Escolar Documentos
Profissional Documentos
Cultura Documentos
Engenharia social
Sistemas de hacking, nações
e sociedades
Machine Translated by Google
Machine Translated by Google
Engenharia social
Sistemas de hacking, nações
e sociedades
Michael Erbschloe
Machine Translated by Google
Imprensa CRC
Este livro contém informações obtidas de fontes autênticas e altamente conceituadas. Esforços razoáveis foram
feitos para publicar dados e informações confiáveis, mas o autor e o editor não podem assumir a responsabilidade
pela validade de todos os materiais ou pelas consequências de seu uso. Os autores e editores tentaram rastrear os
detentores dos direitos autorais de todo o material reproduzido nesta publicação e pedem desculpas aos detentores
dos direitos autorais se a permissão para publicar neste formulário não foi obtida. Se algum material protegido por
direitos autorais não tiver sido reconhecido, por favor, escreva-nos e informe-nos para que possamos corrigi-lo em
qualquer reimpressão futura.
Exceto conforme permitido pela Lei de Direitos Autorais dos EUA, nenhuma parte deste livro pode ser reimpressa,
reproduzida, transmitida ou utilizada de qualquer forma por qualquer meio eletrônico, mecânico ou outro, agora
conhecido ou inventado no futuro, incluindo fotocópia, microfilmagem e gravação, ou em qualquer sistema de
armazenamento ou recuperação de informações, sem permissão por escrito dos editores.
Para obter permissão para fotocopiar ou usar material eletronicamente deste trabalho, acesse www.
copyright.com (http://www.copyright.com/) ou contate o Copyright Clearance Center, Inc. (CCC), 222 Rosewood
Drive, Danvers, MA 01923, 978-750-8400. A CCC é uma organização sem fins lucrativos que fornece licenças e
registros para uma variedade de usuários. Para as organizações que obtiveram uma licença de fotocópia do CCC,
um sistema de pagamento separado foi providenciado.
Aviso de marca comercial: nomes de produtos ou empresas podem ser marcas comerciais ou marcas registradas
e são usados apenas para identificação e explicação sem a intenção de infringir.
Conteúdo
Autor ix
v
Machine Translated by Google
vi Conteúdo
seminário Referências 52
53
3.4 A derrubada
Engenharia
da avalanche
social dos 3.5
golpes
Derrubada
educacionais
do jogo3.3 63
Zeus e das operações de criptolocker Os engenheiros 64
Conteúdo vii
viii Conteúdo
social e fraude
218
Glossário 225
Ind ex 235
Machine Translated by Google
Autor
ix
Machine Translated by Google
Machine Translated by Google
1
Introdução a
Engenharia Social
Uso por bandidos
1
Machine Translated by Google
2 Engenharia social
Talvez como resultado dos tempos de alta tecnologia, os vigaristas são agora
referidos como envolvidos em engenharia social. Não deveria ser surpresa saber que o
Federal Bureau of Investigation (FBI) está investigando esquemas clássicos de fraude
de investimento, como esquemas Ponzi, que agora estão sendo executados em
mundos virtuais. Outros vigaristas são capazes de conduzir crimes de roubo de
identidade identificando erroneamente
Machine Translated by Google
Engenharia [substituído]
4 Engenharia social
Os esquemas de phishing tentam fazer com que os usuários da Internet acreditem que
estão recebendo e-mail(s) de uma fonte confiável, mesmo que não seja o caso. Ataques
de phishing em usuários de sites de redes sociais vêm em vários formatos, incluindo
mensagens dentro do site de redes sociais de estranhos ou contas de amigos
comprometidas; links ou vídeos em um perfil de site de rede social que alegam levar a algo
inofensivo que acaba sendo prejudicial; ou e-mails enviados a usuários que afirmam ser do
próprio site da rede social. Os usuários de sites de redes sociais são vítimas dos esquemas
devido ao alto nível de confiança normalmente exibido ao usar sites de redes sociais. Os
usuários geralmente aceitam em seus sites privados pessoas que eles realmente não
conhecem ou, às vezes, não definem adequadamente as configurações de privacidade em
seus perfis. Isso dá aos cibercriminosos uma vantagem ao tentar enganar suas vítimas por
meio de vários esquemas de phishing.
Sites de redes sociais, bem como sites corporativos em geral, fornecem aos criminosos
uma enorme quantidade de informações para poderem criar documentos com aparência
oficial e enviá-los a alvos individuais que demonstraram interesse em assuntos específicos.
A natureza pessoal e detalhada das informações corrói o senso de cautela da vítima,
levando-a a abrir o e-mail malicioso. Esse e-mail conterá um anexo que contém um software
malicioso projetado para fornecer ao remetente do e-mail controle sobre todo o computador
da vítima.
6 Engenharia social
Os cibercriminosos projetam malware avançado para agir com precisão para infectar,
ocultar o acesso, roubar ou modificar dados sem detecção. Os codificadores de malware
avançado são pacientes e são conhecidos por testar uma rede e seus usuários para avaliar
as respostas defensivas. Malware, também conhecido como código malicioso, refere-se a
um programa inserido secretamente em outro programa com a intenção de destruir dados,
executar programas destrutivos ou intrusivos ou comprometer a confidencialidade, integridade
ou disponibilidade dos dados, aplicativos ou dados da vítima sistema operacional. O malware
é a ameaça externa mais comum para a maioria dos hosts, causando danos e interrupções
generalizados e exigindo esforços extensivos de recuperação na maioria das organizações.
O malware avançado pode usar uma abordagem em camadas para infectar e obter privilégios
elevados em um sistema. Normalmente, esses tipos de ataques são agrupados com uma
tática adicional de cibercrime, como engenharia social ou explorações de dia zero.
Na primeira fase de uma infecção por malware, um usuário pode receber um e-mail de
spear phishing que obtém acesso às informações do usuário ou entra no sistema com as
credenciais do usuário. Depois que o cibercriminoso inicia uma conexão com o usuário ou
sistema, ele pode explorá-lo ainda mais usando outros vetores que podem fornecer acesso
mais profundo aos recursos do sistema. Na segunda fase, o hacker pode instalar um
backdoor para estabelecer uma presença persistente na rede que não pode mais ser
descoberta pelo uso de software antivírus ou firewalls.
Ladrões cibernéticos usam mineração de dados em sites de redes sociais como forma
de extrair informações confidenciais sobre suas vítimas. Isto pode ser feito
8 Engenharia social
10 Engenharia social
700 policiais que realizaram buscas em 103 locais, o que resultou na prisão de 34
pessoas. Mais de 600 vítimas desta rede criminosa romena eram cidadãos
americanos. O sucesso em derrubar esse grupo deveu-se em grande parte à força
da parceria entre as autoridades romenas e os parceiros federais, estaduais e locais
dos Estados Unidos. Por meio de ampla coordenação do adido legal (legat) do FBI
em Bucareste, o Internet Crime Complaint Center forneceu aos romenos mais de
600 reclamações que compilou a partir de envios ao portal de relatórios www.IC3.gov.
Além disso, e novamente em estreita coordenação com o legado do FBI, mais de 45
escritórios de campo do FBI auxiliaram na investigação conduzindo entrevistas para
obter declarações de vítimas em formulários de denúncia romenos e obtendo
relatórios policiais e cobrindo outras pistas de investigação dentro de suas divisões.
12 Engenharia social
Existem várias práticas que os usuários de computador devem empregar para evitar que o
phishing seja bem-sucedido:
A segunda parte pode ser um código enviado para o seu telefone ou um número
aleatório gerado por um aplicativo ou token. Isso protege sua conta mesmo que sua
senha seja comprometida. • Como precaução extra, você pode escolher mais de
um tipo de segunda autenticação (por exemplo, um PIN) caso seu método principal
(como um telefone) não esteja disponível. • Faça backup de seus arquivos em um
disco rígido externo ou armazenamento em nuvem.
a menos que você tenha certeza da autoridade de uma pessoa para ter as
informações.
14 Engenharia social
Naquela época, a FTC reiterou suas recomendações para não enviar informações
segurança do computador.9
16 Engenharia social
força normativa que defende uma ordem global baseada em regras universais, e não
apenas no poder.12
Em 2007, a Plataforma Facebook foi ampliada com mais aplicativos que permitiam
que o calendário de um usuário pudesse mostrar a agenda de seus amigos
aniversários, mapas para mostrar onde moram os amigos do usuário e agenda de
endereços para mostrar suas fotos. Para fazer isso, o Facebook permitiu que as
pessoas fizessem login em aplicativos e compartilhassem quem eram seus amigos e
algumas informações sobre eles. Então, em 2013, um pesquisador da Universidade
de Cambridge chamado Aleksandr Kogan criou um aplicativo de teste de personalidade.
Foi instalado por cerca de 300.000 pessoas que concordaram em compartilhar
algumas de suas informações do Facebook, bem como algumas informações de seus amigos cujos
18 Engenharia social
não conseguiu se adaptar e foi incapaz ou não quis lidar adequadamente com os
impactos dessas tendências na privacidade, competição e discurso público.
20 Engenharia social
1.8 Conclusão
Nada está fora dos limites do cibercriminoso, quer eles usem phishing,
ransomware, falsificação de identidade ou outras formas de fraude.
Machine Translated by Google
Roubo de identidade fiscal é quando alguém usa um SSN roubado para obter uma
restituição de impostos ou um emprego. As pessoas podem descobrir que isso aconteceu
quando recebem uma carta do Internal Revenue Service (IRS) dizendo que mais de uma
declaração de imposto foi registrada com seu SSN, ou os registros do IRS mostram que
eles ganharam renda de um empregador que não conhecem. Ou, o IRS pode rejeitar sua
declaração de imposto de renda eletrônica como um arquivamento duplicado. Os golpistas
fiscais também usam e-mail e telefonemas para tentar convencer os contribuintes a
fornecer informações pessoais. O IRS alertou sobre esses golpes inúmeras vezes.16
22 Engenharia social
• Sites de redes sociais, bem como sites corporativos em geral, fornecem aos
criminosos uma enorme quantidade de informações para enviar documentos com
aparência oficial e enviá-los a alvos individuais que demonstraram interesse em
assuntos específicos.
• Na primeira fase de uma infecção por malware, um usuário pode receber um e-mail
de spear phishing que obtém acesso às informações do usuário ou entra no sistema
com as credenciais do usuário.
• O impacto do cibercrime nos indivíduos e no comércio pode ser substancial, com
consequências que vão desde uma mera inconveniência até a ruína financeira.
• O cibercrime é cada vez mais transnacional por natureza, com indivíduos vivendo
em diferentes países ao redor do mundo trabalhando juntos nos mesmos esquemas.
• Existem várias práticas que os usuários de computador devem empregar para impedir
que o phishing seja bem-sucedido e, embora essas práticas sejam amplamente
divulgadas, há vítimas de esquemas de engenharia social todos os dias. • As
plataformas de mídia social tornaram-se uma nova ferramenta para os engenheiros
sociais explorarem em busca de suas atividades criminosas. • A velocidade com que
os produtos de mídia social cresceram e passaram a dominar quase todos os
aspectos de nossas vidas sociais, políticas e econômicas obscureceu, de várias
maneiras, as deficiências de seus criadores em antecipar os efeitos nocivos de seu
uso.
Termos chave
24 Engenharia social
Esquemas Ponzi: são uma fraude de investimento que paga investidores existentes
com fundos coletados de novos investidores. Os organizadores de esquemas
Ponzi muitas vezes prometem investir seu dinheiro e gerar altos retornos
com pouco ou nenhum risco. Mas em muitos esquemas Ponzi, os
fraudadores não investem o dinheiro. Em vez disso, eles o usam para pagar
aqueles que investiram anteriormente e podem ficar com algum para si.
Golpes de ransomware: empregam um tipo de malware que infecta computadores
e restringe o acesso dos usuários a seus arquivos ou ameaça o
Referências
1. Golpe de phishing da Netflix: não morda a isca. Comissão Federal de Comércio.
TRESSLER, Colleen. 26 de dezembro de 2018. Acessado em 2 de fevereiro de
2019. https://www.consumer.ftc.gov/blog/2018/12/netf lix-phishing scam-dont-
take-bait
2. Defesa de Engenharia Social Ativa (ASED). Shen, Wade. Informações do
Programa de Agência de Projetos de Pesquisa Avançada de Defesa. Acessado
em 1º de fevereiro de 2019. https://www.darpa.mil/program/active-social
engineering-defense
3. Declaração perante o Subcomitê Judiciário da Câmara sobre Crime, Terrorismo
e Segurança Interna. Gordon M. Snow, Diretor Assistente do Federal Bureau
of Investigation. Washington, DC, 28 de julho de 2010. Acessado em 1º de
fevereiro de 2019. https://archives.fbi.gov/archives/news/testimony/the fbis-
efforts-to-combat-cyber-crime-on-social-networking- sites
4. Tendências técnicas em ataques de phishing. US-CERT. Milletário, Jason.
Acessado em 2 de fevereiro de 2019. www.us-cert.gov/sites/default/files/
publications/phishing_trends0511.pdf
5. Guia para prevenção e tratamento de incidentes de malware para desktops e
laptops. Instituto Nacional de Normalização e Tecnologia, Laboratório de
Tecnologias de Informação (ITL), Divisão de Segurança Informática (CSD),
Divisão de Cibersegurança Aplicada (ACD). Murugiah Souppaya (NIST) e Karen
Scarfone (Scarfone Cybersecurity). Julho de 2013. Acessado em 2 de fevereiro
de 2019. https://csrc.nist.gov/publications/detail/sp/800-83/
rev-1/final
6. Ransomware em ascensão: FBI e parceiros trabalhando para combater essa
ameaça cibernética. Departamento Federal de Investigação. 20 de janeiro de
2015. Acessado em 2 de fevereiro de 2019. https://www.fbi.gov/news/stories/
ransomware em ascensão
Machine Translated by Google
10. Anthem Hack Attack, Parte 2: Golpes de Phishing. Comissão Federal de Comércio.
TRESSLER, Colleen. 10 de fevereiro de 2015. Acessado em 2 de fevereiro de 2019.
https://www.consumer.ftc.gov/blog/2015/02/anthem-hack attack-part-2-phishing-scams
2
O Continuum do Social
Abordagens de Engenharia
27
Machine Translated by Google
28 Engenharia social
intenção. Em 2000, o vírus The Love Bug, no entanto, era muito mais
sinistro em sua intenção e foi projetado socialmente para levar as pessoas a
clicar em um anexo do e-mail. Como o Melissa, ele visava usuários do
Microsoft Outlook. Mas ao contrário de Melissa, ele se espalhou para toda a
lista de endereços da vítima, em vez de apenas para os primeiros 50 nomes.
Ele excluiu arquivos de imagem e som do disco rígido e aparentemente
tentou roubar a senha do computador. Talvez a maior preocupação seja o
fato de que os especialistas concordaram em dizer que o vírus era um
programa tão simples que até mesmo um aluno da sexta série com
conhecimento de script em Visual Basic poderia tê-lo criado em poucas
horas. De fato, os supostos perpetradores eram alunos de uma escola de
informática sem muito treinamento que simplesmente copiavam códigos-
fonte de vírus anteriores, supostamente com a intenção de roubar senhas de
computador. O Love Bug destacou a necessidade de reconhecer e combater
eficazmente os riscos que podem potencialmente criar graves interrupções
nos negócios, calamidade econômica e violações da segurança nacional.
Embora muitos discutam a semântica de EU TE AMO: Foi um vírus, um
worm ou um Cavalo de Tróia? Todos concordaram que se qualificou como
código malicioso, ou seja, código que faz algo diferente do que o usuário
deseja que ele faça. O modus operandi era muito parecido com o de Melissa,
pois o código malicioso chegava por e-mail, provavelmente de alguém
conhecido, com um anexo chamado CARTA DE AMOR PARA
VOCÊ.TXT.VBS. O sufixo VBS significava que o anexo era um código
executável, não apenas texto. Uma vez que o leitor clicou neste arquivo, I
LOVE YOU atacou o Microsoft Outlook e enviou uma cópia de si mesmo
para todos na lista de correspondência da vítima, enquanto Melissa apenas
usou os primeiros 50 nomes. Ele infectou o software que suporta salas de
bate-papo, de modo que sempre que uma sala de bate-papo fosse
configurada, eu te amo era enviado a todos os participantes. Ele procurou
por arquivos de imagem, vídeo e música para substituí-los por si mesmo, já
que esses arquivos tendem a ser executados com mais frequência. Em
seguida, ele infectou o Internet Explorer com seu programa de roubo de
senhas, que foi ativado quando o sistema foi reiniciado.
O vírus I LOVE YOU se espalhou com mais eficiência do que Melissa por
dois motivos principais: primeiro, ele se espalhou para todos na lista de e-
mail; e segundo, veio durante a semana, não no fim de semana, e se
espalhou. Às 18 horas do dia 4 de maio de 2000, o Computador
Machine Translated by Google
30 Engenharia social
Estados da nação
Concorrentes corporativos
Hacktivistas
busca de vingança ou ganho financeiro. Insiders podem ser especialmente perigosos quando
trabalham em conjunto com atores externos, permitindo que esses atores externos contornem
Em última análise, qualquer organização é um jogo justo para os atores de ameaças cibernéticas,
embora em momentos diferentes um conjunto diferente de empresas possa enfrentar riscos maiores.
Por exemplo, os concorrentes corporativos geralmente visam empresas em seu setor. Os chamados
setor, o estado-nação pode usar meios cibernéticos para atingir empresas desse mesmo setor no
país ou países que impuseram as sanções. Dito isso, toda empresa é um alvo em potencial,
A engenharia social é uma arte milenar e isso se reflete no tipo de esquemas fraudulentos que se
repetem por um longo período de tempo. Grupos criminosos organizados ou coletivos criminosos que
realizam ataques direcionados motivados pela busca de lucro geralmente estão envolvidos em algum
tipo de esquema fraudulento. O argumento para esses esquemas, ou como os criminosos convencem
as pessoas a ficarem presas nos esquemas, é verdadeiramente a arte da engenharia social. Uma
abordagem para entender melhor a engenharia social é entender os esquemas fraudulentos que são
alimentados pela engenharia social. Esta seção fornece uma visão geral dos esquemas fraudulentos
mais comuns. O Federal Bureau of Investigation (FBI) adverte contra vários tipos de fraude.
Um esquema de taxa antecipada ou fraude de taxa antecipada ocorre quando a vítima paga
dinheiro a alguém na expectativa de receber algo de maior valor, como um empréstimo, contrato,
antecipado é limitada apenas pela imaginação dos vigaristas que os oferecem e todos eles são
32 Engenharia social
maneira que um engenheiro social pode criar. Eles podem envolver a venda de
produtos ou serviços, a oferta de investimentos, ganhos na loteria, dinheiro
encontrado ou muitas outras oportunidades. Por exemplo, vigaristas inteligentes
se oferecerão para encontrar acordos de financiamento para seus clientes que
pagam uma taxa de localização adiantada. Eles exigem que seus clientes
assinem contratos nos quais concordam em pagar a taxa quando são
apresentados à fonte de financiamento. As vítimas muitas vezes descobrem que
não são elegíveis para financiamento somente depois de pagarem ao localizador
de acordo com o contrato. Tais acordos podem ser legais, a menos que seja
demonstrado que o localizador nunca teve a intenção ou a capacidade de
fornecer financiamento para as vítimas.
34 Engenharia social
Outras fraudes incluem medicamentos falsificados que são ilegais e podem ser
perigosos para sua saúde. São medicamentos falsificados, não produzidos de
acordo com as especificações farmacológicas dos medicamentos que afirmam
ser. Esses medicamentos falsificados podem estar contaminados ou conter os
ingredientes errados ou nenhum ingrediente ativo. Eles também podem ter o
ingrediente ativo certo, mas com a dosagem errada. Muitas pessoas são
enganadas por medicamentos prescritos falsos disfarçados de medicamentos
legítimos, e usá-los pode piorar suas condições de saúde.
Cosméticos fraudulentos e golpes de produtos antienvelhecimento
aumentaram o volume de cosméticos falsificados que chegam aos Estados Unidos.
A Internet deu aos consumidores amplo acesso a produtos de saúde e beleza
(alguns rotulados com propriedades antienvelhecimento) que são falsificados.
Os falsificadores de produtos de higiene pessoal veem cada vez mais o
comércio desses itens falsificados como um crime de baixo risco, já que muitos
deles estão localizados fora dos Estados Unidos. Estudos e testes do governo
e da indústria descobriram ingredientes perigosos em produtos
antienvelhecimento falsificados. Cosméticos fraudulentos podem conter
arsênico, berílio e cádmio (todos os carcinógenos conhecidos), juntamente com
altos níveis de alumínio e níveis perigosos de bactérias de fontes como a urina.
Alguns desses produtos causaram condições como acne, psoríase, erupções
cutâneas e infecções oculares.
As fraudes em funerais e cemitérios cresceram em popularidade. Milhões
de americanos fazem contratos para organizar seus funerais e pagar
antecipadamente algumas ou todas as despesas envolvidas, para aliviar os
encargos financeiros e emocionais de suas famílias. As leis de cada estado
regulam o setor, e vários estados têm leis para ajudar a garantir que esses
adiantamentos estejam disponíveis quando forem necessários. No entanto, as
proteções variam muito de estado para estado, às vezes oferecendo uma
janela de oportunidade para operadores inescrupulosos cobrarem despesas a
mais e se listarem como beneficiários financeiros.
Esquemas relacionados à saúde tentam fraudar programas de saúde
privados ou governamentais, que geralmente envolvem provedores de saúde,
empresas ou indivíduos. Esses esquemas podem incluir ofertas de cartões de
seguro (falsos); assistência ao mercado de seguros de saúde; roubado
Machine Translated by Google
36 Engenharia social
perdas são causadas por esses esquemas anualmente. Algumas vítimas foram
atraídas para a Nigéria, onde foram presas contra sua vontade, além de
perderem grandes somas de dinheiro. O governo nigeriano não simpatiza com
as vítimas desses esquemas, já que a vítima na verdade conspira para retirar
fundos da Nigéria de uma maneira contrária à lei nigeriana. Os próprios
esquemas violam a Seção 419 do código penal nigeriano, daí o rótulo de fraude
419.
A fraude de resgate/estranho/títulos é comum, com os proponentes desse
esquema alegando que o governo dos EUA ou o Departamento do Tesouro
controlam as contas bancárias, geralmente chamadas de contas diretas do
Tesouro dos EUA, para todos os cidadãos dos EUA que podem ser acessados
enviando documentos com o estado e autoridades federais. Indivíduos que
promovem esse golpe frequentemente citam várias teorias jurídicas
desacreditadas e podem se referir ao esquema como Redenção, Espantalho ou
Aceitação por Valor. Treinadores e sites geralmente cobram altas taxas por kits
que ensinam os indivíduos a perpetrar esse esquema. Freqüentemente, eles
insinuam que outros tiveram grande sucesso em quitar dívidas e comprar
mercadorias como carros e casas. As falhas na implementação bem-sucedida
do esquema são atribuídas a indivíduos que não seguem as instruções em uma
ordem específica ou não preenchem a papelada nos horários corretos.
Este esquema usa predominantemente documentos financeiros fraudulentos
que parecem ser legítimos. Esses documentos são freqüentemente chamados
de letras de câmbio, obrigações promissórias, títulos de indenização, títulos de
compensação, saques à vista ou warrants dos controladores. Além disso, outros
documentos oficiais são usados fora de sua finalidade pretendida, como os
formulários 1099, 1099-OID e 8300 do IRS. Esse esquema frequentemente
mistura terminologia jurídica e pseudolegal para parecer legal. Os notários
podem ser usados na tentativa de fazer com que a fraude pareça legítima.
38 Engenharia social
• Você não precisa checar a empresa com ninguém. (Os chamadores dizem
que você não precisa falar com ninguém, incluindo sua família, advogado,
contador, Better Business Bureau local ou agência de proteção ao
consumidor).
• Você não precisa de nenhuma informação escrita sobre a empresa ou suas
referências.
• Você não pode perder esta oferta de alto lucro e sem risco.4
Machine Translated by Google
muitos anos, existem alguns fatos básicos que você deve saber sobre diferentes tipos de fraude. A
Securities and Exchange Commission (SEC) se concentra em fraudes em que os engenheiros sociais
visam especificamente os investidores. O Quadro 2.2 mostra os tipos de fraude sobre os quais a SEC
alerta os investidores. A Commodity Futures Trading Commission (CFTC) trabalha para proteger os
usuários do mercado e seus fundos, consumidores e o público contra fraude, manipulação e práticas
abusivas relacionadas a derivativos e outros produtos sujeitos ao Commodity Exchange Act (CEA).
Muitos tipos de fraude de investimento são discutidos acima, mas muitos merecem explicações
adicionais e são abordados nos parágrafos a seguir. Nesta seção, são fornecidas mais informações
sobre como identificar as informações de engenharia social que os fraudadores estão fornecendo à
vítima em potencial. Isso fornece maior percepção do processo de engenharia social empregado
quando o invasor de engenharia social está jogando um jogo longo e planeja manter a vítima no
fraude de afinidade
Fraude de taxa antecipada
Fraude Microcap
esquema Ponzi
Golpes de investimento pré-IPO
Esquemas de pirâmide
Investimentos de bancos de primeira linha
Notas promissórias
40 Engenharia social
Devido à estrutura coesa de muitos grupos, pode ser difícil para os reguladores
ou agentes da lei detectar um golpe de afinidade. Muitas vezes, as vítimas não
notificam as autoridades ou buscam soluções legais.
Em vez disso, eles tentam resolver as coisas dentro do grupo. Isso é particularmente
verdadeiro quando os fraudadores usaram líderes comunitários ou religiosos
respeitados para convencer outras pessoas a participar do investimento.6
Machine Translated by Google
• Ofertas não solicitadas: ofertas não solicitadas (você não pediu e não
conhece o remetente) para obter retornos de investimento que parecem
boas demais para ser verdade podem fazer parte de um esquema de
investimento fraudulento.
Machine Translated by Google
42 Engenharia social
• Abuso de cartão de crédito: se você usou um cartão de crédito para financiar sua
conta, fique atento a cobranças não autorizadas em seus extratos de cartão de
crédito. Mesmo que você tenha assinado um formulário supostamente
renunciando ao seu direito de contestar quaisquer cobranças de cartão de
crédito, informe todas as cobranças não autorizadas à administradora do cartão
de crédito imediatamente.
• Imitadores do governo: Se alguém alegando ser afiliado à SEC entrar em
contato com você e pedir que você pague dinheiro para ajudá-lo a recuperar
perdas relacionadas a investimentos em opções binárias, envie uma reclamação
em www.sec.gov/oig para o Gabinete de Inspetor da SEC Geral (OIG) ou ligue
para a linha direta gratuita do OIG em (833) SEC-OIG1 (732-6441). É importante
que todos os investidores saibam que a SEC nunca faz as pessoas pagarem
para receber seu dinheiro de volta.7
Machine Translated by Google
Além disso, se algum dos produtos oferecidos pelos sites de negociação de opções
binárias forem swaps baseados em segurança, serão aplicados requisitos adicionais.
O termo estoque microcap (às vezes referido como penny stock) aplica-se a
empresas com capitalizações de mercado baixas ou micro.
As empresas com capitalização de mercado inferior a US$ 250 ou US$ 300 milhões
costumam ser chamadas de ações microcap, embora muitas tenham capitalizações
de mercado muito inferiores a esses valores. As menores empresas públicas, com
capitalizações de mercado inferiores a US$ 50 milhões, às vezes são chamadas de
ações nanocap.
Muitas ações microcap são negociadas no mercado de balcão (OTC). As
cotações para ações microcap podem estar disponíveis diretamente de uma corretora
ou em sistemas OTC, como OTC Bulletin Board (OTCBB), OTC Link LLC (OTC Link)
ou Global OTC.
As ações da Microcap diferem de outras ações de várias maneiras. Muitas vezes,
a maior diferença entre uma ação microcap e outras ações é a quantidade de
informações confiáveis disponíveis publicamente sobre a empresa. A maioria das
grandes empresas públicas arquiva relatórios com a SEC que qualquer investidor
pode obter gratuitamente no site da SEC. Analistas de ações profissionais pesquisam
e escrevem regularmente sobre grandes empresas de capital aberto, e é fácil
encontrar os preços de suas ações na Internet ou em jornais e outras publicações.
Por outro lado, as mesmas informações sobre empresas microcap podem ser
extremamente difíceis de encontrar, tornando-as mais vulneráveis a esquemas de
fraude de investimento de engenharia social e tornando menos provável que os
preços cotados sejam baseados em informações completas e precisas sobre a
empresa.
Machine Translated by Google
44 Engenharia social
As empresas que listam suas ações em bolsas devem atender aos padrões
mínimos de listagem. Por exemplo, eles devem ter valores mínimos de patrimônio
líquido e número mínimo de acionistas. Em contraste, as empresas cotadas no
OTCBB, OTC Link ou Global OTC geralmente não precisam atender a nenhum
padrão mínimo de listagem, mas estão normalmente sujeitas a alguns requisitos
iniciais e contínuos. Os investidores podem encontrar os requisitos de elegibilidade
do OTCBB para ações em http://www.
finra.org/industry/faq-otcbb-frequently-asked-questions e informações adicionais
sobre OTC Link e Global OTC podem ser encontradas em www.otcmarkets.com
e www.globalotc.com, respectivamente.
Embora todos os investimentos envolvam riscos, as ações microcap estão
entre as mais arriscadas. Muitas empresas de microcap são novas e não têm
histórico comprovado. Algumas dessas empresas não possuem ativos, operações
ou receitas. Outras possuem produtos e serviços que ainda estão em
desenvolvimento ou ainda não foram testados no mercado. Outro risco relacionado
às ações microcap envolve os baixos volumes de negociação, o que pode
dificultar a venda de ações pelos investidores quando quiserem. Como muitas
ações microcap são negociadas em volumes baixos, qualquer negociação de
tamanho pode ter um grande impacto percentual no preço da ação. As ações da
Microcap também podem ser suscetíveis a fraude e manipulação.8
As pessoas que estão pensando em investir nesse tipo de ação precisam ter
cuidado com as informações erradas sobre a empresa. Os potenciais compradores
podem perguntar ao seu profissional de investimentos se a empresa arquiva
relatórios com a SEC e fornece informações por escrito sobre a empresa e seus
negócios, finanças e administração. Os investidores em potencial também devem
se lembrar de que nunca devem usar e-mails não solicitados, postagens em
quadros de mensagens e comunicados de imprensa da empresa como única
base para decisões de investimento. Infelizmente, algumas das informações que
as pessoas recebem podem ser falsas ou enganosas, ou podem ser distribuídas
por pessoas com um interesse não revelado em fazer com que os investidores
comprem ações por mais do que valem. Só porque uma empresa parece ter
informações da empresa prontamente disponíveis ou arquiva relatórios com um
regulador, não significa que é seguro investir nessa empresa.9
Muitas vezes, a maior diferença entre uma ação microcap e outras ações é a
quantidade de informações confiáveis disponíveis publicamente sobre a empresa.
A maioria das grandes empresas públicas arquiva relatórios com a SEC que
qualquer investidor pode obter gratuitamente no site da SEC. Analistas de ações
profissionais pesquisam e escrevem regularmente sobre o público em geral
Machine Translated by Google
46 Engenharia social
O mercado de câmbio (Forex) é volátil e traz riscos substanciais. Não é o lugar para
colocar dinheiro que você não pode perder, como fundos de aposentadoria, pois você
pode perder a maior parte ou a totalidade muito rapidamente. A CFTC testemunhou um
aumento acentuado nos golpes de negociação Forex nos últimos anos e aconselha os
investidores sobre como identificar possíveis fraudes. Sinais de um possível discurso de
vendas fraudulento incluem a maioria dos mesmos argumentos de engenharia social e
táticas de persuasão empregadas na fraude de pool de commodities.13
Machine Translated by Google
48 Engenharia social
desastre da mina, você certamente obterá grandes retornos sobre seu depósito”,
ou a alegação de que as transações de metais preciosos não são regulamentadas
pela CFTC ou pela National Futures Association.15
50 Engenharia social
inócuo para a vítima. Os engenheiros sociais podem tentar coletar informações sobre
suas vítimas em feiras ou conferências relacionadas ao assunto.
2.5 Conclusão
52 Engenharia social
• Em um ataque de engenharia social por telefone, o hacker contata a vítima fingindo ser
outra pessoa, como um técnico de serviço ou colega de trabalho, e tenta coletar
informações que podem parecer inócuas para a vítima.
Termos chave
Fraude de taxa antecipada: são esquemas de taxa que exigem que as vítimas adiantem
quantias de dinheiro relativamente pequenas na esperança de obter ganhos muito
maiores. Nem todos os esquemas de taxas antecipadas são fraudes de investimento.
Naqueles que são, no entanto, as vítimas são informadas de que, em
Machine Translated by Google
tims podem ser abordados por e-mails não solicitados solicitando doações
para uma organização aparentemente legítima. O planejador instruirá a
vítima a enviar uma doação por meio de transferência de dinheiro.
Informações Pessoais Identificáveis (PII): são informações que podem ser usadas
para distinguir ou rastrear a identidade de um indivíduo, isoladamente ou
quando combinadas com outras informações pessoais ou de identificação
vinculadas ou vinculáveis a um indivíduo específico.
Mídia social publicamente disponível: abrange aplicativos e conteúdo de mídia
social que podem ser acessados e visualizados pelo público em geral sem
restrições.
Referências
1. Tendências técnicas em ataques de phishing. US-CERT. Milletário, Jason.
Acessado em 2 de fevereiro de 2019. www.us-cert.gov/sites/default/files/
publications/phishing_trends0511.pdf
2. Vírus Love Bug: protegendo computadores apaixonados contra ataques
maliciosos. Quarta-feira, 10 de maio de 2000. Câmara dos Representantes,
Comitê de Ciência, Subcomitê de Tecnologia, Washington, DC. Acessado
em 4 de fevereiro de 2019. http://commdocs.house.gov/committees/science/
hsy131170.000/hsy131170_1.HTM
Machine Translated by Google
54 Engenharia social
3. O custo da atividade cibernética maliciosa para a economia dos EUA. Conselho de Assessores
Econômicos. Fevereiro de 2018. Acessado em 4 de fevereiro de 2019. https://
www.whitehouse.gov/wp-content/uploads/2018/03/The-Cost of-Malicious-Cyber-Activity-to-
the-US-Economy.pdf
4. Golpes e Esquemas de Fraude Comuns de Segurança. Departamento Federal de Investigação.
Acessado em 4 de fevereiro de 2019. https://www.fbi.gov/scams and-safety/common-fraud-
schemes
5. Tipos de Fraude. Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de
fevereiro de 2019. https://www.investor.gov/protect-your-investments/
fraude/tipos de fraude
6. Boletim do Investidor: Fraude por Afinidade. Comissão de Valores Mobiliários dos Estados
Unidos. Acessado em 5 de fevereiro de 2019. https://www.investor.gov/
recursos adicionais/alertas-notícias/boletins-alertas/boletim-investidor-afinidade-fraude
7. Alerta do investidor: Sites de opções binárias podem ser usados para esquemas fraudulentos.
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019.
https://www.investor.gov/investing-basics/avoiding-fraud/
fraude de tipos/fraude de opções binárias
8. Boletim do Investidor: Fundamentos da Microcap Stock (Parte 1 de 3: Informações Gerais).
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019.
https://www.investor.gov/additional-resources/news-alerts/alerts bulletins/investor-bulletin-
microcap-stock-basics-part-1-3
9. Boletim do Investidor: Noções básicas sobre ações da Microcap (Parte 2 de 3: Pesquisa).
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019.
https://www.investor.gov/additional-resources/news-alerts/
alertas-boletins/boletim-investidor-microcap-stock-básico-parte-2-3
10. Boletim do Investidor: Noções básicas sobre ações da Microcap (Parte 3 de 3: Risco).
Comissão de Valores Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019. https://
www.investor.gov/additional-resources/news-alerts/alerts-bulletins/
boletim do investidor-microcap-stock-noções básicas-parte-3-3
11. Alerta ao Investidor: Golpes de Investimento Pré-IPO (atualizado). Comissão de Valores
Mobiliários dos Estados Unidos. Acessado em 5 de fevereiro de 2019. https://
www.investor.gov/additional-resources/news-alerts/alerts-bulletins/
investidor-alerta-pré-ipo-investimento-golpes-atualizado
12. Fraude em Pool de Commodities. Comissão de Negociação de Futuros de Commodities dos
EUA (CFTC). Acessado em 5 de fevereiro de 2019. https://www.cftc.gov/About/
MissionResponsibilities/index.htm
13. Fraude no comércio de moeda estrangeira (Forex). Comissão de Negociação de Futuros de
Commodities dos EUA (CFTC). Acessado em 5 de fevereiro de 2019. https://
www.cftc.gov/ConsumerProtection/FraudAwarenessPrevention/
CFTCFraudAdvisories/fraudadv_forex.html
14. Fraude Advisory da CFTC: Lucros da Guerra contra o Terrorismo.
Comissão de Negociação de Futuros de Commodities dos EUA (CFTC). Acessado em 5 de
fevereiro de 2019. https://www.cftc.gov/ConsumerProtection/
FraudAwarenessPrevention/CFTCFraudAdvisories/fraudadv_wtcat tack.html
Machine Translated by Google
3
Criminoso Social
Atividades de Engenharia
57
Machine Translated by Google
58 Engenharia social
são referentes a crimes perpetrados por meio do uso de engenharia social.4 Este capítulo
analisa várias instâncias de engenharia social sendo empregadas para cometer atos
criminosos, que violam as leis que as agências acima são responsáveis por fazer cumprir.
Esse ataque de engenharia social ainda está acontecendo e, em 2017, o IC3 recebeu
aproximadamente 11.000 reclamações relacionadas a fraudes de suporte técnico. As perdas
alegadas totalizaram quase $ 15 milhões, o que representou um aumento de 86% nas
perdas em relação a 2016. Embora a maioria das fraudes de suporte técnico envolva vítimas
nos Estados Unidos, o IC3 recebeu reclamações desse cenário de fraude de computador
de vítimas em 85 países diferentes .
60 Engenharia social
A moeda virtual é cada vez mais visada por criminosos de suporte técnico, com
perdas de vítimas individuais geralmente em milhares de dólares. Os criminosos se
62 Engenharia social
Com base nos dados financeiros, os bancos asiáticos localizados na China e Hong
Kong continuam sendo os principais destinos de fundos fraudulentos; no entanto,
instituições financeiras no Reino Unido, México e Turquia também foram identificadas
recentemente como destinos importantes.
Entre outubro de 2013 e maio de 2018, foram 78.617 incidentes relatados por fontes
nacionais e internacionais e a perda do dólar foi impressionante. As estatísticas são
apresentadas na Tabela 3.1.
Nos últimos anos, os atores do BEC/EAC focaram fortemente no setor imobiliário. As
vítimas que participam em todos os níveis de uma transação imobiliária relataram tal
atividade ao IC3. Isso inclui empresas de títulos, escritórios de advocacia, agentes
imobiliários, compradores e vendedores. As vítimas geralmente relatam um e-mail forjado
sendo enviado ou recebido em nome de um desses participantes da transação imobiliária
com instruções direcionando o destinatário a alterar o tipo de pagamento e/ou local de
pagamento para uma conta fraudulenta. Os fundos são geralmente direcionados para
uma conta doméstica fraudulenta e, em seguida, são rapidamente dispersos em dinheiro
ou cheque com saques. Os fundos também podem ser transferidos para uma conta
doméstica ou internacional fraudulenta secundária. Fundos enviados para contas
nacionais
A FTC acusou três indivíduos e nove empresas de furtar mais de US$ 125
milhões de milhares de consumidores com um programa fraudulento de
educação empresarial chamado MOBE (My Online Business Education). Um
tribunal federal interrompeu o esquema e congelou os bens dos réus a pedido
da FTC. De acordo com a FTC, os réus por trás dessa operação internacional
têm como alvo consumidores americanos, incluindo militares, veteranos e
idosos, por meio de anúncios online, mídia social, mala direta e eventos ao
vivo realizados em todo o país. Esta ação segue a recente ação da agência
contra a Digital Altitude, LLC, que era um esquema concorrente de oportunidade
de negócios que também foi interrompido por ordem judicial.
64 Engenharia social
66 Engenharia social
em todo o mundo, embora cálculos exatos sejam difíceis devido ao grande número
de famílias de malware presentes na rede.
A Procuradoria do Distrito Oeste da Pensilvânia, o FBI e a Seção de Crimes
Informáticos e Propriedade Intelectual (CCIPS) da Divisão Criminal conduziram a
operação em estreita cooperação com o Ministério Público de Verden, Alemanha;
a Polícia de Luneburg, Alemanha; Europol; Eurojust, localizada em Haia, Holanda;
e investigadores e promotores de mais de 40 jurisdições, incluindo Índia, Cingapura,
Taiwan e Ucrânia.
ção necessária para identificar os computadores das vítimas para que o DOJ
pudesse fornecer essas informações a entidades dos setores público e privado que
pudessem ajudar as vítimas a livrar seus computadores da infecção. Ao mesmo
tempo, parceiros estrangeiros de aplicação da lei apreenderam servidores de
computador críticos usados para operar o Cryptolocker, o que resultou na
incapacidade do Cryptolocker de criptografar os arquivos das vítimas.
Começando nas primeiras horas da manhã de sexta-feira, 30 de maio, e
continuando até o fim de semana, o FBI e as autoridades policiais em todo o mundo
começaram a apreensão coordenada de servidores de computador que eram a
espinha dorsal do Gameover Zeus e do Cryptolocker. Essas apreensões ocorreram
no Canadá, França, Alemanha, Luxemburgo, Holanda, Ucrânia e Reino Unido.
Reconhecendo que apenas apreensões não seriam suficientes porque os
cibercriminosos podem rapidamente estabelecer novos servidores em outros locais,
a equipe iniciou uma sequência cuidadosamente cronometrada de medidas técnicas
para arrancar dos criminosos a capacidade de enviar comandos para centenas de
milhares de computadores infectados e para direcionar esses computadores para
contatar o servidor que o tribunal autorizou o DOJ a estabelecer. Trabalhando a
partir do comando
Machine Translated by Google
68 Engenharia social
70 Engenharia social
SOCIAL
convenceu o pessoal da empresa a transmitir grandes transferências eletrônicas para contas controladas
pelos perpetradores.15 Outros ataques recentes de engenharia social que resultaram em fraude são
Em setembro de 2018, foi aberta uma denúncia criminal acusando Park Jin Hyok (ÿÿÿ; também conhecido
como Jin Hyok Park e Pak Jin Hek), um cidadão norte-coreano, por seu envolvimento em uma conspiração
para realizar vários ataques cibernéticos destrutivos em todo o mundo, resultando em danos a enormes
A denúncia alegava que Park era membro de uma equipe de hackers patrocinada pelo governo,
conhecida no setor privado como Lazarus Group, e trabalhava para uma empresa de fachada do governo
norte-coreano, a Chosun Expo Joint Venture (também conhecida como Korea Expo Joint Venture ou KEJV),
para apoiar o Ações cibernéticas maliciosas do governo da República Popular Democrática da Coreia
(RPDC). As atividades maliciosas da conspiração incluíram a criação do malware usado no ataque global
de ransomware WannaCry 2.0 em 2017; o roubo de $ 81 milhões em 2016 do Bangla desh Bank; o ataque
de 2014 à Sony Pictures Entertainment (SPE); e vários outros ataques ou invasões nos setores de
entretenimento, serviços financeiros, defesa, tecnologia, moeda virtual, academia e serviços públicos de
eletricidade.
Machine Translated by Google
72 Engenharia social
74 Engenharia social
Park e seus co-conspiradores foram ligados a esses ataques, invasões e outras atividades
cibernéticas maliciosas por meio de uma investigação completa que identificou e rastreou:
contas de e-mail e mídia social que se conectaram e foram usadas para enviar mensagens
de spear phishing; apelido; contas de coletores de malware usadas para armazenar
credenciais roubadas; bibliotecas de códigos de malware comuns; serviços de proxy usados
para mascarar locais; e endereços IP norte-coreanos, chineses e outros. Parte dessa
infraestrutura maliciosa foi usada em várias instâncias das atividades maliciosas descritas
3.8 Conclusão
Houve incontáveis ataques de engenharia social, alguns dos quais resultaram apenas em
delinquência, enquanto outros tiveram um impacto financeiro e comercial global. Atividades
como o Golpe do Suporte Técnico e o Comprometimento de E-mail Comercial impactaram
milhares de empresas e usuários de computadores particulares. Alguns esforços de
engenharia social, como os da Coreia do Norte e do Avalanche, foram subpartes de
conspirações criminosas maiores. Este capítulo revisou explorações e crimes do mundo real
envolvendo engenharia social.
76 Engenharia social
• Por que os participantes acham que as pessoas continuam caindo no mesmo tipo
de armadilhas de engenharia social ano após ano?
Divida os participantes em vários grupos com cada grupo levando de 10 a 15 minutos para
desenvolver uma lista de maneiras pelas quais os usuários de computador podem ser
treinados ou educados para não responder à isca de clique de engenharia social.
Reúna-se como um grupo e discuta as maneiras que os grupos listaram para treinar ou
educar os usuários de computador a não responder a iscas de cliques de engenharia social.
Termos chave
Referências
1. Tendências técnicas em ataques de phishing. US-CERT. Milletário, Jason.
Acessado em 2 de fevereiro de 2019. www.us-cert.gov/sites/default/files/
publications/phishing_trends0511.pdf
2. Declaração de missão do IC3/Sobre nós. Federal Bureau of Investigation
Internet Crime Complaint Center (IC3). Acessado em 7 de fevereiro de 2019.
https://www.ic3.gov/about/default.aspx
Machine Translated by Google
78 Engenharia social
de 2019. https://www.consumer.ftc.gov/features/scam-alerts
17. Programador apoiado pelo regime norte-coreano acusado de conspiração para conduzir vários
ataques cibernéticos e invasões. Secretaria de Assuntos Públicos do Departamento de
Justiça. 6 de setembro de 2018. Acessado em 8 de fevereiro de 2019. https://www.justice.gov/
opa/pr/north-korean-regime-backed programer-charged-conspiracy-conduct-multiple-cyber-
attacks-and
Machine Translated by Google
Machine Translated by Google
4
Organizações de proteção
Contra Social
Ataques de Engenharia
81
Machine Translated by Google
82 Engenharia social
• Segregação da rede.
• Configuração do computador para permitir o mínimo de privilégios
necessários para executar o trabalho do usuário.
• Sandbox de aplicativos .
• Monitoramento de software não autorizado e proibição da capacidade de
instalar software não autorizado.
• Monitoramento de atividade anômala para malware e polymor
código fic.
• Monitoramento do tráfego de rede.
• Educação do usuário em conscientização, vigilância de segurança,
práticas seguras de computação, indicadores de código malicioso e ações
de resposta.2
outros ativos são protegidos. A administração também deve ter a capacidade de impor
sanções por descumprimento.
Os materiais de treinamento para a maioria dos usuários concentram-se em questões
como segurança de terminais, requisitos de login e diretrizes de administração de senhas.
Os programas de treinamento devem incluir cenários que capturem áreas de preocupação
significativa e crescente, como tentativas de phishing e engenharia social, perda de dados
por e-mail ou mídia removível ou postagem não intencional de informações confidenciais
ou proprietárias em mídias sociais. À medida que o ambiente de risco muda, o treinamento
também deve mudar.
A gerência deve coletar reconhecimentos assinados da política de uso aceitável do
funcionário como parte do programa de treinamento anual.3
As políticas de uso aceitável devem enfatizar que o computador e as redes de uma
organização não serão usados para atividades pessoais. Este é um princípio muito
importante. O uso pessoal do funcionário expande o perfil de uma rede e domínio e pode
abrir o ambiente para um número maior de ataques de engenharia social e infestações de
malware.
Os funcionários podem achar que isso é difícil, mas o objetivo de um plano e política de
segurança é proteger as redes e os ativos eletrônicos para que as operações não sejam
interrompidas.
84 Engenharia social
práticas da Estrutura para alcançar resultados positivos varia. A Estrutura não deve ser
implementada usando uma abordagem de tamanho único para organizações de
infraestrutura crítica ou como uma lista de verificação não personalizada.
Autenticação
Compartilhamento automatizado de indicadores
Avaliação de conformidade
Análise de dados
padrões, diretrizes e melhores práticas do Framework. Algumas partes estão usando a Estrutura
práticas do setor. A Estrutura também está sendo usada como uma ferramenta de planejamento
O Framework pode ser usado por organizações que já possuem extensos programas de
segurança cibernética, bem como por aqueles que estão começando a pensar em implementar
A mesma abordagem geral funciona para qualquer organização, embora a maneira pela qual eles
fazem uso da Estrutura seja diferente dependendo de seu estado atual e prioridades. As áreas de
alta prioridade para o desenvolvimento de práticas, padrões e tecnologias necessárias para apoiar
referências aplicáveis que são comuns em setores de infraestrutura crítica. Um exemplo de resultado
do Quadro
Machine Translated by Google
86 Engenharia social
Identificar
Proteger
detectar
Responder
Recuperar
Machine Translated by Google
88 Engenharia social
nist.gov/cyberframework.
90 Engenharia social
92 Engenharia social
Se você não tiver certeza se uma solicitação de e-mail é legítima, tente verificá-la
entrando em contato diretamente com a empresa. Não use as informações de
contato fornecidas em um site conectado à solicitação; em vez disso, verifique as
declarações anteriores para obter informações de contato. As pequenas empresas
também devem fazer o seguinte:
94 Engenharia social
laptops podem ser alvos fáceis de roubo ou podem ser perdidos, portanto, tranque-os
separada seja criada para cada funcionário e exija senhas fortes. Privilégios
chave.
• Certifique-se de que a rede Wi-Fi do local de trabalho esteja segura, criptografada e oculta.
Para ocultar a rede Wi-Fi, o ponto de acesso sem fio ou roteador deve ser configurado
de forma que não transmita o nome da rede, conhecido como Service Set Identifier
(SSID). Além disso, o acesso ao roteador deve ser protegido por senha.
acordos com seu banco ou processador. Eles devem garantir que os sistemas de
funcionários devem ter acesso apenas aos sistemas de dados específicos de que
precisam para seus trabalhos e não devem poder instalar nenhum software sem
permissão.
• Exigir que os funcionários usem senhas exclusivas e alterem as senhas a cada três
adicionais além de uma senha para obter acesso. Verifique com fornecedores que lidam
96 Engenharia social
98 Engenharia social
No caso da Dave & Buster, a FTC alegou que a empresa não usava um
sistema de detecção de invasões e não monitorava os logs do sistema em busca
de atividades suspeitas. A FTC disse que algo semelhante aconteceu no caso
da Cardsystem Solutions. A empresa não usou medidas suficientes para detectar
o acesso não autorizado à sua rede.
4.7 Conclusão
• Muitas pequenas empresas podem não ter todos os recursos de que precisam
para ter uma forte postura de segurança cibernética. No entanto, as
empresas precisam de uma estratégia de segurança cibernética para
proteger sua própria organização, clientes e dados de crescentes ameaças
de segurança cibernética.
• As empresas que consideram a segurança desde o início avaliam suas opções
e fazem escolhas razoáveis com base na natureza de seus negócios e na
confidencialidade das informações envolvidas.
• Fazer escolhas conscientes sobre o tipo de informação a ser coletada, por
quanto tempo mantê-la e quem pode acessá-la pode reduzir o risco de
comprometimento de dados no futuro.
• As diretrizes da Organização de Cooperação e Desenvolvimento Econômico
(OCDE) incentivam o desenvolvimento de uma cultura de segurança como
mentalidade para responder às ameaças e vulnerabilidades das redes de
comunicação.
Machine Translated by Google
Termos chave
Melhores práticas: são técnicas ou metodologias que, por meio de experiência e pesquisa,
levaram de forma confiável a um resultado desejado ou ótimo.
Referências
1. Cultura de Segurança. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it-booklets/
segurança da informação/i-governança-do-programa-de-segurança-da-informação/
ia-security-culture.aspx
2. Mitigação de Malware. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it booklets/
information-security/ii-information-security-program-man agement/iic-risk-mitigation/
iic12-malware-mitigation.aspx
3. Treinamento. Conselho Fiscal das Instituições Financeiras Federais.
Acessado em 10 de fevereiro de 2019. https://ithandbook.ffiec.gov/it-booklets/
segurança da informação/ii-segurança-da-informação-programa-gerenciamento/
iic-risk-mitigação/iic7-user-security-controls/iic7(e)-training.aspx
4. Novo no Framework. NIST. 11 de dezembro de 2018. Acessado em 10 de
fevereiro de 2019. https://www.nist.gov/cyberframework/new-framework#
fundo
5. Noções básicas de estrutura. NIST. 11 de dezembro de 2018. Acessado em 10
de fevereiro de 2019. https://www.nist.gov/cyberframework/questions-and-answers#
estrutura
6. Componentes da estrutura. NIST. 11 de dezembro de 2018. Acessado em 10 de
fevereiro de 2019. https://www.nist.gov/cyberframework/questions-and
answers#framework
7. Política de Segurança: Desenvolvimento e Implementação. Departamento de
Educação dos EUA, Instituto de Ciências da Educação (IES). Acessado em 10 de
fevereiro de 2019. https://nces.ed.gov/pubs98/safetech/chapter3.asp
Machine Translated by Google
5
Engenharia Social
Ataques que utilizam PII
105
Machine Translated by Google
Roubo de identidade e fraude de identidade são termos usados para se referir a todos
os tipos de crime em que alguém obtém e usa indevidamente os dados pessoais de
outra pessoa de alguma forma que envolva fraude ou engano, geralmente para ganho
econômico. Vários tipos comuns de roubo de identidade que podem afetar indivíduos
são mostrados no Quadro 5.2.
Roubo de identidade social—Alguém usa seu nome e fotos para criar uma
conta falsa na mídia social.4
Machine Translated by Google
o que os outros estão fazendo irá ajudá-los a ter uma visão mais ampla e identificar
mais casos de fraude. A capacidade de se conectar no portal ISAC é sem
precedentes porque permite que os membros construam uma rede e aprendam
novas estratégias e táticas, aproveitando o conhecimento e a experiência de
outras pessoas. Os parceiros observam a utilidade do portal ISAC, um ambiente
aberto, mas seguro (NIST 800-53 e IRS Publication 4812 compatível com
autenticação de dois fatores) que permite que os estados, o IRS e a indústria
compartilhem as melhores práticas e práticas de maneira rápida, fácil e confidencial
técnicas. Especialmente para alguns parceiros de entidades menores com
recursos limitados, o ISAC permite que eles se conectem e aprendam com
parceiros mais maduros e experientes.6
A Internet está disponível para uso público generalizado desde o início dos anos
1990. Muitas pessoas não conseguem se lembrar de como a sociedade funcionava
sem ela. Em comparação com a vida útil da Internet, a mídia social, que começou
a evoluir em 2003, permanece em seu estágio adolescente. Os usuários adicionam
seu próprio conteúdo a qualquer site de mídia social que o permita. Sites como
Facebook e Wikipedia não são estáticos; os indivíduos os modificam continuamente
adicionando comentários, fotos e vídeos. A teia não é mais um objeto fixo para
observação passiva. Tornou-se um local dinâmico para interação proativa e muitas
vezes apaixonada. O crescimento, o poder e a influência das mídias sociais têm
se mostrado fenomenais, como evidenciado pelo declínio dos jornais tradicionais
e pelo resultado das recentes eleições.
tem o mesmo nível de sensibilidade. Por exemplo, não publique informações sobre
emprego nas redes sociais, especialmente detalhes confidenciais sobre funções de
trabalho ou localização física. Além disso, evite postar informações que possam ser
usadas para responder a perguntas de segurança do site, como o nome de um animal
de estimação ou local de nascimento. As pessoas também devem:
Projeto de Lei 3.067 da Câmara dos Deputados do 115º Congresso, 1ª Sessão para alterar
o título 18, Código dos EUA, para estabelecer certas violações criminais para vários
5.8 Conclusão
Termos chave
Swatting: é quando as pessoas ligam para as autoridades policiais para relatar uma
situação de refém ou outro incidente crítico na residência da vítima, quando
não há situação de emergência. Quando a polícia chega, pode resultar em
uma situação potencialmente perigosa.
Referências
1. Regras e políticas—Proteção de PII—Privacy Act. Administração de Serviços Gerais.
Acessado em 12 de fevereiro de 2019. https://www.gsa.gov/
referência/gsa-privacy-program/regras-e-políticas-protegendo pii-privacy-act
5. O que são roubo de identidade e fraude de identidade? Departamento de Justiça dos Estados Unidos.
Fevereiro de 2017. Acessado em 12 de fevereiro de 2019. https://www.justice.gov/
fraude criminal/roubo de identidade/roubo de identidade e fraude de identidade
6. Fraude de reembolso de imposto de roubo de identidade. Relatório Anual do Centro de
Compartilhamento e Análise de Informações (ISAC). Abril de 2018. Acessado em 12 de
fevereiro de 2019. https://www.irs.gov/pub/newsroom/IDTTRF%20ISAC%20April%
202018%20Anual%20Relatório.pdf
7. Riscos potenciais de mídia social e aplicação da lei. FBI. Novembro de 2012. Acessado
em 12 de fevereiro de 2019. https://leb.fbi.gov/articles/featuredarticles/social-media-and-
law-enforcement
8. Como prevenir o assédio online de Doxxing. Escritório de Privacidade do Departamento
de Segurança Interna. Acessado em 13 de fevereiro de 2019. https://www.dhs.gov/sites/
default/files/publications/How%20to%20
Prevenção%20Online%20Assédio%20De%20Doxxing.pdf
9. Os hacktivistas ameaçam atingir o pessoal da aplicação da lei e funcionários públicos. IC3.
21 de abril de 2015. Acessado em 13 de fevereiro de 2019. https://
www.ic3.gov/media/2015/150421.aspx
10. Texto: HR3067—115º Congresso (2017–2018). Acessado em 13 de fevereiro de 2019.
https://www.congress.gov/bill/115th-congress/house-bill/3067/
text?r=1#toc-H0D33F5FDEA39493AACF3128A8222CD38
11. O que é cyberbullying. stopbullying.gov. Acessado em 13 de fevereiro de 2019. https://
www.stopbullying.gov/cyberbullying/what-is-it/index.html
12. Outros tipos de comportamento agressivo. stopbullying.gov. Acessado em 13 de fevereiro
de 2019. https://www.stopbullying.gov/what-is-bullying/other-types of-aggressive-behavior/
index.html
Machine Translated by Google
6
Hackeando o Democrata
Processo Eleitoral
127
Machine Translated by Google
afirmou que a Rússia esperava vencer a segunda Guerra Fria pela força da
política, em oposição à política da força. Embora a Rússia certamente tenha
procurado promover candidatos ocidentais simpáticos à sua visão de mundo
e objetivos de política externa, vencer uma única eleição não é seu objetivo
final. As medidas ativas russas esperam derrubar as democracias por meio
da busca de cinco objetivos complementares, mostrados no Quadro 6.1.
essa notícia falsa. Mais de 4.000 tweets nos primeiros 78 minutos após o lançamento
desta história falsa foram rastreados até as contas de medidas ativas que os
observadores do Instituto de Pesquisa de Política Externa rastrearam nos dois anos
anteriores. Essas contas previamente identificadas, aparecendo quase simultaneamente
em locais e comunidades geográficas difíceis, amplificaram a notícia falsa em
uníssono. As hashtags enviadas por essas contas foram nuclear, mídia, Trump e
Benghazi.
As palavras mais comuns encontradas nos perfis do Twitter em inglês foram Deus,
militar, Trump, família, país, conservador, cristão, América e Constituição.1
Hoje, a Rússia não visa apenas computadores, mas também seres humanos,
armando informações em um esforço para influenciar a opinião pública e
encorajar determinadas ações comportamentais. Essas campanhas de
influência combinam o uso de tecnologias cibernéticas para se infiltrar em
redes de computadores a fim de adquirir ou corromper dados. Eles combinam
isso com esforços que buscam aumentar a discórdia social, amplificar a
desinformação produzida na Rússia e criar desconfiança nas instituições
democráticas. Eles lutam particularmente contra uma mídia livre e justa e o
fazem por meio de múltiplas tecnologias de comunicação e plataformas de mídia social.
A campanha de influência russa que ocorreu durante a eleição presidencial
dos EUA em 2016 é um exemplo importante dessa prática emergente de
operações de influência cibernética branda. A Rússia usou essas
mesmas táticas nos últimos anos contra outras democracias, particularmente
na Europa, inclusive na França, Alemanha, Ucrânia e Estônia. Nos Estados
Unidos, eles tentaram penetrar nos bancos de dados de eleitores antes da
eleição de 2016, penetraram com sucesso na rede do Comitê Nacional
Democrata (DNC) e acessaram organizações e candidatos republicanos em
nível estadual.5
Há um depósito de evidências que aponta para medidas ativas sendo
implantadas pela Rússia para influenciar o resultado da eleição presidencial
dos EUA em 2016 e essas medidas incluíram uma série de mensagens de
engenharia social direcionadas aos eleitores dos EUA. Uma resposta por
parte dos legisladores dos EUA foi acusar os provedores de mídia social de
negligência, má administração ou viés político. Outra resposta por parte dos
republicanos no Congresso foi reprimir a investigação do envolvimento russo
e bloquear a divulgação de informações e testemunhos a respeito desse
envolvimento. Certamente parece que alguém em algum lugar tem algo a
esconder. Além disso, o Minority Report lista inúmeras vezes que a maioria
republicana no controle da investigação do Congresso ignorou várias
medidas ativas russas e conduziu uma investigação bastante superficial em
geral.6
Durante o depoimento do professor Godson, discutido na seção anterior,
ele forneceu conselhos sobre como combater ou combater campanhas de
engenharia social como as montadas pela Rússia durante as eleições de
2016. Ele disse que uma maneira, que é o que o comitê está começando a
fazer, seria educando os americanos e outras populações
Machine Translated by Google
6.6 Conclusão
• O DOJ tomou medidas contra várias pessoas que supostamente usaram engenharia
social e outros métodos para interferir nas eleições dos EUA.
Divida os participantes em vários grupos com cada grupo levando de 10 a 15 minutos para
desenvolver uma lista de táticas ou métodos para educar o público sobre como a engenharia
social está sendo usada para influenciar o resultado de uma eleição. Reúna-se em grupo e
discuta as táticas ou métodos desenvolvidos pelos grupos para educar o público sobre como
a engenharia social está sendo usada para influenciar o resultado de uma eleição.
Termos chave
Fanáticos domésticos: são grupos radicais formados por residentes ou cidadãos dos
países em que matam, sabotam ou espalham ódio e medo.
Meios de comunicação cinza: propriedades de mídia que são estabelecidas por poderes
políticos, econômicos ou sociais desconhecidos ou ofuscados para disseminar
informações favoráveis a seus objetivos ou para minar as atividades de seus
adversários.
Mensagens de ódio: são postagens de mídia social que usam linguagem desagradável
para ridicularizar ou discriminar minorias ou grupos étnicos.
Operações de inteligência: é a variedade de tarefas de inteligência e contra-inteligência
que são realizadas por várias organizações de inteligência e atividades dentro
do processo de inteligência.
Alias online: é uma identidade online que engloba identificadores, como nome e data de
nascimento, diferentes dos identificadores reais do funcionário, que usam um
endereço IP (Internet Protocol) não governamental. Um alias online pode ser
usado para monitorar atividades em sites de mídia social ou para se envolver
em atividades secretas online autorizadas.
Referências
1. Desinformação: uma cartilha sobre medidas ativas e campanhas de influência russas.
Painel I. Audiência perante o Comitê Especial de Inteligência do Senado dos Estados
Unidos da Primeira Sessão do Centésimo Quinto Congresso. 30 de março de 2017.
Acessado em 16 de fevereiro de 2019. www.intelli gence.senate.gov/sites/default/files/
documents/os-trid-033017.pdf
2. Declaração por escrito ao Comitê do Senado dos EUA sobre o Judiciário no caso da
Cambridge Analytica e outras questões relacionadas. Christopher Wylie. 16 de maio de
2018. Acessado em 18 de fevereiro de 2019. https://www.judi ciary.senate.gov/imo/
media/doc/05-16-18%20Wylie%20Testimony.pdf
3. Comitê Judiciário e de Supervisão, Democratas divulgam as principais conclusões da
entrevista com o denunciante da Cambridge Analytica. Comitê da Câmara sobre o
Judiciário e Comitê da Câmara sobre Supervisão e Reforma do Governo. 25 de abril de
2018. Acessado em 18 de fevereiro de 2019. https://judiciary.house.gov/news/press-
releases/judiciary-and-over sight-committee-democrats-release-key-takeaways-interview
8. O Grande Júri indicia Treze Indivíduos Russos e Três Empresas Russas por Esquema
de Interferência no Sistema Político dos Estados Unidos. Secretaria de Assuntos
Públicos do Departamento de Justiça. 16 de fevereiro de 2018. Acessado em 19 de
fevereiro de 2019. https://www.justice.gov/opa/pr/
grande-júri indicia-treze-indivíduos-russos-e-três-empresas-russas-esquema-interfere
7
engenharia social
Ataques de Insiders
Os insiders que roubam dados ou informações geralmente têm uma ideia do que farão
com eles, ou quem fora da organização considera os dados valiosos o suficiente para
alguém roubar. Existem inúmeros cenários potenciais que podem levar o insider a
roubar dados e informações. Eles já podem ter um comprador e podem estar
conspirando com alguém de fora para transferir ilegalmente o material. Eles também
podem estar procurando um novo emprego e pretendem usar as informações e os
dados como alavanca para conseguir um novo emprego, oferecendo-o a empresas
que possam contratá-los. Em alguns casos, eles podem querer tornar públicos os
dados e as informações de uma organização, publicando-os na Internet, a fim de
revelar coisas sobre a empresa ou agência governamental que possam atrapalhar os
processos e comprometer as relações comerciais,
153
Machine Translated by Google
A rede disse que a violação começou em 2014 e qualquer pessoa que fez
uma reserva em uma propriedade da Starwood até 10 de setembro de 2018
pode ser afetada. As marcas Starwood incluem W Hotels, St. Regis, Sheraton
Hotels & Resorts, Westin Hotels & Resorts, Le Méridien Hotels & Resorts e
outras propriedades hoteleiras e de timeshare.8
Há uma boa chance de que qualquer uma das informações pessoais
confidenciais dos 143 milhões de consumidores americanos tenha sido exposta
em uma violação de dados na Equifax, uma das três principais agências de
relatórios de crédito dos Estados Unidos. De acordo com a Equifax, a violação
durou de meados de maio a julho de 2017. Os hackers acessaram nomes de
pessoas, números de previdência social (SSNs), datas de nascimento,
endereços e, em alguns casos, números de carteira de motorista. Eles também
roubaram números de cartão de crédito de cerca de 209 mil pessoas e
contestaram documentos com informações de identificação pessoal de cerca
de 182 mil pessoas. Além disso, eles coletaram informações pessoais de
pessoas no Reino Unido e no Canadá.9
Em 2015, o Office of Personnel Management (OPM) anunciou dois
incidentes de segurança cibernética separados, mas relacionados, que
afetaram os dados de funcionários do governo federal, contratados e outros.
Em junho de 2015, o OPM descobriu que os registros de investigação de
antecedentes de funcionários federais atuais, antigos e futuros e contratados
haviam sido roubados. O OPM e a equipe interagências de resposta a
incidentes concluíram com alta confiança que informações confidenciais,
incluindo os SSNs de 21,5 milhões de indivíduos, foram roubadas dos bancos
de dados de investigação de antecedentes. Isso inclui 19,7 milhões de
indivíduos que solicitaram uma investigação de antecedentes e 1,8 milhão de
não requerentes, principalmente cônjuges ou coabitantes dos requerentes.
Alguns registros também incluem resultados de entrevistas conduzidas por
investigadores de antecedentes e aproximadamente 5,6 milhões incluem
impressões digitais. Nomes de usuário e senhas que os candidatos usavam
para preencher seus formulários de investigação de antecedentes também
foram roubados. Embora os registros de investigação de antecedentes
contenham algumas informações sobre saúde mental e histórico financeiro
fornecidas pelos candidatos e pessoas contatadas durante a investigação de
antecedentes, não há evidências de que registros de saúde, finanças, folha de
pagamento e aposentadoria de funcionários federais ou daqueles que
solicitaram um trabalho federal foram afetados por este incidente (por exemplo, rolos de anuidad
Machine Translated by Google
Tabela 7.1 Número de pessoas afetadas por violações de informações de saúde protegidas 2010–2015
Descarte imprópria 34.587 63.948 21.329 526.538 93.612 924.909 6.019.578 95,815 142,411 243,376 82.421
Roubo 740.598
Acesso/ 572.919
divulgação não autorizado
Outra violação 158.593 13.981 503.900 254.305 413.878 N/D
Fonte: Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis. Violações que afetam
500 ou mais indivíduos. 1º de fevereiro de 2016.13
Machine Translated by Google
Tabela 7.2 Número de pessoas por fonte de violações de informações de saúde protegidas 2010–2015
Computador de mesa 246.643 2.042.186 81.385 4.348.129 2.378.304 803.600 1.720.064 136.751 316.226
Computador portátil 1.023.181 1.273.612 665.123 613.963 921.335 320.127 7.253.441 106.652 391.830
servidor de rede
Papel/filme 204.966 103.711 198.409 575.076 590.352 29.714 124.978 154.877 141.110 229.743
Fonte: Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA (HHS). Violações que afetam 500 ou
Incidente de hacking/TI 10 16 16 23 32 57
Descarte impróprio 10 7 7 13 11 6
Perda 18 17 19 24 28 22
Outra violação 22 2 18 24 28 0
Fonte: Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis. Violações que afetam
Tabela 7.4 Número de violações de informações de saúde protegidas por fonte 2010–2015
Computador de mesa 28 35 23 39 29 29
prontuário eletrônico 3 6 6 14 14 16
E-mail 10 20 36 37
Computador portátil
5 50 2 38 51 67 42 38
servidor de rede 17 16 20 30 46 41
Papel/filme 46 45 47 53 62 67
Outra fonte 6 42 2 50 26 24 34 22
Fonte: Departamento de Saúde e Serviços Humanos dos EUA, Escritório de Direitos Civis. Violações que afetam
As ações deliberadas por parte de uma equipe insider-outsider podem causar danos consideráveis e
importante reconhecer que o desenvolvimento e o escopo do programa podem variar com base no
tamanho, orçamento, cultura e setor de uma organização. Definitivamente, inclua a equipe principal
• Recursos Humanos
• Segurança física
• Segurança da informação
• Tecnologia da Informação
• Proprietários de dados
dados, sistemas e instalações. É melhor considerar uma abordagem em fases para controlar custos
e minimizar o impacto nas operações (piloto, escopo limitado, organização inteira) e aplicar métodos
baseados em risco que alavancam planos de continuidade de negócios e avaliações de risco para
7.6 Conclusão
• No nível social, mais pessoas têm maior acesso a tecnologias pessoais, como
smartphones, pen drives e outros dispositivos que melhor lhes permitem
espionar ou roubar propriedade intelectual. • Houve vários ataques internos de
alto perfil a agências governamentais durante a última década. As principais
áreas de risco potencial incluem criminosos, concorrentes industriais, ameaças
internas e adversários patrocinados pelo Estado.
Termos chave
Acesso lógico autorizado: é o acesso que um insider pode ter ao computador de uma
organização e aos sistemas de comunicação que um funcionário pode
precisar para desempenhar suas funções de trabalho.
Acesso físico autorizado: é o acesso que um insider pode ter à propriedade, edifícios
e áreas de edifícios de uma organização que um funcionário possa precisar
para desempenhar suas funções de trabalho.
pessoa que trabalha para uma organização externa ou que não está
relacionada à organização do funcionário.
Onboarding: um processo que integra o novo contratado aos aspectos sociais e
culturais de uma organização.
Organizações abertas: tendem a ser mais informais e não altamente estruturadas
– muitas vezes carecem de estruturas de comunicação hierárquicas
estritas, as equipes de projeto são fluidas, as informações fluem
livremente e os funcionários têm amplo acesso a informações, sistemas
e pessoas.
Tecnologias pessoais: incluem dispositivos de propriedade do funcionário, como
telefones celulares, tablets, laptops e mídia digital que podem ser usados
para registrar e remover informações de propriedade das instalações do
empregador de forma inadequada.
Referências
1. Testemunho de Ronald L. Dick, Diretor, National Infrastructure Protection Center,
Perante o Comitê de Energia e Comércio da Câmara, Subcomitê de Supervisão e
Investigação Washington, DC. Departamento de Justiça dos Estados Unidos, Federal
Bureau of Investigation. 5 de abril de 2001. Recuperado em 22 de fevereiro de 2019.
https://www.fbi.gov/news/testimony/
questão-de-invasões-em-redes-de-computadores-do-governo
2. Comunidade de defesa discute desafios cibernéticos em seminário de segurança
industrial. Os sistemas de guerra espacial e naval comandam os assuntos públicos.
Stillions, Tina C. 16 de maio de 2014. Acessado em 22 de fevereiro de 2019. https://
www.navy.mil/submit/display.asp?story_id=81058#
3. Combatendo ameaças internas — Lidando com ameaças internas usando análises
forenses dinâmicas em tempo de execução. Direcção de Informação do Laboratório
de Investigação da Força Aérea Rome Research Site, Roma, Nova Iorque. Hallahan, Jason.
Outubro de 2007. Acessado em 22 de fevereiro de 2019. apps.dtic.mil/dtic/tr/full text/
u2/a473440.pdf
4. Declaração do Departamento de Justiça sobre o Pedido a Hong Kong para a Prisão
Provisória de Edward Snowden. Secretaria de Assuntos Públicos do Departamento de
Justiça. 26 de junho de 2013. Acessado em 23 de fevereiro de 2019. https://
www.justice.gov/opa/pr/justice-department-statement-request-hong kong-edward-
snowden-s-provisional-arrest
5. Declaração de Conyers sobre as revelações de Edward Snowden. Comitê da Câmara
dos EUA sobre o Judiciário. 24 de junho de 2013. Acessado em 23 de fevereiro de
2019. https://judiciary.house.gov/press-release/conyers-statement edward-snowden-
disclosures
6. Missão da Força-Tarefa Nacional de Ameaças Internas (NITTF). Centro Nacional de
Contra-Inteligência e Segurança. Acessado em 22 de fevereiro de 2019. https://
www.dni.gov/index.php/ncsc-who-we-are
Machine Translated by Google
9. A violação de dados da Equifax: o que fazer. FTC. Gressin, Seena. 8 de setembro de 2017.
Acessado em 23 de fevereiro de 2019. https://www.consumer.ftc.gov/
blog/2017/09/equifax-data-breach-what-do
10. O que aconteceu? Escritório de Administração de Pessoal dos Estados Unidos. 2015. Acessado
23 de fevereiro de 2019. https://www.opm.gov/cybersecurity/
incidentes de cibersegurança/
11. Cinco violações somam milhões em custos de liquidação para a entidade que não atendeu às
regras de análise e gerenciamento de riscos da HIPAA. Departamento de Saúde e Serviços
Humanos dos EUA. 1º de fevereiro de 2018. Acessado em 23 de fevereiro de 2019. https://
www.hhs.gov/about/
news/2018/02/01/five-breaches-add-millions-settlement-costs-entity failed-heed-hipaa-s-risk-
analysis-and-risk.html
12. Altaba, anteriormente conhecido como Yahoo!, acusado de não divulgar violação maciça de
segurança cibernética; concorda em pagar US$ 35 milhões. FTC. 24 de abril de 2018.
Acessado em 23 de fevereiro de 2019. https://www.sec.gov/news/press release/2018-71
8
Educando Pessoas
prevenir _ _
Ataques de Engenharia
179
Machine Translated by Google
ataques de engenharia social dos quais as pessoas podem ser vítimas, apenas para
acabar com uma infinidade de problemas em suas vidas.
Os capítulos anteriores deste livro examinam muitos dos vários tipos de ataques e
motivações de engenharia social. Para ajudar a planejar programas de conscientização
e educação, as quatro categorias de ataques de engenharia social mostradas na Figura
8.1 podem servir como uma ferramenta de planejamento e orientação para educadores.
O ataque rápido por e-mail ou links para sites maliciosos é certamente o ataque mais
fácil de explicar e de se defender. A questão que permanece é por que tantas pessoas
ainda se tornam vítimas de tais ataques.
A Tabela 8.1 mostra os diversos níveis de escolaridade dos eleitores dos EUA nas
eleições de 2016, enquanto a Tabela 8.2 mostra a votação e o registro entre cidadãos
nativos e naturalizados, por raça, origem hispânica e região de nascimento, durante a
eleição de 2016.
Esses dados ilustram a diversidade em estilos de aprendizagem que não podem ser
atendidos com um único programa de conscientização ou educação de tamanho único.
Para se comunicar efetivamente com esses diversos segmentos populacionais, serão
necessários vários estilos de comunicação e talvez a comunicação em vários idiomas,
dialetos e meios.
Machine Translated by Google
Tabela 8.1 Diversidade nos níveis de educação entre os eleitores dos EUA em 2016
ensino médio
ou grau de associado
oficiais eleitorais locais para desenvolver uma série de dicas úteis para a gestão
eleitoral. Esta série fornece dicas e sugere práticas recomendadas para ajudar as
pessoas a realizar eleições eficientes e eficazes. Os programas de educação eleitoral
impactam o comparecimento dos eleitores. Programas bem planejados podem
motivar e encorajar os cidadãos a participar do processo de votação. Acima de tudo,
como parte do esforço educacional, informações precisas devem ser incluídas para
lutar contra a desinformação, desinformação e
cidadão
nativo População
total Tabela
8.2
Votação
e
registro
entre
cidadãos
nativos
e
naturalizados,
por
raça,
origem
hispânica
e
região
de
nascimento
2016
POPULAÇÃO
DOS
EUA
ACIMA
DE
18
ANOS
Asiático
sozinho
ou
em sozinho
ou
em
combinação asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças Asiático
sozinho
ou
em sozinho
ou
em
combinação asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças
combinação Preto
sozinho
ou
em
combinaçãoBranco Hispânico
(de
qualquer
raça) preto
sozinho combinação Preto
sozinho
ou
em
combinaçãoBranco Hispânico
(de
qualquer
raça) preto
sozinho
CIDADÃO
TOTAL
(MILHARES)
POPULAÇÃO
3.976
4.750
10.283
11.118
19.848
28.808
26.662
30.326
26.597
28.037
177.865
154.450
181.268
167.069
149.815
170.288
224.050
2204.059
2
(MILHARES)
REPORTADO
REGISTRADO
NÚMERO
5.785
6.369
2.046
2.586
19.984
15.267
18.512
11.198
19.428
20.935
157.596
127.463
114.151
129.664
145.351
120.760
111.095
122
ELEIÇÃO
DE
2016
POR
CENTO
54.4 69.3 72.1 56,4 51,5 69,6 74.2 72.3 71.2 57.3 69,0 71,5 57.3 56.3 69,4 73,9 71,7 70.3
(MIL)
POR
CENTO
NÚMERO
5.043
5.542
1.778
9.040
2.238
17.119
12.682
17.875
98.255
15.756
16.477
137.537
111.891
100.849
113.707
126.763
106.047
107.707
REPORTADO
VOTO
ELEIÇÃO
DE
2016
(Contínuo)
47.1 58,8 63.3 45,5 44,7 59.2 65,6 63,5 62.1 49,9 58,9 62,7 47,6 49,0 59,4 65,3 62,9 61.4
183 Evite ataques de engenharia social
Machine Translated by Google
Fonte:
Votação
e
Registro
2016.
US
Census
Bureau. Naturalizado Nascimento
2016
POPULAÇÃO
DOS
EUA
ACIMA
DE
18
ANOS Tabela
8.2
(Continuação)
Votação
e
Registro
entre
Cidadãos
Nativos
e
Naturalizados,
por
Raça,
Origem
Hispânica
e
Região
de
cidadão
Asiático
sozinho
ou
em
combinação Branco
sozinho
ou
em asiático
sozinho Branco
não
hispânico
sozinho branco
sozinho Todas
as
raças
Preto
sozinho
ou
em
combinação combinação Hispânico
(de
qualquer
raça) preto
sozinho
CIDADÃO
TOTAL
(MILHARES)
POPULAÇÃO
4.635
2.210
6.307
6.815
2.290
6.367
19.847
10.796
10.981
(MIL)
POR
CENTO
REPORTADO
REGISTRADO
NÚMERO
1.472
1.507
6.704
3.056
3.738
4.070
6.827
3.783
12.245
ELEIÇÃO
DE
2016
65,8
59,4 59,7
62,2 66,6
59,3 62,1
65,9 61,7
(MIL)
POR
CENTO
NÚMERO
5.844
2.594
1.363
3.642
5.959
1.398
3.305
3.265
10.774
REPORTADO
VOTO
ELEIÇÃO
DE
2016
61,1
51,9 53,4
54,3 61,7
51,8 54,1
56,0 54.3
Engenharia social 184
Machine Translated by Google
Machine Translated by Google
• Cédulas estragadas
• Erros nas cédulas provisórias
• Voto ausente por distrito
cadastro.
• Divulgue suas atividades de educação eleitoral. Convide a mídia
frequentar.
• Use ferramentas de comunicação adaptáveis, como fontes aprimoradas e
formatos de áudio de todos os materiais para deficientes visuais
eleitores.
• Considere contratar uma empresa de web design para avaliar a qualidade do site
usabilidade.
Dica nº 4: Confie em uma variedade de mídia porque muitos eleitores reterão melhor
as informações quando vierem da mídia impressa, TV,
Machine Translated by Google
O phishing ou o uso de isca de esquema que atrai as pessoas para esquemas de fraude
financeira ou extrai mais informações e maior acesso aos sistemas continua sendo um dos
principais métodos de engenharia social usados para perpetrar crimes na Internet. Existem
inúmeros sites que oferecem dicas de prevenção de fraudes, todos reiterando um tema
básico.
A Caixa 8.1 mostra uma mensagem típica aos consumidores para combater esquemas de
fraude online.4
de débito e senhas de contas. O golpista pode afirmar que a conta do usuário foi
comprometida ou que uma das contas do usuário foi cobrada incorretamente.
Machine Translated by Google
A OET propõe que a tecnologia pode ser uma ferramenta poderosa para
transformar a aprendizagem. Ele pode ajudar a afirmar e promover
relacionamentos entre educadores e alunos, reinventar nossas abordagens de
aprendizado e colaboração, diminuir as lacunas de equidade e acessibilidade de
longa data e adaptar as experiências de aprendizado para atender às
necessidades de todos os alunos. O OET afirma que os líderes educacionais
devem definir uma visão para criar experiências de aprendizado que forneçam
as ferramentas e o suporte certos para que todos os alunos prosperem. Além
disso, as partes interessadas na educação devem se comprometer a trabalhar
juntas além das fronteiras organizacionais e geográficas para usar a tecnologia
para melhorar a educação americana. A OET realiza sua missão por:
2012–2013 24.475
2013–2014 75.377
2014–2015 275.656
2015–2016 497.248
Total 872.756
no quadro de líderes a cada mês. Sempre que possível, as escolas vencedoras em cada categoria
online SOS cresceu ao longo dos últimos anos escolares, conforme mostrado na Tabela 8.3.
Depois que a conta do professor é verificada, ele recebe um e-mail com uma URL exclusiva para
gerenciar sua turma, junto com mais instruções. O link nunca expira, então eles não precisam se
registrar no FBI-SOS todos os anos. Uma vez cadastrados, eles podem criar turmas e uma chave
de teste de acesso para cada aluno. O FBI não armazena nenhuma informação sobre os alunos,
teste foi atribuída a cada aluno. Os alunos navegarão pelos vários jogos e atividades em sua ilha
apropriada para a série. Quando os alunos concluírem a última atividade, eles podem clicar na
Nesse ponto, os alunos devem ter certeza de que estão prontos para concluir o exame, pois ele
só pode ser feito uma vez. Para fazer o exame, os alunos precisam inserir a chave de acesso que
lhes é atribuída. Os exames são avaliados automaticamente assim que todos os alunos de uma
turma concluírem o teste e os professores clicarem no botão Avaliar exame. Imediatamente após a
realização do teste, uma página da Web temporária mostra a cada aluno sua pontuação e uma lista
de todas as perguntas respondidas incorretamente. Os professores podem solicitar aos alunos que
imprimam e guardem esta página web e/ou podem solicitar os resultados dos exames de cada turma
As pontuações gerais de cada escola são comparadas com os resultados de outras escolas em
todo o país com salas de aula semelhantes como parte de uma competição nacional mensal. As
categorias são determinadas pelo número de alunos participantes de cada escola: Starfish tem de 1
a 50 participantes, Stingray tem de 51 a 100 participantes e Shark tem mais de 100 participantes.
Machine Translated by Google
As dez pontuações mais altas em cada uma dessas categorias durante o mês
podem ser visualizadas no quadro de líderes. Além do que é exibido no quadro de
líderes, o FBI não mantém ou distribui as classificações das escolas em todo o país.
A tabela de classificação é redefinida no final de cada
mês.
8.7 Conclusão
Impedir que ataques de engenharia social sejam bem-sucedidos requer que os usuários
de computador permaneçam atentos e pratiquem hábitos seguros na Internet.
A coleção de folhas de dicas oferecidas por várias organizações e agências governamentais
certamente foi útil para reduzir o número e a eficácia dos ataques de engenharia social
para as pessoas que as leram e seguiram seus conselhos. No entanto, milhões de
pessoas em todo o mundo continuam sendo vítimas, o que indica claramente que os
esforços de educação precisam ser muito ampliados e modernizados.
• Há mais de uma maneira de as pessoas aprenderem, o que significa que deve haver
várias maneiras de ensinar a mesma mensagem para alcançar de forma eficaz um
número maior de pessoas.
• Aprendizagem personalizada refere-se à instrução em que o ritmo de aprendizagem
e a abordagem instrucional são otimizados para as necessidades de cada aluno.
• Discuta por que os participantes acham que o governo não investe mais
na educação das pessoas sobre os vários tipos de ataques de
engenharia social apresentados na Figura 8.1: Tipos de ataques de
engenharia social.
Termos chave
Referências
1. Votação e Registro 2016. US Census Bureau. Acessado em 26 de fevereiro de 2019.
https://www2.census.gov/programs-surveys/demo/tables/vot ing/UnitedStates.xlsx
2. Votação e registro relatados entre cidadãos nativos e naturalizados, por raça, origem
hispânica e região de nascimento: novembro de 2016. Acessado em 26 de fevereiro de
2019. https://www2.census.gov/programs surveys/cps/tables/p20 /580/tabela11.xlsx
9
A Ascensão de
Escuridão Cibernética
Os humanos parecem ter uma maneira de destruir tudo o que tocam. O ambiente
global está poluído de todas as formas possíveis (por exemplo, as pessoas
produzem em excesso e despejam lixo na água, queimam carvão e liberam toxinas
no ar, usam depósitos de lixo a céu aberto). Muitas nações são dominadas por
ditadores e regimes militares e a liberdade de imprensa está sendo restringida em
todo o mundo para que monstros gananciosos e masoquistas possam controlar a
riqueza, as pessoas e até o pensamento. O racismo, o sexismo, a xenofobia, a
islamofobia, a homofobia, a opressão religiosa, a exploração sexual, a violência, a
crueldade animal e os maus modos são comuns em todo o mundo e até mesmo
apoiados por muitos líderes mundiais. Então os hábitos se mudaram para o
ciberespaço. As pessoas que cometeram más ações e atos malignos no mundo
físico, infelizmente, trouxeram sua desumanidade para o ciberespaço e encontraram
um lugar onde podem prosperar, virtualmente sem impedimentos. Sem uma ação
drástica e bem direcionada, as coisas no ciberespaço continuarão a se deteriorar.
211
Machine Translated by Google
escolhida foi esperar até que um incidente cibernético após o outro obrigue a
adoção de soluções fragmentadas para o que na verdade era uma questão
abrangente que deveria ser abordada por meio de uma abordagem abrangente.
Ele afirmou que os Estados Unidos precisavam assumir esse problema que o
povo criou e tomar medidas agressivas para gerenciá-lo antes que ocorresse
uma calamidade. Afinal, com uma ferramenta tão acessível, econômica e fácil de
usar quanto o ciberespaço, os Estados Unidos simplesmente não podiam prever
de qual carrinho de cachorro-quente emergiria o próximo grande ataque.2
9.2 Varreduras de crimes cibernéticos em todo o país são impressionantes, mas não suficientes
está sendo conduzido por várias agências estaduais e federais, incluindo Senior Corps, um
programa de serviço nacional administrado pela agência federal, a Corporação de Serviço
Nacional e Comunitário, para educar os idosos e evitar mais vitimização. O programa Senior
Corps envolve mais de 245.000 idosos em serviço intensivo a cada ano, que por sua vez
atendem a mais de 840.000 idosos adicionais, incluindo 332.000 veteranos. No entanto, há um
longo caminho a percorrer neste esforço de educação.
No mesmo dia em que o anúncio foi feito na varredura de fraude de idosos de 2019, outra
história foi postada no site do FBI sobre um homem que ajudou a prender conspirações de
fraude de idosos. É uma grande história. O interlocutor de forte sotaque que prometeu a William
Webster um grande prêmio de $ 72 milhões e um novo Mercedes Benz havia feito a maior
parte de sua lição de casa sobre seu possível alvo de fraude. O que a pessoa que ligou, Keniel
Thomas, 29, da Jamaica, perdeu foi possivelmente o detalhe mais importante sobre sua vítima,
que tinha 90 anos na época: William Webster havia servido como diretor do FBI e da CIA, e
também um radar muito bom para esquemas criminosos perniciosos; neste caso, um golpe de
loteria jamaicana.
“Eu sei que você era [sic] um juiz, você era um advogado, você estava na Marinha dos
Estados Unidos”, disse a pessoa que ligou para sua marca idosa. “Eu faço sua verificação de
antecedentes. Você é um grande homem.
Machine Translated by Google
O agente especial John Gardner, que foi designado para o caso e investigava
esses tipos de crimes desde 2011, disse que os perpetradores frequentemente atacam
pessoas mais velhas porque elas tendem a ser mais confiantes, financeiramente
seguras e solitárias. Os fraudadores compram e comercializam listas de leads na
Internet com nomes de idosos, números de telefone e outras informações pessoais.
Então eles começam a ligar, esperando alcançar ouvidos incautos receptivos. Gardner
disse que os golpistas podem ser implacáveis, espremendo dinheiro de suas vítimas
e então, quando o dinheiro acaba, fazendo com que suas vítimas sirvam de
intermediários em transações ilegais.
Lynda Webster, 63, disse que ela e o marido frequentemente recebem ligações
suspeitas, provavelmente por causa de sua demografia. William Webster disse que
toda a experiência de receber ligações, trabalhar com o FBI e ver seu algoz no tribunal
é um lembrete de que os idosos e os amigos e familiares de confiança que cuidam
deles precisam estar vigilantes.4
Machine Translated by Google
O caso Webster mostra que os bandidos podem de fato ser pegos e mandados para a
prisão. Um problema que é muito difícil, se não impossível, de superar é que não há
policiais suficientes nos Estados Unidos para investigar todas as queixas e todos os
casos até que os criminosos sejam capturados e processados. Todos os anos, as
agências de aplicação da lei nos Estados Unidos relatam o número total de policiais e
civis empossados em suas agências em 31 de outubro para o Programa Uniforme de
Relatórios de Crimes. Em 2017, havia 956.941 funcionários de aplicação da lei, dos
quais 670.279 eram policiais.
9.5 Conclusões
• Sem intervenção, o futuro da Internet pode ser tão infiltrado pelo crime e exploração
de vários tipos que se tornará um fardo para a sociedade em vez de um bem.
• Discuta como os participantes veem o futuro da Internet e o que pode ser feito para
garantir que o futuro seja positivo.
Machine Translated by Google
Termos chave
Referências
1. Enfrentando o Desafio da Segurança Cibernética—Discurso Principal.
Almirante Michael S. Rogers, Conselheiro Geral da Agência de Segurança
Nacional. Conferência de Direito, Ética e Segurança Nacional de 2017 na Duke
Law School. Fevereiro. 25 de 2017. Acessado em 4 de março de 2019. https://
www.nsa.gov/news-features/speeches-testimonies/Article/1619236/
confrontando-o-desafio-da-cibersegurança-apresentação-chave/
2. Como precisamos nos preparar para uma pandemia cibernética global. Glenn
Gerstell, Conselheiro Geral da Agência de Segurança Nacional. Observações
na Cipher Brief Threat Conference, Sea Island, Geórgia. 9 de abril de 2018.
Acessado em 5 de março de 2019, https://www.nsa.gov/news-features/
discursos-testemunhos/Artigo/1611673/como-precisamos-preparar-para-uma-
ciber-pandemia-global/
3. Departamento de Justiça Coordena a Maior Varredura Nacional de Fraude de
Idosos. Procurador-Geral se concentra em ameaças representadas por fraude
de suporte técnico. Departamento de Justiça, Gabinete de Assuntos Públicos. 7
de março de 2019. Acessado em 9 de março de 2019. https://www.justice.gov/
opa/pr/justice Department-coordinates-largest-ever-nationwide-elder-fraud-sweep-0
Machine Translated by Google
Glossário
Fraude de taxa antecipada: são esquemas de taxa que exigem que as vítimas adiantem
quantias de dinheiro relativamente pequenas na esperança de obter ganhos muito
maiores. Nem todos os esquemas de taxas antecipadas são fraudes de investimento.
Naqueles que são, no entanto, as vítimas são informadas de que, para ter a
225
Machine Translated by Google
226 Glossário
Glossário 227
228 Glossário
Glossário 229
230 Glossário
Glossário 231
232 Glossário
Presença na mídia social: é o uso de contas e aplicativos de mídia social por uma
organização para se comunicar com indivíduos ou grupos, bem como a
menção, comentários, discussões e exibição de qualquer material em
qualquer aplicativo de mídia social que se relacione ou represente uma
organização.
Operações de influência cibernética suave: o uso de técnicas cibernéticas legais,
mas talvez sinistras, para influenciar ou persuadir grupos-alvo a aderir a
uma filosofia específica ou a realizar comportamentos desejados.
Cidadãos soberanos: são extremistas antigovernamentais que acreditam que,
embora residam fisicamente neste país, são separados ou “soberanos” dos
Estados Unidos. Como resultado, eles acreditam que não precisam
responder a nenhuma autoridade governamental, incluindo tribunais,
entidades tributárias, departamentos de veículos automotores ou
autoridades policiais.
Spear phishing: os ataques de spear phishing diferem das tentativas normais de
phishing porque visam um destinatário específico e parecem ser de uma
fonte confiável.
Machine Translated by Google
Glossário 233
Swatting: é quando as pessoas ligam para as autoridades policiais para relatar uma
situação de refém ou outro incidente crítico na residência da vítima, quando
não há situação de emergência. Quando a polícia chega, pode resultar em uma
situação potencialmente perigosa.
Contas de trolling sincronizadas: contas de mídia social que, em uníssono ou de
maneira cuidadosamente cronometrada, publicam ou transmitem as mesmas
mensagens, mensagens semelhantes ou de apoio.
Typosquatting (typosquatted): também chamado de seqüestro de URL, é o cybers
quatting (localização em sites sob a marca ou direito de cópia de outra pessoa)
que visa usuários da Internet que digitam incorretamente um endereço de site
em seu navegador. Quando os usuários cometem erros tipográficos típicos,
eles podem ser enviados para um site de propriedade de um hacker, que
geralmente é projetado para fins criminosos.
Conteúdo visual: é qualquer foto, vídeo ou ilustração adicionada a postagens de mídia
social.
Watering hole attack: são ataques de malware nos quais o invasor determina os sites
frequentemente visitados por uma vítima ou um grupo de vítimas específico e
infecta esses sites com malware, que por sua vez infecta o computador dos
usuários do site visitante e, portanto, pode infectar membros do grupo de
vítimas visado.
Índice
235
Machine Translated by Google
236 ÍNDICE
ÍNDICE 237
Doxing
DAC, consulte Acesso discricionário assédio, 114-118
Ao controle legislação pendente do Congresso abordando,
Mineração de dados, 6–7 118-120
Caso Dave & Buster, 98 exemplos reais de, 120-123
Marketing enganoso, 185 Ransomware drive-by, 7
Processo eleitoral democrático, hacking, Duque, Elaine, 204
127
medidas ativas, progresso de, 127-32 EAPPA, consulte Elder Abuse Prevention and
Prosecution Act
238 ÍNDICE
(FBI), 31, 37, 57, 66, 72, 74, 112, Centro de Análise
142, 154, 195, 197 FTC, ver Comissão Federal de Comércio
Machine Translated by Google
ÍNDICE 239
Godson, Roy, 127, 128, 139–140 IC3, ver Queixa de Crime na Internet
Imitadores do governo, 42 Centro
240 ÍNDICE
Internet Research Agency (IRA), 17, 138, Fraude de manipulação de mercado, 33-34
141–142, 143, 213 Marriott International, 165–166
ÍNDICE 241
242 ÍNDICE
ÍNDICE 243
244 ÍNDICE
sociais
Snowden, Edward J., 158–159 Contas de trolling sincronizadas, 129
Engenharia social; ver também
entradas individuais Taiwan, 66
atacantes, 27–31 Violência direcionada, 165
maneiras de, 48-50 Roubo de identidade fiscal, 21, 110
ataques, tipos de, 179-181 Golpe de suporte técnico, 58–61
definições de, 3-4 Fraude de telemarketing, 38
esquemas de fraude, 5–8 Ataque de engenharia social por telefone, 49–50
golpes de investimento em grande escala e,
39-48 Crimes de furto, identificação, 3
novo nível, para o século 21, 14-18 Thomas, Keniel, 218–219
ÍNDICE 245
Localizador uniforme de recursos (URL), 4, Serviço Secreto dos EUA, 69, 112
27, 59 Administração de Pequenas Empresas dos EUA