Inserir

Planejamento
Título Aqui
Estratégico
Inserir
e Sistemas
TítulodeAqui
Segurança
da Informação
 Material Teórico
Principais Tipos de Ataques e Ameaças

Responsável pelo Conteúdo:

Prof. Me. Vagner da Silva

Revisão Textual:
Prof. Me. Luciano Vieira Francisco
 Principais Tipos de Ataques e Ameaças

• Introdução aos Ataques e às Ameaças;

• Tipos de Ataques.

OBJETIVOS DE APRENDIZADO
• Estabelecer os conceitos de ataque e ameaça e apresentar quais são os ataques mais utiliza-
dos em redes locais e de acesso remoto;
• Entender como são feitos os principais ataques e quais são as vulnerabilidades que alguns
protocolos oferecem na rede de computadores;
• Compreender porque a engenharia social é o ataque que mais oferece resultados positivos e
quais são os métodos mais utilizados atualmente.
UNIDADE Principais Tipos de Ataques e Ameaças

Introdução aos Ataques e às Ameaças

Ao descrever sobre segurança da informação, alguns termos surgirão frequentemente
e deverão ser bem-conceituados para a devida compreensão do assunto; de modo que
entre os conceitos utilizados em segurança da informação temos:
• Exploit: código capaz de explorar as vulnerabilidades;
• Vulnerabilidade: algo que está frágil, podendo fornecer uma porta de entrada a
um ataque;
• Ameaça: ação que se aproveita de uma vulnerabilidade;
• Ataque: incidência da ameaça sobre a vulnerabilidade;
• Risco: possibilidade de a ameaça ocorrer.

Em segurança da informação, os responsáveis devem estar sempre atentos às amea-

ças que a organização pode sofrer, afinal, pode colocar em risco os pilares da segurança
– confidencialidade, integridade, disponibilidade. As vulnerabilidades devem ser identifi-
cadas sob o risco de comprometer toda a segurança da organização.

As ameaças podem ocorrer de forma lógica, em que são usados códigos – exploit –, ou
física – podendo também comprometer a segurança dos dados pelo acesso ou exposição a
áreas ou equipamentos indevidos. Entre as ameaças físicas podemos citar:
• Alagamento;
• Raios;
• Desabamentos;
• Acessos indevidos.

E dentro do que conhecemos como ameaças lógicas temos:

• Infecções por vírus;
• Acessos remotos à rede;
• Violações de senhas.

Os ataques também se dividem em dois grupos, podendo ocorrer de maneira interna

ou externa:

Dentro da composição dos ataques internos estão os funcionários insatisfeitos ou

aqueles que querem, por algum motivo, vingança; há ainda aqueles que compõem or-
ganizações de espionagem. Em um aspecto mais atenuante – porém, não menos preju-
dicial à segurança – estão os funcionários despreparados e que pelas configurações ou
instalações malfeitas, podem comprometer a segurança da informação.

Os ataques externos geralmente são realizados por crackers que são motivados a en-
contrar vulnerabilidades em equipamentos e aplicativos para roubar dados confidenciais,
ou como desafio aos obstáculos que são colocados.

8
Tipos de Ataques
Há alguns ataques já bem conhecidos, objetivando o roubo de informações, ou então
a indisponibilidade do serviço; de modo que serão descritas as características dos prin-
cipais casos.

Denial of Service (DoS)

Tem como principal característica negar um serviço ao usuário. A indisponibilidade
do serviço pode ser realizada de diversas formas, desde a utilização de ferramentas que
inundem de requisições os servidores, até a geração de radiofrequências que interfiram
em dispositivos WiFi.

Inundar os servidores com solicitações pode fazer com que fiquem sobrecarregados
e sejam impedidos de executar as suas tarefas e, consequentemente, acabam por parar
o(s) serviço(s). Esse tipo de procedimento era muito usado há muitos anos, utilizando-se
do comando ping direcionado ao servidor a ser atacado.

Um dos ataques mais utilizados usa a vulnerabilidade do protocolo TCP. Ao fazer uma
requisição de página web a um servidor, há uma comunicação previamente estabelecida
para depois começar a trocar os dados da própria página. Tal comunicação prévia deno-
mina-se handshake triplo, correspondendo aos sinais dos passos 1, 2, 3 e 4 da Figura 1:

Servidor (Máquina B)
Cliente (Máquina A) 1 SYN Flag = 1, Seq # = 300
Seq # = 800, Ack = 301, SYN Flag = 1, ACK Flag = 1 2

3 Ack # = 801, ACK Flag = 1

Conexão TCP é estabelecida
4 [Data] Seq # = 301, Ack # = 801, ACK Flag = 1
Transferência de dados é iniciada
[Data] Seq # = 801, Ack # = 302, ACK Flag = 1 5

6 [Data] Seq # = 302, Ack # = 802, ACK Flag = 1

7 Seq # = 303, Ack # = 802, ACK Flag = 1, FIN Flag = 1

Conexão TCP desfeita em A
[Data] Seq # = 802, Ack # = 304, ACK Flag = 1 8
9 Seq # = 304, Ack # = 803, ACK Flag = 1
[Data] Seq # = 803, Ack # = 305, ACK Flag = 1 10
Seq # = 804, Ack # = 305, ACK Flag = 1, FIN Flag = 1 11
Conexão TCP desfeita em B
12 Seq # = 305, Ack # = 805
Conexão TCP é finalizada

Figura 1 – Handshake triplo TCP

A partir do passo 4 (Figura 1), os dados são trocados entre o cliente e servidor. O
ataque feito denomina-se SYN flooding, onde um computador cliente tenta estabele-
cer a comunicação utilizando-se de várias requisições do sinal SYN do passo 1. No
passo 2, o servidor envia uma resposta ao cliente e utilizando-se de uma ferramenta
ou comando adequado, o cliente não responde com o passo 3, ou seja, o cliente evita
apenas o passo 1 de forma ininterrupta. O servidor manterá abertas as conexões que
não foram respondidas pelo cliente, sobrecarregando-se de tal forma a parar o serviço.

9
9
UNIDADE Principais Tipos de Ataques e Ameaças

O DoS pode ser aplicado também em redes WiFi, geralmente de forma não inten-
cional ao instalar o roteador WiFi próximo a aparelhos que trabalham na mesma fre-
quência de transmissão – tais como fornos de micro-ondas, telefones sem fio e babás
eletrônicas –, interferindo na frequência e, consequentemente, bloqueando o sinal WiFi.
Um gerador de frequência com potência suficiente para anular o sinal WiFi pode tam-
bém ser empregado propositalmente a fim de parar esse serviço.

Distributed Denial of Service (DDoS)

Tem a mesma finalidade do DoS, porém, a sua forma de ataque é aplicada de modo
diferente, pois são empregadas várias máquinas para acometer um único servidor. Tais
ataques podem ser realizados utilizando-se um vírus instalado na máquina de uma pes-
soa que, sem saber da infecção, participará desse processo. Dito de outra forma, um
programa simples – vírus – pode ativar o ataque sem que o usuário perceba, reiterando
requisições de um servidor por tempo indeterminado.

Esse vírus, quando instalado em milhares de máquinas, pode ativar o ataque em um

momento pré-determinado, de modo que milhares de requisições serão realizadas ao
mesmo tempo, fazendo com que o servidor não consiga responder a todas, de modo a
parar o serviço em razão da alta demanda de requisições.

Para que esse tipo de ataque tenha sucesso, grande quantidade de máquinas deve
participar de forma simultânea. Além disso, para dar vazão aos pacotes requisitantes,
uma boa largura de banda se faz necessária. Essas características, aliadas a ferramentas
hackers, facilitam os ataques.

Port Scanning Attack

Este tipo de ataque consiste em utilizar ferramentas para encontrar vulnerabilidades.
Utilizado para varrer servidores em busca de portas abertas e possíveis informações que
possam ser utilizadas para invasão.

Há várias ferramentas disponíveis para fazer esse tipo de ataque. Primeiramente

utiliza-se o protocolo ICMP pelo comando ping, a fim de verificar se uma máquina está
ativa na rede, ou traceroute para mapear roteadores até um destino.

Após a confirmação das máquinas ativas, utiliza-se ferramentas para varrer as portas
que estiverem abertas. Conforme visto na Figura 1, a comunicação TCP é estabelecida
após a troca de informações entre as máquinas, de modo que a norma específica estabe-
lece o seguinte: sempre que houver uma porta aberta, responderá com um SYN + ACK;
e a toda porta fechada, responderá com um RST. Portanto, ao utilizar uma ferramenta
para varrer portas, esta saberá como informar o status de cada qual.

Ataque de Força Bruta

É a forma mais conhecida para quebrar senhas. Consiste em fazer um ataque utili-
zando várias tentativas e conexões a partir das credenciais de um provável usuário da
máquina a ser invadida. Diversas combinações de senhas são inseridas ou criadas em
uma lista que é usada para tal.

10
 A lista pode conter o nome de usuário e/ou a senha, então chamada de wordlist, a
qual apresenta uma combinação, comumente, de senhas utilizadas no ataque. Wordlist
pode ser encontrada para download na internet, ou pode ser gerada com ferramentas
disponíveis para tal finalidade.

Ataque MAC Flooding

Os ataques descritos até o momento são realizados por pessoas que estão fora da
rede da empresa; de modo que internamente, na própria rede LAN, há outras aborda-
gens que se aproveitam das vulnerabilidades que essa rede possa oferecer.

Assim, o ataque MAC flooding consiste em assaltar o switch da rede, este que arma-
zena, em sua tabela MAC, as correspondências de endereço MAC e porta do switch;
de modo que quando um quadro chega ao switch, possibilita abri-lo para ler o endereço
MAC de destino e verificar por qual porta tal quadro sairá. O problema está na limitada
quantidade de memória para armazenar esses endereços MAC.
Aproveitando-se dessa característica, o atacante gera vários endereços MAC falsos
que preencherão toda a tabela MAC, sem deixar espaço para endereços MAC verda-
deiros. Nessa situação, o switch comporta-se de um dos dois modos possíveis: sim-
plesmente deixa de funcionar; ou passa a encaminhar os pacotes de forma burra, ou
seja, encaminha para todas as portas, comportando-se como fosse um hub; neste caso,
encaminhar os quadros para todas as portas fará com que trafeguem na rede, sendo
facilmente capturados pelo atacante – enquanto que a análise dos pacotes capturados
pode ser realizada por ferramentas apropriadas.

ARP Spoofing
O protocolo ARP tem a função de buscar o endereço MAC de uma máquina pelo
endereço IP desta. Toda a comunicação em nível de camada dois é operada por quadros
que contêm os campos de endereço MAC de origem e destino para estabelecer comu-
nicação em uma rede LAN. Portanto, quando a máquina não sabe o endereço MAC, o
protocolo ARP entra em ação por broadcast para encontrá-lo.

O ataque ocorre a partir do momento em que uma máquina mal-intencionada recebe

tal solicitação, por broadcast, e responde com o seu endereço MAC. Assim, passa a
receber quadros da rede local e poderá capturá-los para análise.

Ransomware
Entre os ataques mais temerosos às empresas figura o ransomware, que consiste em
sequestrar os dados da organização, impossibilitando o acesso aos quais. Frequentemen-
te os ataques são realizados pelo acesso remoto ao computador-alvo, criptografando os
dados e informando, via mensagem, que serão devolvidos mediante um pagamento,
comumente realizado por meio de criptomoedas.

Esse tipo de ataque não é operado apenas pelo acesso remoto, pois há casos em
que ocorre ao se selecionar links maliciosos ou mesmo por algumas vulnerabilidades na

11
11
UNIDADE Principais Tipos de Ataques e Ameaças

máquina. Embora existam determinadas formas de infectar a máquina, o objetivo final

é sempre o mesmo, ou seja, deixar o usuário refém, pois não há muito o que se fazer
ao ser infectado.

Empresas tiveram prejuízos enormes, de modo que quando são veiculados ataques desse
tipo, muitas das quais preferem desligar as máquinas a ter os seus dados criptografados.
A paralisação da rede, pelo desligamento das máquinas, leva também a prejuízos significa-
tivos.

Os ataques que foram vistos até então envolvem alguma técnica ou ferramentas para
obter sucesso. Há, contudo, outra linha de ataques que contempla a manipulação dos
sentimentos das pessoas, utilizando-se de determinadas ferramentas, ou de uma “boa
conversa”, apenas; ataques assim são chamados de engenharia social, sobre os quais
discorreremos a seguir.

Engenharia Social
A engenharia social corresponde a um conjunto de técnicas utilizadas pela maioria
dos estelionatários ou mesmo por pessoas que realizam phishing na internet ou em
qualquer outro tipo de invasão com o objetivo de enganar, obter informações das pesso-
as, manipulando os seus sentimentos e as aspirações contidas nos seres humanos. Não
se trata de uma técnica empregada apenas por pessoas mal-intencionadas, mas também
muito utilizada por policiais para desvendar algum tipo de comportamento ilícito usado
em sites na internet.

O Facebook e qualquer outro site de relacionamento são pesquisados frequentemente

por policiais em busca de algum comportamento considerado estranho para, então, a
tomada de providências usando, quando necessário, algum recurso de engenharia so-
cial. Uma das técnicas que veremos no decorrer desta Unidade se refere à confiança, de
modo que as autoridades, passando-se por outras pessoas – a fim de criar certa afinida-
de –, tentam se aproximar de uma determinada pessoa para obter informações. Existem
vários meios usados pelos estelionatários com o objetivo de manipular os sentimentos,
métodos praticados tanto na internet como fora desta.

Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia de
segurança que tínhamos para manter os computadores longe de ataques não eram as
mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoamento e
desenvolvimento. Por exemplo, se formos comparar o Wind ows XP com o Windows 7,
perceberemos que novos recursos de segurança foram implementados.

Se os investimentos em segurança são realizados pelas empresas, se temos softwares cada

vez mais seguros e, consequentemente, redes de computadores protegidas, por que os ata-
ques aumentam?

Percebe-se uma contradição em relação ao exposto, de modo que a resposta é a seguinte:

12
 Os invasores perceberam que não adianta atacar a tecnologia, ou seja, o elo mais
fraco de toda a segurança ainda é o ser humano, afinal, o usuário continua por trás
dessas tecnologias. Assim, o fator humano é um problema gravíssimo, pois por mais que
existam sistemas seguros, suportados em tecnologias de ponta, a grande maioria dos
usuários não sabe lidar com o sistema de forma correta ou não recebe a instrução ou
treinamento adequado, subestimando a possibilidade de sofrer um ataque; daí que o ser
humano é facilmente enganado por um engenheiro social.

O tema engenharia social não é considerado novo, pois convivemos com isto o tempo
todo, o que comumente pode ser visto no comportamento das pessoas; afinal, sempre
que alguém se utilizar de algum tipo de sentimento para obter algo em benefício pró-
prio, isto será considerado engenharia social. É lógico que esse tipo de comportamento
é totalmente diferente daqueles que você estudaria nesta Unidade: existem engenheiros
sociais ditos “normais”, ou seja, que agem intuitivamente; e existem engenheiros sociais
que objetivam cometer crimes.

Portanto, a engenharia social se baseia em atacar o elo mais fraco do sistema, o ser
humano; razão pela qual é conhecida como a arte de enganar, manipulando pessoas e
obtendo informações sigilosas das quais.

Várias técnicas de engenharia social foram demonstradas no filme Hacker 2: operação takedown;
trata-se da história ficcional do hacker Kevin Mitnik, cassado pelo FBI depois de aplicar vários
ataques e conseguir informações sigilosas. Por este motivo, ficou preso durante cinco anos e
proibido de usar computadores.

Considerando as pessoas físicas, a engenharia social pode ser aplicada de várias for-
mas, pode-se, por exemplo, conseguir os dados da conta corrente – incluindo a senha.
É comum você ver pessoas desatentas em caixas de banco solicitando informações a
pessoas desconhecidas ou indivíduos se aproximando de outros para oferecer ajuda,
tendo como objetivo obter a senha e outras informações.

Temos também os casos de sequestro e ataques de vigaristas. O site de relaciona-

mento Facebook é uma rica fonte de informações, podendo ser utilizado com o objetivo
de sequestrar alguém, pois muitas pessoas deixam os dados considerados confidenciais
abertos para que qualquer outro possa acessar. Com isto, fica fácil levantar característi-
cas e informações para fazer um ataque de engenharia social, pois não é difícil arquitetar
uma invasão usando informações como nome do namorado, ano de nascimento, álbum
de fotos, recados, comunidades e outras informações que geralmente ficam expostas.

Por incrível que pareça, há ainda muitos usuários desatentos ou com pouco conheci-
mento, acabando por propiciar aos engenheiros sociais informações preciosas, com as
quais alguém pode iniciar contatos, seja por telefone, e-mail ou até fisicamente e ganhar
a confiança para posteriormente aplicar algum tipo de golpe.

No meio jurídico, as empresas devem se preocupar também com a engenharia social,

inclusive colocando-a como um dos itens de risco à segurança de rede, isto, infelizmente,

13
13
UNIDADE Principais Tipos de Ataques e Ameaças

nem sempre acontece nas organizações – embora, muitas vezes não percebam, sofrem
algum tipo de ataque usando a engenharia social.

O vazamento de informações é outro problema encontrado pelas organizações, pois

em uma conversa informal, um funcionário pode passar dados importantes e confiden-
ciais que poderão ser utilizados por empresas concorrentes.

É costume os funcionários se encontrarem após o expediente para um happ y hour

e trocar informações sobre o trabalho do dia a dia, de modo que um indivíduo pode se
aproveitar dessas circunstâncias e até tentar uma aproximação para obter mais infor-
mações. Neste caso, percebe-se que o funcionário não tem a maldade de prejudicar a
própria empresa, no entanto, acaba por fazê-lo.

Para que isso não aconteça, deve ser instruído dos riscos que determinadas informa-
ções podem causar à organização e a si caso venham a ser divulgadas para terceiros.
Certamente, a perda financeira será a consequência desse vazamento de informações,
portanto, conhecer as técnicas e os ataques usados em engenharia social é de suma
importância para todos aqueles que trabalham com informação.

Como você poderá ver ao longo desta Unidade, alguns casos são bem conhecidos e
outros surgirão; o importante a ser notado é que ainda que as formas de ataque sejam
diferentes entre si, o objetivo permanece o mesmo, a manipulação do ser humano.

Ademais, seja através da internet ou de telefone, a engenharia social pode ser reali-
zada por meio de ataques com as seguintes abordagens:
• Phishing consiste em um ataque onde são enviados e-mails para vários usuários. Tais
mensagens apresentam conteúdo que chamará a atenção, fazendo com que o desti-
natário abra a mensagem e execute o que veio como anexo ou clique no link que está
no corpo do próprio e-mail; com isto, um programa será executado e, provavelmen-
te, o seu computador terá as informações roubadas pelo qual. Esse tipo de ataque é
um dos mais utilizados pelos hackers atualmente.
• Pharming é outro tipo de invasão, o qual consiste em gerenciar vários phishing sob
a sua custódia – pharm significa fazenda, no sentido de criar, manter os computa-
dores infectados com phishing.

O roubo de identidade é uma terceira forma de ataque, comumente aplicada com

o envio de e-mail de pessoas conhecidas para prover confiança. Tal mensagem pode
conter arquivos para execução ou solicitar que o destinatário abra uma apresentação ou
veja uma imagem. O único problema é que embora o e-mail tenha o endereço da pessoa
conhecida, não foi enviado pela qual, ao passo que o conteúdo que fornece é malicioso.

Por acreditar que é um e-mail de uma pessoa conhecida, cria uma das principais
características da engenharia social, a confiança. Dificilmente o destinatário deixará de
ver o conteúdo enviado e contaminará a própria máquina com programas que lhe mo-
nitorarão e até roubarão as suas informações.

A engenharia social não usa apenas a tecnologia para atingir os seus objetivos, dado
que pode também se manifestar pessoalmente, ou seja, presencialmente e por meio das
seguintes técnicas:

14
 • No shoulder surfing uma pessoa fica observando a outra para obter dados como
o login e a senha. Em bancos ou laboratórios de informática, posicionam-se atrás
das vítimas, observando o que digitam. Muitos não dão tanta importância para esse
tipo de postura, no entanto, já houve casos em que bancos foram roubados com a
utilização desse método.
• Rush authentication utiliza da boa vontade de outra pessoa para ter acesso ao local
ou às informações dessa; por exemplo, determinada área pode ser acessada apenas
por quem tem cadastro biométrico; assim, para conseguir adentrar, o engenheiro
social pode simular que carrega uma caixa pesada, esperando que uma pessoa abra
a porta para si e, daí, pedindo que a segure a fim de que possa aproveitar a passa-
gem – dado que as suas mãos estão ocupadas carregando a tal caixa –, comumente
há pessoas que procuram ajudar as demais em situações difíceis; contudo, neste
caso, ainda que sem a utilização da biometria, o engenheiro social consegue entrar
no local que originalmente lhe era inacessível.

A confiança é muito explorada em engenharia social, de modo que – em outro exem-

plo – o golpe da música do telefone procura adquirir confiança de uma determinada
pessoa à qual se deseja atacar: esse tipo de abordagem consiste em gravar a música em
espera que determinada empresa costuma usar para, ao fazer uma chamada telefônica
a determinado funcionário dessa organização, então se passando por outro profissional
dessa mesma instituição, o engenheiro social comentar receber outra chamada e pedir
ao primeiro interlocutor que o aguarde por alguns instantes, momento em que coloca o
telefone em espera com a referida música para que, ao ouvir e reconhecer tal canção,
a vítima acreditar que tudo ocorre dentro da normalidade empresarial, ficando, a partir
daí, mais acessível e proativa em ajudar no que lhe for solicitado.

Boatos também podem trazer benefícios ao atacante. Por exemplo, considere que as
bolsas de valores ao longo do Planeta frequentemente sofrem com rumores de determi-
nadas notícias que se mostram falsas, fazendo com que oscilem para cima ou para baixo.
Nesse sentido, há algum tempo, bem antes de morrer, um boato sobre a saúde de Steve
Jobs, então da Apple, foi divulgado; em consequência disso, as ações da empresa caíram
significativamente. Caso essa notícia tenha sido veiculada com tal propósito, então o ata-
cante pôde aproveitar o momento de baixo valor das ações a fim de comprar a quantida-
de que seus recursos lhe permitiam; quando o boato foi, então, esclarecido, as ações da
empresa voltaram ao patamar financeiro original – ou passaram a valer um pouco mais
–, de modo que o boateiro fez valorizar a sua aquisição, pois comprou na baixa, tendo-as
valorizadas para, adiante, vender por um preço que lhe fosse mais interessante.

Conforme comentado, phishing é um ataque enviado por e-mail para chamar a aten-
ção do usuário através de conteúdo que o deixe curioso, comumente composto por
mensagens relacionadas à promoção ou o convidando a visitar determinada página de
relacionamento, ou ainda felicitando o destinatário pelo “prêmio ganho”.

Embora existam várias mensagens com conteúdos diferentes, o objetivo é um só, ou

seja, a descrição procura aguçar a curiosidade e fazer com que o usuário clique em um bo-
tão ou link para executar ou instalar e executar um programa na máquina. Quem pratica
o phishing é chamado de phishing scammer.

15
15
UNIDADE Principais Tipos de Ataques e Ameaças

Um exemplo típico de phishing está representado na seguinte Figura:

Figura 2 – Phishing O Boticário

Trata-se de um phishing muito bem feito, salvo que nenhuma empresa deve solicitar
que o usuário faça download de qualquer tipo de página, programa ou imagem, isto é
inadmissível; no entanto, as pessoas menos atentas, com menos conhecimento sobre
esse tipo de ataque – que, na verdade, é a grande maioria – acabam caindo em golpes
dessa natureza.

Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na seguinte

Figura, incentivando o destinatário a baixar um formulário para ser preenchido. Con-
siderando que não se baixa formulário para preencher, pois licitamente são oferecidos
em páginas da internet da própria empresa, uma vez salvo esse arquivo e executado, o
referido computador será contaminado.

Na maioria das vezes esse tipo de ataque solicita que o usuário faça o download ou
então clique em algum link para ser aceito na promoção; infelizmente, a maioria das
pessoas não tem o hábito de colocar o mouse sobre o link ou o botão de download
para verificar o endereço completo – se fizessem isso, constatariam estar prestes a exe-
cutar um programa. Os engenheiros sociais se aproveitam dessa falha de atenção para
instalar softwares com códigos maliciosos, pois a grande maioria dos usuários não sabe
diferenciar um programa e uma página de internet.

Ademais, o phishing é usado para atingir determinado perfil de usuários e, por este
motivo, é transmitido ao maior número de pessoas, afinal, algumas o apagarão, pois não
é de seu interesse, mas outras acessarão e possivelmente clicarão e instalarão o programa.
Portanto, vários tipos de propagandas e anúncios surgem a todo o momento com o obje-
tivo de contaminar grupos de pessoas que tenham interesse em determinadas promoções.

16
 Figura 3 – Phishing Chevrolet

Outro golpe advindo por e-mail é o Nigerian scan – ou fraude da Nigéria –, que con-
siste em enviar uma mensagem descrevendo histórias variadas, uma das quais sobre um
parente distante que morreu e deixou uma fortuna em dinheiro, de modo que o destina-
tário precisará pagar determinado valor relacionado aos custos documentais para que tal
fortuna seja depositada em sua conta corrente. Muitas outras variações dessas histórias
são inventadas, mas sempre com o mesmo propósito: depositar dinheiro mediante a
promessa de que receberá o valor indicado. Esse tipo de golpe já era praticado por meio
de cartas, de modo que atualmente o e-mail é empregado, entre outros motivos, porque
atinge maior quantidade de pessoas.

Há casos mais avançados de engenharia social, tais como os exemplos vistos, os

quais utilizando phishing para atingir um grupo específico de usuários a fim de aguçar a
curiosidade de seus integrantes.

O objetivo do engenheiro social é conquistar e manipular o sentimento das pessoas

e para chegar a essa meta pode usar o telefone, a internet, ou até mesmo o meio físico.
Os pontos principais manipulados são a curiosidade, confiança, simpatia, culpa, intimi-
dação e o orgulho, cada um a partir de técnicas totalmente diferentes e que podem ser
utilizadas com certa variação; vejamos mais alguns exemplos:

A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois não é
característica de um grupo específico, sendo inerente a todo ser humano, afinal, somos
movidos por essa qualidade. Portanto, se você fizer engenharia social por meio de um
phishing que tenha a característica de utilizar o princípio da curiosidade, certamente fará
com que alguns destinatários executem o programa que lhes foi enviado, mesmo em um
meio físico, veja: se visitar uma empresa e deixar um CD com a descrição “salário dos
funcionários”, ou “fotos da família do diretor X” em um local de significativo trânsito de

17
17
UNIDADE Principais Tipos de Ataques e Ameaças

pessoas, criará curiosidade naqueles que tiverem acesso a essa mídia, a qual, uma vez
executada, poderá infectar o computador do curioso.

A confiança é outro atributo que o engenheiro social pode utilizar, pois nessa condi-
ção agirá com mais facilidade; é o caso já citado sobre o e-mail enviado por um terceiro
que, colocando-se como fosse uma pessoa conhecida, comumente fará a vítima clicar
no link e até executar algum arquivo enviado, pois considerará que a mensagem advém
de uma pessoa conhecida. Como a confiança é reconhecidamente primordial aos en-
genheiros sociais, para que seja possível, deve-se ter boa aproximação às pessoas para
estabelecer um contato mais “espontâneo”.

Por sua vez, a simpatia acaba atraindo muitas vítimas, afinal, adoramos pessoas
simpáticas. Por exemplo, quando entramos em uma loja e um vendedor nos fica pressio-
nando ou, pelo contrário, não nos dá muita atenção, ou ainda nos trata com certo mau
humor, grandes são as possibilidades de não comprarmos em tal estabelecimento; por
outro lado, se o vendedor for simpático, prestativo, dificilmente deixaremos de adquirir
o produto necessário. Naturalmente que não se refere aqui à questão de valor e/ou qua-
lidade do produto ofertado, mas – para efeito didático – consideremos que as lojas têm
os mesmos critérios de preço e qualidade, de modo que às pessoas simpáticas nos será
mais difícil dizer não quando nos oferecem uma venda, ou nos pedem algo.

A simpatia está diretamente ligada ao orgulho, de modo que pessoas orgulhosas

gostam que outras falem bem de algo sobre si ou que tenha realizado. Dito de outra
forma, os elogios feitos às pessoas orgulhosas servem como portas à aproximação. Sem
surpresa, a simpatia é muito utilizada em ataques a pessoas orgulhosas.

A culpa também é explorada por engenheiros sociais, dado ser excelente meio a ser
empregado para obter informações, principalmente de pessoas com baixa estima, as
quais comumente se sentem responsáveis por qualquer motivo e, consequentemente,
podem ser facilmente manipuladas.

Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar e, in-
tuitivamente, a culpa pode se estabelecer por um simples serviço prestado. Por exemplo,
caso alguém faça um favor a você, algumas vezes poderá usar da seguinte frase: “Você
me deve uma”; significa que a culpa é manipulada, pois em algum momento lhe cobrará
pelo favor prestado.

A intimidação é diferente de tudo o que foi descrito até agora, pois se refere a fingir
ser o chefe ou estar no controle de uma determinada situação para atingir o seu obje-
tivo – em síntese, intimidar alguém. Geralmente o tom de voz usado na intimidação é
diferente em relação a outros tipos de ataque.

Mas por quais motivos uma pessoa acaba caindo nesses truques?

Uma das razões é que as pessoas não desconfiam de muitas coisas que acontecem
em seu dia a dia, como no caso dos e-mails enviados como propagandas – os mencio-
nados phishing.

18
 Deve-se, portanto, desconfiar de tudo o que é enviado pela internet; não executar
nada que não seja de pessoa confiável. De modo que se não estiver esperando um e-mail
e mesmo assim o receber, é sempre interessante checar a sua veracidade. Caso acesse
o conteúdo do e-mail, averigue com atenção o endereço que está por trás do link ou
botão – para isto, basta posicionar, sem clicar, o cursor do mouse sobre o link ou botão
para examinar, no canto inferior esquerdo da tela, o endereço completo.

Todos os documentos da empresa que estiverem em papel devem ser destruídos de

tal forma que nenhuma informação fique visível. Caso isto não ocorra e o engenheiro
social adquira esses papéis, poderá, com certa facilidade, saber o nome de determinadas
pessoas e se aproveitar disso.

Revelar dados sem consulta é outro caso usado pelos engenheiros sociais como, por
exemplo, determinada pessoa que venha a telefonar e solicitar os dados do gerente com
o argumento de precisar enviar informações ao qual; de modo que especial cuidado deve
ser tomado em casos assim – se a pessoa que solicita a informação não é conhecida,
então não deve ser informada.

Ademais, acessar sistemas duvidosos, tais como sites da internet, pode trazer progra-
mas maliciosos que serão executados na máquina em questão.

A curiosidade em se ter acesso a determinadas informações, como no caso do CD

colocado propositadamente em um local para que alguém o pegue e insira no compu-
tador, deve ser evitada, pois o próprio auto run poderá instalar arquivos maliciosos na
máquina em questão.

Conversar sobre o dia a dia e dados confidenciais da empresa estando fora desta
também deve ser evitado, pois caso isto ocorra, tais informações poderão ser adquiridas
por pessoas alheias que a usarão em benefício próprio.

A melhor forma de se defender dos ataques de engenharia social é o treinamento,

a participação em workshops e a divulgação dos tipos de ataque. A política é um dos
recursos igualmente utilizáveis para evitar essa prática criminosa.

19
19
UNIDADE Principais Tipos de Ataques e Ameaças

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

 Vídeos
História dos Vírus de Computador
https://youtu.be/zdxo0sL9q6o
Engenharia Social
https://youtu.be/PTs4__aHxI8

 Leitura
Cartilha de Segurança para Internet – Golpes na Internet
https://goo.gl/s914E2
Cartilha de Segurança para Internet – Outros Riscos
https://goo.gl/1cKkbD

20
Referências
GALLO, M. A.; HANCOCK, W. M. Comunicação entre computadores e tecnologias
de rede. São Paulo: Thomson Learning, 2003.

GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson

Education do Brasil, 2015.

21
21