança da Informação – Uma

Proposta para Potencializar a Efetividade da Segurança da Informação em
Ambiente de Pesquisa Científica. São Paulo, 2019. 193f. Tese (Doutorado em
Tecnologia Nuclear) – Universidade de São Paulo, São Paulo, 2019.

ANDRADE, M. M. Introdução à Metodologia do Trabalho Científico. 6 Ed. São

Paulo: Atlas, 2013.

ANDRIGHI, Fátima Nancy. A responsabilidade civil dos provedores de pesquisa

via Internet. n. 3. Rev. TST. vol. 78. São Paulo, 2012.

AYERS, R., BROTHERS S., & JANSEN, W. (2014, maio). Diretrizes sobre

perícia de dispositivos móveis.

BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a

proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2015.

BINICHESKI, Paulo Roberto. Responsabilidade civil dos provedores de internet:

direito comparado e perspectivas de regulação no direito brasileiro. São Paulo:
Juruá, 2011.

BRASIL. LEI N°12.735, de 30 de novembro de 2012. Brasília: Diário Oficial da

União, 2012.

BRASIL. LEI N°12.737, de 30 de novembro de 2012. Brasília: Diário Oficial da

União, 2012.

CAPEZ, Fernando. Curso de processo penal. 12.ed., São Paulo: Saraiva, 2015.
ISBN 85-02-05002-8.

COTS, Márcio; OLIVEIRA, Ricardo. Sistemática de retirada de conteúdo da

internet piorou com o Marco Civil. Consultor Jurídico, 10 set. 2014.

DAMÁSIO E. de J. Direito Penal, 29. ed. rev. atual. São Paulo: Saraiva, 2018.

DAHER, Aline Alves. A responsabilidade civil dos provedores de hospedagem

da Internet. Escola da Magistratura do Estado do Rio de Janeiro, 2012.

DIMARIO, Giovana Alexandra; SOUZA, Luiz Felipe Camilo de. Cyberbullying:

estudo jurídico do fato. Cadernos de Iniciação Científica. Faculdade de Direito
de São Bernardo do Campo, ano 8, n 8. São Bernardo do Campo: FDSBC, 2011.
 46

FARIAS, Robson Fernandes. Introdução a química forense, 2. edição, editora

Átomo, p.14-15, 54,60- 2017.

FERRÃO, R. G. Metodologia cientifica para iniciantes em pesquisas. Linhares,

ES: Unilinhares/ Incaper, 2013.

GIL, A. C. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2018.

GHAFARIAN, Ahmad; SENO, Amin Hosseini. Análise da privacidade do modo de

navegação privada por meio de Memória Forense. Departamento de CSIS
Faculdade de negócios de Mike Cottrell Universidade da Geórgia do Norte
Dahlonega, GA 30005, EUA Syed. - No.16, dezembro de 2015

KOLLING, Gabriella S. Segurança da informação. 2015.

LEONARDI, Marcel. Responsabilidade civil dos provedores de serviço de

Internet. São Paulo: Editora Juarez de Oliveira, 2015.

LONGHI, João Vitor Rozatti. Marco civil da internet no brasil: breves

considerações sobre seus fundamentos, princípios e análise crítica do regime
de responsabilidade civil dos provedores. In: MARTINS, Guilherme Magalhães
(coord.). Direito privado e internet. São Paulo: Atlas, 2014.

MANDARINI, Marcos. Segurança Corporativa Estratégica: Fundamentos.

Barueri: Manole, 2015, 344p.

MARCIANO, José L. P. Segurança da Informação – uma abordagem social.

Brasília, 2016. 211f. Tese (Doutorado em Ciência da Informação) – Universidade de
Brasília, Brasília, 2016.

MIRAGEM, Bruno Nubens Barbosa. Direito Civil: responsabilidade civil. São

Paulo: Saraiva, 2015.

OLIVEIRA, Carlos Eduardo Elias de. Aspectos Principais da Lei nº 12.965, de

2014, o Marco Civil da Internet: subsídios à comunidade jurídica. Brasília:
Núcleo de Estudos e Pesquisas/CONLEG/ Senado, abr./2014.

PAES, V. F. Do inquérito ao processo: análise comparativa das relações entre

polícia e ministério público no Brasil e na França. Dilemas – Revista de estudos
de conflito e controle social, v. 3, p. 111-141, jan./mar. 2015.

PEIXOTO, Mário C. P. Engenharia Social e Segurança da Informação na Gestão

Corporativa. Rio de Janeiro: Brasport, 2016.

RICHARDSON, R. J. Pesquisa social: métodos e técnicas. 3. ed. São Paulo: Atlas,

2019.
 47

SANTOS, L. A. L. O impacto da engenharia social na segurança da

informação. 2014. 82 f. Monografia (Especialização)– Universidade Tiradentes,
Aracaju, 2014.

SILVA, M. H. L. F. da; COSTA, V. A. de S. F. O fator humano como pilar da

Segurança da Informação: uma proposta alternativa. Serra Talhada (PE), 2019.

SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de

computadores: das LANs, MANs e WANs às redes ATM. 2. ed. Rio de Janeiro:
Campus, 2015.

SHAFQAT, Narmeen. Investigação forense da atividade da Web do usuário no

Google Chrome usando várias ferramentas forenses. Revista Internacional de
Ciência da Computação e Segurança de Redes, VOL.16 No.9, setembro de 2016.

STOCO, Rui. Tratado de responsabilidade civil: doutrina e jurisprudência. São

Paulo: Revista dos Tribunais, 2014.

TEFFÉ, Chiara Antonia Spadaccini de. Responsabilidade civil e liberdade de

expressão no Marco Civil da Internet: a responsabilidade civil dos provedores
por danos decorrentes de conteúdo gerado por terceiros. Revista de Direito
Privado,vol.63, ano 16, p.59-83. São Paulo: Ed. RT, jul./set. 2015.

TEIXEIRA, Tarcisio. Marco Civil da Internet: comentado. São Paulo: Almedina,

2016.