Tecnologia da Informação

Cartilha de primeiros passos - Segurança da Informação

Universidade La Salle
Envolvidos

Comitê de Tecnologia da Informação

Vitor Augusto Costa Benites
Patrick Ilan Schenkel Cantanhede
Helio Henrique Rodrigues Guimaraes
Jonas Rodrigues Saraiva
Mozart Lemos de Siqueira
Tércio Anderson Redel
Objetivo

1. Fornecer um conteúdo com linguagem facilitada, composto de tópicos que

julgamos essenciais e que tratam do importante tema que é a Segurança da
Informação;
2. Nivelar e capacitar a força de trabalho da Universidade La Salle, no que diz
respeito ao assunto abordado;
3. Reduzir situações e riscos à Instituição, que são provenientes da falta de
atenção nas tarefas diárias e na manipulação das informações e
4. Introduzir uma cultura de boas práticas no âmbito da Segurança da
Informação em nossa Instituição.
Refinando o Conhecimento
Refinando o entendimento
Segurança

1. Ato ou efeito de segurar; segureza, seguridade.

2. Estado do que se acha seguro ou firme; estabilidade, solidez.
3. Aquilo que protege de agentes exteriores; abrigo, proteção, resguardo.
4. Condição marcada por uma sensação de paz e tranquilidade.
5. Condição ou estado do que está livre de danos ou riscos.
6. Crença ou opinião firme; certeza, confiança, firmeza.
Refinando o entendimento
Informação

1. Ato ou efeito de informar(-se).

2. Conjunto de conhecimentos acumulados sobre certo tema por meio de
pesquisa ou instrução.
3. Explicação ou esclarecimento de um conhecimento, produto ou juízo;
comunicação.
4. Notícia trazida ao conhecimento do público pelos meios de comunicação.
5. Explicação sobre um processo dado por funcionário de repartição após este ser
despachado ou solucionado por autoridade competente;
6. Relatório escrito; informe.
Refinando o entendimento
Segurança da Informação, o que é?

Segurança da informação é um conjunto de métodos adotados estrategicamente para

gerenciar e prevenir riscos de roubo, perda e danos dos dados, sistemas,
conectividade, servidores e dispositivos.

O objetivo é detectar, documentar e, principalmente, combater as ameaças digitais e

não-digitais.

As ações de segurança da informação incluem o estabelecimento de um conjunto de

procedimentos executados de forma sincronizada, que visam proteger os ativos
físicos e digitais ligados à informação, independentemente de como ela é formatada,
transmitida (enviada e recebida), processada ou armazenada.
Refinando o entendimento
Pilares da Segurança da Informação
Disponibilidade
Os dados precisam estar acessíveis no momento em que forem requisitados, principalmente para
garantir a agilidade dos processos.
Ex.: Falha no link de Internet, impactando na operação de toda a Instituição.

Integridade
Deve-se garantir que os dados e arquivos que estão sendo lidos e manipulados estão
exatamente da forma como foram salvos (gravados).
Ex.: A nota de um aluno foi inserida no sistema, sendo essa 7,8, entretanto, por uma falha no processo, no
momento de gravar essa informação no banco de dados, foi registrada como 9,0.

Confidencialidade
Deve-se garantir que a informação, de acordo com a sua criticidade e sensibilidade, esteja
disponível somente às pessoas que possuem autorização para acessá-la.
Ex.: Um exame médico de um paciente sendo disponibilizado de forma pública em uma clínica.
Refinando o entendimento
Por que precisamos nos preocupar? (1)

Na medida em que os computadores e outros dispositivos digitais passaram a ser

essenciais para a vida pessoal e para as operações comerciais, também se tornaram
cada vez mais alvos de ataques cibernéticos. Dessa forma, para que a empresa use
um dispositivo, ou um software, ela deve ter certeza de que este uso é seguro. Isso
faz da Segurança da Informação uma estratégia primordial para a perenidade das
organizações.
Refinando o entendimento
Por que precisamos nos preocupar? (2)

A primeira ação necessária para se resolver um problema é entender e aceitar que ele
existe.

Após essa etapa de identificação, torna-se necessário compreender esse problema e

suas causas.

A maioria das pessoas não possui o conhecimento mínimo das ameaças existentes
no mundo virtual e, tampouco, sabe como se proteger dessas ameaças.

O mundo virtual é perigoso e oferece os mesmo riscos existentes no mundo real,

físico.
Refinando o entendimento
Por que precisamos nos preocupar? (3)

Desde crianças, construímos boas noções sobre o que é seguro, como por exemplo:

● Trancar bem a porta de nossa casa;

● Utilizar muros, cercas, grades e alarme;
● Evitar falar com estranhos ou aceitar balas e doces;
● Manter certos assuntos e informações em segredo.

No mundo virtual, aplicam-se exatamente os mesmos princípios, no entanto, devemos

lembrar que as ameaças não se restringem aos limites geográficos de uma casa ou um
prédio.
Refinando o entendimento
Por que precisamos nos preocupar? (4)

Alguns entendimentos podem nos limitar neste sentido, sendo muito comum alguns pensamentos
parecidos como os abaixo:

● Um hacker nunca vai se interessar no meu computador aqui em casa, não preciso de antivírus;
● Pagar pelo Windows é muito caro, vou conseguir uma cópia pirata com um conhecido, vai
funcionar do mesmo jeito;
● Minha empresa é pequena, “informática” é muito caro e “boas práticas” só é uma coisa boa no
papel. Vou fazer o mínimo necessário para que continue a emitir as faturas. O criminosos
virtuais só focam em grandes empresas.
Refinando o entendimento
Por que precisamos nos preocupar? (5)
Computadores são invadidos por criminosos virtuais basicamente pelos seguintes motivos:

● Envio massivo de mensagens de e-mail para propaganda, pornografia ou golpes

financeiros, ou seja, o popular Spam;
● Mascarar crimes, principalmente financeiros e de difamação, nos quais o criminoso
utilizará o seu equipamento como sendo a origem dos atos ilícitos, fazendo com que você
possa ser incriminado falsamente;
● Direcionar ataques a serviços e servidores da internet, em que o seu computador,
juntamente com milhares ou milhões de outros equipamentos comprometidos, atacam,
orquestradamente, um site de vendas on-line, por exemplo;
● Bisbilhotar sobre a vida privada de uma pessoa, obtendo informações pessoais, como
fotos, dados bancários, senhas ou o arquivo da declaração do imposto de renda, gerando
extorsão, chantagem ou manipulação da vítima.
Refinando o entendimento
Riscos ao utilizar a Internet
● Acesso a conteúdos impróprios ou ofensivos;
● Contato com pessoas mal-intencionadas;
● Furto de identidade;
● Furto e perda de dados;
● Invasão de privacidade;
● Divulgação de boatos;
● Dificuldade de controle e exclusão de seus dados;
● Dificuldade de detectar intenções e o caráter de outros internautas;
● Dificuldade de manter sigilo;
● Uso excessivo, vício;
● Plágio e violação de direitos autorais.
Conceituando
Conceituando
Ativos

São elementos de uma empresa que possuem valor. Tal valor pode ser tangível, como o
valor de um equipamento, ou pode ser intangível, como a boa reputação da marca frente ao
mercado.

Os ativos de uma empresa, no que tange à Segurança da Informação, podem ser divididos em
grupos, tais como: equipamentos, softwares, pessoas, ambientes, dados e processos.
Conceituando
Ameaças

Eventos, condições e situações indesejadas, intencionais ou não, que comprometem as

informações e seus ativos por meio da exploração de vulnerabilidades, podendo provocar perdas
de confidencialidade, integridade e disponibilidade, tais como:
● Ameaças naturais: decorrentes de fenômenos da natureza;
● Ameaças involuntárias: ameaças inconscientes, quase sempre causadas pelo
desconhecimento;
● Ameaças voluntárias: propositais causadas por agentes humanos como hackers, crackers,
espiões, entre outros.
Conceituando
Vulnerabilidades

São fragilidades associadas aos ativos que manipulam as informações e que, ao serem
exploradas por ameaças, permitem a ocorrência de um incidente de segurança. São também
elementos passivos, ou seja, por si só não provocam um incidente.

Para se tornarem efetivas, é necessário que exista um agente causador ou condição

favorável.
Conceituando
Ataque

Corresponde à concretização, bem-sucedida ou não, das ameaças anteriormente mencionadas.

Conceituando
Risco

Risco é a probabilidade de que as ameaças explorem as vulnerabilidades, causando,

possivelmente, impactos nos negócios.
Conceituando
Hacker

É uma pessoa que possui um grande conhecimento na área da Tecnologia da Informação.

Domina profundamente os tópicos de redes de computadores e seus respectivos protocolos,

linguagens de programação e automação, criptografia, hardware e etc.

Sua principal motivação é desafiar seus próprios limites, investigando e procurando por
falhas em softwares ou no processo. É curioso por natureza, e busca reconhecimento pelos
seus feitos.
Conceituando
Engenheiro Social

Trata-se de uma pessoa extremamente detalhista, capaz de estudar suas vítimas por meses,
procurando por informações até conseguir um ponto a ser explorado para o ataque.
Conceituando
Cracker

Aplica-se a ele a mesma definição dada ao hacker, contudo, com uma grande diferenciação.
Esta, é sua motivação.

O cracker é motivado por obter vantagem para si ou para outros que o tenham contratado.

Estas vantagens podem ser financeiras, causando prejuízos, desfalques e desvios de

dinheiro. Podem também ser difamações, roubo de informações pessoais para o uso em
chantagem, falsidade ideológica ou até espionagem comercial, industrial e militar.
Conceituando
Botnet

Botnet é o nome dado a um grupo composto de um número muito grande (milhares ou milhões)
de dispositivos, infectados por um código malicioso que é controlado de forma centralizada.

Esses dispositivos se transformam em dispositivos zumbis, que são aqueles que obedecem as
ordens de um criminoso virtual, e conduzem ataques de larga escala a um site ou sistema.

Os ataques de negação de serviço distribuída (DDoS) são originados destas botnets.

Conceituando
Vírus

É a praga virtual mais comum que existe. Normalmente precisa da interação do usuário para
infectar um equipamento.

Ocorre quando a vítima instala em seu dispositivo softwares de origem duvidosa ou ilícita.
Embutido nesse software vem o vírus, que pode atuar de diversas formas que visam impedir o
funcionamento correto do equipamento, também como roubar dados e senhas, corromper e
destruir arquivos.

Analogamente, como na vida real, os vírus possuem a capacidade de se multiplicar, passando de

equipamento em equipamento, por meio de rede cabeada, rede sem fio, pen drives, discos
rígidos externos, cartões de memória, cds, dvds e etc.
Conceituando
Worm

São softwares maliciosos mais complexos, que podem entrar em ação sem a intervenção do
usuário. Para tal, basta que o equipamento esteja vulnerável (desatualizado, mal configurado ou
com uma falha de segurança) e conectado a uma rede de computadores. Após infectar o
dispositivo, ele imitará o comportamento de um vírus, multiplicando-se em outros equipamentos
da rede.
Conceituando
Cookies

São informações que os sites que você acessa podem salvar em seu computador por meio do
navegador da internet. Tais informações representam o perfil de navegação do usuário naquele
site.

Com base nessas informações, é que propagandas são apresentadas dinamicamente para você.

Por exemplo, você pesquisa sobre um notebook em uma loja on-line. Após essa pesquisa,
propagandas de diversos notebooks continuarão a serem exibidas para você em outros sites, que
não necessariamente são de comércio eletrônico.
Conceituando
Spam
De uma forma simples, podemos entender que Spam são mensagens de e-mail indesejadas, não
solicitadas e de origens que não possuímos relação alguma.

O conteúdo dessas mensagens é diverso e pode variar desde boatos e mentiras, passando por
ofertas de produtos e serviços, propagandas e ações de marketing, e podendo chegar a golpes
de estelionato ou fishing.

Os anexos de um e-mail podem ser o meio pelo qual uma pessoa mal intencionada consegue
infectar um dispositivo (computador, notebook e etc.) com pragas virtuais.

O disparo dessas mensagens muitas vezes se origina de contas de e-mail válidas e lícitas e, que
por descuido, foram comprometidas (normalmente senha) e, a partir desse comprometimento,
são utilizadas para fins ilícitos, disparando centenas de milhares ou até milhões de mensagens.

Em outros casos, algo como um vírus pode infectar o dispositivo, acessar o catálogo de
endereços de e-mail de softwares como o Outlook, e utilizar desse catálogo para se propagar em
forma recursiva.
Conceituando
DoS (Deny of Service)

Em tradução direta significa negação de serviço.

Negação de serviço, que é um dos ataques mais comuns e ocorre quando o atacante visa
sobrecarregar um recurso (servidor, firewall, link ou serviço) com um fluxo de requisições superior
a capacidade que esse recurso possui para atender a demanda. O objetivo é causar
indisponibilidade do recurso em si, ou, em alguns casos, forçar o escalonamento de acessos via
falhas e vulnerabilidades.

Esse ataque normalmente ocorre a partir de uma ou poucas origens. Estas origens podem ser
dispositivos na própria rede local da empresa, como na Internet.
Conceituando
DDoS (Distributed Deny of Service)

Em tradução direta significa negação de serviço distribuída.

É a versão amplificada do ataque de negação de serviço. Neste caso, o atacante lança o ataque
a partir de dezenas ou centenas de milhares de equipamentos diferentes de forma coordenada.

Esses equipamentos normalmente fazem parte de redes zumbis, ou seja, que foram infectados
por vírus e outras espécies de pragas virtuais, ficando latentes e à espera do comando do
invasor, que fornecerá um alvo. Novamente o objetivo é causar indisponibilidade de recurso.
Conceituando
Backdoor

Software malicioso que, quando infecta um equipamento, abre portas de comunicação de rede,
permitindo o acesso remoto com poderes administrativos irrestritos.
Conceituando
Cavalo de Troia

O termo se baseia na história clássica da guerra entre Grécia e Troia, em que os Gregos
presentearam a cidade de Troia com um grande Cavalo de Madeira, contendo no seu interior
dezenas de soldados gregos para tomarem a cidade de maneira inesperada.

De forma análoga, o usuário, ao instalar um software comprometido, permite que um código

malicioso tome conta de seu equipamento, fornecendo acesso remoto e controle desse
equipamento por parte do atacante.
Conceituando
Keylogger

Software malicioso que, após instalado no dispositivo, registra tudo o que é digitado no teclado.
Os dados registrados podem ficar armazenados localmente no equipamento ou podem ser
enviados para o atacante. O objetivo é capturar senhas, número de cartões de crédito, conversas
e etc.
Conceituando
Mouselogger

Software malicioso que, após instalado no dispositivo, captura a tela ao redor do ponteiro do
mouse. Os dados registrados podem ficar armazenados localmente no equipamento ou podem
ser enviados para o atacante. O objetivo é capturar senhas, burlando os mecanismos de
segurança existentes nos sites, especialmente os de bancos.
Conceituando
Screenlogger

Software malicioso que, após instalado no dispositivo, captura todo o conteúdo exibido na tela de
um dispositivo. Os dados registrados podem ficar armazenados localmente no equipamento ou
podem ser enviados para o atacante. O objetivo é “fotografar” toda a atividade realizada pelo o
usuário.
Conceituando
Ransomware

Pode ser definido como o sequestro de dados. É a praga virtual mais usada atualmente. Após um
atacante obter acesso a um dispositivo, ele realiza a criptografia dos dados que estão nesse
dispositivo, impedindo,assim, que o proprietário tenha acesso a seus próprio dados. O atacante,
então, exige o pagamento de um resgate para descriptografar e devolver o acesso aos dados.

Normalmente o pagamento é exigido em criptomoeda, o que dificulta o rastreio.

Conceituando
Criptografar

Ato de cifrar (embaralhar) dados de forma que eles não possam ser compreendidos por outras
pessoas a quem não são destinados, mesmo que venham a cair em mãos de terceiros.

Somente conseguirá ler e compreender esta mensagem a pessoa que possuir conhecimento de
qual técnica foi utilizada para realizar o embaralhamento dos dados.
Conceituando
Descriptografar

Ato de desembaralhar os dados que foram criptografados, permitindo, dessa maneira, a sua
leitura e entendimento.

Para ser possível realizar a descriptografia, é necessário conhecer a técnica utilizada na cifragem
dos dados.
Protegendo-se!
Protegendo-se!
Conscientização

Acreditamos que até esse momento as suas percepções quanto aos riscos do mundo
virtual tenham sido atualizadas. Nosso objetivo é, dadas as devidas proporções,
deixar você, leitor, com a pulga atrás da orelha e, de certa forma, até um pouco
assustado com a realidade aqui apresentada.

Criminosos virtuais miram todos os dispositivos e serviços, sejam eles

pessoais, residenciais ou empresariais. Eles atacarão primeiramente aquilo que
garanta o melhor custo-benefício aos seus próprios objetivos.

Sendo assim, PROTEJA-SE!

Protegendo-se!
Antivírus

Antivírus são sistemas computacionais especializados que possuem a capacidade de

identificar, tratar ou impedir grande parte dos códigos maliciosos que infectam os
computadores e demais dispositivos. Cabe ressaltar que o antivírus não é uma bala
de prata, ou seja, ele não é capaz de resolver todos os problemas.

Para que o funcionamento do antivírus seja eficaz, ele deverá estar sempre
atualizado, isso significa receber constantemente informações de seu próprio
fabricante, instruindo como combater novas ameaças, que surgem diariamente.

Na Universidade La Salle, todas as estações de trabalho possuem antivírus

instalado de forma automática e constantemente atualizado. Os usuários não
têm permissão de desativar o seu funcionamento, sendo que, diariamente, por
volta do meio-dia, um exame extensivo é realizado em cada equipamento.
Protegendo-se!
Sistemas Operacionais
O sistema operacional é o software responsável por fazer a interface entre o
dispositivo físico (hardware) e o usuário. Exemplos de sistemas operacionais podem
ser: o clássico Microsoft Windows; a alternativa de software livre, Linux, e suas
diversas distribuições, ou até mesmo o próprio Android, presente na maioria dos
Smartphones.

Assim como os antivírus, os sistemas operacionais devem estar sempre atualizados,

contendo, dessa forma, correções para falhas de segurança e bugs que tendem a
surgir durante o ciclo de vida desses sistemas e que podem servir de porta de entrada
para ataques criminosos.

Na Universidade La Salle, utiliza-se, predominantemente, nas estações de

trabalho, o sistema operacional Microsoft Windows 10. As atualizações desse
sistema operacional são gerenciadas de forma automática através de políticas
de domínio, utilizando a ferramenta Microsoft WSUS.
Protegendo-se!
Firewall
O firewall pode ser definido com uma solução tecnológica especializada em analisar e bloquear o
tráfego de dados em uma rede de computadores ou Internet. Devido à complexidade de
funcionamento e à necessidade de poder de processamento, este software pode estar
relacionado com algum hardware específico, dedicado unicamente à esta tarefa.

Entretanto, existem alternativas compostas apenas por software, que podem ser instaladas nos
computadores, sendo que o próprio Microsoft Windows 10 disponibiliza uma versão de firewall
incorporada no próprio sistema operacional. O firewall serve também como complemento às
atualizações do sistema operacional e antivírus, garantido proteção a estes sistemas mesmo que
suas respectivas falhas ainda não tenham sido corrigidas.

Na Universidade La Salle, utiliza-se um firewall de borda, composto de software e hardware

específicos, que atuam como a primeira linha de defesa de perímetro da Instituição,
intermediando, filtrando e restringindo o tráfego oriundo da Internet e o tráfego da rede de
dados interna (LAN).
Protegendo-se!
Compartilhamentos
O uso compartilhado de recursos foi um dos fundamentos das redes de computadores,
racionalizando, assim, a utilização de impressoras, das quase extintas unidades de
CD/DVD, de scanners e do armazenamento de arquivos. Esse último (armazenamento de
arquivos) é um dos pontos mais fracos na estrutura de segurança, pois, caso utilizado de
forma descontrolada, pode gerar grandes perdas de dados, disseminação de pragas
virtuais, espionagem empresarial, sequestro de dados entre outros problemas. Pode
ocorrer com compartilhamento de rede, ou dispositivos móveis, como pen drives, cartões
de memória e hds externos

Na Universidade La Salle, o controle de compartilhamento de pastas é bloqueado

para os usuários, sendo disponibilizado e gerenciado em servidores locais de forma
centralizada pela equipe de TI, mediante solicitações formais, feitas via chamado
técnico. O uso de dispositivos móveis ainda não é proibido, no entanto, é fortemente
desaconselhado.
Protegendo-se!
Senhas (1)
Você compartilha a sua senha de acesso e cartão do banco com seus colegas de trabalho?
Acredito que não. Se essa é uma situação impensável, do ponto de vista pessoal, por que,
em ambiente empresarial deveria ser diferente?

Não compartilhe suas credenciais de acesso; elas são chaves que garantem a você o
acesso a recursos, assim como sistemas e informações, necessários para o
desenvolvimento de suas tarefas. Essas credenciais foram confiadas a você, utilize-as com
responsabilidade. Procure trocar de senha de tempos em tempos, isso garante a
manutenção do nível de segurança de suas credenciais de acesso.

Na Universidade La Salle, o acesso a rede, sistemas, contas de e-mail e demais

recursos computacionais são estipulados pela autenticação através da checagem de
credenciais compostas por um identificador de usuário e uma senha. Estas
credenciais possuem caráter pessoal e intransferível.
Protegendo-se!
Senhas (2)

Atenção!
A equipe de TI da Universidade La Salle nunca irá solicitar que você informe
a suas credenciais de acesso (usuário/senha), sob nenhuma hipótese. Caso
ocorra, por e-mail, presencialmente ou por telefone, entre em contato com a
equipe de suporte pelo e-mail suporte@unilasalle.edu.br e reporte o ocorrido.

Da mesma forma, durante um atendimento, nunca informe suas credenciais

de acesso.
Protegendo-se!
Senhas fortes
Não basta apenas restringir os acessos por meio da autenticação com credenciais. Quem aqui faria
como no dito popular “amarrar cachorro com linguiça”?

Por mais que seja incômodo para o ser humano, senhas precisam, sim, serem complexas. Boas práticas
que devem ser tomadas para a criação de uma senha segura:

● Evitar utilizar dados pessoais (datas, nomes, locais, números de telefone ou placas de carro);
● Evitar utilizar sequências repetitivas ou lógicas (abcde, 1a2b3c4d, 987654);
● Evitar anotar a senha em post-it ou pedacinhos de papel, guardados na gaveta, ou colados abaixo do
teclado;
● Possuir caracteres diversos, contendo números, letras maiúsculas, letras minúsculas, e caracteres
especiais (caracteres especiais são: !,@,#,$,%,&,*,-...) e
● Possuir no mínimo 8 caracteres de extensão.

Na Universidade La Salle, recomenda-se a criação de senhas compostas por caracteres diversos,

com o mínimo de 10 caracteres de extensão.
Protegendo-se!
Backup
Backup nada mais é que a prática de realização de cópias de segurança de dados críticos e
importantes. Do ponto de vista pessoal, esses dados podem ser fotografias, trabalhos da
faculdade, músicas, livros, e-mails, vídeos e etc. Caso tais dados não estiverem em ambiente de
nuvem (data centers) qualquer problema de hardware pode significar a perda de anos de
informações, normalmente com grande valor sentimental.

Do ponto de vista empresarial, a cópia de segurança é aplicada aos principais sistemas que
fazem o negócio funcionar, como banco de dados, documentos de texto, planilhas eletrônicas e
apresentações, o site da empresa dentre outros. O backup está profundamente relacionado com
a continuidade do negócio em caso de eventos desastrosos (tempestade, fogo, inundações,
terremotos, ataques de criminosos virtuais e etc.)

Na Universidade La Salle, aplica-se uma política de backup que mescla o armazenamento

em mídias de fitas magnéticas assim como armazenamento em nuvem, no ambiente
Google.
Protegendo-se!
Fator Humano
Se considerarmos todos os elementos envolvidos na Segurança da Informação como sendo uma
corrente, o elo mais fraco certamente será o ser humano.

Sair da zona de conforto, observar regras e procedimentos, podem ser movimentos enfadonhos,
caso não se entenda o motivo pelo qual eles existem e porque são necessários.

Cada ser humano é único, possui sua própria índole, caráter, princípios e crenças. Tudo isso
influencia no comportamento do indivíduo e no meio em que ele está.

Pessoas são influenciáveis e, algumas, mais facilmente que outras.

Na mesma linha, algumas pessoas são mais ingênuas que outras, não percebendo as más
intenções que existem por trás de palavras e ações.

Outras vezes, o que falta é a conscientização e capacitação. Entretanto, de nada adianta a

capacitação se ela não for observada e posta em prática.
Protegendo-se!
Engenharia social (1)

Trata-se da ameaça mais difícil de conter, justamente porque aborda o comportamento humano e
as relações entre as pessoas.

Neste tipo de abordagem, o atacante visa obter informações, não somente através do e-mail, ou
métodos automatizados, e sim, com a conversa, que pode ser por telefone ou presencialmente.
Por trás desse atacante podem estar um concorrente, alguma pessoa com interesses pessoais
ou um fornecedor querendo oferecer um produto ou fechar um contrato.

Utiliza-se da boa fé e da vontade de querer ajudar da vítima, perguntando por informações que
podem parecer inofensivas, durante uma conversa. Pode ser o comercial de uma empresa, um
consultor, um formulário on-line, um e-mail urgente, uma ligação telefônica representando um
instituto de pesquisas, que deseja elaborar uma estatística à respeito de um determinado
assunto.
Protegendo-se!
Engenharia social (2)

Quando as pessoas não adotam as medidas de Segurança da Informação recomendadas pela

empresa ou agem de forma indiferente, a engenharia social se torna a ação mais eficiente de
exploração das vulnerabilidades.

Na Universidade La Salle, estamos disponibilizando este material. Nosso objetivo é

capacitar nossa força de trabalho, pois a melhor forma de suavizar os riscos é por meio da
conscientização, do treinamento e da constante atenção no dia a dia.
Protegendo-se!
Dispositivos móveis (1)

Cada dispositivo possui suas próprias especificidades, capacidades de hardware e

software. A mobilidade de acesso e a facilidade de uso normalmente são inversamente
proporcionais aos princípios de segurança da informação.

Todos esses dispositivos possuem um sistema operacional (Window, IOs, Android, Linux e
etc.). O sistema operacional, por ser um software, infelizmente, mas naturalmente, irá
conter bugs e falhas em sua programação.
Protegendo-se!
Dispositivos móveis (2)

Para mitigar (suavizar) a possibilidade de problemas, recomendamos:

● Mantenha o equipamento sempre próximo de si;

● Mantenha o sistema operacional do dispositivo sempre atualizado;
● Não permita acesso ou aceite auxílio de pessoas desconhecidas;
● Ative os recursos de conectividade via Bluetooh e infravermelho somente quando for preciso.
● Se o dispositivo móvel possuir capacidade de criptografia no armazenamento de dados, utilize
esse recurso;
● Evite armazenar dados sensíveis localmente no dispositivo (projetos, relatórios, abordagens
estratégicas, contratos, pautas de reuniões e etc.);
Protegendo-se!
Dispositivos móveis (3)

● Em caso de furto ou roubo, registre o boletim de ocorrência, e tão logo possível, informe seu
superior e também informe à equipe de TI. Também não esqueça de trocar a senha dos serviços
Google (especialmente válido quando se trata de um smartphone em que se possua vínculo
com a conta de e-mail)

Na Universidade La Salle, quando um dispositivo móvel é cedido a um colaborador,

ele assina um termo de ciência se responsabilizando pelo bom uso do equipamento.

Equipamentos como os Chromebooks, por exemplo, só podem ser utilizados por

usuários que possuam uma conta de e-mail @unilasalle.edu.br. Esses equipamentos
também são gerenciados de forma centralizada, por meio da plataforma Google.
Protegendo-se!
WIFI
Mantenha sempre em mente:

● Desconfie de acessos WIFI públicos, que são liberados sem autenticação alguma;
● Desconfie de acessos WIFI públicos, em que a senha seja a mesma para todos os usuários;
● Procure não compartilhar acessos WIFI com vizinhos. Você não tem como saber quantas pessoas
podem utilizar essa mesma rede e quais são as suas intenções;
● Nos pontos de acesso WIFI que temos em casa, procure verificar se sua rede WIFI está configurada
para usar criptografía WPA/PSK2 (que é a criptografía mais atual);
● Ao ingressar em uma rede WIFI desconhecida, o tráfego de dados do seu equipamento poderá estar
sendo inspecionado por um terceiro, sem que você ou o dono do estabelecimento façam sequer ideia.

Na Universidade La Salle possuímos diversas topologias WIFI distintas, cada uma com seu
próprio objetivo e aplicação. Todas essas redes possuem mecanismos de identificação e
autenticação, necessários para a liberação do uso. O acesso está disponível somente para
colaboradores, alunos e convidados.

O acesso não é liberado ao público em geral, ou aqueles que não possuem vínculo com a
Instituição.
Protegendo-se!
Descarte de equipamentos
Todo dispositivo eletrônico possui um ciclo de vida operacional, normalmente contabilizado em 3
e 5 anos de utilização. Essa obsolescência, muitas vezes forçada pelos fabricantes, ocorre pela
evolução tecnológica, que exige, com o passar do tempo, dispositivos com maior capacidade de
processamento para rodar softwares cada vez mais complexos. Basta ter em mente de quanto
em quanto tempo trocamos nosso smartphone.

Ao encaminhar esses dispositivos defasados para o descarte de lixo eletrônico, devemos ter em
mente que eles contêm diversas informações privadas, que não devem ser obtidas por outras
pessoas. Um disco rígido de um computador de empresa ou a memória interna de um celular, por
exemplo, podem conter arquivos de contratos, informações financeiras, fichas de RH contendo
informações de funcionários, informações estratégicas de mercado e etc.

Na Universidade La Salle, existe um processo de descarte de equipamento documentado,

em que todos os discos rígidos são destruídos antes de serem encaminhados para a
empresa responsável pela reciclagem dos resíduos tecnológicos.
Exemplificando
Exemplificando
Fishing (1)

securitymultiplus18667@spontos6.brasilia.me é o endereço do remetente e obviamente não

tem relação nenhuma com o banco, mas tenta passar uma ideia de fidelidade, pois consta no
mesmo campo (“De:”) o texto, forjado, “Bradesco S/A”
Usuários desatentos fixam a atenção apenas no “Bradesco S/A”, ignorando o resto.
Exemplificando
Fishing (2)

Notem que neste tipo de golpe, no corpo do e-mail sempre teremos a instrução para acesso
a um endereço, neste caso “https://www.bradescomultiplusfidelidade.com.br/resgate”. Ao
acessar este endereço serão solicitadas informações pessoais/bancárias ou a realização de
um cadastro.
Exemplificando
Fishing (3)

Note que a mensagem foi gerada por um robô, de forma

automática, sem levar em consideração detalhes
importantes. No local do nome da pessoa, consta o
endereço de e-mail.

Neste caso, o atacante pretende obter dados da vítima,

ameaçando com a possibilidade de suspensão do cadastro,
juntamente com o saldo em criptomoedas, ou seja, dinheiro.
Por sorte, a utilização de criptomoeda ainda não é uma
coisa comum.

Seguindo o padrão, no fim da mensagem temos um link (em

forma de botão) que remeterá para outra página, onde serão
solicitados dados pessoais, senhas, nº de contas em bancos
e etc.
Exemplificando
Fishing (4)

Observe as evidências de que se trata de uma fraude:

● Campo “De:” o remetente é um usuário desconhecido, sem relação com a Instituição;
● Campo “Subject:” campo do assunto, consta Admin (tentando passar credibilidade, lembrando o
administrador) e parte do domínio da Instituição. Este campo aceita que seja escrito qualquer texto;
● Campo “To:” campo do destinatário, em branco;
● O corpo da mensagem, que claramente cria uma narrativa que assusta o usuário e que, por fim, ameaça com
o bloqueio dos acessos, caso o e-mail não seja respondido com informações sobre usuário e senha.
Exemplificando
Fishing (5)

Observe o campo do remetente, @trf1.com.br,

parece um domínio lícito. O que pode ter
ocorrido, neste caso, foi o corrompimento de
uma conta de e-mail deste domínio. A partir
desta conta de e-mail, uma mensagem de
golpe foi encaminhada para um ou mais
destinatários.
Ao por o ponteiro do mouse sobre o link
TRF-1 - MULTA - 1922,00 reais -
2020.38.00.019685-2 (TRF-1) podemos
observar (na parte de baixo da tela) que ele
aponta para um servidor hospedado na
Amazon, o
ec2-18-191-35-232.us-east-2.compute.amazon
aws.com
Exemplificando
Fishing (6)

Ao clicar neste link, será realizado o

download de um arquivo compactado
(.zip). Dentro deste arquivo compactado,
existe um arquivo de instalação de um
programa AKD_814.msi. Esse arquivo,
ao ser executado, instalará algum tipo de
praga virtual, como vírus, worm ou um
trojam.
Exemplificando
Spam (1)

Clássica mensagem
indesejada, referente a
propaganda de algum
produto. Notem o link
“https://bit.ly/2yBCG70”. Ao
clicar, você será
redirecionado ao site deste
produto, podendo até ser
um golpe de phishing ou
tentativa de infecção do
equipamento.
Exemplificando
Spam (2)

Mais um exemplo
clássico de oferta de
alguma facilidade em
troca de um serviço,
nesse caso, a limpeza do
nome.
Referências
SILVA, Gilson Marques da. Segurança da Informação Para leigos. Como proteger seus
dados micro e familiares na internet. Rio de Janeiro: Editora Ciência Moderna. 2011.

SÊMOLA, Marcos. Gestão da Segurança da Informação. Uma visão executiva. Rio de

Janeiro: Campus. 2014.

Centro de Estudos, Respostas e tratamentos de Incidentes de Segurança no Brasil.

Cartilha de Segurança para Internet. Disponível em: https://cartilha.cert.br/