Escolar Documentos
Profissional Documentos
Cultura Documentos
PRESIDÊNCIA DA REPÚBLICA
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA
SECRETARIA DE GESTÃO E ENSINO EM SEGURANÇA PÚBLICA
DIRETORIA DE ENSINO E PESQUISA
COORDENAÇÃO-GERAL DE ENSINO
COORDENAÇÃO DE ENSINO A DISTÂNCIA
CONTEUDISTA
Alesandro Gonçalves Barreto
Ricardo Magno Teixeira Fonseca
REVISÃO PEDAGÓGICA
Ardmon dos Santos Barbosa
Márcio Raphael Nascimento Maia
PROGRAMAÇÃO E EDIÇÃO
Fagner Fernandes Douetts
Ozandia Castilho Martins
DESIGNER
Fagner Fernandes Douetss
Ozandia Castilho Martins
Zulmiro José Machado Filho
DESIGNER INSTRUCIONAL
Ozandia Castilho Martins
2
Sumário
Objetivos do Curso .........................................................................................................6
MODULO 1. CONTEXTUALIZAÇÃO ...............................................................................7
APRESENTAÇÃO .............................................................................................................7
Objetivos do Módulo ..........................................................................................................7
Estrutura do Módulo ..........................................................................................................8
Aula 01 – O SURGIMENTO DE UM CENÁRIO DEPENDENTE DA TECNOLOGIA ......8
Aula 02 - SEGURANÇA PÚBLICA E PANDEMIA ........................................................... 10
CRIMINALIDADE ORGANIZADA E PANDEMIA ............................................................. 11
MÓDULO 2. ENGENHARIA SOCIAL ............................................................................. 13
APRESENTAÇÃO ........................................................................................................... 13
OBJETIVOS DO MÓDULO ............................................................................................. 14
ESTRUTURA DO MÓDULO ........................................................................................... 14
Aula 01 - CONCEITO E CLASSIFICAÇÃO ..................................................................... 14
Aula 2 - ENGENHARIA SOCIAL: A EXPLORAÇÃO DA VULNERABILIDADEHUMANA 16
Aula 3 - OPERACIONALIDADE DA ENGENHARIA SOCIAL .......................................... 19
APRESENTAÇÃO ........................................................................................................... 21
OBJETIVOS DO MÓDULO ............................................................................................. 22
ESTRUTURA DO MÓDULO ........................................................................................... 22
Aula 1 - PHISHING SCAM E SUAS MODALIDADES:..................................................... 22
Aula 2 - ESTUDO DE CASOS ......................................................................................... 27
Aula 3 - OUTROS GOLPES ATUALMENTE APLICADOS COM O USO DE
ENGENHARIA SOCIAL PELA REDE:............................................................................. 36
MODULO 4. ATUAÇÃO DO PROFISSIONAL DE SEGURANÇAPÚBLICA ........... 39
APRESENTAÇÃO ........................................................................................................... 39
OBJETIVOS DO MÓDULO ............................................................................................. 40
ESTRUTURA DO MÓDULO ........................................................................................... 41
Aula 1 - DA PREVENÇÃO ÀS FRAUDES PRATICADAS NA INTERNET,
ESPECIALMENTE, EM TEMPOS DE PANDEMIA. ........................................................ 41
3
CONSIDERAÇÕES FINAIS ............................................................................................ 54
REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................... 55
4
APRESENTAÇÃO DO CURSO
5
Objetivos do Curso
Estrutura do Curso
O curso é composto por 4 módulos:
• Módulo 1 – Contextualização.
• Módulo 2 - Engenharia Social.
• Modulo 3 - Modalidades de Engenharia Social pelo Uso da Tecnologia .
• Modulo 4 - Atuação do profissional de segurança pública.
6
MODULO 1. CONTEXTUALIZAÇÃO
APRESENTAÇÃO
Objetivos do Módulo
7
Estrutura do Módulo
8
c) Entretenimento: o fechamento de estabelecimentos, com a
determinação de isolamento, aliada a suspensão de diversas atividades
públicas e artísticas expõe toda a fragilidade da atual conjuntura mundial,
e de certa forma, força as pessoas a se adaptarem em todos os
segmentos. Logo nas primeiras semanas da pandemia COVID-19,
iniciaram-se as chamadas “lives” de forma amadora nas sacadas e
varandas de apartamentos, sem grandes estruturas, com o objetivo único
de entreter vizinhos e fãs, de modo a amenizar a dura situação do
isolamento. Porém, isso tem mudado, e cada vez mais tem-se perdido a
espontaneidade inicial, os artistas têm feito verdadeiros shows ao vivo via
internet, juntando milhões de pessoas em transmissões virtuais, gerando
muito dinheiro e repercussão;
9
segmento. Além disso, houve o aumento significativo do comércio
eletrônico e serviços delivery. As compras de produtos e serviços
passaram a ser efetivadas agora através de plataformas de comércio
eletrônico, websites e aplicativos de refeições. O usuário não precisa sair
de casa.
10
mesmo o revezamento do efetivo, sobretudo para evitar a contaminação de toda
equipe.
11
A pandemia trouxe, por sua vez, diversos outros fatores atrativos para a
prática de fraudes na Internet. Com menos pessoas nas ruas e um maior
policiamento, os ganhos ilícitos do crime foram impactados. As perdas deveriam
ser recuperadas e necessitava-se, pois, de repará-las o quanto antes.
12
MÓDULO 2. ENGENHARIA SOCIAL
APRESENTAÇÃO
13
(Sistema de Detecção de Intrusões), IPS (Sistema de Prevenção de Intrusões),
Firewalls etc., ignorando completamente o comportamento não técnico.
OBJETIVOS DO MÓDULO
ESTRUTURA DO MÓDULO
14
legítimos de um sistema de computador, a fim de obter as informações de que
ele precisa para obter acesso ao sistema.
15
informações confidenciais e permitindo o acesso a uma rede da organização. Na
abordagem apoiada na vulnerabilidade humana, os ataques são realizados
tirando proveito das respostas das pessoas previsíveis aos gatilhos psicológicos.
16
De fato, o ideal da segurança impenetrável nunca pôde ser alcançado,
muito menos quando se tenta impedir ataques em um nível técnico e não se
preocupando com o nível físico-social. A ignorância desse elemento social vital
sempre forneceu aos hackers um método fácil para obter acesso a um sistema
privado.
2MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003. Excelente
obra que explora a arte da engenharia social – conjunto de técnicas que permite que um hacker,
utilizando pouca ou nenhuma tecnologia, invada sistemas e acesse informações nãoautorizadas.
17
que o crime de estelionato figura no Código Penal brasileiro desde a sua primeira
versão publicada em 1940.
18
Aula 3 - OPERACIONALIDADE DA ENGENHARIA SOCIAL
19
Fases de operação da Engenharia social:
20
MODULO 3. MODALIDADES DE ENGENHARIA SOCIAL PELO USO DA
TECNOLOGIA
APRESENTAÇÃO
3 MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003.
4 Disponível em <https://www.pensador.com/frase/MTQ0MDcyNQ> Acesso em 25-4-2020.
21
geralmente se consumarão no mundo real, significando perdas financeiras,
abalos à reputação e à saúde das pessoas, na maioria dos casos.
OBJETIVOS DO MÓDULO
ESTRUTURA DO MÓDULO
22
falsas páginas e enganar as vítimas. Essa engenharia leva o usuário a fornecer
suas informações pessoais, quando impulsionado a preencher formulários.
23
sessões de chats análogas ao mesmo serviço disponível na página que a vítima
acredita estar acessando.
24
pela escolha da vítima para o caso, vem expressa na mensagem como
feita em razão da reputação desta ou indicação de amigos;
● Como se tratam de operações envolvendo altos valores, seduz-se o
usuário com a promessa de futuramente ser recompensado com uma
porcentagem sobre o valor, por ter agido como intermediário e mantido o
sigilo, o que seria fundamental ao sucesso da operação;
● Após responder à mensagem e aceitar a proposta, os golpistas solicitam
o pagamento antecipado do valor principal somado a custos, como
advogados e taxas de transferência de fundos;
● Realizado o pagamento, surge cobranças para a efetivação de outros ou
simplesmente é perdido o contato com os golpistas. No fim das contas,
além de perder todo o dinheiro investido e não recebimento de
recompensa, os dados pessoais da vítima ainda ficam na posse dos
criminosos.
25
promessa de que serão restituídas no momento da chegada ao país. O resultado
da “aventura virtual” é a soma de prejuízo financeiro e desilusão amorosa.
26
Ultimamente, tem chamado a atenção dos órgãos de segurança
pública, os sites de leilões virtuais. Neste tipo de negócio, são apresentados
lances no ambiente “interativo” dos sites especializados pelos usuários, até o
momento que alguém oferece uma quantia superior final. Esse procedimento é
muito comum em ambientes de leilão de veículos, onde os adquirentes são
impelidos a transferir o valor do bem, imediatamente após esse lance final, como
forma de garantia.
27
grande número de novas fraudes sobrevenha nas próximas semanas,
especialmente quando os engenheiros sociais tentarem se capitalizar ainda
mais, diante do estado de fragilidade das pessoas em todo o mundo.
28
A empresa Ambev logo se pronunciou por meio de seu canal oficial no
Twitter, informando sobre a falsidade do comunicado7:
Recomenda-se nunca clicar no link, nem mesmo para fins de cópia para
posterior colagem. O mais correto é gerar um print ou fotografar a tela do
dispositivo informático, de modo que registre o endereço completo, uma vez que
será necessário o digitar no campo “URL” do site “Virus Total”. Ressalta-se, que
há procedimentos forenses de captura de conteúdo de site, os quais não
constituem objeto deste curso, dada a complexidade da matéria.
29
CASO DO FALSO APLICATIVO COM INFORMAÇÕES SOBRE A COVID-19
30
Em pouco tempo, foi detectado que o aplicativo é, na verdade, um tipo
ransomware (virus que bloqueia o uso do smartphone e exige como resgate o
pagamento de US$ 100 (cerca de R$ 500) em Bitcoin (moeda virtual) para liberar
a utilização do aparelho.
31
No presente caso, a engenharia social ocorre em dois momentos. O
primeiro é facilmente detectável, tratando-se do aliciamento das vítimas a baixar
o aplicativo, vendendo a ideia que se trata de útil ferramenta de rastreio da
pandemia.
32
CASO DO FALSO PLANO DE INTERNET GRATUITA EM RAZÃO DAPANDEMIA
33
CASO DA “CLONAGEM” DE CONTAS DO APLICATIVO WHATSAPP EPEDIDOS
ILEGÍTIMOS DE DINHEIRO E DADOS
8
A Disrupção Digital é a mudança que ocorre quando novas tecnologias digitais e modelos de negócios
afetam a proposição de valor dos bens e serviços existentes. O rápido aumento no uso de dispositivos
móveis, para uso pessoal e trabalho, impactou hábitos de vida e maneiras de solucionar problemas.
34
perfil recebeu reclamações referentes a um anúncio. Em seguida, solicitam que
a pessoa confirme seu número fornecendo o código enviado por SMS.
Ocorre que no mesmo instante, os criminosos tentam fazer login com o número
do WhatsApp da vítima em outro celular. O usuário, então, recebe uma
mensagem de texto com o código de validação e o repassa para os criminosos,
que passam a ter total acesso às suas conversas e grupos.
35
Aula 3 - OUTROS GOLPES ATUALMENTE APLICADOS COM O USO DE
ENGENHARIA SOCIAL PELA REDE:
36
seus dados pessoais, mediante cadastro de falsos formulários, ainda
realizam antecipação de pagamentos, por meio de transferências bancárias
ou cartão de crédito. Este golpe constitui uma versão nacional de uma
empreitada criminosa que se tornou mundialmente conhecida durante o mês
de março de 2020. Ocorreu nos EUA, onde o Departamento de Justiça retirou
da Internet o site “coronavirusmedicalkit.com”. A página trazia o seguinte
convite aliciador: “Devido à recente epidemia de coronavírus (COVID-19), a
Organização Mundial da Saúde está distribuindo kits de vacinas. Pague
apenas US$ 4,95 pelo envio9"
9
Disponível em <https://www.justice.gov/opa/press-release/file/1260131/download> Acesso em 26-4-
2020.
37
este diz respeito a um outro boleto de cobrança gerado em bancos virtuais,
cujo beneficiário é o criminoso ou um “laranja”. Em outros casos, a dívida de
outrem envolvido no golpe, é paga com a troca do código de barras(bolware).
Essa modalidade geralmente é muito utilizada com os carnês falsos de
impostos (IPVA e IPTU), que são objeto das falsas comunicações por e-mail.
Os engenheiros sociais estudam o calendário anual de obrigações e sabem
o período de recebimento desses boletos, especialmente no início do ano e,
fingindo ser da Receita Federal, cobram algum tributo inexistente
(especialmente nesta época de entrega de Declaração do Imposto de
Renda).
38
MODULO 4. ATUAÇÃO DO PROFISSIONAL DE SEGURANÇA
PÚBLICA
APRESENTAÇÃO
39
no âmbito e nos limites técnicos do seu
serviço e dentro do prazo assinalado,
tornar indisponível o conteúdo apontado
como infringente, ressalvadas as
disposições legais em contrário.
OBJETIVOS DO MÓDULO
10Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros
será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação,
sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo
cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação
pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito
e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.
40
• Demonstrar os procedimentos para denunciar usuários e programas
maliciosos.
• Adotar comportamentos mais seguros para uso da internet
principalmente durante a pandemia.
ESTRUTURA DO MÓDULO
41
● Instale apenas as extensões necessárias e mantenha-as
atualizadas (atenção nas reviews);
● Não instale extensões através de links de redes sociais, apps de
mensageria ou outro meio. Utilize lojas de confiança.
● Antes de acrescentar qualquer função ao seu navegador, verifique
as informações do desenvolvedor em fontes abertas;
● Confira as permissões do complemento;
● Elimine extensões desnecessárias;
● Habilite a verificação em duas etapas tanto no WhatsApp, quanto
em contas de email e redes sociais.
42
UTILIZAÇÃO DE FONTES ABERTAS
43
pandemia + fraude para encontrar as fraudes e notícias
relacionadas;
● Google Imagens: procura por imagens semelhantes. É permitido
ainda colocar a url da imagem ou arrastá-la para a barra de
pesquisa para identificar fotos semelhantes;
● Google Alerts: permite a criação de alertas sobre fraudes para
posteriormente recebimento por email;
● Agências de Verificação de Fatos: esses repositórios funcionam
como excelentes fontes de consulta, especialmente para o
jornalismo nos assuntos da política nacional e internacional. Por
vezes, você poderá encontrar fraudes relacionadas com boatos;
● Ferramentas Whois: informações sobre registro e hospedagem do
site.
44
Por fim, as denúncias se mostram um meio eficaz e oportuno na remoção
de aplicativos falsos. As lojas oficiais disponibilizam canais oficiais para a
realização desses procedimentos.
A Central de Políticas do desenvolvedor da Google Play nomina como
comportamento malicioso os aplicativos que roubam dados, monitoram ou
prejudicam os usuários de forma secreta, bem como aqueles que apresentam
comportamento abusivo. Caracteriza como comportamento abusivo os
aplicativos que12:
● Possuem vírus, cavalos de tróia, malware, spyware ou qualquer outro
software malicioso;
● Facilitam a distribuição ou instalação de software malicioso ou que
contêm links para esse tipo de software;
● Fazem o download de código executável (como arquivos dex ou
código nativo) de uma fonte que não é o Google Play;
● Introduzem ou exploram vulnerabilidades na segurança;
● Roubam informações de autenticação de um usuário (como nomes de
usuário ou senhas) ou imitam outros apps ou sites para enganar
os usuários e fazê-los divulgar informações pessoais ou de
autenticação13;
● Exibem números de telefone, contatos, endereços ou informações de
identificação pessoal não verificadas ou reais de pessoas ou
entidades sem o consentimento delas;
● Instalam outros apps em um dispositivo sem o consentimento prévio
do usuário;
● Apps com downloads facilitados por rede de fornecimento de
conteúdo (CDN) quando não há uma solicitação ao usuário antes de
começar nem é informado o tamanho do download e;
45
● Projetados para coletar secretamente o uso do dispositivo, como apps
de spyware comercial.
services/itunes/appstorenotices/#?lang=en.
46
● Adicione uma foto segurando um documento para comprovação de
identidade;
● O e-mail pode ser enviado em Português.
ANDROID
● Abra o WhatsApp;
IOS
● Abra o WhatsApp;
● Clique em Ajustes ;
● Ajuda e;
● Fale conosco.
47
envolva engenharia social (plataformas de comércio eletrônico: Mercado Livre,
OLX) não é necessário esse procedimento, apenas instalar o app novamente.
Nas situações em que o criminoso habilita a verificação em duas etapas,
você deverá digitar códigos errados e de maneira sucessiva até bloquear o
aplicativo. Posteriormente, será enviado para você um SMS para que possa
utilizar o WhatsApp novamente.
A fim de reduzir os riscos de invasão indevida do aplicativo,
recomendamos nunca repassar informações de SMS, evitar clicar em links
desconhecidos, habilitar a verificação em duas etapas e por fim, verificar as
sessões ativas.
48
Para comunicar um perfil ou publicação por abuso e spam siga as
orientações dispostas no link
https://www.facebook.com/help/instagram/446663175382270.
49
OPÇÕES PARA DENÚNCIA JUNTO AO GOOGLE
SPAM
Quando você identificar um spam no resultado de busca, poderá fazer a
denúncia através de formulário 17 . Informe a URL da página específica e os
termos utilizados na consulta para chegar a esse resultado.
PHISHING
Se você encontrar sites utilizados para a prática de phishing, preencha o
formulário disponibilizado18. As informações serão enviadas para uma equipe
responsável por analisar sua denúncia.
50
SOFTWARE MALICIOSO
DESINDEXAÇÃO DE CONTEÚDO
YOUTUBE
Por vezes, os criminosos criam canais no Youtube para divulgar conteúdo
relacionado a prática de fraudes. A plataforma possui um canal para reportar
essas irregularidades21.
19 Google. Report Malicious Software. Disponível em
https://safebrowsing.google.com/safebrowsing/report_badware/?hl=en.
20 Google. Solicitação para remover suas informações pessoais no Google. Disponível em
https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C2
889064%2C9171202
21 Youtube. Como remover conteúdo no Youtube. Disponível em
https://www.youtube.com/reportingtool/legal?visit_id=637139830170362989-3601295991&rd=1.
51
MERCADO LIVRE
OLX
CLOUD ABUSE
52
Twitter usadas por uma equipe de desenvolvimento para comunicar atualizações
de administração em nuvem.
● Google:
https://support.google.com/code/contact/cloud_platform_report?hl
=en;
● Cloudflare: https://www.cloudflare.com/abuse/;
● Hostinger: https://www.hostinger.com.br/denunciar-abuso;
● Godaddy: https://supportcenter.godaddy.com/AbuseReport;
● Amazon: https://support.aws.amazon.com/#/contacts/report-
abuse.
53
CONSIDERAÇÕES FINAIS
Caro cursista,
54
REFERÊNCIAS BIBLIOGRÁFICAS
55
. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios,
garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em:
< http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2014/Lei/L12965.htm>.
Acesso em: 01 mai. 2020.
56
GOOGLE. Play Console Ajuda. Como denunciar a violação de uma política..
Disponível em <https://play.google.com/intl/pt-BR/about/privacy-security-
deception/malicious-behavior/>. Acesso em 01 mai. 2020.
57
https://help.instagram.com/192435014247952?helpref=related>. Acesso em: 01
mai. 2020.
58
WHATSAPP. Termos do Serviço. Disponível em: <
https://www.whatsapp.com/legal/#terms-of-service>. Acesso em: 01 mai. 2020.
59