Segurança

da Informação
 Material Teórico
Principais Tipos de Ataques e Ameaças

Responsável pelo Conteúdo:

Prof. Me. Vagner da Silva

Revisão Textual:
Prof. Me. Luciano Vieira Francisco
 Principais Tipos de Ataques e Ameaças

• Introdução aos Ataques e às Ameaças;

• Tipos de Ataques.

OBJETIVOS DE APRENDIZADO
• Estabelecer os conceitos de ataque e ameaça e apresentar quais são os ataques mais
utilizados em redes locais e de acesso remoto;
• Entender como são feitos os principais ataques e quais são as vulnerabilidades que alguns
protocolos oferecem na rede de computadores;
• Compreender porque a engenharia social é o ataque que mais oferece resultados positi-
vos e quais são os métodos mais utilizados atualmente.
 Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.

Mantenha o foco!
Evite se distrair com
as redes sociais.

Seja original!
Nunca plagie
trabalhos.

Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;

Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma

alimentação saudável pode proporcionar melhor aproveitamento do estudo;

No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua
interpretação e auxiliarão no pleno entendimento dos temas abordados;

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de
aprendizagem.
UNIDADE Principais Tipos de Ataques e Ameaças

Introdução aos Ataques e às Ameaças

Ao descrever sobre segurança da informação, alguns termos surgirão frequente-
mente e deverão ser bem-conceituados para a devida compreensão do assunto; de
modo que entre os conceitos utilizados em segurança da informação temos:
• Exploit: código capaz de explorar as vulnerabilidades;
• Vulnerabilidade: algo que está frágil, podendo fornecer uma porta de entrada
a um ataque;
• Ameaça: ação que se aproveita de uma vulnerabilidade;
• Ataque: incidência da ameaça sobre a vulnerabilidade;
• Risco: possibilidade de a ameaça ocorrer.

Em segurança da informação, os responsáveis devem estar sempre atentos às

ameaças que a organização pode sofrer, afinal, pode colocar em risco os pilares da
segurança – confidencialidade, integridade, disponibilidade. As vulnerabilidades de-
vem ser identificadas sob o risco de comprometer toda a segurança da organização.

As ameaças podem ocorrer de forma lógica, em que são usados códigos – exploit –,
ou física – podendo também comprometer a segurança dos dados pelo acesso ou expo-
sição a áreas ou equipamentos indevidos. Entre as ameaças físicas podemos citar:
• Alagamento;
• Raios;
• Desabamentos;
• Acessos indevidos.

E dentro do que conhecemos como ameaças lógicas temos:

• Infecções por vírus;
• Acessos remotos à rede;
• Violações de senhas.

Os ataques também se dividem em dois grupos, podendo ocorrer de maneira

interna ou externa:

Dentro da composição dos ataques internos estão os funcionários insatisfeitos ou

aqueles que querem, por algum motivo, vingança; há ainda aqueles que compõem
organizações de espionagem. Em um aspecto mais atenuante – porém, não menos
prejudicial à segurança – estão os funcionários despreparados e que pelas configu-
rações ou instalações malfeitas, podem comprometer a segurança da informação.

Os ataques externos geralmente são realizados por crackers que são motivados
a encontrar vulnerabilidades em equipamentos e aplicativos para roubar dados con-
fidenciais, ou como desafio aos obstáculos que são colocados.

8
Tipos de Ataques
Há alguns ataques já bem conhecidos, objetivando o roubo de informações, ou
então a indisponibilidade do serviço; de modo que serão descritas as características
dos principais casos.

Denial of Service (DoS)

Tem como principal característica negar um serviço ao usuário. A indisponi-
bilidade do serviço pode ser realizada de diversas formas, desde a utilização de
ferramentas que inundem de requisições os servidores, até a geração de radiofrequ-
ências que interfiram em dispositivos WiFi.

Inundar os servidores com solicitações pode fazer com que fiquem sobrecarre-
gados e sejam impedidos de executar as suas tarefas e, consequentemente, acabam
por parar o(s) serviço(s). Esse tipo de procedimento era muito usado há muitos
anos, utilizando-se do comando ping direcionado ao servidor a ser atacado.

Um dos ataques mais utilizados usa a vulnerabilidade do protocolo TCP. Ao fazer

uma requisição de página web a um servidor, há uma comunicação previamente
estabelecida para depois começar a trocar os dados da própria página. Tal comuni-
cação prévia denomina-se handshake triplo, correspondendo aos sinais dos passos
1, 2, 3 e 4 da Figura 1:

Servidor (Máquina B)
Cliente (Máquina A) 1 SYN Flag = 1, Seq # = 300
Seq # = 800, Ack = 301, SYN Flag = 1, ACK Flag = 1 2

3 Ack # = 801, ACK Flag = 1

Conexão TCP é estabelecida
4 [Data] Seq # = 301, Ack # = 801, ACK Flag = 1
Transferência de dados é iniciada
[Data] Seq # = 801, Ack # = 302, ACK Flag = 1 5

6 [Data] Seq # = 302, Ack # = 802, ACK Flag = 1

7 Seq # = 303, Ack # = 802, ACK Flag = 1, FIN Flag = 1

Conexão TCP desfeita em A
[Data] Seq # = 802, Ack # = 304, ACK Flag = 1 8
9 Seq # = 304, Ack # = 803, ACK Flag = 1
[Data] Seq # = 803, Ack # = 305, ACK Flag = 1 10
Seq # = 804, Ack # = 305, ACK Flag = 1, FIN Flag = 1 11
Conexão TCP desfeita em B
12 Seq # = 305, Ack # = 805
Conexão TCP é finalizada

Figura 1 – Handshake triplo TCP

A partir do passo 4 (Figura 1), os dados são trocados entre o cliente e servidor.
O ataque feito denomina-se SYN flooding, onde um computador cliente tenta

9
9
UNIDADE Principais Tipos de Ataques e Ameaças

estabelecer a comunicação utilizando-se de várias requisições do sinal SYN do

passo 1. No passo 2, o servidor envia uma resposta ao cliente e utilizando-se de
uma ferramenta ou comando adequado, o cliente não responde com o passo 3, ou
seja, o cliente evita apenas o passo 1 de forma ininterrupta. O servidor manterá
abertas as conexões que não foram respondidas pelo cliente, sobrecarregando-se
de tal forma a parar o serviço.

O DoS pode ser aplicado também em redes WiFi, geralmente de forma não
intencional ao instalar o roteador WiFi próximo a aparelhos que trabalham na mes-
ma frequência de transmissão – tais como fornos de micro-ondas, telefones sem fio
e babás eletrônicas –, interferindo na frequência e, consequentemente, bloqueando
o sinal WiFi. Um gerador de frequência com potência suficiente para anular o sinal
WiFi pode também ser empregado propositalmente a fim de parar esse serviço.

Distributed Denial of Service (DDoS)

Tem a mesma finalidade do DoS, porém, a sua forma de ataque é aplicada de
modo diferente, pois são empregadas várias máquinas para acometer um único
servidor. Tais ataques podem ser realizados utilizando-se um vírus instalado na
máquina de uma pessoa que, sem saber da infecção, participará desse processo.
Dito de outra forma, um programa simples – vírus – pode ativar o ataque sem que
o usuário perceba, reiterando requisições de um servidor por tempo indeterminado.

Esse vírus, quando instalado em milhares de máquinas, pode ativar o ataque em

um momento pré-determinado, de modo que milhares de requisições serão realiza-
das ao mesmo tempo, fazendo com que o servidor não consiga responder a todas,
de modo a parar o serviço em razão da alta demanda de requisições.

Para que esse tipo de ataque tenha sucesso, grande quantidade de máquinas
deve participar de forma simultânea. Além disso, para dar vazão aos pacotes requi-
sitantes, uma boa largura de banda se faz necessária. Essas características, aliadas
a ferramentas hackers, facilitam os ataques.

Port Scanning Attack

Este tipo de ataque consiste em utilizar ferramentas para encontrar vulnerabi-
lidades. Utilizado para varrer servidores em busca de portas abertas e possíveis
informações que possam ser utilizadas para invasão.

Há várias ferramentas disponíveis para fazer esse tipo de ataque. Primeiramente

utiliza-se o protocolo ICMP pelo comando ping, a fim de verificar se uma máquina
está ativa na rede, ou traceroute para mapear roteadores até um destino.

Após a confirmação das máquinas ativas, utiliza-se ferramentas para varrer as

portas que estiverem abertas. Conforme visto na Figura 1, a comunicação TCP é
estabelecida após a troca de informações entre as máquinas, de modo que a norma
específica estabelece o seguinte: sempre que houver uma porta aberta, responderá

10
com um SYN + ACK; e a toda porta fechada, responderá com um RST. Portanto,
ao utilizar uma ferramenta para varrer portas, esta saberá como informar o status
de cada qual.

Ataque de Força Bruta

É a forma mais conhecida para quebrar senhas. Consiste em fazer um ataque
utilizando várias tentativas e conexões a partir das credenciais de um provável usu-
ário da máquina a ser invadida. Diversas combinações de senhas são inseridas ou
criadas em uma lista que é usada para tal.

A lista pode conter o nome de usuário e/ou a senha, então chamada de wordlist,
a qual apresenta uma combinação, comumente, de senhas utilizadas no ataque.
Wordlist pode ser encontrada para download na internet, ou pode ser gerada com
ferramentas disponíveis para tal finalidade.

Ataque MAC Flooding

Os ataques descritos até o momento são realizados por pessoas que estão fora
da rede da empresa; de modo que internamente, na própria rede LAN, há outras
abordagens que se aproveitam das vulnerabilidades que essa rede possa oferecer.

Assim, o ataque MAC flooding consiste em assaltar o switch da rede, este que
armazena, em sua tabela MAC, as correspondências de endereço MAC e porta do
switch; de modo que quando um quadro chega ao switch, possibilita abri-lo para ler
o endereço MAC de destino e verificar por qual porta tal quadro sairá. O problema
está na limitada quantidade de memória para armazenar esses endereços MAC.

Aproveitando-se dessa característica, o atacante gera vários endereços MAC fal-

sos que preencherão toda a tabela MAC, sem deixar espaço para endereços MAC
verdadeiros. Nessa situação, o switch comporta-se de um dos dois modos possíveis:
simplesmente deixa de funcionar; ou passa a encaminhar os pacotes de forma bur-
ra, ou seja, encaminha para todas as portas, comportando-se como fosse um hub;
neste caso, encaminhar os quadros para todas as portas fará com que trafeguem
na rede, sendo facilmente capturados pelo atacante – enquanto que a análise dos
pacotes capturados pode ser realizada por ferramentas apropriadas.

ARP Spoofing
O protocolo ARP tem a função de buscar o endereço MAC de uma máquina
pelo endereço IP desta. Toda a comunicação em nível de camada dois é operada
por quadros que contêm os campos de endereço MAC de origem e destino para es-
tabelecer comunicação em uma rede LAN. Portanto, quando a máquina não sabe
o endereço MAC, o protocolo ARP entra em ação por broadcast para encontrá-lo.

11
11
UNIDADE Principais Tipos de Ataques e Ameaças

O ataque ocorre a partir do momento em que uma máquina mal-intencionada

recebe tal solicitação, por broadcast, e responde com o seu endereço MAC. Assim,
passa a receber quadros da rede local e poderá capturá-los para análise.

Ransomware
Entre os ataques mais temerosos às empresas figura o ransomware, que con-
siste em sequestrar os dados da organização, impossibilitando o acesso aos quais.
Frequentemente os ataques são realizados pelo acesso remoto ao computador-alvo,
criptografando os dados e informando, via mensagem, que serão devolvidos me-
diante um pagamento, comumente realizado por meio de criptomoedas.

Esse tipo de ataque não é operado apenas pelo acesso remoto, pois há casos
em que ocorre ao se selecionar links maliciosos ou mesmo por algumas vulnerabi-
lidades na máquina. Embora existam determinadas formas de infectar a máquina, o
objetivo final é sempre o mesmo, ou seja, deixar o usuário refém, pois não há muito
o que se fazer ao ser infectado.

Empresas tiveram prejuízos enormes, de modo que quando são veiculados ata-
ques desse tipo, muitas das quais preferem desligar as máquinas a ter os seus dados
criptografados. A paralisação da rede, pelo desligamento das máquinas, leva tam-
bém a prejuízos significativos.

Os ataques que foram vistos até então envolvem alguma técnica ou ferramentas
para obter sucesso. Há, contudo, outra linha de ataques que contempla a manipu-
lação dos sentimentos das pessoas, utilizando-se de determinadas ferramentas, ou
de uma “boa conversa”, apenas; ataques assim são chamados de engenharia social,
sobre os quais discorreremos a seguir.

Engenharia Social
A engenharia social corresponde a um conjunto de técnicas utilizadas pela maio-
ria dos estelionatários ou mesmo por pessoas que realizam phishing na internet ou
em qualquer outro tipo de invasão com o objetivo de enganar, obter informações
das pessoas, manipulando os seus sentimentos e as aspirações contidas nos seres
humanos. Não se trata de uma técnica empregada apenas por pessoas mal-inten-
cionadas, mas também muito utilizada por policiais para desvendar algum tipo de
comportamento ilícito usado em sites na internet.

O Facebook e qualquer outro site de relacionamento são pesquisados frequen-

temente por policiais em busca de algum comportamento considerado estranho
para, então, a tomada de providências usando, quando necessário, algum recurso
de engenharia social. Uma das técnicas que veremos no decorrer desta Unidade se
refere à confiança, de modo que as autoridades, passando-se por outras pessoas –
a fim de criar certa afinidade –, tentam se aproximar de uma determinada pessoa
para obter informações. Existem vários meios usados pelos estelionatários com o

12
objetivo de manipular os sentimentos, métodos praticados tanto na internet como
fora desta.

Se analisarmos os últimos cinco anos até os dias atuais, veremos que a tecnologia
de segurança que tínhamos para manter os computadores longe de ataques não eram
as mesmas utilizadas atualmente, pois os programas estão em constante aperfeiçoa-
mento e desenvolvimento. Por exemplo, se formos comparar o Windows XP com o
Windows 7, perceberemos que novos recursos de segurança foram implementados.

Se os investimentos em segurança são realizados pelas empresas, se temos softwares

Explor

cada vez mais seguros e, consequentemente, redes de computadores protegidas, por que
os ataques aumentam?

Percebe-se uma contradição em relação ao exposto, de modo que a resposta é

a seguinte:

Os invasores perceberam que não adianta atacar a tecnologia, ou seja, o elo mais
fraco de toda a segurança ainda é o ser humano, afinal, o usuário continua por trás
dessas tecnologias. Assim, o fator humano é um problema gravíssimo, pois por
mais que existam sistemas seguros, suportados em tecnologias de ponta, a grande
maioria dos usuários não sabe lidar com o sistema de forma correta ou não recebe
a instrução ou treinamento adequado, subestimando a possibilidade de sofrer um
ataque; daí que o ser humano é facilmente enganado por um engenheiro social.

O tema engenharia social não é considerado novo, pois convivemos com isto o
tempo todo, o que comumente pode ser visto no comportamento das pessoas; afi-
nal, sempre que alguém se utilizar de algum tipo de sentimento para obter algo em
benefício próprio, isto será considerado engenharia social. É lógico que esse tipo de
comportamento é totalmente diferente daqueles que você estudaria nesta Unidade:
existem engenheiros sociais ditos “normais”, ou seja, que agem intuitivamente; e
existem engenheiros sociais que objetivam cometer crimes.

Portanto, a engenharia social se baseia em atacar o elo mais fraco do sistema,

o ser humano; razão pela qual é conhecida como a arte de enganar, manipulando
pessoas e obtendo informações sigilosas das quais.

Várias técnicas de engenharia social foram demonstradas no filme Hacker 2: operação takedown;
Explor

trata-se da história ficcional do hacker Kevin Mitnik, cassado pelo FBI depois de aplicar vários ata-
ques e conseguir informações sigilosas. Por este motivo, ficou preso durante cinco anos e proibido
de usar computadores.

Considerando as pessoas físicas, a engenharia social pode ser aplicada de vá-

rias formas, pode-se, por exemplo, conseguir os dados da conta corrente – incluin-
do a senha. É comum você ver pessoas desatentas em caixas de banco solicitando

13
13
UNIDADE Principais Tipos de Ataques e Ameaças

informações a pessoas desconhecidas ou indivíduos se aproximando de outros

para oferecer ajuda, tendo como objetivo obter a senha e outras informações.

Temos também os casos de sequestro e ataques de vigaristas. O site de relacio-

namento Facebook é uma rica fonte de informações, podendo ser utilizado com o
objetivo de sequestrar alguém, pois muitas pessoas deixam os dados considerados
confidenciais abertos para que qualquer outro possa acessar. Com isto, fica fácil
levantar características e informações para fazer um ataque de engenharia social,
pois não é difícil arquitetar uma invasão usando informações como nome do namo-
rado, ano de nascimento, álbum de fotos, recados, comunidades e outras informa-
ções que geralmente ficam expostas.

Por incrível que pareça, há ainda muitos usuários desatentos ou com pouco
conhecimento, acabando por propiciar aos engenheiros sociais informações pre-
ciosas, com as quais alguém pode iniciar contatos, seja por telefone, e-mail ou até
fisicamente e ganhar a confiança para posteriormente aplicar algum tipo de golpe.

No meio jurídico, as empresas devem se preocupar também com a engenharia

social, inclusive colocando-a como um dos itens de risco à segurança de rede, isto,
infelizmente, nem sempre acontece nas organizações – embora, muitas vezes não
percebam, sofrem algum tipo de ataque usando a engenharia social.

O vazamento de informações é outro problema encontrado pelas organizações,

pois em uma conversa informal, um funcionário pode passar dados importantes e
confidenciais que poderão ser utilizados por empresas concorrentes.

É costume os funcionários se encontrarem após o expediente para um happy

hour e trocar informações sobre o trabalho do dia a dia, de modo que um indivíduo
pode se aproveitar dessas circunstâncias e até tentar uma aproximação para obter
mais informações. Neste caso, percebe-se que o funcionário não tem a maldade de
prejudicar a própria empresa, no entanto, acaba por fazê-lo.

Para que isso não aconteça, deve ser instruído dos riscos que determinadas in-
formações podem causar à organização e a si caso venham a ser divulgadas para
terceiros. Certamente, a perda financeira será a consequência desse vazamento de
informações, portanto, conhecer as técnicas e os ataques usados em engenharia
social é de suma importância para todos aqueles que trabalham com informação.

Como você poderá ver ao longo desta Unidade, alguns casos são bem conhe-
cidos e outros surgirão; o importante a ser notado é que ainda que as formas de
ataque sejam diferentes entre si, o objetivo permanece o mesmo, a manipulação
do ser humano.

Ademais, seja através da internet ou de telefone, a engenharia social pode ser

realizada por meio de ataques com as seguintes abordagens:
• Phishing consiste em um ataque onde são enviados e-mails para vários usuários.
Tais mensagens apresentam conteúdo que chamará a atenção, fazendo com que
o destinatário abra a mensagem e execute o que veio como anexo ou clique no

14
 link que está no corpo do próprio e-mail; com isto, um programa será executado
e, provavelmente, o seu computador terá as informações roubadas pelo qual.
Esse tipo de ataque é um dos mais utilizados pelos hackers atualmente.
• Pharming é outro tipo de invasão, o qual consiste em gerenciar vários phishing
sob a sua custódia – pharm significa fazenda, no sentido de criar, manter os
computadores infectados com phishing.

O roubo de identidade é uma terceira forma de ataque, comumente aplicada

com o envio de e-mail de pessoas conhecidas para prover confiança. Tal mensa-
gem pode conter arquivos para execução ou solicitar que o destinatário abra uma
apresentação ou veja uma imagem. O único problema é que embora o e-mail tenha
o endereço da pessoa conhecida, não foi enviado pela qual, ao passo que o conte-
údo que fornece é malicioso.

Por acreditar que é um e-mail de uma pessoa conhecida, cria uma das principais
características da engenharia social, a confiança. Dificilmente o destinatário deixará
de ver o conteúdo enviado e contaminará a própria máquina com programas que
lhe monitorarão e até roubarão as suas informações.

A engenharia social não usa apenas a tecnologia para atingir os seus objetivos,
dado que pode também se manifestar pessoalmente, ou seja, presencialmente e
por meio das seguintes técnicas:
• No shoulder surfing uma pessoa fica observando a outra para obter dados
como o login e a senha. Em bancos ou laboratórios de informática, posicio-
nam-se atrás das vítimas, observando o que digitam. Muitos não dão tanta im-
portância para esse tipo de postura, no entanto, já houve casos em que bancos
foram roubados com a utilização desse método.
• Rush authentication utiliza da boa vontade de outra pessoa para ter acesso
ao local ou às informações dessa; por exemplo, determinada área pode ser
acessada apenas por quem tem cadastro biométrico; assim, para conseguir
adentrar, o engenheiro social pode simular que carrega uma caixa pesada,
esperando que uma pessoa abra a porta para si e, daí, pedindo que a segure a
fim de que possa aproveitar a passagem – dado que as suas mãos estão ocupa-
das carregando a tal caixa –, comumente há pessoas que procuram ajudar as
demais em situações difíceis; contudo, neste caso, ainda que sem a utilização
da biometria, o engenheiro social consegue entrar no local que originalmente
lhe era inacessível.

A confiança é muito explorada em engenharia social, de modo que – em outro

exemplo – o golpe da música do telefone procura adquirir confiança de uma deter-
minada pessoa à qual se deseja atacar: esse tipo de abordagem consiste em gravar
a música em espera que determinada empresa costuma usar para, ao fazer uma
chamada telefônica a determinado funcionário dessa organização, então se passan-
do por outro profissional dessa mesma instituição, o engenheiro social comentar
receber outra chamada e pedir ao primeiro interlocutor que o aguarde por alguns
instantes, momento em que coloca o telefone em espera com a referida música

15
15
UNIDADE Principais Tipos de Ataques e Ameaças

para que, ao ouvir e reconhecer tal canção, a vítima acreditar que tudo ocorre den-
tro da normalidade empresarial, ficando, a partir daí, mais acessível e proativa em
ajudar no que lhe for solicitado.

Boatos também podem trazer benefícios ao atacante. Por exemplo, considere

que as bolsas de valores ao longo do Planeta frequentemente sofrem com rumores
de determinadas notícias que se mostram falsas, fazendo com que oscilem para
cima ou para baixo. Nesse sentido, há algum tempo, bem antes de morrer, um
boato sobre a saúde de Steve Jobs, então da Apple, foi divulgado; em consequência
disso, as ações da empresa caíram significativamente. Caso essa notícia tenha sido
veiculada com tal propósito, então o atacante pôde aproveitar o momento de baixo
valor das ações a fim de comprar a quantidade que seus recursos lhe permitiam;
quando o boato foi, então, esclarecido, as ações da empresa voltaram ao patamar
financeiro original – ou passaram a valer um pouco mais –, de modo que o boatei-
ro fez valorizar a sua aquisição, pois comprou na baixa, tendo-as valorizadas para,
adiante, vender por um preço que lhe fosse mais interessante.

Conforme comentado, phishing é um ataque enviado por e-mail para chamar a

atenção do usuário através de conteúdo que o deixe curioso, comumente composto
por mensagens relacionadas à promoção ou o convidando a visitar determinada
página de relacionamento, ou ainda felicitando o destinatário pelo “prêmio ganho”.

Embora existam várias mensagens com conteúdos diferentes, o objetivo é um

só, ou seja, a descrição procura aguçar a curiosidade e fazer com que o usuário
clique em um botão ou link para executar ou instalar e executar um programa na
máquina. Quem pratica o phishing é chamado de phishing scammer.

Um exemplo típico de phishing está representado na seguinte Figura:

Figura 2 – Phishing O Boticário

16
 Trata-se de um phishing muito bem feito, salvo que nenhuma empresa deve
solicitar que o usuário faça download de qualquer tipo de página, programa ou
imagem, isto é inadmissível; no entanto, as pessoas menos atentas, com menos
conhecimento sobre esse tipo de ataque – que, na verdade, é a grande maioria –
acabam caindo em golpes dessa natureza.

Outro phishing conhecido é o da Chevrolet, conforme pode ser visto na seguin-

te Figura, incentivando o destinatário a baixar um formulário para ser preenchido.
Considerando que não se baixa formulário para preencher, pois licitamente são
oferecidos em páginas da internet da própria empresa, uma vez salvo esse arquivo
e executado, o referido computador será contaminado.

Na maioria das vezes esse tipo de ataque solicita que o usuário faça o download
ou então clique em algum link para ser aceito na promoção; infelizmente, a maio-
ria das pessoas não tem o hábito de colocar o mouse sobre o link ou o botão de
download para verificar o endereço completo – se fizessem isso, constatariam estar
prestes a executar um programa. Os engenheiros sociais se aproveitam dessa falha
de atenção para instalar softwares com códigos maliciosos, pois a grande maioria
dos usuários não sabe diferenciar um programa e uma página de internet.

Figura 3 – Phishing Chevrolet

Ademais, o phishing é usado para atingir determinado perfil de usuários e, por

este motivo, é transmitido ao maior número de pessoas, afinal, algumas o apaga-
rão, pois não é de seu interesse, mas outras acessarão e possivelmente clicarão e
instalarão o programa. Portanto, vários tipos de propagandas e anúncios surgem

17
17
UNIDADE Principais Tipos de Ataques e Ameaças

a todo o momento com o objetivo de contaminar grupos de pessoas que tenham

interesse em determinadas promoções.

Outro golpe advindo por e-mail é o Nigerian scan – ou fraude da Nigéria –, que
consiste em enviar uma mensagem descrevendo histórias variadas, uma das quais
sobre um parente distante que morreu e deixou uma fortuna em dinheiro, de modo
que o destinatário precisará pagar determinado valor relacionado aos custos docu-
mentais para que tal fortuna seja depositada em sua conta corrente. Muitas outras
variações dessas histórias são inventadas, mas sempre com o mesmo propósito:
depositar dinheiro mediante a promessa de que receberá o valor indicado. Esse tipo
de golpe já era praticado por meio de cartas, de modo que atualmente o e-mail é
empregado, entre outros motivos, porque atinge maior quantidade de pessoas.

Há casos mais avançados de engenharia social, tais como os exemplos vistos,

os quais utilizando phishing para atingir um grupo específico de usuários a fim de
aguçar a curiosidade de seus integrantes.

O objetivo do engenheiro social é conquistar e manipular o sentimento das pes-

soas e para chegar a essa meta pode usar o telefone, a internet, ou até mesmo o
meio físico. Os pontos principais manipulados são a curiosidade, confiança, simpa-
tia, culpa, intimidação e o orgulho, cada um a partir de técnicas totalmente diferen-
tes e que podem ser utilizadas com certa variação; vejamos mais alguns exemplos:

A curiosidade é a forma mais fácil de obter sucesso na engenharia social, pois não
é característica de um grupo específico, sendo inerente a todo ser humano, afinal,
somos movidos por essa qualidade. Portanto, se você fizer engenharia social por
meio de um phishing que tenha a característica de utilizar o princípio da curiosidade,
certamente fará com que alguns destinatários executem o programa que lhes foi en-
viado, mesmo em um meio físico, veja: se visitar uma empresa e deixar um CD com
a descrição “salário dos funcionários”, ou “fotos da família do diretor X” em um local
de significativo trânsito de pessoas, criará curiosidade naqueles que tiverem acesso
a essa mídia, a qual, uma vez executada, poderá infectar o computador do curioso.

A confiança é outro atributo que o engenheiro social pode utilizar, pois nessa
condição agirá com mais facilidade; é o caso já citado sobre o e-mail enviado por
um terceiro que, colocando-se como fosse uma pessoa conhecida, comumente fará
a vítima clicar no link e até executar algum arquivo enviado, pois considerará que
a mensagem advém de uma pessoa conhecida. Como a confiança é reconhecida-
mente primordial aos engenheiros sociais, para que seja possível, deve-se ter boa
aproximação às pessoas para estabelecer um contato mais “espontâneo”.

Por sua vez, a simpatia acaba atraindo muitas vítimas, afinal, adoramos pessoas
simpáticas. Por exemplo, quando entramos em uma loja e um vendedor nos fica
pressionando ou, pelo contrário, não nos dá muita atenção, ou ainda nos trata com
certo mau humor, grandes são as possibilidades de não comprarmos em tal esta-
belecimento; por outro lado, se o vendedor for simpático, prestativo, dificilmente
deixaremos de adquirir o produto necessário. Naturalmente que não se refere aqui
à questão de valor e/ou qualidade do produto ofertado, mas – para efeito didático –

18
consideremos que as lojas têm os mesmos critérios de preço e qualidade, de modo
que às pessoas simpáticas nos será mais difícil dizer não quando nos oferecem uma
venda, ou nos pedem algo.

A simpatia está diretamente ligada ao orgulho, de modo que pessoas orgulhosas

gostam que outras falem bem de algo sobre si ou que tenha realizado. Dito de outra
forma, os elogios feitos às pessoas orgulhosas servem como portas à aproximação.
Sem surpresa, a simpatia é muito utilizada em ataques a pessoas orgulhosas.

A culpa também é explorada por engenheiros sociais, dado ser excelente meio
a ser empregado para obter informações, principalmente de pessoas com baixa
estima, as quais comumente se sentem responsáveis por qualquer motivo e, conse-
quentemente, podem ser facilmente manipuladas.

Toda pessoa que se acha culpada está, intrinsecamente, interessada em ajudar

e, intuitivamente, a culpa pode se estabelecer por um simples serviço prestado. Por
exemplo, caso alguém faça um favor a você, algumas vezes poderá usar da seguin-
te frase: “Você me deve uma”; significa que a culpa é manipulada, pois em algum
momento lhe cobrará pelo favor prestado.

A intimidação é diferente de tudo o que foi descrito até agora, pois se refere a
fingir ser o chefe ou estar no controle de uma determinada situação para atingir
o seu objetivo – em síntese, intimidar alguém. Geralmente o tom de voz usado na
intimidação é diferente em relação a outros tipos de ataque.
Explor

Mas por quais motivos uma pessoa acaba caindo nesses truques?

Uma das razões é que as pessoas não desconfiam de muitas coisas que aconte-
cem em seu dia a dia, como no caso dos e-mails enviados como propagandas – os
mencionados phishing.

Deve-se, portanto, desconfiar de tudo o que é enviado pela internet; não execu-
tar nada que não seja de pessoa confiável. De modo que se não estiver esperando
um e-mail e mesmo assim o receber, é sempre interessante checar a sua veraci-
dade. Caso acesse o conteúdo do e-mail, averigue com atenção o endereço que
está por trás do link ou botão – para isto, basta posicionar, sem clicar, o cursor do
mouse sobre o link ou botão para examinar, no canto inferior esquerdo da tela, o
endereço completo.

Todos os documentos da empresa que estiverem em papel devem ser destruídos

de tal forma que nenhuma informação fique visível. Caso isto não ocorra e o enge-
nheiro social adquira esses papéis, poderá, com certa facilidade, saber o nome de
determinadas pessoas e se aproveitar disso.

Revelar dados sem consulta é outro caso usado pelos engenheiros sociais como,
por exemplo, determinada pessoa que venha a telefonar e solicitar os dados do
gerente com o argumento de precisar enviar informações ao qual; de modo que

19
19
UNIDADE Principais Tipos de Ataques e Ameaças

especial cuidado deve ser tomado em casos assim – se a pessoa que solicita a infor-
mação não é conhecida, então não deve ser informada.

Ademais, acessar sistemas duvidosos, tais como sites da internet, pode trazer
programas maliciosos que serão executados na máquina em questão.

A curiosidade em se ter acesso a determinadas informações, como no caso do

CD colocado propositadamente em um local para que alguém o pegue e insira no
computador, deve ser evitada, pois o próprio auto run poderá instalar arquivos
maliciosos na máquina em questão.

Conversar sobre o dia a dia e dados confidenciais da empresa estando fora desta
também deve ser evitado, pois caso isto ocorra, tais informações poderão ser ad-
quiridas por pessoas alheias que a usarão em benefício próprio.

A melhor forma de se defender dos ataques de engenharia social é o treinamen-

to, a participação em workshops e a divulgação dos tipos de ataque. A política é
um dos recursos igualmente utilizáveis para evitar essa prática criminosa.

20
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Vídeos
História dos Vírus de Computador
https://youtu.be/zdxo0sL9q6o
Engenharia Social
https://youtu.be/PTs4__aHxI8

Leitura
Cartilha de Segurança para Internet – Golpes na Internet
https://goo.gl/s914E2
Cartilha de Segurança para Internet – Outros Riscos
https://goo.gl/1cKkbD

21
21
UNIDADE Principais Tipos de Ataques e Ameaças

Referências
GALLO, M. A.; HANCOCK, W. M. Comunicação entre computadores e tecno-
logias de rede. São Paulo: Thomson Learning, 2003.

GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson

Education do Brasil, 2015.

22