Social Engineering Hacking Systems, Nations, and SocietiesPTBR

Machine Translated by Google
Engenharia social
Sistemas de hacking, nações
e sociedades
Engenharia social
Sistemas de hacking, nações
e sociedades
Michael Erbschloe
Imprensa CRC
Grupo Taylor & Francis

6000 Broken Sound Parkway NW, Suite 300
Boca Raton, FL 33487-2742
© 2020 por Taylor & Francis Group, LLC

CRC Press é uma marca do Taylor & Francis Group, uma empresa de informação
Nenhuma reivindicação de obras originais do governo dos EUA
Impresso em papel sem ácido
Livro Padrão Internacional Número-13: 978-0-367-31337-1 (brochura)
Este livro contém informações obtidas de fontes autênticas e altamente conceituadas. Esforços razoáveis foram
feitos para publicar dados e informações confiáveis, mas o autor e o editor não podem assumir a responsabilidade
pela validade de todos os materiais ou pelas consequências de seu uso. Os autores e editores tentaram rastrear os
detentores dos direitos autorais de todo o material reproduzido nesta publicação e pedem desculpas aos detentores
dos direitos autorais se a permissão para publicar neste formulário não foi obtida. Se algum material protegido por
direitos autorais não tiver sido reconhecido, por favor, escreva-nos e informe-nos para que possamos corrigi-lo em
qualquer reimpressão futura.
Exceto conforme permitido pela Lei de Direitos Autorais dos EUA, nenhuma parte deste livro pode ser reimpressa,
reproduzida, transmitida ou utilizada de qualquer forma por qualquer meio eletrônico, mecânico ou outro, agora
conhecido ou inventado no futuro, incluindo fotocópia, microfilmagem e gravação, ou em qualquer sistema de
armazenamento ou recuperação de informações, sem permissão por escrito dos editores.
Para obter permissão para fotocopiar ou usar material eletronicamente deste trabalho, acesse www.
copyright.com (http://www.copyright.com/) ou contate o Copyright Clearance Center, Inc. (CCC), 222 Rosewood
Drive, Danvers, MA 01923, 978-750-8400. A CCC é uma organização sem fins lucrativos que fornece licenças e
registros para uma variedade de usuários. Para as organizações que obtiveram uma licença de fotocópia do CCC,
um sistema de pagamento separado foi providenciado.
Aviso de marca comercial: nomes de produtos ou empresas podem ser marcas comerciais ou marcas registradas
e são usados apenas para identificação e explicação sem a intenção de infringir.
Visite o site da Taylor & Francis em

http://www.taylorandfrancis.com
e o site da CRC Press em

http://www.crcpress.com
Conteúdo
Autor ix
Capítulo 1 Introdução ao uso da engenharia social

por bandidos _ 1
1.1 Compreendendo a amplitude da engenharia social como
uma arma Esquemas de fraude de engenharia social 1.3 2
1.2 O submundo cibernético 1.4 FBI e parcerias estratégicas 5
1.5 As etapas básicas para combater ataques de phishing 11 8
9
1.6 Um novo nível de engenharia social para o século 21 14

1.7 A Organização deste Livro 18
1.8 Conclusão 1.9 20
Pontos-chave 1.10 21
Tópicos de discussão do seminário 22
1.11 Projeto de grupo de seminário 23
Termos-chave Referências 23
24
Capítulo 2 O Continuum da Engenharia Social

Abordagens 2.1 27
O que os invasores de engenharia social desejam 27
2.2 Tipos comuns de fraude 2.3 Golpes de 31
investimento em larga
2.4 Formas de escala
trabalhocom
dosengenharia social
invasores de engenharia 39
social 2.5 Conclusão 2.6 Pontos principais 48
50
50
v
vi Conteúdo
2.7 Tópicos de discussão do seminário 52
2.8 Termos-chave do projeto do grupo do 52
seminário Referências 52
53
Capítulo 3 Atividades de Engenharia Social Criminal 57
3.1 O golpe do suporte técnico 3.2 58
Comprometimento do e-mail comercial 61
3.4 A derrubada
Engenharia
da avalanche
social dos 3.5
golpes
Derrubada
educacionais
do jogo3.3 63
Zeus e das operações de criptolocker Os engenheiros 64
sociais estão atacando em várias frentes 3.7 A conexão norte-coreana

3.8 Conclusão 3.9 Pontos principais 3.10 Tópicos de discussão 66
3.6 do seminário 3.11 Grupo de seminário Termos-chave do projeto 68
Referências 71
74
74
76
76
76
77
Capítulo 4 Protegendo as Organizações Contra o Social

Eng in eering At tacks 81
4.1 Noções básicas de segurança para ataques de engenharia social 81

4.2 A aplicação da estrutura de segurança cibernética é um
processo contínuo 4.3 Os componentes da estrutura 83
4.4 Desenvolvimento de políticas de segurança 4.5 Proteção 85
de pequenas empresas contra ataques de engenharia social 88
4.6 Estabelecimento de uma cultura de segurança 4.7 Conclusão

91
95
99
4.8 Pontos principais 100
4.10 Termos-chave do projeto do grupo 101
do seminário Referências 101

102
Capítulo 5 Técnicas de ataque da engenharia social Aproveitando PII 105
5.1 Definindo informações de identificação pessoal (PII) 105
5.2 Por que as PII são um problema 107
5.3 O roubo de identidade é facilitado com as PII 5.4 110

A autodivulgação de PII também é um problema 5.5 O 113
assédio do doxxing 5.6 Legislação pendente do 114
Congresso abordando o doxxing 5.7 Exemplos reais de doxxing e

cyberbullying 5.8 Conclusão 5.9 Pontos principais 118
120
123
123
Conteúdo vii
5.11 Termos-chave do projeto do grupo 124
do seminário Referências 124

125
Capítulo 6 Hackeando o Eleitoral Democrático

Processo 127
6.1 Como as medidas ativas progrediram ao longo do tempo 127

6.2 Padrões de Engenharia Social na Política 132
6.3 Mensagens políticas de engenharia social 6.4 133
Pessoas de engenharia social 139
6.5 Ações do Departamento de Justiça contra Engenheiros Sociais 141

6.6 Conclusão 147
6.9 Tema do grupo de seminário Termos- 148
chave Referências 148

150
Capítulo 7 Ataques Socialmente Engenheirados por Pessoas Internas 153

7.1 A natureza da ameaça interna 7.2 Ameaças 153
à segurança nacional e de engenharia social 7.3 A Força-Tarefa 156

Nacional de Ameaças Internas 7.4 Ataques de engenharia social a 159
empresas 7.5
7.6 Etapas básicas
Conclusão para principais
7.7 Pontos proteção contra ameaças
7.8 Tópicos internas
de discussão 165
do seminário 7.9 Termos-chave do projeto do grupo de seminário 171

Referências 173
173
174
174
175
176
Capítulo 8 Educando as pessoas para a prevenção social

Eng in eering At tacks 179
8.1 Os ataques de engenharia social vêm em várias formas e
tamanhos 179
8.2 A diversidade nas populações eleitorais que precisam de educação

181
8.3 Neutralizando a Isca de Clique Educando os Usuários da Internet 189

8.4 Repensando como empacotar a engenharia social
Mensagem de Prevenção 191
8.5 Prevenindo a Radicalização de Indivíduos 8.6 FBI Kids 194

200
8.7 Conclusão 8.8 205
Pontos principais 8.9 205
Tópicos de discussão do seminário 8.10 206
Projeto de grupo de seminário Termos- 207
chave Referências 207

209
viii Conteúdo
Capítulo 9 A Ascensão da Escuridão Cibernética 211
9.1 A evolução das ameaças e vulnerabilidades cibernéticas 9.2 211
Varreduras de crimes cibernéticos em todo o país são impressionantes,

mas não suficientes 9.3 O homem que sabia sobre engenharia 216
social e fraude
218
9.4 Treinamento de aplicação da lei sobre crimes cibernéticos 220

9.5 Conclusões 222
9.8 Termos-chave do projeto do grupo do 223
seminário Referências 223

223
Glossário 225
Ind ex 235
Autor
Michael Erbschloe trabalhou por mais de 30 anos realizando análises

da economia da tecnologia da informação, políticas públicas relacionadas
à tecnologia e utilizando a tecnologia em processos organizacionais de
reengenharia. Ele é autor de vários livros sobre questões sociais e de
gestão de tecnologia da informação, a maioria dos quais abrange alguns
aspectos da informação ou segurança corporativa. Ele também lecionou
em várias universidades e desenvolveu currículos relacionados à
tecnologia. Sua carreira se concentrou em várias áreas inter-relacionadas:
estratégia de tecnologia, análise e previsão; ensino e desenvolvimento
curricular; escrever livros e artigos; falando em conferências e eventos
da indústria; publicação e edição; e análise de políticas públicas e
avaliação de programas. Ele é autor de livros e artigos abordando o uso
da Internet e da mídia social em esforços de engenharia social.
ix
1
Introdução a
Engenharia Social
Uso por bandidos
A engenharia social é um processo de ataque incrivelmente eficaz, com mais de

80% dos ataques cibernéticos, e mais de 70% daqueles de estados-nação, sendo
iniciados e executados pela exploração de seres humanos, em vez de falhas de
segurança de computador ou rede. Assim, para construir sistemas cibernéticos
seguros, é necessário não apenas proteger os computadores e redes que
compõem esses sistemas, mas também educar e treinar seus usuários humanos
sobre os procedimentos de segurança.
Os ataques a humanos são chamados de engenharia social porque manipulam
ou manipulam os usuários para que executem as ações desejadas ou divulguem
informações confidenciais. Os ataques de engenharia social mais gerais
simplesmente tentam fazer com que usuários desavisados da Internet cliquem
em links maliciosos. Ataques mais focados tentam obter informações
confidenciais, como senhas ou informações privadas de organizações ou roubar
coisas de valor de indivíduos específicos, ganhando confiança injustificada.
Esses ataques geralmente pedem que as pessoas executem o comportamento

desejado que o invasor deseja induzir da vítima. Para fazer isso, eles precisam
da confiança da vítima, que normalmente é conquistada por meio de interação
ou cooptada por meio de uma identidade copiada ou roubada. Dependendo do
nível de sofisticação, esses ataques atingirão indivíduos, organizações ou amplas
faixas da população. Os golpistas geralmente usam nomes familiares de empresas
ou fingem ser alguém conhecido da vítima. Um exemplo do mundo real de 2018
explorou o nome da Netflix quando um e-mail projetado para roubar informações
pessoais foi enviado a um número desconhecido de destinatários. O e-mail
afirmava que a conta do usuário estava suspensa porque a Netflix estava tendo
problemas com o faturamento atual
1
2 Engenharia social
informações e convidou o usuário a clicar em um link para atualizar sua forma de

pagamento.1
Uma das razões pelas quais os ataques de engenharia social funcionam é que é
difícil para os usuários verificarem toda e qualquer comunicação que recebem. Além
disso, a verificação requer um nível de conhecimento técnico que falta à maioria dos usuários.
Para agravar o problema, o número de usuários que têm acesso a informações
privilegiadas geralmente é grande, criando uma superfície de ataque proporcionalmente
grande.2
O ato de convencer indivíduos a divulgar informações confidenciais e usá-las para

ações maliciosas é antigo. Ataques de engenharia social ocorreram na Internet desde
que ela surgiu.
Mas antes do crescimento da Internet, os criminosos usavam o telefone, o serviço

postal ou a publicidade para se passar por um agente confiável para obter informações.
A maioria das pessoas concorda que o termo phishing se originou em meados da
década de 1990, quando era usado para descrever a aquisição de informações da conta
do provedor de serviços de Internet (ISP). No entanto, o termo evoluiu para abranger
uma variedade de ataques que visam informações pessoais ou corporativas possuídas
por indivíduos, inclusive por telefone, e-mail, mídia social, observação pessoal,
plataformas de jogos, roubo de cartas ou pacotes de entrega postal e, um velho favorito,
mergulho em lixeiras ou coleta de lixo.
1.1 Compreendendo a amplitude da engenharia social como uma arma
Independentemente da rede social, os usuários continuam sendo enganados online por

pessoas que se passam por outras pessoas. Ao contrário do mundo físico, os indivíduos
podem deturpar tudo sobre si mesmos quando se comunicam online, variando não
apenas de seus nomes e afiliações comerciais (algo que é bastante fácil de fazer
pessoalmente também), mas também estendendo-se ao sexo, idade e localização.
(identificadores que são muito mais difíceis de falsificar pessoalmente). Anos atrás, os
investigadores chamavam esses tipos de pessoas de confiança ou vigaristas.
Talvez como resultado dos tempos de alta tecnologia, os vigaristas são agora
referidos como envolvidos em engenharia social. Não deveria ser surpresa saber que o
Federal Bureau of Investigation (FBI) está investigando esquemas clássicos de fraude
de investimento, como esquemas Ponzi, que agora estão sendo executados em
mundos virtuais. Outros vigaristas são capazes de conduzir crimes de roubo de
identidade identificando erroneamente
Uso de engenharia social por bandidos 3
eles mesmos em sites de redes sociais e, em seguida, enganando suas vítimas

para que forneçam seus nomes de conta e senhas, bem como outras informações
de identificação pessoal.
Além dos crimes de roubo de identidade, os predadores de crianças usam
rotineiramente sites de redes sociais para localizar e se comunicar com futuras
vítimas e outros pedófilos. Em pelo menos um caso divulgado em 2018, um
indivíduo tentou extorquir fotos nuas de adolescentes depois de obter o controle
de suas contas de e-mail e redes sociais. Essa investigação específica do FBI
levou a uma sentença federal de 18 anos para o infrator, refletindo que esses
crimes são sérios e não serão tolerados.3
Engenharia social é o termo amplo para qualquer ataque que se baseia em

enganar as pessoas para que tomem uma atitude ou divulguem informações. A
engenharia social foi definida de várias maneiras, conforme mostrado no Quadro 1.1.
QUADRO 1.1 DEFINIÇÕES DE ENGENHARIA

SOCIAL
O ato de enganar um indivíduo para que ele revele informações

confidenciais, associando-se a ele para ganhar confiança e
Confiar em.
Fonte: NIST SP 800-63-2 em Social
Engenharia [substituído]
Uma tentativa de induzir alguém a revelar informações (por exemplo,

uma senha) que pode ser usada para atacar sistemas ou redes.
Fonte(s): CNSSI 4009-2015 (NIST SP 800-61 Rev. 2), NIST SP

800-61 Rev. 2 sob Engenharia Social, NIST SP 800-82 Rev. 2 sob
Engenharia Social (NIST SP 800-61)
Um termo geral para invasores que tentam enganar as pessoas para

que revelem informações confidenciais ou executem determinadas ações,
como baixar e executar arquivos que parecem benignos, mas na verdade
são maliciosos.
Fonte: NIST SP 800-114 sob Engenharia Social [substituído]

4 Engenharia social
O processo de tentar induzir alguém a revelar

informações (por exemplo, uma senha).
Fonte: NIST SP 800-115 sob Engenharia Social
O ato de enganar um indivíduo para revelar informações confidenciais,

obter acesso não autorizado ou cometer fraude associando-se ao indivíduo
para ganhar confiança e confiança.
Fonte: NIST SP 800-63-3 sob Engenharia Social
Fonte: Glossário. Centro de recursos de segurança do computador.

Acessado em 1º de fevereiro de 2019. https://csrc.nist.gov/glossary/
termo/engenharia social.
Hoje, o termo phishing evoluiu para abranger uma variedade de ataques

direcionados a informações pessoais ou corporativas. Originalmente, o phishing
era identificado como o uso de mensagens de correio eletrônico, projetadas para
se parecer com mensagens de um agente confiável, como um banco, site de
leilões ou site de comércio online. Essas mensagens geralmente imploram ao
usuário que tome alguma forma de ação, como validar as informações de sua
conta. Eles costumam usar um senso de urgência (como a ameaça de suspensão
da conta) para motivar o usuário a agir. Recentemente, surgiram várias novas
abordagens de engenharia social para enganar usuários desavisados. Isso inclui
a oferta de preenchimento de uma pesquisa para um site de banco on-line com
uma recompensa em dinheiro se o usuário incluir informações da conta e
mensagens de e-mail alegando ser de clubes de recompensa de hotéis,
solicitando aos usuários que verifiquem as informações do cartão de crédito que
um cliente pode armazenar em o site legítimo para fins de reserva. Incluído na
mensagem está um localizador uniforme de recursos (URL) para a vítima usar,
que direciona o usuário a um site para inserir suas informações pessoais. Este
site foi criado para imitar de perto a aparência do site legítimo. A informação é
então coletada e usada pelos criminosos. Com o tempo, esses e-mails e sites
falsos evoluíram para se tornarem tecnicamente mais enganosos para
investigações casuais.4
1.2 Esquemas de Fraude de Engenharia Social
Há uma variedade de esquemas de fraude na Internet sendo usados por criminosos

cibernéticos a qualquer momento. A título de exemplo, um esquema de fraude recente
envolveu um cibercriminoso obtendo acesso à conta de e-mail ou site de rede social de um
usuário desavisado. O fraudador, que dizia ser o titular da conta, passou a enviar
mensagens para os amigos do usuário. Na mensagem, o fraudador afirmava que estava
em viagem e teve seus cartões de crédito, passaporte, dinheiro e celular roubados e
precisava do dinheiro imediatamente. Sem perceber que a mensagem era de um criminoso,
os amigos transferiram dinheiro para uma conta no exterior sem validar a reclamação.
Os esquemas de phishing tentam fazer com que os usuários da Internet acreditem que
estão recebendo e-mail(s) de uma fonte confiável, mesmo que não seja o caso. Ataques
de phishing em usuários de sites de redes sociais vêm em vários formatos, incluindo
mensagens dentro do site de redes sociais de estranhos ou contas de amigos
comprometidas; links ou vídeos em um perfil de site de rede social que alegam levar a algo
inofensivo que acaba sendo prejudicial; ou e-mails enviados a usuários que afirmam ser do
próprio site da rede social. Os usuários de sites de redes sociais são vítimas dos esquemas
devido ao alto nível de confiança normalmente exibido ao usar sites de redes sociais. Os
usuários geralmente aceitam em seus sites privados pessoas que eles realmente não
conhecem ou, às vezes, não definem adequadamente as configurações de privacidade em
seus perfis. Isso dá aos cibercriminosos uma vantagem ao tentar enganar suas vítimas por
meio de vários esquemas de phishing.
Sites de redes sociais, bem como sites corporativos em geral, fornecem aos criminosos
uma enorme quantidade de informações para poderem criar documentos com aparência
oficial e enviá-los a alvos individuais que demonstraram interesse em assuntos específicos.
A natureza pessoal e detalhada das informações corrói o senso de cautela da vítima,
levando-a a abrir o e-mail malicioso. Esse e-mail conterá um anexo que contém um software
malicioso projetado para fornecer ao remetente do e-mail controle sobre todo o computador
da vítima.
No momento em que a infecção por malware é descoberta, geralmente é tarde demais

para proteger os dados contra comprometimento.
6 Engenharia social
Os cibercriminosos projetam malware avançado para agir com precisão para infectar,
ocultar o acesso, roubar ou modificar dados sem detecção. Os codificadores de malware
avançado são pacientes e são conhecidos por testar uma rede e seus usuários para avaliar
as respostas defensivas. Malware, também conhecido como código malicioso, refere-se a
um programa inserido secretamente em outro programa com a intenção de destruir dados,
executar programas destrutivos ou intrusivos ou comprometer a confidencialidade, integridade
ou disponibilidade dos dados, aplicativos ou dados da vítima sistema operacional. O malware
é a ameaça externa mais comum para a maioria dos hosts, causando danos e interrupções
generalizados e exigindo esforços extensivos de recuperação na maioria das organizações.
O malware avançado pode usar uma abordagem em camadas para infectar e obter privilégios
elevados em um sistema. Normalmente, esses tipos de ataques são agrupados com uma
tática adicional de cibercrime, como engenharia social ou explorações de dia zero.
O malware é freqüentemente empregado para se apropriar indevidamente de informações e

dados que podem ser facilmente usados, como credenciais de login, números de cartão de
crédito e contas bancárias e, em alguns casos, segredos comerciais.
Na primeira fase de uma infecção por malware, um usuário pode receber um e-mail de
spear phishing que obtém acesso às informações do usuário ou entra no sistema com as
credenciais do usuário. Depois que o cibercriminoso inicia uma conexão com o usuário ou
sistema, ele pode explorá-lo ainda mais usando outros vetores que podem fornecer acesso
mais profundo aos recursos do sistema. Na segunda fase, o hacker pode instalar um
backdoor para estabelecer uma presença persistente na rede que não pode mais ser
descoberta pelo uso de software antivírus ou firewalls.
Ladrões cibernéticos usam mineração de dados em sites de redes sociais como forma
de extrair informações confidenciais sobre suas vítimas. Isto pode ser feito
por criminosos em grande ou pequena escala. Por exemplo, em um esquema de mineração

de dados em larga escala, um cibercriminoso pode enviar um questionário “para conhecê-lo”
a uma grande lista de usuários de sites de redes sociais.
Embora as respostas a essas perguntas não pareçam maliciosas na superfície, elas
geralmente imitam as mesmas perguntas feitas por instituições financeiras ou provedores
de contas de e-mail quando um indivíduo esquece sua senha. Assim, um endereço de e-mail
e as respostas às perguntas do questionário podem fornecer ao cibercriminoso as
ferramentas para entrar em uma conta bancária, conta de e-mail ou conta de cartão de
crédito para transferir dinheiro ou desviar a conta. Mineração de dados em pequena escala
também pode ser fácil para os cibercriminosos se os usuários do site de rede

social não protegerem adequadamente seu perfil ou acesso a informações
confidenciais. De fato, alguns aplicativos de rede incentivam os usuários a
postar se estão ou não de férias, informando simultaneamente aos ladrões
quando não há ninguém em casa.5
Golpes de ransomware, que envolvem um tipo de malware que infecta
computadores e restringe o acesso dos usuários a seus arquivos ou ameaça
a destruição permanente de suas informações, a menos que um resgate, de
centenas a milhares de dólares, seja pago. O ransomware afeta computadores
domésticos, empresas, instituições financeiras, agências governamentais e
instituições acadêmicas, e outras organizações também podem e foram
infectadas por ele, resultando na perda de informações confidenciais ou
proprietárias, interrupção das operações regulares, perdas financeiras
incorridas para restaurar sistemas e arquivos e/ou danos potenciais à
reputação de uma organização.
O ransomware existe há vários anos, mas ultimamente houve um aumento
definitivo em seu uso por cibercriminosos. O FBI, juntamente com parceiros
dos setores público e privado, está mirando esses criminosos e seus golpes.
Quando o ransomware apareceu pela primeira vez, os computadores eram
predominantemente infectados por ele quando os usuários abriam anexos de
e-mail que continham o malware. Mas, mais recentemente, estamos vendo
um número crescente de incidentes envolvendo o chamado ransomware drive-
by, em que os usuários podem infectar seus computadores simplesmente
clicando em um site comprometido, muitas vezes atraídos por um e-mail
enganoso ou uma janela pop-up.
Outra nova tendência envolve o método de pagamento de resgate.
Enquanto alguns dos golpes de ransomware anteriores envolviam que as
vítimas pagassem resgate com cartões pré-pagos, agora as vítimas são cada
vez mais solicitadas a pagar com Bitcoin, uma rede de moeda virtual
descentralizada que atrai criminosos devido ao anonimato que o sistema
oferece. Outro problema crescente é o ransomware que bloqueia telefones
celulares e exige pagamentos para desbloqueá-los.
O FBI e parceiros federais, internacionais e do setor privado tomaram
medidas proativas para neutralizar alguns dos golpes de ransomware mais
significativos por meio de ações de aplicação da lei contra os principais
botnets que facilitaram a distribuição e operação de somware executado. Por
exemplo, o ransomware Reveton, distribuído por um malware conhecido como
Citadel, alertou falsamente as vítimas de que seus computadores haviam
8 Engenharia social
foi identificado pelo FBI ou pelo Departamento de Justiça como associado a

sites de pornografia infantil ou outras atividades online ilegais.
Em junho de 2013, a Microsoft, o FBI e parceiros financeiros interromperam
uma enorme botnet criminosa criada com base no malware Citadel, freando a
distribuição do Reveton. O Cryptolocker era um ransomware altamente
sofisticado que usava pares de chaves criptográficas para criptografar os
arquivos de computador de suas vítimas e exigia resgate pela chave de
criptografia. Em junho de 2014, o FBI anunciou, em conjunto com a interrupção
do botnet Gameover Zeus, que os Estados Unidos e as autoridades policiais
internacionais haviam apreendido os servidores de comando e controle do
Cryptolocker.6
1.3 O submundo cibernético
O impacto do cibercrime nos indivíduos e no comércio pode ser substancial,

com consequências que vão desde um mero inconveniente até a ruína
financeira. O potencial para lucros consideráveis é atraente para jovens
criminosos e resultou na criação de uma grande economia clandestina
conhecida como submundo cibernético. O submundo cibernético é um mercado
generalizado regido por regras e lógica que imitam de perto as do mundo dos
negócios legítimos, incluindo uma linguagem única, um conjunto de expectativas
sobre a conduta de seus membros e um sistema de estratificação baseado em
conhecimento e habilidade, atividades, e reputação.
Uma das maneiras pelas quais os cibercriminosos se comunicam no
submundo cibernético são os fóruns online. É nesses fóruns que os
cibercriminosos compram e vendem credenciais de login (como as de e-mail,
sites de redes sociais ou contas financeiras); kits de phishing, software malicioso
e acesso a botnets; e números de seguro social (SSNs) da vítima, cartões de
crédito e outras informações confidenciais. Esses criminosos estão cada vez
mais profissionalizados, organizados e possuem habilidades únicas ou especializadas.
Além disso, o cibercrime é cada vez mais transnacional por natureza, com
indivíduos que vivem em diferentes países ao redor do mundo trabalhando
juntos nos mesmos esquemas. No final de 2008, uma quadrilha internacional
de hackers realizou um dos ataques de fraude de computador mais complicados
e organizados já realizados. O grupo criminoso usou técnicas sofisticadas de
hacking para comprometer a criptografia usada para proteger os dados em 44
cartões de débito da folha de pagamento e, em seguida, forneceu uma rede de
caixas para sacar mais de US$ 9 milhões de mais de 2.100 caixas eletrônicos
em pelo menos 280 cidades em todo o mundo, incluindo cidades no Estados Unidos,
Rússia, Ucrânia, Estônia, Itália, Hong Kong, Japão e Canadá. A perda de $

9 milhões ocorreu em um período de menos de 12 horas. O submundo
cibernético facilita a troca de serviços, ferramentas, conhecimentos e
recursos de crimes cibernéticos, o que permite que esse tipo de operação
criminosa transnacional ocorra em vários países.
Além das consequências do crime cibernético associadas aos sites de
rede social, informações valiosas podem ser expostas inadvertidamente por
militares ou funcionários do governo por meio de seu perfil no site de rede
social. Em um caso recentemente divulgado, um indivíduo criou um perfil
falso em vários sites de rede social se passando por uma atraente analista
de inteligência e estendeu pedidos de amizade a contratados do governo,
militares e outros funcionários do governo. Muitos dos pedidos de amizade
foram aceitos, mesmo o perfil sendo de uma pessoa fictícia. De acordo com
relatos da imprensa, o engano forneceu ao seu criador acesso a uma
quantidade razoável de dados confidenciais, incluindo uma foto de um
soldado tirada em patrulha no Afeganistão que continha dados incorporados
identificando sua localização exata. A pessoa que criou os perfis falsos nas
redes sociais, quando questionada sobre o que estava tentando provar,
respondeu: A primeira coisa foi a questão da confiança e a facilidade com
que ela é dada. A segunda coisa foi mostrar quanta informação diferente
vazou através de várias redes. Ele também observou que, embora alguns
indivíduos reconhecessem os sites como falsos, eles não tinham um local
central para alertar os outros sobre a suposta fraude, ajudando assim a
garantir 300 novas conexões em um mês.
Vale a pena expandir este último ponto. Alguns sites de redes sociais
assumiram a responsabilidade de serem cidadãos corporativos modelo,
fornecendo voluntariamente funções para que os usuários denunciem atos de abuso.
Vários sites têm botões ou links fáceis de usar que, com um único clique,
enviarão uma mensagem ao administrador do sistema, alertando-o sobre
conteúdo potencialmente ilegal ou abusivo. Infelizmente, porém, muitos sites
não seguiram o exemplo. Alguns sites não permitem que os usuários
denunciem abusos, enquanto outros, intencionalmente ou não, desencorajam
a denúncia, exigindo que os usuários concluam uma série de etapas
onerosas sempre que desejam denunciar abusos.3
1.4 FBI e Parcerias Estratégicas
O Departamento de Justiça (DOJ) lidera o esforço nacional para processar

o cibercrime, e o FBI, em colaboração com outras leis federais
10 Engenharia social
agências de fiscalização, investiga crimes cibernéticos. A missão do cibercrime

do FBI é quádrupla: primeiro e mais importante, deter os responsáveis pelas mais
graves invasões de computador e a disseminação de códigos maliciosos; em
segundo lugar, identificar e impedir predadores sexuais online que usam a
Internet para encontrar e explorar crianças e para produzir, possuir ou compartilhar
pornografia infantil; terceiro, neutralizar operações que tenham como alvo a
propriedade intelectual dos Estados Unidos, colocando assim em risco a
segurança nacional e a competitividade; e quarto, desmantelar empresas
criminosas organizadas nacionais e transnacionais envolvidas em fraudes na
Internet. Para esse fim, o FBI estabeleceu esquadrões cibernéticos em cada um
de seus 56 escritórios de campo em todo o país, com mais de 1.000 agentes,
analistas e examinadores forenses digitais especialmente treinados. No entanto,
o FBI não pode combater essa ameaça sozinho.
Algumas das melhores ferramentas do arsenal do FBI para combater qualquer

problema de crime são suas parcerias de longa data com agências federais,
estaduais, locais e internacionais de aplicação da lei, bem como com o setor
privado e a academia. No nível federal, e até a data do mandato presidencial, o
FBI liderou a Força-Tarefa Conjunta de Investigação Cibernética Nacional
(NCIJTF) como um ponto focal nacional de várias agências para coordenar,
integrar e compartilhar informações pertinentes relacionadas a investigações de
ameaças cibernéticas, a fim de determinar a identidade, localização, intenção,
motivação, capacidades, alianças, financiamento e metodologias de grupos e
indivíduos de ameaças cibernéticas. Ao fazê-lo, os parceiros do NCIJTF apoiaram
toda a gama de opções do governo dos EUA em todos os elementos do poder
nacional.
O FBI também fez parcerias estreitas com organizações sem fins lucrativos,
incluindo amplas parcerias com o National White Collar Crime Center (NW3C),
estabelecendo o Internet Crime Complaint Center (IC3), a National Cyber-Forensic
and Training Alliance (NCFTA) , a InfraGard National Members Alliance no
estabelecimento do InfraGard, o Centro de Compartilhamento e Análise de
Informações de Serviços Financeiros (FS-ISAC) e o Centro Nacional para
Crianças Desaparecidas e Exploradas (NCMEC).
Apenas um exemplo de coordenação destaca como somos eficazes ao

trabalhar com essas parcerias estreitamente estabelecidas. No início de 2019, a
polícia e os promotores romenos conduziram uma das maiores ações policiais da
Romênia - uma investigação de um grupo do crime organizado envolvido em
fraudes na Internet. A investigação desdobrada
700 policiais que realizaram buscas em 103 locais, o que resultou na prisão de 34
pessoas. Mais de 600 vítimas desta rede criminosa romena eram cidadãos
americanos. O sucesso em derrubar esse grupo deveu-se em grande parte à força
da parceria entre as autoridades romenas e os parceiros federais, estaduais e locais
dos Estados Unidos. Por meio de ampla coordenação do adido legal (legat) do FBI
em Bucareste, o Internet Crime Complaint Center forneceu aos romenos mais de
600 reclamações que compilou a partir de envios ao portal de relatórios www.IC3.gov.
Além disso, e novamente em estreita coordenação com o legado do FBI, mais de 45
escritórios de campo do FBI auxiliaram na investigação conduzindo entrevistas para
obter declarações de vítimas em formulários de denúncia romenos e obtendo
relatórios policiais e cobrindo outras pistas de investigação dentro de suas divisões.
Trabalhando de perto com outras pessoas, compartilhando informações e

aproveitando todos os recursos e conhecimentos disponíveis, o FBI e seus parceiros
fizeram avanços significativos no combate ao crime cibernético. Claramente, há mais
trabalho a ser feito, mas por meio de uma abordagem coordenada, os Estados
Unidos se tornaram mais ágeis e receptivos em seus esforços para levar justiça aos
infratores mais flagrantes.3
1.5 As etapas básicas para combater ataques de phishing
Phishing é quando um golpista usa e-mails ou textos fraudulentos, ou copia sites de

gatos, para fazer você compartilhar informações pessoais valiosas, como números
de contas, números de previdência social ou IDs de login e senhas. Os golpistas
usam essas informações para roubar o dinheiro, a identidade ou ambos de uma
pessoa. Os golpistas também usam e-mails de phishing para obter acesso a
computadores ou redes; em seguida, eles instalam programas como ransomware
que podem impedir que os usuários acessem arquivos importantes em seus computadores.
Os golpistas de phishing atraem seus alvos para uma falsa sensação de
segurança, copiando os logotipos familiares e confiáveis de empresas legítimas
estabelecidas. Ou eles fingem ser um amigo ou membro da família. Os golpistas de
phishing fazem parecer que precisam das suas informações ou das de outra pessoa
rapidamente, ou algo ruim acontecerá. Eles podem dizer que sua conta será
congelada, você não conseguirá reembolsar o imposto ou seu chefe ficará bravo, até
mesmo que um membro da família será ferido ou você poderá ser preso. Eles contam
mentiras para chegar até você e dar-lhes informações.
Existem várias práticas que os usuários de computador devem empregar para evitar que o
phishing seja bem-sucedido:
• Seja cauteloso ao abrir anexos ou clicar em links em e-mails. Mesmo as contas de

seus amigos ou familiares podem ser invadidas. Arquivos e links podem conter
malware que pode
enfraquecer a segurança do seu computador.

• Faça sua própria digitação. Se uma empresa ou organização que você conhece lhe
enviar um link ou número de telefone, não clique. Use seu mecanismo de pesquisa
favorito para procurar o site ou o número de telefone por conta própria. Mesmo que
um link ou número de telefone em um e-mail pareça verdadeiro, os golpistas podem
ocultar o verdadeiro destino. • Faça a chamada se não tiver certeza. Não responda
a nenhum e-mail que solicite informações pessoais ou financeiras. Os phishers usam

táticas de pressão e se aproveitam do medo. Se você acha que uma empresa,
amigo ou membro da família realmente precisa de informações pessoais suas,
pegue o telefone e ligue para eles usando o número no site ou no catálogo de
endereços, não o número do e-mail. • Ative a autenticação de dois fatores. Para
contas compatíveis, a autenticação de dois fatores requer sua senha e uma
informação adicional para fazer login em sua conta.
A segunda parte pode ser um código enviado para o seu telefone ou um número
aleatório gerado por um aplicativo ou token. Isso protege sua conta mesmo que sua
senha seja comprometida. • Como precaução extra, você pode escolher mais de
um tipo de segunda autenticação (por exemplo, um PIN) caso seu método principal
(como um telefone) não esteja disponível. • Faça backup de seus arquivos em um
disco rígido externo ou armazenamento em nuvem.
Faça backup de seus arquivos regularmente para se proteger contra vírus ou

ataques de ransomware.
• Mantenha sua segurança atualizada. Use um software de segurança confiável e

certifique-se de configurá-lo para atualizar automaticamente.7
• Suspeite de telefonemas não solicitados, visitas ou mensagens de e-mail de
indivíduos perguntando sobre funcionários ou outras informações internas. Se um
indivíduo desconhecido alegar ser de uma organização legítima, tente verificar sua
identidade diretamente com a empresa.
• Não forneça informações pessoais ou informações sobre sua organização, incluindo

sua estrutura ou redes,
a menos que você tenha certeza da autoridade de uma pessoa para ter as
informações.
• Não revele informações pessoais ou financeiras em um e-mail e não responda

a solicitações por e-mail para essas informações.
Isso inclui os seguintes links enviados em e-mails.
• Não envie informações confidenciais pela Internet sem
verificar a segurança de um site.
• Preste atenção ao localizador uniforme de recursos de um site.
Sites maliciosos podem parecer idênticos a um site legítimo, mas o URL
pode usar uma variação na ortografia ou um domínio diferente (por
exemplo, .com vs. .net).
• Se você não tiver certeza se uma solicitação de e-mail é legítima, tente
verificá-la entrando em contato diretamente com a empresa. Não use as
informações de contato fornecidas em um site conectado à solicitação; em
vez disso, verifique as declarações anteriores para obter informações de contato.
• Instalar e manter software antivírus, firewalls e e-mail
filtros para reduzir parte desse tráfego.
• Aproveite todos os recursos anti-phishing oferecidos pelo seu cliente de e-

mail e navegador da web.
• Relatar e-mails e textos de phishing (Caixa 1.2).8
CAIXA 1.2 COMO DENUNCIAR ESQUEMAS DE PHISHING
Encaminhe e-mails de phishing para spam@uce.gov e para a organização

representada no e-mail. Seu relatório é mais eficaz quando você inclui o
cabeçalho completo do e-mail, mas a maioria dos programas de e-mail oculta
essas informações. Para garantir que o cabeçalho seja incluído, pesquise o
nome do seu serviço de e-mail com “cabeçalho de e-mail completo” em seu
mecanismo de pesquisa favorito.
Envie um relatório à Comissão Federal de Comércio da FTC.
gov/reclamação.
Visite Identitytheft.gov. Vítimas de phishing podem se tornar vítimas de
roubo de identidade; existem etapas que você pode seguir para minimizar o
risco.
Você também pode denunciar um e-mail de phishing para reportphishing@apwg.org.
O Anti-Phishing Working Group, que inclui ISPs, fornecedores de segurança,
instituições financeiras e agências de aplicação da lei, usa esses relatórios
para combater o phishing.
A Federal Trade Commission (FTC) e a National Association of Realtors®

alertaram os compradores de imóveis sobre um golpe de e-mail e transferência de
dinheiro em 2016. transações. Depois de descobrir as datas de fechamento, o hacker
enviaria um e-mail ao comprador, se passando por um profissional imobiliário ou
uma empresa de títulos. O e-mail falso diria que houve uma alteração de última hora
nas instruções de transferência e diria ao comprador para transferir os custos de
fechamento para uma conta diferente. Mas seria a conta do golpista. Se o comprador
mordesse a isca, sua conta bancária poderia ser liberada em questão de minutos.
Muitas vezes, isso seria dinheiro que o comprador nunca mais veria.
Naquela época, a FTC reiterou suas recomendações para não enviar informações
financeiras por e-mail e, se os usuários fornecerem informações financeiras na web,

para garantir que o site seja seguro. Procure um URL que comece com https (o “s”
significa seguro). E, em vez de clicar em um link em um e-mail para ir ao site de uma
organização, procure o URL real e digite você mesmo o endereço da web. Além
disso, tenha cuidado ao abrir anexos e baixar arquivos de e-mails, independentemente
de quem os enviou. Esses arquivos podem conter malware que pode enfraquecer
um com
segurança do computador.9
Os ataques de phishing também podem tentar alavancar eventos recentes, como

quando a violação de dados da seguradora de saúde Anthem afetou mais de 80
milhões de clientes. Os golpistas enviaram e-mails falsos da Anthem que fingiam

ajudar os clientes, mas na verdade faziam phishing para obter suas informações pessoais.
O e-mail falso foi projetado para parecer que veio da Anthem e pedia aos clientes
que clicassem em um link para monitoramento de crédito gratuito ou proteção de
conta de cartão de crédito. A Anthem informou que entraria em contato com clientes
atuais e antigos por correio com informações específicas sobre como se inscrever
no monitoramento de crédito. A Anthem também afirmou que não ligaria para os
clientes sobre a violação de dados ou pediria informações de cartão de crédito ou
números de previdência social pelo telefone.10
1.6 Um novo nível de engenharia social para o século XXI
A Rússia implantou formas híbridas de informação e guerra cibernética de maneiras

que, até agora, eram desconhecidas para a maioria dos americanos.
Ao transformar informações roubadas em armas e propagar desinformação, os

serviços de inteligência russos trabalharam para desacreditar os Estados Unidos
tanto em casa quanto no exterior, interromper sua política externa e semear
divisões internamente. O exemplo flagrante mais recente, é claro, foi a intervenção
da Rússia nas eleições presidenciais dos EUA em 2016, que a comunidade de
inteligência confirmou ter como objetivo ajudar na eleição do presidente Trump e
minar a confiança dos americanos no sistema eleitoral.
A intervenção russa em eleições estrangeiras para promover seus interesses

não é um fenômeno novo e não se limita aos Estados Unidos.
Os governos da Alemanha e da França soaram o alarme de que a Rússia está
atualmente conduzindo operações semelhantes em seu território antes das eleições
nacionais em 2019, visando candidatos considerados hostis aos interesses russos.
A Rússia também gasta recursos significativos em uma vasta rede de veículos

pró-paganda, incluindo o Russia Today (RT) nos Estados Unidos, para disseminar
a desinformação que enfraquece o consenso democrático e fortalece a margem
política. A RT supostamente gasta US$ 400 milhões apenas em seu escritório em

Washington; e tem mais assinantes do YouTube do que qualquer outra emissora,
incluindo a BBC. A Rússia supervisiona dezenas de outras fontes de notícias em
conjunto com a RT, semeando histórias obscenas por meio de um site que são
captadas e amplificadas por outros.
Nas sombras, a Rússia emprega centenas de jovens alfabetizados em inglês para
operar uma vasta rede de identidades online falsas para escrever posts e
comentários em blogs.
A capacidade da Rússia de travar uma guerra de informação foi grandemente
auxiliada por seus pesados investimentos no ciberespaço, onde os EUA
permanecem mal equipados para combater ou deter sua investigação agressiva. A
atividade da Rússia neste domínio reflete uma estratégia de segurança nacional
atualizada que enfatiza táticas assimétricas para explorar vulnerabilidades em
adversários enquanto enfraquece sua capacidade e determinação de contrariar a
política russa. Em relatórios públicos recentes, a comunidade de inteligência dos
EUA identificou a Rússia como um dos atores de estado-nação mais sofisticados no ciberespaço.11
A interferência da Rússia é tanto encoberta quanto aberta, onde as medidas
ativas são diversas, de maior escala e mais sofisticadas tecnologicamente. Eles
continuamente se adaptam e se transformam de acordo com a evolução da
tecnologia e das circunstâncias. Ao atacar a Europa e os Estados Unidos ao
mesmo tempo, a interferência parece ser voltada para minar
a eficácia e a coesão da aliança ocidental como tal e a legitimidade do Ocidente como
força normativa que defende uma ordem global baseada em regras universais, e não
apenas no poder.12
Em 2007, a Plataforma Facebook foi ampliada com mais aplicativos que permitiam
que o calendário de um usuário pudesse mostrar a agenda de seus amigos
aniversários, mapas para mostrar onde moram os amigos do usuário e agenda de
endereços para mostrar suas fotos. Para fazer isso, o Facebook permitiu que as
pessoas fizessem login em aplicativos e compartilhassem quem eram seus amigos e
algumas informações sobre eles. Então, em 2013, um pesquisador da Universidade
de Cambridge chamado Aleksandr Kogan criou um aplicativo de teste de personalidade.
Foi instalado por cerca de 300.000 pessoas que concordaram em compartilhar
algumas de suas informações do Facebook, bem como algumas informações de seus amigos cujos
as configurações de privacidade permitiram. Dada a forma como a plataforma

funcionava na época, Kogan conseguiu acessar algumas informações sobre dezenas
de milhões de amigos. Em 2014, para evitar aplicativos abusivos, o Facebook
anunciou que estava mudando toda a plataforma para limitar drasticamente as
informações que os aplicativos do Facebook podiam acessar. Mais importante ainda,
aplicativos como o de Kogan não podiam mais pedir informações sobre os amigos de
uma pessoa, a menos que seus amigos também tivessem autorizado o aplicativo. O
Facebook também exigia que os desenvolvedores obtivessem a aprovação do
Facebook antes que pudessem solicitar quaisquer dados além do perfil público, lista
de amigos e endereço de e-mail de um usuário. Essas ações impediriam que qualquer
aplicativo como o de Kogan pudesse acessar tantos dados do Facebook hoje.
Em 2015, o Facebook soube por jornalistas do The Guardian que Kogan havia
compartilhado dados de seu aplicativo com a Cambridge Analytica, embora seja
contra as políticas do Facebook que desenvolvedores compartilhem dados sem o
consentimento das pessoas. O Facebook baniu imediatamente o aplicativo de Kogan
e exigiu que Kogan e outras entidades para as quais ele forneceu os dados, incluindo
a Cambridge Analytica, certificassem formalmente que haviam excluído todos os
dados adquiridos indevidamente. Mais tarde, o Facebook soube pelo The Guardian,
The New York Times e Channel 4 que a Cambridge Analytica pode não ter excluído
os dados como eles haviam certificado. O Facebook imediatamente os proibiu de usar
qualquer serviço do Facebook.
A equipe de segurança do Facebook estava ciente das ameaças cibernéticas
russas tradicionais, como hacking e malware, há anos. Antes do dia da eleição em
novembro de 2016, o Facebook detectou e lidou com várias ameaças ligadas à
Rússia. Isso incluiu atividades de um grupo chamado APT28 que o governo dos EUA
vinculou publicamente ao russo
serviços de inteligência militar. Mas enquanto o foco principal estava nas

ameaças tradicionais, o Facebook também viu um novo comportamento no
verão de 2016, quando contas relacionadas ao APT28, sob a bandeira do
DC Leaks, criaram personas falsas que foram usadas para semear
informações roubadas para jornalistas. O Facebook fechou essas contas por
violar as políticas. Após a eleição, o Facebook continuou investigando e
aprendendo mais sobre essas novas ameaças e descobriu que malfeitores
usaram redes coordenadas de contas falsas para interferir nas eleições.
ção: Promover ou atacar candidatos e causas específicas, criar desconfiança
nas instituições políticas ou simplesmente espalhar confusão.
Alguns desses atores mal-intencionados também usaram ferramentas de
anúncios do Facebook como ferramentas de phishing para atrair as pessoas
ainda mais para a miríade de desinformação e desinformação. O Facebook
também soube de uma campanha de desinformação realizada pela Internet
Research Agency (IRA), uma agência russa que repetidamente agiu de
forma enganosa e tentou manipular pessoas nos Estados Unidos, Europa e
Rússia. O Facebook encontrou cerca de 470 contas e páginas vinculadas ao
IRA, que geraram cerca de 80.000 postagens no Facebook em um período
de dois anos. A melhor estimativa é que aproximadamente 126 milhões de
pessoas podem ter recebido conteúdo de uma página do Facebook associada
ao IRA em algum momento durante esse período. No Instagram, onde os
dados de alcance não são tão completos, foram encontrados cerca de 120
mil conteúdos, e a estimativa é que mais 20 milhões de pessoas tenham sido
atendidas. No mesmo período, o IRA também gastou aproximadamente US$
100.000 em mais de 3.000 anúncios no Facebook e no Instagram, que foram
vistos por cerca de 11 milhões de pessoas nos Estados Unidos. O Facebook
encerrou essas contas IRA em agosto de 2017.13
Em um rascunho do white paper divulgado pelo senador dos EUA Mark
R. Warner em 2018, ele afirmou que, durante a investigação do Congresso
dos EUA sobre a interferência da Rússia nas eleições de 2016, até que ponto
muitas tecnologias da Internet foram exploradas e seus provedores
repetidamente pego desprevenido tem sido inconfundível. Mais do que
iluminar a capacidade dessas tecnologias de serem exploradas por
malfeitores, as revelações de 2018 revelaram o lado obscuro de todo um
ecossistema. A velocidade com que esses produtos cresceram e passaram
a dominar quase todos os aspectos de nossas vidas sociais, políticas e
econômicas obscureceu, de muitas maneiras, as deficiências de seus
criadores em antecipar os efeitos nocivos de seu uso. O governo
não conseguiu se adaptar e foi incapaz ou não quis lidar adequadamente com os
impactos dessas tendências na privacidade, competição e discurso público.
Warner afirmou ainda que o tamanho e o alcance dessas plataformas exigem

que asseguremos supervisão adequada, transparência e gerenciamento eficaz de
tecnologias que, em grande medida, sustentam nossas vidas sociais, nossa economia
e nossa política. Existem inúmeras oportunidades para trabalhar com essas
empresas, outras partes interessadas e formuladores de políticas para garantir que
estamos adotando salvaguardas apropriadas para garantir que esse ecossistema
não exista mais como “o oeste selvagem”—
não gerenciado e não responsável perante os usuários ou a sociedade em geral -
mas, em vez disso, opera para a vantagem mais ampla da sociedade, da concorrência
e da inovação de base ampla.
Este é apenas o começo da descoberta de como as ferramentas de mídia social

foram e estão sendo usadas em campanhas de engenharia social. Também é
apenas o começo do que será um esforço de longo prazo para regulamentar os
provedores de mídia social e exigir que eles protejam o público dos engenheiros
sociais que usam essas ferramentas para manipular o comportamento e impactar o
resultado das eleições e o funcionamento das instituições sociais.14
1.7 A Organização deste Livro

Este livro foi desenvolvido para economizar tempo dos gerentes e soldados de
segurança cibernética que, de outra forma, levariam para pesquisar todos os
aspectos das abordagens de engenharia social e métodos de mitigação. Como
resultado, este livro informará melhor os planejadores sobre o estabelecimento de
metas e sobre ações defensáveis a serem tomadas contra ataques de engenharia
social e capacitará melhor os gerentes a lidar com aqueles que podem vitimizá-los.
Para tornar este livro útil para aulas de seminário de nível profissional ou de pós-
graduação, Tópicos de Discussão de Seminário são fornecidos em cada capítulo,
bem como possíveis Projetos de Grupo de Seminário que não devem levar mais de
30 minutos para o trabalho do grupo, com tempo para grupos apresentem seus
resultados. Os capítulos são organizados de forma a fornecer a análise do uso da
engenharia social por diferentes tipos de criminosos ou organizações legítimas e
grupos de interesses especiais.
O Capítulo 1 fornece uma breve introdução à engenharia social, phishing e aos
esforços da polícia nos Estados Unidos para combater o crime eletrônico.
O Capítulo 2 examina a continuidade das abordagens e táticas de

engenharia social que os golpistas empregam para explorar ou roubar
informações ou dinheiro das vítimas, incluindo indivíduos e organizações. Isso
inclui e-mails e sites falsos evoluindo para se tornarem mais tecnicamente
enganosos para investigações casuais, e a definição de phishing cresceu para
abranger uma ampla variedade de crimes financeiros eletrônicos.
O Capítulo 3 examina várias abordagens para golpes de phishing que
floresceram nos últimos anos devido a condições econômicas e tecnológicas
favoráveis. O capítulo também fornece uma visão geral das agências
governamentais que combatem golpes, roubo de identidade e fraude online
em geral, incluindo o Internet Crime Complaint Center (IC3), a Federal Trade
Commission (FTC), que trabalha para prevenir fraudes, enganosas e práticas
comerciais desleais no mercado e a Comissão de Valores Mobiliários (SEC),
que protege contra fraudes no mercado de valores mobiliários. Muitas das
reclamações tratadas pela SEC referem-se a crimes perpetrados por meio do
uso de engenharia social. Além disso, o capítulo analisa várias instâncias de
engenharia social empregadas para cometer atos criminosos.
O Capítulo 4 enfoca a proteção de organizações e indivíduos contra

ataques de engenharia social. A cultura de segurança de uma organização
contribui para a eficácia de seu programa de segurança da informação.
A equipe de gerenciamento deve entender e apoiar a segurança da informação
e fornecer recursos apropriados para desenvolver, implementar e manter o
programa de segurança da informação. O resultado desse entendimento e
suporte é um programa no qual a gerência e os funcionários estão
comprometidos em integrar o programa às linhas de negócios, funções de
suporte e programas de gerenciamento de terceiros.
O Capítulo 5 analisa como os ataques de engenharia social são mais
eficazes quando a isca ou o estratagema se encaixa em um contexto que o
destinatário de uma mensagem considera rotineiro ou normal. A grande
quantidade de informações de identificação pessoal (PII) disponíveis na
Internet torna mais fácil para os invasores de engenharia social encontrar
assuntos que possam ser relacionados a indivíduos em suas vidas privadas e
funcionários corporativos na busca de suas atividades comerciais. Assim, as
informações publicamente disponíveis sobre indivíduos ou organizações
tornaram-se um problema de segurança porque podem ser usadas em ataques
de engenharia social a sistemas ou tentativas de fraudar ou roubar identidades.
O capítulo analisa muitos dos problemas de segurança relacionados às PII.
O Capítulo 6 examina o debate e a especulação sobre a exploração da

mídia social por organizações estrangeiras para influenciar o resultado das
eleições nos Estados Unidos e na Europa durante as eleições recentes. Há
pouca dúvida de que as organizações russas, e talvez as de outras nações,
de fato usaram a mídia social para tentar influenciar as eleições. Este capítulo
fornece uma breve visão geral do testemunho de executivos de mídia social
perante o Congresso dos EUA. Em seguida, ele continua examinando a
atividade de atores estrangeiros, bem como o uso de engenharia social por
organizações e indivíduos domésticos para influenciar os resultados das
eleições.
O Capítulo 7 examina os ataques de engenharia social perpetrados por
pessoas de dentro da empresa que conseguiram entrar em agências
governamentais apenas para acabar saindo com materiais sigilosos e classificados.
Não é apenas o governo que está em risco – todas as organizações enfrentam
algum nível de ameaça de pessoas de dentro e a possibilidade de que alguém
de dentro possa colaborar e conspirar com alguém de fora para roubar, sabotar
ou humilhar seus funcionários. Neste capítulo, voltamos nossa atenção para
os esforços dos ataques de engenharia social internos.
O Capítulo 8 examina a necessidade de maiores esforços educacionais
sobre engenharia social. Quando se trata de prevenir ataques de engenharia
social, as principais defesas são prevenir spam, exigir permissões para o
código executar um sistema e uma coleção de dicas oferecidas por várias
organizações e agências governamentais. Esses esforços certamente foram
úteis para reduzir o número e a eficácia dos ataques de engenharia social, mas
os ataques continuam e as pessoas continuam sendo vítimas ao custo de
bilhões de dólares todos os anos. O esforço de educação precisa ser muito
ampliado e, acima de tudo, precisa incluir informações precisas para combater
a desinformação, a desinformação e as fake news – e poder fazer isso com
informações imparciais e precisas. Isso exigirá o uso de todas as ferramentas
de comunicação para informar as pessoas sobre materiais imprecisos ou
maliciosos que circulam por todas as mídias nas quais são identificados.
O Capítulo 9 tira conclusões dos capítulos anteriores e também enfoca o

futuro dos esforços para combater ataques de engenharia social.
1.8 Conclusão
Nada está fora dos limites do cibercriminoso, quer eles usem phishing,
ransomware, falsificação de identidade ou outras formas de fraude.
O inspetor geral da Administração da Seguridade Social (SSA) alertou o público e os

beneficiários da previdência social, em particular, para estarem cientes de fraudes que
visam informações pessoais. Os golpistas usam telefonemas, e-mails e outros métodos
para obter informações pessoais e, em seguida, usam-nas para cometer roubo de
identidade. Em golpes recentes, ladrões de identidade se fizeram passar por funcionários
do governo na tentativa de convencer as pessoas a fornecer informações pessoais e
financeiras. Eles podem alegar ser funcionários da SSA – ou funcionários da Federal
Emergency Management Agency (FEMA), após o furacão Sandy – e pedir números de
seguro social e informações bancárias para garantir que as pessoas possam receber seus
benefícios. Os golpistas também podem alegar que uma pessoa ganhou na loteria ou
outro prêmio, mas devem enviar dinheiro para pagar taxas, impostos ou outras despesas
antes de poderem reivindicar seus ganhos.15
Roubo de identidade fiscal é quando alguém usa um SSN roubado para obter uma
restituição de impostos ou um emprego. As pessoas podem descobrir que isso aconteceu
quando recebem uma carta do Internal Revenue Service (IRS) dizendo que mais de uma
declaração de imposto foi registrada com seu SSN, ou os registros do IRS mostram que
eles ganharam renda de um empregador que não conhecem. Ou, o IRS pode rejeitar sua
declaração de imposto de renda eletrônica como um arquivamento duplicado. Os golpistas
fiscais também usam e-mail e telefonemas para tentar convencer os contribuintes a
fornecer informações pessoais. O IRS alertou sobre esses golpes inúmeras vezes.16
1.9 Pontos Chave
Os principais pontos abordados neste capítulo incluem:
• A engenharia social é um processo de ataque incrivelmente eficaz, com mais de

80% dos ataques cibernéticos e mais de 70% daqueles de estados-nação
sendo iniciados pela exploração de humanos em vez de falhas de segurança
de computador ou rede.
• Os ataques de engenharia social geralmente pedem que as pessoas executem
um comportamento desejado que o invasor deseja induzir a partir do
vítima.
• Engenharia social é o termo amplo para qualquer ataque que se baseia em

enganar as pessoas para que tomem uma atitude ou divulguem informações.
• Os esquemas de phishing tentam fazer com que os usuários da Internet acreditem
que estão recebendo e-mail de uma fonte confiável, quando não é o caso.
• Sites de redes sociais, bem como sites corporativos em geral, fornecem aos
criminosos uma enorme quantidade de informações para enviar documentos com
aparência oficial e enviá-los a alvos individuais que demonstraram interesse em
assuntos específicos.
• Na primeira fase de uma infecção por malware, um usuário pode receber um e-mail
de spear phishing que obtém acesso às informações do usuário ou entra no sistema
com as credenciais do usuário.
• O impacto do cibercrime nos indivíduos e no comércio pode ser substancial, com
consequências que vão desde uma mera inconveniência até a ruína financeira.
• O cibercrime é cada vez mais transnacional por natureza, com indivíduos vivendo
em diferentes países ao redor do mundo trabalhando juntos nos mesmos esquemas.
• Existem várias práticas que os usuários de computador devem empregar para impedir
que o phishing seja bem-sucedido e, embora essas práticas sejam amplamente
divulgadas, há vítimas de esquemas de engenharia social todos os dias. • As
plataformas de mídia social tornaram-se uma nova ferramenta para os engenheiros
sociais explorarem em busca de suas atividades criminosas. • A velocidade com que
os produtos de mídia social cresceram e passaram a dominar quase todos os
aspectos de nossas vidas sociais, políticas e econômicas obscureceu, de várias
maneiras, as deficiências de seus criadores em antecipar os efeitos nocivos de seu
uso.
1.10 Tópicos de Discussão do Seminário
Tópicos de discussão para seminários de nível profissional ou de pós-graduação:
• Que experiência os participantes do seminário tiveram em situações em que

estratégias ou táticas de engenharia social foram empregadas? • Discuta qualquer
experiência que os participantes tenham tido com ataques de phishing ou que seus
parentes ou amigos tenham tido com ataques de phishing. • Discuta o que os
participantes, suas famílias ou amigos fizeram quando receberam e-mails de
phishing ou telefonemas. Por que eles adotam essa abordagem? • Discuta como os
participantes veem os esforços da aplicação da lei para
lidar com crimes cibernéticos.

1.11 Projeto Grupo Seminário
Divida os participantes em vários grupos, com cada grupo levando de 10 a 15

minutos para desenvolver uma lista de como as táticas de engenharia social estão
sendo empregadas e os vários ambientes em que estão sendo empregadas.
Após a conclusão, peça aos grupos que troquem suas listas de táticas de
engenharia social, com grupos levando de 10 a 15 minutos para desenvolver uma
lista de verificação de coisas que ajudam a identificar rapidamente as táticas de
engenharia social e a tarefa envolvida na tática. Reúna-se em grupo e discuta as
táticas selecionadas e como elas foram identificadas.
Termos chave
Desinformação: são informações falsas e irrelevantes disponibilizadas em

fim de enganar.
Crimes de roubo de identidade: roubo de identidade e fraude de identidade são
termos usados para se referir a todos os tipos de crime em que alguém
obtém e usa indevidamente os dados pessoais de outra pessoa de
alguma forma que envolva fraude ou engano, geralmente para ganho econômico.
Links maliciosos: são hiperlinks que levam os usuários a sites que contêm
códigos maliciosos, como spyware, vírus ou cavalos de Tróia, que podem
infectar os computadores usados para visitar esses sites.
Malware: inclui vírus, spyware e outros softwares indesejados que são instalados
em seu computador ou dispositivo móvel sem o seu consentimento.
Esses programas podem fazer com que seu dispositivo trave e podem
ser usados para monitorar e controlar sua atividade online.
Eles também podem tornar seu computador vulnerável a vírus e exibir
anúncios indesejados ou inadequados. Os criminosos usam malware
para roubar informações pessoais, enviar spam e cometer fraudes.
Informações Pessoais Identificáveis (PII): são informações que podem ser
usadas para distinguir ou rastrear a identidade de um indivíduo,
isoladamente ou quando combinadas com outras informações pessoais
ou de identificação vinculadas ou vinculáveis a um indivíduo específico.
Phishing: phishing é quando um golpista usa e-mails ou textos fraudulentos, ou
sites imitadores, para fazer com que você compartilhe informações
pessoais valiosas, como números de contas, números de previdência
social ou seus IDs de login e senhas. Os golpistas usam suas informações
para roubar seu dinheiro, sua identidade ou ambos.
Esquemas Ponzi: são uma fraude de investimento que paga investidores existentes
com fundos coletados de novos investidores. Os organizadores de esquemas
Ponzi muitas vezes prometem investir seu dinheiro e gerar altos retornos
com pouco ou nenhum risco. Mas em muitos esquemas Ponzi, os
fraudadores não investem o dinheiro. Em vez disso, eles o usam para pagar
aqueles que investiram anteriormente e podem ficar com algum para si.
Golpes de ransomware: empregam um tipo de malware que infecta computadores
e restringe o acesso dos usuários a seus arquivos ou ameaça o
destruição permanente de suas informações, a menos que um resgate seja

pago, o que geralmente é necessário para ser pago em Bitcoin.
Spear phishing: os ataques de spear phishing diferem das tentativas normais de
phishing porque visam um destinatário específico e parecem ser de uma
fonte confiável.
Referências
1. Golpe de phishing da Netflix: não morda a isca. Comissão Federal de Comércio.
TRESSLER, Colleen. 26 de dezembro de 2018. Acessado em 2 de fevereiro de
2019. https://www.consumer.ftc.gov/blog/2018/12/netf lix-phishing scam-dont-
take-bait
2. Defesa de Engenharia Social Ativa (ASED). Shen, Wade. Informações do
Programa de Agência de Projetos de Pesquisa Avançada de Defesa. Acessado
em 1º de fevereiro de 2019. https://www.darpa.mil/program/active-social
engineering-defense
3. Declaração perante o Subcomitê Judiciário da Câmara sobre Crime, Terrorismo
e Segurança Interna. Gordon M. Snow, Diretor Assistente do Federal Bureau
of Investigation. Washington, DC, 28 de julho de 2010. Acessado em 1º de
fevereiro de 2019. https://archives.fbi.gov/archives/news/testimony/the fbis-
efforts-to-combat-cyber-crime-on-social-networking- sites
4. Tendências técnicas em ataques de phishing. US-CERT. Milletário, Jason.
Acessado em 2 de fevereiro de 2019. www.us-cert.gov/sites/default/files/
publications/phishing_trends0511.pdf
5. Guia para prevenção e tratamento de incidentes de malware para desktops e
laptops. Instituto Nacional de Normalização e Tecnologia, Laboratório de
Tecnologias de Informação (ITL), Divisão de Segurança Informática (CSD),
Divisão de Cibersegurança Aplicada (ACD). Murugiah Souppaya (NIST) e Karen
Scarfone (Scarfone Cybersecurity). Julho de 2013. Acessado em 2 de fevereiro
de 2019. https://csrc.nist.gov/publications/detail/sp/800-83/
rev-1/final
6. Ransomware em ascensão: FBI e parceiros trabalhando para combater essa
ameaça cibernética. Departamento Federal de Investigação. 20 de janeiro de
2015. Acessado em 2 de fevereiro de 2019. https://www.fbi.gov/news/stories/
ransomware em ascensão
7. Phishing. Comissão Federal de Comércio. Julho de 2017. Acessado em 2 de fevereiro de

2019. https://www.consumer.ftc.gov/articles/0003-phishing
8. Dica de segurança (ST04-014) Como evitar ataques de engenharia social e phishing. US-
CERT. Data de lançamento original: 22 de outubro de 2009. Última revisão: 21 de
novembro de 2018. Acessado em 2 de fevereiro de 2019. https://www.
us-cert.gov/ncas/tips/ST04-014
9. Scammers Phish para custos de fechamento de hipoteca. Comissão Federal de Comércio.
TRESSLER, Colleen. 18 de março de 2016. Acessado em 2 de fevereiro de 2019. https://
www.consumer.ftc.gov/blog/2016/03/scammers-phish hipoteca-closing-costs
10. Anthem Hack Attack, Parte 2: Golpes de Phishing. Comissão Federal de Comércio.
TRESSLER, Colleen. 10 de fevereiro de 2015. Acessado em 2 de fevereiro de 2019.
https://www.consumer.ftc.gov/blog/2015/02/anthem-hack attack-part-2-phishing-scams
11. Depoimento perante a Comissão de Relações Exteriores do Senado. Julianne Smith,

Membro Sênior e Diretora, Programa de Estratégia e Política, Centro para uma Nova
Segurança Americana. 9 de fevereiro de 2017. Acessado em 2 de fevereiro de 2019.
www.foreign.senate.gov/download/smith-testimony 020917&download=1
12. O impacto da interferência russa nas eleições de 2017 na Alemanha.

Dr. Constanze Stelzenmüller e Robert Bosch, Senior Fellow, Centro nos Estados Unidos
e Europa, Brookings Institution. Testemunho perante o Comitê de Inteligência do Senado
dos Estados Unidos. 28 de junho de 2017.
Acessado em 2 de fevereiro de 2019. www.intelligence.senate.gov/sites/default/
arquivos/documentos/sfr-cstelzenmuller-062817b.pdf
13. Facebook na audiência perante o Comitê de Energia e Comércio da Câmara dos
Representantes dos Estados Unidos. Testemunho de Mark Zuckerberg, presidente e
diretor executivo. 11 de abril de 2018. Acessado em 2 de fevereiro de 2019.
www.docs.house.gov/meetings/IF/
IF00/20180411/108090/HHRG-115-IF00-20180411-SD002.pdf
14. Potenciais Propostas de Política para Regulamentação de Empresas de Mídia Social e
Tecnologia (DRAFT). Senador americano Mark R. Warner. Acessado em 3 de fevereiro
de 2019. https://www.warner.senate.gov/public/_cache/files/d/3/
d32c2f17-cc76-4e11-8aa9-897eb3c90d16/65A7C5D983F899DAAE5
AA21F57BAD944.social-media-regulament-proposals.pdf
15. Fraude Advisory: golpes de engenharia social visam beneficiários da Previdência Social.
Administração da Segurança Social. 21 de novembro de 2012.
Acessado em 2 de fevereiro de 2019. https://oig.ssa.gov/newsroom/news-releases/
consultivo21
16. Lute contra o roubo de identidade fiscal. Comissão Federal de Comércio.
Gressin, Seena. 30 de janeiro de 2019. Acessado em 2 de fevereiro de 2019. https://www.
consumer.ftc.gov/blog/2019/01/fight-back-against-tax-identity-theft
2
O Continuum do Social
Abordagens de Engenharia
Durante os últimos anos, muitas abordagens de engenharia social para

enganar usuários inocentes cresceram em popularidade. Isso inclui a oferta
de preencher uma pesquisa para um site de banco on-line com uma
recompensa em dinheiro se o usuário incluir informações da conta e
mensagens de e-mail alegando ser de clubes de recompensa de hotéis,
solicitando aos usuários que verifiquem as informações do cartão de crédito
que um cliente pode armazenar no site. site legítimo para fins de reserva.
Incluído na mensagem está um localizador uniforme de recursos (URL) para
a vítima usar, que direciona o usuário a um site para inserir suas informações
pessoais. Este site foi criado para imitar de perto a aparência do site
legítimo. As informações são coletadas e usadas por empresas criminosas.
Com o tempo, esses e-mails e sites falsos evoluíram para se tornarem
tecnicamente mais enganosos para investigações casuais.
A definição de phishing cresceu para abranger uma ampla variedade de
crimes financeiros eletrônicos. Além do uso generalizado dessas mensagens
de e-mail e sites falsos para induzir os usuários a divulgar suas informações
pessoais, também houve um aumento na quantidade de códigos maliciosos
que visam especificamente as informações da conta do usuário e espionam
as comunicações com os sites para para coletar informações da conta.1
Este capítulo examina uma série de estratégias, táticas e motivações de
engenharia social
2.1 O que os invasores de engenharia social desejam
Há uma variedade de resultados que os invasores de engenharia social

buscam. Muitas vezes, no passado, eles eram apenas vândalos e
delinquentes. Em 1999, o vírus de computador Melissa, amplamente
considerado um ataque de negação de serviço semelhante ao vandalismo juvenil em seu
27
intenção. Em 2000, o vírus The Love Bug, no entanto, era muito mais
sinistro em sua intenção e foi projetado socialmente para levar as pessoas a
clicar em um anexo do e-mail. Como o Melissa, ele visava usuários do
Microsoft Outlook. Mas ao contrário de Melissa, ele se espalhou para toda a
lista de endereços da vítima, em vez de apenas para os primeiros 50 nomes.
Ele excluiu arquivos de imagem e som do disco rígido e aparentemente
tentou roubar a senha do computador. Talvez a maior preocupação seja o
fato de que os especialistas concordaram em dizer que o vírus era um
programa tão simples que até mesmo um aluno da sexta série com
conhecimento de script em Visual Basic poderia tê-lo criado em poucas
horas. De fato, os supostos perpetradores eram alunos de uma escola de
informática sem muito treinamento que simplesmente copiavam códigos-
fonte de vírus anteriores, supostamente com a intenção de roubar senhas de
computador. O Love Bug destacou a necessidade de reconhecer e combater
eficazmente os riscos que podem potencialmente criar graves interrupções
nos negócios, calamidade econômica e violações da segurança nacional.
Embora muitos discutam a semântica de EU TE AMO: Foi um vírus, um
worm ou um Cavalo de Tróia? Todos concordaram que se qualificou como
código malicioso, ou seja, código que faz algo diferente do que o usuário
deseja que ele faça. O modus operandi era muito parecido com o de Melissa,
pois o código malicioso chegava por e-mail, provavelmente de alguém
conhecido, com um anexo chamado CARTA DE AMOR PARA
VOCÊ.TXT.VBS. O sufixo VBS significava que o anexo era um código
executável, não apenas texto. Uma vez que o leitor clicou neste arquivo, I
LOVE YOU atacou o Microsoft Outlook e enviou uma cópia de si mesmo
para todos na lista de correspondência da vítima, enquanto Melissa apenas
usou os primeiros 50 nomes. Ele infectou o software que suporta salas de
bate-papo, de modo que sempre que uma sala de bate-papo fosse
configurada, eu te amo era enviado a todos os participantes. Ele procurou
por arquivos de imagem, vídeo e música para substituí-los por si mesmo, já
que esses arquivos tendem a ser executados com mais frequência. Em
seguida, ele infectou o Internet Explorer com seu programa de roubo de
senhas, que foi ativado quando o sistema foi reiniciado.
O vírus I LOVE YOU se espalhou com mais eficiência do que Melissa por
dois motivos principais: primeiro, ele se espalhou para todos na lista de e-
mail; e segundo, veio durante a semana, não no fim de semana, e se
espalhou. Às 18 horas do dia 4 de maio de 2000, o Computador
Abordagens de Engenharia Social 29
A Equipe de Prontidão de Emergência (CERT) da Carnegie Mellon estimou que

aproximadamente 420.000 hosts foram infectados. No dia seguinte, foram
enviadas variantes intituladas Dia das Mães, Muito Engraçado e afins. O Grupo
de Defesa de Redes de Computadores da Força-Tarefa Conjunta do Departamento
de Defesa identificou pelo menos 14 variantes de I LOVE YOU, uma das quais,
intitulada Virus Alert, era mais perigosa do que as outras, pois corrompia e
sobrescrevia arquivos críticos do sistema. O Love Bug atingiu grandes corporações
como AT&T, TWA, Ford, Washington Post, ABC News, o Parlamento Britânico, o
Fundo Monetário Internacional (FMI), pelo menos 14 agências governamentais
dos EUA, bem como uma miríade de escolas, cooperativas de crédito e instituições
individuais. cidadãos.2
O bug I Love You certamente foi malicioso e resultou em bilhões de dólares

em danos. Desde então, tem havido inúmeras armadilhas de engenharia social
na Internet projetadas para fazer com que os usuários de computador sigam links
para sites carregados de códigos maliciosos. Anna Kournikova
e outras celebridades têm sido usadas como isca de clique para atrair usuários
ingênuos da Internet. No entanto, vândalos da Internet e pequenos ladrões agora

foram ofuscados por elementos de grupos criminosos que têm pouco interesse
em vandalismo ou delinquência e estão focados em ganhar dinheiro por meio de
suas façanhas criminosas.
Alguns engenheiros sociais estão focados em ataques de curto prazo, de
ataque e fuga, enquanto outros estão jogando um jogo de longo prazo. A
abordagem de curto prazo é como um exercício de bater e correr com o objetivo
de dinheiro rápido por meio de resgates ou roubo e venda de credenciais de
usuário, senhas, números de cartão de crédito e vários tipos de informações
pessoais ou corporativas que podem ser usadas para preparar o palco para ataques mais graves.
Independentemente de seus objetivos, o Conselho de Consultores Econômicos
dos EUA estimou que a atividade maliciosa dos cibercriminosos custou à
economia dos EUA entre US$ 57 bilhões e US$ 109 bilhões em 2016.3 De
acordo com fontes governamentais e do setor, a atividade cibernética maliciosa
é uma preocupação crescente tanto para o público quanto para o privado setores.
Entre 2013 e 2015, de acordo com o Gabinete do Diretor de Inteligência Nacional
(DNI), as ameaças cibernéticas foram a ameaça estratégica mais importante que
os Estados Unidos enfrentavam. Os atores de ameaças cibernéticas se
enquadram em seis grandes grupos (consulte o Quadro 2.1), cada um orientado
por objetivos e motivações distintos.
CAIXA 2.1 ATORES DE AMEAÇAS CIBERNÉTICAS
Estados da nação
Concorrentes corporativos
Hacktivistas
Grupos criminosos organizados

oportunistas
Insiders da empresa
Estados-nação: os principais atores são Rússia, China, Irã e Coreia do Norte,

de acordo com o DNI em 2017. Esses grupos são bem financiados e
frequentemente se envolvem em ataques sofisticados e direcionados. Estados-
nação são tipicamente motivados por agendas políticas, econômicas, técnicas
ou militares, e possuem uma gama de objetivos que variam em momentos diferentes.
Estados-nação freqüentemente se envolvem em espionagem industrial. Se
tiverem necessidades de financiamento, podem realizar ataques de resgate e
roubos eletrônicos de fundos. Estados-nação frequentemente visam informações
de identificação pessoal (PII) para espionar certos indivíduos. Além disso, por
meio de entrevistas com especialistas em segurança cibernética, os estados-
nação podem se envolver na destruição de negócios envolvendo uma ou mais
empresas, potencialmente como retaliação contra sanções ou outras ações
tomadas pela comunidade internacional.
Concorrentes corporativos: são empresas que buscam acesso ilícito à
propriedade intelectual proprietária, incluindo informações financeiras, estratégicas
e relacionadas à força de trabalho de seus concorrentes; e muitos desses atores
corporativos são apoiados por estados-nação.
Hacktivistas: geralmente são indivíduos ou grupos privados em todo o mundo
que têm uma agenda política e buscam realizar ataques de alto perfil. Esses
ataques ajudam hacktivistas a distribuir propaganda pró ou causar danos a
organizações de oposição por razões ideológicas.
Grupos criminosos organizados: são coletivos criminosos que realizam

ataques direcionados motivados pela busca de lucro. Eles coletam lucros
vendendo PII roubados na dark web e coletando pagamentos de resgate de
entidades públicas e privadas por meio de ataques disruptivos.
Oportunistas: geralmente são hackers amadores motivados pelo desejo de
notoriedade. Os oportunistas normalmente atacam organizações usando
códigos e técnicas amplamente disponíveis e, portanto, geralmente representam a forma menos

avançada de adversários.
Pessoas de dentro da empresa: geralmente são funcionários ou ex-funcionários descontentes em
busca de vingança ou ganho financeiro. Insiders podem ser especialmente perigosos quando
trabalham em conjunto com atores externos, permitindo que esses atores externos contornem
facilmente até mesmo as defesas mais robustas.
Em última análise, qualquer organização é um jogo justo para os atores de ameaças cibernéticas,
embora em momentos diferentes um conjunto diferente de empresas possa enfrentar riscos maiores.
Por exemplo, os concorrentes corporativos geralmente visam empresas em seu setor. Os chamados
hacktivistas, motivados por considerações ideológicas, podem atacar um conjunto diferente de
organizações em momentos diferentes, normalmente porque essas organizações de alguma forma
ofenderam os hacktivistas. Quando um estado-nação enfrenta sanções visando um determinado
setor, o estado-nação pode usar meios cibernéticos para atingir empresas desse mesmo setor no
país ou países que impuseram as sanções. Dito isso, toda empresa é um alvo em potencial,
independentemente de sua idade, tamanho, setor, localização ou composição de funcionários.3
2.2 Tipos Comuns de Fraude
A engenharia social é uma arte milenar e isso se reflete no tipo de esquemas fraudulentos que se
repetem por um longo período de tempo. Grupos criminosos organizados ou coletivos criminosos que
realizam ataques direcionados motivados pela busca de lucro geralmente estão envolvidos em algum
tipo de esquema fraudulento. O argumento para esses esquemas, ou como os criminosos convencem
as pessoas a ficarem presas nos esquemas, é verdadeiramente a arte da engenharia social. Uma
abordagem para entender melhor a engenharia social é entender os esquemas fraudulentos que são
alimentados pela engenharia social. Esta seção fornece uma visão geral dos esquemas fraudulentos
mais comuns. O Federal Bureau of Investigation (FBI) adverte contra vários tipos de fraude.
Um esquema de taxa antecipada ou fraude de taxa antecipada ocorre quando a vítima paga
dinheiro a alguém na expectativa de receber algo de maior valor, como um empréstimo, contrato,
investimento ou presente e recebe pouco ou nada em troca. A variedade de esquemas de pagamento
antecipado é limitada apenas pela imaginação dos vigaristas que os oferecem e todos eles são
apresentados à vítima em potencial como um recurso atraente.

maneira que um engenheiro social pode criar. Eles podem envolver a venda de
produtos ou serviços, a oferta de investimentos, ganhos na loteria, dinheiro
encontrado ou muitas outras oportunidades. Por exemplo, vigaristas inteligentes
se oferecerão para encontrar acordos de financiamento para seus clientes que
pagam uma taxa de localização adiantada. Eles exigem que seus clientes
assinem contratos nos quais concordam em pagar a taxa quando são
apresentados à fonte de financiamento. As vítimas muitas vezes descobrem que
não são elegíveis para financiamento somente depois de pagarem ao localizador
de acordo com o contrato. Tais acordos podem ser legais, a menos que seja
demonstrado que o localizador nunca teve a intenção ou a capacidade de
fornecer financiamento para as vítimas.
A fraude empresarial consiste em atividades desonestas e ilegais perpetradas

por indivíduos ou empresas com o objetivo de proporcionar um resultado
financeiro vantajoso para essas pessoas ou estabelecimentos. Também
conhecidos como fraude corporativa, esses esquemas geralmente aparecem
sob o disfarce de práticas comerciais legítimas. Uma ampla gama de crimes se
enquadra na fraude comercial, incluindo os seguintes:
• Fraude de caridade: Usar o engano para obter dinheiro de indivíduos

que acreditam estar fazendo doações para organizações de caridade
legítimas, especialmente instituições de caridade que representam
vítimas de desastres naturais logo após a ocorrência do incidente
(fraude de desastre).
• Fraude em leilão na Internet: uma transação ou troca fraudulenta que
ocorre no contexto de um site de leilão online.
• Não entrega de mercadorias: Fraude que ocorre quando um pagamento

é enviado, mas os bens e serviços encomendados nunca são recebidos.
• Falta de pagamento de fundos: Fraude que ocorre quando bens e

serviços são enviados ou prestados, mas o pagamento por eles nunca
é recebido.
• Esquema de pagamento a maior: Um indivíduo recebe um pagamento

significativamente maior do que o valor devido e é instruído a depositar
o dinheiro em sua conta bancária e transferir os fundos em excesso de
volta para o banco do indivíduo ou empresa que o enviou. O banco do
remetente geralmente está localizado no exterior, na Europa Oriental,
por exemplo, e o pagamento inicial é considerado fraudulento,
geralmente após a ocorrência da transferência eletrônica.
• Esquema de reenvio: Um indivíduo é recrutado para receber mercadorias em seu

local de residência e, posteriormente, reembalar os itens para embarque,
geralmente no exterior. Sem que eles soubessem, a mercadoria foi comprada com
cartões de crédito fraudulentos, muitas vezes abertos em seu nome.
• Fraude de cartão de crédito é o uso não autorizado de um cartão de crédito ou débito
cartão ou ferramenta de pagamento semelhante (câmara de compensação

automática (ACH), transferência eletrônica de fundos (EFT), cobranças recorrentes,
etc.), para obter dinheiro ou propriedade de forma fraudulenta. Números de cartão
de crédito e débito podem ser roubados de sites não seguros ou
podem ser obtidos em um esquema de roubo de identidade.

• A fraude de investimento envolve a venda ilegal ou suposta venda de instrumentos
financeiros. Os esquemas típicos de fraude em investimentos são caracterizados
por ofertas de investimentos de baixo ou nenhum risco, retornos garantidos, retornos
excessivamente consistentes, estratégias complexas ou títulos não registrados.
Exemplos de fraude de investimento incluem fraude de taxa antecipada, esquemas
Ponzi, esquemas de pirâmide e fraude de manipulação de mercado. Abordagens
mais complexas para fraude de investimento são discutidas na próxima seção.
• Cartas de crédito legítimas nunca são vendidas ou oferecidas como investimentos.

Eles são emitidos por bancos para garantir o pagamento de mercadorias enviadas
em conexão com o comércio internacional. O pagamento de uma carta de crédito
geralmente exige que o banco pagador receba a documentação certificando que as
mercadorias encomendadas foram enviadas e estão a caminho de seu destino
pretendido. Fraudes de cartas de crédito são muitas vezes tentadas contra bancos,
fornecendo documentação falsa para mostrar que as mercadorias foram enviadas
quando, na verdade, nenhuma mercadoria ou mercadoria inferior foi enviada. Outras
fraudes de cartas de crédito ocorrem quando vigaristas oferecem uma carta de
crédito ou garantia bancária como um investimento em que o investidor recebe a
promessa de altas taxas de juros, da ordem de 100-300% ao ano. Tais oportunidades

de investimento simplesmente não existem. • A fraude de manipulação de mercado,
comumente chamada de pump and dump, cria pressão de compra artificial para um
título alvo, geralmente um emissor de baixo volume de negociação no mercado de
títulos de balcão amplamente controlado pelos autores da fraude. Este volume
negociado artificialmente aumentado tem o efeito de aumentar artificialmente o
preço do
segurança direcionada (ou seja, a bomba), que é rapidamente

vendida no mercado inflado para a segurança pelos perpetradores
da fraude (ou seja, o despejo). Isso resulta em ganhos ilícitos para
os perpetradores e perdas para terceiros investidores inocentes.
Normalmente, o aumento do volume de negociação é gerado pela
indução de investidores involuntários a comprar ações do título
visado por meio de práticas de vendas falsas ou enganosas e/ou
divulgação de informações públicas. Uma variação moderna desse esquema envolve
principalmente criminosos de computador baseados no exterior
obtendo acesso não autorizado às contas de corretagem on-line de
vítimas inocentes nos Estados Unidos. Essas contas de vítimas são
então utilizadas para se engajar em compras online coordenadas do
título alvo para afetar a parte da bomba de uma manipulação,
enquanto os perpetradores da fraude vendem suas participações
pré-existentes no título visado no mercado inflado para completar o
despejo.
• Criminosos publicam anúncios classificados online fraudulentos
oferecendo veículos para venda que não estão, nem nunca
estiveram, em sua posse. Os anúncios falsos geralmente incluem
fotos que correspondem à descrição do veículo e um número de
telefone ou endereço de e-mail para entrar em contato com o
suposto vendedor. Uma vez estabelecido o contato, o criminoso
envia ao comprador pretendido fotos adicionais junto com uma
explicação sobre o preço com desconto e a urgência da transação.
Os motivos comuns fornecidos incluem: O vendedor está se
mudando ou sendo destacado pelos militares, o vendedor recebeu
o veículo como parte de um acordo de divórcio ou o veículo pertencia
a um parente que faleceu.
O criminoso faz com que a fraude pareça legítima alegando
enganosamente a parceria com uma empresa respeitável, como o
eBay, e garantindo que a transação ocorrerá por meio de um
programa de proteção ao comprador de terceiros. Eles podem
chegar ao ponto de enviar um número gratuito fraudulento que se
faz passar por terceiros. O comprador é instruído a comprar vales-
presente pré-pagos no valor da venda e compartilhar os códigos do
cartão com o criminoso, que então notifica o comprador de que
receberá o veículo em alguns dias. Depois que a transação é
concluída, o criminoso normalmente ignora todas as chamadas de acompanhamento,
mensagens de texto ou e-mails do comprador ou podem exigir

pagamentos adicionais. No final, o veículo não é entregue e o
comprador, na maioria das vezes, não consegue recuperar o seu prejuízo.
Outras fraudes incluem medicamentos falsificados que são ilegais e podem ser
perigosos para sua saúde. São medicamentos falsificados, não produzidos de
acordo com as especificações farmacológicas dos medicamentos que afirmam
ser. Esses medicamentos falsificados podem estar contaminados ou conter os
ingredientes errados ou nenhum ingrediente ativo. Eles também podem ter o
ingrediente ativo certo, mas com a dosagem errada. Muitas pessoas são
enganadas por medicamentos prescritos falsos disfarçados de medicamentos
legítimos, e usá-los pode piorar suas condições de saúde.
Cosméticos fraudulentos e golpes de produtos antienvelhecimento
aumentaram o volume de cosméticos falsificados que chegam aos Estados Unidos.
A Internet deu aos consumidores amplo acesso a produtos de saúde e beleza
(alguns rotulados com propriedades antienvelhecimento) que são falsificados.
Os falsificadores de produtos de higiene pessoal veem cada vez mais o
comércio desses itens falsificados como um crime de baixo risco, já que muitos
deles estão localizados fora dos Estados Unidos. Estudos e testes do governo
e da indústria descobriram ingredientes perigosos em produtos
antienvelhecimento falsificados. Cosméticos fraudulentos podem conter
arsênico, berílio e cádmio (todos os carcinógenos conhecidos), juntamente com
altos níveis de alumínio e níveis perigosos de bactérias de fontes como a urina.
Alguns desses produtos causaram condições como acne, psoríase, erupções
cutâneas e infecções oculares.
As fraudes em funerais e cemitérios cresceram em popularidade. Milhões
de americanos fazem contratos para organizar seus funerais e pagar
antecipadamente algumas ou todas as despesas envolvidas, para aliviar os
encargos financeiros e emocionais de suas famílias. As leis de cada estado
regulam o setor, e vários estados têm leis para ajudar a garantir que esses
adiantamentos estejam disponíveis quando forem necessários. No entanto, as
proteções variam muito de estado para estado, às vezes oferecendo uma
janela de oportunidade para operadores inescrupulosos cobrarem despesas a
mais e se listarem como beneficiários financeiros.
Esquemas relacionados à saúde tentam fraudar programas de saúde
privados ou governamentais, que geralmente envolvem provedores de saúde,
empresas ou indivíduos. Esses esquemas podem incluir ofertas de cartões de
seguro (falsos); assistência ao mercado de seguros de saúde; roubado
informação de saúde; medicamentos, suplementos, produtos para perda de peso;

ou práticas de fábrica de comprimidos. A fraude de equipamentos médicos ocorre
quando as seguradoras são cobradas por produtos que não eram necessários e/ou
podem não ter sido entregues. Os esquemas de laboratório contínuo envolvem
testes desnecessários e, às vezes, falsos, que são administrados a indivíduos em
academias de ginástica, lares de idosos ou shopping centers e cobrados de
seguradoras ou do Medicare.
A fraude do Medicare pode assumir a forma de qualquer uma das fraudes de

seguros de saúde descritas acima. Os idosos são alvos frequentes dos esquemas
do Medicare, especialmente pelos fabricantes de equipamentos médicos que
oferecem produtos médicos gratuitos aos idosos em troca de seus números do
Medicare. Como um médico precisa assinar um formulário certificando que o
equipamento ou teste é necessário antes que o Medicare pague por ele, os golpistas
falsificam assinaturas ou subornam médicos corruptos para assinar os formulários.
Uma vez que a assinatura esteja em vigor, os fabricantes cobram do Medicare por
mercadorias ou serviços que não eram necessários ou não foram solicitados.
As fraudes de cartas nigerianas combinam a ameaça de fraude de representação

com uma variação de um esquema de taxa antecipada em que uma carta enviada
pelo correio, ou por e-mail, da Nigéria oferece ao destinatário a oportunidade de
compartilhar uma porcentagem de milhões de dólares que o autor, muitas vezes um
autodidata oficial do governo proclamado, está tentando se transferir ilegalmente
para fora da Nigéria. O destinatário é incentivado a enviar informações ao autor,
como papel timbrado em branco, nome do banco e números de conta e outras
informações de identificação usando um número de fax fornecido na carta ou
endereço de e-mail fornecido na mensagem. O esquema baseia-se em convencer
uma vítima voluntária, que demonstrou propensão ao furto ao responder ao convite,
a enviar dinheiro ao autor da carta na Nigéria em várias parcelas de quantias
crescentes por vários motivos.
O pagamento de impostos, subornos a funcionários do governo e honorários

advocatícios são frequentemente descritos em grande detalhe com a promessa de
que todas as despesas serão reembolsadas assim que os fundos forem retirados da
Nigéria. Na verdade, os milhões de dólares não existem, e a vítima acaba tendo
apenas perdas. Assim que a vítima para de enviar dinheiro, sabe-se que os
perpetradores usam as informações pessoais e os cheques recebidos para se passar
pela vítima, drenando contas bancárias e saldos de cartões de crédito. Enquanto tal
convite impressiona a maioria dos cidadãos cumpridores da lei como uma farsa
risível, milhões de dólares em
perdas são causadas por esses esquemas anualmente. Algumas vítimas foram
atraídas para a Nigéria, onde foram presas contra sua vontade, além de
perderem grandes somas de dinheiro. O governo nigeriano não simpatiza com
as vítimas desses esquemas, já que a vítima na verdade conspira para retirar
fundos da Nigéria de uma maneira contrária à lei nigeriana. Os próprios
esquemas violam a Seção 419 do código penal nigeriano, daí o rótulo de fraude
419.
A fraude de resgate/estranho/títulos é comum, com os proponentes desse
esquema alegando que o governo dos EUA ou o Departamento do Tesouro
controlam as contas bancárias, geralmente chamadas de contas diretas do
Tesouro dos EUA, para todos os cidadãos dos EUA que podem ser acessados
enviando documentos com o estado e autoridades federais. Indivíduos que
promovem esse golpe frequentemente citam várias teorias jurídicas
desacreditadas e podem se referir ao esquema como Redenção, Espantalho ou
Aceitação por Valor. Treinadores e sites geralmente cobram altas taxas por kits
que ensinam os indivíduos a perpetrar esse esquema. Freqüentemente, eles
insinuam que outros tiveram grande sucesso em quitar dívidas e comprar
mercadorias como carros e casas. As falhas na implementação bem-sucedida
do esquema são atribuídas a indivíduos que não seguem as instruções em uma
ordem específica ou não preenchem a papelada nos horários corretos.
Este esquema usa predominantemente documentos financeiros fraudulentos
que parecem ser legítimos. Esses documentos são freqüentemente chamados
de letras de câmbio, obrigações promissórias, títulos de indenização, títulos de
compensação, saques à vista ou warrants dos controladores. Além disso, outros
documentos oficiais são usados fora de sua finalidade pretendida, como os
formulários 1099, 1099-OID e 8300 do IRS. Esse esquema frequentemente
mistura terminologia jurídica e pseudolegal para parecer legal. Os notários
podem ser usados na tentativa de fazer com que a fraude pareça legítima.
O FBI e o Escritório do Inspetor Geral do Departamento de Habitação e

Desenvolvimento Urbano dos EUA (HUD-OIG) instam os consumidores,
especialmente os idosos, a ficarem atentos ao procurar produtos de hipoteca
reversa. As hipotecas reversas, também conhecidas como hipotecas de
conversão de capital próprio (HECM), aumentaram mais de 1.300% entre 1999
e 2008, criando oportunidades significativas para os autores de fraudes.
Os golpes de hipoteca reversa são projetados por profissionais sem

escrúpulos em uma infinidade de imóveis, serviços financeiros e serviços relacionados.
empresas para roubar o patrimônio da propriedade de idosos desavisados ou usar

esses idosos para ajudar involuntariamente os fraudadores a roubar o patrimônio de
uma propriedade invertida. Em muitos dos golpes relatados, são oferecidas casas
gratuitas às vítimas idosas, oportunidades de investimento e assistência de execução
hipotecária ou refinanciamento. Eles também são usados como compradores de palha
em golpes de venda de propriedades. Os idosos são frequentemente visados por meio
de igrejas locais e seminários de investimento, bem como anúncios de televisão, rádio,
outdoors e mala direta. No entanto, um produto de empréstimo HECM legítimo é
segurado pela Federal Housing Authority. Ele permite que os proprietários elegíveis
acessem o patrimônio em suas casas, fornecendo fundos sem incorrer em um
pagamento mensal. Os mutuários qualificados devem ter 62 anos ou mais, ocupar sua
propriedade como residência principal e possuir sua propriedade ou ter um pequeno
saldo de hipoteca.
Os operadores de telemarketing ligam constantemente e, durante as épocas do

ano, quando os impostos são devidos ou a papelada do seguro de saúde deve ser
processada, eles ligam com mais frequência. Eles também começaram a usar e-mails,
alguns dos quais atraem as vítimas para uma armadilha, enquanto outros apenas
infectam computadores com spyware ou ransomware. Quando os indivíduos enviam
dinheiro para pessoas que não conhecem pessoalmente ou fornecem informações
pessoais ou financeiras para chamadores desconhecidos, aumentam as chances de
se tornarem vítimas de fraude de telemarketing. Aqui estão alguns sinais de alerta de
fraude de telemarketing – o que o chamador pode dizer:
• Você deve agir agora ou a oferta não será boa.

• Você ganhou um brinde, férias ou prêmio. Mas você tem que pagar
para postagem e manuseio ou outros encargos.
• Você deve enviar dinheiro, fornecer um número de cartão de crédito ou conta
bancária ou receber um cheque pelo correio. Você pode ouvir isso antes de
ter a chance de considerar a oferta com cuidado.
• Você não precisa checar a empresa com ninguém. (Os chamadores dizem
que você não precisa falar com ninguém, incluindo sua família, advogado,
contador, Better Business Bureau local ou agência de proteção ao
consumidor).
• Você não precisa de nenhuma informação escrita sobre a empresa ou suas
referências.
• Você não pode perder esta oferta de alto lucro e sem risco.4
2.3 Golpes de investimento em larga escala com engenharia social
A fraude de investimento vem em muitas formas. Se você é um investidor iniciante ou já investe há
muitos anos, existem alguns fatos básicos que você deve saber sobre diferentes tipos de fraude. A
Securities and Exchange Commission (SEC) se concentra em fraudes em que os engenheiros sociais
visam especificamente os investidores. O Quadro 2.2 mostra os tipos de fraude sobre os quais a SEC
alerta os investidores. A Commodity Futures Trading Commission (CFTC) trabalha para proteger os
usuários do mercado e seus fundos, consumidores e o público contra fraude, manipulação e práticas
abusivas relacionadas a derivativos e outros produtos sujeitos ao Commodity Exchange Act (CEA).
Muitos tipos de fraude de investimento são discutidos acima, mas muitos merecem explicações
adicionais e são abordados nos parágrafos a seguir. Nesta seção, são fornecidas mais informações
sobre como identificar as informações de engenharia social que os fraudadores estão fornecendo à
vítima em potencial. Isso fornece maior percepção do processo de engenharia social empregado
quando o invasor de engenharia social está jogando um jogo longo e planeja manter a vítima no
gancho o maior tempo possível para aumentar a possibilidade de fraude bem-sucedida.
CAIXA 2.2 TIPOS DE FRAUDE DE INVESTIMENTO
fraude de afinidade
Fraude de taxa antecipada
Fraude de opções binárias
Programas de investimento de alto rendimento

Fraude na internet e redes sociais
Fraude Microcap
esquema Ponzi
Golpes de investimento pré-IPO
Esquemas de pirâmide
Investimentos de bancos de primeira linha
Notas promissórias
Esquemas de bomba e descarga

A fraude de afinidade quase sempre envolve um investimento falso ou um

investimento em que o fraudador mente sobre detalhes importantes (como o risco de
perda, o histórico do investimento ou os antecedentes do promotor do esquema).
Muitas fraudes por afinidade são esquemas Ponzi ou pirâmide, em que o dinheiro
dado ao promotor por novos investidores é pago a investidores anteriores para criar
a ilusão de que o chamado investimento foi bem-sucedido. Isso engana os novos
investidores para que invistam no esquema e induz os investidores existentes a
acreditar que seus investimentos são seguros. Na realidade, mesmo que haja
realmente um investimento real, o investimento normalmente gera pouco ou nenhum
lucro. O fraudador simplesmente pega o dinheiro dos novos investidores para uso
pessoal, muitas vezes usando parte dele para pagar os investidores existentes que
podem estar ficando desconfiados.
Eventualmente, quando o suprimento de dinheiro do investidor acabar e os
investidores atuais exigirem o pagamento, o esquema entra em colapso e os
investidores descobrem que a maior parte ou todo o seu dinheiro se foi.
Os fraudadores que realizam golpes de afinidade frequentemente são (ou fingem
ser) membros do grupo que estão tentando fraudar. O grupo pode ser um grupo
religioso, como uma determinada denominação ou igreja. Pode ser um grupo étnico
ou uma comunidade imigrante. Pode ser uma minoria racial. Podem ser membros de
uma força de trabalho específica – até mesmo membros das forças armadas já foram
alvo dessas fraudes. Os fraudadores visam qualquer grupo que eles acham que
podem convencer a confiar neles as economias suadas dos membros do grupo. Essa
é a chave para esse tipo de engenharia social.
Em sua essência, a fraude por afinidade explora a confiança e a amizade

existentes em grupos de pessoas que têm algo em comum. Os fraudadores usam
vários métodos para obter acesso ao grupo. Uma maneira comum é recrutar líderes
respeitados dentro do grupo para divulgar o esquema. Esses líderes da sociedade
civil podem não perceber que o investimento é na verdade uma farsa e podem se
tornar vítimas involuntárias da fraude.
Devido à estrutura coesa de muitos grupos, pode ser difícil para os reguladores
ou agentes da lei detectar um golpe de afinidade. Muitas vezes, as vítimas não
notificam as autoridades ou buscam soluções legais.
Em vez disso, eles tentam resolver as coisas dentro do grupo. Isso é particularmente
verdadeiro quando os fraudadores usaram líderes comunitários ou religiosos
respeitados para convencer outras pessoas a participar do investimento.6
O Escritório de Educação e Defesa do Investidor da SEC emitiu um Alerta ao

Investidor para alertar os investidores de que os fraudadores podem projetar
esquemas de investimento socialmente por meio de supostas plataformas de
negociação de opções binárias on-line. Embora algumas opções binárias sejam
listadas em bolsas registradas ou negociadas em um mercado de contrato designado
que está sujeito à supervisão de reguladores dos EUA, como a SEC ou a Commodity
Futures Trading Commission, respectivamente, isso é apenas uma parte do mercado
de opções binárias. Grande parte do mercado de opções binárias opera por meio de
plataformas de negociação baseadas na Internet que não estão necessariamente em
conformidade com os requisitos regulamentares aplicáveis dos EUA.
Uma opção binária é um tipo de contrato de opções em que o pagamento
dependerá inteiramente do resultado de uma proposta sim/não (binária). Quando a
opção binária expirar, o detentor da opção receberá uma quantia predeterminada em
dinheiro ou nada. Dada a estrutura de pagamento de tudo ou nada, as opções
binárias às vezes são chamadas de opções de tudo ou nada ou opções de retorno
fixo.
Normalmente, um representante de um site de opções binárias solicitará a um
cliente que deposite dinheiro em uma conta na qual o cliente possa comprar contratos
de opções binárias. Um cliente pode ser solicitado a, por exemplo, pagar $ 50 por um
contrato de opção binária que promete um retorno de 50% se o preço das ações da
empresa XYZ estiver acima de $ 5 por ação quando a opção binária expirar.
Representantes de sites de opções binárias podem usar nomes fictícios e divulgar

credenciais, qualificações e experiência de engenharia social. Eles podem deturpar
de onde estão ligando (por exemplo, fingindo que estão nos Estados Unidos). Fontes
supostamente imparciais que revisam ou classificam sites de opções binárias podem
ter sido pagas para promover ou criticar sites específicos. Os fraudadores podem
avisá-lo de que o site de opções binárias que você está usando é uma farsa para
ganhar sua confiança e fazer com que você deposite ainda mais dinheiro em outro
site que eles também administram. As pessoas que consideram investir dinheiro em
um site de opções binárias devem ficar atentas a estas bandeiras vermelhas:
• Ofertas não solicitadas: ofertas não solicitadas (você não pediu e não
conhece o remetente) para obter retornos de investimento que parecem
boas demais para ser verdade podem fazer parte de um esquema de
investimento fraudulento.
• Táticas ou ameaças de vendas de alta pressão: Representantes de sites de

opções binárias podem usar táticas de vendas de alta pressão ou mesmo
ameaças (por exemplo, ameaçar arquivar uma penhora contra sua propriedade)
para enganá-lo.
• Roubo de identidade: representantes de sites de opções binárias podem alegar
falsamente que o governo exige fotocópias de seu cartão de crédito, passaporte,
carteira de motorista, contas de serviços públicos ou outros dados pessoais.
Proteja-se e proteja suas informações pessoais.
• Mudança constante de representantes: Desconfie se os nomes das pessoas com

quem você está lidando em um site de opções binárias parecerem mudar com
frequência ou se lhe disserem que seu antigo corretor foi demitido.
• Problemas com retiradas: Representantes de sites de opções binárias podem

usar táticas de atraso para atrasar sua solicitação de retirada até que seja tarde
demais para contestar a(s) cobrança(ões) com a administradora do cartão de
crédito. O Fair Credit Billing Act (FCBA) oferece proteção ao consumidor se
você for cobrado por bens e serviços que não aceitou ou que não foram
entregues conforme o combinado, mas você deve enviar uma carta contestando
as cobranças que chegam ao credor em até 60 dias após o primeiro a conta
com o erro foi enviada para você. Além disso, seja cético se alguém tentar
convencê-lo a pagar mais dinheiro por uma conta premium com menos
restrições de saques.
• Abuso de cartão de crédito: se você usou um cartão de crédito para financiar sua
conta, fique atento a cobranças não autorizadas em seus extratos de cartão de
crédito. Mesmo que você tenha assinado um formulário supostamente
renunciando ao seu direito de contestar quaisquer cobranças de cartão de
crédito, informe todas as cobranças não autorizadas à administradora do cartão
de crédito imediatamente.
• Imitadores do governo: Se alguém alegando ser afiliado à SEC entrar em
contato com você e pedir que você pague dinheiro para ajudá-lo a recuperar
perdas relacionadas a investimentos em opções binárias, envie uma reclamação
em www.sec.gov/oig para o Gabinete de Inspetor da SEC Geral (OIG) ou ligue
para a linha direta gratuita do OIG em (833) SEC-OIG1 (732-6441). É importante
que todos os investidores saibam que a SEC nunca faz as pessoas pagarem
para receber seu dinheiro de volta.7
Além de perpetrar esquemas de investimento fraudulentos de engenharia social, os

operadores de sites de opções binárias podem estar violando as leis federais de
valores mobiliários por meio de outras condutas ilegais, incluindo:
• Oferecer ou vender valores mobiliários que não tenham sido registrados na

SEC (e nenhuma isenção de registro está disponível);
• Operando como corretoras não registradas;
• Operando como bolsas de valores não registradas; e • Fazer
declarações falsas aos investidores (por exemplo, declarar demais o retorno
médio do investimento, exagerar a lucratividade de longo prazo do
investimento em opções binárias ao longo de várias negociações ou
subestimar o risco da negociação de opções binárias).
Além disso, se algum dos produtos oferecidos pelos sites de negociação de opções
binárias forem swaps baseados em segurança, serão aplicados requisitos adicionais.
O termo estoque microcap (às vezes referido como penny stock) aplica-se a
empresas com capitalizações de mercado baixas ou micro.
As empresas com capitalização de mercado inferior a US$ 250 ou US$ 300 milhões
costumam ser chamadas de ações microcap, embora muitas tenham capitalizações
de mercado muito inferiores a esses valores. As menores empresas públicas, com
capitalizações de mercado inferiores a US$ 50 milhões, às vezes são chamadas de
ações nanocap.
Muitas ações microcap são negociadas no mercado de balcão (OTC). As
cotações para ações microcap podem estar disponíveis diretamente de uma corretora
ou em sistemas OTC, como OTC Bulletin Board (OTCBB), OTC Link LLC (OTC Link)
ou Global OTC.
As ações da Microcap diferem de outras ações de várias maneiras. Muitas vezes,
a maior diferença entre uma ação microcap e outras ações é a quantidade de
informações confiáveis disponíveis publicamente sobre a empresa. A maioria das
grandes empresas públicas arquiva relatórios com a SEC que qualquer investidor
pode obter gratuitamente no site da SEC. Analistas de ações profissionais pesquisam
e escrevem regularmente sobre grandes empresas de capital aberto, e é fácil
encontrar os preços de suas ações na Internet ou em jornais e outras publicações.
Por outro lado, as mesmas informações sobre empresas microcap podem ser
extremamente difíceis de encontrar, tornando-as mais vulneráveis a esquemas de
fraude de investimento de engenharia social e tornando menos provável que os
preços cotados sejam baseados em informações completas e precisas sobre a
empresa.
As empresas que listam suas ações em bolsas devem atender aos padrões
mínimos de listagem. Por exemplo, eles devem ter valores mínimos de patrimônio
líquido e número mínimo de acionistas. Em contraste, as empresas cotadas no
OTCBB, OTC Link ou Global OTC geralmente não precisam atender a nenhum
padrão mínimo de listagem, mas estão normalmente sujeitas a alguns requisitos
iniciais e contínuos. Os investidores podem encontrar os requisitos de elegibilidade
do OTCBB para ações em http://www.
finra.org/industry/faq-otcbb-frequently-asked-questions e informações adicionais
sobre OTC Link e Global OTC podem ser encontradas em www.otcmarkets.com
e www.globalotc.com, respectivamente.
Embora todos os investimentos envolvam riscos, as ações microcap estão
entre as mais arriscadas. Muitas empresas de microcap são novas e não têm
histórico comprovado. Algumas dessas empresas não possuem ativos, operações
ou receitas. Outras possuem produtos e serviços que ainda estão em
desenvolvimento ou ainda não foram testados no mercado. Outro risco relacionado
às ações microcap envolve os baixos volumes de negociação, o que pode
dificultar a venda de ações pelos investidores quando quiserem. Como muitas
ações microcap são negociadas em volumes baixos, qualquer negociação de
tamanho pode ter um grande impacto percentual no preço da ação. As ações da
Microcap também podem ser suscetíveis a fraude e manipulação.8
As pessoas que estão pensando em investir nesse tipo de ação precisam ter
cuidado com as informações erradas sobre a empresa. Os potenciais compradores
podem perguntar ao seu profissional de investimentos se a empresa arquiva
relatórios com a SEC e fornece informações por escrito sobre a empresa e seus
negócios, finanças e administração. Os investidores em potencial também devem
se lembrar de que nunca devem usar e-mails não solicitados, postagens em
quadros de mensagens e comunicados de imprensa da empresa como única
base para decisões de investimento. Infelizmente, algumas das informações que
as pessoas recebem podem ser falsas ou enganosas, ou podem ser distribuídas
por pessoas com um interesse não revelado em fazer com que os investidores
comprem ações por mais do que valem. Só porque uma empresa parece ter
informações da empresa prontamente disponíveis ou arquiva relatórios com um
regulador, não significa que é seguro investir nessa empresa.9
Muitas vezes, a maior diferença entre uma ação microcap e outras ações é a
quantidade de informações confiáveis disponíveis publicamente sobre a empresa.
A maioria das grandes empresas públicas arquiva relatórios com a SEC que
qualquer investidor pode obter gratuitamente no site da SEC. Analistas de ações
profissionais pesquisam e escrevem regularmente sobre o público em geral
empresas e é fácil encontrar os preços de suas ações na Internet ou em jornais e

outras publicações. Por outro lado, as mesmas informações sobre empresas
microcap podem ser extremamente difíceis de encontrar, tornando-as mais
vulneráveis a esquemas de fraude de investimento e tornando menos provável
que os preços cotados sejam baseados em informações completas e precisas
sobre a empresa.
As empresas cotadas no OTCBB, OTC Link ou Global OTC não precisam
atender a nenhum padrão mínimo de listagem, mas geralmente estão sujeitas a
alguns requisitos iniciais e contínuos. Historicamente, as ações de micro
capitalização têm sido menos líquidas do que as ações de empresas maiores.
Antes de investir em uma empresa microcap, os compradores devem considerar
cuidadosamente que podem ter dificuldade em vender as ações mais tarde ou que
a venda terá um impacto perceptível no preço de venda das ações.
Embora todas as ações experimentem volatilidade até certo ponto, as ações
de microcap têm sido historicamente mais voláteis do que as ações de empresas
maiores. Antes de investir em ações microcap, as pessoas devem considerar
cuidadosamente a possibilidade de que essas ações possam ser suscetíveis a
grandes mudanças repentinas de preço; particularmente à luz da potencial
dificuldade que os investidores podem ter na venda dessas ações.
Informações confiáveis e disponíveis ao público sobre ações de microcaps
geralmente são limitadas. Além disso, as ações de empresas microcap são
historicamente menos líquidas e menos negociadas (menor volume) do que as
ações de empresas maiores. Esses fatores tornam mais fácil para os fraudadores
manipular o preço das ações ou o volume de negociação das ações microcap.
Ao avaliar a legitimidade de um investimento potencial em uma empresa
microcap, várias coisas devem ser examinadas. Isso inclui quaisquer suspensões
de negociação da SEC se houver falta de informações atuais e precisas sobre a
empresa e suas ações; se as ações de uma empresa parecem ser mais promovidas
do que seus produtos ou serviços; aumentos ou reduções inexplicáveis no preço
das ações ou volume de negociação; histórico de sucesso operacional; insiders
possuindo grandes quantidades de ações; poucos ou nenhum ativo, receitas
mínimas ou comunicados de imprensa implausíveis podem sugerir nenhuma
operação comercial real.
Os potenciais investidores devem procurar além das mídias sociais e
comunicados de imprensa disponíveis ao público para obter informações
independentes sobre a administração da empresa e seus diretores e nunca lidar
com corretores que se recusam a fornecer informações por escrito sobre os
investimentos que estão promovendo. Todos os materiais fornecidos a potenciais investidores
devem ser cuidadosamente revistos e verificados, especialmente as demonstrações

financeiras, especialmente se não forem auditadas por um contador público
certificado (CPA). Se um corretor solicitou a você a compra desta ação e não pode
lhe fornecer informações básicas sobre a empresa (por exemplo, as estatísticas
financeiras da empresa), considere cuidadosamente se este é um investimento
apropriado.10
O Escritório de Educação e Advocacia do Investidor da SEC emitiu um Alerta do
Investidor atualizado para alertar os investidores sobre golpes de investimento que
pretendem oferecer aos investidores a oportunidade de comprar ações de empresas
de pré-oferta pública inicial (pré-IPO), incluindo mídias sociais e empresas de
tecnologia, como Facebook e Twitter. A equipe da SEC está ciente de uma série de
reclamações e consultas sobre esses tipos de fraude, que podem ser promovidas nas
mídias sociais e sites da Internet, por telefone, e-mail, pessoalmente ou por outros
meios. Em setembro de 2010, uma ordem judicial foi proferida em favor da SEC com
base em alegações de que um golpista havia desviado mais de US$ 3,7 milhões de 45
investidores em quatro estados, oferecendo ações pré-IPO falsas de empresas,
incluindo AOL/Time Warner, Inc., Google, Inc. e Rosetta Stone, Inc., antes de as
empresas abrirem o capital. Os investidores devem estar atentos aos riscos envolvidos
em uma oferta de compra de ações pré-IPO de uma empresa. Lembre-se de que as
pessoas e empresas que promovem ofertas pré-IPO fraudulentas geralmente usam
sites de engenharia social de aparência impressionante, postagens em quadros de
avisos e spam de e-mail para explorar investidores que vasculham a Internet em busca
de negócios eletrônicos nos quais investir. Para atrair investidores, eles fazem
comparações infundadas entre sua empresa e outras empresas de Internet
estabelecidas e bem-sucedidas. Mas essas e outras afirmações que parecem tão
verossímeis a princípio muitas vezes se revelam falsas ou enganosas. Sempre seja
cético ao considerar qualquer oferta pré-IPO promovida pela Internet.11
A fraude de pool de commodities é um tipo de fraude que envolve indivíduos e

empresas, muitas vezes não registrados, que oferecem investimentos em pools de
commodities. Nesses esquemas fraudulentos, o dinheiro do investidor é mal utilizado
(muitas vezes gasto em despesas indevidas). Os operadores de pool anunciam com
base em falsas alegações de engenharia social de altos lucros e baixo risco. Os sinais
de um possível discurso de vendas fraudulento incluem:
• Levar as pessoas a acreditar que podem lucrar com notícias atuais já

conhecidas do público. Por exemplo: “Como resultado daquele furacão, o
preço dos futuros de petróleo aumentará substancialmente”.
• Fazer contato por meio de referências boca a boca ou e-mails de amigos,

parentes, membros de igrejas ou grupos sociais — um operador de pool
fraudulento até solicitou seu grupo de apoio ao câncer.
• Afirmar conhecer tendências exclusivas do mercado ou ter um histórico de

negociações altamente lucrativas.
• Fazer promessas de retornos rápidos, grandes e garantidos.
• Solicitar informações pessoais, como nome completo de uma pessoa,
número de telefone e e-mail ou endereço residencial.
• Solicitar dinheiro imediatamente.
Frequentemente, as táticas de persuasão de engenharia social incluem:
• Apresentar a perspectiva de riqueza e seduzir as pessoas com algo que

desejam, mas não podem ter. Por exemplo, “Esta compra de ouro tem garantia
de dobrar em três meses!”
• Tentar construir credibilidade afirmando estar com uma empresa respeitável ou
ter credenciais especiais ou experiência. Por exemplo, “Acredite em mim,
como vice-presidente sênior da EZY Money Inc., eu nunca venderia um
investimento que não produzisse”.
• Levar as pessoas a acreditar que outros investidores experientes já investiram.
Por exemplo: “Foi assim que Bob começou.
Sei que é muito dinheiro, mas estou dentro, minha mãe e metade do clube
dela também, e vale cada centavo.”
• Oferecer-se para fazer um pequeno favor para as pessoas em troca de um
grande favor. Por exemplo: “Eu te dou um desconto na minha comissão se
você comprar agora, meio desconto”.
• Criar um falso senso de urgência alegando oferta limitada.
Por exemplo, “Restam apenas duas unidades, então eu me inscreveria hoje
se eu fosse você.”12
O mercado de câmbio (Forex) é volátil e traz riscos substanciais. Não é o lugar para
colocar dinheiro que você não pode perder, como fundos de aposentadoria, pois você
pode perder a maior parte ou a totalidade muito rapidamente. A CFTC testemunhou um
aumento acentuado nos golpes de negociação Forex nos últimos anos e aconselha os
investidores sobre como identificar possíveis fraudes. Sinais de um possível discurso de
vendas fraudulento incluem a maioria dos mesmos argumentos de engenharia social e
táticas de persuasão empregadas na fraude de pool de commodities.13
Um Fraud Advisory da CFTC sobre os lucros da Guerra ao Terrorismo insta os

investidores a tomarem cuidado com as promessas de lucros de futuros de
commodities e negociação de opções com base nos eventos de 11 de setembro de
2001 e outros ataques terroristas, bem como informações públicas relacionadas ao
guerra ao terrorismo. As empresas costumam usar solicitações de chamadas
telefônicas, mensagens de e-mail, anúncios na Internet, sites, discussões em salas
de bate-papo na Internet ou anúncios de rádio e televisão e infomerciais para
promover futuros de commodities e negociação de opções. As solicitações podem
prometer riquezas rápidas, como transformar $ 5.000 em $ 20.000 em apenas
alguns meses com risco predeterminado. Estamos cientes de que uma compra de
futuros ou opções em petróleo bruto será lucrativa porque a agitação nos países
produtores de petróleo aumentará o preço dessa commodity.
Esses discursos de vendas são falsos e de engenharia social, aumentos na
demanda por commodities devido a eventos mundiais não resultam necessariamente
no aumento do valor de uma opção ou contratos futuros. O mercado já considerou
essa demanda no preço de futuros e opções. Os mercados respondem
imediatamente a novas informações, dentro de alguns minutos ou horas. Os preços
de opções de commodities e contratos futuros já levam em consideração todas as
condições de mercado conhecidas ou previsíveis. As alegações de que o risco de
comprar futuros e opções de commodities pode ser predeterminado ou fixo são
enganosas. Os compradores de contratos de opções de commodities podem perder
cada centavo e, como os contratos futuros são alavancados ou com margem, os
clientes podem ser responsabilizados por perdas superiores aos seus depósitos
iniciais.14
A fraude de metais preciosos geralmente é iniciada com algumas promessas
muito bem projetadas socialmente de lucros fáceis com o aumento dos preços de
metais preciosos, como ouro, prata, paládio e platina. Os argumentos socialmente
elaborados e as táticas de persuasão empregadas em fraudes de pool de
commodities e fraudes no mercado Forex são rotineiramente empregadas em
esquemas de fraude de metais preciosos. Existem algumas reviravoltas diferentes como: “Desde que
desastre da mina, você certamente obterá grandes retornos sobre seu depósito”,
ou a alegação de que as transações de metais preciosos não são regulamentadas
pela CFTC ou pela National Futures Association.15
2.4 Formas de trabalho dos atacantes de engenharia social
Em um ataque de engenharia social, um invasor usa interação humana básica

(habilidades sociais) para fazer com que o destinatário de uma mensagem,
postagem ou anúncio execute uma ação desejada. Isso pode ser tão simples quanto abrir um
arquivo ou clicando em um link, como no ataque I Love You. Também pode

envolver a obtenção de informações comprometedoras sobre uma organização,
suas operações ou sistemas de computador que são úteis para penetrar e atacar
redes e sistemas. Em um ataque mais complexo, o conteúdo pode ser projetado
socialmente para atrair o leitor para uma situação mais complexa que resulta em
fraude ou roubo. Independentemente dos resultados desejados pelo invasor, a
engenharia social da mensagem provou ser um método eficaz para apoiar o
empreendimento criminoso ou promover uma agenda social ou política.
Um bom invasor parecerá despretensioso e respeitável, possivelmente

afirmando ser um novo funcionário, reparador, pesquisador ou apoiador, e até
mesmo oferecendo credenciais para apoiar essa identidade. No entanto, ao fazer
perguntas, eles geralmente reúnem informações suficientes para se infiltrar ainda
mais nas operações, redes, sistemas ou dados da organização.
Se um invasor não coletar informações suficientes de uma fonte, ele geralmente
entrará em contato com outras fontes dentro da mesma organização, utilizando
as informações da primeira fonte para aumentar a credibilidade e a aparência de
legitimidade. Os invasores trabalham na construção de qualquer nível de
relacionamento necessário para atingir seus objetivos.
Phishing é uma forma de engenharia social que geralmente usa e-mail, mídia
social ou sites maliciosos para solicitar informações pessoais, fazendo-se passar
por uma organização legítima e confiável. Uma tática frequentemente empregada
é quando um invasor pode enviar um e-mail, aparentemente de uma empresa de
cartão de crédito ou instituição financeira respeitável, solicitando informações da
conta, muitas vezes sugerindo que há um problema. Quando os usuários
respondem com as informações solicitadas, os invasores podem usá-las para
obter mais acesso a contas ou sistemas.
Os ataques de phishing também podem parecer provenientes de outros tipos
de organizações, como instituições de caridade ou agências governamentais. Os
invasores geralmente se aproveitam dos eventos atuais ou de determinadas
épocas do ano, como desastres naturais como o furacão Katrina, ou sofrimento
humano, como epidemias e problemas de saúde, preocupações econômicas,
grandes eleições políticas ou até mesmo feriados. No entanto, ataques de phishing
também podem ser executados por funcionários de dentro de uma organização
ou parentes de funcionários que obtêm acesso a recursos da organização que
podem ser usados para coletar informações adicionais ou aumentar seu acesso.16
Em um ataque de engenharia social por telefone, o hacker contata a vítima

fingindo ser outra pessoa, como um técnico de serviço ou colega de trabalho, e
tenta coletar informações que possam parecer
inócuo para a vítima. Os engenheiros sociais podem tentar coletar informações sobre
suas vítimas em feiras ou conferências relacionadas ao assunto.
linha de trabalho, interesse pessoal ou hobby das vítimas. Os engenheiros sociais

alavancam uma variedade de emoções e características humanas, desde o desejo de ser
útil até o desejo de amizade ou, mais frequentemente no caso de fraude financeira, a
velha e simples ganância por parte de uma vítima em potencial.
Em situações em que o engenheiro social pode interagir fisicamente com vítimas em

potencial, como em feiras ou feiras, eles vagarão pelo local iniciando conversas com
vítimas em potencial.
O evento dá a eles um interesse comum para quebrar o gelo.
Também podem chegar a montar um expositor ou estande para coletar informações sob
o pretexto de oferecer uma solução ou um produto relacionado ao evento.17
2.5 Conclusão
As tecnologias que os engenheiros sociais exploram serão abordadas em capítulos

posteriores, juntamente com ataques adicionais de engenharia social do mundo real.
É, no entanto, importante observar que a tecnologia usada pelos invasores de engenharia
social mudará constantemente e pode ser difícil para a pessoa não técnica entender e
identificar. O material abordado neste capítulo mostra uma ampla gama de objetivos de
invasores de engenharia social que devem ativar os alarmes para usuários de computador
se eles suspeitarem que qualquer uma das possíveis abordagens de isca de clique ou
estratagemas discutidos estão em jogo.
2.6 Pontos Chave
• E-mails e sites falsos evoluíram para se tornar mais tecnológicos

enganando niticamente a investigação casual e isso torna difícil para muitos
usuários não técnicos identificar
contente.
• A definição de phishing cresceu para abranger uma ampla variedade de crimes
financeiros eletrônicos, além de mensagens de e-mail e sites falsos, levando
em consideração o aumento na quantidade de códigos maliciosos que visam
especificamente a conta do usuário
informações e espiona as comunicações com sites para coletar informações

da conta.
• O Love Bug sublinhou a necessidade de reconhecer e combater eficazmente os

riscos que podem potencialmente criar graves interrupções nos negócios,
calamidade econômica e violações da segurança nacional.
• Alguns engenheiros sociais concentram-se em ataques rápidos de curto prazo,
enquanto outros jogam um jogo de longo prazo.
• Os engenheiros sociais dos Estados-nação são bem financiados e frequentemente
se envolvem em ataques sofisticados e direcionados. Estados-nação são
tipicamente motivados por agendas políticas, econômicas, técnicas ou militares,
e possuem uma gama de objetivos que variam em momentos diferentes.
• Concorrentes corporativos buscam acesso ilícito à propriedade intelectual
proprietária, incluindo informações financeiras, estratégicas e relacionadas à
força de trabalho de seus concorrentes; e muitos desses atores corporativos
são apoiados por estados-nação.
• Os hacktivistas são geralmente indivíduos ou grupos privados em todo o mundo
que têm uma agenda política e procuram realizar ataques de alto nível.
• Grupos criminosos organizados geralmente se envolvem em ataques direcionados

motivados pela busca de lucro. Eles coletam lucros vendendo PII roubados na
dark web e coletando pagamentos de resgate de entidades públicas e privadas
por meio de ataques disruptivos.
• Os oportunistas são geralmente hackers amadores motivados pelo desejo de

notoriedade e geralmente atacam organizações usando códigos e técnicas
amplamente disponíveis e, portanto, geralmente representam a forma menos
avançada de adversários.
• Pessoas de dentro da empresa frequentemente empregam ataques de engenharia social
em busca de vingança ou ganho financeiro.

• Uma abordagem para entender melhor a engenharia social é entender os
esquemas fraudulentos que são alimentados pela engenharia social.
• A fraude de investimento ocorre de várias formas. Se você é um investidor

iniciante ou já investe há muitos anos, existem alguns fatos básicos que você
deve saber sobre diferentes tipos de fraude.
• Táticas de persuasão frequentemente engendradas socialmente incluem acenar

com a perspectiva de riqueza e seduzir as pessoas com algo que desejam,
mas não podem ter.
• Em um ataque de engenharia social, um invasor usa a interação humana básica

(habilidades sociais) para fazer com que o destinatário de uma mensagem, postagem
ou anúncio execute uma ação desejada.
• Um bom invasor parecerá despretensioso e respeitável, possivelmente afirmando ser
um novo funcionário, reparador, pesquisador ou apoiador, e até mesmo oferecendo
credenciais para apoiar essa identidade.
• Em um ataque de engenharia social por telefone, o hacker contata a vítima fingindo ser
outra pessoa, como um técnico de serviço ou colega de trabalho, e tenta coletar
informações que podem parecer inócuas para a vítima.
Os tópicos de discussão para seminários de nível profissional ou de pós-graduação são:
• Que experiência os participantes do seminário tiveram em situações em que eles ou

pessoas que eles conhecem foram vítimas de um esquema de fraude na Internet?
• Como as vítimas dos esquemas de fraude resolveram sua situação
ção e recuperar quaisquer fundos perdidos?

• Quais são as percepções dos participantes em relação à capacidade de usuários
individuais da Internet identificarem facilmente um ataque ou esquema de fraude de
engenharia social?
2.8 Projeto de Grupo de Seminário
Os participantes do seminário entrevistarão de três a cinco pessoas que encontraram fraude na

Internet ou outras formas de ataques de engenharia social e escreverão um resumo de uma
página das entrevistas. Os participantes devem estar preparados para discutir suas descobertas
no ambiente de grupo de discussão.
Termos chave
Fraude de taxa antecipada: são esquemas de taxa que exigem que as vítimas adiantem
quantias de dinheiro relativamente pequenas na esperança de obter ganhos muito
maiores. Nem todos os esquemas de taxas antecipadas são fraudes de investimento.
Naqueles que são, no entanto, as vítimas são informadas de que, em
Para ter a oportunidade de ser um investidor (em uma oferta inicial de um

título, investimento ou mercadoria promissora, etc.), a vítima deve primeiro
enviar fundos para cobrir impostos ou taxas de processamento, etc.
Fraude por afinidade: os perpetradores de fraude por afinidade aproveitam a

tendência das pessoas de confiar em outras com quem compartilham
semelhanças, como religião ou identidade étnica, para ganhar sua confiança e dinheiro.
Líderes da sociedade civil: são indivíduos que ocupam cargos governamentais,
empresariais ou religiosos que lhes permitem influenciar suas sociedades,
comunidades e indivíduos.
Grupos criminosos: são compostos por pessoas organizadas com o objetivo de
cometer atividades criminosas para ganhos econômicos, influência política
ou domínio em uma área geográfica específica.
Empresas criminosas: o FBI define uma empresa criminosa como um grupo de
indivíduos com uma hierarquia identificada, ou estrutura comparável,
envolvidos em atividades criminosas significativas.
Fraude de desastre: geralmente é cometida por indivíduos que buscam lucrar por
meio de falsas reivindicações de danos; também existem fraudes de
desastres não relacionadas a seguros, pois muitas organizações e
indivíduos solicitam contribuições para as vítimas do desastre. Vítima de fraude
tims podem ser abordados por e-mails não solicitados solicitando doações
para uma organização aparentemente legítima. O planejador instruirá a
vítima a enviar uma doação por meio de transferência de dinheiro.
Informações Pessoais Identificáveis (PII): são informações que podem ser usadas
para distinguir ou rastrear a identidade de um indivíduo, isoladamente ou
quando combinadas com outras informações pessoais ou de identificação
vinculadas ou vinculáveis a um indivíduo específico.
Mídia social publicamente disponível: abrange aplicativos e conteúdo de mídia
social que podem ser acessados e visualizados pelo público em geral sem
restrições.
Referências
2. Vírus Love Bug: protegendo computadores apaixonados contra ataques
maliciosos. Quarta-feira, 10 de maio de 2000. Câmara dos Representantes,
Comitê de Ciência, Subcomitê de Tecnologia, Washington, DC. Acessado
em 4 de fevereiro de 2019. http://commdocs.house.gov/committees/science/
hsy131170.000/hsy131170_1.HTM
3. O custo da atividade cibernética maliciosa para a economia dos EUA. Conselho de Assessores
Econômicos. Fevereiro de 2018. Acessado em 4 de fevereiro de 2019. https://
www.whitehouse.gov/wp-content/uploads/2018/03/The-Cost of-Malicious-Cyber-Activity-to-
the-US-Economy.pdf
4. Golpes e Esquemas de Fraude Comuns de Segurança. Departamento Federal de Investigação.
Acessado em 4 de fevereiro de 2019. https://www.fbi.gov/scams and-safety/common-fraud-
schemes
5. Tipos de Fraude. Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de
fevereiro de 2019. https://www.investor.gov/protect-your-investments/
fraude/tipos de fraude
6. Boletim do Investidor: Fraude por Afinidade. Comissão de Valores Mobiliários dos Estados
Unidos. Acessado em 5 de fevereiro de 2019. https://www.investor.gov/
recursos adicionais/alertas-notícias/boletins-alertas/boletim-investidor-afinidade-fraude
7. Alerta do investidor: Sites de opções binárias podem ser usados para esquemas fraudulentos.
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019.
https://www.investor.gov/investing-basics/avoiding-fraud/
fraude de tipos/fraude de opções binárias
8. Boletim do Investidor: Fundamentos da Microcap Stock (Parte 1 de 3: Informações Gerais).
https://www.investor.gov/additional-resources/news-alerts/alerts bulletins/investor-bulletin-
microcap-stock-basics-part-1-3
9. Boletim do Investidor: Noções básicas sobre ações da Microcap (Parte 2 de 3: Pesquisa).
https://www.investor.gov/additional-resources/news-alerts/
alertas-boletins/boletim-investidor-microcap-stock-básico-parte-2-3
10. Boletim do Investidor: Noções básicas sobre ações da Microcap (Parte 3 de 3: Risco).
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019. https://
www.investor.gov/additional-resources/news-alerts/alerts-bulletins/
boletim do investidor-microcap-stock-noções básicas-parte-3-3
11. Alerta ao Investidor: Golpes de Investimento Pré-IPO (atualizado). Comissão de Valores
Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019. https://
www.investor.gov/additional-resources/news-alerts/alerts-bulletins/
investidor-alerta-pré-ipo-investimento-golpes-atualizado
12. Fraude em Pool de Commodities. Comissão de Negociação de Futuros de Commodities dos
EUA (CFTC). Acessado em 5 de fevereiro de 2019. https://www.cftc.gov/About/
MissionResponsibilities/index.htm
13. Fraude no comércio de moeda estrangeira (Forex). Comissão de Negociação de Futuros de
Commodities dos EUA (CFTC). Acessado em 5 de fevereiro de 2019. https://
www.cftc.gov/ConsumerProtection/FraudAwarenessPrevention/
CFTCFraudAdvisories/fraudadv_forex.html
14. Fraude Advisory da CFTC: Lucros da Guerra contra o Terrorismo.
Comissão de Negociação de Futuros de Commodities dos EUA (CFTC). Acessado em 5 de
fevereiro de 2019. https://www.cftc.gov/ConsumerProtection/
FraudAwarenessPrevention/CFTCFraudAdvisories/fraudadv_wtcat tack.html
15. Fraude de Metais Preciosos. Comissão de Negociação de Futuros de Commodities

dos EUA (CFTC). Acessado em 5 de fevereiro de 2019. https://www.cftc.gov/Consumer
Protection/FraudAwarenessPrevention/CFTCFraudAdvisories/frau
dadv_preciousmetals.html
16. Dica de segurança (ST04-014), Evitando ataques de engenharia social e phishing.
Centro Nacional de Integração de Cibersegurança e Comunicações (NCCIC). Data
de lançamento original: 22 de outubro de 2009. Última revisão: 21 de novembro de
2018. Acessado em 1º de fevereiro de 2019. https://www.us-cert.
gov/ncas/tips/ST04-014
17. Tipos de Engenharia Social. Agência Federal de Gerenciamento de Emergências
(FEMA). Acessado em 1º de fevereiro de 2019. https://emilms.fema.gov/is906/
WSA0101610text.htm
3
Criminoso Social
Atividades de Engenharia
Os golpes de phishing floresceram nos últimos anos devido a condições

econômicas e tecnológicas favoráveis. Os recursos técnicos necessários para
executar ataques de phishing podem ser facilmente adquiridos por meio de fontes
públicas e privadas. Alguns recursos técnicos foram simplificados e automatizados,
permitindo o uso por criminosos não técnicos. Isso torna o phishing economicamente
e tecnicamente viável para uma população maior de criminosos menos sofisticados.1
A missão do Internet Crime Complaint Center (IC3) é fornecer ao público um

mecanismo de denúncia confiável e conveniente para enviar informações ao
Federal Bureau of Investigation (FBI) sobre suspeita de atividade criminosa
facilitada pela Internet e desenvolver alianças eficazes com a lei fiscalização e
parceiros da indústria. Desde 2000, o IC3 recebe denúncias que vão além do
espectro do crime cibernético para incluir fraudes online em suas diversas formas.
Tornou-se cada vez mais evidente que, independentemente do rótulo atribuído a

um assunto de cibercrime, o potencial para que ele se sobreponha a outro assunto
referido é substancial. Além disso, muitos desses crimes são perpetrados por meio
de engenharia social.2
A Federal Trade Commission (FTC) trabalha para evitar práticas comerciais
fraudulentas, enganosas e desleais no mercado e para fornecer informações para
ajudar os consumidores a identificá-las, interrompê-las e evitá-las. Muitas das
reclamações recebidas pela FTC dizem respeito a práticas de negócios perpetradas
por meio de engenharia social.3
A Securities and Exchange Commission (SEC) supervisiona os principais
participantes do mundo dos valores mobiliários, incluindo bolsas de valores,
corretoras e revendedores de valores mobiliários, consultores de investimentos e fundos mútuos.
A SEC está preocupada principalmente em promover a divulgação de informações
importantes relacionadas ao mercado, manter negociações justas e proteger contra
fraudes. Muitas das reclamações tratadas pela SEC
57
são referentes a crimes perpetrados por meio do uso de engenharia social.4 Este capítulo
analisa várias instâncias de engenharia social sendo empregadas para cometer atos
criminosos, que violam as leis que as agências acima são responsáveis por fazer cumprir.
3.1 O Golpe do Suporte Técnico
Esse ataque de engenharia social ainda está acontecendo e, em 2017, o IC3 recebeu
aproximadamente 11.000 reclamações relacionadas a fraudes de suporte técnico. As perdas
alegadas totalizaram quase $ 15 milhões, o que representou um aumento de 86% nas
perdas em relação a 2016. Embora a maioria das fraudes de suporte técnico envolva vítimas
nos Estados Unidos, o IC3 recebeu reclamações desse cenário de fraude de computador
de vítimas em 85 países diferentes .
Os criminosos podem se passar por um representante de segurança, cliente ou suporte

técnico oferecendo-se para resolver problemas como um e-mail ou conta bancária
comprometidos, um vírus em um computador ou para ajudar na renovação de uma licença
de software. Algumas reclamações recentes envolvem criminosos que se apresentam como
representantes de suporte técnico para GPS, impressoras ou empresas de cabo, ou suporte
para cambistas virtuais. Como esse tipo de fraude se tornou mais comum, os criminosos
começaram a se passar por agentes do governo, oferecendo-se até para recuperar supostos
prejuízos relacionados a esquemas de fraude de suporte técnico ou solicitar ajuda financeira
para prender criminosos. O contato inicial com a vítima geralmente ocorre por meio dos
métodos mostrados no Quadro 3.1.
CAIXA 3.1 APOIO TÉCNICO FRAUDE MÉTODOS DE CONTATO

INICIAL DA VÍTIMA
Telefone: A vítima recebe uma ligação telefônica não solicitada de um indivíduo

alegando que o dispositivo ou computador da vítima está infectado com um vírus ou
está enviando mensagens de erro para o autor da chamada. Os chamadores são
geralmente relatados como tendo sotaques estrangeiros fortes.
Publicidade em mecanismos de pesquisa: indivíduos que precisam de suporte
técnico podem usar mecanismos de pesquisa on-line para encontrar empresas de
suporte técnico. Os criminosos pagam para que o link de sua empresa de suporte
técnico fraudulento apareça mais alto nos resultados de pesquisa, esperando que
as vítimas escolham um dos principais links nos resultados de pesquisa.
Atividades Criminais de Engenharia Social 59
Mensagem pop-up: a vítima recebe uma mensagem pop-up na tela

informando que um vírus foi encontrado em seu computador. Para receber
assistência, a mensagem solicita que a vítima ligue para um número de
telefone associado ao suporte técnico fraudulento
companhia.
Tela bloqueada em um dispositivo: o dispositivo da vítima exibe uma
tela congelada e bloqueada com um número de telefone e instruções para
entrar em contato com uma empresa fraudulenta de suporte técnico.
Algumas vítimas relataram ter sido redirecionadas para sites alternativos
antes que a tela bloqueada ocorresse.
Pop-ups e telas bloqueadas geralmente são acompanhados por uma

mensagem verbal gravada para entrar em contato com um número de telefone
para obter assistência. Em outros casos, um localizador uniforme de recursos
(URL) é programado em links para anúncios ou tópicos populares nas mídias
sociais, que são disfarçados porque os endereços da Web de sites populares
(como mídias sociais ou sites financeiros) são digitados para resultar em um pop-
up tela aberta ou bloqueada se a vítima digitar incorretamente o endereço do site
pretendido.
Outra abordagem é que a vítima receba um e-mail de phishing avisando sobre

uma possível invasão em seu computador ou um e-mail avisando sobre uma
cobrança fraudulenta em sua conta bancária ou cartão de crédito.
O e-mail fornece um número de telefone para o destinatário entrar em contato
com o suporte técnico fraudulento. Assim que o representante fraudulento da
empresa de suporte técnico faz contato verbal com a vítima, o criminoso tenta
convencê-la a fornecer acesso remoto ao dispositivo da vítima.
Se o dispositivo for um tablet ou smartphone, muitas vezes o criminoso instrui a
vítima a conectar o dispositivo a um computador. Uma vez conectado remotamente,
o criminoso alega encontrar licenças expiradas, vírus, malware ou scareware. O
criminoso informará à vítima que o problema pode ser removido por uma taxa. Os
criminosos geralmente solicitam o pagamento por meio de cheque pessoal/

eletrônico, transferência bancária/eletrônica, cartão de débito/crédito, cartão pré-
pago ou moeda virtual.
Outro problema generalizado é o reembolso falso. Nesse esquema, o
criminoso entra em contato com a vítima oferecendo o reembolso dos serviços de
suporte técnico prestados anteriormente. O criminoso solicita acesso ao dispositivo
da vítima e instrui a vítima a fazer login em sua conta bancária online
para processar um reembolso. Como resultado, o criminoso obtém o controle do

dispositivo e da conta bancária da vítima. Com esse acesso, o criminoso faz parecer
que muito dinheiro foi devolvido à conta da vítima e solicita que a vítima devolva a
diferença à empresa do criminoso por meio de transferência eletrônica ou cartões
pré-pagos. Na realidade, não houve nenhum reembolso. Em vez disso, o criminoso
transferia fundos entre as próprias contas da vítima (corrente, poupança,
aposentadoria, etc.) para fazer parecer que os fundos foram depositados. A vítima
devolve o próprio dinheiro ao criminoso. O processo de reembolso e devolução
pode ocorrer várias vezes, resultando na vítima potencialmente perdendo milhares
de dólares.
A fraude de suporte técnico foi originalmente uma tentativa de criminosos de

obter acesso a dispositivos para extorquir pagamento por serviços fraudulentos. No
entanto, os criminosos estão criando novas técnicas e versões do esquema para
avançar e perpetuar a fraude. Isso inclui redirecionar vítimas anteriores e contatos
de criminosos se passando por funcionários do governo ou agentes da lei. O
criminoso oferece assistência na recuperação de perdas de um incidente anterior
de fraude de suporte técnico. O criminoso solicita fundos da vítima para ajudar na

investigação ou para cobrir as taxas associadas à devolução dos fundos perdidos.
Os criminosos também se apresentam como serviços de cobrança, alegando que a
vítima não pagou por serviços de suporte técnico anteriores. A vítima é
frequentemente ameaçada com uma ação legal se não pagar uma taxa de liquidação.
A moeda virtual é cada vez mais visada por criminosos de suporte técnico, com
perdas de vítimas individuais geralmente em milhares de dólares. Os criminosos se
apresentam como pessoal de suporte à moeda virtual. As vítimas entram em contato

com números de suporte de moeda virtual emprestados por fraude, geralmente
localizados por meio de pesquisas de código aberto. O suporte fraudulento solicita
acesso à carteira de moeda virtual da vítima e transfere a moeda virtual da vítima
para outra carteira para retenção temporária durante a manutenção. A moeda virtual
nunca é devolvida à vítima e o criminoso interrompe toda a comunicação. Criminosos
que têm acesso ao dispositivo eletrônico da vítima
usar as informações pessoais e o cartão de crédito da vítima para comprar e

transferir moeda virtual para uma conta controlada pelo criminoso.
Também tem havido um uso crescente de informações pessoais e contas da
vítima para realizar fraudes adicionais. Os criminosos usam a vítima
informações pessoais para solicitar transferências bancárias ou abrir novas contas

para aceitar e processar pagamentos não autorizados. Eles também enviam phishing
e-mails para os contatos pessoais da vítima a partir do computador da vítima e

download de arquivos pessoais contendo contas financeiras, senhas e dados
pessoais (registros de saúde, números de previdência social, informações fiscais,
etc.). Além disso, o relatório de reclamações do IC3:
• Criminosos que assumiram o controle dos dispositivos das vítimas e/ou

contas e não liberou o controle a menos que um resgate fosse pago.
• Vírus, software de registro de chaves e malware foram instalados nos
dispositivos das vítimas.
• Os criminosos tornaram-se mais beligerantes, hostis e abusivos se

desafiados pelas vítimas.
Os usuários de computador devem sempre lembrar que empresas legítimas de

suporte técnico, de segurança ou de clientes não iniciarão contato não solicitado
com indivíduos e que devem ser cautelosos com os números de suporte ao cliente
obtidos por meio de pesquisa de código aberto. Os números de telefone listados em
uma seção de resultados patrocinados provavelmente são impulsionados como
resultado da publicidade em mecanismos de pesquisa. É sábio aprender a reconhecer
as tentativas fraudulentas e interromper toda a comunicação com o criminoso.5
3.2 Compromisso de e-mail comercial
Business Email Compromise (BEC)/Email Account Compromise (EAC) é um golpe

sofisticado que visa empresas e indivíduos que realizam pagamentos por
transferência eletrônica. O golpe é frequentemente executado quando um perpetrador
compromete contas de e-mail comerciais legítimas por meio de engenharia social
ou técnicas de invasão de computador para realizar transferências de fundos não
autorizadas. O golpe nem sempre pode estar associado a uma solicitação de
transferência de fundos. Uma variação do golpe envolve o comprometimento de
contas de e-mail comerciais legítimas e a solicitação de formulários de Informações
Pessoais Identificáveis (PII) ou Declaração de Impostos e Salários (W-2) para
funcionários.
O golpe BEC/EAC continua a crescer e evoluir, visando pequenas, médias e
grandes empresas e transações pessoais.
Entre dezembro de 2016 e maio de 2018, houve um aumento de 136% nas perdas
expostas globais identificadas. O golpe foi relatado em todos os 50 estados dos
Estados Unidos e em 150 países. As queixas das vítimas registradas no IC3 e as
fontes financeiras indicam que transferências fraudulentas foram enviadas para 115
países.
Tabela 3.1 Estatísticas de fraude BEC/EAC
(outubro de 2013 e maio de 2018)
Incidentes mundiais 78.617

Perdas mundiais $ 12.536.948.299
Vítimas dos Estados Unidos 41.058
perdas dos EUA $ 2.935.161.457
Vítimas não americanas 2.565
Perdas fora dos EUA $ 671.915.009
Com base nos dados financeiros, os bancos asiáticos localizados na China e Hong
Kong continuam sendo os principais destinos de fundos fraudulentos; no entanto,
instituições financeiras no Reino Unido, México e Turquia também foram identificadas
recentemente como destinos importantes.
Entre outubro de 2013 e maio de 2018, foram 78.617 incidentes relatados por fontes
nacionais e internacionais e a perda do dólar foi impressionante. As estatísticas são
apresentadas na Tabela 3.1.
Nos últimos anos, os atores do BEC/EAC focaram fortemente no setor imobiliário. As
vítimas que participam em todos os níveis de uma transação imobiliária relataram tal
atividade ao IC3. Isso inclui empresas de títulos, escritórios de advocacia, agentes
imobiliários, compradores e vendedores. As vítimas geralmente relatam um e-mail forjado
sendo enviado ou recebido em nome de um desses participantes da transação imobiliária
com instruções direcionando o destinatário a alterar o tipo de pagamento e/ou local de
pagamento para uma conta fraudulenta. Os fundos são geralmente direcionados para
uma conta doméstica fraudulenta e, em seguida, são rapidamente dispersos em dinheiro
ou cheque com saques. Os fundos também podem ser transferidos para uma conta
doméstica ou internacional fraudulenta secundária. Fundos enviados para contas
nacionais
muitas vezes esgotam-se rapidamente, dificultando a recuperação.

As mulas de dinheiro domésticas são freqüentemente identificadas em conexão
com a tendência imobiliária BEC/EAC. Os atores do BEC/EAC geralmente recrutam
mulas de dinheiro por meio de golpes de confiança/romance. O ator do BEC/EAC pode

aliciar uma vítima e, em seguida, encaminhá-la para abrir contas sob o pretexto de enviar
ou receber fundos conforme indicado pelo BEC/
Ator EAC. As contas abertas para facilitar esta atividade são tipicamente usadas por um
curto período de tempo. Depois que a conta é sinalizada pelas instituições financeiras,
ela pode ser encerrada e o ator do BEC/EAC orientará a vítima do golpe a abrir uma
nova conta ou passará a aliciar uma nova vítima. Vale ressaltar que algumas vítimas
relataram que não conseguiam distinguir conversas telefônicas fraudulentas de
conversas legítimas. Uma maneira de neutralizar essa atividade fraudulenta

é estabelecer frases de código que seriam conhecidas apenas pelas duas
partes legítimas.
Com base nos dados de reclamações das vítimas, os golpes de BEC/EAC
direcionados ao setor imobiliário estão aumentando. Dos anos civis de 2015 a
2017, houve um aumento de mais de 1.100% no número de vítimas de BEC/
EAC relatando o ângulo da transação imobiliária e um aumento de quase
2.200% na perda monetária relatada ou mais de $ 18 bilhões.6
3.3 Engenharia Social de Golpes na Educação
A FTC acusou três indivíduos e nove empresas de furtar mais de US$ 125
milhões de milhares de consumidores com um programa fraudulento de
educação empresarial chamado MOBE (My Online Business Education). Um
tribunal federal interrompeu o esquema e congelou os bens dos réus a pedido
da FTC. De acordo com a FTC, os réus por trás dessa operação internacional
têm como alvo consumidores americanos, incluindo militares, veteranos e
idosos, por meio de anúncios online, mídia social, mala direta e eventos ao
vivo realizados em todo o país. Esta ação segue a recente ação da agência
contra a Digital Altitude, LLC, que era um esquema concorrente de oportunidade
de negócios que também foi interrompido por ordem judicial.
A FTC alegou que os réus alegaram falsamente que seu programa de

educação empresarial permitiria que as pessoas iniciassem seus próprios
negócios on-line e ganhassem uma renda substancial. Os réus alegaram ter
um sistema comprovado de 21 etapas para ganhar somas substanciais de
dinheiro de forma rápida e fácil com o marketing na Internet, que eles prometem
fornecer àqueles que aderirem ao programa. De acordo com a denúncia, os
consumidores que pagaram a taxa de inscrição inicial de US$ 49 para o
programa de 21 etapas foram bombardeados com propostas de venda de
pacotes de associação que custam milhares de dólares, que os réus os
pressionaram a comprar para continuar nas 21 etapas. Os réus finalmente
revelaram que seu sistema comprovado para ganhar dinheiro é que os
consumidores vendam as mesmas associações a outras pessoas na esperança
de ganhar comissões sobre essas vendas. A maioria das pessoas que
compram o programa e pagam pelas assinaturas caras não conseguem
recuperar seus custos, e muitas sofrem perdas incapacitantes ou dívidas
crescentes, incluindo algumas que perderam mais de US$ 20.000, alegou a FTC.
A FTC também alegou que os réus oferecem reembolsos e garantias de devolução

do dinheiro para induzir ainda mais as pessoas a acreditar que o programa é isento
de riscos, mas muitas vezes se recusam a honrar um pedido de reembolso ou
fornecem reembolsos somente depois que os compradores fazem exigências
persistentes ou ameaçam reclamar com o Better Business Bureau ou agências de aplicação da lei.7
Em uma situação semelhante, anúncios online e workshops presenciais para o
Sellers Playbook afirmam oferecer segredos para ganhar muito dinheiro na Amazon.
Mas, como muitos nomes, a verdade não faz jus ao hype. Isso é o que a FTC e o
procurador-geral de Minnesota (AG) alegaram em um processo que abriram. De
acordo com a denúncia, o Sellers Playbook atrai os consumidores com promessas
como “Lucro líquido potencial: $ 1.287.463,38” e “Começando com $ 1.000 … 1 ano
depois, mais de $ 210.000”, mas a FTC e a AG dizem que poucas pessoas,
alguém,
se é que
ganha esse tipo de dinheiro , apesar de gastar milhares para aprender os chamados
segredos da empresa. O que é ainda mais enganoso é que o Sellers Playbook não
tinha nenhuma afiliação com a Amazon além de colocar o nome da gigante online
em seus anúncios. Se as táticas parecem familiares, é porque alguns dos réus por
trás do Sellers Playbook eram afiliados à Amazing Wealth Systems, um
empreendimento cujas reivindicações falsas de muito dinheiro foram objeto de um
processo anterior da FTC.
A FTC e a Minnesota AG acusaram o Sellers Playbook de fazer alegações de

ganhos enganosas. A FTC também diz que os réus violaram a Regra de Oportunidade
de Negócios, uma cláusula de proteção ao consumidor que exige que os vendedores
de empreendimentos lucrativos divulguem certos fatos antecipadamente para as
pessoas que pensam em se inscrever. Além disso, o processo alegou que os réus
violaram o Consumer Review Fairness Act, que é uma nova lei que proíbe cláusulas
contratuais que tentam silenciar os consumidores de postar suas opiniões honestas
sobre os produtos ou atendimento ao cliente de uma empresa.8
3.4 A queda da avalanche
Em dezembro de 2016, o Departamento de Justiça (DOJ) anunciou uma operação

multinacional envolvendo prisões e buscas em quatro países para desmantelar uma
complexa e sofisticada rede de servidores de computadores conhecida como
Avalanche. A rede Avalanche supostamente hospedava mais de duas dúzias dos
tipos de software malicioso mais perniciosos do mundo e várias campanhas de
lavagem de dinheiro. No entanto,
A Avalanche é considerada apenas um exemplo de infra-estrutura criminosa dedicada

a facilitar invasões de privacidade e crimes financeiros em escala global.
A rede Avalanche oferecia aos cibercriminosos uma infraestrutura segura,

projetada para impedir a detecção por autoridades policiais e especialistas em
segurança cibernética, sobre a qual os criminosos conduziam campanhas de malware,
bem como esquemas de lavagem de dinheiro conhecidos como esquemas de mulas de dinheiro.
Senhas de bancos on-line e outras informações confidenciais roubadas dos
computadores infectados por malware das vítimas foram redirecionadas através da
intrincada rede de servidores Avalanche e, finalmente, para servidores de back-end
controlados pelos cibercriminosos. O acesso à rede Avalanche foi oferecido aos
cibercriminosos por meio de postagens em fóruns criminosos on-line exclusivos e
clandestinos.
A operação também envolveu um esforço sem precedentes para apreender,
bloquear e afundar - o que significa redirecionar o tráfego dos computadores das
vítimas infectadas para servidores controlados pela aplicação da lei em vez dos
servidores controlados por cibercriminosos - mais de 800.000 domínios maliciosos
associados à rede Avalanche. Esses domínios são necessários para
informações de funil, como credenciais bancárias confidenciais, dos computadores

infectados por malware das vítimas, através das camadas dos servidores Avalanche
e, finalmente, de volta aos cibercriminosos. Isso foi conseguido, em parte, por meio
de uma ordem de restrição temporária obtida pelos Estados Unidos no Distrito Oeste
da Pensilvânia.
Os tipos de esquemas de malware e mulas de dinheiro operando na rede
Avalanche variam. Ransomware como o Nymain, por exemplo, criptografava os
arquivos de computador das vítimas até que a vítima pagasse um resgate
(normalmente em forma de moeda eletrônica) ao cibercriminoso. Outros malwares,
como o GozNym, foram projetados para roubar credenciais bancárias confidenciais
das vítimas e usar essas credenciais para iniciar transferências eletrônicas
fraudulentas. Os esquemas de mulas de dinheiro operando no Avalanche envolviam
redes altamente organizadas de mulas que compravam mercadorias com fundos
roubados, permitindo que os cibercriminosos lavassem o dinheiro adquirido por meio
de ataques de malware ou outros meios ilegais.
Estima-se que a rede Avalanche, que operava desde pelo menos 2010, atendesse
clientes que operavam até 500.000 computadores infectados em todo o mundo
diariamente. As perdas monetárias associadas aos ataques de malware conduzidos
pela rede Avalanche são estimadas em centenas de milhões de dólares
em todo o mundo, embora cálculos exatos sejam difíceis devido ao grande número
de famílias de malware presentes na rede.
A Procuradoria do Distrito Oeste da Pensilvânia, o FBI e a Seção de Crimes
Informáticos e Propriedade Intelectual (CCIPS) da Divisão Criminal conduziram a
operação em estreita cooperação com o Ministério Público de Verden, Alemanha;
a Polícia de Luneburg, Alemanha; Europol; Eurojust, localizada em Haia, Holanda;
e investigadores e promotores de mais de 40 jurisdições, incluindo Índia, Cingapura,
Taiwan e Ucrânia.
Outras agências e organizações parceiras nesse esforço incluem a equipe de

prontidão para emergências de computadores dos EUA (US-CERT) do
Departamento de Segurança Interna, a Shadowserver Foundation, Fraunhofer
Institute for Communication, Registry of Last Resort, ICANN e registros de domínio
de todo o mundo. O Escritório de Assuntos Internacionais da Divisão Criminal
também forneceu assistência significativa.9 O objetivo era desmantelar a operação,
mas também realizar um processo eficaz.
3.5 Eliminação das Operações Gameover Zeus e Cryptolocker
Evgeniy Bogachev e os membros de sua rede criminosa criaram e implementaram

o tipo de cibercrimes que você pode não acreditar se os visse em um filme de
ficção científica. Ao implantar vírus secretamente em computadores em todo o
mundo, eles construíram uma rede de máquinas infectadas, ou bots, que podiam
se infiltrar, espionar e até controlar de qualquer lugar que desejassem. Sentados
silenciosamente em suas próprias telas de computador, os cibercriminosos podiam
assistir enquanto o malware Gameover Zeus interceptava os números de contas
bancárias e senhas que vítimas involuntárias digitavam em computadores e redes
nos Estados Unidos. Então os criminosos transformaram essas informações em
dinheiro
esvaziando as contas bancárias das vítimas e desviando o dinheiro para si

mesmas. Normalmente, quando as vítimas descobrem que foram infectadas com
o Gameover Zeus, já é tarde demais.
O esquema Cryptolocker, por outro lado, foi brutalmente direto sobre a obtenção
do dinheiro das vítimas. Em vez de observar e esperar, os cibercriminosos
simplesmente tomaram o computador da vítima como refém até que o proprietário
do computador concordasse em pagar um resgate diretamente a eles. Eles usaram
ferramentas de criptografia sofisticadas, originalmente projetadas para proteger dados
de roubo, para impossibilitar que as vítimas acessem quaisquer dados armazenados

em seus computadores. Na prática, os criminosos mantiveram como resgate cada
e-mail particular, plano de negócios, projeto de ciências infantil ou fotografia de
família — todos os arquivos pessoais e importantes armazenados no computador
da vítima. Para recuperar seus dados, os proprietários de computadores tiveram
que entregar seu dinheiro. Tal como acontece com o Gameover Zeus, uma vez que
um usuário de computador soube que estava infectado com o malware Cryptolocker,
já era tarde demais.
Em 7 de maio de 2014, em coordenação com o FBI, as autoridades ucranianas

e o DOJ apreenderam e copiaram os principais servidores de comando Gameover
Zeus em Kiev e Donetsk. Então, na segunda-feira, 19 de maio, eles obtiveram
acusações criminais seladas contra Bogachev em Pittsburgh, acusando-o de hacking
ilegal, fraude e lavagem de dinheiro.
Na quarta-feira, 28 de maio, eles obtiveram ordens judiciais civis contra Bogachev e
seus co-conspiradores com base em leis federais que proíbem a fraude contínua e
a interceptação ilegal de comunicações.
Essas ordens permitiram que o DOJ fizesse com que os computadores infectados
com Gameover Zeus parassem de se comunicar com os servidores controlados
pelos criminosos e, em vez disso, contatassem um servidor estabelecido pela ordem
judicial. O tribunal também autorizou a coleta de informações
ção necessária para identificar os computadores das vítimas para que o DOJ
pudesse fornecer essas informações a entidades dos setores público e privado que
pudessem ajudar as vítimas a livrar seus computadores da infecção. Ao mesmo
tempo, parceiros estrangeiros de aplicação da lei apreenderam servidores de
computador críticos usados para operar o Cryptolocker, o que resultou na
incapacidade do Cryptolocker de criptografar os arquivos das vítimas.
Começando nas primeiras horas da manhã de sexta-feira, 30 de maio, e
continuando até o fim de semana, o FBI e as autoridades policiais em todo o mundo
começaram a apreensão coordenada de servidores de computador que eram a
espinha dorsal do Gameover Zeus e do Cryptolocker. Essas apreensões ocorreram
no Canadá, França, Alemanha, Luxemburgo, Holanda, Ucrânia e Reino Unido.
Reconhecendo que apenas apreensões não seriam suficientes porque os
cibercriminosos podem rapidamente estabelecer novos servidores em outros locais,
a equipe iniciou uma sequência cuidadosamente cronometrada de medidas técnicas
para arrancar dos criminosos a capacidade de enviar comandos para centenas de
milhares de computadores infectados e para direcionar esses computadores para
contatar o servidor que o tribunal autorizou o DOJ a estabelecer. Trabalhando a
partir do comando
postos nos Estados Unidos e no European Cybercrime Centre em Haia, Holanda,

o FBI e suas contrapartes estrangeiras, auxiliados por vários parceiros do setor
privado, trabalharam arduamente para realizar esse redirecionamento e derrotar
várias defesas construídas em o malware, bem como contramedidas tentadas em
tempo real durante o fim de semana pelos cibercriminosos que tentavam manter
o controle sobre sua rede.
Essas ações causaram uma grande interrupção do botnet Gameover Zeus. No

fim de semana, mais de 300.000 computadores vítimas foram liberados da botnet.
No sábado, o Cryptolocker não estava mais funcionando e sua infraestrutura
havia sido efetivamente desmantelada. Nos dias e semanas seguintes,
investigadores e promotores trabalharam com parceiros do setor privado para
notificar as vítimas infectadas e fornecer links para ferramentas seguras e
confiáveis que podem ajudá-los a se livrar do Gameover Zeus e do Cryptolocker
e, em seguida, fechar as habilidades de vulnerabilidade por meio das quais seus
computadores foram infectados.10
3.6 Os engenheiros sociais estão atacando em várias frentes
Os engenheiros sociais criminosos estão atacando em todos os lugares onde

pensam que podem ter sucesso. Os ataques de engenharia social a seguir não
parecem ser tão difundidos quanto o ataque de suporte técnico, ou causam tanto
dano a uma única entidade quanto os ataques de e-mail comercial, mas são
direcionados a segmentos muito vulneráveis da população. Esses ataques incluem:
• Os cibercriminosos utilizam técnicas de engenharia social para obter

credenciais de funcionários para realizar ataques de desvio de folha de
pagamento. O IC3 recebeu denúncias informando que os cibercriminosos
estão atacando as contas de folha de pagamento on-line de funcionários
em vários setores. As instituições mais afetadas são educação, saúde e
transporte aéreo comercial.
• Os cibercriminosos têm como alvo os funcionários por meio de e-mails de
phishing criados para capturar as credenciais de login de um funcionário.
Depois que o cibercriminoso obtém as credenciais de um funcionário,
as credenciais são usadas para acessar a conta da folha de pagamento
do funcionário para alterar as informações da conta bancária. As regras
são adicionadas pelo cibercriminoso à conta do funcionário, impedindo
que o funcionário receba alertas sobre ataques diretos
alterações de depósito. Os depósitos diretos são alterados e

redirecionados para uma conta controlada pelo cibercriminoso, que
geralmente é um cartão pré-pago.11
A FTC ouviu falar de um ataque de engenharia social direcionado a pessoas que

estão vendendo seus carros online. Os vendedores recebem ligações ou
mensagens de texto de pessoas que afirmam estar interessadas em comprar o
carro, mas primeiro querem ver um relatório do histórico do carro. Eles pedem ao
vendedor para obter o relatório de um site específico, onde o vendedor precisa
inserir algumas informações e pagar cerca de US$ 20 com cartão de crédito pelo
relatório. O vendedor então envia para o suposto comprador, mas nunca recebe
uma resposta. Quando os vendedores de carros acessam um desses sites, são
automaticamente redirecionados para sites que terminam em .vin, o que parece
estar relacionado ao número de identificação do veículo (VIN). Os golpistas
esperam que eles pensem isso, mas não. Nesse caso, .vin é um domínio de site
relativamente novo, como .com ou .org, que os grupos podem usar. Este domínio
foi pensado para ser utilizado por sites que se relacionem com o vinho, já que vin
é a palavra francesa para vinho, mas outros não estão impedidos de utilizá-lo.
Então, sim, essa é uma abordagem inteligente do .vin para carros. No entanto, os
vendedores ainda podem querer pensar duas vezes se alguém lhes pedir para
fazer negócios relacionados a carros em um site que termina em .vin. Os
vendedores podem não ter como saber quem opera o site, especialmente se nunca
ouviram falar. Pode ser um estratagema obter informações pessoais, incluindo
números de contas de cartão de crédito. Também pode ser uma forma de
empresas chamadas geradoras de leads obterem informações, que vendem a terceiros para fins de
Em fevereiro de 2019, o Serviço Secreto dos EUA anunciou o indiciamento de
20 pessoas, incluindo 16 estrangeiros, por envolvimento em um esquema de
fraude de leilão online projetado para fraudar usuários que procuram comprar
mercadorias pela Internet. Alega-se que essa quadrilha de fraude organizada
transnacional roubou milhões de dólares de vítimas inocentes nos Estados Unidos
em um sofisticado esquema de fraude que contou com a crescente popularidade
de mercados de comércio eletrônico como CraigslistTM e eBayTM. Usando esses
sites, os fraudadores publicam anúncios falsos de mercadorias que não existem.
Então, usando uma infinidade de métodos convincentes e de engenharia social,
esses criminosos cibernéticos convencem as vítimas a enviar dinheiro para
produtos inexistentes.
A acusação alegou que os réus participaram de uma conspiração criminosa
localizada principalmente em Alexandria, Romênia, que
envolvido em um esquema de grande escala de fraude em leilões online.

Especificamente, os membros da conspiração baseados na Romênia e
seus associados postaram anúncios falsos em sites populares de leilões e
vendas online, como CraigslistTM e eBayTM, para produtos de alto custo
(normalmente veículos) que na verdade não existiam. De acordo com a
acusação, esses membros convenceriam as vítimas americanas a enviar
dinheiro para os produtos anunciados, elaborando narrativas persuasivas,
por exemplo, representando um militar que precisava vender o item
anunciado antes do destacamento. Os membros da conspiração teriam
criado contas online fictícias para postar esses anúncios e se comunicar
com as vítimas, muitas vezes usando identidades roubadas de americanos
para fazer isso.13
O Escritório de Marcas e Patentes dos Estados Unidos (USPTO) e a FTC
fizeram anúncios públicos de que existem empresas que fingem ser o
USPTO ou um parceiro do USPTO. Essas empresas estão enganando os
detentores de patentes e marcas registradas para que paguem taxas pelos
serviços, mas não são o USPTO. Eles geralmente enviam solicitações de
aparência oficial que oferecem coisas como renovar um registro de marca,
inscrever pessoas em serviços de monitoramento de marcas, registrar
marcas em agências governamentais ou listá-las em um registro privado.
Quase sempre, os serviços oferecidos são superfaturados, desnecessários
ou totalmente enganosos.
Os nomes e emblemas que esses impostores usam em seus formulários
os ajudam a parecer que estão conectados ao USPTO, copiando a aparência
dos formulários oficiais do governo, de acordo com informações do USPTO.
Alguns detentores de patentes ou marcas registradas pagaram centenas ou
mesmo milhares de dólares aos impostores, pensando erroneamente que
estavam pagando taxas ao USPTO, ou pagando taxas exigidas pelo
USPTO, para manter e proteger suas patentes e marcas registradas. Assim,
potenciais compradores devem ler cuidadosamente qualquer aviso sobre
patentes ou marcas registradas. A correspondência oficial do USPTO virá
do Escritório de Marcas e Patentes dos EUA em Alexandria, Virgínia. Se
vier por e-mail, o domínio será @uspto.gov.14
A SEC emitiu um Relatório de Investigação sobre certas fraudes
cibernéticas e requisitos de controles contábeis internos de empresas de
capital aberto. O relatório discute um tipo de fraude cibernética chamada
comprometimento de e-mail comercial, em que os perpetradores fingiam em
e-mails ser executivos ou fornecedores de alto nível da empresa e, em seguida,
CAIXA 3.2 OUTROS ATAQUES RECENTES DE ENGENHARIA
SOCIAL
Esquema de revenda de timeshare predado por adultos mais velhos
A listagem de empresas do Google será removida
Impostores da Câmara de Compensação de Editores
FTC solicitando acesso ao seu computador
perdão de empréstimo estudantil
O Secretário de Estado está enviando um e-mail para você
Interesse amoroso pedindo dinheiro
US Marshals ligando para você sobre o dever do júri
Equifax ligando para você
Cobradores de dívidas fantasmas se fazem passar por escritórios de advocacia16
convenceu o pessoal da empresa a transmitir grandes transferências eletrônicas para contas controladas
pelos perpetradores.15 Outros ataques recentes de engenharia social que resultaram em fraude são
mostrados no Quadro 3.2.
3.7 A conexão norte-coreana
Em setembro de 2018, foi aberta uma denúncia criminal acusando Park Jin Hyok (ÿÿÿ; também conhecido
como Jin Hyok Park e Pak Jin Hek), um cidadão norte-coreano, por seu envolvimento em uma conspiração
para realizar vários ataques cibernéticos destrutivos em todo o mundo, resultando em danos a enormes
quantidades de hardware de computador e extensa perda de dados, dinheiro e outros recursos.
A denúncia alegava que Park era membro de uma equipe de hackers patrocinada pelo governo,
conhecida no setor privado como Lazarus Group, e trabalhava para uma empresa de fachada do governo
norte-coreano, a Chosun Expo Joint Venture (também conhecida como Korea Expo Joint Venture ou KEJV),
para apoiar o Ações cibernéticas maliciosas do governo da República Popular Democrática da Coreia
(RPDC). As atividades maliciosas da conspiração incluíram a criação do malware usado no ataque global
de ransomware WannaCry 2.0 em 2017; o roubo de $ 81 milhões em 2016 do Bangla desh Bank; o ataque
de 2014 à Sony Pictures Entertainment (SPE); e vários outros ataques ou invasões nos setores de
entretenimento, serviços financeiros, defesa, tecnologia, moeda virtual, academia e serviços públicos de
eletricidade.
A denúncia alegou que o governo norte-coreano, por meio de um grupo

patrocinado pelo Estado, roubou um banco central e cidadãos de outras
nações, retaliou contra a liberdade de expressão para esfriá-la meio mundo de
distância e criou um malware disruptivo que afetou indiscriminadamente as
vítimas. em mais de 150 outros países, causando centenas de milhões, senão
bilhões, de danos no valor de dólares. A denúncia acusou os membros dessa
conspiração baseada na Coreia do Norte de serem responsáveis por ataques
cibernéticos que causaram danos econômicos sem precedentes e perturbações
nos negócios nos Estados Unidos e em todo o mundo. O FBI rastreou os
ataques de volta à fonte e mapeou suas semelhanças, incluindo semelhanças
entre os vários programas usados para infectar redes em todo o mundo. Park
foi acusado de uma acusação de conspiração para cometer fraude e abuso de
computador, que acarretava uma sentença máxima de cinco anos de prisão, e
uma acusação de conspiração para cometer fraude eletrônica, que acarretava
uma sentença máxima de 20 anos de prisão.
Pesquisadores de segurança que investigaram independentemente essas

atividades se referiram a essa equipe de hackers como Lazarus Group. Os
métodos da conspiração incluíam campanhas de spear phishing, ataques de
malware destrutivos, exfiltração de dados, roubo de fundos de contas
bancárias, extorsão de somware executado e propagação de vírus worm para criar botnets.
A denúncia descrevia uma ampla gama de supostas atividades cibernéticas
maliciosas da conspiração, bem-sucedidas e malsucedidas, nos Estados
Unidos e em outros lugares, com foco particular em quatro exemplos
específicos:
• Em novembro de 2014, os conspiradores lançaram um ataque

destrutivo contra a Sony Pictures Entertainment (SPE) em retaliação
ao filme A Entrevista, uma comédia farsesca que mostrava o
assassinato do líder da RPDC. Os conspiradores obtiveram acesso à
rede da SPE enviando malware aos funcionários da SPE e depois
roubaram dados confidenciais, ameaçaram executivos e funcionários
da SPE e danificaram milhares de computadores. Na mesma época,
o grupo enviou mensagens de spear phishing para outros membros
da indústria do entretenimento, incluindo uma rede de cinemas e uma
empresa com sede no Reino Unido que estava produzindo uma série
de ficção envolvendo um cientista nuclear britânico feito prisioneiro
na RPDC.
• Em fevereiro de 2016, a conspiração roubou US$ 81 milhões do Banco

de Bangladesh. Como parte do assalto cibernético, a conspiração
acessou os terminais de computador do banco que interagiam com
o sistema de comunicação da Society for Worldwide Interbank
Financial Telecommunication (SWIFT) após comprometer a rede de
computadores do banco com e-mails de spear phishing. Em seguida,
enviou mensagens SWIFT autenticadas de forma fraudulenta
instruindo o Federal Reserve Bank de Nova York a transferir fundos
de Bangladesh para contas em outros países asiáticos. A conspiração
tentou e obteve acesso a vários outros bancos em vários países de
2015 a 2018 usando métodos semelhantes e ataques watering
hole, tentando roubar pelo menos US$ 1 bilhão por meio dessas
operações.
• Em 2016 e 2017, a conspiração teve como alvo vários fornecedores

de defesa dos EUA, incluindo a Lockheed Martin, com e-mails de
spear phishing. Esses e-mails maliciosos usavam alguns dos mesmos
aliases e contas vistos no ataque do SPE, às vezes acessados de
endereços IP norte-coreanos, e continham malware com a mesma
tabela de dados distinta encontrada no mal.
ware usado contra a SPE e alguns bancos, alegou a denúncia. Os e-
mails de spear phishing enviados aos empreiteiros de defesa eram
frequentemente enviados de contas de e-mail que supostamente
eram de recrutadores de empreiteiros de defesa concorrentes, e
algumas das mensagens maliciosas faziam referência ao sistema de
defesa antimísseis Terminal High Altitude Area Defense (THAAD)
implantado na Coreia do Sul. As tentativas de se infiltrar nos sistemas
de computador da Lockheed Martin, o principal contratante do
sistema de mísseis THAAD, não tiveram sucesso.
• Em maio de 2017, um ataque de ransomware conhecido como
WannaCry 2.0 infectou centenas de milhares de computadores em
todo o mundo, causando grandes danos, incluindo um impacto
significativo no Serviço Nacional de Saúde do Reino Unido.
A conspiração está ligada ao desenvolvimento do WannaCry 2.0,
bem como a duas versões anteriores do ransomware, por meio de
semelhanças de forma e função com outros malwares desenvolvidos
pelos hackers e pela disseminação de versões do ransomware por
meio da mesma infraestrutura usada em outros cibercriminosos. ataques.
Park e seus co-conspiradores foram ligados a esses ataques, invasões e outras atividades
cibernéticas maliciosas por meio de uma investigação completa que identificou e rastreou:
contas de e-mail e mídia social que se conectaram e foram usadas para enviar mensagens
de spear phishing; apelido; contas de coletores de malware usadas para armazenar
credenciais roubadas; bibliotecas de códigos de malware comuns; serviços de proxy usados
para mascarar locais; e endereços IP norte-coreanos, chineses e outros. Parte dessa
infraestrutura maliciosa foi usada em várias instâncias das atividades maliciosas descritas
aqui. Tomadas em conjunto, essas ligações e assinaturas, reveladas em fichas anexas à

denúncia criminal, evidenciam que as agressões e intrusões foram perpetradas pelos
mesmos atores.
Em conexão com a abertura da denúncia criminal, o FBI e os promotores forneceram

aos provedores de segurança cibernética e outros parceiros do setor privado informações
detalhadas sobre as contas usadas pela conspiração para ajudar esses parceiros em suas
próprias atividades investigativas independentes e esforços de interrupção. 17
3.8 Conclusão
Houve incontáveis ataques de engenharia social, alguns dos quais resultaram apenas em
delinquência, enquanto outros tiveram um impacto financeiro e comercial global. Atividades
como o Golpe do Suporte Técnico e o Comprometimento de E-mail Comercial impactaram
milhares de empresas e usuários de computadores particulares. Alguns esforços de
engenharia social, como os da Coreia do Norte e do Avalanche, foram subpartes de
conspirações criminosas maiores. Este capítulo revisou explorações e crimes do mundo real
envolvendo engenharia social.
3.9 Pontos Chave
Os principais pontos apresentados neste capítulo são os seguintes:
• Os recursos técnicos necessários para executar ataques de phishing podem ser

facilmente adquiridos por meio de fontes públicas e privadas.
• A fraude de suporte técnico foi originalmente uma tentativa de criminosos de obter
acesso a dispositivos para extorquir pagamentos por
Serviços. No entanto, os criminosos estão criando novas técnicas e

versões do esquema para avançar e perpetuar a fraude.
• Enquanto a maioria das fraudes de suporte técnico envolve vítimas nos
Estados Unidos, o IC3 recebeu reclamações de vítimas em 85 países
diferentes.
• Business Email Compromise (BEC)/Email Account Compromise (EAC)
é um golpe sofisticado direcionado a empresas e indivíduos que
realizam pagamentos por transferência eletrônica e é frequentemente
executado quando um perpetrador compromete contas de email
comerciais legítimas por meio de engenharia social ou invasão de
computador.
• A rede Avalanche supostamente hospedava mais de duas dúzias dos
tipos mais perniciosos de software malicioso do mundo e várias
campanhas de lavagem de dinheiro. No entanto, o Avalanche é
considerado apenas um exemplo de infraestrutura criminosa dedicada
a facilitar invasões de privacidade e crimes financeiros em escala
global.
• Uma rede criminosa concebeu e implementou o tipo de cibercrimes em
que você pode não acreditar se os visse em um filme de ficção
científica. Ao implantar vírus secretamente em computadores em todo
o mundo, eles construíram uma rede de máquinas ou bots infectados
que podiam se infiltrar, espionar e até controlar, de qualquer lugar que
desejassem.
• Engenheiros sociais criminais estão atacando em todos os lugares que
acham que podem ter sucesso e muitos ataques são direcionados a
segmentos já muito vulneráveis da população.
• A fraude de leilão on-line é um esquema de fraude sofisticado que
depende da crescente popularidade dos mercados de comércio
eletrônico, como CraigslistTM e eBayTM.
• As supostas atividades maliciosas da Coreia do Norte incluem a criação
do malware usado no ataque global de ransomware WannaCry 2.0 em
2017; o roubo de $ 81 milhões em 2016 do Banco de Bangladesh; o
ataque de 2014 à Sony Pictures Entertainment (SPE); e numerosos
outros ataques ou intrusões no entretenimento
mento, serviços financeiros, defesa, tecnologia e indústrias de moeda
virtual, academia e concessionárias de energia elétrica.
• Que experiência os participantes do seminário tiveram com qualquer um dos ataques

de engenharia social abordados neste capítulo? • Discuta a perspectiva dos
participantes sobre as acusações contra a Coreia do Norte. Os participantes acham
que a Coreia do Norte é a perpetradora de todas as coisas de que foram acusados?
• Por que os participantes acham que as pessoas continuam caindo no mesmo tipo
de armadilhas de engenharia social ano após ano?
3.11 Projeto de Grupo de Seminários
Divida os participantes em vários grupos com cada grupo levando de 10 a 15 minutos para
desenvolver uma lista de maneiras pelas quais os usuários de computador podem ser
treinados ou educados para não responder à isca de clique de engenharia social.
Reúna-se como um grupo e discuta as maneiras que os grupos listaram para treinar ou
educar os usuários de computador a não responder a iscas de cliques de engenharia social.
Termos chave
Fraude informática: é o crime que envolve a deturpação deliberada, alteração ou divulgação

de dados para obter algo de valor (geralmente para ganho monetário).
Processo efetivo: é o processo bem-sucedido de perpetradores de crimes intelectuais, ao

mesmo tempo em que protege os segredos comerciais e outras propriedades
intelectuais da organização vítima.
Reembolso falso: é um esquema de engenharia social em que os criminosos entram em

contato com a vítima, oferecendo um reembolso por serviços de suporte técnico
supostamente fornecidos anteriormente. O criminoso solicita acesso ao dispositivo
da vítima e instrui a vítima a fazer login em sua conta bancária on-line para
processar o reembolso. Essa ação proporciona o controle criminal do dispositivo
da vítima e o acesso à sua conta bancária.
Software de registro de teclas: captura e registra as teclas pressionadas em um

teclado, geralmente de forma encoberta, para que a pessoa que usa o
teclado não saiba que suas ações estão sendo monitoradas. As informações
podem ser recuperadas pela pessoa que está operando ou que instalou o
programa de registro.
Mulas de dinheiro: são definidas como pessoas que transferem dinheiro ilegalmente em
nome de outros.
Redirecionamento: é quando um golpista que tentou ou explorou com sucesso um

usuário no passado faz uma segunda tentativa de explorar esse usuário para
obter ganhos financeiros ou acesso a informações ou sistemas adicionais.
Scareware: é um malware de engenharia social projetado para causar choque ou a

percepção de uma ameaça, a fim de manipular os usuários a comprar
software malicioso. É um tipo de ataque mal-intencionado que pode incluir
software de segurança desonesto, ransomware e outros golpes que levam
os usuários de computador a se preocuparem com a infecção de seu
computador por código malicioso e geralmente sugere que eles paguem uma
taxa para consertar o computador.
Typosquatting (typosquatted): também chamado de seqüestro de URL, é o cybers
quatting (localização em sites sob a marca ou direito de cópia de outra
pessoa) que visa usuários da Internet que digitam incorretamente um
endereço de site em seu navegador. Quando os usuários cometem erros
tipográficos típicos, eles podem ser enviados para um site de propriedade de
um hacker, que geralmente é projetado para fins criminosos.
Watering hole attack: são ataques de malware nos quais o invasor determina os sites
frequentemente visitados por uma vítima ou um determinado grupo de vítimas
e infecta esses sites com malware, que por sua vez infecta o computador dos
usuários do site visitante e, portanto, pode infectar os membros do grupo de
vítimas visado.
Referências
2. Declaração de missão do IC3/Sobre nós. Federal Bureau of Investigation
Internet Crime Complaint Center (IC3). Acessado em 7 de fevereiro de 2019.
https://www.ic3.gov/about/default.aspx
3. Sobre nós. Comissão Federal de Informações ao Consumidor. acessado

7 de fevereiro de 2019. https://www.consumer.ftc.gov/about-us
4. O que fazemos. Comissão de Segurança e Câmbio. Acessado em 7 de fevereiro de 2019.
https://www.sec.gov/Article/whatwedo.html
5. Fraude de suporte técnico. Departamento Federal de Investigação. 28 de março de 2018.
Acessado em 7 de fevereiro de 2019. https://www.ic3.gov/media/2018/180328.aspx
6. E-mail comercial compromete o golpe de 12 bilhões de dólares. Departamento Federal
de Investigação. 28 de março de 2018. Acessado em 7 de fevereiro de 2019. https://
www.ic3.gov/media/2018/180712.aspx
7. A ação da FTC interrompe o MOBE, um esquema massivo de treinamento de negócios
na Internet. Comissão Federal de Comércio. Puig, Álvaro. 11 de junho de 2018.
Acessado em 8 de fevereiro de 2019. https://www.ftc.gov/news-events/press releases/
2018/06/ftc-action-halts-mobe-massive-internet-business coaching-scheme
8. O promotor lança segredos para muito dinheiro na Amazon. Comissão Federal de

Comércio. Legal, Lesley. 6 de agosto de 2018. Acessado em 8 de fevereiro de 2019.
https://www.consumer.ftc.gov/blog/2018/08/promoter-pitches-secrets big-bucks-amazon
9. Rede Avalanche Desmontada em Operação Cibernética Internacional.

Departamento de Justiça US Procuradoria do Distrito Oeste da Pensilvânia. 5 de
dezembro de 2016. Acessado em 8 de fevereiro de 2019. https://www.justice.gov/usao-
wdpa/pr/avalanche-network dismantled-international-cyber-operation
10. O procurador-geral adjunto Leslie R. Caldwell faz comentários sobre as operações

Gameover Zeus e Cryptolocker e acusações criminais relacionadas. Washington DC. 2
de junho de 2014. Acessado em 8 de fevereiro de 2019. https://www.justice.gov/opa/
speech/assistant-attorney-general-leslie-r caldwell-delivers-remarks-gameover-zeus-and
11. Os cibercriminosos utilizam técnicas de engenharia social para obter credenciais de

funcionários para realizar desvio de folha de pagamento. Departamento Federal de
Investigação. 18 de setembro de 2018. Acessado em 7 de fevereiro de 2019. https://
12. Evite golpes de relatórios de histórico de veículos. Comissão Federal de Comércio.
TRESSLER, Colleen. 19 de outubro de 2018. Acessado em 7 de fevereiro de 2019.
https://www.consumer.ftc.gov/blog/2018/10/steering-clear vehicles-history-report-scams
13. Investigação do Serviço Secreto leva ao indiciamento de quadrilha de crime cibernético

transnacional organizado visando consumidores dos EUA.
Serviço Secreto dos Estados Unidos. 7 de fevereiro de 2019. Acessado em 8 de fevereiro
de 2019. https://www.secretservice.gov/data/press/releases/2019/19-
FEB/Secret_Service_Press_Release-Transnational_Online_Auction_
Fraud_Ring.pdf
14. Os golpistas podem ser criativos. Comissão Federal de Comércio. Lago, Lisa.
10 de julho de 2017. Acessado em 8 de fevereiro de 2019. https://www.consumer.ftc.
gov/blog/2017/07/scammers-can-be-inventive
15. Relatório de investigação de acordo com a Seção 21(a) do Securities Exchange Act de
1934: Certas fraudes cibernéticas perpetradas contra empresas públicas e controles
internos de contabilidade relacionados
Requisitos. Comissão de Valores Mobiliários dos Estados Unidos. 16 de outubro de 2018.

Acessado em 8 de fevereiro de 2019. https://www.sec.gov/spotlight/
ações de aplicação de segurança cibernética
16. Alertas de fraude mais recentes. Comissão Federal de Comércio. Acessado em 8 de fevereiro
de 2019. https://www.consumer.ftc.gov/features/scam-alerts
17. Programador apoiado pelo regime norte-coreano acusado de conspiração para conduzir vários
ataques cibernéticos e invasões. Secretaria de Assuntos Públicos do Departamento de
Justiça. 6 de setembro de 2018. Acessado em 8 de fevereiro de 2019. https://www.justice.gov/
opa/pr/north-korean-regime-backed programer-charged-conspiracy-conduct-multiple-cyber-
attacks-and
4
Organizações de proteção
Contra Social
Ataques de Engenharia
A cultura de segurança de uma organização contribui para a eficácia de seu

programa de segurança da informação. O programa de segurança da informação
é mais eficaz quando os processos de segurança estão profundamente
enraizados na cultura da instituição e há um alto nível de conscientização sobre segurança.
A equipe de gerenciamento deve entender e apoiar a segurança da informação
e fornecer recursos apropriados para desenvolver, implementar e manter o
programa de segurança da informação. O resultado desse entendimento e
suporte é um programa no qual tanto a gerência quanto os funcionários estão
comprometidos em integrar o programa às linhas de negócios, funções de
suporte e programas de gerenciamento de terceiros.1
4.1 Noções básicas de segurança para ataques de engenharia social
A proteção contra ataques de engenharia social e outras ameaças de segurança

é essencial para todas as organizações. Os invasores usam malware para obter
acesso à rede e ao ambiente de computador de uma organização e para
executar um ataque no ambiente. O malware pode entrar por meio de redes
públicas ou privadas e de dispositivos conectados à rede. Embora os mecanismos
de proteção possam bloquear a maioria dos malwares antes que causem
qualquer dano, até mesmo um único arquivo executável malicioso pode criar um
potencial significativo de perda.
A implementação de um programa defensivo detalhado para proteger,
detectar e responder a malware é uma etapa básica importante. As empresas
podem usar muitas ferramentas para bloquear malware antes que ele entre na rede e
81
para detectá-lo e responder se não estiver bloqueado. Métodos ou sistemas que a

administração deve considerar incluem o seguinte:
• Raízes de confiança baseadas em hardware, que usam meios criptográficos

para verificar a integridade do software.
• Servidores que executam conteúdo ativo no gateway e não permitem
conteúdo com base na política.
• Listas negras que não permitem a execução de código com base em
fragmentos de código, locais da Internet e outros fatores relacionados a
código mal-intencionado.
• Listas brancas de programas permitidos.

• Monitoramento de portas para identificar conexões de rede não autorizadas.
• Segregação da rede.
• Configuração do computador para permitir o mínimo de privilégios
necessários para executar o trabalho do usuário.
• Sandbox de aplicativos .
• Monitoramento de software não autorizado e proibição da capacidade de
instalar software não autorizado.
• Monitoramento de atividade anômala para malware e polymor
código fic.
• Monitoramento do tráfego de rede.
• Educação do usuário em conscientização, vigilância de segurança,
práticas seguras de computação, indicadores de código malicioso e ações
de resposta.2
O treinamento é absolutamente essencial para a segurança contra ataques de

engenharia social e códigos mal-intencionados, mas é negligenciado por muitas
organizações. O treinamento garante que o pessoal tenha o conhecimento e as
habilidades necessárias para desempenhar suas funções de trabalho. O treinamento
deve apoiar a conscientização sobre segurança e fortalecer a conformidade com
as políticas de segurança e uso aceitável. Em última análise, o comportamento e
as prioridades da administração influenciam fortemente a conscientização dos
funcionários e a conformidade com as políticas; portanto, o treinamento e o
compromisso com a segurança devem começar com a administração. As
organizações devem educar os usuários sobre suas funções e responsabilidades
de segurança e comunicá-los por meio de políticas de uso aceitável. A administração
deve responsabilizar todos os funcionários, executivos e contratados pelo
cumprimento das políticas de segurança e uso aceitável e deve garantir que as informações e inform
Ataques de Engenharia Social 83
outros ativos são protegidos. A administração também deve ter a capacidade de impor
sanções por descumprimento.
Os materiais de treinamento para a maioria dos usuários concentram-se em questões
como segurança de terminais, requisitos de login e diretrizes de administração de senhas.
Os programas de treinamento devem incluir cenários que capturem áreas de preocupação
significativa e crescente, como tentativas de phishing e engenharia social, perda de dados
por e-mail ou mídia removível ou postagem não intencional de informações confidenciais
ou proprietárias em mídias sociais. À medida que o ambiente de risco muda, o treinamento
também deve mudar.
A gerência deve coletar reconhecimentos assinados da política de uso aceitável do
funcionário como parte do programa de treinamento anual.3
As políticas de uso aceitável devem enfatizar que o computador e as redes de uma
organização não serão usados para atividades pessoais. Este é um princípio muito
importante. O uso pessoal do funcionário expande o perfil de uma rede e domínio e pode
abrir o ambiente para um número maior de ataques de engenharia social e infestações de
malware.
Os funcionários podem achar que isso é difícil, mas o objetivo de um plano e política de
segurança é proteger as redes e os ativos eletrônicos para que as operações não sejam
interrompidas.
4.2 A aplicação da Estrutura de Cibersegurança é um Processo Contínuo
Reconhecendo que a segurança nacional e econômica dos Estados Unidos depende do

funcionamento confiável da infraestrutura crítica, o presidente emitiu a Ordem Executiva
(EO) 13636, Melhorando a Segurança Cibernética da Infraestrutura Crítica, em fevereiro
de 2013. A Ordem dirigiu o Instituto Nacional de Padrões e Tecnologia (NIST ) para
trabalhar com as partes interessadas para desenvolver uma estrutura voluntária para
reduzir os riscos cibernéticos para a infraestrutura crítica. O Cybersecurity Enhancement
Act de 2014 reforçou a função EO 13636 do NIST.
Criado por meio da colaboração entre a indústria e o governo, o Framework voluntário

consiste em padrões, diretrizes e práticas para promover a proteção da infraestrutura
crítica.
A abordagem priorizada, flexível, repetível e econômica do Framework ajuda proprietários
e operadores de infraestrutura crítica a gerenciar riscos relacionados à segurança
cibernética. O Cybersecurity Framework consiste em três componentes principais: Core,
Camadas de Implementação e Perfis.
O Framework Core fornece um conjunto de atividades e resultados de segurança

cibernética desejados usando linguagem comum que é fácil de entender.
O Core orienta as organizações no gerenciamento e redução de seus riscos de
segurança cibernética de uma forma que complementa os processos existentes de
segurança cibernética e gerenciamento de riscos de uma organização.
Os Níveis de Implementação da Estrutura auxiliam as organizações fornecendo
contexto para uma organização visualizar o gerenciamento de riscos de segurança
cibernética. Os níveis orientam as organizações a considerar o nível apropriado de rigor
para seu programa de segurança cibernética e costumam ser usados como uma
ferramenta de comunicação para discutir o apetite ao risco, prioridade da missão e orçamento.
Os perfis de estrutura são o alinhamento exclusivo de uma organização de seus
requisitos e objetivos organizacionais, apetite por risco e recursos em relação aos
resultados desejados do Framework Core.
Os perfis são usados principalmente para identificar e priorizar oportunidades para
melhorar a segurança cibernética em uma organização.4
A estrutura ajudará uma organização a entender melhor, gerenciar e reduzir seus
riscos de segurança cibernética. Ele ajudará a determinar quais atividades são mais
importantes para garantir operações críticas e prestação de serviços. Por sua vez, isso
ajudará a priorizar os investimentos e maximizar o impacto de cada dólar gasto em
segurança cibernética. Ao fornecer uma linguagem comum para abordar o gerenciamento
de riscos de segurança cibernética, é especialmente útil na comunicação dentro e fora
da organização. Isso inclui melhorar a comunicação, conscientização e entendimento
entre as unidades de tecnologia da informação (TI), planejamento e operação, bem
como executivos seniores das organizações.
As organizações também podem usar prontamente o Framework para comunicar a

postura de segurança cibernética atual ou desejada entre um comprador e um fornecedor.
A Estrutura é uma orientação. Deve ser personalizado por diferentes setores e
organizações individuais para melhor atender seus riscos, situações e necessidades. As
organizações continuarão a ter riscos únicos, pois enfrentam diferentes ameaças e têm
diferentes vulnerabilidades e tolerâncias a riscos, e a forma como implementam as
práticas da Estrutura para alcançar resultados positivos varia. A Estrutura não deve ser
implementada usando uma abordagem de tamanho único para organizações de
infraestrutura crítica ou como uma lista de verificação não personalizada.
As organizações estão usando o Framework de várias maneiras. Muitos acharam útil

aumentar a conscientização e se comunicar com as partes interessadas em suas
organizações, incluindo o executivo
CAIXA 4.1 ÁREAS DE ALTA PRIORIDADE PARA

DESENVOLVIMENTO NO QUADRO DE
CIBERSEGURANÇA
Autenticação
Compartilhamento automatizado de indicadores
Avaliação de conformidade
força de trabalho de segurança cibernética
Análise de dados
Alinhamento de segurança cibernética da agência federal
Aspectos internacionais, impactos e alinhamento
Gerenciamento de riscos da cadeia de suprimentos
Padrões técnicos de privacidade
Liderança. O Framework também está melhorando a comunicação entre as organizações, permitindo
que as expectativas de segurança cibernética sejam compartilhadas com parceiros de negócios,
fornecedores e entre setores. Ao mapear o Framework para as abordagens atuais de gerenciamento
de segurança cibernética, as organizações estão aprendendo e mostrando como se encaixam nos
padrões, diretrizes e melhores práticas do Framework. Algumas partes estão usando a Estrutura
para reconciliar e desembaraçar a política interna com a legislação, regulamentação e as melhores
práticas do setor. A Estrutura também está sendo usada como uma ferramenta de planejamento
estratégico para avaliar riscos e práticas atuais.
O Framework pode ser usado por organizações que já possuem extensos programas de
segurança cibernética, bem como por aqueles que estão começando a pensar em implementar
programas de gerenciamento de segurança cibernética.
A mesma abordagem geral funciona para qualquer organização, embora a maneira pela qual eles
fazem uso da Estrutura seja diferente dependendo de seu estado atual e prioridades. As áreas de
alta prioridade para o desenvolvimento de práticas, padrões e tecnologias necessárias para apoiar
a Estrutura são mostradas no Quadro 4.1.5
4.3 Os componentes da estrutura
O Framework Core é um conjunto de atividades de segurança cibernética, resultados desejados e
referências aplicáveis que são comuns em setores de infraestrutura crítica. Um exemplo de resultado
do Quadro
linguagem é dispositivos físicos e sistemas dentro da organização são inventariados.
O Núcleo apresenta padrões, diretrizes e práticas do setor de forma a permitir a

comunicação de atividades e resultados de segurança cibernética em toda a
organização, desde o nível executivo até o nível de implementação/operações. O
Núcleo do Framework consiste em cinco Funções simultâneas e contínuas, que são
mostradas no Quadro 4.2.
Quando consideradas em conjunto, essas funções fornecem uma visão estratégica
de alto nível do ciclo de vida do gerenciamento de risco de segurança cibernética de
uma organização. O Núcleo da Estrutura identifica as categorias e subcategorias
principais subjacentes para cada função e as compara com referências informativas
de exemplo, como padrões, diretrizes e práticas existentes para cada subcategoria.
Um perfil de estrutura representa os resultados de segurança cibernética com

base nas necessidades de negócios que uma organização selecionou nas categorias
e subcategorias da estrutura. O Perfil pode ser caracterizado como o alinhamento de
padrões, diretrizes e práticas ao Framework Core em um determinado cenário de
implementação.
Os perfis podem ser usados para identificar oportunidades para melhorar a postura
de segurança cibernética, comparando uma condição de segurança atual com uma
condição de segurança desejada. Para desenvolver um Perfil, uma organização pode
revisar todas as Categorias e Subcategorias e, com base nos direcionadores de
negócios e em uma avaliação de risco, determinar quais são as mais importantes para
ela. Eles também podem adicionar categorias e subcategorias conforme necessário
para lidar com os riscos da organização. O Perfil Atual pode então ser usado para dar
suporte à priorização e medição do progresso em direção ao Perfil Alvo, considerando
outras necessidades de negócios, incluindo economia e inovação. Os perfis podem
ser usados para
CAIXA 4.2 O NÚCLEO DA ESTRUTURA: FUNÇÕES

CONTÍNUAS E CONTÍNUAS
Identificar
Proteger
detectar
Responder
Recuperar
realizar autoavaliações e comunicar-se dentro de uma organização ou entre

organizações.
Os níveis de implementação da estrutura fornecem o contexto de como
uma organização vê o risco de segurança cibernética e os processos em vigor
para gerenciar esse risco. Os níveis descrevem o grau em que as práticas de
gerenciamento de riscos de segurança cibernética de uma organização exibem
as características definidas na Estrutura (por exemplo, risco e ameaça
consciente, repetível e adaptável). Os Tiers caracterizam as práticas de uma
organização em um intervalo, de Parcial (Nível 1) a Adaptativo (Nível 4). Esses
níveis refletem uma progressão de respostas informais e reativas para
abordagens ágeis e informadas sobre o risco. Durante o processo de seleção
de nível, uma organização deve considerar suas práticas atuais de
gerenciamento de riscos, ambiente de ameaças, requisitos legais e
regulamentares, objetivos de negócios/missão e restrições organizacionais.
Os Níveis de Implementação da Estrutura não pretendem ser níveis de
maturidade. Os Níveis destinam-se a fornecer orientação às organizações
sobre as interações e coordenação entre o gerenciamento de riscos de
segurança cibernética e o gerenciamento de riscos operacionais. O princípio
fundamental dos Tiers é permitir que as organizações façam um balanço de
suas atividades atuais do ponto de vista de toda a organização e determinem
se a integração atual das práticas de gerenciamento de riscos de segurança
cibernética é suficiente, dada sua missão, requisitos regulatórios e risco apetite.
A progressão para níveis mais altos é incentivada quando tal mudança
reduziria o risco de segurança cibernética e seria econômica.
O roteiro complementar foi lançado inicialmente em fevereiro de 2014 em
uníssono com a publicação da versão 1.0 do Framework. O Roadmap discute
os próximos passos do NIST com o Framework e identifica as principais áreas
de desenvolvimento, alinhamento e colaboração. Esses planos são baseados
em informações e comentários recebidos das partes interessadas por meio do
processo de desenvolvimento da Estrutura. Esta lista de áreas de alta
prioridade não pretende ser exaustiva, mas são áreas importantes identificadas
pelo NIST e pelas partes interessadas que devem informar as versões futuras
do Framework. Por esse motivo, o Roteiro será atualizado ao longo do tempo
em alinhamento com as atividades de segurança cibernética de maior impacto
das partes interessadas e com a própria Estrutura.
Os recursos, capacidades e necessidades de segurança cibernética de
cada organização são diferentes. Portanto, o tempo para implementar a
Estrutura varia entre as organizações, variando de algumas semanas a várias
anos. O design hierárquico do Framework Core permite que as organizações distribuam

as etapas entre o estado atual e o estado desejado de maneira apropriada para seus
recursos, capacidades e necessidades.
Isso permite que as organizações desenvolvam um plano de ação realista para alcançar
os resultados da Estrutura em um prazo razoável e, em seguida, aproveitar esse sucesso
nas atividades subsequentes.
A Estrutura fornece orientação relevante para toda a organização. Os benefícios totais
do Framework não serão alcançados se apenas o departamento de TI o usar. O Framework
equilibra uma gestão de riscos abrangente, com uma linguagem adaptável ao público em
questão. Mais especificamente, os níveis de Função, Categoria e Subcategoria da Estrutura
correspondem bem à organização, missão/
negócios e profissionais de TI e tecnologia operacional (OT)/sistema de controle industrial

(ICS) no nível de sistemas. Isso permite uma comunicação precisa e significativa do C-
suite para unidades operacionais individuais e com parceiros da cadeia de suprimentos.
Pode ser especialmente útil para melhorar a comunicação e o entendimento entre
especialistas de TI, operadores OT/ICS e gerentes seniores da organização.6 O
Cybersecurity Framework completo pode ser encontrado em www.
nist.gov/cyberframework.
4.4 Desenvolvimento de Políticas de Segurança
Embora as políticas em si não resolvam os problemas e, de fato, possam complicar as

coisas, a menos que sejam claramente escritas e observadas, elas definem o ideal para o
qual todos os esforços organizacionais devem apontar. Por definição, política de segurança
refere-se a planos, regras e práticas claras, abrangentes e bem definidas que regulam o
acesso ao sistema de uma organização e às informações nele contidas. Uma boa política
protege não apenas informações e sistemas, mas também funcionários individuais e a
organização como um todo. Também serve como uma declaração proeminente para o
mundo exterior sobre o compromisso da organização com a segurança.
A política de segurança sustentável deve ser baseada nos resultados de uma

avaliação de risco. As descobertas de uma avaliação de risco fornecem aos formuladores
de políticas uma imagem precisa das necessidades de segurança específicas de sua organização.
As avaliações de risco também ajudam a expor lacunas na segurança, o que é
imperativo para o desenvolvimento adequado de políticas, algo que requer várias etapas
por parte dos tomadores de decisão, conforme mostrado no Quadro 4.3.
CAIXA 4.3 ETAPAS QUE OS TOMADORES DE DECISÕES DEVEM

SEGUIR PARA DESENVOLVER POLÍTICAS DE SEGURANÇA
Identifique informações confidenciais e sistemas críticos

Incorporar leis locais, estaduais e federais, bem como padrões éticos
relevantes
Definir metas e objetivos de segurança institucional

Defina um curso para atingir essas metas e objetivos
Assegurar que os mecanismos necessários para cumprir os
metas e objetivos estão em vigor
Embora a finalização da política organizacional seja geralmente uma tarefa

reservada aos tomadores de decisão de alto nível, contribuir para o desenvolvimento
da política deve ser uma atividade de toda a organização. Embora nem todos os
funcionários precisem necessariamente comparecer a cada sessão de planejamento da
política de segurança, os gerentes de nível superior devem incluir representantes de
todos os níveis e tipos de trabalho na fase de coleta de informações (como no caso de
brainstorming durante a avaliação de riscos). Funcionários não administrativos têm uma
perspectiva especialmente única para compartilhar com os formuladores de políticas
que simplesmente não pode ser adquirida por nenhum outro meio. Reunir-se
frequentemente com a equipe para aprender sobre questões importantes que afetam
seu trabalho é um grande passo para garantir que haja adesão em todos os níveis da
organização.
Foi apontado em capítulos anteriores que todas as organizações são vulneráveis a
ataques de engenharia social e, de fato, organizações de todos os setores foram
afetadas por tais ataques. Embora a avaliação de risco de uma organização informe os
gerentes sobre as necessidades específicas de segurança de seus sistemas, no caso
de ataques de engenharia social, todos os tipos e tamanhos de organizações precisam
tomar medidas para mitigar tais ataques. Independentemente de quaisquer descobertas
de uma avaliação de risco, as seguintes questões gerais devem ser abordadas de
forma clara e concisa em qualquer política de segurança:
• Qual é o motivo da apólice?

• Quem desenvolveu a política?
• Quem aprovou a política?
• De quem é a autoridade que sustenta a política?
• Em quais leis ou regulamentos, se houver, as políticas se baseiam?
• Quem aplicará a política?

• Como a política será aplicada?
• A quem a política afeta?
• Quais ativos devem ser protegidos?
• O que os usuários realmente precisam fazer?
• Como as brechas e violações de segurança devem ser relatadas?
• Qual é a data efetiva e a data de expiração da apólice?
As políticas devem ser escritas em linguagem simples e compreensível para o público-

alvo. Eles devem ser concisos e focar nas expectativas e consequências, mas é útil
explicar por que as políticas estão sendo implementadas. Além disso, qualquer termo
que possa confundir o leitor precisa ser definido. Ao manter as coisas o mais simples
possível, a participação dos funcionários torna-se uma aspiração realista. Mas lembre-
se de que, a menos que a organização eduque seus usuários, há poucos motivos para
esperar que os procedimentos de segurança sejam implementados adequadamente.
Deve ser implementado treinamento de funcionários especificamente adaptado

para atender aos requisitos da política de segurança. Os formuladores de políticas
devem reconhecer que muitos usuários de computador podem não ser treinados para
usar a tecnologia adequadamente e o pouco treinamento que tiveram provavelmente
visava superar seus medos e ensiná-los a ligar suas máquinas. No máximo, eles
podem ter aprendido como usar um determinado software para um aplicativo específico.
Assim, a maioria dos funcionários de uma organização teria pouco conhecimento sobre
questões de segurança e não haveria razão para esperar que isso mudasse, a menos
que a organização fizesse sua parte para corrigir a situação e fornecer treinamento
apropriado. A relutância por parte da organização em preparar adequadamente os
funcionários para tornar a política de segurança uma parte do ambiente de trabalho
torna o restante do esforço um exercício teórico - e a teoria não protegerá um sistema
de ameaças muito reais.
Esperar que cada funcionário se torne um especialista em segurança é totalmente

irreal. Em vez disso, as práticas de segurança recomendadas devem ser divididas em
partes gerenciáveis que são adaptadas para atender às tarefas de trabalho individuais.
Uma mensagem única, curta e bem focada a cada semana será mais bem recebida do
que um volume mensal de informações excessivamente ambiciosas.
Sem a prova de que um funcionário concordou em cumprir os regulamentos de
segurança, as tarefas às vezes necessárias de repreender, demitir ou
até mesmo processar os infratores de segurança pode ser difícil de perseguir. Um

dos objetivos de uma política de segurança bem-sucedida é limitar a necessidade de
confiança no sistema. Embora isso possa parecer uma filosofia terrivelmente cínica,
na verdade serve para proteger os funcionários da organização e a própria
organização. Mas antes que os benefícios da segurança possam ser percebidos, a
equipe deve ser adequadamente informada sobre suas funções, responsabilidades e
expectativas organizacionais. Os funcionários devem ser informados por escrito,
incluindo o que é e o que não é uso aceitável do equipamento e que a segurança fará
parte das avaliações de desempenho.
Sempre que a segurança for ameaçada, seja uma falha de disco, um ataque de
intruso externo ou um desastre natural, é importante planejar com antecedência os
possíveis eventos adversos. A única maneira de ter certeza de que você planejou
com antecedência para tais problemas é planejar agora, porque você nunca pode
prever exatamente quando uma violação de segurança acontecerá. Pode acontecer
daqui a um ano, um mês ou esta tarde.
O planejamento antecipado para emergências vai além de uma boa política. Não há
substituto para o planejamento de resposta a violações de segurança e outros
planejamentos de contingência abrangentes.7
4.5 Protegendo pequenas empresas contra ataques de engenharia social
Existem inúmeras oportunidades para as pequenas empresas preencherem os nichos

necessários na indústria ou nos serviços empresariais. A banda larga e a tecnologia
da informação são fatores poderosos para as pequenas empresas alcançarem novos
mercados e aumentarem a produtividade e a eficiência. No entanto, muitas pequenas
empresas podem não ter todos os recursos de que precisam para ter uma forte
postura de segurança cibernética, mas ainda precisam de uma estratégia de
segurança cibernética para proteger seus próprios negócios, clientes e dados contra
crescentes ameaças à segurança cibernética. A Comissão Federal de Comunicações
(FCC), o Departamento de Segurança Interna (DHS) e a Administração de Pequenas
Empresas forneceram conselhos para pequenas empresas.
Os 30 milhões de pequenos negócios nos Estados Unidos criam cerca de
dois em cada três novos empregos nos EUA a cada ano, e mais da metade dos
americanos possui ou trabalha para uma pequena empresa. pequeno negócio
As empresas desempenham um papel fundamental na economia e na cadeia de

suprimentos do país e dependem cada vez mais da tecnologia da informação para
armazenar, processar e comunicar informações. Proteger essas informações contra
ameaças cibernéticas crescentes é fundamental.
Os pequenos empregadores muitas vezes não se consideram alvos de ataques

cibernéticos devido ao seu tamanho ou à percepção de que não têm nada que valha
a pena roubar. No entanto, as pequenas empresas têm informações valiosas que os
cibercriminosos procuram, incluindo dados de funcionários e clientes, informações
de contas bancárias e acesso às finanças da empresa e propriedade intelectual.
Pequenos empregadores também fornecem acesso a redes maiores, como cadeias
de suprimentos.
Embora alguns pequenos empregadores já tenham práticas robustas de segurança
cibernética, muitas pequenas empresas carecem de recursos ou pessoal suficientes
para se dedicar à segurança cibernética. Devido ao seu papel na cadeia de
suprimentos e na economia do país, combinado com menos recursos do que seus
equivalentes maiores para proteger suas informações, sistemas e redes, os pequenos
empregadores são um alvo atraente para os cibercriminosos.8
O National Cybersecurity and Communications Integration Center (NCCIC)
recebeu vários relatórios de infecções por ransomware WannaCry em todo o mundo.
Ransomware é um tipo de software malicioso que infecta e restringe o acesso a um
computador até que um resgate seja pago. Embora existam outros métodos de
entrega, o ransomware é frequentemente entregue por meio de ataques de
engenharia social e e-mails de phishing, além de explorar vulnerabilidades não
corrigidas no software. Os e-mails de phishing são criados para parecer que foram
enviados por uma organização legítima ou um indivíduo conhecido. Esses e-mails
geralmente induzem os usuários a clicar em um link ou abrir um anexo contendo
código malicioso. Após a execução do código, um computador pode ser infectado
por malware.
Um compromisso com a higiene cibernética e as melhores práticas é fundamental

para proteger organizações e usuários contra ameaças cibernéticas, incluindo
malware. Em conselhos específicos sobre os recentes ataques de engenharia social
e a ameaça do ransomware WannaCry, os usuários devem:
• Tenha cuidado ao clicar diretamente em links de e-mails, mesmo que o

remetente pareça ser conhecido; tente verificar os endereços da web de
forma independente (por exemplo, entre em contato com o suporte técnico
da organização ou pesquise na Internet o site principal da organização ou
o tópico mencionado no e-mail).
• Tenha cuidado ao abrir anexos de e-mail. Seja particularmente cauteloso
com anexos de arquivos compactados ou ZIP.
• Desconfie de telefonemas não solicitados, visitas ou mensagens de e-mail
de indivíduos perguntando sobre funcionários ou outros
informações internas. Se um indivíduo desconhecido alegar ser de uma
organização legítima, tente verificar sua identidade diretamente com a

empresa.
• Evite fornecer informações pessoais ou informações sobre a organização,
incluindo sua estrutura ou redes, a menos que você tenha certeza da
autoridade de uma pessoa para ter as informações.
• Evite revelar informações pessoais ou financeiras em e-mails e não responda
a solicitações de e-mail para essas informações.
Isso inclui os seguintes links enviados em e-mails.
• Seja cauteloso ao enviar informações confidenciais pela Internet antes de
verificar a segurança de um site.9
Se você não tiver certeza se uma solicitação de e-mail é legítima, tente verificá-la
entrando em contato diretamente com a empresa. Não use as informações de
contato fornecidas em um site conectado à solicitação; em vez disso, verifique as
declarações anteriores para obter informações de contato. As pequenas empresas
também devem fazer o seguinte:
• Treine os funcionários nos princípios de segurança e estabeleça práticas e

políticas básicas de segurança para os funcionários, como exigir senhas
fortes, e estabeleça diretrizes apropriadas de uso da Internet que detalham
as penalidades por violação das políticas de segurança cibernética da
empresa.
• Proteja as informações, os computadores e as redes contra ataques
cibernéticos mantendo as máquinas limpas: ter o software de segurança,
o navegador da web e os sistemas operacionais mais recentes são as
melhores defesas contra vírus, malware e outras ameaças online.
Defina o software antivírus para executar uma verificação após cada atualização.
Instale outras atualizações importantes de software assim que estiverem disponíveis.
• Forneça segurança de firewall para a conexão com a Internet e certifique-se

de que o firewall do sistema operacional esteja ativado ou instale um
software de firewall gratuito disponível online. Se os funcionários
trabalharem em casa, certifique-se de que seus sistemas domésticos
estejam protegidos por um firewall.
• Os dispositivos móveis podem criar desafios significativos de segurança e
gerenciamento, especialmente se tiverem informações confidenciais ou
puderem acessar a rede corporativa. Exigir que os usuários protejam seus
dispositivos com senha, criptografem seus dados e instalem aplicativos de
segurança para evitar que criminosos roubem informações
enquanto o telefone estiver em redes públicas. Certifique-se de estabelecer
procedimentos de comunicação para equipamentos perdidos ou roubados.
• Faça backup regularmente dos dados em todos os computadores. Os dados críticos
incluem documentos de processamento de texto, planilhas eletrônicas, bancos de dados,

arquivos financeiros, arquivos de recursos humanos e arquivos de contas a receber/
pagar. Faça backup dos dados automaticamente, se possível, ou pelo menos
semanalmente e armazene as cópias fora do local ou na nuvem.
• Impedir o acesso ou uso de computadores comerciais por indivíduos não autorizados. Os
laptops podem ser alvos fáceis de roubo ou podem ser perdidos, portanto, tranque-os
quando estiverem desacompanhados. Certifique-se de que uma conta de usuário
separada seja criada para cada funcionário e exija senhas fortes. Privilégios
administrativos devem ser concedidos apenas à equipe de TI confiável e ao pessoal-
chave.
• Certifique-se de que a rede Wi-Fi do local de trabalho esteja segura, criptografada e oculta.
Para ocultar a rede Wi-Fi, o ponto de acesso sem fio ou roteador deve ser configurado
de forma que não transmita o nome da rede, conhecido como Service Set Identifier
(SSID). Além disso, o acesso ao roteador deve ser protegido por senha.
• Trabalhe com bancos ou processadores para garantir que as ferramentas e os serviços
antifraude mais confiáveis e validados estejam sendo usados.
As empresas também podem ter obrigações de segurança adicionais de acordo com os
acordos com seu banco ou processador. Eles devem garantir que os sistemas de
pagamento sejam isolados de outros programas menos seguros e que o mesmo
computador não seja usado para processar pagamentos e navegar na Internet.
• Certifique-se de que nenhum funcionário tenha acesso a todos os sistemas de dados. Os
funcionários devem ter acesso apenas aos sistemas de dados específicos de que
precisam para seus trabalhos e não devem poder instalar nenhum software sem
permissão.
• Exigir que os funcionários usem senhas exclusivas e alterem as senhas a cada três
meses. Considere a implementação de autenticação multifator que requer informações
adicionais além de uma senha para obter acesso. Verifique com fornecedores que lidam
com dados confidenciais, especialmente instituições financeiras, para ver se eles
oferecem autenticação multifator para sua conta.10

• Certifique-se de que todos os computadores de sua empresa estejam

equipados com software antivírus e anti-spyware e sejam atualizados
regularmente. Esse software está prontamente disponível on-line em vários
fornecedores. Todos os fornecedores de software fornecem regularmente
patches e atualizações para seus produtos para corrigir problemas de
segurança e melhorar a funcionalidade. Configure todos os softwares para
instalar atualizações automaticamente.
• Educar os funcionários sobre as ameaças on-line e como proteger os dados
da empresa, incluindo o uso seguro de sites de redes sociais. Dependendo
da natureza do negócio, os funcionários podem apresentar aos concorrentes
detalhes confidenciais sobre os negócios internos da empresa por meio
de sites de redes sociais.
Os funcionários devem ser informados sobre como postar online de uma
forma que não revele nenhum segredo comercial ao público ou empresas
concorrentes.
• Proteja todas as páginas em sites públicos, não apenas as páginas de
check-out e inscrição.11
4.6 Estabelecimento de uma Cultura de Segurança
Ao gerenciar uma rede, desenvolver um aplicativo ou até mesmo organizar arquivos

em papel, a segurança sólida não é acidental. As empresas que consideram a
segurança desde o início avaliam suas opções e fazem escolhas razoáveis com
base na natureza de seus negócios e na confidencialidade das informações
envolvidas. Ameaças aos dados podem se transformar com o tempo, mas os
fundamentos de uma boa segurança permanecem constantes.
De dados pessoais em formulários de emprego a arquivos de rede com números
de cartão de crédito de clientes, informações confidenciais permeiam todas as partes
de muitas empresas. Os executivos de negócios geralmente perguntam como
gerenciar informações confidenciais. O primeiro passo fundamental é começar com
a segurança. Considere isso na tomada de decisões em todos os departamentos da
organização, incluindo pessoal, vendas, contabilidade e tecnologia da informação.
Coletar e manter informações apenas porque elas podem ser coletadas não é mais
uma boa estratégia de negócios. Empresas experientes pensam nas implicações de
suas decisões de dados. Fazer escolhas conscientes sobre o tipo de informação a
ser coletada, por quanto tempo mantê-la e quem pode acessá-la pode reduzir o risco
de comprometimento dos dados
na estrada. Claro, todas essas decisões dependerão da natureza do negócio.
Às vezes é necessário coletar dados pessoais como parte de uma

transação. Mas uma vez que o negócio é feito, pode ser imprudente mantê-
lo. No caso BJ's Wholesale Club da Federal Trade Commission (FTC), a
empresa coletou informações de cartões de crédito e débito dos clientes para
processar transações em suas lojas de varejo. Mas, de acordo com a
denúncia, continuou armazenando esses dados por até 30 dias, muito tempo
após a conclusão da venda. Isso não apenas violou as regras do banco, mas,
ao reter as informações sem uma necessidade comercial legítima, a FTC
disse que o BJ's Wholesale Club criou um risco irracional. Ao explorar outras
deficiências nas práticas de segurança da empresa, os hackers roubaram os
dados da conta e os usaram para falsificar cartões de crédito e débito. A
empresa poderia ter limitado seu risco descartando com segurança as
informações financeiras, uma vez que não tivesse mais uma necessidade legítima delas.
Se os funcionários não precisam usar informações pessoais como parte
de seu trabalho, não há necessidade de acessá-las. Por exemplo, no caso da
Goal Financial, a FTC alegou que a empresa não restringiu o acesso dos
funcionários às informações pessoais armazenadas em arquivos de papel e
em sua rede. Como resultado, um grupo de funcionários transferiu mais de
7.000 arquivos de consumidores contendo informações confidenciais para
terceiros sem autorização. A empresa poderia ter evitado esse passo em
falso implementando controles adequados e garantindo que apenas
funcionários autorizados com necessidades comerciais tivessem acesso às
informações pessoais das pessoas.
Senhas como 121212 ou qwerty não são muito melhores do que nenhuma
senha. É por isso que é aconselhável pensar um pouco nos padrões de
senha que você implementa. No caso do Twitter, por exemplo, a empresa
permitiu que os funcionários usassem palavras comuns do dicionário como
senhas administrativas, além de senhas que já utilizavam em outras contas.
De acordo com a FTC, essas práticas negligentes deixaram o sistema do
Twitter vulnerável a hackers que usaram ferramentas de adivinhação de
senhas ou tentaram senhas roubadas de outros serviços na esperança de
que os funcionários do Twitter usassem a mesma senha para acessar o sistema da empresa.
O Twitter poderia ter limitado esses riscos implementando um sistema de
senhas mais seguro, por exemplo, exigindo que os funcionários escolhessem
senhas complexas e treinando-os para não usarem senhas iguais ou
semelhantes para contas comerciais e pessoais.
No caso da Guidance Software, a FTC alegou que a empresa armazenou

as credenciais do usuário da rede em texto claro e legível que ajudou um
hacker a obter acesso às informações do cartão de crédito do cliente na rede.
Da mesma forma, no caso Reed Elsevier, a FTC acusou a empresa de permitir
que os clientes armazenassem credenciais de usuário em um formato vulnerável
em cookies em seus computadores. Também no Twitter, a FTC disse que a
empresa falhou em estabelecer políticas que proibissem os funcionários de
armazenar senhas administrativas em texto simples em contas de e-mail
pessoais. Em cada um desses casos, os riscos poderiam ter sido reduzidos se
as empresas tivessem políticas e procedimentos para armazenar credenciais
com segurança.
No caso da Lookout Services, a FTC acusou a empresa de não testar
adequadamente seu aplicativo da Web em busca de falhas de segurança
amplamente conhecidas, incluindo uma chamada localização previsível de
recursos. Como resultado, um hacker poderia facilmente prever padrões e
manipular URLs para ignorar a tela de autenticação do aplicativo da web e
obter acesso não autorizado aos bancos de dados da empresa. A empresa
poderia ter melhorado a segurança de seu mecanismo de autenticação testando
vulnerabilidades comuns.
Os dados não ficam em um só lugar. É por isso que é importante considerar
a segurança em todas as etapas se a transmissão de informações for uma
necessidade para o seu negócio. No caso da Superior Mortgage Corporation,
por exemplo, a FTC alegou que a empresa usou criptografia Secure Sockets
Layer (SSL) para proteger a transmissão de informações pessoais confidenciais
entre o navegador da web do cliente e o servidor do site da empresa. Mas
assim que as informações chegavam ao servidor, o provedor de serviços da
empresa as descriptografava e as enviava por e-mail em texto claro e legível
para a sede e filiais da empresa. Esse risco poderia ter sido evitado garantindo
que os dados estivessem seguros durante todo o seu ciclo de vida e não
apenas durante a transmissão inicial.
As ações da FTC contra a Fandango e a Credit Karma alegaram que as
empresas usaram criptografia SSL em seus aplicativos móveis, mas desativaram
um processo crítico conhecido como validação de certificado SSL sem
implementar outras medidas de segurança compensatórias. Isso tornava os
aplicativos vulneráveis a ataques man-in-the-middle, o que poderia permitir que
hackers descriptografassem informações confidenciais transmitidas pelos aplicativos.
Esses riscos poderiam ter sido evitados se as implementações de SSL das
empresas tivessem sido configuradas corretamente.
No caso da Dave & Buster, a FTC alegou que a empresa não usava um
sistema de detecção de invasões e não monitorava os logs do sistema em busca
de atividades suspeitas. A FTC disse que algo semelhante aconteceu no caso
da Cardsystem Solutions. A empresa não usou medidas suficientes para detectar
o acesso não autorizado à sua rede.
Os hackers exploraram as fraquezas, instalando programas na rede da empresa,

que coletavam dados confidenciais armazenados e os enviavam para fora da
rede a cada quatro dias. Em cada um desses casos, as empresas poderiam ter
reduzido o risco de comprometimento de dados, ou a amplitude desse
comprometimento, usando ferramentas para monitorar a atividade em suas redes.
Em casos como MTS, HTC America e TRENDnet, a FTC alegou que as
empresas falharam em treinar seus funcionários em práticas seguras de
codificação. O resultado: Decisões de design questionáveis, incluindo a
introdução de vulnerabilidades no software. Por exemplo, de acordo com a
reclamação na HTC America, a empresa não implementou mecanismos de
comunicação segura prontamente disponíveis nos aplicativos de registro pré-
instalados em seus dispositivos móveis. Como resultado, aplicativos mal-
intencionados de terceiros podem se comunicar com os aplicativos de registro,
colocando mensagens de texto, dados de localização e outras informações
confidenciais dos consumidores em risco. A empresa poderia ter reduzido o risco
de vulnerabilidades como essa treinando adequadamente seus engenheiros em práticas seguras
A segurança não pode ser uma coisa de acreditar em nossa palavra. Incluir
expectativas de segurança em contratos com provedores de serviços é um
primeiro passo importante, mas também é importante criar uma supervisão no
processo. O caso FTC Upromise ilustra esse ponto. Lá, a empresa contratou um
prestador de serviços para desenvolver uma barra de ferramentas do navegador.
A Upromise alegou que a barra de ferramentas, que coletava informações de
navegação dos consumidores para fornecer ofertas personalizadas, usaria um
filtro para remover qualquer informação de identificação pessoal antes da
transmissão. Mas, de acordo com a FTC, a Upromise falhou em verificar se o
provedor de serviços implementou o programa de coleta de informações de
maneira consistente com as políticas de privacidade e segurança da Upromise e
com os termos do contrato elaborado para proteger as informações do
consumidor. Como resultado, a barra de ferramentas coletou informações
pessoais confidenciais – incluindo números de contas financeiras e códigos de
segurança de páginas seguras da Web – e as transmitiu em texto não
criptografado. Como a empresa poderia ter reduzido esse risco? Fazendo
perguntas e acompanhando o provedor de serviços durante o processo de desenvolvimento.12
Respondendo às mudanças dramáticas no poder de computação, uso da

Internet e desenvolvimento de sistemas em rede, as diretrizes da Organização
de Cooperação e Desenvolvimento Econômico (OCDE) fornecem um conjunto
de princípios para ajudar a garantir a segurança dos sistemas e redes de
comunicação interconectados contemporâneos. Eles são aplicáveis a todos,
desde aqueles que fabricam, possuem e operam sistemas de informação até
os usuários individuais que se conectam por meio de PCs domésticos. É
importante ressaltar que as diretrizes exigem novas formas de pensar e se
comportar ao usar sistemas de informação. Eles incentivam o desenvolvimento
de uma cultura de segurança como mentalidade para responder às ameaças
e vulnerabilidades das redes de comunicação. Os nove princípios abordam:
Conscientização, Responsabilidade, Resposta, Ética, Democracia, Avaliação
de Risco, Projeto e Implementação de Segurança, Gerenciamento de Segurança
e Reavaliação. As diretrizes foram desenvolvidas com a total cooperação do
Conselho Consultivo do Setor Empresarial (BIAC) da OCDE e representantes
da sociedade civil.
Em outubro de 2001, o Comitê de Política de Informação, Computador e
Comunicação (ICCP) da OCDE respondeu positivamente a uma proposta dos
Estados Unidos para uma revisão acelerada das diretrizes de segurança.
Os países membros da OCDE, as empresas, a sociedade civil e o Secretariado
da OCDE compartilharam um senso de urgência e responderam com total
cooperação e apoio. O texto das diretrizes está disponível em www.oecd.org.
A conclusão das diretrizes é apenas o primeiro passo. As agências do

governo dos EUA usaram as diretrizes em suas atividades de divulgação para
o setor privado, o público e outros governos e incentivaram empresas, indústrias
e grupos de consumidores a se unirem para usar as diretrizes à medida que
desenvolviam suas próprias abordagens para a segurança dos sistemas de
informação e redes, e no desenvolvimento de uma cultura de segurança para
sistemas de informação e redes.13
4.7 Conclusão
A defesa contra ataques de engenharia social é uma necessidade para todos

os tipos e tamanhos de organizações. O programa de segurança da informação
é mais eficaz quando os processos de segurança estão profundamente
enraizados na cultura da instituição. A segurança eficaz deve ser uma parte
substantiva da cultura da organização e o treinamento deve ocorrer de forma contínua.
4.8 Pontos Chave
Os pontos importantes apresentados neste capítulo são os seguintes:
• O treinamento é absolutamente essencial para a segurança contra ataques

de engenharia social e códigos mal-intencionados, mas é negligenciado por
muitas organizações. • A Estrutura de Segurança Cibernética consiste em
três componentes principais: O Núcleo, Camadas de Implementação e Perfis.
Os perfis são usados principalmente para identificar e priorizar oportunidades
para melhorar a segurança cibernética em uma organização.
• A Estrutura é uma orientação. Deve ser personalizado por diferentes setores

e organizações individuais para melhor atender seus riscos, situações e
necessidades. As organizações continuarão a ter riscos únicos, enfrentar
diferentes ameaças e ter diferentes vulnerabilidades e tolerâncias a riscos.
A forma como eles implementam as práticas da Estrutura para alcançar
resultados positivos varia.
• O termo política de segurança refere-se a planos, regras e práticas claros,

abrangentes e bem definidos que regulam o acesso ao sistema de uma
organização e às informações nele contidas.
• As políticas devem ser concisas e focar nas expectativas e consequências,
mas é útil explicar por que as políticas estão sendo implementadas.
• Muitas pequenas empresas podem não ter todos os recursos de que precisam
para ter uma forte postura de segurança cibernética. No entanto, as
empresas precisam de uma estratégia de segurança cibernética para
proteger sua própria organização, clientes e dados de crescentes ameaças
de segurança cibernética.
• As empresas que consideram a segurança desde o início avaliam suas opções
e fazem escolhas razoáveis com base na natureza de seus negócios e na
confidencialidade das informações envolvidas.
• Fazer escolhas conscientes sobre o tipo de informação a ser coletada, por
quanto tempo mantê-la e quem pode acessá-la pode reduzir o risco de
comprometimento de dados no futuro.
• As diretrizes da Organização de Cooperação e Desenvolvimento Econômico
(OCDE) incentivam o desenvolvimento de uma cultura de segurança como
mentalidade para responder às ameaças e vulnerabilidades das redes de
comunicação.
• Que experiência os participantes do seminário tiveram na avaliação do estado de

segurança em uma organização? Quais foram os resultados dessas avaliações?
• Que experiência os participantes do seminário tiveram no desenvolvimento de

políticas de segurança para uma organização? Que tipo de políticas desenvolveram?
• Que experiência os participantes do seminário tiveram na reavaliação de práticas e

políticas de segurança após a ocorrência de uma violação de segurança em uma
organização? Quais foram os resultados da reavaliação?
Os participantes devem entrevistar pessoas de cinco organizações diferentes para determinar

o que os entrevistados entendem sobre segurança cibernética em suas organizações. Eles
devem então escrever um resumo de uma página de cada entrevista e compartilhá-los em
um grupo de discussão no seminário.
Termos chave
Política de uso aceitável: é um documento que estabelece um acordo entre os usuários e a

empresa e define para todas as partes as faixas de uso que são aprovadas antes
que os usuários possam ter acesso a uma rede ou à Internet.
Melhores práticas: são técnicas ou metodologias que, por meio de experiência e pesquisa,
levaram de forma confiável a um resultado desejado ou ótimo.
Cultura de segurança: é uma cultura organizacional na qual a segurança permeia todos os

aspectos da vida diária, bem como todas as operações
situações.
Lacunas na segurança: são medidas de segurança ou métodos de mitigação inadequados

para proteger um ativo ou não protegem completamente o ativo para o qual foram
implantados.
Uso pessoal: significa usar um serviço ou um item para fins e objetivos pessoais que não
têm qualquer relação com a organização que emprega o indivíduo que usa o item
ou serviço.
Sandboxing: é o uso de um ambiente de execução restrito e controlado que

impede que softwares potencialmente maliciosos, como código móvel,
acessem quaisquer recursos do sistema, exceto aqueles para os quais
o software está autorizado a limitar o acesso
e funcionalidade do código executado.
Conscientização de segurança: é o nível básico de compreensão da segurança
e reconhecimento da importância da segurança.
Ameaças à segurança: são condições, pessoas ou eventos que podem
comprometer a segurança de uma nação, organização, instalação ou
qualquer bem pertencente à entidade ameaçada.
Vigilância de segurança: é uma atenção constante dada à segurança durante
as operações do dia-a-dia; contribui para a segurança ao encorajar o
relato de violações de segurança e faz sugestões sobre como melhorar
a segurança quando são observadas deficiências.
Referências
1. Cultura de Segurança. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it-booklets/
segurança da informação/i-governança-do-programa-de-segurança-da-informação/
ia-security-culture.aspx
2. Mitigação de Malware. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it booklets/
information-security/ii-information-security-program-man agement/iic-risk-mitigation/
iic12-malware-mitigation.aspx
3. Treinamento. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it-booklets/
segurança da informação/ii-segurança-da-informação-programa-gerenciamento/
iic-risk-mitigação/iic7-user-security-controls/iic7(e)-training.aspx
4. Novo no Framework. NIST. 11 de dezembro de 2018. Acessado em 10 de
fevereiro de 2019. https://www.nist.gov/cyberframework/new-framework#
fundo
5. Noções básicas de estrutura. NIST. 11 de dezembro de 2018. Acessado em 10
de fevereiro de 2019. https://www.nist.gov/cyberframework/questions-and-answers#
estrutura
6. Componentes da estrutura. NIST. 11 de dezembro de 2018. Acessado em 10 de
fevereiro de 2019. https://www.nist.gov/cyberframework/questions-and
answers#framework
7. Política de Segurança: Desenvolvimento e Implementação. Departamento de
Educação dos EUA, Instituto de Ciências da Educação (IES). Acessado em 10 de
fevereiro de 2019. https://nces.ed.gov/pubs98/safetech/chapter3.asp
8. Introdução à cibersegurança. Administração de Pequenas Empresas dos EUA.

Acessado em 10 de fevereiro de 2019. https://www.sba.gov/managing-business/
cibersegurança/introdução-cibersegurança
9. Proteja-se contra Ransomware. Administração de Pequenas Empresas dos EUA.
segurança cibernética/proteção contra ransomware
10. Segurança cibernética para pequenas empresas. Comissão Federal de Comunicações dos Estados
Unidos. Acessado em 10 de fevereiro de 2019. https://www.fcc.gov/general/
cibersegurança-pequena-empresa
11. Dez principais dicas de segurança cibernética. Administração de Pequenas Empresas dos EUA.
cibersegurança/dez principais dicas de cibersegurança
12. Comece com segurança: um guia para empresas. FTC. Junho de 2005. Acessado em 11 de
fevereiro de 2019. https://www.ftc.gov/tips-advice/business-center/
orientação/start-security-guide-business#start
13. A OCDE pede uma cultura de segurança para sistemas de informação.
Organização de Cooperação e Desenvolvimento Econômico (OCDE).
Agosto de 2002. Acessado em 11 de fevereiro de 2019. https://2001-2009.state.
gov/r/pa/prs/ps/2002/12518.htm
5
Engenharia Social
Ataques que utilizam PII
Os ataques de engenharia social são mais eficazes quando a isca ou o estratagema

se encaixa em um contexto que o destinatário de uma mensagem considera rotineiro
ou normal. Essa mensagem pode ser sobre futebol ou beisebol, tornando-a
interessante para os fãs de esportes. Mensagens iscas prometendo fotos nuas de
celebridades também funcionaram bem no passado. A grande quantidade de
informações de identificação pessoal (PII) disponíveis na Internet torna mais fácil
para os invasores de engenharia social encontrar assuntos relacionados a indivíduos
em suas vidas privadas e a funcionários corporativos na busca de suas atividades
comerciais. Assim, as informações que estão publicamente disponíveis sobre
indivíduos ou organizações tornaram-se uma questão de segurança, porque podem
ser usadas em ataques de engenharia social a sistemas ou em tentativas de fraudar
ou roubar identidades.
Este capítulo analisa os problemas de segurança relacionados às PII.
5.1 Definindo informações de identificação pessoal (PII)
Uma perspectiva sobre Informações Pessoais Identificáveis (PII) refere-se a

informações que podem ser usadas para distinguir ou rastrear a identidade de um
indivíduo, isoladamente ou quando combinadas com outras informações pessoais
ou de identificação vinculadas ou vinculáveis a um indivíduo específico.
A definição de PII não está necessariamente ancorada em nenhuma categoria
única de informação ou tecnologia. Em vez disso, requer uma avaliação caso a caso
do risco específico que um indivíduo pode ser identificado a partir das informações.
Ao realizar essa avaliação, é importante que uma agência reconheça que não-PII
pode se tornar PII sempre que informações adicionais forem disponibilizadas
publicamente em qualquer meio e de qualquer fonte que, quando combinadas com
outras informações disponíveis, possam ser usadas para identificar um individual.1
105
Outra perspectiva sobre PII sustenta que é qualquer representação de

informações que permite que a identidade de um indivíduo a quem as informações
se aplicam seja razoavelmente inferida por meios diretos ou indiretos. Além disso,
PII é definido como informações que identificam diretamente um indivíduo (nome,
endereço, número de seguro social (SSN) ou outro número ou código de
identificação, número de telefone, endereço de e-mail, etc.) ou pelo qual uma
agência pretende identificar indivíduos específicos em conjunto com outros
elementos de dados, ou seja, identificação indireta. (Esses elementos de dados
podem incluir uma combinação de gênero, raça, data de nascimento, indicador
geográfico e outros descritores.) Além disso, as informações que permitem o
contato físico ou on-line de um indivíduo específico são iguais às informações de
identificação pessoal. Essas informações podem ser mantidas em papel, meio
eletrônico ou outra mídia.2
De acordo com o General Accountability Office (GAO), PII é qualquer informação

sobre um indivíduo mantida por uma agência, incluindo qualquer informação que
possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como
nome, CPF, data e local de nascimento, nome de solteira da mãe ou registros
biométricos; e qualquer outra informação vinculada ou vinculável a um indivíduo,
como informações médicas, educacionais, financeiras e de emprego. Exemplos de
PII incluem, mas não estão limitados a:
• Nome, como nome completo, nome de solteira, nome de solteira da mãe

ou pseudônimo.
• Número de identificação pessoal, como número da previdência social,
número do passaporte, número da carteira de motorista, número de
identificação do contribuinte ou conta financeira ou número do cartão de crédito.
• Informações de endereço, como endereço ou endereço de e-mail.
• Características pessoais, incluindo imagens fotográficas (especialmente
do rosto ou outras características de identificação), impressões digitais,
caligrafia ou outros dados biométricos (por exemplo, varredura de retina,
assinatura de voz, geometria facial).
• Informações sobre um indivíduo que está vinculado ou pode ser vinculado a
um dos itens acima (por exemplo, data de nascimento, local de

nascimento, raça, religião, peso, atividades, indicadores geográficos,
informações sobre empregos, informações médicas, informações
educacionais, informações financeiras).
Ataques de engenharia social aproveitando PIIÿ107
• Informações de ativos, como endereço de protocolo de Internet (IP) ou

controle de acesso à mídia (MAC), ou outros identificadores estáticos
persistentes e específicos do host que vinculam consistentemente a uma
pessoa específica ou a um grupo pequeno e bem definido de pessoas.
• Informações que identificam propriedade pessoal, como número de registro
do veículo ou número do título e informações relacionadas.
Informações vinculadas são informações sobre ou relacionadas a um indivíduo que
estão logicamente associadas a outras informações sobre o indivíduo.

Em contraste, informações vinculáveis são informações sobre ou relacionadas a um
indivíduo para as quais existe a possibilidade de associação lógica com outras
informações sobre o indivíduo. Por exemplo, se dois bancos de dados contiverem
diferentes elementos de PII, alguém com acesso a ambos os bancos de dados poderá
vincular as informações dos dois bancos de dados e identificar indivíduos, bem como
acessar informações adicionais ou relacionadas aos indivíduos. Se a fonte de
informação secundária estiver presente no mesmo sistema ou em um sistema
intimamente relacionado e não tiver controles de segurança que efetivamente
segreguem as fontes de informação, então os dados são considerados vinculados.
Se a fonte de informação secundária for mantida mais remotamente, como em um
sistema não relacionado dentro da organização, disponível em registros públicos ou
facilmente obtido (por exemplo, mecanismo de pesquisa na Internet), os dados são
considerados vinculáveis.3
5.2 Por que PII é um problema
O acesso, uso ou divulgação não autorizados de PII podem prejudicar gravemente os

indivíduos, contribuindo para perseguição cibernética, roubo de identidade,
chantagem ou constrangimento, bem como prejudicando a organização que detém
as PII, reduzindo a confiança do público na organização ou criando responsabilidade.
Dano significa quaisquer efeitos adversos que seriam experimentados por um
indivíduo cuja PII foi objeto de perda de confidencialidade, bem como quaisquer
efeitos adversos experimentados pela organização que mantém as PII. Dano a um
indivíduo inclui quaisquer efeitos negativos ou indesejados (ou seja, que podem ser
social, fisicamente ou financeiramente danosos). Exemplos de tipos de danos a
indivíduos incluem, entre outros, o potencial de chantagem, roubo de identidade,
danos físicos, discriminação ou sofrimento emocional. Como resultado, cada vez mais
mais pessoas estão usando serviços de monitoramento de identidade ou tendo

seguro contra roubo de identidade.
As PII também podem ser usadas em ataques de phishing, como foi supostamente o
caso na revelação de fevereiro de 2019 de que a equipe de inteligência iraniana usou as
PII da equipe de inteligência dos EUA para projetar socialmente um ataque que
comprometeu a equipe dos EUA e resultou no acesso do Irã às informações de
inteligência dos EUA. .
As organizações também podem sofrer danos como resultado da perda de
confidencialidade das PII mantidas pela organização, incluindo, entre outros, encargos
administrativos, perdas financeiras, perda de reputação pública e confiança pública e
responsabilidade legal. A seguir, descrevemos os três níveis de impacto, baixo, moderado
e alto, que se baseiam no impacto potencial de uma violação de segurança envolvendo
um sistema específico. Os níveis de impacto estão resumidos na Caixa 5.1.
O impacto potencial é baixo se for esperado que a perda de confidencialidade,

integridade ou disponibilidade tenha um efeito adverso limitado nas operações
organizacionais, ativos organizacionais ou indivíduos.
Um efeito adverso limitado significa que a perda de confidencialidade, integridade ou
disponibilidade pode, por exemplo, causar uma degradação na capacidade da missão
em uma extensão e duração que a organização seja capaz de desempenhar suas
funções primárias, mas a eficácia das funções é visivelmente reduzido; resultar em danos
menores aos ativos organizacionais; resultar em pequena perda financeira; ou resultar
em danos menores a indivíduos.
O impacto potencial é moderado se a perda de confidencialidade, integridade ou

disponibilidade puder ter um efeito adverso sério
CAIXA 5.1 NÍVEIS DE IMPACTO DE COMPROMISSOS DE PII
BAIXO se a perda de confidencialidade, integridade ou disponibilidade puder

ter um efeito adverso limitado.
MODERADO se a perda de confidencialidade, integridade ou disponibilidade
puder ter um efeito adverso grave.
ALTO se a perda de confidencialidade, integridade ou disponibilidade puder
ter um efeito adverso grave ou catastrófico.
em operações organizacionais, ativos organizacionais ou indivíduos.

Um efeito adverso sério significa que a perda de confidencialidade,
integridade ou disponibilidade pode, por exemplo, causar uma degradação
significativa na capacidade da missão em uma extensão e duração que a
organização seja capaz de desempenhar suas funções primárias, mas a
eficácia do as funções são significativamente reduzidas; resultar em danos
significativos aos ativos organizacionais; resultar em perda financeira
significativa; ou resultar em danos significativos a indivíduos que não
envolvam perda de vida ou ferimentos graves com risco de vida.
O impacto potencial é alto se a perda de confidencialidade, integridade
ou disponibilidade puder ter um efeito adverso grave ou catastrófico nas
operações organizacionais, ativos organizacionais ou indivíduos. Um efeito
adverso grave ou catastrófico significa que a perda de confidencialidade,
integridade ou disponibilidade pode, por exemplo, causar uma grave
degradação ou perda da capacidade da missão em uma extensão e duração
que a organização não seja capaz de realizar um ou mais de seus funções
primárias; resultar em grandes danos aos ativos organizacionais; resultar
em grandes perdas financeiras; ou resultar em danos graves ou catastróficos
a indivíduos envolvendo perda de vida ou ferimentos graves com risco de
vida.
Os danos a indivíduos descritos nesses níveis de impacto são mais fáceis
de entender com exemplos. Uma violação da confidencialidade de PII no
nível de baixo impacto não causaria danos maiores do que inconvenientes,
como alterar um número de telefone. Os tipos de dano que podem ser
causados por uma violação envolvendo PII no nível de impacto moderado
incluem perda financeira devido a roubo de identidade ou negação de
benefícios, humilhação pública, discriminação e possibilidade de chantagem.
O dano no nível de alto impacto envolve sérios danos físicos, sociais ou
financeiros, resultando em potencial perda de vidas, perda de meios de
subsistência ou detenção física inadequada.
Uma organização sujeita a quaisquer obrigações de proteção de PII deve
considerar tais obrigações ao determinar o nível de impacto da
confidencialidade de PII. Muitas organizações estão sujeitas a leis,
regulamentos ou outros mandatos que regem a obrigação de proteger
informações pessoais, como a Lei de Privacidade de 1974, memorandos do
OMB e a Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996
(HIPAA). Além disso, algumas agências federais, como
como o Census Bureau e o Internal Revenue Service (IRS), estão sujeitos a

obrigações legais específicas adicionais para proteger certos tipos de PII. Algumas
organizações também estão sujeitas a requisitos legais específicos com base em sua
função. Por exemplo, as organizações que atuam como instituições financeiras ao se
envolverem em atividades financeiras estão sujeitas à Lei Gramm-Leach-Bliley
(GLBA). Além disso, algumas agências que coletam PII para fins estatísticos estão
sujeitas aos rígidos requisitos de confidencialidade da Lei de Proteção de Informações
Confidenciais e Eficiência Estatística (CIPSEA). Violações dessas leis podem resultar
em penalidades civis ou criminais. As organizações também podem ser obrigadas a
proteger PII por suas próprias políticas, padrões ou diretivas de gerenciamento.
As decisões sobre a aplicabilidade de uma determinada lei, regulamento ou

mandato devem ser tomadas em consulta com o consultor jurídico e o responsável
pela privacidade de uma organização, porque as leis, regulamentos e mandatos
relevantes geralmente são complexos e mudam com o tempo.3
5.3 O roubo de identidade é facilitado com PII
Roubo de identidade e fraude de identidade são termos usados para se referir a todos
os tipos de crime em que alguém obtém e usa indevidamente os dados pessoais de
outra pessoa de alguma forma que envolva fraude ou engano, geralmente para ganho
econômico. Vários tipos comuns de roubo de identidade que podem afetar indivíduos
são mostrados no Quadro 5.2.
QUADRO 5.2 TIPOS COMUNS DE ROUBO

DE IDENTIDADE
Roubo de identidade fiscal—Alguém usa seu número de seguro social para

arquivar falsas declarações fiscais no IRS ou em seu estado.
Roubo de identidade médica—Alguém rouba sua identificação do Medicare
ou número de membro do plano de saúde. Ladrões usam essas
informações para obter serviços médicos ou enviar contas falsas para

sua seguradora de saúde.
Roubo de identidade social—Alguém usa seu nome e fotos para criar uma
conta falsa na mídia social.4
Algumas das formas mais comuns de roubo de identidade ou fraude incluem:
• Em locais públicos, por exemplo, os criminosos podem praticar surfe no

ombro observando de um local próximo enquanto as pessoas digitam o
número do cartão telefônico ou do cartão de crédito ou ouvindo a
conversa se fornecerem um número de cartão de crédito pelo telefone .
• Se as pessoas receberem pedidos de cartões de crédito pré-aprovados

pelo correio, mas os descartarem sem rasgar os materiais incluídos, os
criminosos poderão recuperá-los e tentar ativar os cartões para uso sem
o seu conhecimento. Além disso, se a correspondência for entregue em
um local onde outras pessoas tenham acesso imediato a ela, os
criminosos podem simplesmente interceptar e redirecionar a
correspondência para outro local.
• Muitas pessoas respondem ao spam (ataque de engenharia social) que

lhes promete algum benefício, mas solicita dados de identificação, sem
perceber que, em muitos casos, o solicitante não tem intenção de cumprir
essa promessa. Em alguns casos, os criminosos supostamente usaram
tecnologia de computador para roubar grandes quantidades de dados
pessoais.
O Departamento de Justiça (DOJ) processa casos de roubo de identidade e fraude

sob uma variedade de estatutos federais. No outono de 1998, por exemplo, o
Congresso aprovou a Lei de Dissuasão contra Roubo de Identidade e Suposição.
Essa legislação criou um novo crime de roubo de identidade, que proíbe a
transferência intencional ou o uso, sem autoridade legal, de um meio de
identificação de outra pessoa com a intenção de cometer, ajudar ou incitar qualquer
atividade ilegal que constitui uma violação da lei federal, ou que constitui um crime
sob qualquer estado ou lei local aplicável. Este crime, na maioria das circunstâncias,
acarreta uma pena máxima de 15 anos de prisão, multa e confisco criminal de
qualquer propriedade pessoal usada ou destinada a ser usada para cometer o
crime.
Esquemas para cometer roubo de identidade ou fraude também podem

envolver violações de outros estatutos, conforme mostrado no Quadro 5.3. Cada
um desses crimes federais é um crime que acarreta penalidades substanciais, em

alguns casos, até 30 anos de prisão, multas e confisco criminal.5
CAIXA 5.3 LEIS FEDERAIS VIOLAÇÃO

DE ROUBO DE IDENTIDADE
Fraude de identificação (18 USC § 1028)

Fraude de cartão de crédito (18 USC § 1029)
Fraude informática (18 USC § 1030)
Fraude postal (18 USC § 1341)
Fraude eletrônica (18 USC § 1343)
Fraude em instituições financeiras (18 USC § 1344)
Os promotores federais trabalham com agências federais de investigação, como o

Federal Bureau of Investigation (FBI), o Serviço Secreto dos EUA e o Serviço de Inspeção
Postal dos EUA para processar casos de roubo de identidade e fraude. Além disso, várias
empresas privadas estão fornecendo proteção contra roubo de identidade e serviços
de recuperação de identidade.
Em março de 2015, o Internal Revenue Service convocou uma parceria público-
privada para responder à crescente ameaça de roubo de identidade fiscal e fraude de
reembolso de identidade roubada. Esse grupo, chamado IRS Security Summit, é formado
por funcionários do IRS, CEOs das principais empresas de preparação de impostos,
desenvolvedores de software, processadores de folha de pagamento e produtos
financeiros fiscais, instituições financeiras, profissionais tributários e administradores tributários estaduais.
A cúpula melhorou as salvaguardas no pipeline de envio de declarações fiscais,
mantendo declarações falsas fora do sistema, melhorando os filtros internos de fraude e
impedindo o pagamento de restituições fraudulentas.
Entre 2015 e 2017, o número de vítimas de roubo de identidade fiscal relatadas caiu
quase 65%, e as declarações fiscais com roubo de identidade confirmado diminuíram
cerca de 30% entre 2016 e 2017.
O Identity Theft Tax Refund Fraud Information Sharing and Analysis Center (IDTTRF-
ISAC, também conhecido como ISAC), uma parceria entre o IRS, os estados e o setor
privado, foi estabelecido para formar uma nova linha de defesa para proteger o
ecossistema tributário e contribuintes por meio da fusão de ideias, abordando barreiras
legais e abrindo canais de comunicação. O IDTTRF-ISAC atua como terceiro confiável
(TTP) entre todas as entidades que cooperam para reduzir as declarações fiscais
fraudulentas.
A partir de 2018, todos os estados e praticamente todas as principais partes

interessadas no setor privado estão participando do ISAC. Os membros concordam que ver
o que os outros estão fazendo irá ajudá-los a ter uma visão mais ampla e identificar
mais casos de fraude. A capacidade de se conectar no portal ISAC é sem
precedentes porque permite que os membros construam uma rede e aprendam
novas estratégias e táticas, aproveitando o conhecimento e a experiência de
outras pessoas. Os parceiros observam a utilidade do portal ISAC, um ambiente
aberto, mas seguro (NIST 800-53 e IRS Publication 4812 compatível com
autenticação de dois fatores) que permite que os estados, o IRS e a indústria
compartilhem as melhores práticas e práticas de maneira rápida, fácil e confidencial
técnicas. Especialmente para alguns parceiros de entidades menores com
recursos limitados, o ISAC permite que eles se conectem e aprendam com
parceiros mais maduros e experientes.6
5.4 A autodivulgação de PII também é um problema
A Internet está disponível para uso público generalizado desde o início dos anos
1990. Muitas pessoas não conseguem se lembrar de como a sociedade funcionava
sem ela. Em comparação com a vida útil da Internet, a mídia social, que começou
a evoluir em 2003, permanece em seu estágio adolescente. Os usuários adicionam
seu próprio conteúdo a qualquer site de mídia social que o permita. Sites como
Facebook e Wikipedia não são estáticos; os indivíduos os modificam continuamente
adicionando comentários, fotos e vídeos. A teia não é mais um objeto fixo para
observação passiva. Tornou-se um local dinâmico para interação proativa e muitas
vezes apaixonada. O crescimento, o poder e a influência das mídias sociais têm
se mostrado fenomenais, como evidenciado pelo declínio dos jornais tradicionais
e pelo resultado das recentes eleições.
As informações obtidas de registros públicos (por exemplo, nascimento, óbito

e imóveis) estão disponíveis on-line há anos. Ao aumentar a exposição de
informações pessoais, a mídia social elevou o nível de ameaça ao roubo de
identidade e outras formas de atividade criminosa. Esta nova entidade tem uma
natureza única que a torna poderosa e imprevisível. Várias características se
combinam para torná-lo especialmente ameaçador para alguns tipos de pessoas,
incluindo militares e policiais:
• A estrutura da mídia social incentiva a autopromoção.

• Oferece fácil acesso a um grupo ilimitado de amigos em potencial. •
Indivíduos que desejam validação podem alcançar um sentimento de frustração
conexão não disponível em suas vidas offline.
• As pessoas que desejam atenção, notoriedade ou fama são atraídas

por ele. Para serem notados, eles costumam postar informações
divertidas ou provocativas.
Restrições não existem para mídias sociais. Qualquer um pode postar

qualquer coisa online com pouco medo de repercussão. O ambiente on-line
anônimo pode encorajar comportamentos inflamatórios e chocantes. Às
vezes, os indivíduos criam nomes de tela ou novas identidades que lhes permitem agir
fora de suas inibições normais e às vezes participam de atividades cáusticas
e menos éticas que de outra forma evitariam. O anonimato dificulta os
esforços para controlar essas ações. No passado, coisas simples, como
caixas postais e sigilo de placas de veículos, ofereciam alguma proteção de
identidade.7
Mídias sociais e sites de redes profissionais, bem como sites que abrigam
comunidades on-line para amadores e entusiastas, geralmente solicitam ou
oferecem aos participantes a publicação de um perfil pessoal. Esses perfis
são preenchidos com PII, incluindo nome, endereços de e-mail, locais,
histórico educacional, estado civil, status parental e uma longa lista de itens
de informação que podem ajudar o criminoso de engenharia social a roubar
identidades e cometer outros atos intrusivos contra indivíduos. As
configurações de privacidade e segurança em muitos desses sites deixaram
muito a desejar. Muitos alertas surgiram na última década sobre o que as
pessoas precisam ser cautelosas ao postar voluntariamente na Internet, mas
as pessoas continuam postando e se expondo a possíveis ações criminosas
ou assédio social por grupos que têm algum problema sobre o que uma
pessoa tem. fez ou faz em sua vida.
5.5 O assédio de Doxxing
Doxxing refere-se a coletar PII de um indivíduo e divulgá-lo ou publicá-lo

publicamente, geralmente para fins maliciosos, como humilhação pública,
perseguição, roubo de identidade ou direcionar um indivíduo para assédio.
Os Doxxers podem ter como alvo funcionários do governo para fins como
identificar agentes da lei ou pessoal de segurança, demonstrar suas
capacidades de hacking ou tentar embaraçar o governo.
Doxxers podem usar hacking, engenharia social ou outras atividades
cibernéticas maliciosas para acessar informações pessoais. Uma prática comum
está obtendo acesso à conta de e-mail da vítima. Um doxxer pode usar a

engenharia social para obter uma senha, fazendo-se passar por um representante
do help desk de TI ou de um provedor de serviços de Internet. Uma vez que um
doxxer tenha acesso a uma conta de e-mail, ele ou ela tentará obter mais
informações pessoais da conta ou invadir outras contas baseadas na web (por
exemplo, mídia social, armazenamento online e registros financeiros) usando
senha baseada em e-mail redefine ou coleta informações para responder a
perguntas de segurança do site. O doxxer também pode tentar usar o mesmo
endereço de e-mail e combinação de senha em outros sites para obter acesso a
contas adicionais.
Os Doxxers podem coletar informações sobre indivíduos de fontes da Internet,
como registros de propriedades, postagens em mídias sociais, obituários, anúncios
de casamento, boletins informativos, conferências públicas e fóruns da web. A
maioria, se não todas, essas informações estão disponíveis publicamente. O
doxxer compila informações de várias fontes voltadas para o público para revelar
informações confidenciais sobre a vítima, como endereço residencial da vítima,
membros da família, fotos, local de trabalho e informações sobre hábitos, hobbies
ou interesses do indivíduo. Nesse efeito de mosaico, as informações aparentemente
inócuas postadas ou compartilhadas online podem ser reunidas para desenvolver
um dossiê detalhado.
Os Doxxers também podem usar corretores de dados ou sites de busca de
pessoas que compilam informações de fontes públicas e comerciais e depois
vendem essas informações para empresas ou para o público. Esses corretores
podem obter dados comerciais de varejistas, empresas de catálogos, revistas e
sites (por exemplo, notícias, viagens).
Em alguns casos, o Doxxer pode ser uma pessoa que um indivíduo conhece
de alguma forma ou que trabalha na mesma organização. Quando colegas de
trabalho ou funcionários cometem roubo de identidade ou apropriação indevida
de informações proprietárias, isso é considerado má conduta interna e geralmente
é tratado pelo empregador.
Para mitigar a ameaça de doxxing, o Departamento de Segurança Interna
recomenda que as pessoas limitem o que compartilham online. Algumas das
informações publicamente disponíveis (por exemplo, registros públicos) podem
estar fora do controle de um indivíduo, mas as pessoas devem se lembrar de que
qualquer coisa que postarem na Internet pode ser mal utilizada, incluindo fotos.
Assim que estiver online, eles provavelmente não poderão retirá-lo.
Também é recomendado evitar postar informações que possam aumentar as
chances de ser alvo de doxxing. Nem todas as informações
tem o mesmo nível de sensibilidade. Por exemplo, não publique informações sobre
emprego nas redes sociais, especialmente detalhes confidenciais sobre funções de
trabalho ou localização física. Além disso, evite postar informações que possam ser
usadas para responder a perguntas de segurança do site, como o nome de um animal
de estimação ou local de nascimento. As pessoas também devem:
• Ative as configurações de privacidade em mídias sociais, aplicativos

móveis e outros sites e tenha cuidado com as conexões ou
amigos que possam ter nesses sites.
• Limitar o uso de aplicativos de terceiros em mídias sociais e o uso de
contas de mídias sociais para fazer login em outros sites. Esses
aplicativos de terceiros recebem PII de perfis de usuário quando eles
usam o aplicativo.
• Considere remover-se dos corretores de dados.
Infelizmente, esse pode ser um processo demorado e suas
informações podem reaparecer quando os corretores de dados
recebem fontes de dados novas ou atualizadas, portanto, todos
devem pesar o benefício potencial em relação ao esforço necessário.
• Pratique uma boa higiene cibernética. Configure a verificação em duas
etapas, use senhas complexas e evite usar a mesma senha para
várias contas para ajudar a evitar hacking ou sequestro de
contas.
• Se doxxers publicarem PII nas mídias sociais, denuncie imediatamente
e peça que seja removido.
• Documente todas as ameaças recebidas e, se acharem que estão em
perigo, devem chamar a polícia. Se eles acreditarem que foram
vítimas de roubo de identidade, devem registrar um boletim de
ocorrência na delegacia de polícia local. Mesmo que a polícia não
faça nada, é melhor fazer um boletim de ocorrência. Peça para falar
com um oficial especializado em crimes online.8
Agentes da lei, membros das forças armadas e funcionários públicos podem

estar sob maior risco de ataque cibernético. Esses ataques podem ser
precipitados por alguém que escaneia redes ou abre e-mails infectados
contendo anexos ou links maliciosos. Os coletivos de hackers são eficazes em
alavancar informações de código aberto e publicamente disponíveis que
identificam oficiais, seus empregadores e suas famílias. Com isso em mente,
oficiais e funcionários públicos devem estar cientes de sua presença e
exposição online. Por exemplo, postar imagens vestindo
uniformes exibindo crachás ou listando seu departamento de polícia ou unidade

militar em sites de mídia social podem aumentar o risco de serem alvejados ou
atacados.
Muitas postagens on-line legítimas estão vinculadas diretamente a contas
pessoais de mídia social. O pessoal da aplicação da lei e os funcionários públicos
precisam manter uma consciência aprimorada do conteúdo que publicam e como
isso pode afetar a si mesmos, suas famílias e seus empregadores, ou como pode
ser usado contra eles no tribunal ou durante ataques online.
Atividade recente sugere que familiares de policiais e militares e funcionários
públicos também correm o risco de ataques cibernéticos e atividades de doxxing.
As informações direcionadas podem incluir PII, informações públicas e fotos de
sites de mídia social.
Outro ataque perigoso frequentemente usado por criminosos é conhecido como
swatting. Isso envolve chamar as autoridades policiais para relatar uma situação
de refém ou outro incidente crítico na residência da vítima quando não houver
situação de emergência. Embora eliminar a exposição na atual era digital seja
quase impossível, as autoridades policiais e os funcionários públicos podem tomar
medidas para minimizar o risco caso sejam alvos. O FBI recomenda que os
usuários de mídia social:
• Ative todas as configurações de privacidade em sites de mídia social e

evite postar fotos que mostrem qualquer afiliação à aplicação da lei.
• Esteja ciente das configurações de segurança em computadores domésticos e sem fio

redes.
• Limite postagens pessoais em sites de mídia e considere cuidadosamente

comentários.
• Restrinja as informações da carteira de motorista e do registro do veículo

junto ao Departamento de Veículos Automotores.
• Solicitar que registros imobiliários e de propriedade pessoal sejam
impedidos de pesquisas on-line com o condado de residência da pessoa.
• Atualize rotineiramente os aplicativos de hardware e software, incluindo
antivírus.
• Preste muita atenção a todos os e-mails profissionais e pessoais,
especialmente aqueles que contêm anexos ou links para outros sites.
Esses e-mails suspeitos ou de phishing podem conter anexos ou links
infectados.
• Conduza rotineiramente pesquisas on-line de seu próprio nome para

identificar quais informações públicas já estão disponíveis.
• Habilite medidas adicionais de segurança de e-mail para incluir autenticação de

dois fatores em contas de e-mail pessoais. Este é um recurso de segurança
oferecido por muitos provedores de e-mail. O recurso fará com que uma
mensagem de texto seja enviada ao seu dispositivo móvel antes de acessar sua
conta de e-mail.
• Monitore de perto as atividades bancárias e de crédito em busca de atividades fraudulentas.
• As senhas devem ser alteradas regularmente. Recomenda-se usar uma frase de

senha de 15 caracteres ou mais. Exemplo de frase de senha: Thi$
$isthirdmonthof7eptem$er,2014.
• Fique atento a telefonemas ou e-mails suspeitos de pessoas que tentam obter
informações ou fingem conhecê-las. A engenharia social é uma habilidade
frequentemente usada para induzir as pessoas a divulgar informações
confidenciais e continua a ser um método extremamente eficaz para os criminosos.
• Aconselhe os membros da família a ativar as configurações de segurança em todos

contas de mídia social. As associações de membros da família são informações
públicas e os membros da família podem se tornar alvos de oportunidades on-
line.9
5.6 Legislação do Congresso pendente abordando Doxxing
Projeto de Lei 3.067 da Câmara dos Deputados do 115º Congresso, 1ª Sessão para alterar
o título 18, Código dos EUA, para estabelecer certas violações criminais para vários
aspectos do assédio usando o sistema de telecomunicações interestadual e para outros

fins, 27 de junho de 2017, apresentado pela Sra. Clark de Massachusetts (para ela mesma,
a Sra. Brooks de Indiana e o Sr. Meehan) foi encaminhado ao Comitê do Judiciário. Título
III - A prevenção interestadual de doxxing abordou a doxxing ao alterar a Seção 301:

Divulgação de informações pessoais com a intenção de causar danos, pretende alterar o
Capítulo 41 do título 18, Código dos EUA, adicionando no final o seguinte:
§ 881. Publicação de informações de identificação pessoal com

a intenção de causar dano
(a) Violação criminal.-
Quem usa o correio ou qualquer instalação ou meio de comércio

interestadual ou estrangeiro, para publicar intencionalmente informações de
identificação pessoal de uma pessoa—
(1) com a intenção de ameaçar, intimidar ou assediar qualquer pessoa, incitar
ou facilitar a prática de um crime
de violência contra qualquer pessoa, ou colocar qualquer pessoa

em medo razoável de morte ou lesão corporal grave; ou
(2) com a intenção de que as informações sejam usadas para
ameaçar, intimidar ou assediar qualquer pessoa, incitar ou
facilitar a prática de um crime de violência contra qualquer
pessoa ou colocar qualquer pessoa em medo razoável de morte
ou lesão corporal grave, será multado sob este título ou preso
por não mais de 5 anos, ou ambos.
(b) Ação civil.—
(1) EM GERAL.—Um indivíduo que seja vítima de um delito sob esta
seção pode intentar uma ação civil contra o perpetrador em um
tribunal distrital apropriado dos Estados Unidos e pode recuperar
danos e qualquer outro remédio apropriado, incluindo advogado
razoável tarifas.
(2) RESPONSABILIDADE CONJUNTA E SOLIDÁRIA.—Um

indivíduo considerado responsável nos termos desta subseção
será solidariamente responsável com cada outra pessoa, se

houver, que for considerada responsável nos termos desta
subseção por danos decorrentes da mesma violação deste seção.
(3) Suspensão da Ação Penal—(A) Qualquer ação civil ajuizada nos
termos desta subseção será suspensa durante a pendência de
qualquer ação criminal decorrente da mesma ocorrência em que
o reclamante seja a vítima.
(c) Definições.—Nesta seção:
(1) PUBLICAR.—O termo publicar significa circular, entregar,

distribuir, disseminar, transmitir ou de outra forma disponibilizar
para outra pessoa.
(2) CRIME DE VIOLÊNCIA.—O termo crime de violência tem o
significado atribuído ao termo na seção 16.
(3) INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL.—O termo
“informações de identificação pessoal”
significa-
(A) qualquer informação que possa ser usada para distinguir ou

rastrear a identidade de um indivíduo, como nome, nome
legal anterior, pseudônimo, nome de solteira da mãe,
número do seguro social, data ou local de nascimento,
endereço, número de telefone ou dados biométricos;
(B) qualquer informação vinculada ou vinculável a um indivíduo,

como informações, dados ou registros médicos, financeiros,
educacionais, de consumo ou de emprego; ou
(C) qualquer outra informação privada sensível que esteja

vinculada ou possa ser vinculada a um indivíduo identificável
específico, como identidade de gênero, orientação sexual
ou qualquer representação visual sexualmente íntima.10
5.7 Exemplos Reais de Doxxing e Cyberbullying
O doxxing, que resultou em assédio online e na vida real, prejudicou muitas

pessoas nos últimos anos. Sem identificar os indivíduos pelo nome ou outra PII,
existem vários exemplos importantes quando doxxing resultou em assédio:
• O assédio das pessoas que defenderam publicamente um controle de

armas mais rígido.
• O assédio de indivíduos que se opuseram a indicados indicados para
cargos políticos ou judiciais, como aconteceu com os acusadores de
Brett Kavanaugh e Donald Trump.
• O assédio de pessoas de origem cristã não-branca que buscaram cargos
políticos.
• O assédio de indivíduos que trabalhavam em clínicas de aborto
ics, realizaram abortos ou apoiaram a liberdade de escolha reprodutiva.
Os defensores do controle de armas geralmente se tornam mais ativos após a

ocorrência de um tiroteio em massa, participando de protestos e postando e
comentando nas redes sociais. As facções pró-armas também se tornaram mais
ativas e a trollagem na Internet das facções anti-armas tornou-se comum por parte
das facções pró-armas. Em muitos casos, isso resultou em ameaças de violência
online, mas também resultou em assédio físico, intimidação e agressão física.
No caso dos acusadores serem assediados, tem havido ataques muito

organizados e constantes nas redes sociais, bem como intimidação física e
ameaças de violência física mais intensa. Em alguns casos, os acusadores e suas
famílias tiveram que sair de suas casas e literalmente se esconder para sua
própria segurança pessoal. Muito desse assédio

é o resultado de uma resposta tribal a ameaças percebidas, mas também há

indícios de que parte do assédio foi de trolls bem organizados visando e
atacando indivíduos.
Com o ressurgimento do racismo e da xenofobia nos Estados Unidos,
muitas pessoas não brancas e não cristãs que se envolveram na política local
ou nacional enfrentaram ameaças de violência e cyberbullying com frequência
cada vez maior. Também houve aumento da violência física e tentativa de
violência física contra minorias étnicas, raciais e religiosas.
As pessoas que trabalham em clínicas de aborto há muito são alvo de

violência física e intimidação, bem como de assédio online.
Alguns até foram mortos. Houve inúmeros casos de doxx
ção desses indivíduos e que continua a ocorrer e não é controlada pela
aplicação da lei.
O doxxing muitas vezes resultou em cyberbullying, que é o bullying que
ocorre em dispositivos digitais como telefones celulares, computadores e
tablets. O cyberbullying pode ocorrer por meio de SMS, texto e aplicativos,
ou online em mídias sociais, fóruns ou jogos, onde as pessoas podem
visualizar, participar ou compartilhar conteúdo. O cyberbullying inclui enviar,
postar ou compartilhar conteúdo negativo, prejudicial, falso ou maldoso sobre outra pessoa.
Pode incluir o compartilhamento de informações pessoais ou privadas sobre
outra pessoa, causando constrangimento ou humilhação. Alguns cyberbullying
cruzam a linha do comportamento ilegal ou criminoso. Os locais mais comuns
onde ocorre o cyberbullying são:
• Mídias sociais, como FacebookTM, InstagramTM, SnapchatTM e

TwitterTM.
• SMS, também conhecido como mensagem de texto, enviado por meio de dispositivos.
• Mensagens instantâneas (através de dispositivos, serviços de provedor de e-mail,

aplicativos e recursos de mensagens de mídia social).
• E-mail.
Com a prevalência de mídias sociais e fóruns digitais, comentários, fotos,

postagens e conteúdo compartilhado por indivíduos podem ser vistos por
estranhos e também por conhecidos. O conteúdo que um indivíduo compartilha
on-line, tanto seu conteúdo pessoal quanto qualquer conteúdo negativo,
maldoso ou prejudicial, cria uma espécie de registro público permanente de
suas opiniões, atividades e comportamento. Este registro público pode ser
pensado como uma reputação online, que pode ser acessível a escolas, empregadores,
faculdades, clubes e outros que possam estar pesquisando um indivíduo agora

ou no futuro. O cyberbullying pode prejudicar a reputação online de todos os
envolvidos, não apenas da pessoa que está sendo intimidada, mas também
daqueles que praticam o bullying ou participam das atividades.11 O cyberbullying
levanta muitas preocupações únicas, que são mostradas no Quadro 5.4.
Em 2014, os Centros de Controle de Doenças dos EUA e o Departamento
de Educação dos EUA divulgaram a primeira definição federal uniforme de
bullying para pesquisa e vigilância. Os elementos centrais da definição incluem
comportamento agressivo indesejado, desequilíbrio de poder observado ou
percebido e repetição de comportamentos ou alta probabilidade de repetição.
No entanto, existem muitos modos e tipos diferentes de bullying.
A maioria das pesquisas sobre bullying se concentra em menores e não
aborda o impacto em adultos. A definição atual reconhece dois modos e quatro
tipos pelos quais os jovens podem ser intimidados ou podem intimidar outros.
Os dois modos de bullying incluem direto (por exemplo, bullying que ocorre na
presença de um jovem alvo) e indireto (por exemplo, bullying não comunicado
diretamente a um jovem alvo, como espalhar boatos). Além desses dois modos,
os quatro tipos de bullying incluem amplas categorias de físico, verbal, relacional
(por exemplo, esforços para prejudicar a reputação ou os relacionamentos do
jovem alvo) e danos à propriedade.
Bullying eletrônico ou cyberbullying envolve principalmente agressão verbal
(por exemplo, ameaça ou assédio em comunicações eletrônicas)
CAIXA 5.4 PREOCUPAÇÕES ÚNICAS

RELATIVAS AO CYBERBULLYING
Persistência: os dispositivos digitais oferecem a capacidade de

comunicação imediata e contínua 24 horas por dia, por isso pode
ser difícil para as crianças que sofrem cyberbullying encontrar alívio.
Permanência: A maioria das informações comunicadas eletronicamente

é permanente e pública, se não for relatada e removida. Uma
reputação online negativa, inclusive para aqueles que praticam o
bullying, pode afetar as admissões na faculdade, o emprego e
outras áreas da vida.
Difícil de notar: é mais difícil de reconhecer porque professores e pais
podem não ouvir ou ver o cyberbullying acontecendo.
e agressão relacional (por exemplo, espalhar boatos eletronicamente).

O bullying eletrônico ou cyberbullying também pode envolver danos à propriedade
resultantes de ataques eletrônicos que levam à modificação, disseminação, dano
ou destruição de informações eletrônicas armazenadas em particular por um
jovem. No entanto, algumas ações de bullying podem se enquadrar em categorias
criminais, como assédio, trote ou agressão.
Jornalistas e outros criadores de conteúdo podem usar essa definição para
determinar se um incidente que estão cobrindo é realmente bullying. Os artigos da
mídia muitas vezes usam erroneamente a palavra bullying para descrever eventos
como brigas físicas ocasionais, discussões online ou incidentes entre adultos.
A prevenção do bullying é um campo de pesquisa crescente que tem dado

grandes passos para responder a questões importantes. Agora sabemos muito
mais sobre o quão complexo é o bullying e como ele afeta os jovens não apenas
no momento em que o vivenciam, mas também quando adultos. No entanto,
muitas perguntas permanecem. Jornalistas e outros criadores de conteúdo podem
servir ao público representando o estado da ciência da forma mais transparente possível.12
5.8 Conclusão
A engenharia social é mais eficaz quando a mensagem corresponde ao que levará

o destinatário a morder a isca e executar a ação que o perpetrador deseja. A
grande quantidade de PII na Internet torna mais fácil para um invasor de engenharia
social projetar um phishing para se adequar ao indivíduo que postou essas
informações nas mídias sociais ou em outros sites.
5.9 Pontos Chave
Os pontos abordados neste capítulo incluem:
• A definição de PII não está necessariamente ancorada em nenhuma

categoria única de informação ou tecnologia. Em vez disso, requer uma
avaliação caso a caso do risco específico que um indivíduo pode ser
identificado.
• O uso impróprio de PII pode contribuir para roubo de identidade,

chantagem ou constrangimento, bem como prejudicar a organização que
detém as PII, reduzindo a confiança do público na organização ou criando
responsabilidade legal.
• Muitas organizações estão sujeitas a leis, regulamentos ou outros

mandatos que regem a obrigação de proteger informações pessoais.
• Doxxing refere-se a coletar PII de um indivíduo e divulgá-lo ou publicá-

lo publicamente, geralmente para fins maliciosos, como humilhação
pública, perseguição, roubo de identidade ou direcionar um indivíduo
para assédio.
• As pessoas devem evitar postar informações que possam aumentar
as chances de ser alvo de doxxing.
• O doxxing muitas vezes resultou em cyberbullying, que é o bullying
que ocorre em dispositivos digitais como telefones celulares,
computadores e tablets.
• Que experiência os participantes do seminário ou pessoas que eles

conhecem tiveram com a obtenção indevida de suas PII? • Como os
participantes lidam com a postagem ou não de PII em mídias sociais
ou sites de rede?
• Como os participantes tentam proteger suas PII que eles
encontrar na Internet?
Os participantes devem entrevistar cinco pessoas sobre sua perspectiva e

experiência com PII, depois escrever breves resumos dos resultados da
entrevista e compartilhá-los em uma discussão em grupo.
Termos chave
Perseguição cibernética: é o uso da Internet, e-mail, mídia social ou outros

dispositivos de comunicação eletrônica para perseguir outra pessoa
pessoa.
Doxxing: é o processo de coletar PII de um indivíduo e divulgá-lo ou publicá-
lo publicamente, geralmente para fins maliciosos, como humilhação
pública, perseguição, roubo de identidade ou direcionar um indivíduo
para assédio.
Monitoramento de identidade: fornece alertas quando informações pessoais, como

informações de conta bancária ou número do seguro social, carteira de
motorista, passaporte ou número de identificação médica, estão sendo
usadas de maneiras que geralmente não aparecem em um relatório de crédito.
Serviços de recuperação de identidade: são projetados para ajudar a recuperar o
controle de um nome e finanças após o roubo de identidade.
Seguro contra roubo de identidade: é oferecido pela maioria dos principais serviços
de proteção contra roubo de identidade e geralmente cobre despesas diretas
diretamente associadas à recuperação de uma identidade.
Proteção contra roubo de identidade: oferece serviços de monitoramento e
recuperação que observam sinais de que um ladrão de identidade pode
estar usando informações pessoais e ajuda a lidar com os efeitos do roubo
de identidade depois que ele acontece.
Má conduta interna: conduta de um funcionário que vai contra as políticas ou
procedimentos da organização ou que pode prejudicar a organização
empregadora.
Autopromoção: no caso das mídias sociais, isso significa fornecer informações ou
fazer reivindicações com o objetivo de resultar em ganho pessoal ou
financeiro para o indivíduo que usa contas de mídia social.
Swatting: é quando as pessoas ligam para as autoridades policiais para relatar uma
situação de refém ou outro incidente crítico na residência da vítima, quando
não há situação de emergência. Quando a polícia chega, pode resultar em
uma situação potencialmente perigosa.
Referências
1. Regras e políticas—Proteção de PII—Privacy Act. Administração de Serviços Gerais.
Acessado em 12 de fevereiro de 2019. https://www.gsa.gov/
referência/gsa-privacy-program/regras-e-políticas-protegendo pii-privacy-act
2. Orientação sobre a proteção de informações pessoais identificáveis.

Departamento de Trabalho. Acessado em 12 de fevereiro de 2019. https://www.dol.gov/
geral/ppii
3. Guia para proteger a confidencialidade de informações pessoalmente identificáveis
(PII). Publicação Especial 800-122.NIST. Acessado em 12 de fevereiro de 2019.
https://csrc.nist.gov/publications/detail/sp/800-122/
final
4. Roubo de identidade. Acessado em 12 de fevereiro de 2019. https://www.usa.gov/
identity theft#item-206115
5. O que são roubo de identidade e fraude de identidade? Departamento de Justiça dos Estados Unidos.
Fevereiro de 2017. Acessado em 12 de fevereiro de 2019. https://www.justice.gov/
fraude criminal/roubo de identidade/roubo de identidade e fraude de identidade
6. Fraude de reembolso de imposto de roubo de identidade. Relatório Anual do Centro de
Compartilhamento e Análise de Informações (ISAC). Abril de 2018. Acessado em 12 de
fevereiro de 2019. https://www.irs.gov/pub/newsroom/IDTTRF%20ISAC%20April%
202018%20Anual%20Relatório.pdf
7. Riscos potenciais de mídia social e aplicação da lei. FBI. Novembro de 2012. Acessado
em 12 de fevereiro de 2019. https://leb.fbi.gov/articles/featuredarticles/social-media-and-
law-enforcement
8. Como prevenir o assédio online de Doxxing. Escritório de Privacidade do Departamento
de Segurança Interna. Acessado em 13 de fevereiro de 2019. https://www.dhs.gov/sites/
default/files/publications/How%20to%20
Prevenção%20Online%20Assédio%20De%20Doxxing.pdf
9. Os hacktivistas ameaçam atingir o pessoal da aplicação da lei e funcionários públicos. IC3.
21 de abril de 2015. Acessado em 13 de fevereiro de 2019. https://
10. Texto: HR3067—115º Congresso (2017–2018). Acessado em 13 de fevereiro de 2019.
https://www.congress.gov/bill/115th-congress/house-bill/3067/
text?r=1#toc-H0D33F5FDEA39493AACF3128A8222CD38
11. O que é cyberbullying. stopbullying.gov. Acessado em 13 de fevereiro de 2019. https://
www.stopbullying.gov/cyberbullying/what-is-it/index.html
12. Outros tipos de comportamento agressivo. stopbullying.gov. Acessado em 13 de fevereiro
de 2019. https://www.stopbullying.gov/what-is-bullying/other-types of-aggressive-behavior/
index.html
6
Hackeando o Democrata
Processo Eleitoral
Tem havido considerável debate e especulação sobre a exploração da mídia

social para organizações estrangeiras para influenciar o resultado das eleições
de 2016 e 2018 nos EUA e 2019 em
Europa. Há poucas dúvidas de que organizações russas e talvez de outras
nações tenham de fato usado a mídia social para tentar influenciar as eleições.
O Capítulo 1 fornece uma breve visão geral do testemunho de executivos de
mídia social perante o Congresso dos Estados Unidos. Este capítulo examina
as atividades de jogadores estrangeiros, bem como organizações domésticas
e indivíduos que usam a engenharia social para influenciar eleições.
resultados.
6.1 Como as medidas ativas progrediram ao longo do tempo
Uma parte considerável da discussão sobre a interferência externa nas eleições

se concentrou nas atividades da Rússia. Na verdade, os russos
tiveram um histórico de uso de medidas ativas para influenciar eventos em
todo o mundo, de acordo com Roy Godson, Ph.D., professor emérito de governo
na Universidade de Georgetown, em seu depoimento de março de 2017 em
uma audiência no Senado dos EUA intitulada Desinformação: uma cartilha em
russo Medidas Ativas e Campanhas de Influência.
O professor Godson revisou as operações de medidas ativas russas desde
as décadas de 1920 e 1930, quando a Rússia criou um enorme aparato de
organizações inteiras, abertas e encobertas, em todo o mundo; organizações
que foram capazes de desafiar todas as grandes potências da Europa e dos
Estados Unidos. Após a Segunda Guerra Mundial, a Rússia usou esse aparato
para poder influenciar a política da Europa.
Eles também o usaram durante a guerra para ajudá-los, e às vezes os Estados
Unidos, na luta contra os nazistas e os fascistas italianos. Mas de uma forma
importante, eles também estavam se preparando para poder influenciar o
127
resultado da luta pelo equilíbrio de poder na Europa após a Segunda Guerra

Mundial.
Portanto, embora fossem aliados dos EUA na época, eles também
planejavam minar os partidos democráticos e liberais na Europa e nos
Estados Unidos. Na verdade, eles conseguiram tirar vantagem do fato de
que os Estados Unidos eram amigos e que eles e a Rússia estavam
trabalhando juntos. Os russos usaram seu aparato, que existe desde a
década de 1920, para atingir objetivos políticos no final dos anos 1970 e
1980. Desde então, eles modernizaram esse aparato e estão gastando
bilhões de dólares por ano ampliando-o, com possíveis 10.000 a 15.000
pessoas envolvidas em todo o mundo, além dos trolls e outros tipos de
recursos cibernéticos que eles possuem.
O professor Godson apontou que havia algumas pessoas dentro e fora
do governo dos EUA que alertaram o governo sobre o uso soviético de
medidas ativas, a partir de 2016, e pediram que fossem mais conscientes
das medidas ativas soviéticas.
Infelizmente, muitos sentiram que o governo não levou os avisos a sério.1
Eugene B. Rumer, Ph.D., membro sênior e diretor do Programa Rússia e

Eurásia, com o Carnegie Endowment for International Peace, seguiu a
apresentação do professor Godson com uma análise semelhante, afirmando
que o uso russo de medidas ativas e sua interferência na campanha
presidencial dos EUA foram as questões mais controversas em nossa
conversa nacional. Ele acreditava que a inteligência russa
operações de polícia e seus representantes intervieram nas eleições de
2016, e foi a totalidade dos esforços russos à vista de todos para enganar,
informar mal e exagerar que foi mais convincente do que qualquer evidência
cibernética. As transmissões do Russia Today (RT), os trolls da Internet e
as notícias falsas são parte integrante da política externa russa moderna.
Seu conteúdo é projetado para atrair grupos anti-sociais domésticos e
fanáticos domésticos.
Ele apontou ainda que a década de 1990 foi uma década terrível para a
Rússia, mas uma grande década para o Ocidente. Para os líderes russos e
muitos russos comuns, o domínio do Ocidente ocorreu às custas da perda
da Rússia na Guerra Fria. Mas a Rússia não ficaria fraca e sua recuperação
econômica levou a um retorno a uma postura muito mais assertiva e
agressiva no cenário mundial, como se viu no esmagador
Hackeando o Processo Eleitoral Democrático 129
da Geórgia em 2008, na anexação da Crimeia em 2014 e atualmente na

guerra em curso no leste da Ucrânia. Para o Ocidente, o retorno da Rússia
ao cenário mundial não passou de puro revanquismo. Para a Rússia, está
restaurando algum equilíbrio em seu relacionamento com o Ocidente. A
narrativa de restabelecer o equilíbrio, corrigindo a injustiça e as distorções
dos anos 1990, tem sido absolutamente essencial para a propaganda russa
desde o início da era Putin.
O Dr. Rumer sustentou que a intromissão russa nas eleições
presidenciais dos Estados Unidos provavelmente foi vista pelo Kremlin
como um sucesso absoluto. As recompensas incluíram, mas não se
limitaram a: (1) uma grande distração para os EUA ao espalhar mensagens
de ódio entre outros conteúdos; (2) danos à liderança dos EUA no mundo;
e, talvez o mais importante, (3) o efeito de demonstração – o Kremlin
poderia fazer isso com a única superpotência global remanescente no mundo sem consequ
Mais tarde, durante a audiência, o Sr. Clint Watts do Instituto de
Pesquisa de Política Externa discutiu uma petição que apareceu no site
WhiteHouse.gov em abril de 2014 intitulada Alaska Back to Russia.
Apareceu como uma campanha pública para devolver o maior estado da
América à nação da qual foi comprado. Embora as petições satíricas ou
absurdas que aparecem no site da Casa Branca não estejam fora da
norma, esta petição foi diferente, tendo conquistado mais de 39.000
assinaturas online em um curto período. Um exame daqueles que
assinaram e postaram nesta petição mostrou que parecia ser obra de bots.
Um olhar mais atento sobre esses bots ligados de perto a outras campanhas
de mídia social que promoviam a propaganda russa meses antes. Os
hackers proliferaram nas redes e puderam ser vistos entre as recentes
violações de dados e desfigurações de sites. Ao redor desses hackers
estavam as contas honeypot, mulheres atraentes e partidários políticos
que tentavam manipular outros usuários com engenharia social.
Durante o mesmo período de tempo, contas de trolling sincronizadas
usar um pseudônimo on -line e táticas de falsificação atacaria alvos
políticos usando padrões e pontos de fala semelhantes. Essas contas,
algumas das quais apoiam abertamente o Kremlin, promoveram posições
de política externa russa visando o público-chave de língua inglesa em
toda a Europa e América do Norte. Assim, a conclusão foi que a estratégia
e as táticas de medidas ativas soviéticas renasceram e foram atualizadas
para o regime russo moderno e a era digital. Sr. Watts
afirmou que a Rússia esperava vencer a segunda Guerra Fria pela força da
política, em oposição à política da força. Embora a Rússia certamente tenha
procurado promover candidatos ocidentais simpáticos à sua visão de mundo
e objetivos de política externa, vencer uma única eleição não é seu objetivo
final. As medidas ativas russas esperam derrubar as democracias por meio
da busca de cinco objetivos complementares, mostrados no Quadro 6.1.
A partir desses objetivos, o Kremlin pode desmoronar as democracias de

dentro para fora, alcançando dois marcos fundamentais: (1) A dissolução da
União Europeia; e (2) a dissolução da Organização do Tratado do Atlântico
Norte (NATO). Alcançar essas duas vitórias contra o Ocidente permitirá à
Rússia reafirmar seu poder globalmente e perseguir seus objetivos de política
externa bilateralmente por meio de agressão militar, diplomática e econômica.
No final de 2014 e ao longo de 2015, os observadores do Instituto de

Pesquisa de Política Externa observaram medidas ativas sendo usadas em
quase todas as audiências americanas insatisfeitas. Sejam alegações sobre
os militares dos EUA declarando lei marcial durante o exercício Jade Helm,
caos durante os protestos do Black Lives Matter ou um impasse no Bundy
Ranch, o RT e o Sputnik News patrocinados pelo estado da Rússia,
caracterizados como veículos brancos, produziram verdades manipuladas ,
notícias falsas e conspirações. As atividades geralmente se alinham em
quatro temas, que são apresentados no Quadro 6.2.
CAIXA 6.1 OBJETIVOS DA

ENGENHARIA SOCIAL RUSSA
1. Minar a confiança do cidadão na governança democrática

2. Fomentar e exacerbar fissuras políticas divisoras
3. Corroer a confiança entre cidadãos e funcionários eleitos e seus
instituições
4. Popularizar as agendas políticas russas entre as populações

estrangeiras
5. Criar desconfiança geral ou confusão sobre as fontes de
informação, confundindo as linhas entre fato e ficção, uma
questão muito pertinente hoje nos Estados Unidos
QUADRO 6.2 PRINCIPAIS TEMAS NA ENGENHARIA

SOCIAL RUSSA
Mensagens políticas—destinadas a manchar líderes e instituições

democráticas
Propaganda financeira — criada para enfraquecer a confiança nos

mercados financeiros e nas economias capitalistas
Agitação social - criada para ampliar as divisões entre as populações
democráticas
Calamidade global – forçada a incitar o medo de um fim global, como
uma guerra nuclear ou mudanças climáticas catastróficas
A partir desses meios de propaganda russos , uma ampla gama de sites

conspiratórios de língua inglesa, aos quais nos referimos como meios de
comunicação cinza, alguns dos quais operam misteriosamente na Europa Oriental
e são curiosamente liderados por editores pró-russos de financiamento
desconhecido, sensacionalizam essas conspirações. e notícias falsas publicadas por veículos bran
Contas de mídia social com aparência americana, intrusos, honeypots e hackers
descritos anteriormente, trabalhando ao lado de bots automatizados, amplificam
ainda mais essa propaganda russa entre ocidentais inconscientes.
No final de 2015 e no início de 2016, o sistema de influência russo começou a
promover temas e mensagens com o objetivo de influenciar o resultado da eleição
presidencial dos Estados Unidos. Os meios de comunicação explícitos da Rússia
e os trolls disfarçados tentaram colocar de lado os oponentes de ambos os lados
do espectro político com visões adversas em relação ao Kremlin. Eles estavam em
pleno andamento durante as primárias republicanas e democratas e podem ter
ajudado a afundar as esperanças de candidatos mais hostis aos interesses russos
muito antes de o campo se estreitar.
A peça final das medidas ativas modernas da Rússia surgiu no verão de 2016,
quando materiais hackeados vazaram estrategicamente. As revelações do
WikiLeaks, Guccifer 2.0 e DCLeaks demonstraram como os hackers fortaleceriam
o sistema de influência que a Rússia havia construído com tanto sucesso nos dois
anos anteriores. Por exemplo, na noite de 30 de julho de 2016, o Sr. Watts e seus
colegas assistiram enquanto a RT e o Sputnik News lançaram simultaneamente
histórias falsas sobre a base aérea dos EUA em Incirlik, na Turquia, sendo invadida
por terroristas. Em minutos, agregadores de mídia social pró-Rússia e bots
automatizados amplificaram
essa notícia falsa. Mais de 4.000 tweets nos primeiros 78 minutos após o lançamento
desta história falsa foram rastreados até as contas de medidas ativas que os
observadores do Instituto de Pesquisa de Política Externa rastrearam nos dois anos
anteriores. Essas contas previamente identificadas, aparecendo quase simultaneamente
em locais e comunidades geográficas difíceis, amplificaram a notícia falsa em
uníssono. As hashtags enviadas por essas contas foram nuclear, mídia, Trump e
Benghazi.
As palavras mais comuns encontradas nos perfis do Twitter em inglês foram Deus,
militar, Trump, família, país, conservador, cristão, América e Constituição.1
6.2 Padrões de Engenharia Social na Política
Os russos, os republicanos e Donald Trump têm seguido padrões semelhantes em

seus esforços de engenharia social e começaram a fazê-lo descaradamente durante
a eleição de 2016 nos Estados Unidos. Todos eles trabalham para perpetuar não-
verdades, variando de desinformação a mentiras flagrantes, e usam essas declarações
como isca de clique em esforços de engenharia social online e offline. Todos eles
também trabalham para desacreditar as fontes de informação que apontam suas
mentiras e distorções sobre a realidade.
Eles fazem essas coisas para ajudar a perpetuar suas próprias agendas.
As perguntas sobre o conluio entre a campanha de Trump e os russos
provavelmente permanecerão sem resposta para sempre. Mas o conluio não é
necessário em esquemas de engenharia social. Todos os engenheiros sociais tiram
proveito de um contexto social composto pelas crenças, atitudes, condições de vida,
expectativas e desejos das pessoas, entre outros inúmeros fatores. O engenheiro
social habilidoso é capaz de elaborar uma mensagem que atraia grandes populações,
subpopulações específicas ou mesmo grupos menores. Esse é um processo contínuo
na engenharia social.
Então, os engenheiros sociais podem aproveitar prontamente os esforços de outros
engenheiros sociais, copiando as manobras já bem-sucedidas de outros que
compartilham uma agenda semelhante.
O tribalismo também desempenha um papel nas respostas individuais ou grupais
aos estratagemas da engenharia social. No caso da política dos EUA e da constante
reutilização ou reafirmação de mentiras, as pessoas podem realmente começar a
acreditar em coisas que não têm base na realidade e ajudam a perpetuar as não-
verdades. Por exemplo, em 2018 e 2019, enquanto caravanas de migrantes viajavam
da América Central através do México até a fronteira sul dos EUA,
um dos temas geradores de medo era que as caravanas estavam cheias de

terroristas que queriam entrar nos Estados Unidos para matar seus cidadãos e
prejudicar o país. Assim, essa posição socialmente projetada por parte dos
torcedores do muro desempenhada no contexto social de medo e xenofobia
serviu com um acompanhamento de racismo. A retórica ajudou a criar
desconfiança geral ou confusão sobre as fontes de informação ao borrar as
linhas entre fato e ficção.
Os russos, os republicanos e Donald Trump também atacaram
consistentemente a estrutura e as operações do governo dos EUA para minar
a confiança dos cidadãos na governança democrática e fomentar e exacerbar
fissuras políticas divisivas. Eles trabalham continuamente para corroer a
confiança entre cidadãos e funcionários eleitos e seus
instituições atacando agências governamentais como o Departamento de
Justiça (DOJ). É como se todos estivessem tentando justificar a derrubada do
governo e o estabelecimento de uma ditadura criando agitação social e
ampliando as divisões entre as populações democráticas. Tudo isso soa
como uma reminiscência de outros tempos e lugares da história.
6.3 Mensagens Políticas de Engenharia Social
No campo da política, os engenheiros sociais querem influenciar o resultado

das eleições e, portanto, seu objetivo principal é convencer as pessoas a
votar de uma determinada maneira. Desde a eleição de 2016 nos Estados
Unidos, houve inúmeras audiências no Congresso abordando como a mídia
social foi usada para influenciar a eleição. (Consulte o Capítulo 1 para obter
uma visão geral do que o Facebook relatou ao Congresso.) É provável que
essas audiências e investigações continuem. As declarações ao Comitê do
Senado dos EUA sobre o Judiciário em The Matter of Cambridge Analytica,
pelo Sr. Christopher Wylie em maio de 2018, fornecem informações
consideráveis sobre os métodos de engenharia social que vieram à tona
como resultado do escândalo. O Sr. Wylie foi o Diretor de Pesquisa do SCL
Group e Cambridge Analytica (CA) de meados de 2013 até o final de 2014.
O SCL Group era um empreiteiro militar com sede no Reino Unido que
trabalhou para os militares dos EUA e do Reino Unido e também trabalhou
na OTAN Centro StratCom na região do Báltico. Ele disse ao Congresso dos
Estados Unidos várias coisas alarmantes.
Primeiro, a Cambridge Analytica foi criada pelo Grupo SCL com
financiamento de Robert Mercer, um bilionário americano radicado em Nova York.
Robert Mercer nomeou Steve Bannon como vice-presidente da CA, com

responsabilidades de administrar a empresa no dia-a-dia. O Sr. Bannon era um
seguidor da Doutrina Breitbart, que postula que a política flui a jusante da cultura.
Portanto, o Sr. Bannon viu a guerra cultural como um meio para criar mudanças
duradouras na política americana. Foi por esta razão que o Sr. Bannon contratou a
SCL, uma empreiteira militar, para construir um arsenal de armas informativas que
ele pudesse usar contra a população americana. O Sr. Bannon queria usar os
mesmos tipos de táticas de operações de informação usadas pelos militares para
seus objetivos políticos nos Estados Unidos e em outros lugares. A CA foi criada
como a marca americana voltada para a frente para permitir que a SCL funcione
nos Estados Unidos.
A maioria dos funcionários do SCL não eram cidadãos americanos. Embora o

Sr. Bannon tenha sido formalmente advertido sobre as implicações de usar para
cidadãos estrangeiros nas eleições dos EUA em um memorando legal, a empresa
desconsiderou esse conselho e passou a nomear Alexander Nix, cidadão britânico
residente em Londres, como CEO, e enviou não- Cidadãos dos EUA para
desempenhar papéis estratégicos incorporados em campanhas americanas.
Enquanto estava na SCL e CA, o Sr. Wylie disse que estava ciente da
capacidade de operações secretas da empresa, que ele entendia incluir o uso de
hackers para invadir sistemas de computador para adquirir kompromat (material
comprometedor) ou outra inteligência para seus clientes. A empresa referiu-se a
essas operações como serviços especiais de inteligência ou serviços especiais de
tecnologia da informação (TI). Ele também disse ter visto documentos relacionados
a vários casos em que SCL ou CA adquiriram material hackeado para o benefício
de seus clientes. Alguns dos alvos dessas operações de inteligência são atualmente
chefes de estado em vários países.
Outra preocupação eram os links da CA para pessoas intimamente associadas
ao Wikileaks e Julian Assange. A empresa contratou dois funcionários seniores,
ambos anteriormente assessores de John Jones QC em Londres. O Sr. Jones foi o
advogado britânico que representou Julian Assange, Wikileaks e membros do
regime de Gaddafi. Mais tarde, ele se matou quando pulou na frente de um trem
em 2016. Embora a empresa tenha reivindicado apenas um breve contato com
Assange, as gravações do ex-CEO do SCL Group sugerem que o contato com o
Wikileaks começou 18 meses antes da eleição nos EUA.
Entre 2013 e 2015, a CA financiou uma operação multimilionária chamada

Projeto Ripon. Este projeto foi supervisionado pelo Sr. Bannon e foi baseado em
pesquisas que foram originalmente conduzidas por
psicólogos da Universidade de Cambridge. Deve-se notar que algumas das

pesquisas de perfis usadas como base das operações da CA declararam
financiamento da Agência de Projetos de Pesquisa Avançada de Defesa dos
EUA (DARPA). O objetivo do Ripon era desenvolver e dimensionar algoritmos
de perfis psicológicos para uso em campanhas políticas americanas. Para ser
claro, o trabalho da CA e SCL não é equivalente ao marketing tradicional,
como alguns afirmam. Essa falsa equivalência é enganosa. A CA se
especializou em desinformação, espalhando boatos, kompromat e propaganda.
Usando algoritmos de aprendizado de máquina, a CA trabalhou para levar
essas táticas além de suas operações na África ou na Ásia e para o
ciberespaço americano.
O Sr. Wylie continuou explicando que o CA procurou identificar
vulnerabilidades mentais e emocionais em certos subconjuntos da população
americana e trabalhou para explorar essas vulnerabilidades direcionando
informações destinadas a ativar algumas das piores características nas
pessoas, como neuroticismo, paranóia, e preconceitos raciais. Isso foi
direcionado a segmentos estreitos da população. O pesquisador russo-
americano Dr. Aleksandr Kogan foi escolhido para liderar a operação de
coleta de dados, pois ofereceu o uso de aplicativos do Facebook que
desenvolveu em sua função acadêmica para coletar dados pessoais sobre
usuários do Facebook e seus amigos. O Sr. Wylie soube mais tarde que o Dr.
Kogan não tinha permissão do Facebook para explorar o acesso privilegiado
dos aplicativos para atividades comerciais ou políticas. Isso foi confirmado em
correspondência legal com o Facebook. O Dr. Kogan desenvolveu aplicativos
de coleta de dados que capturariam não apenas o usuário original do
aplicativo, mas também todos os dados pessoais dos amigos e conexões do
Facebook desse usuário sem seu conhecimento ou consentimento explícito.
Como o Facebook já confirmou, mais de 80 milhões de titulares de dados,
muitos dos quais eram cidadãos americanos, tiveram seus dados pessoais
desviados no programa Ripon. Dada essa escala, o Ripon pode ser uma das
maiores violações de dados do Facebook. A CA geralmente armazenava ou
transmitia dados em formatos inseguros, incluindo arquivos de centenas de
milhares de dados americanos sendo repassados por e-mails não
criptografados. A CA também permitiu o acesso aos seus conjuntos de dados americanos para
contratados, incluindo funcionários seniores da empresa Palantir, que é
contratada da Agência de Segurança Nacional dos Estados Unidos (NSA). A
Palantir nega ter qualquer relação formal com a CA e afirma que este trabalho
foi aparentemente feito a título pessoal.
Na época, o Dr. Kogan também estava trabalhando em projetos de pesquisa

financiados pelo estado russo. Ele às vezes morava em São Petersburgo e também
voava para Moscou. A equipe russa em São Petersburgo estava construindo algoritmos
semelhantes, usando dados do Facebook para perfis psicológicos. O projeto russo tinha
um foco particular na tríade sombria de narcisismo, maquiavelismo e psicopatia. O
projeto russo também realizou pesquisas comportamentais sobre trolling online. Deve-
se notar que a CA estava muito ciente desse trabalho acontecendo na Rússia e, de fato,
procurou divulgar o interessante trabalho que Alex Kogan vinha fazendo para os russos
para seus outros clientes. A Caixa 6.3 resume as atividades de gerenciamento de
pesquisa da CA.
A CA não atuou em eleições para promover ideais democráticos. Muitas vezes, o

CA trabalhou para interferir na participação do eleitor, inclusive transformando o medo
em uma arma. Em um país, a CA produziu vídeos com a intenção de suprimir a
participação, mostrando aos eleitores imagens sádicas de vítimas sendo queimadas
vivas, sofrendo amputações forçadas com facões e tendo suas gargantas cortadas em
uma vala. Esses vídeos também transmitiam mensagens islamofóbicas. Foi criado com
uma clara intenção de intimidar certas comunidades, catalisar o ódio religioso, retratar
os muçulmanos como terroristas e negar a certos eleitores seus direitos democráticos.
CAIXA 6.3 RESUMO DAS ATIVIDADES DA CAMBRIDGE

ANALYTICA
Pesquisadores russos usados para coletar seus dados

Informações abertamente compartilhadas sobre campanhas de boatos e
inoculação de atitudes com empresas e executivos russos
Apresentou projetos de perfis liderados pela Rússia para outros clientes
Pessoas contratadas que trabalharam para partidos pró-Rússia na Europa
Oriental com supostos agentes da inteligência russa
Referenciou o uso de ex-agentes de inteligência russos em

documentos internos
Opiniões americanas testadas sobre a liderança de Vladimir Putin

Se isso se adequasse ao objetivo do cliente, a empresa estava ansiosa para

capitalizar o descontentamento e alimentar as tensões étnicas. Isso não ocorreu
apenas em seus projetos na África. Como disse o CEO da SCL em uma
conversa gravada sobre o trabalho da empresa nos Estados Unidos em 2016:
São as coisas que ressoam, às vezes atacar o outro grupo e saber que vai
perdê-lo vai reforçar e ressoar o seu grupo. É por isso que [...] Hitler atacou os
judeus, porque ele não tinha nenhum problema com os judeus, mas as pessoas
não gostavam dos judeus [...] Então ele apenas alavancou um inimigo artificial.
Bem, isso é exatamente o que Trump fez. Ele alavancou um muçulmano [...]
Trump teve coragem, e quero dizer, realmente coragem, para dizer o que as
pessoas queriam ouvir.
O Sr. Wylie disse estar ciente de que os clientes da CA solicitaram a
supressão de votos como parte de seus contratos. CA oferecia o cancelamento
do voto como um serviço nos Estados Unidos e havia documentos internos que
ele havia visto que faziam referência a essa tática.
Seu entendimento desses projetos era que a empresa visaria os eleitores afro-
americanos e os desencorajaria de participar das eleições.
O Facebook foi notificado pela primeira vez sobre o esquema de coleta da

CA em 2015. Ele não alertou os usuários na época e só tomou medidas para
alertar os usuários afetados três semanas depois que o The Guardian, o New
York Times e o Channel 4 tornaram a história pública. O Sr. Wylie disse que o
comportamento do Facebook antes da história foi ameaçar processar o The
Guardian, e também tentou intimidá-lo com avisos legais agressivos. O
Facebook tentou impedir que essa história se tornasse pública quando sabia que era verdade.
No inquérito parlamentar britânico, o Chief Technology Officer (CTO) do
Facebook explicou recentemente, para surpresa de muitos no inquérito, que a
empresa assumiu que esta era uma prática comum no Reino Unido. Wylie
disse que o Facebook também exigiu que ele entregasse seu computador
pessoal e telefone após a divulgação da história.
O Sr. Wylie também disse que o que testemunhou na CA deveria alarmar a

todos e que a CA é o canário na mina de carvão para uma nova Guerra Fria
emergente online.2 O Comitê do Judiciário da Câmara e o Comitê de Supervisão
e Reforma do Governo da Câmara divulgaram o que consideravam os pontos-
chave sobre o testemunho de Wylie, que são mostrados no Quadro 6.4.
CAIXA 6.4 PERSPECTIVA DO COMITÊ SOBRE PONTOS-

CHAVE NO TESTEMUNHO DE W YLIE
A Cambridge Analytica era uma empresa de terceirização que não tinha

equipe ou tecnologia própria, e onde todo o trabalho era feito por
funcionários estrangeiros e contratados da SCL Elections, uma empresa
do Reino Unido.
Steve Bannon disse que queria usar o Cambridge Analytica para
desencorajar grupos específicos de pessoas a votar – incluindo pessoas
com probabilidade de votar nos democratas.
Já em 2014, Bannon instruiu a Cambridge Analytica a pesquisar que
tipos de descontentamento influenciariam as populações nos EUA,
incluindo o teste de mensagens que mais tarde foram usadas pela
campanha de Trump.
Bannon dirigiu a Cambridge Analytica em 2014 para testar imagens e
conceitos para um público americano relacionados ao presidente russo
Vladimir Putin e à expansão russa; Putin foi o único líder estrangeiro para
quem eles realizaram esse teste.
Bannon afirmou que não se importava se os anúncios de campanha
criados e promovidos por meio da Cambridge Analytica promoviam
informações incorretas porque estava tentando vencer uma guerra cultural
e essa guerra é uma batalha.
Wylie chamou a Cambridge Analytica de “máquina de propaganda de

serviço completo” que usava dados do Facebook desviados para criar um
perfil psicológico de toda a população dos EUA, mapear quem era mais
suscetível a mensagens e depois espalhar essas mensagens.
Baseando-se em algumas das pesquisas da CA, os malfeitores usaram as

ferramentas de anúncios do Facebook como ferramentas de phishing para atrair
as pessoas ainda mais para a miríade de desinformação e desinformação. O
Facebook acabou descobrindo uma campanha de desinformação realizada pela
Internet Research Agency (IRA), uma agência russa que repetidamente agiu de
maneira enganosa e tentou manipular pessoas nos Estados Unidos, Europa e
Rússia. As melhores estimativas são de que aproximadamente 126 milhões de
pessoas podem ter recebido conteúdo de uma página do Facebook associada ao
IRA em algum momento durante o período da eleição de 2016.4
6.4 Pessoas de Engenharia Social
Hoje, a Rússia não visa apenas computadores, mas também seres humanos,
armando informações em um esforço para influenciar a opinião pública e
encorajar determinadas ações comportamentais. Essas campanhas de
influência combinam o uso de tecnologias cibernéticas para se infiltrar em
redes de computadores a fim de adquirir ou corromper dados. Eles combinam
isso com esforços que buscam aumentar a discórdia social, amplificar a
desinformação produzida na Rússia e criar desconfiança nas instituições
democráticas. Eles lutam particularmente contra uma mídia livre e justa e o
fazem por meio de múltiplas tecnologias de comunicação e plataformas de mídia social.
A campanha de influência russa que ocorreu durante a eleição presidencial
dos EUA em 2016 é um exemplo importante dessa prática emergente de
operações de influência cibernética branda. A Rússia usou essas
mesmas táticas nos últimos anos contra outras democracias, particularmente
na Europa, inclusive na França, Alemanha, Ucrânia e Estônia. Nos Estados
Unidos, eles tentaram penetrar nos bancos de dados de eleitores antes da
eleição de 2016, penetraram com sucesso na rede do Comitê Nacional
Democrata (DNC) e acessaram organizações e candidatos republicanos em
nível estadual.5
Há um depósito de evidências que aponta para medidas ativas sendo
implantadas pela Rússia para influenciar o resultado da eleição presidencial
dos EUA em 2016 e essas medidas incluíram uma série de mensagens de
engenharia social direcionadas aos eleitores dos EUA. Uma resposta por
parte dos legisladores dos EUA foi acusar os provedores de mídia social de
negligência, má administração ou viés político. Outra resposta por parte dos
republicanos no Congresso foi reprimir a investigação do envolvimento russo
e bloquear a divulgação de informações e testemunhos a respeito desse
envolvimento. Certamente parece que alguém em algum lugar tem algo a
esconder. Além disso, o Minority Report lista inúmeras vezes que a maioria
republicana no controle da investigação do Congresso ignorou várias
medidas ativas russas e conduziu uma investigação bastante superficial em
geral.6
Durante o depoimento do professor Godson, discutido na seção anterior,
ele forneceu conselhos sobre como combater ou combater campanhas de
engenharia social como as montadas pela Rússia durante as eleições de
2016. Ele disse que uma maneira, que é o que o comitê está começando a
fazer, seria educando os americanos e outras populações
sobre a ameaça de medidas ativas e o preço que precisaria ser pago se

fossem bem-sucedidas, de modo que, quando as pessoas ouvissem sobre
tais atividades, não fossem levadas por elas e não fossem influenciadas por
elas.
O professor Godson acrescentou que uma capacidade adicional necessária
seria a de reduzir a eficácia das medidas ativas: alerta, antecipação, educação
e o que poderia ser feito para reduzir a eficácia das medidas ativas. Uma das
coisas que funcionou no passado foi expor os perpetradores das medidas
ativas, de preferência em tempo real. O senador Cornyn comentou que, como
o Sr. Watts havia apontado, o advento da mídia social e o uso da mídia social
para divulgar histórias falsas pela Internet e, em seguida, fazer com que a
grande mídia preste atenção a elas e, sem autenticar a fonte do informações,
repeti-las, amplificando com sucesso essas mensagens, pareceu-lhe um
grande desafio.
O professor Godson continuou, comentando que a terceira parte disso,

embora realmente a parte mais difícil, era que tipo de respostas de todo o
governo deveriam ser desenvolvidas para realmente lidar com o problema?
Ele argumentou que os Estados Unidos teriam que lidar com isso, e que o
atual comitê pode não ser o único que teria que lidar com isso, mas as
perguntas devem ser feitas: O que estamos dispostos a tolerar? Há alguma
linha vermelha para nós? Se eles ultrapassarem essas linhas, haverá esses
tipos de respostas?2
Independentemente da direção que o Congresso queira tomar para
abordar as questões sugeridas pelo professor Godson, existem inúmeros
obstáculos para regulamentar e controlar o conteúdo na Internet.
No entanto, a Comissão Federal de Comunicações (FCC) ocasionalmente
recebe reclamações sobre informações supostamente falsas veiculadas na
TV ou no rádio. A FCC analisa todas as reclamações quanto à possível
violação de suas regras, que são de escopo restrito. A FCC proíbe a
transmissão de informações falsas sobre um crime ou uma catástrofe se o
transmissor souber que as informações são falsas e causarão danos públicos
substanciais se forem ao ar. As regras relacionadas da FCC dizem
especificamente que o dano público deve começar imediatamente, causando
danos diretos e reais à propriedade ou à saúde ou segurança do público em
geral, ou desviar as autoridades policiais ou de saúde e segurança pública de suas funções.
A FCC é proibida por lei de exercer censura ou infringir os direitos de
imprensa da Primeira Emenda. É, no entanto,
É ilegal que as emissoras distorçam intencionalmente as notícias, e a FCC

pode agir sobre reclamações se houver evidência documentada de tal
comportamento de pessoas com conhecimento pessoal direto.7
6.5 Ações do Departamento de Justiça contra Engenheiros Sociais
O DOJ processou vários engenheiros sociais no passado. Em fevereiro de

2018, o Grande Júri Federal indiciou 13 indivíduos russos e 3 empresas
russas por um esquema para interferir no sistema político dos EUA,
incluindo a eleição presidencial de 2016, usando engenharia social e
outros métodos. A denúncia foi apresentada pela Procuradoria Especial.
Os réus supostamente conduziram o que chamaram de guerra de
informação contra os Estados Unidos com o objetivo declarado de espalhar
desconfiança em relação aos candidatos e ao sistema político em geral. O
procurador-geral adjunto Rod J. Rosenstein comentou que esta acusação
serve como um lembrete de que as pessoas nem sempre são quem
parecem ser na Internet. A acusação alegava que os conspiradores russos
queriam promover a discórdia nos Estados Unidos e minar a confiança do
público na democracia.
Rosenstein também disse que o DOJ recebeu cooperação excepcional de
empresas do setor privado como Facebook, Oath, PayPal e Twitter.
De acordo com as alegações da acusação, 12 dos réus individuais

trabalharam várias vezes para a Internet Research Agency LLC, uma
empresa russa com sede em São Petersburgo, Rússia. O outro réu
individual, Yevgeniy Viktorovich Prigozhin, supostamente financiou a
conspiração por meio de empresas conhecidas como Concord Management
and Consulting LLC, Concord Catering e muitas subsidiárias e afiliadas. A
conspiração fazia parte de uma operação maior chamada Projeto Lakhta,
que incluía vários componentes, alguns envolvendo audiências domésticas
dentro da Federação Russa e outros visando audiências estrangeiras em
vários países.
A Agência de Pesquisa da Internet supostamente operava por meio de
empresas de fachada russas. Empregava centenas de pessoas para suas
operações online, desde criadores de personas fictícias até suporte técnico
e administrativo, com um orçamento anual de milhões de dólares.
A Internet Research Agency era uma organização estruturada dirigida por
um grupo de gestão e organizado em departamentos, incluindo
gráficos, otimização de mecanismos de busca, tecnologia da informação e

departamentos financeiros. Em 2014, a agência estabeleceu um projeto de
tradução com foco na população dos Estados Unidos. Em julho de 2016, mais
de 80 funcionários foram designados para o projeto do tradutor.
Dois dos réus supostamente viajaram para os Estados Unidos em 2014
para coletar inteligência para suas operações de influência política americana.
Para ocultar a origem russa de suas atividades, os réus teriam comprado
espaço em servidores de computador localizados nos Estados Unidos para
estabelecer uma rede privada virtual. Os réus supostamente usaram essa
infraestrutura para estabelecer centenas de contas em redes de mídia social
como Facebook, Instagram e Twitter, fazendo parecer que as contas eram
controladas por pessoas dentro dos Estados Unidos. Eles usaram identidades
americanas roubadas ou fictícias, contas bancárias fraudulentas e documentos
de identificação falsos. Os réus se fizeram passar por americanos politicamente
e socialmente ativos, advogando a favor e contra determinados candidatos
políticos.
Eles estabeleceram páginas e grupos de mídia social para se comunicar com
americanos involuntários. Eles também compraram anúncios políticos nas
redes sociais.
Os russos também recrutaram e pagaram americanos de verdade para se
engajar em atividades políticas, promover campanhas políticas e organizar
comícios políticos. Os réus e seus co-conspiradores fingiram ser ativistas de
base. Segundo a acusação, os americanos não sabiam que estavam se
comunicando com os russos. Após a eleição, os réus supostamente
organizaram comícios para apoiar o presidente eleito, ao mesmo tempo em
que realizavam comícios para protestar contra sua eleição. Por exemplo, os
réus organizaram uma manifestação de apoio ao presidente eleito e outra de
oposição a ele, ambas em Nova York, no mesmo dia. Em 13 de setembro de
2017, logo após a mídia noticiar que o Gabinete do Procurador Especial estava
investigando evidências de que agentes russos haviam usado a mídia social
para interferir nas eleições de 2016, um réu supostamente escreveu que eles
tiveram uma pequena crise no trabalho porque o FBI prendeu sua atividade,
então eles se preocuparam em cobrir seus rastros.
A acusação incluiu oito acusações criminais. A primeira acusação alegou

uma conspiração criminosa para fraudar os Estados Unidos por todos os réus,
prejudicando as funções legais da Comissão Eleitoral Federal, do DOJ e do
Departamento de Estado dos EUA em
administrar os requisitos federais para divulgação de envolvimento estrangeiro em

certas atividades domésticas. A acusação dois acusou conspiração para cometer
fraude eletrônica e fraude bancária pela Internet Research Agency e dois réus
individuais. As acusações de três a oito acusaram roubo de identidade agravado
pela Internet Research Agency e quatro indivíduos. Não há nenhuma alegação na
acusação de que qualquer americano era um participante consciente na suposta
atividade ilegal. Não há alegação na acusação de que a conduta acusada alterou o
resultado da eleição de 2016.
Todos os acusados de um crime são presumidos inocentes, a menos que sua

culpa seja provada em tribunal. No julgamento, os promotores devem apresentar
evidências confiáveis que sejam suficientes para provar que cada réu é culpado
além de qualquer dúvida razoável, para a satisfação unânime de um júri de doze
cidadãos. A investigação do procurador especial estava em andamento na época e
eles não forneceram nenhum comentário.8
Em outubro de 2018, uma queixa criminal foi aberta em Alexandria, Virgínia,
acusando um cidadão russo de interferir no sistema político dos EUA, incluindo as
eleições de meio de mandato de 2018. As acusações alegam que a cidadã russa
Elena Alekseevna Khusyaynova conspirou com outros que faziam parte de uma
campanha de influência russa para interferir na democracia dos EUA, de acordo
com o procurador-geral adjunto Demers. Segundo o procurador dos EUA Terwilliger,
o objetivo estratégico da suposta conspiração, que continua até hoje, é semear a
discórdia no sistema político dos EUA e minar a fé nas instituições democráticas.
De acordo com as alegações da denúncia criminal, Elena Alekseevna

Khusyaynova, 44, de São Petersburgo, Rússia, atuou como contadora-chefe do
Projeto Lakhta, um esforço guarda-chuva russo financiado pelo oligarca russo
Yevgeniy Viktorovich Prigozhin e duas empresas sob seu controle , Concord
Management and Consulting LLC e Concord Catering. O Projeto Lakhta inclui vários
componentes, alguns envolvendo audiências domésticas dentro da Federação
Russa e outros voltados para audiências estrangeiras nos Estados Unidos, membros
da União Européia e Ucrânia, entre outros.
Khusyaynova supostamente administrou o financiamento das operações do

Projeto Lakhta, incluindo atividades de influência estrangeira dirigidas aos Estados
Unidos. Os documentos financeiros que ela controlava incluíam despesas
detalhadas para atividades nos Estados Unidos, como despesas com

ativistas, anúncios em plataformas de mídia social, registro de nomes de

domínio, compra de servidores proxy e promoção de postagens de notícias em
redes sociais. Entre janeiro de 2016 e junho de 2018, o orçamento operacional
proposto do Projeto Lakhta totalizou mais de US$ 35 milhões, embora apenas
uma parte desses fundos tenha sido direcionada aos Estados Unidos. Somente
entre janeiro e junho de 2018, o orçamento operacional proposto do Projeto
Lakhta totalizou mais de US$ 10 milhões.
A suposta conspiração, na qual Khusyaynova supostamente desempenhou
um papel central na gestão financeira, procurou conduzir o que chamou de
guerra de informação interna contra os Estados Unidos. Esse esforço não foi
apenas planejado para espalhar a desconfiança em relação aos candidatos a
cargos políticos dos EUA e ao sistema político dos EUA em geral, mas também
para fraudar os Estados Unidos ao impedir as funções legais de agências
governamentais na administração de requisitos federais relevantes.
Os conspiradores supostamente tomaram medidas extraordinárias para
fazer parecer que eram ativistas políticos americanos comuns. Isso incluiu o
uso de redes privadas virtuais e outros meios para disfarçar suas atividades e
ofuscar sua origem russa. Eles usaram plataformas de mídia social para criar
milhares de contas de mídia social e e-mail que pareciam ser operadas por
americanos e as usaram para criar e ampliar conteúdo social e político divisivo
voltado para o público americano. Essas contas também foram usadas para
defender a eleição
ou derrota eleitoral de determinados candidatos nas eleições de 2016 e 2018
nos EUA. Algumas contas de mídia social postaram dezenas de milhares de
mensagens e tiveram dezenas de milhares de seguidores.
A conspiração supostamente usou a mídia social e outras plataformas da
Internet para abordar uma ampla variedade de tópicos, incluindo imigração,
controle de armas e a Segunda Emenda, a bandeira confederada, relações
raciais, questões LGBT, a Marcha das Mulheres e a Liga Nacional de Futebol
Americano (NFL). ) debate sobre o hino nacional. Os membros da conspiração
aproveitaram eventos específicos nos Estados Unidos para ancorar seus
temas, incluindo o tiroteio de membros da igreja em Charleston, Carolina do
Sul, e participantes de shows em Las Vegas; o comício Charlottesville Unite
the Right e a violência associada; tiroteios policiais contra homens afro-
americanos; e as decisões de pessoal e políticas da atual administração
presidencial dos EUA.
As supostas atividades dos conspiradores não adotavam exclusivamente
uma visão ideológica; eles escreveram sobre tópicos variados e às vezes
perspectivas opostas. Os membros da conspiração foram direcionados, entre

outras coisas, para criar intensidade política através do apoio a grupos radicais
e para agravar o conflito entre as minorias e o resto da população. Os atores
também desenvolveram manuais táticos e documentos de mensagens
estratégicas que ofereciam orientação sobre como atingir grupos sociais
específicos, incluindo o momento das mensagens, os tipos de meios de
comunicação a serem usados e como enquadrar mensagens divisivas.
A queixa criminal não inclui nenhuma alegação de que Khusyaynova ou a
conspiração mais ampla teve qualquer efeito no resultado de uma eleição. A
denúncia também não alega que algum americano tenha participado
conscientemente da operação do Projeto Lakhta.9
Em outubro de 2018, o DOJ acusou oficiais da Direção Principal de
Inteligência da Rússia (GRU), uma agência de inteligência militar do Estado-
Maior das Forças Armadas da Federação Russa, de hacking internacional e
operações relacionadas de influência e desinformação. Os conspiradores
incluíam uma equipe de hackers de acesso próximo da Inteligência Russa que
viajou ao exterior para comprometer redes de computadores usadas por
autoridades antidoping e esportivas e organizações que investigam o uso de
armas químicas pela Rússia. Um grande júri no Distrito Oeste da Pensilvânia
indiciou sete réus, todos oficiais do GRU, por hacking de computador, fraude
eletrônica, roubo de identidade agravado e lavagem de dinheiro.
De acordo com a acusação, começando em ou por volta de dezembro de

2014 e continuando até pelo menos maio de 2018, a conspiração realizou
invasões de computador persistentes e sofisticadas afetando pessoas dos
EUA, entidades corporativas, organizações internacionais e seus respectivos
funcionários localizados em todo o mundo, com base em seus interesse
estratégico para o governo russo. Entre os objetivos da conspiração estava a
divulgação de informações roubadas como parte de uma campanha de
influência e desinformação destinada a minar, retaliar e deslegitimar os
esforços de organizações internacionais antidoping e autoridades que
expuseram publicamente uma campanha patrocinada pelo Estado russo.
programa de doping de atletas e prejudicar a reputação de atletas em todo o
mundo alegando falsamente que tais atletas estavam usando drogas proibidas
ou para melhorar o desempenho.
A acusação alegou que os réus Yermakov, Malyshev,
Badin e conspiradores não identificados, geralmente usando personas fictícias
e servidores proxy, pesquisaram vítimas, enviaram e-mails de spear phishing,
e servidores de comando e controle de malware compilados, usados e monitorados.

Quando os esforços de hacking remoto dos conspiradores falharam em capturar
credenciais de login, ou se as contas totalmente comprometidas não tinham os
privilégios de acesso necessários para as informações procuradas, equipes de
oficiais de inteligência técnica do GRU, incluindo Morenets, Serebriakov, Sotnikov,
e Minin, viajaram para locais ao redor do mundo onde os alvos estavam fisicamente
localizados. Usando equipamento especializado e com o apoio remoto de
conspiradores na Rússia, incluindo Yermakov, essas equipes de acesso próximo
hackearam redes de computadores usadas por organizações de vítimas ou seu
pessoal por meio de conexões Wi-Fi, incluindo redes Wi-Fi de hotéis.
Após uma operação de hacking bem-sucedida, a equipe de acesso próximo

transferiu esse acesso para conspiradores na Rússia para exploração.
Entre outras instâncias, a acusação alegou que, após uma série de investigações
independentes de alto nível iniciadas em 2015, que expuseram publicamente a
subversão sistemática patrocinada pelo Estado da Rússia dos processos de teste
de drogas antes, durante e após o Inverno de Sochi de 2014 Olimpíadas (de acordo
com um relatório, conhecido como Relatório McLaren), os conspiradores começaram
a visar sistemas usados por organizações e funcionários antidoping internacionais.
Depois de comprometer esses sistemas, os réus roubaram credenciais, registros
médicos e outros dados, incluindo informações sobre isenções de uso terapêutico
(TUEs), que permitem que os atletas usem substâncias proibidas.
Usando contas de mídia social e outras infraestruturas adquiridas e mantidas

pela Unidade GRU 74455 na Rússia, a conspiração posteriormente divulgou
publicamente itens selecionados de informações roubadas, em muitos casos de
uma maneira que não refletia com precisão sua forma original, sob os falsos
auspícios de um hacktivista. grupo que se autodenomina Fancy Bears'
Equipe Hack. Como parte de seus esforços de influência e desinformação, a Fancy
Bears' Hack Team se engajou em um esforço conjunto para chamar a atenção da
mídia para os vazamentos por meio de uma campanha proativa de divulgação. Os
conspiradores trocaram e-mails e mensagens privadas com aproximadamente 186
repórteres em uma aparente tentativa de ampliar a exposição e o efeito de sua
mensagem.
Cada réu foi acusado de uma acusação de conspiração para cometer fraude e
abuso de computador, que acarreta uma sentença máxima de cinco anos de prisão,
uma acusação cada de conspiração para cometer fraude eletrônica
e conspiração para lavagem de dinheiro, ambas com pena máxima de 20

anos. Os réus Yermakov, Malyshev e Badin também foram acusados como
réus na acusação federal número CR 18-215 no Distrito de Columbia e
acusados de conspirar para obter acesso não autorizado aos computadores
de pessoas e entidades americanas envolvidas nas eleições presidenciais
de 2016 nos EUA. , roubar documentos desses computadores e liberar os
documentos roubados para interferir nas eleições presidenciais de 2016 nos
EUA.10
6.6 Conclusão
Embora tenha havido considerável debate e especulação sobre a

exploração das mídias sociais por organizações estrangeiras para
influenciar o resultado das eleições nos Estados Unidos e na Europa durante
as eleições recentes, as evidências de que isso ocorreu aumentaram com o
tempo. Os analistas afirmam que a Rússia há muito está envolvida em
medidas ativas e que a entrada da Rússia na engenharia social eletrônica
não é surpreendente. Mas os russos não estão sozinhos no uso da
engenharia social, já que as facções e jogadores conservadores nos Estados
Unidos seguiram padrões semelhantes em seus esforços de engenharia
social e começaram a fazê-lo descaradamente durante a eleição de 2016
nos Estados Unidos.
6.7 Pontos Chave
• Os russos têm um programa de medidas ativas que emprega

métodos de engenharia social combinados com vários outros
métodos de invasão cibernética para promover sua agenda social
e política. • No campo da política, os engenheiros sociais têm como objetivo
influenciar o resultado das eleições.
• O Facebook confirmou que mais de 80 milhões de usuários, muitos
dos quais eram cidadãos americanos, tiveram seus dados pessoais
desviados no programa Ripon, tornando esta provavelmente uma
das maiores violações de dados do Facebook.
• Precisamos da capacidade de reduzir a eficácia das medidas ativas,
que podem incluir alerta, antecipação e educação.
• O DOJ tomou medidas contra várias pessoas que supostamente usaram engenharia
social e outros métodos para interferir nas eleições dos EUA.
• Que exposição os participantes do seminário tiveram a partidos políticos, campanhas,

apoiadores ou adversários que usam táticas de engenharia social para apoiar um
candidato ou proposta?
• Que exposição os participantes do seminário tiveram a partidos políticos, campanhas,
apoiadores ou adversários que usam táticas de engenharia social para se opor a
um candidato ou proposta?
• Faça com que os participantes discutam por que apóiam ou se opõem a partidos
políticos, campanhas, simpatizantes ou adversários usando táticas de engenharia
social nas campanhas ou para influenciar o resultado de uma eleição.
6.9 Tema do Grupo de Seminários
Divida os participantes em vários grupos com cada grupo levando de 10 a 15 minutos para
desenvolver uma lista de táticas ou métodos para educar o público sobre como a engenharia
social está sendo usada para influenciar o resultado de uma eleição. Reúna-se em grupo e
discuta as táticas ou métodos desenvolvidos pelos grupos para educar o público sobre como
a engenharia social está sendo usada para influenciar o resultado de uma eleição.
Termos chave
Medidas ativas: é a direção coordenada por uma autoridade centralizada de técnicas

abertas e encobertas que propagam as ideias russas e as preferências políticas e
militares e minam as dos adversários democráticos.
Grupos antissociais domésticos: são grupos de pessoas ou minissociedades que se

opõem à sociedade mais ampla em que vivem e/ou trabalham.
Fanáticos domésticos: são grupos radicais formados por residentes ou cidadãos dos
países em que matam, sabotam ou espalham ódio e medo.
Meios de comunicação cinza: propriedades de mídia que são estabelecidas por poderes
políticos, econômicos ou sociais desconhecidos ou ofuscados para disseminar
informações favoráveis a seus objetivos ou para minar as atividades de seus
adversários.
Mensagens de ódio: são postagens de mídia social que usam linguagem desagradável
para ridicularizar ou discriminar minorias ou grupos étnicos.
Operações de inteligência: é a variedade de tarefas de inteligência e contra-inteligência
que são realizadas por várias organizações de inteligência e atividades dentro
do processo de inteligência.
Alias online: é uma identidade online que engloba identificadores, como nome e data de
nascimento, diferentes dos identificadores reais do funcionário, que usam um
endereço IP (Internet Protocol) não governamental. Um alias online pode ser
usado para monitorar atividades em sites de mídia social ou para se envolver
em atividades secretas online autorizadas.
Veículos de propaganda: propriedades de mídia que são estabelecidas por poderes

políticos, econômicos ou sociais para disseminar informações favoráveis aos
seus objetivos, ou para prejudicar as atividades de seus adversários.
Revanchismo: é uma política de retaliação contra adversários políticos ou militares por

perdas diplomáticas ou para recuperar território, reputação, influência ou poder
perdidos.
Operações de influência cibernética suave: o uso de técnicas cibernéticas legais,
mas talvez sinistras, para influenciar ou persuadir grupos-alvo a aderir a uma
filosofia específica ou a realizar comportamentos desejados.
Spoofing: é uma tentativa de obter acesso a um sistema fazendo-se passar por um
usuário autorizado. Sinônimo de representação, mascaramento ou imitação.
Contas de trolling sincronizadas: contas de mídia social que, em uníssono ou de

maneira cuidadosamente cronometrada, publicam ou transmitem as mesmas
mensagens, mensagens semelhantes ou de apoio.
Meios de comunicação brancos: propriedades de mídia estabelecidas por poderes
políticos, econômicos ou sociais desconhecidos ou ofuscados, disfarçados de
representantes de uma causa ou perspectiva, mas que podem estar trabalhando
em nome de outras partes.
Referências
1. Desinformação: uma cartilha sobre medidas ativas e campanhas de influência russas.
Painel I. Audiência perante o Comitê Especial de Inteligência do Senado dos Estados
Unidos da Primeira Sessão do Centésimo Quinto Congresso. 30 de março de 2017.
Acessado em 16 de fevereiro de 2019. www.intelli gence.senate.gov/sites/default/files/
documents/os-trid-033017.pdf
2. Declaração por escrito ao Comitê do Senado dos EUA sobre o Judiciário no caso da
Cambridge Analytica e outras questões relacionadas. Christopher Wylie. 16 de maio de
2018. Acessado em 18 de fevereiro de 2019. https://www.judi ciary.senate.gov/imo/
media/doc/05-16-18%20Wylie%20Testimony.pdf
3. Comitê Judiciário e de Supervisão, Democratas divulgam as principais conclusões da
entrevista com o denunciante da Cambridge Analytica. Comitê da Câmara sobre o
Judiciário e Comitê da Câmara sobre Supervisão e Reforma do Governo. 25 de abril de
2018. Acessado em 18 de fevereiro de 2019. https://judiciary.house.gov/news/press-
releases/judiciary-and-over sight-committee-democrats-release-key-takeaways-interview
4. Facebook na audiência perante o Comitê de Energia e Comércio da Câmara dos

Representantes dos EUA. Testemunho do presidente e diretor executivo de Mark
Zuckerberg. 11 de abril de 2018. Acessado em 2 de fevereiro de 2019.
www.docs.house.gov/meetings/IF/IF00/20180411/108090/
HHRG-115-IF00-20180411-SD002.pdf
5. Velhas táticas, novas ferramentas: uma revisão das operações de influência cibernética
suave da Rússia. Um relatório da equipe minoritária preparado para membros
democratas do Subcomitê de Supervisão, Comitê de Ciência, Espaço e Tecnologia.
Novembro de 2017. Acessado em 19 de fevereiro de 2019. https://sci ence.house.gov/
sites/democrats.science.house.gov/files/documents/
Russo%20Soft%20Cyber%20Influência%20Operações%20-%20
Minoria%20Funcionários%20Relatório%20-%20Novembro%202017.pdf
6. Visões minoritárias. 26 de março de 2018. Acessado em 19 de fevereiro de 2019. https://
intelligence.house.gov/UploadedFiles/MinorityViews.pdf
7. Transmissão de informações falsas. FCC. 5 de janeiro de 2018. Acessado em 19 de
fevereiro de 2019. https://www.fcc.gov/consumers/guides/broadcasting false-information
8. O Grande Júri indicia Treze Indivíduos Russos e Três Empresas Russas por Esquema
de Interferência no Sistema Político dos Estados Unidos. Secretaria de Assuntos
Públicos do Departamento de Justiça. 16 de fevereiro de 2018. Acessado em 19 de
fevereiro de 2019. https://www.justice.gov/opa/pr/
grande-júri indicia-treze-indivíduos-russos-e-três-empresas-russas-esquema-interfere
9. Cidadão russo acusado de interferir no sistema político dos EUA.

Secretaria de Assuntos Públicos do Departamento de Justiça. 19 de outubro de 2018.
Acessado em 19 de fevereiro de 2019. https://www.justice.gov/opa/pr/
nacional-russo-cobrado-nos-interferir-nos-sistema-político
10. Os EUA acusam oficiais russos do GRU de hacking internacional e operações

relacionadas de influência e desinformação. Secretaria de Assuntos Públicos
do Departamento de Justiça. 4 de outubro de 2018. Acessado em 19 de
fevereiro de 2019. https://www.justice.gov/opa/pr/us-charges-russian-gru-
officers international-hacking-and-related-influence-and
7
engenharia social
Ataques de Insiders
Os ataques de engenharia social prejudicaram a segurança nacional dos EUA e

comprometeram a inteligência e as operações militares por várias décadas.
Muitos desses ataques foram perpetrados por pessoas de dentro que planejaram seu
caminho para agências governamentais apenas para acabar saindo com materiais
confidenciais e classificados. Não é apenas o governo que está em risco, todas as
organizações enfrentam algum nível de ameaça de pessoas de dentro e a possibilidade
de que uma pessoa de dentro possa colaborar e conspirar com uma pessoa de fora
para roubar, sabotar ou humilhar seus funcionários. Os gerentes e o pessoal de
segurança precisam estar tão preocupados com os internos que utilizam táticas de
engenharia social quanto com os engenheiros sociais externos que trabalham para
comprometer funcionários e fornecedores de sistemas.
Neste capítulo, voltamos nossa atenção para os esforços de ataques de engenharia
social por pessoas de dentro.
7.1 A natureza da ameaça interna
Os insiders que roubam dados ou informações geralmente têm uma ideia do que farão
com eles, ou quem fora da organização considera os dados valiosos o suficiente para
alguém roubar. Existem inúmeros cenários potenciais que podem levar o insider a
roubar dados e informações. Eles já podem ter um comprador e podem estar
conspirando com alguém de fora para transferir ilegalmente o material. Eles também
podem estar procurando um novo emprego e pretendem usar as informações e os
dados como alavanca para conseguir um novo emprego, oferecendo-o a empresas
que possam contratá-los. Em alguns casos, eles podem querer tornar públicos os
dados e as informações de uma organização, publicando-os na Internet, a fim de
revelar coisas sobre a empresa ou agência governamental que possam atrapalhar os
processos e comprometer as relações comerciais,
153
ou atrair pessoas que desejam embaraçar uma organização ou expor

atividades que elas e outras pessoas consideram antiéticas ou ilegais. Não
importa por que o roubo ocorre, as organizações precisam tomar medidas
para garantir que estejam protegidas.
Nas últimas duas décadas, várias tendências tornaram as organizações
mais vulneráveis a ataques internos.
Muitas organizações passaram por algum tipo de downsizing reduzindo seu
número de funcionários e muitas vezes combinando funções de trabalho com
o objetivo de economia financeira e sem nenhuma preocupação específica
com a segurança. Também tem havido uma tendência de ter organizações
mais abertas e fornecer aos funcionários acesso a mais ferramentas, recursos
e dados, na esperança de que as novas organizações mais enxutas se tornem
mais produtivas ao capacitar os funcionários. Além disso, o setor de tecnologia
da informação (TI) tem se concentrado muito em trazer ao mercado produtos
que são anunciados para fornecer aos funcionários mais ferramentas para
que possam ter mais acesso e serem mais produtivos. Todas essas tendências
foram baseadas mais na esperança do que em resultados comprovados.
No nível social, mais pessoas têm maior acesso a tecnologias pessoais,

como smartphones, pen drives e outros dispositivos que melhor lhes permitem
espionar ou roubar propriedade intelectual. A Internet permite que pessoas de
dentro movam rapidamente dados ou informações para fora das instalações
de uma organização. A Internet também pode fornecer uma plataforma de
comunicação para os internos manterem contato com os co-conspiradores
externos sobre suas ações ou os tipos de informações que devem procurar e
se apropriar indevidamente. Essa comunicação também pode ajudar pessoas
de dentro a fornecer a pessoas de fora acesso a recursos internos ou facilitar
o acesso a propriedades físicas ou ativos que possam ser alvo de roubo ou
destruição. A proteção contra essas ameaças é uma necessidade absoluta
em todos os esforços de segurança.
Houve inúmeros incidentes de ataques internos a sistemas de informação.
Alguns ataques ocorrem por vingança ou por raiva contra a organização ou
gerentes e funcionários. Outros ataques envolvendo roubo de dados ou
segredos comerciais geralmente acontecem para ganhos financeiros. O FBI
afirma que os insiders não precisam saber como hackear sistemas de
informação de fora porque já têm algum conhecimento e, às vezes, amplo
conhecimento das informações de uma organização.
Ataques de Engenharia Social por Insiders 155
sistemas e o controle de acesso para sistemas de computador. Eles também podem

ter muito poucas restrições aos seus privilégios de acesso e, portanto, podem causar
grandes danos ao sistema ou roubar dados do sistema.1
Ameaças internas, incluindo sabotagem, roubo, espionagem, fraude e vantagem
competitiva, geralmente são realizadas por meio do abuso de direitos de acesso, roubo
de materiais e manuseio incorreto de dispositivos físicos ou sistemas de controle de
acesso configurados incorretamente. Insiders nem sempre agem sozinhos e podem
não estar cientes de que estão ajudando um ator de ameaça (ou seja, a ameaça interna
não intencional). É vital que as organizações compreendam os comportamentos básicos
normais dos funcionários e também garantam que os funcionários entendam como podem
ser usados como um canal para que outros obtenham informações. Os tipos de crimes
perpetrados por insiders são mostrados no Quadro 7.1.
Toda organização sempre corre o risco de ter segredos comerciais comprometidos,

propriedade intelectual roubada e planos de negócios revelados de maneira prematura.
A espionagem industrial e a espionagem permanecem em alto nível e são praticadas em
escala internacional. O processo de planejamento de segurança e privacidade de dados
de uma organização precisa levar essas ameaças em consideração e controlar
cuidadosamente o acesso lógico autorizado
e acesso físico autorizado.
QUADRO 7.1 TIPOS DE CRIMES

PERPETRADOS POR INTERNOS
roubo por funcionários

Fraude de depósito ou alteração de instrumentos de depósito
Apropriação indébita, desaparecimento ou destruição de dinheiro e
títulos
Roubo, roubo de armazenamento seguro ou seguro

Crimes informáticos (roubo, fraude na transferência de fundos)
roubo de propriedade intelectual
Roubo de informações para acessar sistemas de computador de fora
Informações de identificação pessoal (PII) de funcionários e executivos
corporativos
Informações para acessar sistemas de computador na cadeia de suprimentos
e canais de distribuição
7.2 Segurança Nacional e Ameaças de Engenharia Social
Houve vários ataques internos de alto perfil a agências governamentais durante

a última década. As principais áreas de risco potencial incluem criminosos,
concorrentes industriais, ameaças internas e adversários patrocinados pelo
Estado. Todos podem ser igualmente eficazes e prejudiciais. Os especialistas
concordam que as medidas de segurança tradicionais não são suficientes para
o cenário de ameaças em rápida mudança. Programas de educação e
conscientização sobre segurança que são transparentes e comunicados à força
de trabalho são essenciais para aliviar os riscos de segurança causados por
engenharia social e ameaças internas.2 A engenharia social é a ferramenta
favorita desses adversários, especialmente os internos que praticam o ofício da
engenharia social a cada minuto do todos os dias em seus esforços comprometem
sistemas, dados, segredos comerciais e muito mais.
Muitos profissionais de segurança afirmam que a maior ameaça moderna
contra sistemas de computador, redes e dados confidenciais é a ameaça interna.
Um insider é um indivíduo que possui um certo nível de acesso, privilégio e
confiança dentro de uma organização devido à sua posição, função ou tarefa
dentro dessa organização. O Departamento de Defesa (DoD) define um insider
como qualquer pessoa que usa credenciais autorizadas para acessar um
computador e/ou rede do DoD, independentemente de essas credenciais terem
sido adquiridas ou não por meio de canais legais. Enquanto um estranho deve
obter acesso e privilégio a um sistema usando engenharia social ou algum outro
método para danificar esse sistema, um interno geralmente herda esses recursos
por padrão. Neste ponto, a única coisa que separa um funcionário interno de
uma ameaça interna são suas ações e intenções. Cada insider representa a
ameaça de atividade maliciosa. A maioria das organizações assume que um
insider é honesto e está operando no melhor interesse da organização. No
entanto, e se as intenções de um insider mudarem de benignas para maliciosas?
Agências governamentais e comandos militares precisam constantemente

abordar como eles detectam comportamentos maliciosos dentro de suas próprias
paredes? As defesas de computador modernas variam de firewalls a sistemas
de detecção de intrusão (IDS) e listas de controle de acesso (ACL), mas seu
foco principal de atenuar a ameaça externa permanece o mesmo. Um insider
recebe um caminho de migração natural dentro do perímetro dos controles de
segurança empresarial. Esforços para incorporar essas mesmas defesas contra
infiltrados foram infrutíferos até agora. Ainda existe uma grande necessidade de
um sistema de detecção e mitigação leve e em tempo real para uso indevido de

informações privilegiadas. O controle de acesso é a base fundamental da segurança
do computador, mas ainda continua sendo uma fraqueza relativa ao lidar com as
ameaças do dia a dia, especialmente aquelas impostas por pessoas de dentro da
empresa. Autenticação, autorização e auditoria são os três principais componentes do
controle de acesso, que podem ser observados em inúmeras implementações
convencionais, incluindo firewalls, redes privadas virtuais e permissões de arquivos.
Praticamente todos os processos ou produtos relacionados à segurança são
algum tipo de controle de acesso. No controle de acesso discricionário (DAC), o
proprietário de um objeto pode atribuir acesso a outros usuários. No Mandatory Access
Control (MAC), o acesso é concedido aos usuários com base na política de segurança.
Infelizmente, os mecanismos atuais de controle de acesso são muito grosseiros,
complexos e não escaláveis para se opor à ameaça interna. Os sistemas operacionais
modernos reforçam o controle de acesso no nível de granularidade de um arquivo, mas
isso faz pouco para impedir um insider que já tem acesso a esse arquivo com base em
sua posição dentro da organização. A ameaça interna é minimamente abordada pelas
práticas atuais de segurança da informação, mas a ameaça interna representa a
ameaça mais séria para a organização por vários motivos, que são mostrados no
Quadro 7.2.
Um plano de segurança abrangente para lidar com ameaças internas contra
sistemas de informação críticos incluirá uma abordagem avançada de controle de
acesso, que é necessária para oferecer suporte a serviços de controle de acesso
refinados, ativos e escaláveis. Isso evitará ameaças internas em
CAIXA 7.2 VÁRIAS RAZÕES PARA OS FUNCIONÁRIOS

REPRESENTAR GRAVES AMEAÇAS
Os insiders recebem um alto nível de confiança.

É fácil para um insider estabelecer pontos de entrada não autorizados e
canais anômalos em sistemas de informação.
Formas de segurança mais avançadas, como criptografia, não lidam
diretamente com o conceito de controle de acesso.
Os métodos de controle de acesso atuais são muito refinados para olhar
dentro da caixa e impedir que alguém de dentro abuse de seus privilégios.
Métodos de auditoria e forense geralmente são posteriores ao fato e pouco

fazem para evitar que alguém de dentro cause danos.
termos de excesso de privilégios com base no princípio do privilégio mínimo, mas

não pode evitar o problema de abuso de privilégios. Abordagens forenses de
computador aplicadas são necessárias para impedir os problemas de abuso de
privilégio, onde um insider não precisa violar os controles de acesso para realizar
atos maliciosos, bem como problemas de escalação de privilégios, onde um insider
usaria várias abordagens para obter privilégios adicionais, como root Acesso. Quando
usados em combinação, um forte controle de acesso e análise forense de computador
servirão para mitigar as ameaças representadas por pessoas mal-intencionadas. O
principal objetivo da pesquisa atual é desenvolver abordagens forenses computacionais
aplicadas para prevenir e detectar ameaças internas em organizações sensíveis em
conjunto com sistemas avançados de controle de acesso, como FASAC (controle de
acesso refinado, ativo e escalável).3
Um exemplo contemporâneo de destaque de um insider usando engenharia

social para roubar informações classificadas é Edward J. Snowden. Ao descobrir
suas ações, ele fugiu para Hong Kong. O Departamento de Justiça dos EUA (DOJ)
estava em contato contínuo com seus homólogos de Hong Kong a partir de 10 de
junho de 2013, quando soube que Snowden estava em Hong Kong. O procurador-
geral Eric Holder fez um telefonema em 19 de junho EDT, com seu homólogo, o
secretário de justiça de Hong Kong, Rimsky Yuen, enfatizando a importância do
assunto e instando Hong Kong a honrar o pedido de prisão de Snowden. Snowden
estava sendo acusado de violações de:
• 18 USC § 793(d) (Divulgação não autorizada de

Informações de Defesa);
• 18 USC § 798(a)(3) (Divulgação não autorizada de informações classificadas
Inteligência de Comunicação); e
• 18 USC § 641 (Roubo de Propriedade do Governo).
Em 15 de junho de 2013, os Estados Unidos solicitaram, de acordo com o US/

HK Rendição Acordo segundo o qual as autoridades da Região Administrativa
Especial de Hong Kong (HKSAR) prendem provisoriamente o fugitivo para fins de
extradição. O pedido dos EUA cumpria todos os aspectos do tratado em vigor entre
os EUA e a RAEHK contendo todos os documentos e informações necessários para
a RAEHK prender Snowden provisoriamente.
Em 17 de junho de 2013, as autoridades de Hong Kong acusaram o recebimento

do pedido dos EUA. Apesar das repetidas indagações, o Hong Kong
as autoridades não responderam com nenhum pedido de informações ou

documentos adicionais, afirmando apenas que o assunto estava em análise
e recusando-se a dar mais detalhes. Então, em 21 de junho de 2013, as
autoridades de Hong Kong solicitaram informações adicionais sobre as
acusações e provas dos EUA. Os EUA estavam em comunicação com as
autoridades de Hong Kong em suas investigações. As autoridades norte-
americanas estavam respondendo ao pedido quando souberam que as
autoridades de Hong Kong haviam permitido que o fugitivo deixasse Hong
Kong. Ele acabou na Rússia e ainda está sendo perseguido pelo governo dos EUA.4
Algumas pessoas viram Snowden como um herói por expor os programas
de vigilância do governo dos Estados Unidos, enquanto outras pediram sua
acusação vigorosa. Após vazamentos contínuos de segurança nacional por
Edward Snowden, o congressista John Conyers, Jr. (D-Mich.) afirmou que
era lamentável que tanto do Congresso e do foco da mídia estivesse no
paradeiro de Edward Snowden. Ele argumentou que os Estados Unidos
deveriam concentrar tempo e atenção em garantir que os americanos
cumpridores da lei não fossem desnecessariamente sujeitos a vigilância
intrusiva; certificando-se de que as organizações de mídia dos EUA não
fossem visadas apenas para informar o público; fechando Guantánamo e
libertando aqueles indivíduos que não causaram nenhum dano aos Estados
Unidos; e exigindo que salvaguardas legais estivessem em vigor com
relação ao uso míope de drones pelo governo dos EUA. Em junho de 2013,
Conyers afirmou que essas eram as questões críticas e prioritárias
enfrentadas pelo Congresso, não o paradeiro ou os motivos de Edward Snowden. Revelaçõ
semanas anteriores por Edward Snowden e outros deixaram claro que os
Estados Unidos estavam em uma encruzilhada. O Congresso precisava
escolher como responder, não a Edward Snowden, mas à pressão que
essa guerra sem fim sobre Snowden e vazamentos de segurança colocou
nos princípios e leis dos Estados Unidos.5
7.3 Força-Tarefa Nacional de Ameaças Internas
A Força-Tarefa Nacional de Ameaças Internas (NITTF) foi criada após a

divulgação de milhares de documentos classificados pelo WikiLeaks
através da mídia global e da Internet. Sua missão é deter, detectar e mitigar
ações de funcionários que possam representar uma ameaça à segurança
nacional, desenvolvendo um programa nacional de ameaças internas com
políticas, padrões, orientações e treinamento de apoio.
Sob a Ordem Executiva (EO) 13587, o NITTF é co-presidido pelo

Procurador-Geral dos EUA e pelo Diretor de Inteligência Nacional.
Eles, por sua vez, designaram o Federal Bureau of Investigation (FBI) e o
National Counterintelligence Executive para co-dirigir as atividades diárias do
NITTF. O NITTF compreende funcionários e contratados de vários
departamentos e agências federais (D/As), e seu trabalho impacta mais de
99 D/As federais que lidam com material classificado. Os seguintes D/As têm
representantes no NITTF: FBI, National Counterintelligence and Security
Center (NCSC), Defense Intelligence Agency (DIA), Central Intelligence
Agency (CIA) e Transportation Security Administration.
O NITTF responde diretamente ao Comitê Diretivo de Salvaguarda e

Compartilhamento de Informações Sênior, que também foi estabelecido sob
a EO 13587. O comitê diretivo é composto por representantes de agências
comunitárias de inteligência com amplo acesso a redes e materiais
classificados, incluindo os departamentos de Estado, Energia, Justiça , Defesa
e Segurança Interna, CIA, FBI, Escritório do Diretor de Inteligência Nacional,
NCSC, Agência de Segurança Nacional, DIA, Gerente de Programa (Ambiente
de Compartilhamento de Informações), Escritório de Gerenciamento e
Orçamento, Pessoal do Conselho de Segurança Nacional e Segurança da
Informação Gabinete de Fiscalização.
O NITTF vê a ameaça interna como uma ameaça representada à
segurança nacional dos EUA por alguém que faz uso indevido ou trai,
consciente ou involuntariamente, seu acesso autorizado a qualquer recurso
do governo dos EUA. Essa ameaça pode incluir danos por meio de
espionagem, terrorismo, divulgação não autorizada de informações de
segurança nacional ou perda ou degradação de recursos ou capacidades
departamentais. Isso pode acontecer facilmente quando há falhas na segurança.
O NITTF reuniu especialistas de todo o governo nas áreas de segurança,
contra-espionagem e garantia de informações para desenvolver as políticas
e padrões necessários para D/As individuais implementarem programas de
ameaças internas. Parte do esforço do NITTF envolve a hospedagem de
treinamento e o fornecimento de D/As com assistência para melhor educar
suas forças de trabalho para reconhecer uma possível atividade de ameaça
interna, sem criar uma atmosfera de desconfiança. O NITTF conduz avaliações
da adequação dos programas de ameaças internas dentro de D/As individuais.
Por meio de sua interface com D/As individuais, o NITTF
identifica e divulga as melhores práticas para detectar, dissuadir e mitigar ameaças

emergentes e continua a ajudar os D/As na solução de problemas.
A detecção de comportamento potencialmente mal-intencionado envolve o

pessoal autorizado de ameaças internas coletando informações de várias fontes
e analisando essas informações em busca de pistas ou comportamentos preocupantes.
Um único indicador pode dizer pouco; no entanto, se tomado em conjunto com
outros indicadores, pode surgir um padrão de comportamento preocupante que
pode resultar em alguém que pode representar uma ameaça. É importante
considerar informações relevantes de várias fontes para determinar se o
comportamento de um funcionário merece um exame mais minucioso ou se um
assunto deve ser levado formalmente ao conhecimento de uma entidade
investigativa ou administrativa, como o FBI ou o Inspetor Geral de uma agência.
Também é possível que o indivíduo não tenha intenção maliciosa, mas precise de
ajuda. Em ambos os casos, o indivíduo pode representar uma ameaça à segurança
nacional, e a situação requer uma investigação mais aprofundada.
É extremamente importante reconhecer que um indivíduo pode não ter intenção
maliciosa, mas precisa de ajuda. Os Estados Unidos investiram uma quantia
enorme em sua força de trabalho de segurança nacional e é do interesse de todos
ajudar alguém que pode sentir que não tem outra opção senão cometer um ato
flagrante, como espionagem, divulgação não autorizada, suicídio, violência no
local de trabalho, ou sabotagem.
A intervenção anterior ao ato pode salvar a carreira de um funcionário, salvar
vidas e proteger informações de segurança nacional. Isso pode ser resolvido em
parte através da realização de avaliações individuais dos funcionários.
Há também insiders involuntários que podem ser explorados por outros.
Os adversários da nação tornaram-se cada vez mais sofisticados em atingir os
interesses dos Estados Unidos, e um indivíduo pode ser enganado ao promover
os objetivos desses adversários sem fazê-lo conscientemente.
Em conjunto, a política nacional exige que cada agência executiva com acesso
a informações classificadas estabeleça um programa de ameaças internas de
acordo com os padrões e orientações do NITTF. No entanto, há um reconhecimento
de diferentes níveis de risco e, portanto, diferentes níveis de proteção necessários
com base em coisas como tamanho da população liberada, extensão do acesso a
sistemas de computador classificados e quantidade de informações classificadas
mantidas pelo D/ UMA. A política nacional de ameaças internas direciona os chefes
de D/As para desenvolver seus programas usando princípios de gerenciamento

de risco. O NITTF está trabalhando com D/As, bem como com o Escritório de
Proteção e Compartilhamento de Informações Classificadas, para avaliar a
extensão da aplicabilidade dos padrões mínimos para cada um dos mais de 99 D/
As do ramo executivo com acesso a informações classificadas com base no risco
associado.
Os programas de ameaças internas são desenvolvidos e operados em

coordenação com o escritório de gerenciamento de registros de uma agência,
conselho jurídico e funcionários de liberdades civis e privacidade para criar
proteções contra a violação das liberdades civis/direitos civis, privacidade ou
proteções de denunciantes. Os departamentos e agências são obrigados a
fornecer treinamento nessas áreas para o pessoal do programa, bem como para
a força de trabalho em geral. Os chefes de departamentos e agências também
têm a responsabilidade de garantir que essas proteções sejam mantidas por meio
da supervisão de seus programas de ameaças internas.
Os programas de ameaças internas visam comportamentos anômalos, não
indivíduos. Além disso, os funcionários do governo que lidam com informações
classificadas entendem que, para obter uma habilitação de segurança, eles
aceitam supervisão adicional de suas atividades no local de trabalho. Os
funcionários assinam autorizações para a realização de investigações para
obtenção e retenção de autorizações de segurança e há faixas de advertência
nos computadores e em algumas áreas das instalações que alertam as pessoas
de que elas têm menor expectativa de privacidade.
Quando informações classificadas são divulgadas de maneira não autorizada
fora dos limites da estrutura de segurança nacional do governo dos EUA, essas
informações podem criar situações prejudiciais aos interesses dos EUA e, em
alguns casos, podem ser fatais.
Informações classificadas nas mãos erradas podem fornecer uma vantagem
única e potencialmente perigosa para os atores estatais e não estatais cujos
interesses se opõem aos dos Estados Unidos.
Por exemplo, a divulgação não autorizada de informações classificadas poderia:
Fornecer detalhes sobre os sistemas de armas de que o país depende para se
defender; expor operações de inteligência no exterior e pessoal; identificar
vulnerabilidades críticas na infra-estrutura nacional dos Estados Unidos que, se
exploradas, podem prejudicar as capacidades internas de defesa, transporte,
saúde, finanças e/ou comunicação dos Estados Unidos.6 O NITTF define cinco
categorias principais de ameaças internas, que são mostradas no Quadro 7.3 .
CAIXA 7.3 CATEGORIAS DA NITTF DE

AMEAÇAS INTERNAS
Vazamentos são a divulgação intencional e não autorizada de

informações classificadas ou proprietárias para uma pessoa ou
organização que não precisa saber.
Derrames são a transferência não intencional de informações
classificadas ou proprietárias para sistemas, indivíduos, aplicativos
ou mídia não credenciados ou não autorizados.
Espionagem é a transmissão não autorizada de informações
classificadas ou proprietárias a um concorrente, nação estrangeira
ou entidade com a intenção de prejudicar.
Sabotagem significa destruir, danificar ou obstruir deliberadamente,
especialmente para vantagem política ou militar.
A violência direcionada representa qualquer forma de violência dirigida
a um indivíduo ou grupo, por um motivo específico.
Um exemplo de vazamento é como a história do PlayStation All-Stars Battle

Royale. Esse vazamento envolveu um jogo de luta de mascote: Super Smash
Brothers para Wii-U. Embora os próprios videogames sejam semelhantes, as
circunstâncias por trás de seus vazamentos não são. Enquanto a Sony vazou
acidentalmente suas próprias informações privadas em um download beta, o
vazamento da Nintendo veio de um funcionário que tinha acesso a uma câmera
e a uma versão não alugada do jogo.
Postando anonimamente no painel de videogames do 4chan, o vazador
compartilhou imagens de vários personagens não confirmados junto com
capturas de tela de diferentes modos de jogo que ainda não haviam sido
mostrados ao público. A princípio, o vazamento foi considerado uma farsa
devido à alegação ultrajante de que um dos personagens era o cachorro do
popular jogo dos anos 80, Duck Hunt. Mas em poucas horas, o vazador postou
vídeos deles mesmos jogando como todos os personagens que ainda não
foram anunciados, junto com fotos de diferentes itens colecionáveis que não
entraram no jogo principal. Há relatos não confirmados de que a Nintendo
descobriu qual funcionário vazou todas essas informações confidenciais e lidou
com eles.
Harry Potter e o conto de $ 20 milhões pelo ralo: Com o lançamento do
último livro de Harry Potter no horizonte, as tensões
estavam em alta nos escritórios da Bloomsbury. Depois de lidar com vazamentos

de pesadelo alguns anos antes, onde as pessoas realmente tiraram um tempo do
dia para arruinar a história de outras pessoas, gritando spoilers da morte de Harry
Potter e o Enigma do Príncipe em público antes do lançamento do livro, Bloomsbury
não estava arriscar deixar o livro final da série ser estragado da mesma maneira.
Em uma tentativa de bloquear spoilers e vazamentos, a empresa passou a

gastar mais de $ 20 milhões em medidas de segurança para as remessas de livros
que iam para os varejistas e ameaçar qualquer loja que ousasse abrir os
contêineres com os preciosos livros. No final das contas, tudo isso foi em vão, pois
alguém ainda conseguiu uma cópia do livro dias antes de seu lançamento. Para
horror de Bloomsbury, a pessoa começou a tirar fotos de cada página do livro e
postá-las online para que todos pudessem ver. O grande final foi estragado e a
Bloomsbury perdeu uma grande quantia de dinheiro por seus problemas.
Derrames são a transferência não intencional de informações classificadas ou

proprietárias para sistemas, indivíduos, aplicativos ou mídia não credenciados ou
não autorizados. A forma mais comum de ameaça interna é um vazamento. Os
derramamentos nos lembram que você não precisa ter intenção maliciosa para
causar danos. A maioria das pessoas pensa em vazamentos de dados de sistemas
de computador ou pela Internet. Os derramamentos, no entanto, não se limitam ao
domínio cibernético. Eles podem ocorrer quando um livro é publicado ou quando
uma apresentação pública ou entrevista é dada.
Espionagem é a transmissão não autorizada de informações classificadas ou
proprietárias a um concorrente, nação estrangeira ou entidade com a intenção de
prejudicar. Exemplo: Gregory Allen Justice, foi condenado por espionagem
econômica por vender informações confidenciais de satélite a uma pessoa que ele
acreditava ser um agente de um serviço de inteligência russo. Justice era um
engenheiro que trabalhava para um empreiteiro de defesa autorizado.
Especificamente, ele trabalhou em programas de satélites militares e comerciais.
Em troca do fornecimento desses materiais durante uma série de reuniões
entre fevereiro e julho de 2016, a Justiça solicitou e recebeu milhares de dólares
em pagamentos em dinheiro. Durante uma reunião, Justice discutiu o
desenvolvimento de um relacionamento como o retratado no programa de televisão
The Americans e, durante a reunião final, Justice ofereceu um tour pelas instalações
de produção de seu empregador, onde Justice disse que todas as espaçonaves
militares foram construídas.
Sabotagem significa destruir, danificar ou obstruir deliberadamente,

especialmente para vantagem política ou militar. Embora a sabotagem seja
frequentemente realizada por motivos políticos ou militares, outras motivações
podem incluir descontentamento pessoal. Exemplo: um administrador de sistemas
concedeu aos desenvolvedores testadores acesso administrativo local em seu sistema.
Os testadores criaram mais cinco contas de administrador, que nunca foram
notadas, e backdoors foram criados em diferentes bancos de dados. Quando um
dos desenvolvedores descobriu que seria demitido, ele acessou o sistema por
uma das backdoors e desligou o sistema.
A violência direcionada representa qualquer forma de violência dirigida a um
indivíduo ou grupo, por um motivo específico. Em outras palavras, não um ato
aleatório de violência. Exemplo: Um funcionário ouviu seu colega de trabalho
fazer uma declaração ameaçadora envolvendo uma arma de fogo. O colega de
trabalho teria ficado chateado com um problema ocorrido no local de trabalho e
fez o comentário, se eu tivesse uma arma, atiraria neles. Após uma investigação,
o colega de trabalho admitiu ter feito essas observações e afirmou que não
pretendia agir com base no comentário que fez. O colega de trabalho admitiu ter
um temperamento explosivo, mas não tinha intenção de atirar em ninguém.7
7.4 Ataques de Engenharia Social em Empresas
Durante os últimos anos, houve inúmeras violações de grandes bancos de dados

mantidos por empresas de marca. Muitos desses casos foram resolvidos, mas
milhões de identidades foram comprometidas no processo, o que ajuda a ilustrar
a necessidade de uma segurança muito melhor do que a existente atualmente
para proteger dados pessoais e financeiros. No entanto, muitos casos de violação
de segurança de dados de clientes ou PII não são resolvidos e nunca são
processados.
A Marriott International disse que uma violação de seu banco de dados de
reservas de hóspedes da Starwood expôs as informações pessoais de até 500
milhões de pessoas. De acordo com a Marriott, os hackers acessaram nomes,
endereços, números de telefone, endereços de e-mail, números de passaporte,
datas de nascimento, sexo, informações da conta do programa de fidelidade
Starwood e informações de reserva das pessoas. Para alguns, eles também
roubaram números de cartões de pagamento e datas de validade. A Marriott disse
que os números dos cartões de pagamento foram criptografados, mas ainda não
sabe se os hackers também roubaram as informações necessárias para descriptografá-los. O hotel
A rede disse que a violação começou em 2014 e qualquer pessoa que fez
uma reserva em uma propriedade da Starwood até 10 de setembro de 2018
pode ser afetada. As marcas Starwood incluem W Hotels, St. Regis, Sheraton
Hotels & Resorts, Westin Hotels & Resorts, Le Méridien Hotels & Resorts e
outras propriedades hoteleiras e de timeshare.8
Há uma boa chance de que qualquer uma das informações pessoais
confidenciais dos 143 milhões de consumidores americanos tenha sido exposta
em uma violação de dados na Equifax, uma das três principais agências de
relatórios de crédito dos Estados Unidos. De acordo com a Equifax, a violação
durou de meados de maio a julho de 2017. Os hackers acessaram nomes de
pessoas, números de previdência social (SSNs), datas de nascimento,
endereços e, em alguns casos, números de carteira de motorista. Eles também
roubaram números de cartão de crédito de cerca de 209 mil pessoas e
contestaram documentos com informações de identificação pessoal de cerca
de 182 mil pessoas. Além disso, eles coletaram informações pessoais de
pessoas no Reino Unido e no Canadá.9
Em 2015, o Office of Personnel Management (OPM) anunciou dois
incidentes de segurança cibernética separados, mas relacionados, que
afetaram os dados de funcionários do governo federal, contratados e outros.
Em junho de 2015, o OPM descobriu que os registros de investigação de
antecedentes de funcionários federais atuais, antigos e futuros e contratados
haviam sido roubados. O OPM e a equipe interagências de resposta a
incidentes concluíram com alta confiança que informações confidenciais,
incluindo os SSNs de 21,5 milhões de indivíduos, foram roubadas dos bancos
de dados de investigação de antecedentes. Isso inclui 19,7 milhões de
indivíduos que solicitaram uma investigação de antecedentes e 1,8 milhão de
não requerentes, principalmente cônjuges ou coabitantes dos requerentes.
Alguns registros também incluem resultados de entrevistas conduzidas por
investigadores de antecedentes e aproximadamente 5,6 milhões incluem
impressões digitais. Nomes de usuário e senhas que os candidatos usavam
para preencher seus formulários de investigação de antecedentes também
foram roubados. Embora os registros de investigação de antecedentes
contenham algumas informações sobre saúde mental e histórico financeiro
fornecidas pelos candidatos e pessoas contatadas durante a investigação de
antecedentes, não há evidências de que registros de saúde, finanças, folha de
pagamento e aposentadoria de funcionários federais ou daqueles que
solicitaram um trabalho federal foram afetados por este incidente (por exemplo, rolos de anuidad
registros de aposentadoria, USA JOBS, Employee Express). Em 2015, o OPM

descobriu que os dados pessoais de 4,2 milhões de atuais e ex-funcionários
do governo federal haviam sido roubados. Isso significava que informações
como nome completo, data de nascimento, endereço residencial e SSNs
foram afetadas.
Para pessoas que passaram por uma investigação de antecedentes
federais em 2000 ou posteriormente (o que ocorre por meio do envio dos
formulários SF-86, SF-85 ou SF-85P para uma nova investigação ou uma
nova investigação), era altamente provável que eles fossem impactado pelo
incidente envolvendo investigações de antecedentes. Se as pessoas tivessem
passado por uma investigação de antecedentes antes de 2000, elas ainda
poderiam ter sido afetadas, mas era menos provável. Funcionários federais
atuais ou anteriores também podem ter sido afetados pelo incidente separado,
mas relacionado, envolvendo registros pessoais.10
A Fresenius Medical Care North America (FMCNA) concordou em pagar
US$ 3,5 milhões ao Escritório de Direitos Civis (OCR) do Departamento de
Saúde e Serviços Humanos (HHS) dos EUA e adotar um plano de ação
corretiva abrangente, a fim de resolver possíveis violações de a Lei de
Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
Regras de Privacidade e Segurança. A FMCNA é fornecedora de produtos e
serviços para pessoas com insuficiência renal crônica. Eles têm mais de
60.000 funcionários e atendem a mais de 170.000 pacientes. Em 21 de janeiro
de 2013, a FMCNA apresentou cinco relatórios de violação separados para
incidentes separados ocorridos entre 23 de fevereiro de 2012 e 18 de julho de
2012, envolvendo as informações eletrônicas protegidas de saúde (ePHI) de
cinco entidades cobertas de propriedade da FMCNA (entidades cobertas pela
FMCNA).
Os cinco locais das violações foram Bio-Medical Applications of Florida,
Inc. d/b/a Fresenius Medical Care Duval Facility em Jacksonville, Flórida (FMC
Duval Facility); Aplicações Biomédicas da Alabama, Inc. d/b/a Fresenius
Medical Care Magnolia Grove em Semmes, Alabama (FMC Magnolia Grove
Facility); Renal Dimensions, LLC d/b/a Fresenius Medical Care Ak-Chin em
Maricopa, Arizona (FMC Ak-Chin Facility); Fresenius Vascular Care Augusta,
LLC (FVC Augusta); e WSKC Dialysis Services, Inc. d/b/a Fresenius Medical
Care Blue Island Dialysis (FMC Blue Island Facility).
A investigação do OCR revelou que as entidades cobertas pela FMCNA

falharam em conduzir uma análise de risco precisa e completa de riscos
potenciais e vulnerabilidades à confidencialidade, integridade e disponibilidade
de todos os seus ePHI. As entidades abrangidas pela FMCNA divulgaram
inadmissivelmente as ePHI de pacientes ao fornecer acesso não autorizado para
uma finalidade não permitida pela regra de privacidade.
Além de um acordo monetário de $ 3,5 milhões, um plano de ação corretiva
exigia que as entidades cobertas pela FMCNA concluíssem uma análise de risco
e um plano de gerenciamento de risco, revisassem políticas e procedimentos
em controles de dispositivos e mídia, bem como controles de acesso a
instalações, desenvolvessem um relatório de criptografia , e educar sua força de
trabalho sobre políticas e procedimentos.11
Em abril de 2018, a Securities and Exchange Commission (SEC) anunciou
que a entidade anteriormente conhecida como Yahoo! Inc. concordou em pagar
uma multa de US$ 35 milhões para encerrar as acusações de que enganou os
investidores ao não divulgar uma das maiores violações de dados do mundo, na
qual hackers roubaram dados pessoais relacionados a centenas de milhões de
contas de usuários. De acordo com a ordem da SEC, poucos dias após a
invasão de dezembro de 2014, a equipe de segurança da informação do Yahoo
descobriu que hackers russos haviam roubado o que a equipe de segurança
chamava internamente de joias da coroa da empresa: nomes de usuário,
endereços de e-mail, números de telefone, datas de nascimento, senhas
criptografadas e perguntas e respostas de segurança para centenas de milhões
de contas de usuários. Embora as informações relacionadas à violação tenham
sido relatadas aos membros da administração sênior e ao departamento jurídico
do Yahoo, o Yahoo não investigou adequadamente as circunstâncias da violação
e considerou adequadamente se a violação precisava ser divulgada aos
investidores. O fato da violação não foi divulgado ao público investidor até mais
de dois anos depois; ou seja, quando o Yahoo estava fechando a aquisição de
seus negócios operacionais pela Verizon Communications, Inc em 2016.
A ordem da SEC constatou que, quando o Yahoo apresentou vários relatórios

trimestrais e anuais durante o período de dois anos após a violação, a empresa
não divulgou a violação ou seu potencial impacto nos negócios e implicações
legais. Em vez disso, os registros da empresa na SEC afirmavam que ela
enfrentava apenas o risco e os efeitos negativos que poderiam advir de violações
de dados. Além disso, a ordem da SEC concluiu que o Yahoo não
compartilhar informações sobre a violação com seus auditores ou advogados

externos para avaliar as obrigações de divulgação da empresa em seus
registros públicos. Por fim, a ordem da SEC concluiu que o Yahoo falhou em
manter controles e procedimentos de divulgação projetados para garantir
que os relatórios da equipe de segurança da informação do Yahoo sobre
violações cibernéticas ou o risco de tais violações fossem avaliados
adequadamente e em tempo hábil para possível divulgação.
A Verizon adquiriu os negócios operacionais do Yahoo em junho de 2017.
Desde então, o Yahoo mudou seu nome para Altaba Inc. 2) e 17(a)(3) do
Securities Act de 1933 e Seção 13(a) do Securities Exchange Act de 1934 e
Regras 12b-20, 13a-1, 13a-11, 13a-13 e 13a- 15. A investigação da SEC
continuava em 2019.12
Violações de dados adicionais ocorreram na Lord & Taylor, Saks Fifth

Avenue, Saks OFF 5TH e Under Armour's MyFitnessPal, bem como em
outras empresas e entidades governamentais.
Dados abrangentes sobre violações não estão prontamente disponíveis
para todos os setores, mas a Tabela 7.1 mostra o número de pessoas
afetadas por violações envolvendo informações relacionadas à saúde de
2010 a 2015; A Tabela 7.2 mostra o número de pessoas por fonte de
violação de informações de saúde protegidas de 2010 a 2015; A Tabela 7.3
mostra o número de violações relatadas de informações protegidas de saúde
de 2010 a 2015; e a Tabela 7.4 mostra as fontes de violações de informações
de saúde protegidas de 2010 a 2015.
Tabela 7.1 Número de pessoas afetadas por violações de informações de saúde protegidas 2010–2015
TIPO DE VIOLAÇÃO 2010 2011 2012 2013 2014 2015
Incidente de hacking/TI 568.358 297.269 900.684 236.897 1.786.630 111.812.172
Descarte imprópria 34.587 63.948 21.329 526.538 93.612 924.909 6.019.578 95,815 142,411 243,376 82.421
Perda 3.699999888888888888888SONSO88888888SONSO888888888SONOM 47.214
Roubo 740.598
Acesso/ 572.919
divulgação não autorizado
Outra violação 158.593 13.981 503.900 254.305 413.878 N/D
Fonte: Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis. Violações que afetam
500 ou mais indivíduos. 1º de fevereiro de 2016.13
Tabela 7.2 Número de pessoas por fonte de violações de informações de saúde protegidas 2010–2015
FONTE DA VIOLAÇÃO 2010 2011 2012 2013 2014 2015
Computador de mesa 246.643 2.042.186 81.385 4.348.129 2.378.304 803.600 1.720.064 136.751 316.226
prontuário 40.196 121.845 3.948.985

eletrônico
E-mail 8.050 3.111 294.308 58.847 519.625 1.507.914 405.873 575.529 583.977
Computador portátil 1.023.181 1.273.612 665.123 613.963 921.335 320.127 7.253.441 106.652 391.830
servidor de rede
Papel/filme 204.966 103.711 198.409 575.076 590.352 29.714 124.978 154.877 141.110 229.743
Portátil 1.516 209.558

aparelho eletrônico
Outra fonte 2.058.166 8.259.368 455.709 422.381 343.537 322.539
Fonte: Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA (HHS). Violações que afetam 500 ou
mais indivíduos. 1º de fevereiro de 2016.13
Tabela 7.3 Número de violações relatadas de informações protegidas de saúde 2010–2015
TIPO DE VIOLAÇÃO DE INFORMAÇÃO 2010 2011 2012 2013 2014 2015
Incidente de hacking/TI 10 16 16 23 32 57
Descarte impróprio 10 7 7 13 11 6
Perda 18 17 19 24 28 22
Roubo 127 118 117 124 113 80
Acesso/divulgação não autorizado 7 26 25 63 72 100
Outra violação 22 2 18 24 28 0
Tabela 7.4 Número de violações de informações de saúde protegidas por fonte 2010–2015
VIOLAÇÃO DA FONTE DE INFORMAÇÃO 2010 2011 2012 2013 2014 2015
Computador de mesa 28 35 23 39 29 29
prontuário eletrônico 3 6 6 14 14 16
E-mail 10 20 36 37
Computador portátil
5 50 2 38 51 67 42 38
servidor de rede 17 16 20 30 46 41
Papel/filme 46 45 47 53 62 67
Dispositivo eletrônico portátil 19 20 22 15
Outra fonte 6 42 2 50 26 24 34 22

7.5 Etapas básicas para proteção contra ameaças internas
Existem muitas recomendações prontas para ajudar a proteger os instrumentos

financeiros e evitar má conduta interna, incluindo fraude e abuso. No entanto,
essas etapas em si não garantem que uma organização seja segura. A US Small
Business Administration (SBA) fornece uma lista de recomendações que geralmente
são consistentes com as fornecidas por várias organizações diferentes. Essas
recomendações incluem:
• Realização de verificações de antecedentes ao contratar funcionários.

• Proteger contas bancárias e cartões de crédito limitando e auditando seu
uso.
• Segurança de sistemas de informação e computadores.
• Usando um computador dedicado para serviços bancários.
• Educar os funcionários sobre segurança.
• Ter separação apropriada de funções para profissionais financeiros
processos e instrumentos.
• Ter cobertura de seguro adequada contra furto interno.14
• Ter Políticas de Fidelidade ou Crimes Comerciais que são especificamente
projetadas para proteger as organizações do impacto financeiro de atos
desonestos cometidos por funcionários.
A proteção contra ameaças internas é desafiadora em qualquer situação, mas ainda

mais quando o interno que pode causar mais danos geralmente já está em uma
posição confiável. Defender -se contra a ameaça interna/externa também é
desafiador, mas proteger contra uma equipe interna/externa pode ser a mais difícil
de todas as situações quando se trata de manter a segurança.
O insider pode recrutar ajuda externa se precisar complementar suas

capacidades. Se o insider precisa de um caminhão, precisa fazer algum trabalho
pesado ou precisa aumentar suas habilidades com o computador para perpetrar um
esquema de fraude, ele pode se unir a um estranho.
A ajuda externa pode ser vista como mais segura para quem está de dentro porque
não precisa revelar a outros funcionários que está trabalhando para cometer um
crime.
Por outro lado, a pessoa de fora pode recrutar a pessoa de dentro se a pessoa
de fora estiver tentando aumentar seu acesso a uma instalação ou a um sistema
de computador e a pessoa de dentro puder fornecer assistência nesse esforço.
O insider pode fornecer ao estranho ajuda física ou apenas
informações que facilitam a entrada em uma instalação e a perpetração de um crime.
As ações deliberadas por parte de uma equipe insider-outsider podem causar danos consideráveis e
custar grandes somas de dinheiro.
Construir um programa de ameaças internas pode ajudar as organizações a detectar, impedir e
responder a ameaças resultantes de pessoas internas mal-intencionadas e não intencionais. É
importante reconhecer que o desenvolvimento e o escopo do programa podem variar com base no
tamanho, orçamento, cultura e setor de uma organização. Definitivamente, inclua a equipe principal
e o pessoal de toda a organização, incluindo:
• Recursos Humanos
• Segurança física
• Segurança da informação
• Tecnologia da Informação
• Proprietários de dados
• Planejadores de continuidade de negócios
• Assessoria jurídica (ética e privacidade)
O grupo de trabalho de ameaças internas deve ser responsável pelo desenvolvimento e
implementação de um programa abrangente de ameaças internas para reduzir o risco a pessoas,
dados, sistemas e instalações. É melhor considerar uma abordagem em fases para controlar custos
e minimizar o impacto nas operações (piloto, escopo limitado, organização inteira) e aplicar métodos
baseados em risco que alavancam planos de continuidade de negócios e avaliações de risco para
priorizar a proteção de ativos. É importante de forma adequada:
• Incorporar requisitos legais e regulamentares
• Identificar fontes de dados que monitoram o comportamento
• Integrar os sistemas de gestão de recursos humanos no processo

• Selecionar câmeras de vigilância por vídeo
• Estabelecer sistemas de rastreamento de entrada/saída
• Implementar um sistema de monitoramento da atividade do usuário da rede
• Estabelecer um sistema de detecção de fraude financeira
• Colaborar com os proprietários de dados para garantir o compartilhamento de informações
• Proteger a privacidade, os direitos civis e as liberdades civis
• Contabilizar a cultura organizacional durante o planejamento e

execução
É uma etapa crítica estabelecer um programa de treinamento contínuo que incentive a

participação da liderança executiva e:
• Incorpora treinamento durante a integração

• Requer treinamento de atualização anual
• Reforça os objetivos do programa durante saídas voluntárias e involuntárias
• Adapta o treinamento para abordar funções e responsabilidades de mitigação

exclusivas 15
7.6 Conclusão
A maior ameaça moderna contra sistemas de computador, redes e dados confidenciais é

a ameaça interna. Existem inúmeros cenários potenciais que podem levar o insider a
roubar dados e informações. Todas as organizações enfrentam algum nível de ameaça
de pessoas de dentro e a possibilidade de que uma pessoa de dentro possa colaborar e

conspirar com uma pessoa de fora para roubar, sabotar ou humilhar seus funcionários.
7.7 Pontos Chave
• No nível social, mais pessoas têm maior acesso a tecnologias pessoais, como
smartphones, pen drives e outros dispositivos que melhor lhes permitem
espionar ou roubar propriedade intelectual. • Houve vários ataques internos de
alto perfil a agências governamentais durante a última década. As principais
áreas de risco potencial incluem criminosos, concorrentes industriais, ameaças
internas e adversários patrocinados pelo Estado.
• A detecção de comportamento potencialmente mal-intencionado envolve a coleta

de informações de várias fontes por pessoal interno autorizado sobre ameaças
e a análise dessas informações em busca de pistas ou comportamentos
preocupantes.
• Há também pessoas internas involuntárias que podem ser exploradas pelos

adversários da nação, que se tornaram cada vez mais sofisticados em visar os
interesses dos EUA, e um indivíduo pode ser
enganados para promover os objetivos desses adversários sem fazê-lo

conscientemente.
• Construir um programa de ameaças internas pode ajudar as organizações a
detectar, impedir e responder a ameaças resultantes de pessoas internas
mal-intencionadas e não intencionais.
• Durante os últimos anos, houve inúmeras violações de grandes bancos de

dados mantidos por empresas de renome. Muitos desses casos foram
resolvidos, mas milhões de identidades foram comprometidas no processo,
o que ajuda a ilustrar a necessidade de uma segurança muito melhor do que
a existente atualmente para proteger dados pessoais e financeiros.
• Sabotagem significa destruir, danificar ou obstruir deliberadamente,

especialmente para vantagem política ou militar. Embora muitas vezes seja
conduzido por motivos políticos ou militares, outras motivações podem incluir
descontentamento pessoal.
• Que experiência os participantes do seminário tiveram em situações em que

houve uma violação de segurança por parte de uma equipe interna ou
externa?
• Que planos ou procedimentos de segurança as organizações nas quais os

participantes trabalham têm para evitar incidentes internos e violações de
segurança?
• Quais são os procedimentos nas organizações em que os participantes são
empregados para relatar suspeitas ou possível má conduta interna?
Divida os participantes em vários grupos com cada grupo levando de 10 a 15 minutos

para desenvolver uma lista de comportamentos que um funcionário pode ter que
podem indicar que ele cometerá uma violação de segurança ou lançará um ataque
interno contra a organização.
Reúna-se em grupo e discuta a lista de comportamentos identificados pelo
grupos.
Termos chave
Controle de acesso para sistemas de computador: é um processo que permite ou

impede que usuários individuais tenham acesso a aplicativos de computador
específicos e conjuntos de dados de computador, incluindo o que o usuário
pode fazer nos sistemas com seu nível de acesso.
Sistemas de controle de acesso: são aquelas funções automatizadas e humanas que
permitem que uma pessoa devidamente identificada ou entidade lógica
acesse as instalações ou sistemas de computador de uma organização.
Separação apropriada de funções: é uma estrutura organizacional que impede que
funcionários ou agentes individuais tenham acesso ou controle de funções de
trabalho de uma maneira que lhes permita se apropriar independentemente
de ativos corporativos com poucas chances de detecção.
Acesso lógico autorizado: é o acesso que um insider pode ter ao computador de uma
organização e aos sistemas de comunicação que um funcionário pode
precisar para desempenhar suas funções de trabalho.
Acesso físico autorizado: é o acesso que um insider pode ter à propriedade, edifícios
e áreas de edifícios de uma organização que um funcionário possa precisar
para desempenhar suas funções de trabalho.
Plano de segurança abrangente: cobre todas as necessidades de segurança de uma

organização desde o início e é projetado para mitigar ameaças de segurança
conhecidas.
Lacunas na segurança: são medidas de segurança ou métodos de mitigação
inadequados para proteger um ativo ou não protegem completamente o ativo
para o qual foram implantados.
Avaliações individuais: são projetadas para avaliar quão bem um funcionário
individual está executando uma tarefa específica ou tipos de tarefas
necessárias para cumprir suas responsabilidades de trabalho.
empregadora.
Equipe insider-outsider: são duas ou mais pessoas que conspiram em conjunto para
agir de forma maliciosa contra uma organização na qual uma delas (o insider)
é empregada ou tem acesso privilegiado.
Ameaça interna-externa: é uma ameaça que surge como resultado de um
relacionamento entre um dos funcionários de uma organização e um
pessoa que trabalha para uma organização externa ou que não está
relacionada à organização do funcionário.
Onboarding: um processo que integra o novo contratado aos aspectos sociais e
culturais de uma organização.
Organizações abertas: tendem a ser mais informais e não altamente estruturadas
– muitas vezes carecem de estruturas de comunicação hierárquicas
estritas, as equipes de projeto são fluidas, as informações fluem
livremente e os funcionários têm amplo acesso a informações, sistemas
e pessoas.
Tecnologias pessoais: incluem dispositivos de propriedade do funcionário, como
telefones celulares, tablets, laptops e mídia digital que podem ser usados
para registrar e remover informações de propriedade das instalações do
empregador de forma inadequada.
Referências
1. Testemunho de Ronald L. Dick, Diretor, National Infrastructure Protection Center,
Perante o Comitê de Energia e Comércio da Câmara, Subcomitê de Supervisão e
Investigação Washington, DC. Departamento de Justiça dos Estados Unidos, Federal
Bureau of Investigation. 5 de abril de 2001. Recuperado em 22 de fevereiro de 2019.
https://www.fbi.gov/news/testimony/
questão-de-invasões-em-redes-de-computadores-do-governo
2. Comunidade de defesa discute desafios cibernéticos em seminário de segurança
industrial. Os sistemas de guerra espacial e naval comandam os assuntos públicos.
Stillions, Tina C. 16 de maio de 2014. Acessado em 22 de fevereiro de 2019. https://
www.navy.mil/submit/display.asp?story_id=81058#
3. Combatendo ameaças internas — Lidando com ameaças internas usando análises
forenses dinâmicas em tempo de execução. Direcção de Informação do Laboratório
de Investigação da Força Aérea Rome Research Site, Roma, Nova Iorque. Hallahan, Jason.
Outubro de 2007. Acessado em 22 de fevereiro de 2019. apps.dtic.mil/dtic/tr/full text/
u2/a473440.pdf
4. Declaração do Departamento de Justiça sobre o Pedido a Hong Kong para a Prisão
Provisória de Edward Snowden. Secretaria de Assuntos Públicos do Departamento de
Justiça. 26 de junho de 2013. Acessado em 23 de fevereiro de 2019. https://
www.justice.gov/opa/pr/justice-department-statement-request-hong kong-edward-
snowden-s-provisional-arrest
5. Declaração de Conyers sobre as revelações de Edward Snowden. Comitê da Câmara
dos EUA sobre o Judiciário. 24 de junho de 2013. Acessado em 23 de fevereiro de
2019. https://judiciary.house.gov/press-release/conyers-statement edward-snowden-
disclosures
6. Missão da Força-Tarefa Nacional de Ameaças Internas (NITTF). Centro Nacional de
Contra-Inteligência e Segurança. Acessado em 22 de fevereiro de 2019. https://
www.dni.gov/index.php/ncsc-who-we-are
7. Fique sozinho. Força-Tarefa Nacional de Ameaças Internas (NITTF). Acessado em 22 de

fevereiro de 2019. https://www.dni.gov/ncsc/Insider-Threat/main.html?
modo=navegar#
8. A violação de dados do Marriott. FTC. Gressin, Seena. 4 de dezembro de 2018.
Acessado em 23 de fevereiro de 2019. https://www.consumer.ftc.gov/blog/2018/
12/marriott-data-breach
9. A violação de dados da Equifax: o que fazer. FTC. Gressin, Seena. 8 de setembro de 2017.
Acessado em 23 de fevereiro de 2019. https://www.consumer.ftc.gov/
blog/2017/09/equifax-data-breach-what-do
10. O que aconteceu? Escritório de Administração de Pessoal dos Estados Unidos. 2015. Acessado
23 de fevereiro de 2019. https://www.opm.gov/cybersecurity/
incidentes de cibersegurança/
11. Cinco violações somam milhões em custos de liquidação para a entidade que não atendeu às
regras de análise e gerenciamento de riscos da HIPAA. Departamento de Saúde e Serviços
Humanos dos EUA. 1º de fevereiro de 2018. Acessado em 23 de fevereiro de 2019. https://
www.hhs.gov/about/
news/2018/02/01/five-breaches-add-millions-settlement-costs-entity failed-heed-hipaa-s-risk-
analysis-and-risk.html
12. Altaba, anteriormente conhecido como Yahoo!, acusado de não divulgar violação maciça de
segurança cibernética; concorda em pagar US$ 35 milhões. FTC. 24 de abril de 2018.
Acessado em 23 de fevereiro de 2019. https://www.sec.gov/news/press release/2018-71
13. Violações de informações de saúde protegidas e não seguras. Gabinete do Coordenador
Nacional de Informática em Saúde. Fevereiro de 2016. Acessado em 23 de fevereiro de 2019.

https://dashboard.healthit.gov/
quickstats/pages/breaches-protected-health-information.php
14. 7 maneiras de proteger sua pequena empresa contra fraudes e crimes cibernéticos United
States Small Business Administration. Beesley, Caron.
8 de maio de 2013. Acessado em 25 de maio de 2016. https://www.sba.gov/blogs/
funcionário-fraude-o-que-você-pode-fazer-sobre-isso
15. Estabeleça um Programa Abrangente de Ameaças Internas. EUA DHS.
16 de agosto de 2018. Acessado em 24 de fevereiro de 2019. https://www.dhs.gov/
estabelecer programa
8
Educando Pessoas
prevenir _ _
Ataques de Engenharia
Quando se trata de prevenir ataques de engenharia social, as principais

defesas são prevenir spam, exigir permissões para o código executar um
sistema e uma coleção de folhas de dicas oferecidas por várias
organizações e agências governamentais. Esperamos que esses esforços
tenham sido úteis para reduzir o número e a eficácia dos ataques de
engenharia social, mas os ataques continuam e as pessoas continuam
sendo vítimas ao custo de bilhões de dólares todos os anos. Assim, os
esforços para educar a população sobre prevenção precisam ser muito
ampliados e, sobretudo, devem incluir informações precisas para
combater a desin formação, a desinformação e as fake news, e fazer isso
com informações imparciais e precisas. Isso exigirá o uso de todas as
ferramentas de comunicação para informar as pessoas sobre materiais
imprecisos ou maliciosos que circulam por todos os meios de
comunicação. Este capítulo examina muitos dos desafios que os
defensores enfrentam ao tentar evitar danos causados por ataques de
engenharia social, sejam eles originados em São Petersburgo ou Washington, DC.
8.1 Os ataques de engenharia social vêm em várias formas e tamanhos
Uma revisão das folhas de dicas e conselhos oferecidos em muitos sites

para ajudar a proteger os consumidores mostra claramente que é
necessário um maior esforço para tornar esta informação mais útil e para
que seja mais amplamente distribuída. Além das deficiências de utilidade
e distribuição, a maioria das dicas e conselhos sobre engenharia social é
bastante plana e superficial. Há mais de um tipo de ataque de engenharia
social que precisa ser defendido e uma abordagem única para educação
e conscientização não é adequada. A Figura 8.1 mostra quatro tipos de
179
Isca de esquema que atrai as pessoas

Acertos rápidos resultando em código
para esquemas de fraude financeira
malicioso por meio de uma carga útil ou link
ou extrai mais informações e maior
para um site infectado
acesso
Campanhas de persuasão e influência Radicalização de indivíduos

que mantêm os usuários engajados e os levam politicamente, socialmente ou
a ações específicas comportamentalmente
Figura 8.1 Tipos de ataques de engenharia social.
ataques de engenharia social dos quais as pessoas podem ser vítimas, apenas para
acabar com uma infinidade de problemas em suas vidas.
Os capítulos anteriores deste livro examinam muitos dos vários tipos de ataques e
motivações de engenharia social. Para ajudar a planejar programas de conscientização
e educação, as quatro categorias de ataques de engenharia social mostradas na Figura
8.1 podem servir como uma ferramenta de planejamento e orientação para educadores.
O ataque rápido por e-mail ou links para sites maliciosos é certamente o ataque mais
fácil de explicar e de se defender. A questão que permanece é por que tantas pessoas
ainda se tornam vítimas de tais ataques.
O esquema de ataques de isca que atraem as pessoas para esquemas de fraude

ou extraem mais informações e maior acesso aos sistemas é eficaz porque as pessoas
prestam pouca atenção aos problemas de segurança envolvidos em tais ataques ou
são vítimas de falsas promessas, ganância ou algum desejo de ver o prêmio que o
clique em um link deve fornecer. Apesar de milhares de alertas sobre tais ataques, as
pessoas continuam caindo na armadilha ano após ano.
Os ataques de campanha de persuasão e influência são mais complexos e a

engenharia social é mais sofisticada. A promessa de informações privilegiadas sobre
uma conspiração, ou texto malicioso ou fotos de celebridades ou políticos, mantém os
usuários engajados e os leva a ações mais específicas. Isso inclui continuar
acompanhando as postagens ou e-mails para descobrir ou ver mais, especialmente
quando se trata de tópicos emocionais como islamofobia, xenofobia, racismo, sexismo
ou ódio aos liberais.
Esses ataques são projetados para manter as pessoas engajadas o maior tempo
possível e, quando possível, recrutá-las para um clã simbólico ou tribo de pensadores
semelhantes. Esse tipo de ataque é mais complexo de explicar porque as pessoas
estão respondendo às suas crenças e são atraídas pelo que querem ouvir ou ver, em
oposição a uma perspectiva mais equilibrada.
Evite ataques de engenharia social 181
Os ataques de engenharia social destinados à radicalização de indivíduos

politicamente, socialmente ou comportamentalmente são mais complexos do que o
ataque de persuasão e também são mais eficazes em pessoas com predisposição ao
ódio, racismo, anarquia, violência e comportamento anti-social em geral . Essas
campanhas ficaram famosas pelo Estado Islâmico do Iraque e Síria, Estado Islâmico do
Iraque e Levante, Estado Islâmico ou Daesh (ISIS) nos últimos anos, enquanto a
organização trabalhava para recrutar pessoas para a causa como apoiadores ou
combatentes, mas os ataques de engenharia social russos aos Estados Unidos antes e
durante as eleições de 2016 foram igualmente complexos e certamente igualmente
covardes.
Além de entender os tipos de ataques de engenharia social, também é importante

entender como a população de usuários da Internet é dividida por muitas características
sociais, econômicas e educacionais. Esses segmentos aprendem de maneira diferente,
retêm informações de maneira diferente e têm níveis variados de preocupação com a
segurança. Muitos deles simplesmente ignoram totalmente a segurança ao trabalhar
online.
8.2 A diversidade nas populações eleitorais que precisam de educação
Uma das dinâmicas que torna a campanha de conscientização ou educação de

tamanho único ineficaz é a diversidade da população. O ataque de persuasão e divisão
foi muito usado durante as eleições de 2014 a 2020 em vários países. Esses ataques
foram muito eficazes entre alguns segmentos da população e menos eficazes em
outros segmentos. Nos Estados Unidos, as taxas de votação e registro tendem a
aumentar com a educação. Em 2016, nos Estados Unidos, a taxa de votação para os
cidadãos com pelo menos um diploma de bacharel foi de 76,3%, em comparação com
34,3% para aqueles que não receberam o diploma do ensino médio.
A Tabela 8.1 mostra os diversos níveis de escolaridade dos eleitores dos EUA nas
eleições de 2016, enquanto a Tabela 8.2 mostra a votação e o registro entre cidadãos
nativos e naturalizados, por raça, origem hispânica e região de nascimento, durante a
eleição de 2016.
Esses dados ilustram a diversidade em estilos de aprendizagem que não podem ser
atendidos com um único programa de conscientização ou educação de tamanho único.
Para se comunicar efetivamente com esses diversos segmentos populacionais, serão
necessários vários estilos de comunicação e talvez a comunicação em vários idiomas,
dialetos e meios.
Tabela 8.1 Diversidade nos níveis de educação entre os eleitores dos EUA em 2016
REPORTADO REGISTRADO REPORTADO VOTADO 2016
ELEIÇÃO DE 2016 ELEIÇÃO

CIDADÃO TOTAL
POPULAÇÃO DOS EUA POPULAÇÃO NÚMERO NÚMERO
MAIS DE 18 ANOS (MILHARES) (MIL) POR CENTO (MIL) POR CENTO
Total 224.059 157.596 70.3 137.537 61.4
Menos de 9º ano 9º ao 5.643 2.389 42.3 1.788 31.7
12º ano, sem diploma 14.715 6.906 46,9 5.202 35.3
Formado no 65.518 40.983 62,6 33.774 51,5
ensino médio
Alguma faculdade 66.809 48.845 73.1 42.296 63.3
ou grau de associado
diploma de bacharel 46.317 37.270 80,5 34.364 74.2
Grau avançado 25.057 21.203 84,6 20.113 80.3
Fonte: Votação e Registro 2016. US Census Bureau.
Os dados censitários mostram inúmeros segmentos populacionais que podem exigir

o desenvolvimento de programas especializados de conscientização.
Além da necessidade de desenvolver uma infinidade de abordagens para educar
os eleitores sobre como identificar informações objetivas confiáveis emitidas por
fontes de campanha, há uma necessidade de ensinar os eleitores a identificar mídias
de notícias tendenciosas de engenharia social e atividades de mídia social.
Os políticos se esconderão atrás da Primeira Emenda para justificar o uso de
desinformação, junto com suas declarações enganosas e suas mentiras flagrantes
e falsas alegações sobre seus talentos e motivações e as fraquezas de seus
oponentes. Os conservadores confessam que estão travando uma guerra cultural

pelo poder e não se importam se mentem, enganam, roubam ou profanam a
democracia americana para alcançar a vitória. Assim, organizações independentes
são necessárias para liderar esforços de educação para combater mensagens
políticas de engenharia social com contra-mensagens e fornecer narrativas
mestras alternativas.
A Comissão de Assistência Eleitoral dos EUA colaborou com
oficiais eleitorais locais para desenvolver uma série de dicas úteis para a gestão
eleitoral. Esta série fornece dicas e sugere práticas recomendadas para ajudar as
pessoas a realizar eleições eficientes e eficazes. Os programas de educação eleitoral
impactam o comparecimento dos eleitores. Programas bem planejados podem
motivar e encorajar os cidadãos a participar do processo de votação. Acima de tudo,
como parte do esforço educacional, informações precisas devem ser incluídas para
lutar contra a desinformação, desinformação e
cidadão
nativo População
total Tabela
8.2
Votação
e
registro
entre
cidadãos
nativos
e
naturalizados,
por
raça,
origem
hispânica
e
região
de
nascimento
2016
POPULAÇÃO
DOS
EUA
ACIMA
DE
18
ANOS
Asiático
sozinho
ou
em sozinho
ou
em
combinação asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças Asiático
sozinho
ou
em sozinho
ou
em
combinação asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças
combinação Preto
sozinho
ou
em
combinaçãoBranco Hispânico
(de
qualquer
raça) preto
sozinho combinação Preto
sozinho
ou
em
combinaçãoBranco Hispânico
(de
qualquer
raça) preto
sozinho
CIDADÃO
TOTAL
(MILHARES)
POPULAÇÃO
3.976
4.750
10.283
11.118
19.848
28.808
26.662
30.326
26.597
28.037
177.865
154.450
181.268
167.069
149.815
170.288
224.050
2204.059
2
(MILHARES)
REPORTADO
REGISTRADO
NÚMERO
5.785
6.369
2.046
2.586
19.984
15.267
18.512
11.198
19.428
20.935
157.596
127.463
114.151
129.664
145.351
120.760
111.095
122
ELEIÇÃO
DE
2016
POR
CENTO
54.4 69.3 72.1 56,4 51,5 69,6 74.2 72.3 71.2 57.3 69,0 71,5 57.3 56.3 69,4 73,9 71,7 70.3
(MIL)
POR
CENTO
NÚMERO
5.043
5.542
1.778
9.040
2.238
17.119
12.682
17.875
98.255
15.756
16.477
137.537
111.891
100.849
113.707
126.763
106.047
107.707
REPORTADO
VOTO
ELEIÇÃO
DE
2016
(Contínuo)
47.1 58,8 63.3 45,5 44,7 59.2 65,6 63,5 62.1 49,9 58,9 62,7 47,6 49,0 59,4 65,3 62,9 61.4
183 Evite ataques de engenharia social
Fonte:
Votação
e
Registro
2016.
US
Census
Bureau. Naturalizado Nascimento
2016
POPULAÇÃO
DOS
EUA
ACIMA
DE
18
ANOS Tabela
8.2
(Continuação)
Votação
e
Registro
entre
Cidadãos
Nativos
e
Naturalizados,
por
Raça,
Origem
Hispânica
e
Região
de
cidadão
Asiático
sozinho
ou
em
combinação Branco
sozinho
ou
em asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças
Preto
sozinho
ou
em
combinação combinação Hispânico
(de
qualquer
raça) preto
sozinho
CIDADÃO
TOTAL
(MILHARES)
POPULAÇÃO
4.635
2.210
6.307
6.815
2.290
6.367
19.847
10.796
10.981
(MIL)
POR
CENTO
REPORTADO
REGISTRADO
NÚMERO
1.472
1.507
6.704
3.056
3.738
4.070
6.827
3.783
12.245
ELEIÇÃO
DE
2016
65,8
59,4 59,7
62,2 66,6
59,3 62,1
65,9 61,7
(MIL)
POR
CENTO
NÚMERO
5.844
2.594
1.363
3.642
5.959
1.398
3.305
3.265
10.774
REPORTADO
VOTO
ELEIÇÃO
DE
2016
61,1
51,9 53,4
54,3 61,7
51,8 54,1
56,0 54.3
Engenharia social 184
notícias falsas com o apoio de vozes credíveis. Todas as ferramentas de comunicação

devem ser usadas para informar as pessoas sobre materiais imprecisos que circulam
por todos os meios de comunicação. As sete dicas a seguir devem ajudar a fortalecer
os esforços de educação do eleitor.3
Dica nº 1: Use os dados para orientar sua abordagem no planejamento dos

esforços de educação do eleitor. Quanto mais você souber sobre seus
eleitores, mais eficaz será sua abordagem. Lembre-se de que diferentes
eleitores têm diferentes estilos de aprendizagem. Entenda a melhor forma de
alcançar o público votante para combater o marketing enganoso, incluindo
feeds de notícias, sites, mídia social, mídia impressa, rádio, televisão ou
pessoalmente. Obtenha informações sobre os eleitores reunindo e analisando
dados de eleições anteriores sobre:
• Subvotos
• Cédulas estragadas
• Erros nas cédulas provisórias
• Voto ausente por distrito
Dica#2: Mantenha seu site atualizado; revise-o e avalie-o com frequência.

Mantenha-o atualizado e acessível com uma página frontal proeminente.
Para manter seu site amigável, certifique-se de ter uma apresentação limpa,
simples e visualmente atraente, evitando aglomerar o conteúdo com muitos
gráficos e fotografias.
Escreva em linguagem simples e crie um link para uma seção de perguntas
frequentes (FAQs) e destaque as perguntas frequentes de maior interesse
para os eleitores. Além disso:
• Inclua requisitos de registro, locais de votação e voto antecipado e ausente

na seção de perguntas frequentes.
• Destaque quaisquer novas leis ou informações que afetem os eleitores.
• Publique uma versão simples de seu calendário de operações que inclua
prazos e datas de interesse específico para os eleitores.
• Link para sites que oferecem explicações completas sobre temas
complexos específicos para vários tipos de eleitores.
• Incluir um diretório de funcionários eleitorais.
• Forneça informações de contato para o suporte técnico.
• Link para sites de candidatos e partidos políticos se seus estatutos
permitirem.
• Peça a grupos cívicos e de defesa não partidários, escolas e faculdades
ou universidades para criar um link para seu site.
• Crie um kit de imprensa para a mídia. Inclua comunicados à imprensa, publicações

nas redes sociais, fotos e quaisquer vídeos que você tenha sobre as atividades
de preparação para as eleições.
• Link para dados históricos sobre tendências de comparecimento e sobre
cadastro.
• Divulgue suas atividades de educação eleitoral. Convide a mídia
frequentar.
• Use ferramentas de comunicação adaptáveis, como fontes aprimoradas e
formatos de áudio de todos os materiais para deficientes visuais
eleitores.
• Lembre-se de atualizar seu site com frequência.

• Designe um membro experiente da equipe para ser seu representante on-line
Gerente.
• Criar formatos de teletipo (um dispositivo de comunicação usado por pessoas
surdas, com deficiência auditiva ou com grave deficiência de fala) (TTY) de
todos os materiais para eleitores com deficiência auditiva.
• Disponibilize todas as informações em seu site para grupos linguísticos

minoritários em suas jurisdições e forneça traduções escritas e de áudio.
• Considere contratar uma empresa de web design para avaliar a qualidade do site
usabilidade.
Dica nº 3: experimente as mídias sociais como uma ferramenta educacional, incluindo

Twitter, Facebook, YouTube, aplicativos móveis e e-mail, que podem ajudá-lo a
alcançar eleitores jovens e iniciantes. Uma presença efetiva na mídia social requer
um compromisso de tempo significativo da equipe, mas oferece economias de custo
substanciais em relação aos métodos de mídia tradicionais. Dedique uma equipe
experiente e entusiástica para ouvir e responder adequadamente às perguntas e
comentários diretos dos eleitores. Também é útil desenvolver um adesivo eletrônico
Votei para as páginas do Facebook e incentivar os seguidores a usá-lo e entrar em
contato com seus seguidores no dia da eleição. Por fim, peça a grupos cívicos e de
defesa não partidários, escolas e faculdades ou universidades que incluam um link
em seus sites para seguir seu escritório no Facebook e no Twitter.
Dica nº 4: Confie em uma variedade de mídia porque muitos eleitores reterão melhor
as informações quando vierem da mídia impressa, TV,
rádio ou publicidade. Incentive a mídia local a dedicar uma cobertura

proeminente aos seus eventos de educação eleitoral. Emita comunicados de
imprensa frequentes, peça aos jornais locais para imprimir seu guia do eleitor
como um encarte e pratique o politicamente correto para ajudar sua
campanha a obter uma cobertura mais positiva. Entre em contato também com
estações locais de rádio, televisão e emissoras públicas para organizar
anúncios de utilidade pública sobre atividades promocionais oportunas de
mensagens positivas de interesse para os eleitores. Também ajuda usar
outdoors educativos ou fazer parceria com funcionários do transporte público
para colocar placas nos transportes públicos. Outras ações úteis incluem:
• Consultar empresas locais de serviços públicos e escritórios do governo

sobre a inserção de encartes de educação do eleitor em suas
correspondências regulares.
• Emitir correspondências de rotina em vários idiomas de brochuras informativas
aos eleitores, palm cards ou marcadores de livros.
• Solicitar conselhos do escritório de defesa da deficiência de seu estado e de
organizações que representam cidadãos com deficiências diferentes sobre
a melhor forma de alcançar pessoas com deficiência
cidadãos.
• Obtenção de informações de governadores tribais e de grupos de defesa de

minorias eleitorais e de idiomas minoritários sobre métodos apropriados
para fornecer educação eleitoral em formatos culturalmente relevantes.
Dica nº 5: Dê atenção pessoal aos eleitores e mantenha você e sua equipe

atualizados sobre todas as leis, datas e procedimentos eleitorais para melhor
ajudar os eleitores que entram em contato diretamente com seu projeto. Você
pode ajudar os eleitores por meio de interações pessoais, designando
funcionários experientes para ajudar os eleitores que visitam seu escritório
pessoalmente; e tenha um bom estoque de brochuras de educação eleitoral,
palm cards e marcadores atualizados, disponíveis e exibidos com destaque em
seu escritório.
É útil estabelecer um programa de alcance comunitário para grupos cívicos,
centros de idosos e lares de idosos e organizar visitas a centros de idosos com
formulários de inscrição, folhetos educativos, calendários eleitorais e
demonstrações do sistema de votação. Faça isso continuamente, desenvolvendo
programas em instalações de cuidados de longo prazo que ajudam os

residentes a permanecer engajados e manter suas informações de registro
de eleitor atualizadas, e fazer parceria com empresas locais e organizações
comerciais, escritórios governamentais e grupos de defesa apartidários
para ajudar a levar educação aos eleitores.
Tenha o máximo de interação possível e ofereça-se para ajudar
escolas, faculdades e universidades a realizar eleições simuladas, enviar
palestrantes convidados voluntários durante campanhas de registro de
eleitores e oferecer seu equipamento de votação, cabines de privacidade
e solucionadores de problemas para demonstrações a outros grupos que
patrocinam eventos de educação eleitoral em sua localização ou em suas
localizações. Isso também pode ajudar a estabelecer locais satélites
temporários que ofereçam informações e serviços aos eleitores nas
semanas anteriores ao encerramento do registro. Se possível, use um
escritório móvel para visitar áreas de alto tráfego, como shoppings, centros
de idosos, bibliotecas e faculdades antes de cada eleição.
Dica nº 6: crie um kit de ferramentas do eleitor com informações essenciais
para os eleitores em sua jurisdição. Inclua no kit de ferramentas do eleitor
informações sobre como se registrar e prazos para o registro, juntamente
com os requisitos de identificação do eleitor. Inclua também datas, horas
e horários de votação, cédulas de amostra, um guia do eleitor, opções de
ausência e voto por correio, informações de contato de sua central de
atendimento e equipe, endereço do seu site e nomes de contas no
Facebook e no Twitter.
Dica nº 7: Coordene a educação em todas as plataformas e utilize muitas

ferramentas de educação do eleitor em vários formatos diferentes. Por
exemplo, forneça seu kit de ferramentas do eleitor on-line e em formato de
brochura, envie boletins regulares com artigos oportunos e prazos
relevantes para o eleitor por meio de impressão, e-mail, mídia social e
aplicativos móveis. Lembre os eleitores das próximas datas por e-mail,
postagens no Twitter e no Facebook e correspondências. Além disso, em
seu site, forneça mapas do distrito eleitoral e mapas com instruções de
direção para os locais de votação, por meio de aplicativos móveis e link
para software de mapeamento em todas as plataformas.
Se possível, ofereça demonstrações ou vídeos educativos sobre como
votar, como usar a tecnologia e como seu escritório torna os resultados
eleitorais seguros e precisos. Envie essas apresentações para o YouTube
e outros canais eletrônicos.3
Evitar ataques de engenharia social 189
8.3 Neutralizando a Isca de Clique Educando os Usuários da Internet
O phishing ou o uso de isca de esquema que atrai as pessoas para esquemas de fraude
financeira ou extrai mais informações e maior acesso aos sistemas continua sendo um dos
principais métodos de engenharia social usados para perpetrar crimes na Internet. Existem
inúmeros sites que oferecem dicas de prevenção de fraudes, todos reiterando um tema
básico.
A Caixa 8.1 mostra uma mensagem típica aos consumidores para combater esquemas de
fraude online.4
A mensagem básica geralmente é seguida de dicas sobre como os usuários da Internet

devem ser cautelosos. Embora a mensagem padrão seja claramente declarada, a entrega
obviamente não é eficaz o suficiente. Se os Estados Unidos e, de fato, o mundo realmente
fizerem um esforço mais bem-sucedido para lutar contra os ataques da engenharia social,
será necessário um esforço consideravelmente maior no esforço educacional. Pode exigir
uma campanha na escala de convencer as pessoas a usar cintos de segurança em seus
automóveis que ocorreu nas décadas de 1950 e 1960 e continua até hoje. Outros esforços
de educação em larga escala incluíram antitabagismo, proteção ambiental, como “Não jogue
lixo e não polua” e “Não consuma álcool durante a gravidez”.
O Plano Nacional de Tecnologia Educacional do Escritório de Tecnologia Educacional

(OET) do Departamento de Educação dos Estados Unidos pode ser parte da solução. O
OET desenvolve a política nacional de tecnologia educacional e estabelece a visão de como
a tecnologia pode ser usada para transformar o ensino e a aprendizagem e como tornar
possível a aprendizagem em todos os lugares e o tempo todo para os primeiros alunos
através do K-12, ensino superior e educação de adultos.
QUADRO 8.1 MENSAGEM TÍPICA DE SERVIÇO PÚBLICO

PARA COMBATER O CRIME NA INTERNET
Phishing é quando um golpista usa e-mail falso, mensagens de texto ou sites

imitadores para tentar roubar a identidade ou informações pessoais de uma pessoa,
como números de cartão de crédito, números de contas bancárias, PINs de cartões
de débito e senhas de contas. O golpista pode afirmar que a conta do usuário foi
comprometida ou que uma das contas do usuário foi cobrada incorretamente.
A OET propõe que a tecnologia pode ser uma ferramenta poderosa para
transformar a aprendizagem. Ele pode ajudar a afirmar e promover
relacionamentos entre educadores e alunos, reinventar nossas abordagens de
aprendizado e colaboração, diminuir as lacunas de equidade e acessibilidade de
longa data e adaptar as experiências de aprendizado para atender às
necessidades de todos os alunos. O OET afirma que os líderes educacionais
devem definir uma visão para criar experiências de aprendizado que forneçam
as ferramentas e o suporte certos para que todos os alunos prosperem. Além
disso, as partes interessadas na educação devem se comprometer a trabalhar
juntas além das fronteiras organizacionais e geográficas para usar a tecnologia
para melhorar a educação americana. A OET realiza sua missão por:
• Promover a equidade de acesso a experiências de aprendizagem

transformacional possibilitadas pela tecnologia;
• Apoio à aprendizagem profissional personalizada para líderes e
educadores estaduais, distritais e escolares;
• Garantir que todos os alunos estejam conectados à Internet de banda
larga em suas salas de aula e tenham acesso a recursos de aprendizagem
digital acessíveis e de alta qualidade na escola e em casa;
• Promover um ecossistema robusto de empreendedores e inovadores;
e,
• Liderar pesquisas de ponta para fornecer novos tipos de evidências e
personalizar e melhorar o aprendizado.
O Plano Nacional de Tecnologia da Educação (NETP) estabelece uma visão

e um plano nacional para a aprendizagem, viabilizada pela tecnologia por meio
da construção do trabalho dos principais pesquisadores da educação; líderes
distritais, escolares e de ensino superior; professores de sala de aula;
desenvolvedores; empreendedores; e organizações sem fins lucrativos. Os
princípios e exemplos fornecidos no plano se alinham com as Atividades para
apoiar o uso eficaz da tecnologia (Título IV A) da Lei do Sucesso de Todos os
Estudantes, conforme autorizado pelo Congresso em dezembro de 2015.
Desde o NETP de 2010, os Estados Unidos fizeram progresso em alavancar
a tecnologia para transformar a aprendizagem de várias maneiras:
• A conversa mudou de se a tecnologia deve ser usada no aprendizado

para como ela pode melhorar o aprendizado para garantir que todos
os alunos tenham acesso a experiências educacionais de alta
qualidade.
• A tecnologia está sendo cada vez mais usada para personalizar o

aprendizado e dar aos alunos mais opções sobre o que e como aprender
e em que ritmo, preparando-os para organizar e direcionar seu próprio
aprendizado para o resto de suas vidas.
• Os avanços nas ciências da aprendizagem melhoraram nossa
compreensão de como as pessoas aprendem e iluminaram quais fatores
pessoais e contextuais têm mais impacto em seu sucesso.
• A pesquisa e a experiência melhoraram nossa compreensão do que as
pessoas precisam saber e das habilidades e competências que precisam
adquirir para ter sucesso na vida e no trabalho no século XXI. Por meio
de programas de preparação inicial de professores e aprendizado
profissional, os educadores estão ganhando experiência e confiança no
uso da tecnologia para alcançar o aprendizado
resultados.
• O software sofisticado começou a nos permitir adaptar as avaliações às

necessidades e habilidades de cada aluno e
fornecem resultados quase em tempo real.
• Nacionalmente, houve progresso para garantir que todas as escolas

tenham conectividade de alta velocidade em sala de aula como base
para outras inovações de aprendizado.
• O custo dos dispositivos digitais diminuiu drasticamente, enquanto o poder
de computação aumentou, juntamente com a disponibilidade de
ferramentas e aplicativos educacionais interativos de alta qualidade.
• A tecnologia nos permitiu repensar o projeto de espaços físicos de
aprendizagem para acomodar relacionamentos novos e ampliados entre
alunos, professores, colegas e mentores.5
8.4 Repensando como empacotar a

mensagem de prevenção de engenharia social
Um dos maiores desafios em ensinar as pessoas é entender que as pessoas

aprendem de forma diferente. Há mais de uma maneira de as pessoas aprenderem,
o que significa que deve haver várias maneiras de ensinar a mesma mensagem
para alcançar efetivamente um número maior de pessoas. Existem vários modelos
de aprendizado que o NETP está trabalhando para possibilitar com a tecnologia.
A aprendizagem personalizada refere-se à instrução em que o ritmo de

aprendizagem e a abordagem instrucional são otimizados para as necessidades
de cada aprendiz. Objetivos de aprendizado, abordagens instrucionais e conteúdo

instrucional (e sua sequência) podem variar de acordo com as necessidades do
aluno. Além disso, as atividades de aprendizagem são significativas e relevantes
para os alunos, motivadas por seus interesses e muitas vezes iniciadas por eles mesmos.
Em um ambiente de aprendizado combinado, o aprendizado ocorre online e
pessoalmente, aumentando e apoiando a prática do professor. Essa abordagem
geralmente permite que os alunos tenham algum controle sobre o tempo, local,
caminho ou ritmo de aprendizado, incluindo o uso de conteúdo visual. Em muitos
modelos de aprendizagem combinada, os alunos passam parte de seu tempo face a
face com o professor em um grande grupo, algum tempo face a face com um
professor ou tutor em um pequeno grupo e algum tempo aprendendo com e de colegas. .
O aprendizado misto geralmente se beneficia de uma reconfiguração do espaço
físico de aprendizado para facilitar as atividades de aprendizado, fornecendo uma
variedade de zonas de aprendizado habilitadas por tecnologia otimizadas para
colaboração, aprendizado informal e estudo individualizado.
O aumento da conectividade também aumenta a importância de ensinar os alunos
a se tornarem cidadãos digitais responsáveis. Precisamos orientar o desenvolvimento
de competências para usar a tecnologia de forma significativa, produtiva, respeitosa
e segura. Por exemplo, ajudar os alunos a aprender a usar a etiqueta on-line
adequada, a reconhecer como suas informações pessoais podem ser coletadas e
usadas on-line e a alavancar o acesso da idade a uma comunidade global para
melhorar o mundo ao seu redor pode ajudar a prepará-los para navegar com sucesso
na vida em uma mundo conectado. Dominar essas habilidades requer uma
compreensão básica das ferramentas tecnológicas e a capacidade de fazer
julgamentos cada vez mais sólidos sobre o uso delas no aprendizado e na vida diária.
É importante observar a pesquisa que está sendo feita sobre a tecnologia

educacional em estágio inicial e como essa pesquisa pode ser aplicada de forma
mais ampla à aprendizagem no futuro. Como parte de seu trabalho em aprendizado
cibernético, a National Science Foundation (NSF) está pesquisando oportunidades
oferecidas pela integração de tecnologias emergentes com avanços nas ciências do
aprendizado. A seguir estão exemplos de projetos financiados pela NSF como parte
desse esforço.
• Maior uso de jogos e simulações para dar aos alunos a experiência de

trabalhar juntos em um projeto sem sair de suas salas de aula: os alunos
estão ativamente envolvidos em uma situação que parece urgente e devem
decidir o que medir e como
analisar dados para resolver um problema desafiador. Em um exemplo,

uma sala de aula inteira se torna uma simulação reduzida de um
terremoto. Enquanto os alto-falantes reproduzem os sons de um
terremoto, os alunos podem fazer leituras em sismógrafos simulados
em diferentes locais da sala, inspecionar uma linha de falha emergente
e esticar barbante para identificar o epicentro.
Outro exemplo é o Aprendizado de Idiomas Assistido por Robô na
Educação (RALL-E), no qual os alunos que aprendem mandarim
conversam com um robô que exibe uma variedade de expressões
faciais e gestos, juntamente com um software de diálogo de linguagem.
Esses robôs permitirão que os alunos se envolvam em uma experiência
social de dramatização com um novo idioma sem as ansiedades
usuais de falar um novo idioma. O RALL-E também incentiva a
conscientização cultural, ao mesmo tempo em que incentiva o bom
uso das habilidades linguísticas e aumenta a confiança do aluno por meio da prática.
• Novas maneiras de conectar interações físicas e virtuais com tecnologias
de aprendizagem que unem o tangível e o abstrato: por exemplo, há
um projeto de moléculas que faz com que os alunos manipulem um
modelo físico de bola e bastão de uma molécula, enquanto uma
câmera detecta o modelá-lo e visualizá-lo com fenômenos científicos
relacionados, como o campo de energia ao redor da molécula. O
envolvimento tangível dos alunos com um modelo físico está conectado
a modelos conceituais mais abstratos, apoiando o crescimento da
compreensão dos alunos. Com um objetivo semelhante, os alunos do
ensino fundamental esboçam imagens de situações matemáticas
usando uma caneta na superfície de um tablet com ferramentas de
representação e esboços à mão livre, da mesma forma que fariam no
papel. Ao contrário do papel, eles copiam, movem, agrupam e
transformam facilmente suas imagens e representações de forma a
ajudá-los a expressar o que estão aprendendo sobre matemática.
Estes podem ser compartilhados com o professor e, por meio de
inteligência artificial, o computador pode ajudar o professor a ver
padrões nos esboços e apoiar o uso que o professor faz da expressão
do aluno como um recurso instrucional poderoso.
• O software interativo de imagens tridimensionais está criando
experiências de aprendizado potencialmente transformadoras: com
óculos tridimensionais e uma caneta, os alunos podem trabalhar com
uma ampla variedade de imagens das camadas da Terra
ao coração humano. Esse tipo de tecnologia versátil permite que os

alunos trabalhem com objetos que as escolas normalmente não
poderiam pagar, proporcionando assim uma experiência de aprendizado
mais rica e envolvente.
• Realidade aumentada (AR) como uma nova forma de investigar nosso
contexto e história: Os pesquisadores do projeto Exploratório
Transforming Education abordaram como e para que finalidades as
tecnologias de RA podem ser usadas para apoiar o aprendizado de
estratégias e processos de investigação crítica. Os alunos podem usar
um dispositivo móvel com AR para aumentar sua experiência de
campo em um local histórico local. Além de experimentar o site como
ele existe, a tecnologia AR permite que os alunos visualizem e
experimentem o site de várias perspectivas sociais e visualizem sua
estrutura e usos em vários períodos de tempo. A pesquisa se concentra
no potencial da tecnologia AR em trabalho de campo baseado em
investigação para disciplinas nas quais a análise da mudança ao longo
do tempo é importante para promover a compreensão de como
mudanças muito pequenas em longos períodos de tempo podem resultar em mudanças m
As parcerias entre os programas de preparação de professores e os distritos

escolares são emblemáticas dos tipos de parcerias que precisaremos construir
em todos os grupos educacionais se quisermos aumentar o uso da tecnologia
na aprendizagem de um complemento para um componente integral e
fundamental da educação sistema. A tecnologia não deve ser separada da
aprendizagem da área de conteúdo, mas usada para transformar e expandir a
aprendizagem pré e contínua como parte integrante da aprendizagem do
professor. Nosso sistema educacional continua a observar um aumento
acentuado nas oportunidades de aprendizado on-line e nos modelos de
aprendizado misto. Instituições de ensino superior, distritos escolares,
educadores de sala de aula e pesquisadores precisam se unir para garantir que
os profissionais tenham acesso a informações atuais sobre práticas apoiadas
por pesquisa e uma compreensão do melhor uso de tecnologias online
emergentes para apoiar a aprendizagem em espaços online e mistos .5
8.5 Prevenção da Radicalização de Indivíduos
O modelo mais complexo de engenharia social na Internet tem sido a

radicalização de cidadãos individuais contra seu povo ou seu governo e seu
recrutamento para o extremismo violento.
O modelo de recrutamento e radicalização do ISIS é um exemplo

historicamente extremo de como a engenharia social tem sido usada por
fanáticos internacionais para transformar pessoas em extremistas violentos
que realizam atos hediondos de violência e crimes contra a humanidade.
Os sucessos na guerra contra o terrorismo e as prisões de muitos líderes
importantes da Al Qaeda diminuíram a capacidade do grupo de atacar a
pátria dos Estados Unidos, mas um movimento extremista sunita evoluiu de
um movimento central da Al Qaeda para um movimento mais amplo. A Al-
Qaeda e outros grupos continuaram empenhados em atacar os Estados
Unidos e também estão tentando ampliar seu apelo aos muçulmanos
ocidentais de língua inglesa, disseminando propaganda extremista, violenta,
islâmica e de engenharia social por meio de meios de comunicação e da
Internet. A radicalização islâmica dos norte-americanos, nascidos no exterior
ou nativos, tornou-se uma preocupação crescente. A radicalização por grupos
islâmicos, bem como pela supremacia branca e outros grupos domésticos de
ódio e terror nos Estados Unidos existe em todo o país. A chave para o
sucesso de impedir a propagação da radicalização é identificar padrões e
tendências nos estágios iniciais.
O FBI define extremistas domésticos como americanos que parecem ter
assimilado, mas na realidade rejeitaram os valores culturais, crenças e
ambiente dos Estados Unidos. A ameaça de extremistas locais provavelmente
é menor em escala do que a representada por grupos terroristas estrangeiros
como a Al-Qaeda, mas é potencialmente maior em impacto psicológico.
Desde 2005, o FBI, outras agências federais e parceiros estrangeiros
desmantelaram uma rede global de extremistas que operam independentemente
de qualquer organização terrorista conhecida. Vários indivíduos afiliados a
esta rede foram presos por fornecer apoio material em conexão com a trama
de um ataque terrorista nos Estados Unidos e outros países. O aparente
aumento de casos envolvendo extremistas locais pode representar uma maior
sensibilidade da aplicação da lei para atividades não consideradas
anteriormente como terrorismo, mas não podemos descartar a possibilidade
de que tanto o fenômeno local quanto a crescente popularidade de grupos
anti-sociais domésticos e fanáticos estão crescendo.
A Internet é um local para a radicalização de jovens ocidentais experientes

em computadores (tanto homens quanto mulheres) que se identificam com
as mensagens de ódio da ideologia extremista e às vezes estão ansiosos
para se envolver em conflitos ideológicos. Uma geração mais velha de apoiadores
e simpatizantes do extremismo violento, no ambiente pós-11 de setembro

de maior escrutínio da aplicação da lei, migraram suas atividades de
radicalização, recrutamento e suporte material online.
A radicalização via Internet é participativa e os indivíduos estão ativamente
engajados na troca de propaganda e retórica extremista online, o que pode
facilitar a causa extremista violenta e a violência motivada ideologicamente.
Essas atividades on-line promovem sua doutrinação, criam vínculos entre
extremistas localizados em todo o mundo e podem servir de trampolim para
futuras atividades terroristas.7
O terrorismo doméstico é perpetrado por indivíduos e/ou grupos inspirados
ou associados principalmente a movimentos baseados nos EUA, como os
cidadãos soberanos que adotam ideologias extremistas de natureza política,
religiosa, social, racial ou ambiental. Por exemplo, o tiroteio de 8 de junho de
2014 em Las Vegas, durante o qual dois policiais dentro de um restaurante
foram mortos em um ataque do tipo emboscada, foi cometido por um casal
que tinha opiniões antigovernamentais e que pretendia usar o tiroteio para
iniciar uma revolução. A ameaça do terrorismo doméstico também permanece
persistente em geral, com atores cruzando a linha dos direitos protegidos
pela Primeira Emenda para cometer crimes para promover sua agenda
política. Três fatores contribuíram para a evolução do cenário de ameaças
terroristas:
• A Internet: atores internacionais e nacionais desenvolveram

abriu uma ampla presença na Internet por meio de plataformas de
mensagens e imagens, vídeos e publicações on-line de engenharia
social, que facilitam a capacidade dos grupos de radicalizar e
recrutar indivíduos receptivos a mensagens extremistas.
Essas mensagens estão constantemente disponíveis para pessoas
que participam de redes sociais dedicadas a várias causas,
principalmente os mais jovens que se sentem à vontade para se
comunicar no ambiente de mídia social.
• Uso da mídia social: além de usar a Internet, a mídia social permitiu
que terroristas internacionais e domésticos obtivessem acesso
virtual sem precedentes a pessoas que vivem nos Estados Unidos
em um esforço para permitir ataques à pátria e apoiar esforços de
recrutamento e doutrinação . O ISIS, em particular, encorajou
simpatizantes a realizar ataques simples onde eles estavam
localizados contra alvos, e alvos fáceis em
particular, ou para viajar para o território controlado pelo ISIS no Iraque e

na Síria e se juntar a suas fileiras como combatentes estrangeiros. Esta
mensagem repercutiu entre apoiadores nos Estados Unidos e no exterior,
e vários agressores recentes alegaram estar agindo de acordo com o ISIS.
lado.
• Extremistas violentos locais (HVEs): O FBI deve identificar os simpatizantes

que se radicalizaram e se tornaram HVEs dentro dos Estados Unidos e
que aspiram atacar a nação de dentro. Os HVEs são definidos pelo Bureau
como indivíduos inspirados pela jihad global baseados nos Estados
Unidos, que foram radicalizados principalmente nos Estados Unidos e não
estão colaborando diretamente com uma organização terrorista estrangeira.
Atualmente, o FBI está investigando HVEs suspeitos em todos os estados.8
Uma declaração de política de fevereiro de 2019 divulgada pela Casa Branca

reconheceu que o público americano depende cada vez mais da Internet para
socialização, transações comerciais, coleta de informações, entretenimento e
criação e compartilhamento de conteúdo. O rápido crescimento da Internet trouxe
oportunidades, mas também riscos, e o governo federal está empenhado em
capacitar o público a se proteger contra toda a gama de ameaças online, incluindo
a radicalização online para a violência.
Grupos supremacistas extremistas violentos e cidadãos soberanos violentos

estão utilizando ferramentas e recursos on-line para propagar mensagens de
violência e divisão socialmente engendradas. Esses grupos usam a Internet para
disseminar propaganda, identificar e preparar recrutas em potencial e complementar
seus esforços de recrutamento no mundo real. Alguns membros e apoiadores
desses grupos visitam os principais sites de mídia social para ver se os indivíduos
podem ser recrutados ou encorajados a cometer atos de violência, procuram
oportunidades para atrair alvos para trocas privadas e exploram a mídia popular,
como videoclipes e videogames online. Embora a Internet ofereça inúmeras
oportunidades para os americanos se conectarem, ela também forneceu aos
extremistas violentos acesso a novos públicos e instrumentos de radicalização.
Como ponto de partida para prevenir a radicalização online para a violência na

pátria, o governo federal se concentrará na conscientização sobre a ameaça e no
fornecimento de informações práticas às comunidades
informações e ferramentas para se manter seguro online. Nesse processo, o

governo dos EUA planeja trabalhar de perto com o setor de tecnologia para
considerar políticas, tecnologias e ferramentas que possam ajudar a combater o
extremismo violento online. As empresas já desenvolveram medidas voluntárias
para promover a segurança na Internet, como avisos de fraude, proteção de
identidade e dicas de segurança na Internet.
Essa abordagem é consistente com os princípios de segurança na Internet
que ajudaram a manter as comunidades protegidas contra uma variedade de
ameaças online, como agressores cibernéticos, golpistas, gangues e predadores
sexuais. Embora cada uma dessas ameaças seja única, a experiência mostra
que um público bem informado, munido de ferramentas e recursos para se
manter seguro online, é fundamental para proteger as comunidades. A adoção
de tal abordagem também é consistente com a estrutura baseada na comunidade
descrita em Empowering Local Partners to Prevent Violent Extremism in the United States e
o Plano de Implementação Estratégica para Capacitar Parceiros Locais para
Prevenir o Extremismo Violento nos Estados Unidos.
Para organizar os esforços de forma mais eficaz, o governo dos EUA planeja
um Grupo de Trabalho Interinstitucional para Combater a Radicalização Online
para a Violência, estabelecido no início de 2013 presidido pela Equipe de
Segurança Nacional da Casa Branca e envolvendo especialistas em combater o
extremismo violento, especialistas em segurança na Internet e civis profissionais
de liberdade e privacidade de todo o governo dos EUA. Este grupo de trabalho
será responsável por desenvolver planos para implementar uma abordagem de
segurança na Internet para lidar com o extremismo violento online, coordenar as
atividades do governo federal, avaliar o progresso desses planos e identificar
atividades adicionais para combater a radicalização online para a violência. O
grupo de trabalho se coordenará com os departamentos e agências federais
para aumentar a conscientização e disseminar ferramentas para se proteger do
extremismo violento online principalmente por três meios.
Em primeiro lugar, as informações sobre extremismo violento online serão

incorporadas às iniciativas existentes de segurança na Internet do governo federal.
Iniciativas de segurança na Internet no Departamento de Educação, Federal
Bureau of Investigation (FBI), Federal Trade Commission (FTC), Departamento
de Segurança Interna (DHS) e outras agências fornecem plataformas que já
atingem milhões de americanos e relevantes departamentos e agências
trabalharão para adicionar materiais relacionados à radicalização online.
A principal plataforma do governo para aumentar a conscientização sobre

segurança na Internet é o OnGuard Online, gerenciado pela FTC e
envolvendo 16 departamentos e agências, incluindo o DHS, o Departamento
de Justiça (DOJ) e o Departamento de Educação.
O OnGuard Online, além de outras plataformas de segurança na Internet do
governo federal, como Stop.Think.Connect e Safe Online Surfing (SOS),
começará a incluir informações sobre extremismo violento online. Essas
informações também serão publicadas na página inicial do Countering Violent
Extremism no site do Departamento de Segurança Interna e atualizadas para
refletir as novas melhores práticas e pesquisas.
Em segundo lugar, o governo federal trabalhará com organizações locais
em todo o país para disseminar informações sobre a ameaça. Uma razão
para o sucesso dos esforços de conscientização sobre segurança na Internet
do governo federal é que eles trabalham em estreita colaboração com
organizações locais, como distritos escolares, associações de pais e mestres,
governo local e autoridades policiais para se comunicar com as comunidades.
A aplicação da lei é um parceiro particularmente importante na conscientização
sobre a radicalização para a violência e já está desenvolvendo materiais com
o apoio do DOJ. Os departamentos e agências de aplicação da lei
estabeleceram programas de segurança na Internet e relacionamentos com
membros da comunidade e organizações locais que podem atingir vários
públicos com informações críticas sobre a ameaça de violência online
extremismo e recrutamento. Os departamentos e agências fornecerão as
avaliações mais recentes dessa ameaça aos parceiros locais e os incentivarão
a incorporar essas informações em seus programas e
iniciativas.
Em terceiro lugar, os departamentos e agências usarão o envolvimento
pré-existente com as comunidades para fornecer informações sobre
segurança na Internet e detalhes sobre como extremistas violentos estão
usando a Internet para atingir e explorar as comunidades. Os advogados dos
EUA em todo o país, que historicamente se envolveram com as comunidades
em uma série de questões de segurança pública, estão coordenando esses
esforços de envolvimento federal no nível local, com o apoio de outros
departamentos e agências, como o Departamento de Segurança Interna, o
Departamento de Saúde e Serviços Humanos (HHS) e o Departamento de
Educação. Os advogados dos EUA e outros envolvidos no envolvimento da
comunidade procurarão incorporar informações sobre a radicalização da
Internet para a violência em seus esforços, conforme apropriado. Ao mesmo tempo, o govern
se envolverá com governos estaduais, locais e tribais e oficiais de aplicação

da lei para aprender com suas experiências em lidar com ameaças online,
incluindo extremismo violento.
À medida que o governo federal implementa esse esforço, as agências
continuarão a investigar e processar aqueles que usam a Internet para recrutar
outras pessoas para planejar ou realizar atos de violência, garantindo ao
mesmo tempo que continuem a defender a privacidade individual e as liberdades civis.
Prevenir a radicalização online para a violência requer soluções proativas para
reduzir a probabilidade de extremistas violentos afetarem seu público-alvo,
bem como garantir que as leis sejam rigorosamente aplicadas.9
8.6 Crianças do FBI
Uma área em que o FBI se destaca em fornecer educação para segurança na

Internet é a segurança para crianças. Considerando os muitos perigos que
espreitam na Internet, de predadores de crianças a agressores cibernéticos, de
software malicioso a uma infinidade de golpes, é imperativo que os jovens
aprendam os meandros da segurança online desde cedo. É exatamente por
isso que o Bureau lançou o Desafio de Navegação Segura na Internet do FBI
em outubro de 2012 com um novo site dedicado.
FBI-SOS é um programa gratuito, divertido e informativo que promove a
cidadania cibernética educando alunos da terceira à oitava série sobre os
fundamentos da segurança online. Para os professores, o site oferece um
currículo pronto que atende aos mandatos estaduais e federais de segurança
na Internet, completo com testes on-line e uma competição nacional para
incentivar o aprendizado e a participação. Um sistema on-line seguro permite
que os professores registrem suas escolas, gerenciem suas aulas, atribuam
notas automaticamente aos exames de seus alunos e solicitem as pontuações dos testes.
O site do FBI-SOS (https://www.fbi.gov/fbi-kids) apresenta seis ilhas, uma
para cada série, com jogos, vídeos e outros materiais interativos apropriados
para a idade em vários portais. O site aborda tópicos como segurança do
telefone celular, proteção de informações pessoais, força de senha, mensagens
instantâneas, redes sociais e segurança de jogos online. Os vídeos incluem
histórias da vida real de crianças que enfrentaram agressores cibernéticos e
predadores online.
O FBI-SOS inclui uma competição mensal entre escolas de todo o país.
Existem três categorias com base em quantos alunos estão participando. As
dez pontuações mais altas em cada categoria são mostradas
Tabela 8.3 Alunos Concluindo o Programa SOS
ANO ACADÊMICO NÚMERO DE ESTUDANTES
2012–2013 24.475
2013–2014 75.377
2014–2015 275.656
2015–2016 497.248
Total 872.756
no quadro de líderes a cada mês. Sempre que possível, as escolas vencedoras em cada categoria
receberão a visita de um agente especial do FBI local. A popularidade do programa cibernético
online SOS cresceu ao longo dos últimos anos escolares, conforme mostrado na Tabela 8.3.
Depois que a conta do professor é verificada, ele recebe um e-mail com uma URL exclusiva para
gerenciar sua turma, junto com mais instruções. O link nunca expira, então eles não precisam se
registrar no FBI-SOS todos os anos. Uma vez cadastrados, eles podem criar turmas e uma chave
de teste de acesso para cada aluno. O FBI não armazena nenhuma informação sobre os alunos,
portanto, é responsabilidade do professor criar as chaves de teste e acompanhar qual chave de
teste foi atribuída a cada aluno. Os alunos navegarão pelos vários jogos e atividades em sua ilha
apropriada para a série. Quando os alunos concluírem a última atividade, eles podem clicar na
prancha Take the Test para fazer o exame.
Nesse ponto, os alunos devem ter certeza de que estão prontos para concluir o exame, pois ele
só pode ser feito uma vez. Para fazer o exame, os alunos precisam inserir a chave de acesso que
lhes é atribuída. Os exames são avaliados automaticamente assim que todos os alunos de uma
turma concluírem o teste e os professores clicarem no botão Avaliar exame. Imediatamente após a
realização do teste, uma página da Web temporária mostra a cada aluno sua pontuação e uma lista
de todas as perguntas respondidas incorretamente. Os professores podem solicitar aos alunos que
imprimam e guardem esta página web e/ou podem solicitar os resultados dos exames de cada turma
através do sistema de gestão de turmas.
Os resultados da classe mostram as pontuações individuais por chave de teste.
As pontuações gerais de cada escola são comparadas com os resultados de outras escolas em
todo o país com salas de aula semelhantes como parte de uma competição nacional mensal. As
categorias são determinadas pelo número de alunos participantes de cada escola: Starfish tem de 1
a 50 participantes, Stingray tem de 51 a 100 participantes e Shark tem mais de 100 participantes.
As dez pontuações mais altas em cada uma dessas categorias durante o mês
podem ser visualizadas no quadro de líderes. Além do que é exibido no quadro de
líderes, o FBI não mantém ou distribui as classificações das escolas em todo o país.
A tabela de classificação é redefinida no final de cada
mês.
A escola com a melhor pontuação em cada categoria de participação em todo o

país todos os meses, de setembro a maio, recebe um certificado FBI-SOS. Os
professores das escolas vencedoras também recebem certificados que podem
preencher e distribuir a cada aluno. Não há certificados de participação para escolas
ou alunos não vencedores. Sempre que possível, a escola vencedora em cada
categoria todos os meses receberá a visita de um agente especial do FBI local. As
escolas só podem participar no concurso uma vez por ano letivo.
O SOS pode ser visitado a qualquer momento na sala de aula ou em casa, e os

alunos podem trabalhar em seu próprio ritmo para concluir as atividades da ilha e o
exame. No entanto, lembre-se de que terminar o exame mais rapidamente produz
uma pontuação mais alta. As atividades não precisam ser concluídas de uma só
vez. Embora o site do FBI-SOS esteja acessível o ano todo, os testes e a competição
funcionam apenas de 1º de setembro a 31 de maio. Não há testes durante os meses
de verão.
O objetivo do FBI-SOS é promover a cidadania cibernética e ajudar os alunos a
aprender sobre segurança online enquanto se envolvem em jogos divertidos e
interativos. O programa foi projetado para lidar com as ameaças atuais à segurança
na Internet, mantendo em mente o uso e o conhecimento on-line de cada nível de
série.
Há também um Programa de Conscientização do FBI para Adolescentes contra

o extremismo violento (CVE), intitulado Não seja uma marionete: abra a cortina
contra o extremismo violento. É a principal responsabilidade do FBI, trabalhando
com seus muitos parceiros, proteger a nação de ataques de extremistas violentos.
Uma maneira importante de fazer isso é impedir que os jovens abracem ideologias
extremistas violentas em primeiro lugar.
Este site foi projetado para ajudar a fazer exatamente isso. Construído pelo FBI
em consulta com líderes comunitários e outros parceiros, ele usa uma série de
materiais interativos para educar os adolescentes sobre os efeitos destrutivos
natureza do extremismo violento e incentivá-los a pensar criticamente sobre suas

mensagens e objetivos. O site enfatiza que, ao aceitar cegamente as ideologias
radicais, os adolescentes estão essencialmente se tornando os bichinhos de
estimação de extremistas violentos que simplesmente querem que eles cumpram suas ordens.
missão destrutiva que geralmente inclui alvejar ou matar pessoas inocentes

(https://www.fbi.gov/cve508/teen-website).
O FBI incentiva grupos comunitários, famílias e escolas secundárias nos
Estados Unidos a usar este site como parte de seus esforços educacionais.
Todos os americanos são convidados a se juntar ao FBI para expor a natureza
sedutora da propaganda extremista violenta e oferecer alternativas positivas à
violência. O site tem cinco seções principais que cada adolescente deve concluir
para concluir o programa com sucesso:
• O que é extremismo violento?

• Por que as pessoas se tornam extremistas violentos?
• O que são grupos extremistas violentos conhecidos?
• Como os extremistas violentos fazem contato?
• Quem os extremistas violentos afetam?
Depois de concluir as primeiras cinco seções, os adolescentes são solicitados a

revisar uma seção final, Onde obter ajuda e, em seguida, imprimir e assinar
(manualmente) um certificado de conclusão. O FBI usará o link do certificado
como uma ferramenta de coleta de métricas para contar quantas pessoas
concluíram o programa com sucesso, mas não rastreará ou armazenará
nenhuma informação do usuário ao fazê-lo. Este programa inclui algumas
informações gerais sobre as liberdades garantidas pela Primeira Emenda da
Constituição dos Estados Unidos e os limites dessas liberdades. O FBI sugere
que os professores falem sobre esse assunto com mais profundidade antes de
iniciar o programa. O FBI também recomenda que os professores estejam disponíveis para discu
enquanto os adolescentes estão usando o site ou depois de concluírem o
programa. Outras organizações também podem considerar a incorporação do
site em briefings de segurança e programas anti-bullying.
É importante que os professores enfatizem que os exemplos de extremismo
violento apresentados no programa representam ideologias marginais e não
devem ser confundidos com as crenças de qualquer grupo religioso, étnico ou
político dominante. Fornecer o contexto apropriado é importante para garantir
que ninguém use o material deste programa como desculpa para intimidar ou
excluir outras pessoas.
Este site não retém o progresso de um adolescente no programa depois que
seu navegador da web é fechado ou o computador é desligado. Como resultado,
este programa deve ser totalmente concluído em uma sessão ou sessão. Uma
seção deste site contém vídeos transmitidos pelo YouTube. Se uma organização
bloquear o YouTube em seu
computadores, certifique-se de remover essa restrição antes que os

adolescentes iniciem o programa online. O registro não é necessário para
usar este site. O FBI não aceita nem armazena nomes ou outras informações
de identificação pessoal neste site.10
Em 30 de novembro de 2017, a secretária interina de Segurança Interna
Elaine Duke anunciou a transição do Office for Community Partnerships
(OCP) para o Office of Terrorism Prevention Partnerships (OTPP). A missão
do OTPP é melhorar a educação e a conscientização da comunidade sobre
a ameaça, fornecer recursos apropriados para as partes interessadas na
prevenção do terrorismo, coordenar as atividades relevantes de prevenção
do terrorismo do DHS, combater ativamente a radicalização e o recrutamento
de terroristas e promover o alerta precoce para que os defensores da linha
de frente pode intervir para interromper os ataques e ajudar a impedir que
indivíduos enveredem pelo caminho da violência. O OTPP é a principal
fonte de liderança, inovação e apoio para a melhoria da eficácia dos
parceiros nos níveis federal, estadual, local, tribal e territorial. Ele também
aproveita os recursos e relacionamentos do Departamento de Segurança
Interna e aplica a liderança pessoal do secretário para capacitar líderes nos
setores público e privado para estimular mudanças sociais para combater o
extremismo violento.
O OTPP implementa uma ampla gama de parcerias para apoiar e
aprimorar os esforços de aplicação da lei, líderes religiosos, funcionários do
governo local e comunidades para prevenir a radicalização e o recrutamento
por organizações terroristas. O OTPP também oferece a essas partes
interessadas treinamento e assistência técnica para desenvolver programas
de prevenção de CVE em apoio a comunidades resilientes. O OTPP lidera
a missão CVE do Departamento com os seguintes objetivos:
• Envolvimento da comunidade. O OTPP trabalha com o Escritório de

Direitos Civis e Liberdades Civis para facilitar o envolvimento da
comunidade para conscientizar e promover o diálogo com os
parceiros da comunidade, o que inclui o envolvimento da liderança
sênior do DHS.
• Expansão e treinamento do suporte de campo. O OTPP apóia a
equipe de campo do DHS em todo o país para desenvolver e
fortalecer parcerias locais e fornecer oportunidades de treinamento.
• Conceder apoio. O OTPP trabalhou com a Agência Federal de
Gerenciamento de Emergências (FEMA) para fornecer $ 10
milhões em doações para programas baseados na comunidade no FY2016

Countering Violent Extremism Grant Program.
Esses projetos têm prazo de execução que vai até julho de 2019.
• Engajamento filantrópico. O OTPP trabalha com a comunidade filantrópica para

maximizar o apoio às comunidades locais e encorajar parcerias de longo prazo;
• Engajamento do setor de tecnologia. O OTPP envolve o setor de tecnologia para

identificar e amplificar vozes confiáveis online e promover contra-narrativas à
radicalização e contra mensagens extremistas violentas.11
8.7 Conclusão
Impedir que ataques de engenharia social sejam bem-sucedidos requer que os usuários
de computador permaneçam atentos e pratiquem hábitos seguros na Internet.
A coleção de folhas de dicas oferecidas por várias organizações e agências governamentais
certamente foi útil para reduzir o número e a eficácia dos ataques de engenharia social
para as pessoas que as leram e seguiram seus conselhos. No entanto, milhões de
pessoas em todo o mundo continuam sendo vítimas, o que indica claramente que os
esforços de educação precisam ser muito ampliados e modernizados.
8.8 Pontos Chave
• Existem vários métodos e objetivos de ataque de engenharia social diferentes

que tornam o desenvolvimento de campanhas de conscientização e programas
de educação desafiadores. • Além das deficiências de utilidade e distribuição,
a maioria das folhas de dicas e conselhos sobre prevenção de ataques de
engenharia social são insípidos, superficiais e pouco eficazes.
• Uma abordagem única para educação e conscientização não é adequada para

ensinar as pessoas a se defenderem contra ataques de engenharia social.
• Os ataques de campanha de persuasão e influência são mais complexos e a

engenharia social é mais sofisticada.
• Os ataques de engenharia social destinados à radicalização de indivíduos política,

social ou comportamentalmente são mais eficazes em pessoas com predisposição
ao ódio, racismo, anarquia, violência e comportamento antissocial em geral.
• Há uma necessidade de ensinar os eleitores a identificar a mídia socialmente

enviesada e a atividade da mídia social, a fim de educá-los sobre como identificar
informações objetivas confiáveis emitidas por fontes de campanha.
• Se os Estados Unidos e, de fato, o mundo, realmente fizerem um esforço para lutar

contra os ataques de engenharia social, será necessário um esforço
consideravelmente maior na empreitada educacional.
• Há mais de uma maneira de as pessoas aprenderem, o que significa que deve haver
várias maneiras de ensinar a mesma mensagem para alcançar de forma eficaz um
número maior de pessoas.
• Aprendizagem personalizada refere-se à instrução em que o ritmo de aprendizagem
e a abordagem instrucional são otimizados para as necessidades de cada aluno.
• Num ambiente de aprendizagem mista, a aprendizagem ocorre online e presencial,

aumentando e apoiando a prática do professor.
Essa abordagem geralmente permite que os alunos tenham algum controle sobre
o tempo, local, caminho ou ritmo de aprendizado, incluindo o uso de conteúdo
visual.
• O modelo mais complexo de engenharia social na Internet tem sido a radicalização

de cidadãos individuais contra seu povo ou seu governo e seu recrutamento para
atos violentos
extremismo.
• Que experiência os participantes do seminário tiveram em situações em que eles ou

alguém que eles conhecem foram vítimas de um ataque de engenharia social? O
que eles fizeram para se recuperar do ataque?
• Discuta os pontos de vista dos participantes em relação às informações na Internet
que aconselham as pessoas sobre como evitar ataques de engenharia social.
• Discuta por que os participantes acham que o governo não investe mais
na educação das pessoas sobre os vários tipos de ataques de
engenharia social apresentados na Figura 8.1: Tipos de ataques de
engenharia social.
Divida os participantes em vários grupos com cada grupo levando de 10 a 15

minutos para desenvolver uma lista de métodos para educar as pessoas sobre
os ataques de engenharia social apresentados na Figura 8.1: Tipos de ataques
de engenharia social. Após a conclusão, os grupos trocam suas listas de
métodos e levam de 10 a 15 minutos para criticar e sintetizar as listas. Reúna-
se com a classe e discuta como a lista original do grupo pode ter sido modificada
após revisar a lista de outros grupos.
Termos chave
Narrativas principais alternativas: são projetadas para substituir a narrativa

extremista violenta, oferecendo toda uma filosofia cultural, política ou
social que elimina o apelo do extremista
narrativa.
Contra-mensagem: é o processo de correspondência de mensagens de
extremistas radicais em uma base direta, a fim de mitigar o recrutamento
e a radicalização para o extremismo violento.
Contra-narrativa à radicalização: é uma narrativa que neutraliza
ou invalida a narrativa destinada a radicalizar indivíduos ou grupos.
Vozes confiáveis : são as vozes de líderes comunitários confiáveis, líderes

religiosos e intelectuais que podem exercer uma influência positiva em
uma sociedade ou comunidade.
Marketing enganoso: publicidade ou propaganda que engana as pessoas
sobre os fatos verdadeiros sobre um produto, serviço ou atividade
corporativa.
fim de enganar.
Grupos anti-sociais domésticos: são grupos de pessoas ou mini-sociedades
que se opõem à sociedade mais ampla em que vivem e/ou trabalham.
Fanáticos domésticos: são grupos radicais residentes ou cidadãos dos países

em que matam, sabotam ou espalham ódio e medo.
Mensagens de ódio: são postagens de mídia social que usam linguagem
desagradável para ridicularizar ou discriminar minorias ou grupos étnicos.
Conflito ideológico: é o conflito perpetuado por grupos radicalizados
contra a sociedade dominante e grupos minoritários.
Violência motivada ideologicamente: é a violência que indivíduos ou grupos
perpetram contra alvos por acreditarem que esses indivíduos ou grupos
são inferiores de alguma forma e devem ser prejudicados ou
exterminados.
Fanáticos internacionais: são indivíduos, grupos de pessoas ou minissociedades

que são muito diferenciados do mundo ao seu redor por um sistema de
crenças totalmente desconectado das realidades maiores em que vivem
e tendem a representar essas diferenças de maneira violenta ou de
maneira política ou economicamente perturbadora. Eles são membros
de grupos radicais que cruzam fronteiras ou influenciam indivíduos ou
grupos em outros países para matar, sabotar ou espalhar ódio e medo.
Feed de notícias: é uma lista de histórias altamente personalizada e

constantemente atualizada, incluindo atualizações de status, fotos,
vídeos, links e atividades de pessoas e coisas às quais um indivíduo
está conectado no Facebook. O objetivo do feed de notícias é mostrar
às pessoas as histórias que são mais relevantes para elas.
Politicamente correto: o uso de palavras, frases ou imagens não tendenciosas

e não discriminatórias para comunicar ideias ou mensagens.
Atividades promocionais de mensagens positivas: são aquelas que promovem
comportamento social positivo e combatem mensagens negativas.
Radicalização: é o processo de doutrinar indivíduos ou grupos anteriormente
não violentos em ideologias violentas antissociais e
ações.
Recrutamento e doutrinação: é o processo de atrair pessoas para uma causa

e ensinar a doutrina relacionada à causa.
Presença na mídia social: é o uso de contas e aplicativos de mídia social por
uma organização para se comunicar com indivíduos ou grupos, bem
como a menção, comentários, discussões e exibição de qualquer
material em qualquer aplicativo de mídia social que se relacione ou
represente uma organização.
Cidadãos soberanos: são extremistas antigovernamentais que acreditam que,
embora residam fisicamente neste país, são
separado ou “soberano” dos Estados Unidos. Como resultado, eles

acreditam que não precisam responder a nenhuma autoridade
governamental, incluindo tribunais, entidades tributárias, departamentos
de veículos automotores ou autoridades policiais.
Conteúdo visual: é qualquer foto, vídeo ou ilustração adicionada a postagens
de mídia social.
Referências
1. Votação e Registro 2016. US Census Bureau. Acessado em 26 de fevereiro de 2019.
https://www2.census.gov/programs-surveys/demo/tables/vot ing/UnitedStates.xlsx
2. Votação e registro relatados entre cidadãos nativos e naturalizados, por raça, origem
hispânica e região de nascimento: novembro de 2016. Acessado em 26 de fevereiro de
2019. https://www2.census.gov/programs surveys/cps/tables/p20 /580/tabela11.xlsx
3. 7 Dicas para Fortalecer os Programas de Educação Eleitoral. Comissão de Assistência

Eleitoral dos EUA. Julho de 2014. Acessado em 26 de fevereiro de 2019. https://www.eac.
gov/assets/1/28/EducatingVoters%5B3%5D-508%20Compliant.pdf
4. Segurança on-line. USA.gov.. Acessado em 27 de fevereiro de 2019. https://www.usa.
gov/online-safety#item-37272
5. Plano Nacional de Tecnologia da Educação. Departamento de Educação dos
EUA, Escritório de Tecnologia Educacional (OET). Acessado em 28 de fevereiro
de 2019. https://tech.ed.gov/netp/#
6. Seção 1: Envolvendo e fortalecendo o aprendizado por meio da tecnologia.
Plano Nacional de Tecnologia da Educação. Departamento de Educação dos EUA,
Escritório de Tecnologia Educacional. Acessado em 28 de fevereiro de 2019. https://
tech.ed.gov/netp/learning/
7. Testemunho de Donald Van Duyn, Vice-Diretor Adjunto, Divisão de Contraterrorismo,
Federal Bureau of Investigation perante o Comitê de Segurança Interna da Câmara,
Subcomitê de Inteligência, Compartilhamento de Informações e Avaliação de Risco de
Terrorismo. Washington DC. 20 de setembro de 2006. Acessado em 1º de março de
2019, https://archives.fbi.
gov/archives/news/testimony/radicalização islâmica
8. Terrorismo. Departamento Federal de Investigação. Acessado em 1º de março de 2019.
https://www.fbi.gov/investigate/terrorismo
9. Segurança on-line para jovens: trabalhando para combater a radicalização da violência
on-line nos Estados Unidos. Youth.gov. Acessado em 1º de março de 2019. https://
youth.gov/feature-article/online-safety-youth-working-counter online-radicalization-violence-
united-states
10. Crianças do FBI. Departamento Federal de Investigação. Acessado em 2 de março de
2019. https://www.fbi.gov/fbi-kids.
11. Parcerias de Prevenção do Terrorismo. Departamento de Segurança Interna. Acessado
em 2 de março de 2019. https://www.dhs.gov/terrorism Prevention-Partnerships.
9
A Ascensão de
Escuridão Cibernética
Os humanos parecem ter uma maneira de destruir tudo o que tocam. O ambiente
global está poluído de todas as formas possíveis (por exemplo, as pessoas
produzem em excesso e despejam lixo na água, queimam carvão e liberam toxinas
no ar, usam depósitos de lixo a céu aberto). Muitas nações são dominadas por
ditadores e regimes militares e a liberdade de imprensa está sendo restringida em
todo o mundo para que monstros gananciosos e masoquistas possam controlar a
riqueza, as pessoas e até o pensamento. O racismo, o sexismo, a xenofobia, a
islamofobia, a homofobia, a opressão religiosa, a exploração sexual, a violência, a
crueldade animal e os maus modos são comuns em todo o mundo e até mesmo
apoiados por muitos líderes mundiais. Então os hábitos se mudaram para o
ciberespaço. As pessoas que cometeram más ações e atos malignos no mundo
físico, infelizmente, trouxeram sua desumanidade para o ciberespaço e encontraram
um lugar onde podem prosperar, virtualmente sem impedimentos. Sem uma ação
drástica e bem direcionada, as coisas no ciberespaço continuarão a se deteriorar.
9.1 A evolução das ameaças e vulnerabilidades cibernéticas
O almirante Michael S. Rogers, Conselheiro Geral da Agência de Segurança

Nacional (NSA) em um discurso de abertura em 2017 na Conferência de Direito,
Ética e Segurança Nacional da Duke Law School, Carolina do Norte, resumiu o
estado da Internet e comentou sobre o futuro da ameaças cibernéticas. Ele
observou que houve uma proliferação de intrusões de alto perfil contra empresas
dos EUA e enfatizou que a atividade cibernética maliciosa estará para sempre
associada ao ciclo eleitoral de 2016.
Ele também comentou sobre a evolução das ameaças cibernéticas e discutiu as

várias formas que a vulnerabilidade cibernética pode assumir. Não faz muito tempo,
ele afirmou, que a segurança cibernética significava simplesmente deletar e-mails
211
de um príncipe nigeriano que precisava de sua ajuda para fazer um depósito

bancário. Além da higiene básica de e-mail, existem ameaças a redes inteiras. É
verdade que o proprietário da rede pode tomar precauções extras para proteger
a rede, mas essa segurança pode ser prejudicada por um usuário que se conecta
a ela com um dispositivo infectado ou baixa um e-mail de spear phishing é
preocupante. As ameaças de rede, por definição, podem ser tão graves quanto
a criticidade da infraestrutura ou equipamento controlado pela rede ou a
sensibilidade das informações transmitidas pela rede.
O almirante Rogers apontou que muito tempo e atenção já foram gastos
avaliando a ameaça cibernética de hoje. Estudo após estudo ecoou a gravidade
da vulnerabilidade da segurança cibernética. Os especialistas concordam que a
ameaça é tão grave porque as barreiras à entrada e o risco de ser pego por
travessuras são extremamente baixos, enquanto as recompensas potenciais são
grandes. Ferramentas cibernéticas maliciosas são baratas e amplamente
disponíveis na Internet. Um ator solitário com poucos recursos agora tem o
poder de causar estragos em uma rede anonimamente. Os crimes cibernéticos

são notoriamente difíceis de rastrear e a atribuição pode ser, na melhor das hipóteses, um desafio
Esses mesmos estudos normalmente colocam a atividade cibernética maliciosa
em uma das três categorias. Primeiro, há o cibercrime, no qual os criminosos
buscam dinheiro direto ou qualquer outra coisa de valor para revender, como
números de cartão de crédito, CPF e CPF, ou em que detêm dados corporativos
para resgate. A segunda categoria é a espionagem cibernética, que normalmente
envolve estados-nação e inclui espionagem política e espionagem para ganhos
comerciais, como o roubo de segredos comerciais para obter vantagens
econômicas. E terceiro, há o mal cibernético geral, que inclui hacktivistas que
usam vulnerabilidades cibernéticas para espalhar propaganda, como o ISIS, e
aqueles que buscam interromper serviços ou sites.1
Em abril de 2018, o conselheiro geral da NSA, Glenn Gerstell, apresentou

comentários sobre como precisamos nos preparar para uma pandemia
cibernética global na Cipher Brief Threat Conference, em Sea Island, Geórgia.
Ele contou a história de que, no início dos anos 1990, um empreendedor
vendedor de cachorro-quente na Rússia aproveitou as oportunidades empresariais
criadas pelo colapso da União Soviética para abrir sua própria empresa de catering.
Ele acabou expandindo seus negócios e restaurantes e ofereceu banquetes
opulentos para funcionários do Kremlin, o que lhe valeu o apelido de Cozinheiro
de Putin. A empresa de Yevgeny Prigozhin chegou a ganhar um contrato em
2011 para entregar merenda escolar em Moscou, mas as crianças não comiam
A ascensão da escuridão cibernética 213
a comida, reclamando que cheirava a podre. Seguiu-se uma má publicidade.

A empresa de Prigozhin respondeu, não atualizando a comida, mas contratando
pessoas para inundar a Internet com postagens elogiando a comida e rejeitando
reclamações. Presumivelmente, eles acharam mais barato usar a Internet para
escrever críticas falsas do que financiar cachorros-quentes de boa qualidade para
crianças em idade escolar.
Então, não muitos anos depois, e talvez aproveitando essa experiência,

Prigozhin e suas empresas financiaram e controlaram amplamente uma
organização, que começou em 2013 ou 2014, chamada Internet Research Agency
(IRA). No prédio de escritórios do IRA em São Petersburgo, centenas de indivíduos
trabalhavam dia e noite como produtores de conteúdo da Internet. Embora a
agenda original do IRA fosse a disseminação online de propaganda pró-Rússia e

pró-Putin, essa agenda rapidamente se expandiu para o oeste.
Com um orçamento anual de centenas de milhões de dólares, o IRA começou

a se engajar em uma ampla e concertada campanha dirigida aos Estados Unidos.
Eles projetaram socialmente e criaram personas americanas fictícias em
plataformas de mídia social que foram projetadas para atrair o público americano
e semear discórdia em relação a questões políticas e sociais americanas divisivas.
Eles usaram números de previdência social roubados, endereços residenciais e
datas de nascimento de pessoas reais dos EUA para abrir contas bancárias para
pagar despesas e receber dinheiro de cidadãos americanos, e produziram e
pagaram por anúncios políticos nas mídias sociais dos EUA, ocultando sua
verdadeira identidade .
O Sr. Gerstell comentou ainda que os detalhes da história que ele compartilhou
eram de alegações feitas em artigos de jornais e documentos de acusações
criminais disponíveis publicamente arquivados contra alguns dos principais
participantes do esquema do IRA. Prigozhin, o IRA e vários outros indivíduos e
empresas russas associadas à organização foram indiciados pelo procurador
especial Robert Mueller. O objetivo final dessa fábrica russa de trolls da Internet,
de acordo com essa acusação, era prejudicar, obstruir e derrotar as funções legais
do governo dos EUA por meio de fraude e engano com o objetivo de interferir nos
processos políticos e eleitorais dos EUA, incluindo o presidente eleição presidencial
de 2016. Os réus foram acusados de conspiração para fraudar os EUA;
conspiração para cometer fraude eletrônica e bancária; e roubo de identidade
agravado. A acusação destaca até que ponto os Estados-nação sofisticados
dependerão do ciberespaço para realizar
seus objetivos. Essas alegações refletem uma ameaça além do crime

cibernético de rotina e danos; na verdade, se forem verdadeiras, elas
representam uma tentativa de minar estrategicamente instituições críticas para
o funcionamento de uma democracia e, em sua essência, enfatizam as
habilidades vulneráveis criadas por nossas vidas digitais.
O Sr. Gerstell então argumentou que 2018 representou outro ano em que a
comunidade de inteligência (IC) destacou a gravidade da ameaça cibernética
em sua avaliação anual de ameaças em todo o mundo. Essa avaliação relatou
que mais de 30 países foram considerados como possuidores de capacidades
de ataque cibernético. Esse número, que aumentava quase todos os anos
desde 2007, refletia a facilidade com que cibercriminosos podiam obter e
implantar armas cibernéticas. O ciberespaço provou ser um vetor relativamente
acessível para a realização de atividades maliciosas e, portanto, estados-
nações e atores criminosos menos sofisticados estavam se tornando mais bem
equipados no uso de kits de ferramentas cibernéticas.
China, Irã, Coreia do Norte e Rússia eram vistos como os Estados-nação que
representavam a maior ameaça cibernética aos Estados Unidos. O CI previu
que a Rússia, que anteriormente agia com impunidade nessa esfera, conduziria
operações cibernéticas mais ousadas e disruptivas no futuro.
O Sr. Gerstell alertou que as ameaças representadas pela atividade

cibernética maliciosa agora se combinaram com uma toxicidade ainda maior
para apresentar desafios sem precedentes na vida pessoal, profissional e
política nos Estados Unidos de uma forma difícil de exagerar. A história e as
próprias experiências das pessoas ensinaram que a gravidade, e talvez a
probabilidade, dos riscos podem ser coletivamente subestimados e que, como
sociedade, as pessoas reagem apenas após uma crise ou calamidade. Vários
governos preocupados com a vigilância secreta por países considerados
adversários começaram a proibir produtos eletrônicos desses países, resultando
em uma guerra comercial global de tecnologia.
Uma conclusão que o Sr. Gerstell tirou foi que uma estratégia cibernética
nacional não seria bem-sucedida a menos que facilitasse o engajamento entre
o setor público, empresas privadas e outros governos em segurança cibernética.
É importante ressaltar que os esforços educacionais devem ser direcionados a
vários tipos de público. Por exemplo, os usuários individuais podem precisar
mais de dicas e práticas recomendadas para proteger redes domésticas e
dispositivos pessoais, enquanto os proprietários de redes corporativas podem
se beneficiar mais de informações técnicas personalizadas para seu setor específico.
O Reino Unido começou a dar grandes passos nessa área.

Reconhecendo a necessidade de falar diretamente com diferentes tipos de
público, o Centro Nacional de Segurança Cibernética do Reino Unido emitiu
orientações sob medida para leitores de diferentes níveis de sofisticação. Por
exemplo, o Centro Nacional de Contra-Inteligência e Segurança dos EUA (NCSC)
publicou orientações de bom senso para usuários comuns da Internet sobre
como implementar proteção de senha significativa, evitando a fadiga da
segurança cibernética, o fenômeno recentemente documentado em que os
indivíduos estão se sentindo sobrecarregados pelo escopo da ameaça cibernética.
e frustrado com orientações complexas de segurança cibernética. No outro
extremo do espectro, eles também publicaram recentemente informações para
as autoridades locais sobre a segurança dos sistemas de apoio às eleições locais.
O terceiro e último ponto do Sr. Gerstell foi que o governo federal era um
participante necessário, mas não suficiente, em uma estratégia cibernética unificada.
De fato, ao discutir a melhor forma de lidar com a ameaça cibernética, muita
importância foi dada à necessidade de uma abordagem de todo o governo. No
entanto, mesmo em sua forma mais eficaz, o governo dos EUA não poderia ficar
sozinho na proteção dos sistemas mais críticos, enquanto as habilidades de
vulnerabilidade cibernética abundam em outras redes e sistemas fora do controle
do governo. O que era realmente necessário, explicou ele, poderia ser mais
apropriadamente descrito como uma abordagem de todos os usuários. Esses
usuários incluem, em um nível ou outro, outras nações, proprietários de redes do
setor privado e até mesmo usuários comuns de tecnologias cibernéticas.
Até o momento, o governo dos EUA desempenhou um papel importante na
defesa e na resposta a atividades cibernéticas internacionais maliciosas, seja
agindo sozinho ou em conjunto com aliados próximos, como o Reino Unido. Os
Estados Unidos também empregam ferramentas não cibernéticas, como sanções,
atribuição pública, acusações criminais e extradição, em suas respostas a tais
atividades. Seria útil se outras nações reconhecessem a natureza global do
problema e adotassem uma abordagem multilateral para a resposta às ameaças
cibernéticas.
Em geral, o setor privado está bem ciente da gravidade da ameaça cibernética,
e algumas indústrias, como o setor financeiro e eletrônico, investiram tempo e
recursos significativos para fortalecer seus componentes e redes críticos. Existem
muitos indivíduos e pequenas empresas, no entanto, que podem não ter recursos
para investir na atualização e manutenção de equipamentos caros ou acesso a
pessoal treinado que possa fornecer serviços de segurança cibernética ou que
podem ficar confusos com orientações complicadas de segurança cibernética ou

simplesmente pensar que são muito pequenos para serem um alvo. No entanto,
alguns proprietários de redes privadas, incluindo aqueles que controlam a
infraestrutura crítica, muitas vezes estão dispostos a aceitar alguns riscos de
segurança em suas redes que seriam inaceitáveis para o governo.
Para encerrar, o Sr. Gerstell profetizou que a enormidade desses desafios
não poderia ser exagerada. Os malfeitores do cibercrime seriam, com toda
probabilidade, cada vez mais bem-sucedidos antes que a sociedade pudesse
atenuar ou negar essa ameaça. Mas essa mesma probabilidade, a simples
previsibilidade de danos possíveis e graves, ressalta a necessidade de a
sociedade fazer mais para combater essa ameaça quase existencial. A alternativa
escolhida foi esperar até que um incidente cibernético após o outro obrigue a
adoção de soluções fragmentadas para o que na verdade era uma questão
abrangente que deveria ser abordada por meio de uma abordagem abrangente.
Ele afirmou que os Estados Unidos precisavam assumir esse problema que o
povo criou e tomar medidas agressivas para gerenciá-lo antes que ocorresse
uma calamidade. Afinal, com uma ferramenta tão acessível, econômica e fácil de
usar quanto o ciberespaço, os Estados Unidos simplesmente não podiam prever
de qual carrinho de cachorro-quente emergiria o próximo grande ataque.2
9.2 Varreduras de crimes cibernéticos em todo o país são impressionantes, mas não suficientes
O Departamento de Justiça (DOJ), Federal Bureau of Investigation (FBI), Federal

Trade Commission (FTC), Securities and Exchange Commission (SEC) e outras
agências de aplicação da lei fizeram algumas remoções muito impressionantes
e dramáticas de gangues e conspirações cibercriminosas. Anúncios dessas
varreduras são feitos com grande alarde e reivindicações de enorme sucesso. O
maior problema com o drama e as buzinas no estilo da véspera de Ano Novo é
que elas realmente não fazem muito para impedir o cibercrime e a ascensão
contínua das trevas no ciberespaço. Os cibercriminosos e os engenheiros sociais
continuam a se replicar e o fazem muito rapidamente depois que as gangues são
reunidas em grandes varreduras.
Em março de 2019, o DOJ anunciou que havia coordenado a maior varredura

de fraude de idosos em todo o país , alegando que os casos durante essa
varredura envolveram mais de 260 réus de todo o mundo que vitimaram mais de
dois milhões de americanos, a maioria deles idosos. O DOJ tomou medidas em
todos os distritos federais em todo o
do país, por meio da abertura de processos criminais ou civis ou por meio de

esforços de educação do consumidor. Em cada caso, o(s) infrator(es) supostamente
se envolveram em esquemas financeiros que visavam ou afetavam amplamente os idosos.
No total, os esquemas de fraude de idosos acusados causaram a suposta perda de
milhões de dólares. É importante observar que as acusações são alegações e os
réus são presumidos inocentes, a menos e até que se prove a culpa além de
qualquer dúvida razoável em um tribunal de justiça, e o valor real da fraude levará
vários anos para ser determinado à medida que os réus passarem. o sistema
judiciário. Como parte da varredura, os parceiros de aplicação da lei anunciaram
uma remoção de fraude de suporte técnico, projetada para combater uma forma
cada vez mais comum de fraude antiga na qual os criminosos enganam as vítimas
para que forneçam acesso remoto a seus computadores sob o pretexto de fornecer
suporte técnico.
No anúncio, o procurador-geral Barr foi acompanhado pelo vice-diretor do FBI,
David L. Bowdich; Diretor Associado Executivo Derek Benner para Investigações de
Segurança Interna (HSI) do Departamento de Imigração e Alfândega dos EUA;
Presidente da FTC, Joseph Simons; Procurador-geral da Louisiana e presidente da
Associação Nacional de Procuradores-Gerais, Jeff Landry; Diretor Randolph Alles
do Serviço Secreto; Inspetor Postal Chefe Gary Barksdale; Barbara Stewart, CEO
da Corporação de Serviço Nacional e Comunitário; e o ex-diretor do FBI e diretor da
CIA, Juiz Webster e Lynda Webster. Desde que o Elder Abuse Prevention and
Prosecution Act (EAPPA) se tornou lei, esses departamentos participaram de
centenas de ações de execução em casos criminais e civis que visavam ou afetavam
desproporcionalmente os idosos.
Muitos dos casos apresentados como parte da varredura de fraude de 2019,

incluindo muitos dos casos de fraude de suporte técnico, supostamente envolviam
organizações criminosas transnacionais. Durante o período de varredura, réus em
casos de fraude mais antigos foram extraditados do Canadá, Ilhas Cayman, Costa
Rica, Jamaica e Polônia. Além disso, foram tomadas medidas contra mais de 600
supostas mulas de dinheiro trabalhando na rede de mulas de dinheiro que facilita a
fraude de anciãos no exterior, e os agentes do Serviço Secreto ajudaram nesses
esforços apreendendo e confiscando os rendimentos da fraude de anciãos em
trânsito das vítimas para os perpetradores.
Os parceiros de aplicação da lei focaram a campanha de educação pública da
varredura na fraude de suporte técnico, dado o dano generalizado que tais esquemas
estão causando. A FTC e os procuradores-gerais estaduais haviam
um papel importante na concepção e divulgação de material de mensagens destinado a alertar

consumidores e empresas. Divulgação da educação pública
está sendo conduzido por várias agências estaduais e federais, incluindo Senior Corps, um
programa de serviço nacional administrado pela agência federal, a Corporação de Serviço
Nacional e Comunitário, para educar os idosos e evitar mais vitimização. O programa Senior
Corps envolve mais de 245.000 idosos em serviço intensivo a cada ano, que por sua vez
atendem a mais de 840.000 idosos adicionais, incluindo 332.000 veteranos. No entanto, há um
longo caminho a percorrer neste esforço de educação.
A varredura anunciada se beneficiou muito do trabalho do Grupo de Trabalho Internacional

de Fraude em Marketing de Massa (IMMFWG), uma rede de agências de aplicação da lei civil
e criminal da Bélgica, Canadá, Europol, Holanda, Noruega, Espanha, Reino Unido e Estados
Unidos. O IMMFWG é co-presidido pelo DOJ e pela FTC nos Estados Unidos e pela aplicação
da lei no Reino Unido. Serve de modelo para a cooperação internacional contra ameaças
específicas que colocam em risco o bem-estar financeiro dos residentes de cada país membro.
Devido à rede de imposição da lei do IMMFWG, campanhas simultâneas de suporte técnico
para educação de consumidores sobre fraudes estão sendo lançadas no Canadá, Holanda,
Reino Unido e Estados Unidos.3
9.3 O homem que sabia sobre engenharia social e fraude
No mesmo dia em que o anúncio foi feito na varredura de fraude de idosos de 2019, outra
história foi postada no site do FBI sobre um homem que ajudou a prender conspirações de
fraude de idosos. É uma grande história. O interlocutor de forte sotaque que prometeu a William
Webster um grande prêmio de $ 72 milhões e um novo Mercedes Benz havia feito a maior
parte de sua lição de casa sobre seu possível alvo de fraude. O que a pessoa que ligou, Keniel
Thomas, 29, da Jamaica, perdeu foi possivelmente o detalhe mais importante sobre sua vítima,
que tinha 90 anos na época: William Webster havia servido como diretor do FBI e da CIA, e
também um radar muito bom para esquemas criminosos perniciosos; neste caso, um golpe de
loteria jamaicana.
“Eu sei que você era [sic] um juiz, você era um advogado, você estava na Marinha dos
Estados Unidos”, disse a pessoa que ligou para sua marca idosa. “Eu faço sua verificação de
antecedentes. Você é um grande homem.
As ligações persistentes de Thomas em 2014 para Webster e sua esposa, Lynda,

seguiram o conhecido arco de golpes que visam os idosos: o chamador promete
riquezas, mas exige alguma forma de pagamento para levar o processo adiante. O
chamador exige cada vez mais e depois recorre a
intimidação quando a cooperação diminui. No caso dos Websters, o ex-juiz foi

informado de que teria de pagar US$ 50.000 para receber seu prêmio.
Quando o dinheiro não chegava, as ligações frequentes se transformavam em
ameaças assustadoras, o que levou o casal a entrar em contato com o FBI.
“Não sei como a conversa azedou”, disse Webster, diretor do FBI por uma década
a partir de 1978. “Mas aconteceu. E nesse ponto, ele mudou de marcha. Em vez de
conversa doce, ele começou a ameaçar a Sra. Webster. Em uma mensagem gravada
cheia de palavrões deixada no telefone dos Websters, Thomas ameaçou matá-los e
incendiar sua casa se não conseguisse o que queria. “Você mora em um lugar muito
solitário”, disse ele. “E no momento em que você chegar, vou colocar um tiro na sua
cabeça.”
Agentes especiais do Escritório de Campo do FBI em Washington recrutaram a

ajuda do Webster para prender o interlocutor, gravando suas conversas telefônicas
para construir um caso e desenvolver uma imagem clara do esquema. O trabalho
braçal acabou levando à prisão de Thomas em 2017. Ele foi condenado em 2019 pelo
Tribunal Federal em Washington, DC, a quase seis anos de prisão. Também revelou
que Thomas e seus parentes na Jamaica conseguiram enganar outras pessoas nos
Estados Unidos em centenas de milhares de dólares.
O agente especial John Gardner, que foi designado para o caso e investigava
esses tipos de crimes desde 2011, disse que os perpetradores frequentemente atacam
pessoas mais velhas porque elas tendem a ser mais confiantes, financeiramente
seguras e solitárias. Os fraudadores compram e comercializam listas de leads na
Internet com nomes de idosos, números de telefone e outras informações pessoais.
Então eles começam a ligar, esperando alcançar ouvidos incautos receptivos. Gardner
disse que os golpistas podem ser implacáveis, espremendo dinheiro de suas vítimas
e então, quando o dinheiro acaba, fazendo com que suas vítimas sirvam de
intermediários em transações ilegais.
Lynda Webster, 63, disse que ela e o marido frequentemente recebem ligações
suspeitas, provavelmente por causa de sua demografia. William Webster disse que
toda a experiência de receber ligações, trabalhar com o FBI e ver seu algoz no tribunal
é um lembrete de que os idosos e os amigos e familiares de confiança que cuidam
deles precisam estar vigilantes.4
9.4 Treinamento de aplicação da lei sobre crimes cibernéticos
O caso Webster mostra que os bandidos podem de fato ser pegos e mandados para a
prisão. Um problema que é muito difícil, se não impossível, de superar é que não há
policiais suficientes nos Estados Unidos para investigar todas as queixas e todos os
casos até que os criminosos sejam capturados e processados. Todos os anos, as
agências de aplicação da lei nos Estados Unidos relatam o número total de policiais e
civis empossados em suas agências em 31 de outubro para o Programa Uniforme de
Relatórios de Crimes. Em 2017, havia 956.941 funcionários de aplicação da lei, dos
quais 670.279 eram policiais.
Em 2017, um total de 13.128 agências de aplicação da lei forneceram dados sobre

o número de funcionários de aplicação da lei em tempo integral (oficiais juramentados
e civis) na equipe. Em todo o país, a taxa de oficiais empossados era de 2,4 por 1.000
habitantes. A taxa de efetivos policiais em tempo integral (civis e ajuramentados) por
1.000 habitantes foi de 3,4,5
O treinamento em crimes cibernéticos é um tópico especial incluído em 57% dos
programas básicos de treinamento de aplicação da lei em academias de treinamento
de aplicação da lei estaduais e locais, de acordo com o censo de academias de 2013
do Bureau of Justice Statistics. As academias que ofereciam esse treinamento tinham
uma média de três horas de treinamento sobre crimes cibernéticos em seus programas.6
O National Computer Forensic Institute (NCFI) é um centro de treinamento
financiado pelo governo federal dedicado a instruir oficiais estaduais e locais em
evidências digitais e investigações de crimes cibernéticos. O NCFI foi inaugurado em
2008 com o mandato de fornecer aos profissionais de aplicação da lei, legais e judiciais
estaduais e locais uma educação abrangente e gratuita sobre as tendências atuais do
crime cibernético, métodos investigativos e desafios judiciais e processuais. Dirigido
pela Divisão de Investigação Criminal do Serviço Secreto dos EUA e pelo Escritório de
Serviços de Promotoria do Alabama, o modelo de treinamento é baseado na bem-
sucedida estratégia de investigação cibernética do Serviço Secreto, que se baseia na
parceria e no compartilhamento de informações entre a academia, a indústria privada
e a aplicação da lei/ comunidades jurídicas para combater a ameaça em constante
evolução do crime cibernético. O currículo reflete as tendências atuais no campo e
aborda potenciais obstáculos tecnológicos à medida que são encontrados em
investigações ativas. O curso Social Networking Investigations (SNI) é um curso de
cinco dias, que oferece aos investigadores uma visão e experiência prática em relação
a investigações on-line associadas a redes sociais.
mídia, e-mail e redes básicas, bem como questões legais e procedimentos de

busca e apreensão.7
O Federal Law Enforcement Training Center (FLETC) oferece treinamento
de longa duração para profissionais de aplicação da lei para ajudá-los a cumprir
suas responsabilidades com segurança e proficiência. O curso de Resposta e
Análise de Incidentes Cibernéticos (CIRA) tem 11 dias de treinamento projetado
para garantir que as evidências sejam localizadas, preservadas e analisadas,
com detalhes sobre como analisar as evidências coletadas de incidentes cibernéticos.
Esses incidentes podem ser desde arquivos de log simples em um roteador
doméstico até dispositivos testemunhas de rede de nível empresarial. O
programa também enfoca os métodos comuns usados por criminosos para
acessar sistemas de computador por meio de e-mails de phishing e malware, e
inclui a verificação de vulnerabilidades e o exame do tráfego de rede. Um
candidato deve ser um policial/agente com autoridade de prisão na prevenção,
detecção, apreensão, detenção e/ou investigação de crimes e/ou contravenções
de violações de leis criminais federais, estaduais, locais, tribais ou militares.
Espera-se que o aluno tenha participado do programa de treinamento Especialista
em Recuperação de Evidências de Computadores Apreendidos juntamente com
o programa de treinamento de Coleta de Evidências Digitais em um Ambiente
Corporativo e/ou tenha experiência na realização de exames forenses e
compreensão da topologia/tráfego de rede, juntamente com a capacidade de
capturar RAM e usar várias máquinas virtuais. Este programa não cobre os usos
básicos de ferramentas forenses, sistemas de computador de imagem, sua RAM
ou a coleta de arquivos de log.8
A Iniciativa Nacional para Carreiras e Estudos em Segurança Cibernética

(NICCS) é um recurso online para treinamento em segurança cibernética. O
NICCS conecta funcionários do governo, estudantes, educadores e empresas
com provedores de treinamento em segurança cibernética. O catálogo lista o
programa Certified Expert in Cyber Investigations (CECI) oferecido pelo McAfee
Institute, que é um curso on-line individualizado com uma Certificação do
Conselho Profissional de seis meses, focado em como conduzir investigações
cibernéticas bem-sucedidas. Este programa contém mais de 500 palestras
baseadas em vídeo, resultando em centenas de horas de treinamento on-line,
testes de revisão de preparação on-line para se preparar para o exame final e, é
claro, os manuais de estudo necessários para ajudar o aluno ao longo do
caminho.9
9.5 Conclusões
A Internet tornou-se parte integrante da sociedade, proporcionando inúmeros benefícios para

indivíduos, empresas, governo e serviços humanos. Ele também ascendeu a um lugar muito
escuro apoiando empreendimentos criminosos, atitudes e atividades racistas, agressão
eletrônica, propaganda, desinformação e desinformação. O mal encontrou um lar feliz no
ciberespaço. A Internet não criou esse mal; a Internet apenas reflete o mal que existe nos
corações e mentes das pessoas.
9.6 Pontos Chave
• As ameaças cibernéticas continuam a evoluir à medida que novos aplicativos e

tecnologias que podem ser exploradas por pessoas deploráveis se tornam
disponíveis.
• Sem intervenção, o futuro da Internet pode ser tão infiltrado pelo crime e exploração
de vários tipos que se tornará um fardo para a sociedade em vez de um bem.
• Educar os usuários da Internet para identificar e evitar ameaças cibernéticas é

essencial para manter as pessoas seguras quando estão online.
• As agências de aplicação da lei podem coordenar esforços e prender com sucesso
os cibercriminosos, mas ainda mais cibercriminosos se posicionam para substituir
os processados e encarcerados. • Muitos dos casos apresentados como parte da
varredura de fraude de 2019, incluindo muitos dos casos de fraude de suporte técnico,
supostamente envolviam organizações criminosas transnacionais.
• Um obstáculo ao policiamento da Internet é que há mais vítimas do que agentes da

lei prontos e capazes de investigar os milhares de casos de fraude e abuso.
• Discuta como os participantes veem o futuro da Internet e o que pode ser feito para
garantir que o futuro seja positivo.
• Discuta como a aplicação da lei e o alcance educacional podem ser
melhorados e quem deve participar dos programas de extensão. •

Discuta as opiniões dos participantes sobre a ação ou falta de ação por
parte do Congresso dos EUA para melhorar a segurança online.
Cada participante deve entrevistar cinco pessoas fora do grupo do seminário

para determinar suas opiniões sobre segurança online ou a falta de segurança
online. Escreva os resultados das entrevistas em 500 palavras ou menos e
discuta esses resultados em grupo.
Termos chave
Fraude de idoso: atividade criminosa focada em extorquir ou explorar idosos

dentro ou fora da Internet.
Abordagem de todos os usuários: refere-se a um esforço organizado de todos
os usuários da Internet, independentemente de serem organizações,
grupos ou indivíduos, para participar da criação e manutenção da
segurança online.
Referências
1. Enfrentando o Desafio da Segurança Cibernética—Discurso Principal.
Almirante Michael S. Rogers, Conselheiro Geral da Agência de Segurança
Nacional. Conferência de Direito, Ética e Segurança Nacional de 2017 na Duke
Law School. Fevereiro. 25 de 2017. Acessado em 4 de março de 2019. https://
www.nsa.gov/news-features/speeches-testimonies/Article/1619236/
confrontando-o-desafio-da-cibersegurança-apresentação-chave/
2. Como precisamos nos preparar para uma pandemia cibernética global. Glenn
Gerstell, Conselheiro Geral da Agência de Segurança Nacional. Observações
na Cipher Brief Threat Conference, Sea Island, Geórgia. 9 de abril de 2018.
Acessado em 5 de março de 2019, https://www.nsa.gov/news-features/
discursos-testemunhos/Artigo/1611673/como-precisamos-preparar-para-uma-
ciber-pandemia-global/
3. Departamento de Justiça Coordena a Maior Varredura Nacional de Fraude de
Idosos. Procurador-Geral se concentra em ameaças representadas por fraude
de suporte técnico. Departamento de Justiça, Gabinete de Assuntos Públicos. 7
de março de 2019. Acessado em 9 de março de 2019. https://www.justice.gov/
opa/pr/justice Department-coordinates-largest-ever-nationwide-elder-fraud-sweep-0
4. Frustrar um golpe de fraude de ancião O ex-diretor do FBI Webster auxilia a

investigação. Notícias. Departamento Federal de Investigação. 7 de março de
2019. Acessado em 9 de março de 2019. https://www.fbi.gov/news/stories/
ex-diretor do fbi-william-webster-helps-foil-fraudster-030719
5. Crime em 2017 nos Estados Unidos Funcionários de aplicação da lei em
tempo integral. Divisão de Serviços de Informações de Justiça Criminal do FBI.
Acessado em 9 de março de 2019. https://ucr.fbi.gov/crime-in-the-us/2017/
crime-in-the-us-2017/tables/table-74
6. Academias de treinamento de aplicação da lei estaduais e locais, 2013. Bureau
of Justice Statistics, Academias de treinamento de aplicação da lei estaduais
e locais, 2013 Reaves, Brian A. julho de 2016. Acessado em 10 de março de
2019. https://www.bjs.gov /index.cfm?ty=pbdetail&iid=5684 7. Sobre.
Instituto Nacional de Computação Forense. Acessado em 10 de março de 2019.
https://www.ncfi.usss.gov/ncfi/pages/news.xhtml?dswid=-3042
8. Resposta e análise de incidentes cibernéticos. Centros de treinamento de
aplicação da lei federal. Acessado em 10 de março de 2019. https://www.fletc.gov/
resposta e análise de incidente cibernético/análise e resposta de incidente
cibernético#
9. Especialista Certificado em Investigações Cibernéticas. Iniciativa Nacional
para Carreiras e Estudos em Cibersegurança. Acessado em 10 de março de
2019. https://niccs.us-cert.gov/training/search/mcafee-institute/certified cyber-
investigative-expert-ccie
Glossário
Política de uso aceitável: é um documento que estabelece um acordo entre os usuários e

a empresa e define para todas as partes as faixas de uso que são aprovadas
antes que os usuários possam ter acesso a uma rede ou à Internet.
Controle de acesso para sistemas de computador: é um processo que permite ou impede

que usuários individuais tenham acesso a aplicativos de computador específicos
e conjuntos de dados de computador, incluindo o que o usuário pode fazer nos
sistemas com seu nível de acesso.
Sistemas de controle de acesso: são aquelas funções automatizadas e humanas que
permitem que uma pessoa devidamente identificada ou entidade lógica acesse as
instalações ou sistemas de computador de uma organização.
Medidas ativas: é a direção coordenada por uma autoridade centralizada de técnicas
abertas e encobertas que propagam as ideias russas e as preferências políticas e
militares e minam as dos adversários democráticos.
Fraude de taxa antecipada: são esquemas de taxa que exigem que as vítimas adiantem
quantias de dinheiro relativamente pequenas na esperança de obter ganhos muito
maiores. Nem todos os esquemas de taxas antecipadas são fraudes de investimento.
Naqueles que são, no entanto, as vítimas são informadas de que, para ter a
oportunidade de ser um investidor (em uma oferta inicial de um título, investimento

ou mercadoria promissora, etc.), a vítima deve primeiro enviar fundos para cobrir
impostos ou taxas de processamento, etc.
225
226 Glossário
Fraude por afinidade: os perpetradores de fraude por afinidade se aproveitam da

tendência das pessoas de confiar em outras pessoas com quem
compartilham semelhanças, como religião ou identidade étnica, para
ganhar sua confiança e dinheiro.
Narrativas principais alternativas: são projetadas para substituir a narrativa
extremista violenta, oferecendo toda uma filosofia cultural, política ou social
que elimina o apelo do extremista
narrativa.
Separação apropriada de funções: é uma estrutura organizacional que impede que

funcionários ou agentes individuais tenham acesso ou controle de funções
de trabalho de uma maneira que lhes permita se apropriar independentemente
de ativos corporativos com poucas chances de detecção.
Acesso lógico autorizado: é o acesso que um insider pode ter ao computador de

uma organização e aos sistemas de comunicação que um funcionário pode
Acesso físico autorizado: é o acesso que um insider pode ter à propriedade,
edifícios e áreas de edifícios de uma organização que um funcionário possa
Melhores práticas: são técnicas ou metodologias que, por meio de experiência e

pesquisa, levaram de forma confiável a um resultado desejado ou ótimo.
Líderes da sociedade civil: são indivíduos que ocupam cargos governamentais,

empresariais ou religiosos que lhes permitem influenciar suas sociedades,
comunidades e indivíduos.
Plano de segurança abrangente: cobre todas as necessidades de segurança de
uma organização desde o início e é projetado para mitigar ameaças de
segurança conhecidas.
Fraude informática: é o crime que envolve a deturpação deliberada, alteração ou
divulgação de dados para obter algo de valor (geralmente para ganho
monetário).
Contra-mensagem: é o processo de correspondência de mensagens de extremistas
radicais em uma base direta, a fim de mitigar o recrutamento e a
radicalização para o extremismo violento.
Contra-narrativa à radicalização: é uma narrativa que neutraliza
ou invalida a narrativa destinada a radicalizar indivíduos ou grupos.
Glossário 227
Vozes confiáveis : são as vozes de líderes comunitários confiáveis, líderes

religiosos e intelectuais que podem exercer uma influência positiva em
uma sociedade ou comunidade.
Empresas criminosas: o FBI define uma empresa criminosa como um grupo de
indivíduos com uma hierarquia identificada, ou estrutura comparável,
envolvidos em atividades criminosas significativas.
Grupos criminosos: são compostos por pessoas organizadas com o objetivo de
cometer atividades criminosas para ganhos econômicos, influência
política ou domínio em uma área geográfica específica.
Cultura de segurança: é uma cultura organizacional na qual a segurança
permeia todos os aspectos da vida diária, bem como todas as operações
situações.
Perseguição cibernética: é o uso da Internet, e-mail, mídia social ou outros

dispositivos de comunicação eletrônica para perseguir outra pessoa.
Marketing enganoso: publicidade ou propaganda que engana as pessoas sobre
os fatos verdadeiros sobre um produto, serviço ou atividade corporativa.
Fraude de desastre: geralmente é cometida por indivíduos que buscam lucrar

por meio de falsas reivindicações de danos; também existem fraudes de
desastres não relacionadas a seguros, pois muitas organizações e
indivíduos solicitam contribuições para as vítimas do desastre. As vítimas
de fraude podem ser abordadas por meio de e-mails não solicitados

pedindo doações para uma organização aparentemente legítima. O
planejador instruirá a vítima a enviar uma doação por meio de transferência de dinheiro.
fim de enganar.
Grupos anti-sociais domésticos: são grupos de pessoas ou mini-sociedades
que se opõem à sociedade mais ampla em que vivem e/ou trabalham.
Fanáticos domésticos: são grupos radicais formados por residentes ou cidadãos
dos países em que matam, sabotam ou espalham ódio e medo.
Doxxing: é o processo de coletar PII de um indivíduo e divulgá-lo ou publicá-lo

publicamente, geralmente para fins maliciosos, como humilhação pública,
perseguição, roubo de identidade ou direcionar um indivíduo para assédio.
Processo efetivo: é o processo bem-sucedido de perpetradores de crimes

intelectuais, ao mesmo tempo em que protege os segredos comerciais e
outras propriedades intelectuais da organização vítima.
228 Glossário
Fraude de idoso: atividade criminosa focada em extorquir ou explorar idosos dentro

ou fora da Internet.
Reembolso falso: é um esquema de engenharia social em que os criminosos entram
em contato com a vítima oferecendo um reembolso por serviços de suporte
técnico supostamente fornecidos anteriormente. O criminoso solicita acesso
ao dispositivo da vítima e instrui a vítima a fazer login em sua conta bancária
online para processar o reembolso. Essa ação proporciona o controle
criminal do dispositivo da vítima e o acesso à sua conta bancária.
Lacunas na segurança: são medidas de segurança ou métodos de mitigação

inadequados para proteger um ativo ou não protegem completamente o
ativo para o qual foram implantados.
Meios de comunicação cinza: propriedades de mídia que são estabelecidas por
poderes políticos, econômicos ou sociais desconhecidos ou ofuscados para
disseminar informações favoráveis a seus objetivos ou para minar as
atividades de seus adversários.
Mensagens de ódio: são postagens de mídia social que usam linguagem

desagradável para ridicularizar ou discriminar minorias ou grupos étnicos.
Monitoramento de identidade: fornece alertas quando informações pessoais, como
informações de conta bancária ou número do seguro social, carteira de
motorista, passaporte ou número de identificação médica, estão sendo
usadas de maneiras que geralmente não aparecem em um relatório de crédito.
Serviços de recuperação de identidade: são projetados para ajudar a recuperar o
controle de um nome e finanças após o roubo de identidade.
Crimes de roubo de identidade: roubo de identidade e fraude de identidade são
termos usados para se referir a todos os tipos de crime em que alguém
obtém e usa indevidamente os dados pessoais de outra pessoa de alguma
forma que envolva fraude ou engano, geralmente para ganho econômico.
Seguro contra roubo de identidade: é oferecido pela maioria dos principais serviços
de proteção contra roubo de identidade e geralmente cobre despesas diretas
diretamente associadas à recuperação de uma identidade.
Proteção contra roubo de identidade: oferece serviços de monitoramento e
recuperação que observam sinais de que um ladrão de identidade pode
estar usando informações pessoais e ajuda a lidar com os efeitos do roubo
de identidade depois que ele acontece.
Conflito ideológico: é o conflito perpetuado por grupos radicalizados
contra a sociedade dominante e grupos minoritários.
Violência motivada ideologicamente: é a violência que indivíduos ou grupos
perpetram contra alvos por acreditarem que
Glossário 229
esses indivíduos ou grupos são inferiores de alguma forma e devem ser

prejudicados ou exterminados.
Avaliações individuais: são projetadas para avaliar quão bem um funcionário

individual está executando uma tarefa específica ou tipos de tarefas
necessárias para cumprir suas responsabilidades de trabalho.
empregadora.
Equipe insider-outsider: são duas ou mais pessoas que conspiram em conjunto
para agir de forma maliciosa contra uma organização na qual uma delas
(o insider) é empregada ou tem acesso privilegiado.
Ameaça interna-externa: é uma ameaça que surge como resultado de um
relacionamento entre um dos funcionários de uma organização e uma
pessoa que trabalha para uma organização externa ou que não está
relacionada à organização do funcionário.
Operações de inteligência: é a variedade de tarefas de inteligência e contra-
inteligência que são realizadas por várias organizações de inteligência e
atividades dentro do processo de inteligência.
Fanáticos internacionais: são indivíduos, grupos de pessoas ou minissociedades
que são muito diferenciados do mundo ao seu redor por um sistema de
crenças totalmente desconectado das realidades maiores em que vivem
e tendem a representar essas diferenças de maneira violenta ou de
maneira política ou economicamente perturbadora. Eles são membros de
grupos radicais que cruzam fronteiras ou influenciam indivíduos ou grupos
em outros países para matar, sabotar ou espalhar ódio e medo.
Software de registro de teclas: captura e registra as teclas pressionadas em um

teclado, geralmente de forma encoberta, para que a pessoa que usa o
teclado não saiba que suas ações estão sendo monitoradas. As
informações podem ser recuperadas pela pessoa que está operando ou
que instalou o programa de registro.
Links maliciosos: são hiperlinks que levam os usuários a sites que contêm
códigos maliciosos, como spyware, vírus ou cavalos de Tróia, que podem
infectar os computadores usados para visitar esses sites.
Malware: inclui vírus, spyware e outros softwares indesejados que são instalados
em seu computador ou dispositivo móvel sem o seu consentimento.
Esses programas podem fazer com que seu dispositivo trave e podem
ser usados para monitorar e controlar sua atividade online.
230 Glossário
Eles também podem tornar seu computador vulnerável a vírus e exibir

anúncios indesejados ou inadequados. Os criminosos usam malware para
roubar informações pessoais, enviar spam e cometer fraudes.
Mulas de dinheiro: são definidas como pessoas que transferem dinheiro ilegalmente em
nome de outros.
Feed de notícias: é uma lista de histórias altamente personalizada e constantemente

atualizada, incluindo atualizações de status, fotos, vídeos, links e atividades
de pessoas e coisas às quais um indivíduo está conectado no Facebook. O
objetivo do feed de notícias é mostrar às pessoas as histórias que são mais
relevantes para elas.
Onboarding: um processo que integra o novo contratado aos aspectos sociais e

culturais de uma organização.
Alias online: é uma identidade online que engloba identificadores, como nome e data
de nascimento, diferentes dos identificadores reais do funcionário, que usam
um endereço IP (Internet Protocol) não governamental. Um alias online pode
ser usado para monitorar atividades em sites de mídia social ou para se
envolver em atividades secretas online autorizadas.
Organizações abertas: tendem a ser mais informais e não altamente estruturadas –

muitas vezes carecem de estruturas de comunicação hierárquicas estritas,
as equipes de projeto são fluidas, as informações fluem livremente e os
funcionários têm amplo acesso a informações, sistemas e pessoas.
Tecnologias pessoais: incluem dispositivos de propriedade do funcionário, como

telefones celulares, tablets, laptops e mídia digital que podem ser usados
para registrar e remover informações de propriedade das instalações do
empregador de forma inadequada.
Uso pessoal: significa usar um serviço ou um item para fins e objetivos pessoais que
não têm qualquer relação com a organização que emprega o indivíduo que
usa o item ou serviço.
Informações Pessoais Identificáveis (PII): são informações que podem ser usadas
para distinguir ou rastrear a identidade de um indivíduo, isoladamente ou
quando combinadas com outras informações pessoais ou de identificação
vinculadas ou vinculáveis a um indivíduo específico.
Phishing: phishing é quando um golpista usa e-mails ou textos fraudulentos, ou sites
imitadores, para fazer com que você compartilhe informações pessoais
valiosas, como números de contas, números de previdência social ou seus
IDs de login e senhas. Os golpistas usam suas informações para roubar seu
dinheiro, sua identidade ou ambos.
Glossário 231
Politicamente correto: o uso de palavras, frases ou imagens não tendenciosas

e não discriminatórias para comunicar ideias ou mensagens.
Esquemas Ponzi: são uma fraude de investimento que paga os investidores
existentes com fundos arrecadados de novos investidores. esquema Ponzi
os organizadores geralmente prometem investir seu dinheiro e gerar

altos retornos com pouco ou nenhum risco. Mas em muitos esquemas
Ponzi, os fraudadores não investem o dinheiro. Em vez disso, eles o
usam para pagar aqueles que investiram anteriormente e podem ficar
com algum para si.
Atividades promocionais de mensagens positivas: são aquelas que

promovem comportamento social positivo e combatem mensagens negativas.
Veículos de propaganda: propriedades de mídia que são estabelecidas por
poderes políticos, econômicos ou sociais para disseminar informações
favoráveis aos seus objetivos, ou para prejudicar as atividades de seus
adversários.
Mídia social publicamente disponível: abrange aplicativos e conteúdo de

mídia social que podem ser acessados e visualizados pelo público em
geral sem restrições.
Radicalização: é o processo de doutrinar indivíduos ou grupos anteriormente

não violentos em ideologias violentas antissociais e
ações.
Golpes de ransomware: empregam um tipo de malware que infecta

computadores e restringe o acesso dos usuários aos seus arquivos ou
ameaça a destruição permanente de suas informações, a menos que

seja pago um resgate, que muitas vezes é exigido em Bitcoin.
Redirecionamento: é quando um golpista que tentou ou explorou com sucesso
um usuário no passado faz uma segunda tentativa de explorar esse
usuário para obter ganhos financeiros ou acesso a informações ou
sistemas adicionais.
Recrutamento e doutrinação: é o processo de atrair pessoas para uma causa
e ensinar a doutrina relacionada à causa.
Revanchismo: é uma política de retaliação contra adversários políticos ou
militares por perdas diplomáticas ou para recuperar território, reputação,
influência ou poder perdidos.
Sandboxing: é o uso de um ambiente de execução restrito e controlado que
impede que softwares potencialmente maliciosos, como código móvel,
acessem quaisquer recursos do sistema, exceto aqueles para os quais
o software está autorizado a limitar o acesso
e funcionalidade do código executado.

232 Glossário
Scareware: é um malware de engenharia social projetado para causar choque ou a

percepção de uma ameaça, a fim de manipular os usuários a comprar
software malicioso. É um tipo de ataque mal-intencionado que pode incluir
software de segurança desonesto, ransomware e outros golpes que fazem
com que os usuários de computador se preocupem com o fato de seu
computador estar infectado com código malicioso e geralmente sugere que
eles paguem uma taxa para consertar o computador.
Conscientização de segurança: é o nível básico de compreensão da segurança
e reconhecimento da importância da segurança.
Ameaças à segurança: são condições, pessoas ou eventos que podem comprometer
a segurança de uma nação, organização, instalação ou qualquer bem
pertencente à entidade ameaçada.
Vigilância de segurança: é uma atenção constante dada à segurança durante as
operações do dia-a-dia; contribui para a segurança ao encorajar o relato de
violações de segurança e faz sugestões sobre como melhorar a segurança
quando são observadas deficiências.
Autopromoção: no caso das mídias sociais, isso significa fornecer informações ou

fazer reivindicações com o objetivo de resultar em ganho pessoal ou
financeiro para o indivíduo que usa contas de mídia social.
Presença na mídia social: é o uso de contas e aplicativos de mídia social por uma
organização para se comunicar com indivíduos ou grupos, bem como a
menção, comentários, discussões e exibição de qualquer material em
qualquer aplicativo de mídia social que se relacione ou represente uma
organização.
Operações de influência cibernética suave: o uso de técnicas cibernéticas legais,
mas talvez sinistras, para influenciar ou persuadir grupos-alvo a aderir a
uma filosofia específica ou a realizar comportamentos desejados.
Cidadãos soberanos: são extremistas antigovernamentais que acreditam que,
embora residam fisicamente neste país, são separados ou “soberanos” dos
Estados Unidos. Como resultado, eles acreditam que não precisam
responder a nenhuma autoridade governamental, incluindo tribunais,
entidades tributárias, departamentos de veículos automotores ou
autoridades policiais.
Spear phishing: os ataques de spear phishing diferem das tentativas normais de
phishing porque visam um destinatário específico e parecem ser de uma
fonte confiável.
Glossário 233
Spoofing: é uma tentativa de obter acesso a um sistema fazendo-se passar por um

usuário autorizado. Sinônimo de representação, mascaramento ou imitação.
Swatting: é quando as pessoas ligam para as autoridades policiais para relatar uma
situação de refém ou outro incidente crítico na residência da vítima, quando
não há situação de emergência. Quando a polícia chega, pode resultar em uma
situação potencialmente perigosa.
Contas de trolling sincronizadas: contas de mídia social que, em uníssono ou de
maneira cuidadosamente cronometrada, publicam ou transmitem as mesmas
mensagens, mensagens semelhantes ou de apoio.
Typosquatting (typosquatted): também chamado de seqüestro de URL, é o cybers
quatting (localização em sites sob a marca ou direito de cópia de outra pessoa)
que visa usuários da Internet que digitam incorretamente um endereço de site
em seu navegador. Quando os usuários cometem erros tipográficos típicos,
eles podem ser enviados para um site de propriedade de um hacker, que
geralmente é projetado para fins criminosos.
Conteúdo visual: é qualquer foto, vídeo ou ilustração adicionada a postagens de mídia
social.
Watering hole attack: são ataques de malware nos quais o invasor determina os sites
frequentemente visitados por uma vítima ou um grupo de vítimas específico e
infecta esses sites com malware, que por sua vez infecta o computador dos
usuários do site visitante e, portanto, pode infectar membros do grupo de
vítimas visado.
Meios de comunicação brancos: propriedades de mídia estabelecidas por poderes

políticos, econômicos ou sociais desconhecidos ou ofuscados, disfarçados de
representantes de uma causa ou perspectiva, mas que podem estar trabalhando
em nome de outras partes.
Abordagem de todos os usuários: refere-se a um esforço organizado de todos os
usuários da Internet, independentemente de serem organizações, grupos ou
indivíduos, para participar da criação e manutenção da segurança online.
Índice
Política de uso aceitável, 83 Banco de Bangladesh, ataque em, 73

Controle de acesso, 157 Bannon, Steve, 134, 138
para sistemas de computador, 155 Melhores práticas, 92–95

Sistemas de controle de acesso, 155 Opção binária, 41–43
Fraude de taxa antecipada, 31–32 bandeiras vermelhas, 41–42
Fraude de afinidade, 40 Estojo BJ's Wholesale Club, 96
Al-Qaeda, 195 Ambiente de aprendizagem combinado, 192
Narrativas mestras alternativas, 182 Bogachev, Evgeniy, 66, 67
Ambiente online anônimo, 114 Doutrina Breitbart, 134
Hino, 14 Compromisso de e-mail comercial, 70–71
Grupo de Trabalho Anti-Phishing, 13 Comprometimento de e-mail comercial/
Separação apropriada de funções, 171 comprometimento de conta de e-mail, 61–63
Grupo APT28, 16–17 Empresas, ataques internos, 165–170
AR, consulte Realidade aumentada

Assange, Julian, 134 Fraude comercial, 32
Ataques, aproveitando PII, consulte Regra de oportunidade de negócios, 64

Informação pessoalmente
identificável Cambridge Analytica, 133–138
Realidade aumentada (AR), 194 Canadá, 67, 218
Acesso lógico autorizado, 155 Caso Cardsystem Solutions, 98

Acesso físico autorizado, 155 CCIPS, ver Divisão Criminal
Queda de avalanche, 64-66 Crimes Informáticos e
Propriedade intelectual
De volta à Rússia, Alasca, 129 Seção
mensagens de isca, 105 CEA, ver Lei de Câmbio de Mercadorias
235
236 ÍNDICE
CECI, consulte Especialista Certificado em Cyber Concorrentes corporativos, como atores de
Investigações ameaças cibernéticas, 30
Departamento de Censo, 110 Fraude corporativa, consulte Fraude comercial

CERT, consulte Prontidão para Emergências Corporação Nacional e
Equipe Serviço Comunitário, 218
Especialista Certificado em Cyber Cosméticos falsificados e golpes de
Investigações (CECI), 221 produtos antienvelhecimento, 35

Contador público certificado (CPA), 46 Medicamentos falsificados, 35
CFTC, consulte Futuros de Commodities Combatendo o extremismo violento FBI
Comissão de Negociação Programa de Conscientização para
Canal 4, 16, 137 Adolescentes, 202–203
Fraude de caridade, 32 Contramensagens, 182

China, 30, 62, 214 Contranarrativas, à
CIPSEA, consulte Confidencial radicalização, 205
Proteção de informações e CPA, consulte Contador público certificado
Lei de Eficiência Estatística Craigslist™, 69, 70
CIRA, consulte Resposta e análise de incidentes Vozes credíveis, 185
Cartão de crédito
Malware Cidadela, 7–8 abuso, 42
Líderes da sociedade civil, 40 fraude, 33
Neutralização de isca de clique, Crimes, por insiders, 155

educando os usuários da Internet, Divisão Criminal de Crimes Informáticos e
189–191 Propriedade Intelectual
Lei de Câmbio de Mercadorias (CEA), Seção (CCIPS), 66
39 Empresas criminosas, 27
Commodity Futures Trading Commission Grupo criminoso, 29
(CFTC), 39, 41, 47 Atividades criminosas de engenharia
social, 57–58
Assessoria de Fraude, 48 queda de avalanche, 64-66
Fraude de pool de commodities, 46-47, 48 comprometimento de e-mail comercial

Insiders da empresa, como agentes de ameaças (BEC)/comprometimento de
cibernéticas, 31 conta de e-mail (EAC), 61–63
Plano de segurança abrangente, 157 Esquema de criptolocker, 66–68
Equipe de prontidão para emergências de golpes de educação social
computador (CERT), 29 engenharia, 63-64
Fraude informática, 58 Esquema Gameover Zeus, 66, 67-68
Lei de Proteção de Informações Confidenciais e conexão norte-coreana, 71-74
Eficiência Estatística (CIPSEA), 110 engenheiros sociais atacando em

várias frentes, 68-71
Vigaristas, 2–3 esquema de suporte técnico, 58–61
Consumer Review Fairness Act, 64 Criptolocker, 8
Conyers Jr., John, 159 Esquema de criptolocker, 66–68
Cornyn, senador, 140 Cultura de segurança, 99
ÍNDICE 237
Cyberbullying, 121–122 mensagens políticas, 133–138

preocupações únicas sobre, 122 Departamento de Defesa (DoD), 156
Crime cibernético, 212 Departamento de Saúde e Recursos Humanos
treinamento de aplicação da lei em, Serviços (HHS), 199
220-221 Departamento de Segurança Interna
nacional, 216–218 (DHS), 91, 115, 199
Cibercriminosos, 6, 8 Departamento de Justiça (DOJ), 9, 64, 67, 111,

Escuridão cibernética, 211 133, 158, 199, 216
treinamento de aplicação da lei sobre ações, contra engenheiros sociais, 141-147

crimes cibernéticos, 220–221
cibercrime nacional e, 216–218 DHS, consulte Departamento de Homeland
Segurança
evolução de ameaças e Coleta de evidências digitais em um
vulnerabilidades, 211–216 Programa de treinamento em
Espionagem cibernética, 212 Ambiente Empresarial, 221
Resposta a Incidentes Cibernéticos e Fraude em desastres, 32
Análise (CIRA), 221 Controle de acesso discricionário

Travessura cibernética, 212 (DAC), 157
Lei de Aprimoramento da Segurança Desinformação, 15, 182

Cibernética (2014), 83 DNI, ver Gabinete do Diretor de
Estrutura de segurança cibernética Inteligência Nacional

aplicação de, 83-85 DoD, consulte Departamento de Defesa
componentes, 85-88 DOJ, ver Departamento de Justiça
Perseguição cibernética, 107 Grupos antissociais domésticos, 128, 195
Ameaça cibernética, 29 Extremistas domésticos, 195
atores, 30–31 Fanáticos domésticos, 128, 195
Subterrâneo cibernético, 8–9 Terrorismo doméstico, 196
Doxing
DAC, consulte Acesso discricionário assédio, 114-118
Ao controle legislação pendente do Congresso abordando,
Mineração de dados, 6–7 118-120
Caso Dave & Buster, 98 exemplos reais de, 120-123
Marketing enganoso, 185 Ransomware drive-by, 7
Processo eleitoral democrático, hacking, Duque, Elaine, 204
127
medidas ativas, progresso de, 127-32 EAPPA, consulte Elder Abuse Prevention and
Prosecution Act
Ações do DOJ contra engenheiros eBay™, 69, 70

sociais, 141–147 Educação de pessoas, para prevenir
Engenharia social ataques, 179-181
padrões na política e, 132-133 neutralização de isca de clique,

educando os usuários da Internet,
pessoas, 139–141 189–191
238 ÍNDICE
diversidade da população eleitoral e, crianças, 200–205

181-189 recomendações de, 117-118
Crianças do FBI, 200–205 Navegação segura na Internet
radicalização de indivíduos, Desafio, 200–201
prevenção, 194-200 e parcerias estratégicas, 9–11
método de mensagem de prevenção Comunicações Federais
de engenharia social, Comissão (FCC), 91, 140–141

repensando, 191–194
Golpes de educação, 63–64 Gestão Federal de Emergências
Processo efetivo, 66 Agência (FEMA), 21, 204
Prevenção de Abuso de Idosos e Treinamento de aplicação da lei federal
Lei de Acusação Centro (FLETC), 221
(EAPPA), 217 Federal Trade Commission (FTC), 14, 19,
Varredura de fraude do ancião, 216–217 57, 63–64, 69, 70, 96–98, 217
Bullying eletrônico, consulte
Cyberbullying FEMA, consulte Emergência Federal
Informações de saúde protegidas agência de gestão
eletronicamente (ePHI), Informações sobre serviços financeiros
167, 168 Central de Compartilhamento e Análise
ePHI, consulte informações de saúde (FS-ISAC), 10

protegidas eletronicamente Refinado, Ativo e
Equifax, 166 Controle de Acesso Escalável
Espionagem, 164 (FASAC), 158

Estônia, 139 FLETC, ver Lei Federal
Ordem Executiva (EO) 13587, 160 Treinamento de aplicação
Ordem Executiva (EO) 13636, 83 Centro
FMCNA, consulte Fresenius Medical

Facebook, 16–17, 135, 137, 138 Cuidado América do Norte
Fair Credit Billing Act (FCBA), 42 Golpes de negociação de câmbio (Forex),

Reembolso falso, 59–60 47, 48
Equipe de Hack dos Ursos Extravagantes, 146 Pesquisa de Política Externa
Fandango e Credit Karma, 97 Instituto, 130
FASAC, consulte Acesso Refinado , Ativo e França, 15, 67, 139
Escalável Fraude, tipos de, 31-38
Ao controle Instituto Fraunhofer para
FBI, ver Federal Bureau of Comunicação, 66
Investigação Fresenius Medical Care Norte
FCBA, consulte Fair Credit Billing Act América (FMCNA), 167–

FCC, consulte Comunicações Federais 168
Comissão FS-ISAC, consulte Serviços Financeiros
Departamento Federal de Investigação Compartilhamento de informações &
(FBI), 31, 37, 57, 66, 72, 74, 112, Centro de Análise
142, 154, 195, 197 FTC, ver Comissão Federal de Comércio
ÍNDICE 239
Fundos, não pagamento de, 32 Titular, Eric, 158
Fraude em funerais e cemitérios, 35 Extremistas violentos locais

FY2016 Combatendo a Violência (HVEs), 197
Subsídio para Extremismo Hong Kong, 62, 158–159
Programa, 205 Projeto de Lei da Câmara dos Deputados
3067, 118
Esquema Gameover Zeus, 66, 67-68 Como precisamos nos preparar para um
GAO, consulte Responsabilidade Geral Pandemia Cibernética Global na
Escritório Ameaça Cipher Brief
Lacunas, em segurança, 88, 89, 160 Conferência, 212
Gardner, John, 219 Estojo HTC America, 98
Escritório de Responsabilidade Geral HUD-OIG, consulte Departamento de

(GAO), 106 Habitação e Urbanismo dos EUA
Alemanha, 15, 66, 67, 139 Escritório de Desenvolvimento de
Gerstell, Glenn, 212–216 Inspetor geral
GLBA, ver Gramm-Leach HVEs, veja Extremistas violentos caseiros
Lei Bliley
Objetivo Caso financeiro, 96
Godson, Roy, 127, 128, 139–140 IC3, ver Queixa de Crime na Internet
Imitadores do governo, 42 Centro
GozNym, 65 Monitoramento de identidade, 108

Lei Gramm-Leach-Bliley Serviços de recuperação de identidade, 112
(GLBA), 110 Lei de Dissuasão de Roubo de Identidade
Tomadas cinzas, 131 e Assunção (1998), 111
GRU, veja Inteligência Principal Russa Crimes de roubo de identidade, 2, 3, 21,

Diretoria 42, 107
The Guardian (jornal), 16, 137 facilitado com PII, 110–113

Caso de Software de Orientação, 97 tipos de, 110
violar as leis federais, 112
hackers, 14 Identitytheft.gov, 13
Hacktivistas, como atores de ameaças cibernéticas, 30 Seguro contra roubo de identidade, 108
Vazamento de Harry Potter, 163–164 Proteção contra roubo de identidade, 112
Mensagens de ódio, 129, 195 Centro de Análise e Compartilhamento de
Fraude em esquemas relacionados à saúde, Informações sobre Fraudes sobre
35–36 Reembolso de Impostos sobre
Lei de Portabilidade e Responsabilidade Roubo de Identidade (IDTTRF-ISAC), 112–113
de Seguro Saúde Conflito ideológico, 195

(HIPAA) (1996), 109, 167 Violência motivada ideologicamente, 196
HHS, consulte o Departamento de Saúde e IDTTRF-ISAC, consulte Fraude de
Serviços Humanos reembolso de imposto de roubo de identidade
HIPAA, consulte Seguro de Saúde Compartilhamento de informações e
Portabilidade e Centro de Análise

Lei de Responsabilidade Vírus I LOVE YOU, 28, 49
240 ÍNDICE
IMMFWG, ver Missa Internacional IRA, consulte a Agência de Pesquisa da Internet

Trabalho de fraude de marketing Irã, 30, 214
Grupo IRS, consulte Internal Revenue Service

Índia, 66 ISIS, ver Estado Islâmico do Iraque e
Avaliações individuais, 161 Síria, Estado Islâmico do Iraque e
Espionagem industrial, 155 do Levante, o
Membros Nacionais InfraGard Estado, ou Daesh
Aliança, 10 Estado Islâmico do Iraque e da Síria,
Ataques internos, 153 Estado Islâmico do Iraque e do
sobre negócios, 165–170 Levante, o Estado Islâmico
Tarefa Nacional de Ameaças Internas Estado, ou Daesh (ISIS), 181, 195,
Força (NITTF), 159-165 196–197
segurança nacional e ameaças de ISP, consulte provedor de serviços de Internet

engenharia social e, 156-159
Jones, João, 134
natureza de, 153-155
razões para, 157 Software de registro de chaves, 61
passos contra os quais se proteger, 171–173 Khusyaynova, Elena Alekseevna, 143, 144,
Má conduta interna, 115, 171 145
Equipe interna-externa, 171 Kogan, Aleksandr, 16, 135, 136
Ameaça interna-externa, 171
Instagram, 17 Grupo Lázaro, 72

Software de imagem tridimensional Cartas de fraude de crédito, 33
interativo, 193–194 Informações conectáveis, 107
Grupo de Trabalho Interinstitucional para Informações vinculadas, 107

Counter Online Radicalization to Telas bloqueadas, 59
Violence, 198 Lockheed Martin, 73
Internal Revenue Service (IRS), 21, 110 Caso dos Serviços de Vigilância, 97
Vírus Love Bug, 28–29

Cúpula de Segurança, 112 Luxemburgo, 67
Fanáticos internacionais, 195
Marketing de massa internacional MAC, ver Acesso Obrigatório

Grupo de Trabalho de Fraude Ao controle
(IMMFWG), 218 links maliciosos, 1

Fraude em leilões na Internet, 32 Infecção por malware, 5–6, 81
Centro de reclamações sobre crimes na Internet Controle de acesso obrigatório

(IC3), 10, 19, 57, 61, 68 (MAC), 157
Internet Research Agency (IRA), 17, 138, Fraude de manipulação de mercado, 33-34
141–142, 143, 213 Marriott International, 165–166
Provedor de serviços de Internet (ISP), 2 roubo de identidade médica, 110
Fraude de investimento, 33 Fraude do Medicare, 36
Golpes de investimento, em grande Vírus de computador Melissa, 27, 28

escala, 39-48 Mercer, Robert, 133–134
ÍNDICE 241
Mercadoria, não entrega de, 32 Estados-nação, como atores de ameaças

México, 62 cibernéticas, 30
Estoque Microcap, 43–45 NCCIC, consulte National Cybersecurity and

Mulas de dinheiro, domésticas, 62 Communications
Caso MTS, 98 Centro de Integração

Müller, Robert, 213 NCFI, consulte Computador Nacional
instituto forense
Associação Nacional de Corretores de Imóveis®, 14 NCFTA, consulte National Cyber

Centro Nacional para Crianças Forense e Treinamento
Desaparecidas e Exploradas Aliança
(NCMEC), 10 NCIJTF, consulte National Cyber
Nacional de Computação Forense Tarefa Investigativa Conjunta
Instituto (NCFI), 220 Força
Nacional de Contra-Inteligência e NCMEC, consulte Centro Nacional de

Central de Segurança (NCSC) Desaparecidos e Explorados
(EUA), 215 Crianças
National Cyber-Forense e NCSC, consulte Nacional

aliança de treinamento contra-espionagem e
(NCFTA), 10 Centro de Segurança
Junta Nacional de Investigação Cibernética Holanda, 66, 67, 68, 218
Força-Tarefa (NCIJTF), 10 NETP, consulte Educação Nacional
Cibersegurança Nacional e Plano de tecnologia
Comunicações Feeds de notícias, 185
Centro de Integração The New York Times, 16, 137

(NCCIC), 92 NICCS, ver Iniciativa Nacional para
Centro Nacional de Cibersegurança Carreiras em Cibersegurança e
(Reino Unido), 215 Estudos
Nacional de Tecnologia da Educação Fraudes de cartas nigerianas, 36–37

Plano (NETP), 189–190 Vazamento da Nintendo, 163
Iniciativa Nacional para Cibersegurança NIST, consulte Instituto Nacional de

Carreiras e Estudos Padrões e Tecnologia
(NICCS), 221 NITTF, ver Ameaça Interna Nacional
Força-Tarefa Nacional de Ameaças Internas Força tarefa
(NITTF), 159–165 Nix, Alexandre, 134
Instituto Nacional de Padrões e Coreia do Norte, 30, 71–74, 214
Tecnologia (NIST), 83 NSF, consulte National Science Foundation
National Science Foundation (NSF), 192–193 NW3C, consulte National White Collar
centro criminal
Segurança nacional e ameaças de Nymain, 65

engenharia social, 156–
159 OCR, consulte Escritório de Direitos Civis, EUA
Crime de colarinho branco nacional Departamento de Saúde e
Centro (NW3C), 10 Serviços Humanos
242 ÍNDICE
OCDE, ver Organização de Comitê de Informação,

Cooperação Económica e Computador, e
Desenvolvimento Política de Comunicação
Escritório de Direitos Civis (OCR), EUA (ICCP), 99
Departamento de Saúde e Grupos criminosos organizados, como atores de
Serviços Humanos, 167, 168 ameaças cibernéticas, 30
OTC, consulte Over-the-counter
Gabinete de Assuntos Internacionais, OTPP, consulte Escritório de Terrorismo
Divisão Criminal, 66 Parcerias de prevenção
Gabinete de Gestão de Pessoal Esquema de pagamento indevido, 32
(OPM), 166–167 Over-the-counter (OTC), 43-44
Escritório de Prevenção ao Terrorismo
Parcerias (OTPP), 204–205 Palantír, 135

Penny stock, veja Microcap stock
Gabinete do Diretor Nacional Aprendizagem personalizada, 191–192
Inteligência (DNI), 29 Informação pessoalmente identificável
memorandos da OMB, 109 (PII), 19, 30, 61
Integração, 173 compromissos, níveis de impacto de,
OnGuard Online, 199 108-109
Alias on-line, 129 definição, 105-107

Fraude em leilões online, 69–70 doxxing
Venda de carros online e ataques, 69 assédio, 114-118
Fraude em anúncios classificados legislação pendente do
online, 34–35 Congresso abordando,
Organizações abertas, 154 118-120
OPM, consulte Escritório de Pessoal exemplos reais de, 120-123
Gestão roubo de identidade facilitado, 110–
Oportunistas, como atores de ameaças cibernéticas, 113
30–31 como problemático, 107-110
Cultura de segurança da organização, 81 auto-revelação, como problemática,
fundamentos de, 81-83 113-114
Estrutura de segurança cibernética Tecnologias pessoais, 154

aplicação de, 83-85 Uso pessoal, do funcionário, 83
componentes, 85-88 Persuasão
estabelecendo, 95-99 ataques de campanha de influência, 180
desenvolvimento de políticas de táticas, 47

segurança, 88-91 Phishing, 2, 4, 27, 49, 57, 59, 92, 189
proteção de pequenas empresas,
contra ataques de engenharia contra-ataque, 11–14
social, 91–95 PII e, 108
Organização da Economia golpes, denúncias, 13–14
Cooperação e esquemas, 5
Desenvolvimento (OCDE), 99 lança, 6, 72, 73
ÍNDICE 243
PII, consulte Identificação pessoal Nova segmentação, 60

Em formação Revanchismo, 129
Vazamento do PlayStation All-Stars Battle Golpes de hipoteca reversa, 37–38

Royale, 163 Ransomware Reveton, 7–8
Correção política, 187 Companheiro de roteiro, 87
Esquemas Ponzi, 2, 40 Aprendizagem de idiomas assistida por robô na
Pop-ups, 59 educação (RALL-E), 193
Atividades promocionais de mensagens Rogers, Michael S., 211, 212

positivas, 187 Rosenstein, Rod J., 141
Fraude de metais preciosos, 48 RT, veja Rússia Hoje
Golpes de investimento pré-IPO, 46 Rumer, Eugene B., 128, 129
Prigozhin, Yevgeniy Viktorovich, 141, 212– Rússia, 15, 30, 127–129, 214; Veja também
213 Processo eleitoral
Lei de Privacidade (1974), 109 democrático, hacking

Conselho Profissional operações de inteligência, 128
Certificação, 221 objetivos de engenharia social de, 130
Projeto Lakhta, 141, 143–145
Projeto Ripon, 134–135 temas em engenharia social de, 131
Pontos de propaganda, 131
Mídia social publicamente disponível, 45 Inteligência Principal Russa
mensagem de serviço público, para combater Diretoria (GRU), 145, 146
Crime na Internet, 189 Rússia Hoje (RT), 15
Bombeie e despeje, veja Fraude de
manipulação de mercado Sabotagem, 165
Putin, Vladimir, 138 Navegação on-line segura (SOS), 199
Esquemas de pirâmide, 40 Arremessos de vendas, como
engenharia social, 48
Ataques rápidos, 180 Caixa de areia, 82
SBA, consulte US Small Business
Radicalização, 181 Administração
de indivíduos, prevenção, 194-200 Espantalho, 59
Ataques de isca de esquema, 180, 189
RALL-E, consulte Robô-Assistido Grupo SCL, 133, 134
Aprendizagem de idiomas em SEC, consulte Valores Mobiliários e Câmbio
Educação Comissão
Método de pagamento de resgate, 7 Secure Sockets Layer (SSL), 97

Golpes de ransomware, 7, 65, 73, 92 Valores Mobiliários e Câmbio
Recrutamento e doutrinação, 196 Comissão (SEC), 19, 39, 41, 57,
Resgate/Espalhada/Fraude de títulos, 168–169

37 Escritório do Inspetor Geral, 42
Caso Reed Elsevier, 97 Escritório de Educação do Investidor e
Registro de Último Recurso, 66 Advocacia, 41, 46

Esquema de reenvio, 33 Relatório de Investigação, 70
244 ÍNDICE
Conscientização sobre segurança, 81 Operações de influência cibernética suave, 139

Ameaças à segurança, 81 Sony Pictures Entertainment, ataque
Vigilância de segurança, 82 em, 72
Evidências de computador apreendidas SOS, consulte Navegação online segura
Programa de treinamento de especialista Cidadãos soberanos, 196

em recuperação, 221 Spear phishing, 6, 72, 73
Autopromoção, 113 Derramar, 164
Golpe do manual do vendedor, 64 Falsificação, 129

Programa Senior Corps, 218 Espionagem, 155
Comitê Diretivo de Salvaguarda e SSA, ver Segurança Social

Compartilhamento de Administração
Informações Sênior, 160 SSL, consulte Secure Sockets Layer
Fundação Shadowserver, 66 Stop.Think.Connect, 199
Cingapura, 66 Caso Superior Mortgage Corporation, 97
Administração de Pequenas Empresas, 91
Proteção para pequenas empresas contra Golpeando, 117

ataques de engenharia social, 91–95 SWIFT, consulte Society for Worldwide
SNI, consulte Investigações de redes Interbank Financial Telecommunication
sociais
Snowden, Edward J., 158–159 Contas de trolling sincronizadas, 129
Engenharia social; ver também
entradas individuais Taiwan, 66
atacantes, 27–31 Violência direcionada, 165
maneiras de, 48-50 Roubo de identidade fiscal, 21, 110
ataques, tipos de, 179-181 Golpe de suporte técnico, 58–61
definições de, 3-4 Fraude de telemarketing, 38
esquemas de fraude, 5–8 Ataque de engenharia social por telefone, 49–50
golpes de investimento em grande escala e,
39-48 Crimes de furto, identificação, 3
novo nível, para o século 21, 14-18 Thomas, Keniel, 218–219
como arma, 2–4 Treinamento, importância de, 82

roubo de identidade social, 110 Caso TRENDnet, 98
Presença na mídia social, 186 Tribalismo, 132
Investigações de redes sociais Terceiro confiável (TTP), 112

(SNI) curso, 220 TTP, consulte Terceiros confiáveis
Sites de redes sociais, 9 Turquia, 62
e phishing, 5 Twitter, 96
Administração da Segurança Social Autenticação de dois fatores, 12

(SSA), 21 Typosquatting, 59
Sociedade Mundial
Financeiro Interbancário Ucrânia, 66, 67, 139
Telecomunicação Relatório Uniforme de Crimes
(SWIFT), 73 Programa, 220
ÍNDICE 245
Localizador uniforme de recursos (URL), 4, Serviço Secreto dos EUA, 69, 112
27, 59 Administração de Pequenas Empresas dos EUA
Reino Unido, 62, 67, 215, 218 (SBA), 171

Patente e Marca Registrada dos Estados Unidos
Escritório (USPTO), 70 Verizon Communications, Inc., 168, 169

Caso de promessa, 98
URL, consulte Localizador uniforme de recursos Moeda virtual, 60
Procuradoria dos Estados Unidos do Oeste Conteúdo visual, 192
Distrito da Pensilvânia, 66
Centros de Controle de Doenças dos EUA, 122 Ataque de ransomware WannaCry 2.0, 73–74
US-CERT, consulte US-Computer
Prontidão de emergência WannaCry ransomware, 92
Equipe Warner, Mark R., 17, 18
Emergência de computador nos EUA Ataques de bebedouros, 73
Equipe de prontidão Watts, Clint, 129–130, 131, 140
(US-CERT), 66 Webster, Linda, 219
Conselho de Assessores Econômicos dos EUA, 29 Webster, William, 218–219
Departamento de Educação dos EUA, Tomadas brancas, 131
122, 199 Abordagem de todos os usuários, 215
Departamento de Habitação e WikiLeaks, 159
Escritório de Desenvolvimento Wylie, Christopher, 133, 134, 135, 137
Urbano do Inspetor Geral
(HUD-OIG), 37 testemunho, perspectivas
Assistência Eleitoral dos EUA do comitê sobre, 138
Comissão, 182
Serviço de Inspeção Postal dos EUA, 112 Yahoo! Inc., 168–169
USPTO, consulte o Escritório de Marcas e YouTube, 203
Patentes dos Estados Unidos Yuen, Rimsky, 158

Social Engineering Hacking Systems, Nations, and SocietiesPTBR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Social Engineering Hacking Systems, Nations, and SocietiesPTBR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Machine Translated by Google

Grupo Taylor & Francis

© 2020 por Taylor & Francis Group, LLC

Nenhuma reivindicação de obras originais do governo dos EUA

Impresso em papel sem ácido

Livro Padrão Internacional Número-13: 978-0-367-31337-1 (brochura)

Visite o site da Taylor & Francis em

e o site da CRC Press em

Capítulo 1 Introdução ao uso da engenharia social

1.6 Um novo nível de engenharia social para o século 21 14

Capítulo 2 O Continuum da Engenharia Social

2.7 Tópicos de discussão do seminário 52

2.8 Termos-chave do projeto do grupo do 52

Capítulo 3 Atividades de Engenharia Social Criminal 57

3.1 O golpe do suporte técnico 3.2 58

Comprometimento do e-mail comercial 61

sociais estão atacando em várias frentes 3.7 A conexão norte-coreana

Capítulo 4 Protegendo as Organizações Contra o Social

4.1 Noções básicas de segurança para ataques de engenharia social 81

4.4 Desenvolvimento de políticas de segurança 4.5 Proteção 85

de pequenas empresas contra ataques de engenharia social 88

4.6 Estabelecimento de uma cultura de segurança 4.7 Conclusão

4.8 Pontos principais 100

4.9 Tópicos de discussão do seminário 101

4.10 Termos-chave do projeto do grupo 101

do seminário Referências 101

Capítulo 5 Técnicas de ataque da engenharia social Aproveitando PII 105

5.1 Definindo informações de identificação pessoal (PII) 105

5.2 Por que as PII são um problema 107

5.3 O roubo de identidade é facilitado com as PII 5.4 110

assédio do doxxing 5.6 Legislação pendente do 114

Congresso abordando o doxxing 5.7 Exemplos reais de doxxing e

5.10 Tópicos de discussão do seminário 124

5.11 Termos-chave do projeto do grupo 124

do seminário Referências 124

Capítulo 6 Hackeando o Eleitoral Democrático

6.1 Como as medidas ativas progrediram ao longo do tempo 127

6.5 Ações do Departamento de Justiça contra Engenheiros Sociais 141

6.7 Pontos principais 147

6.8 Tópicos de discussão do seminário 148

6.9 Tema do grupo de seminário Termos- 148

chave Referências 148

Capítulo 7 Ataques Socialmente Engenheirados por Pessoas Internas 153

à segurança nacional e de engenharia social 7.3 A Força-Tarefa 156

do seminário 7.9 Termos-chave do projeto do grupo de seminário 171

Capítulo 8 Educando as pessoas para a prevenção social

8.2 A diversidade nas populações eleitorais que precisam de educação

8.3 Neutralizando a Isca de Clique Educando os Usuários da Internet 189

8.5 Prevenindo a Radicalização de Indivíduos 8.6 FBI Kids 194

Pontos principais 8.9 205

Tópicos de discussão do seminário 8.10 206

Projeto de grupo de seminário Termos- 207

chave Referências 207

Capítulo 9 A Ascensão da Escuridão Cibernética 211

9.1 A evolução das ameaças e vulnerabilidades cibernéticas 9.2 211

Varreduras de crimes cibernéticos em todo o país são impressionantes,

9.4 Treinamento de aplicação da lei sobre crimes cibernéticos 220

9.6 Pontos principais 222

9.7 Tópicos de discussão do seminário 222

9.8 Termos-chave do projeto do grupo do 223

seminário Referências 223

Michael Erbschloe trabalhou por mais de 30 anos realizando análises