Vírus

Um vírus é um tipo de programa de computador que, quando executado, se replica e se anexa a

outros arquivos, como um programa legítimo, inserindo nele seu próprio código. Alguns vírus são
inofensivos, mas outros podem ser destrutivos, como aqueles que modificam ou excluem dados. A
maioria dos vírus requer interação do usuário final para iniciar a ativação e pode ser escrito para
atuar em uma data ou hora específica.

Os vírus podem se espalhar através de mídia removível, como unidades flash USB, downloads da
Internet e anexos de e-mail. O simples ato de abrir um arquivo ou executar um programa específico
pode desencadear um vírus. Quando um vírus está ativo, ele geralmente infecta outros programas no
computador ou outros computadores na rede. Os vírus sofrem mutações para evitar a detecção.

Por exemplo, o vírus Melissa foi lançado em 1999 e disseminado por e-mail, afetando dezenas de
milhares de usuários e causando danos estimados em US $ 1,2 bilhão.

Vermes
Um minhoca é um programa de software malicioso que se replica explorando independentemente
vulnerabilidades nas redes. Ao contrário de um vírus, que requer um programa host para ser
executado, os vermes podem ser executados por si próprios. Além da infecção inicial do host, eles
não exigem a participação do usuário e podem se espalhar muito rapidamente pela rede, geralmente
diminuindo a velocidade.

Os vermes compartilham padrões semelhantes: exploram vulnerabilidades do sistema, têm uma

maneira de se propagar no espaço sem interrupção e todos contêm código malicioso (carga útil)
para causar danos a sistemas ou redes de computadores.

Os vermes são responsáveis por alguns dos ataques mais devastadores na Internet. Em 19 horas, o
minhoca Code Red infectou mais de 300.000 servidores em 2001.

Cavalo de Tróia
Um Trojan (Cavalo de Tróia) é um malware que realiza operações maliciosas mascarando sua
verdadeira intenção. Pode parecer legítimo, mas é, de fato, muito perigoso. Trojans (Cavalos de
Troia) exploram os privilégios do usuário que os executa.

Ao contrário dos vírus, os trojans (cavalos de troia) não se replicam automaticamente, mas
geralmente se ligam a arquivos não executáveis, como arquivos de imagem, áudio ou vídeo, que
atuam como um chamariz para prejudicar os sistemas de usuários desavisados.

Bombas Lógicas
Uma bomba lógica é um programa malicioso que espera por um gatilho, como uma data
especificada ou entrada de banco de dados, para detonar o código malicioso. Até que este evento de
disparo aconteça, a bomba lógica permanecerá inativa.

Uma vez ativada, uma bomba lógica implementa um código malicioso que causa danos a um
computador de várias maneiras. Ele pode sabotar registros de banco de dados, apagar arquivos e
atacar sistemas operacionais ou aplicativos.
Especialistas em segurança cibernética descobriram recentemente bombas lógicas que atacam e
destroem os componentes de hardware em um dispositivo ou servidor, incluindo ventiladores,
unidade central de processamento (CPU), memória, discos rígidos e fontes de alimentação. A
bomba lógica sobrecarrega esses componentes até que eles superaqueçam ou falhem.

Ransomware
Malware projetado para manter um sistema de computador, ou os dados incluídos nele, presos até
que o pagamento seja feito.

O ransomware geralmente funciona criptografando os dados para que você não possa acessá-los. De
acordo com as alegações do ransomware, quando o resgate for feito por um sistema de pagamento
não rastreável, o criminoso digital fornecerá um programa que descriptografa os arquivos ou envia
um código de desbloqueio, mas, na realidade, muitas vítimas não obtêm acesso aos dados mesmo
depois de terem pago .

Algumas versões de ransomware podem tirar proveito de vulnerabilidades específicas do sistema

para bloqueá-lo. O ransomware é frequentemente disseminado por e-mails de phishing que o
incentivam a baixar um anexo mal-intencionado ou uma vulnerabilidade de software.

Ataques de Negação de Serviços

Os ataques de negação de serviço (DoS) são um tipo de ataque de rede que é relativamente simples
de realizar, mesmo por um invasor não qualificado. Eles são um grande risco, pois geralmente
resultam em algum tipo de interrupção dos serviços de rede, causando uma perda significativa de
tempo e dinheiro. Até mesmo as tecnologias operacionais, hardware ou software que controla
dispositivos ou processos físicos em edifícios, fábricas ou provedores de serviços públicos, são
vulneráveis a ataques de negação de serviço, que podem causar um desligamento em circunstâncias
extremas.
Exemplos: quantidade esmagadora de tráfego; pacotes maliciosamente formatados. (aplicativos
executando anúncios pop-up lentos e notáveis)

Os ataques de negação de serviço distribuído (DDoS) são semelhantes, mas se originam de várias
fontes coordenadas. Veja como isso acontece:

1. Um invasor cria uma rede (botnet) de hosts infectados chamados zumbis, que são
controlados por sistemas de tratamento.
2. Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais
zumbis.
3. Quando está pronto, o hacker instrui os sistemas controlador para fazer com que o botnet de
zumbis execute um ataque de negação de serviço distribuído (DDoS).

Sistema de nomes de domínio :

Reputação de domínio:
O sistema de nome de domínio (DNS) é usado por servidores DNS para converter um nome de
domínio, como www.cisco.com, em um endereço IP numérico para que os computadores possam
entendê-lo. Se um servidor DNS não sabe o endereço IP, ele perguntará a outro servidor DNS.

Uma empresa precisa monitorar sua reputação de domínio, incluindo seu endereço IP, para ajudar a
proteger contra domínios externos mal-intencionados.
DNS spoofing
A falsificação de DNS ou o envenenamento de cache DNS é um ataque no qual dados falsos são
introduzidos em um cache de resolvedor de DNS - o banco de dados temporário no sistema
operacional de um computador que registra visitas recentes a sites e outros domínios da Internet.

Esses ataques de veneno exploram uma fraqueza no software DNS que faz com que os servidores
DNS redirecionem o tráfego de um domínio específico para o computador do invasor.

Sequestro de domínio:
Quando um invasor obtém, por engano, o controle das informações de DNS de um alvo, ele pode
fazer alterações não autorizadas. Isso é conhecido como sequestro de domínio.

A maneira mais comum de sequestrar um nome de domínio é alterar o endereço de e-mail de

contato do administrador por meio de engenharia social ou invadir a conta de e-mail do
administrador. O endereço de e-mail do administrador pode ser facilmente encontrado pelo registro
WHOIS do domínio, que é de registro público.

Localizador uniforme de recursos (URL)

Um localizador uniforme de recursos (URL) é um identificador exclusivo para encontrar um
recurso específico na Internet. O redirecionamento de uma URL geralmente acontece para fins
legítimos.

Por exemplo, você se conectou a um portal de eLearning para iniciar este curso do Cybersecurity
Essentials. Se você sair do portal e retornar a ele outra vez, o portal o redirecionará de volta para a
página de login.

É esse tipo de funcionalidade que os invasores podem explorar. Em vez de direcioná-lo para a
página de login do eLearning, ele pode redirecioná-lo para um site mal-intencionado.

Ataques de Camada 2 :
A camada 2 refere-se à camada de link de dados no modelo de comunicação de dados Open
Systems Interconnection (OSI).

Essa camada é usada para mover dados por uma rede física vinculada. Os endereços IP são
mapeados para cada endereço de dispositivo físico (também conhecido como endereço de controle
de acesso de mídia (MAC)) na rede, usando um procedimento chamado protocolo de resolução de
endereço (ARP).

Em seus termos mais simples, o endereço MAC identifica o destinatário de um endereço IP enviado
pela rede, e o ARP resolve endereços IP para endereços MAC para transmissão de dados.

Os invasores geralmente aproveitam as vulnerabilidades nessa segurança de camada 2.

Exemplos:
1) Spoofing
Spoofing é um ataque de representação e tira proveito de uma relação de confiança entre os dois
sistemas.
 • A falsificação de endereço MAC ocorre quando um invasor disfarça seu dispositivo como
um dispositivo válido na rede e, portanto, pode ignorar o processo de autenticação.
• O ARP spoofing envia mensagens ARP falsificadas através de uma LAN. Isso vincula o
endereço MAC de um invasor ao endereço IP de um dispositivo autorizado na rede.
• O spoofing de IP envia pacotes IP com um endereço de origem falsificado para se disfarçar

2) Inundação de MAC
Os dispositivos em uma rede são conectados por um switch de rede usando o switching de pacote
para receber e encaminhar dados para o dispositivo de destino. A inundação de MAC compromete
os dados transmitidos para um dispositivo. Um invasor inunda a rede com endereços MAC falsos,
comprometendo a segurança do switch de rede.

Ataques Homem no celular e Homem no meio :

1) Homem no meio (MitM)

2) Homem no elular (MitMo)

Exemplo: ZeuS malware

Ataques de Dia Zero :

Um ataque de dia zero ou ameaça de dia zero explora vulnerabilidades de software antes que elas se
tornem conhecidas ou antes de serem divulgadas pelo fornecedor do software.

Uma rede é extremamente vulnerável a ataques entre o momento em que um exploit é descoberto
(zero hora) e o tempo que leva para o fornecedor do software desenvolver e lançar um patch que
corrija esse exploit.

A defesa contra esses ataques rápidos exige que os profissionais de segurança de rede adotem uma
visão mais sofisticada e holística de qualquer arquitetura de rede.

Registro do Teclado :
Como o nome sugere, o registro de teclado ou o registro de teclas refere-se à gravação ou ao
registro de cada tecla pressionada no teclado de um computador.

Os criminosos digitais registram as teclas digitadas por meio de software instalado em um sistema
de computador ou por dispositivos de hardware fisicamente conectados a um computador, e
configuram o software keylogger para enviar o arquivo de log para o criminoso. Como gravou todas
as teclas digitadas, esse arquivo de log pode revelar nomes de usuários, senhas, sites visitados e
outras informações confidenciais.

Muitos pacotes anti-spyware podem detectar e remover keyloggers não autorizados.

As organizações podem tomar várias medidas para se defender contra vários ataques. Estes incluem
o seguinte:

• Configure firewalls para remover quaisquer pacotes de fora da rede que tenham endereços
indicando que eles se originaram de dentro da rede.
• Verifique se as correções e atualizações estão atualizadas.
• Distribuir a carga de trabalho nos sistemas de servidor.
 • Os dispositivos de rede usam pacotes do Internet Control Message Protocol (ICMP) para
enviar mensagens de erro e controle, como se um dispositivo pode ou não se comunicar com
outro na rede. Para evitar ataques de DoS e DDoS, as empresas podem bloquear pacotes
externos de ICMP com seus firewalls.

1.4.2 Grayware e SMiShing

Grayware é qualquer aplicativo indesejado que se comporta de maneira irritante ou indesejável. E,
embora o grayware não tenha nenhum malware reconhecível, ele ainda pode representar um risco
para o usuário, por exemplo, acompanhando a sua localização ou disponibilizando publicidade
indesejável.

Os autores de grayware normalmente mantêm a legitimidade ao incluir esses recursos "cinzas" nas
letras pequenas do contrato de licença do software. Esse fator representa uma ameaça crescente à
segurança móvel, em particular, já que muitos usuários de smartphones instalam aplicativos móveis
sem levar em consideração essas letras pequenas.

O serviço de mensagem curta phishing ou SMiShing é outra tática usada pelos invasores para
enganá-lo. Mensagens de texto falsas solicitam que você acesse um site mal-intencionado ou ligue
para um número de telefone fraudulento, o que pode resultar no download de malware no
dispositivo ou no compartilhamento de informações pessoais.

1.4.3 Pontos de Acesso Não Autorizados

Apresentação de slides Selecione o próximo botão para avançar.

Um access point não autorizado é um access point sem fio instalado em uma rede segura sem
autorização explícita. Embora possa ser configurado por um funcionário bem-intencionado que
procura uma conexão sem fio melhor, ele também apresenta uma oportunidade para os invasores
que desejam obter acesso à rede de uma empresa.

Selecione as setas para saber como.

Um invasor geralmente usa táticas de engenharia social para obter acesso físico à infraestrutura de
rede de uma empresa e instalar o access point não autorizado
Também conhecido como access point de criminosos, o access point pode ser configurado como um
dispositivo MitM para capturar suas informações de login.

Isso funciona desconectando o access point não autorizado, que aciona a rede para enviar um
quadro de autenticação e desassociar o access point. Esse processo é então explorado falsificando
seu endereço MAC e enviando uma transmissão de dados de autenticação para o access point sem
fio.

Um ataque de gêmeos do mal descreve uma situação em que o access point do invasor é
configurado para parecer uma opção de conexão melhor. Depois de se conectar ao ponto de acesso
maligno, o invasor pode analisar o tráfego da rede e executar ataques MitM.

1.4.4 Interferência de Radiofrequência

Os sinais sem fio são suscetíveis a interferência eletromagnética (EMI), interferência de
radiofrequência (RFI) e até mesmo raios ou ruído de luzes fluorescentes.
Os invasores podem aproveitar esse fato bloqueando deliberadamente a transmissão de uma estação
de rádio ou satélite para impedir que um sinal sem fio chegue à estação receptora.

Para bloquear o sinal com sucesso, a frequência, a modulação e a potência do jammer de RF

precisam ser iguais às do dispositivo que o invasor está tentando interromper.

1.4.6 Bluejacking e Bluesnarfing

This component is a flipcard comprised of flippable cards containing display image. Select the front
face image to flip to the back face of these card to display associated text.

Devido ao alcance limitado do Bluetooth, o invasor deve estar dentro do alcance do alvo. Aqui
estão algumas maneiras pelas quais eles podem explorar o dispositivo de um alvo sem o
conhecimento deles.

1.4.7 Ataques Contra Protocolos Wi-Fi

A privacidade equivalente com fio (WEP) e o acesso protegido por Wi-Fi (WPA) são
protocolos de segurança projetados para proteger redes sem fio vulneráveis a ataques.

O WEP foi desenvolvido para fornecer dados transmitidos por uma rede local sem fio (WLAN)
com um nível de proteção comparável ao que é normalmente esperado de uma rede com fio
tradicional. Ela agregou segurança às redes sem fio ao criptografar os dados.

WEP usou uma chave para criptografia. O problema, no entanto, era que o WEP não dispunha de
gerenciamento de chaves e, portanto, o número de pessoas que compartilhavam a mesma chave
crescia continuamente, dando aos criminosos acesso a uma grande quantidade de dados de tráfego.
Além disso, o vetor de inicialização (IV) do WEP, um dos principais componentes de sua chave de
criptografia, era muito pequeno, legível e estático.

Para resolver isso e substituir o WEP, o WPA e o WPA2 foram desenvolvidos como protocolos de
segurança aprimorados. Ao contrário do WEP, um invasor não pode recuperar a chave de
criptografia do WPA2 observando o tráfego de rede. No entanto, eles ainda podem usar um sniffer
de pacotes para analisar os pacotes entre um ponto de acesso e um usuário legítimo.

1.4.8 Negócios de Risco

Esta é uma pergunta de múltipla escolha. Depois de selecionar uma opção, selecione o botão Enviar
abaixo

Você está tomando um café no café local e decide atualizar seus e-mails enquanto espera que seu
amigo chegue. Você tenta fazer logon no Wi-Fi do café, mas a conexão parece muito fraca.
Felizmente, há um segundo Wi-Fi com um nome semelhante, então você faz logon.

No entanto, sem que você saiba, um invasor está próximo, após ter criado um hotspot de Wi-Fi no
celular, que foi combinado com o laptop. Eles estão monitorando a atividade on-line de todos que se
conectam a esse Wi-Fi, incluindo você - que não era o Wi-Fi do café!

Que tipo de ataque é esse?

Selecione a resposta correta e clique em Enviar.

Este é um exemplo de um ataque de gêmeos do mal. O invasor configurou um hotspot de Wi-Fi
para parecer uma opção de conexão melhor para qualquer pessoa que queira acessar o Wi-Fi do
café. Depois de se conectar ao ponto de acesso maligno, o invasor pode analisar o tráfego da rede e
executar ataques MitM.

Sempre use uma rede virtual privada (VPN) para permanecer seguro em redes públicas,
especialmente se você estiver acessando dados pessoais ou informações confidenciais da empresa.

1.4.9 Wi-Fi e Defesa Móvel

Existem várias etapas que as organizações e os usuários precisam seguir para se defender contra
ataques a dispositivos móveis e sem fio. Estes incluem o seguinte:

• Aproveite os recursos básicos de segurança sem fio, como autenticação e criptografia,

alterando as configurações padrão.
• Restrinja o posicionamento de access point colocando esses dispositivos fora do firewall ou
dentro de uma zona desmilitarizada - uma rede de perímetro que protege a LAN de uma
empresa contra dispositivos não confiáveis.
• Use ferramentas WLAN como NetStumbler para detectar pontos de acesso não autorizados
ou estações de trabalho não autorizadas.
• Desenvolva uma política para acesso de convidado à rede Wi-Fi de uma empresa.
• Os funcionários de uma empresa devem usar uma VPN de acesso remoto para acesso à
WLAN.

1.5.2 Script entre sites

Script entre sites (XSS) é uma vulnerabilidade comum encontrada em muitos aplicativos da web.
Funciona assim:

1. Os criminosos digitais exploram a vulnerabilidade XSS ao injetar scripts que contêm código
mal-intencionado em uma página da Web.
2. A página da Web é acessada pela vítima, e os scripts mal-intencionados passam
inadvertidamente para o navegador.
3. O script mal-intencionado pode acessar cookies, tokens de sessão ou outras informações
confidenciais sobre o usuário, que são enviadas de volta ao criminoso digital.
4. Munido dessas informações, o criminoso digital pode se passar por um usuário.

1.5.3 Injeção de Código

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.

A maioria dos sites modernos usa um banco de dados, como um banco de dados de linguagem de
consulta estruturada (SQL) ou um XML (Extensible Markup Language), para armazenar e gerenciar
dados. Os ataques de injeção buscam explorar os pontos fracos desses bancos de dados.

Selecione os títulos para saber mais sobre alguns tipos comuns de ataques de injeção.

-Um ataque de injeção de XML pode corromper os dados no banco de dados XML e ameaçar a
segurança do site.
Ele funciona ao interferir no processamento de dados XML ou na consulta de uma aplicação
inserida por um usuário.

Os criminosos digitais podem manipular essa consulta ao programá-la para atender às suas
necessidades. Isso concederá a eles acesso a todas as informações confidenciais armazenadas no
banco de dados e permitirá que eles façam qualquer alteração no site.

-Os criminosos digitais podem realizar um ataque de injeção de SQL em sites ou em qualquer
banco de dados SQL inserindo uma instrução SQL mal-intencionada em um campo de entrada.

Esse ataque aproveita uma vulnerabilidade na qual o aplicativo não filtra corretamente os dados
inseridos por um usuário por caracteres em uma instrução SQL.

Como resultado, o criminoso digital pode obter acesso não autorizado a informações armazenadas
no banco de dados, das quais pode falsificar uma identidade, modificar dados atuais, destruir dados
ou até mesmo se tornar um administrador do próprio servidor de banco de dados.

-Um arquivo Dynamic Link Library (DLL) é uma biblioteca que contém um conjunto de códigos e
dados para realizar uma determinada atividade no Windows. Os aplicativos usam esse tipo de
arquivo para adicionar funcionalidades não incorporadas, quando precisam realizar essa atividade.

A injeção de DLL permite que um criminoso digital engane um aplicativo para chamar um arquivo
DLL mal-intencionado, que é executado como parte do processo de destino.

-O Protocolo de acesso ao diretório leve (LDAP) é um protocolo aberto para autenticar o acesso do
usuário a serviços de diretório.
Um ataque de injeção de LDAP explora vulnerabilidades de validação de entrada ao injetar e
executar consultas a servidores LDAP, dando aos criminosos digitais a oportunidade de extrair
informações confidenciais do diretório LDAP de uma empresa.

1.5.4 Estouro de Buffer

Os buffers são áreas de memórias alocadas a um aplicativo. Um estouro de buffer ocorre quando os
dados são gravados além dos limites de um buffer. Ao alterar os dados além dos limites de um
buffer, o aplicativo pode acessar a memória alocada para outros processos. Isso pode levar a uma
falha do sistema ou comprometimento de dados, ou fornecer escalação de privilégios.

Essas falhas de memória também podem oferecer aos invasores controle total sobre o dispositivo de
um alvo. Por exemplo, um invasor pode alterar as instruções de uma aplicação vulnerável enquanto
o programa está carregando na memória e, como resultado, pode instalar malware e acessar a rede
interna do dispositivo infectado.

1.5.6 Execuções Remotas de Código

This component is a flipcard comprised of flippable cards containing display image. Select the front
face image to flip to the back face of these card to display associated text.

A execução remota de código permite que um cibercriminoso aproveite as vulnerabilidades do

aplicativo para executar qualquer comando com os privilégios do usuário que executa o aplicativo
no dispositivo de destino.
A escalação de privilégios explora um bug, falha de projeto ou configuração incorreta em um
sistema operacional ou aplicativo de software para obter acesso a recursos que normalmente são
restritos.

Selecione a imagem para saber mais sobre o projeto Metasploit e as ferramentas de segurança
digital white hat desta comunidade.

O Metasploit Project é um projeto de segurança de cimputadores que fornece infomrações sobre

vulnerabilidades de segurança e auxilia no teste d epenetração. Entre as ferramentas que eles
desenvolveram está o Mtasploit Framework, que pode ser usado para desenvolver e executar código
de exploração em um alvo remoto.

O Meterpreter, em particular, é um acarga útil dentro do Metasploit que permite que os usuários
assumam o controle de um dispositivo de destino gravando suas próprias extensões e carregando
esses arquivos em um processo em execução no dispositivo. Esses arquivos são carregados e
executados a partir da memória, portanto nunca envolvem o disco rígido. Issi significa que esses
aqrquivos voam sob o radas da detecção de antivírus.

O Meterpreter tamébm possui um modulo para controlar a webcam de um sistema remoto. Quando
o Mterprter é isntalado em um dispostivo de destino, o usuário Metasploit pode visualizar e capturar
imagens da webcam do alvo.

1.5.7 Outros Ataques de Aplicativos

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.

Cada informação que um invasor recebe sobre um sistema ou aplicativo específico pode ser usada
como uma arma valiosa para iniciar um ataque perigoso.

Selecione os títulos para descobrir mais sobre outros tipos de ataques a aplicativos.

-O CSRF descreve a exploração mal-intencionada de um site onde os comandos não autorizados

são enviados do navegador de um usuário para um aplicativo da Web confiável.
Um site mal-intencionado pode transmitir esses comandos por meio de marcas de imagem,
formulários ocultos ou solicitações de JavaScript especialmente criadas, que podem funcionar sem
o conhecimento do usuário.

- Também conhecido como TOC (tempo de verificação) ou tempo de uso (TOU), um ataque de
condição de corrida acontece quando um sistema de computação projetado para lidar com tarefas
em uma sequência específica é forçado a executar duas ou mais operações simultaneamente.
Por exemplo, os sistemas operacionais são compostos de segmentos, a menor sequência de
instruções do programa necessária para realizar um processo. Quando dois ou mais encadeamentos
acessam dados compartilhados e tentam alterá-los ao mesmo tempo, ocorre um ataque de condição
de corrida.

-Ataque de trataemtno de entrada inadequado Os dados inseridos por um usuário que não é
validado corretamente podem afetar o fluxo de dados de um programa e causar vulnerabilidades
críticas em sistemas e aplicativos que resultam em estouro de buffer ou ataques de injeção de SQL.

-Ataque de trataemnto de erros Os invasores podem usar mensagens de erro para extrair
informações específicas, como nomes de host de sistemas internos e diretórios ou arquivos que
existem em um determinado servidor Web, bem como nomes de bancos de dados, tabelas e campos
que podem ser usados para criar ataques de injeção de SQL.

-Ataque de interface de programação de aplicativos API Uma API fornece uma resposta do
usuário para um sistema e envia a resposta do sistema de volta para o usuário. Um ataque de API
ocorre quando um criminoso digital abusa de um endpoint de API.

-Ataque de repetição Isso descreve uma situação em que uma transmissão de dados válida é
repetida ou retardada de forma mal-intencionada ou fraudulenta por um invasor, que intercepta,
altera e reenvia os dados para que o destinatário faça o que quiser.

-Ataque transveral de diretório A passagem de diretório ocorre quando um invasor é capaz de ler
arquivos no servidor da Web fora do diretório do site. Um invasor pode usar essas informações para
baixar arquivos de configuração do servidor que contêm informações confidenciais, expor
potencialmente mais vulnerabilidades do servidor ou até mesmo assumir o controle do servidor!

- Ataques de exaustão de recursos Esses ataques são exploits de segurança de computadores que
travam, paralisam ou interferem em um programa ou sistema específico. Em vez de sobrecarregar a
largura de banda de rede como um ataque de DoS, os ataques de exaustão de recursos
sobrecarregam os recursos de hardware disponíveis no servidor de destino.

1.5.8 O Que Você Acha?

Esta é uma pergunta de múltipla escolha. Depois de selecionar uma opção, selecione o botão Enviar
abaixo

O Guru pediu sua opinião. Parece que um invasor visou uma vulnerabilidade no serviço de
mensagens on-line da @ Apollo, que é usado para facilitar a comunicação entre funcionários que
trabalham em locais diferentes. Quando um funcionário faz uma chamada de voz, ela inunda a
memória do aplicativo, efetivamente dando ao invasor o controle sobre o dispositivo do
funcionário. Que tipo de ataque é esse?

Nesse caso, o invasor realizou um ataque de estouro de buffer. Ao escrever os limites do serviço
de mensagens on-line da @ Apollo além do buffer, eles podem efetivamente obter acesso aos
dispositivos dos funcionários toda vez que uma chamada de voz é feita usando esse aplicativo.

1.5.9 Defesa Contra Ataques de Aplicativos

Existem várias ações que você pode tomar para se defender contra um ataque de aplicativo. Você
encontrará alguns deles descritos aqui.

• A primeira linha de defesa contra um ataque de aplicativo é escrever um código sólido.

• Prática prudente de programação envolve tratar e validar todas as entradas de fora de uma
função como se fosse hostil.
• Mantenha todos os softwares atualizados, incluindo os sistemas operacionais e aplicativos, e
não ignore os prompts de atualização. Nem todos os programas são atualizados
automaticamente.

1.5.11 Spam
Spam, também conhecido como lixo eletrônico, é simplesmente um e-mail não solicitado. Na
maioria dos casos, é um método de publicidade. No entanto, muito spam é enviado em massa por
computadores infectados por vírus ou worms - e muitas vezes contém links mal-intencionados,
malware ou conteúdo enganoso que tem como objetivo enganar os destinatários na divulgação de
informações confidenciais, como um número de Previdência Social ou informações de conta
bancária.

Quase todos os provedores de e-mail filtram spam, mas ainda consomem largura de banda. E
mesmo se você tiver recursos de segurança implementados, alguns spams ainda podem chegar até
você. Fique atento aos seguintes indicadores de spam:

• O e-mail não tem assunto.

• O e-mail solicita que você atualize os detalhes da sua conta.
• O texto do e-mail tem erros de ortografia ou uma pontuação estranha.
• Links no e-mail são longos e/ou incompreensíveis.
• O e-mail parece correspondência de uma empresa legítima, mas há pequenas diferenças - ou
contém informações que não parecem relevantes para você.
• O e-mail solicita que você abra um anexo, geralmente com urgência.

Se você receber um e-mail que contenha um ou mais desses indicadores, não abra o e-mail ou
qualquer anexo. Muitas empresas têm uma política de e-mail que exige que os funcionários relatem
o recebimento desse tipo de e-mail à equipe de segurança digital para investigação adicional. Em
caso de dúvida, sempre informe.

1.5.12 Phishing
This component is a flipcard comprised of flippable cards containing display image. Select the front
face image to flip to the back face of these card to display associated text.

Phishing é uma forma de atividade fraudulenta frequentemente usada para roubar informações
pessoais.

O phishing ocorre quando um usuário é contatado por e-mail ou mensagem isntantanca por alguém
que se disfarça de pessoa ou empresa legítima. A intenção é induzir o destinatário a instalar
malware em seu dispositivo ou compartilhar informações pessoais, como credenciais de ologin ou
informaçãoes financeiras.

Spear phishing: um ataque altamente direcionado, o spear phishing envia e-mails personalizaados
par auma pessoa específica com base nas informaç~eos que o invasor conhece sobre elas.

1.5.13 Vishing, Pharming e Whaling

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.

Os criminosos usam uma ampla variedade de técnicas para tentar obter acesso às suas informações
pessoais.

Vishing
Muitas vezes chamado de phishing de voz, esse tipo de ataque faz com que os criminosos usem a
tecnologia de comunicação por voz para incentivar os usuários a divulgar informações, como
detalhes do cartão de crédito.
Os criminosos podem imitar chamadas telefônicas usando o protocolo de voz sobre internet (VoIP)
ou deixar mensagens gravadas para dar a impressão de que são chamadas legítimas.

Pharming
Esse tipo de ataque direciona deliberadamente os usuários para uma versão falsa de um site oficial.
Enganados com a crença de que estão conectados a um site legítimo, os usuários inserem suas
credenciais no site fraudulento.

Whaling é um ataque de phishing que buscam vítimas de alto perfil em uma empresa, como
executivos seniores.

1.5.14 Fugindo do Phishing...

Coincidindo Selecione nas listas e depois envie.

A @Apollo tem uma série de políticas de segurança que exigem que os funcionários denunciem
atividades suspeitas à equipe de segurança digital para investigação adicional.

O Guru solicitou que você analise algumas atividades recentes para ver se há alguma indica um
problema de segurança. Você consegue identificar que tipo de ataque cada cenário está
descrevendo?

1.5.15 Defesa Contra Ataques de E-mail e Navegador

Há muitas ações que você pode tomar para se defender contra ataques de e-mail e navegadores.
Alguns dos mais importantes estão descritos aqui.

• É difícil parar o spam, mas existem maneiras de reduzir seus efeitos:

• A maioria dos provedores de serviços de Internet (ISPs) filtra o spam antes que ele
chegue à caixa de entrada do usuário.
• Muitos programas antivírus e de software de e-mail detectam e removem
automaticamente spam perigoso de uma caixa de entrada de e-mail.
• As empresas devem educar os funcionários sobre os perigos dos e-mails não
solicitados e conscientizá-los sobre os perigos da abertura de anexos.
• Nunca presuma que os anexos de e-mail são seguros, mesmo quando vierem de um
contato confiável. Sempre verifique os anexos antes de abri-los.
• Torne-se um membro do Grupo de Trabalho Anti-Phishing (APWG). É uma associação
internacional de empresas focada na eliminação de fraudes e roubo de identidade resultantes
de phishing e falsificação de e-mail.
• Todos os softwares devem ser mantidos atualizados, com as correções de segurança mais
recentes aplicadas para proteger contra vulnerabilidades de segurança conhecidas

1.5.17 Há Mais...
Selecione os títulos para revelar mais informações sobre outros ataques comuns que os
criminosos digitais podem usar.

-Os ataques físicos são ações intencionais e ofensivas usadas para destruir, expor, alterar, desativar,
roubar ou obter acesso não autorizado à infraestrutura ou ao hardware de uma empresa.

Exemplos de ataques físicos incluem:

 • Carregamento de malware em uma unidade flash USB que infecta um dispositivo quando
conectado.
• Montagem de cabos e plugues, como cabos USB genéricos, cabos de carregamento de
dispositivos móveis e adaptadores de energia ou parede com tecnologias avançadas, como
um chip sem fio, para permitir que um invasor controle ou forneça instruções a um
dispositivo.
• Copiar ou extrair dados de um cartão de crédito ou débito usando um terminal especializado
para criar um cartão clonado, que pode ser usado para obter acesso não autorizado às contas
da vítima.

-Ataques adversos a inteligência artificial O aprendizado de máquina é um método de automação

que permite que os dispositivos realizem análises e executem tarefas sem serem especificamente
programados para isso. Ele funciona com muitos dos aplicativos que usamos hoje, como pesquisa
na Web, marcação de fotos, detecção de spam, vigilância por vídeo, detecção de fraude e
automação de segurança.
A aprendizagem de máquina usa modelos matemáticos para prever resultados. No entanto, esses
modelos dependem dos dados inseridos. Se os dados estiverem infectados, poderão ter um impacto
negativo no resultado previsto. Os invasores podem aproveitar isso para realizar ataques contra
algoritmos de aprendizagem de máquina. Por exemplo, usar dados corrompidos para enganar um
veículo autônomo e interpretar mal as placas de rua.

-Ataques a cadeia de fornecimento Muitas empresas interagem com terceiros para gerenciar seus
sistemas ou comprar componentes e software. As empresas podem até depender de peças ou
componentes de fontes estrangeiras.
Os invasores geralmente encontram maneiras de interceptar essas cadeias de fornecimento. Por
exemplo, o software pode se basear em contratos de suporte específicos e estar sujeito a uma data
de fim de vida útil (EOL). Alterar essa data pode significar que uma empresa não está mais
qualificada para obter suporte de serviço e manutenção.

-Ataques de nuvem Em vez de desenvolver sistemas em suas próprias instalações, mais e mais
empresas estão se movendo em direção à computação em nuvem, como discutimos anteriormente
neste módulo.
A vantagem é que o provedor de nuvem vai manter o equipamento, mas isso também abre uma
empresa para uma série de ameaças potenciais. Os invasores estão constantemente aproveitando
formas de explorar dados confidenciais armazenados na nuvem, bem como aplicações, plataformas
e infraestrutura baseada em nuvem, como vimos com SaaS, PaaS e IaaS.

1.6.1 O Que Aprendi Neste Módulo?

Lista de seções expansíveis. Selecione cada botão para expandir o conteúdo.
Clique no cabeçalho para ver um resumo dos tópicos cobertos nesse módulo.

Um domínio de ameaça é uma área de controle, autoridade ou proteção que os invasores podem
explorar para obter acesso a um sistema. As categorias de ameaças digitais incluem ataques e erros
de software, sabotagem, erro humano, roubo, falhas de hardware, interrupção de serviços públicos e
desastres naturais. As ameaças internas são geralmente realizadas por funcionários atuais ou antigos
e por outros parceiros de contrato. A fonte de uma ameaça externa geralmente vem de invasores
amadores ou qualificados que podem explorar vulnerabilidades em dispositivos de rede ou usar
técnicas de engenharia social. Um domínio de usuário inclui qualquer pessoa com acesso ao sistema
de informações de uma organização. As ameaças comuns aos usuários incluem políticas de
segurança mal aplicadas, roubo de dados, mídia e downloads não autorizados, VPNs e sites não
autorizados e destruição de sistemas, aplicativos ou dados. Dispositivos individuais, LANs e nuvens
públicas e privadas também são vulneráveis a ataques. Há ameaças complexas, como um APT e um
ataque de algoritmo. Os criminosos digitais usam programas de backdoor para obter acesso não
autorizado a um sistema ignorando os procedimentos normais de autenticação. Backdoors
concedem aos cibercriminosos acesso contínuo a um sistema, mesmo que a organização tenha
corrigido a vulnerabilidade original usada para atacar o sistema. A maioria dos rootkits explora
vulnerabilidades de software para obter acesso a recursos e modificar arquivos do sistema. Os
Rootkits também podem modificar as ferramentas forenses e de monitoramento do sistema,
tornando-os muito difíceis de detectar.

Uma teia escura é um conteúdo da Web criptografado que não é indexado por mecanismos de
pesquisa convencionais e requer software, autorização ou configurações específicas para acessar.
IOCs, como assinaturas de malware ou nomes de domínio, fornecem evidências de violações de
segurança. O AIS permite a troca em tempo real de indicadores de ameaças de segurança digital
usando linguagens padronizadas e estruturadas chamadas STIX e TAXII.

-A engenharia social é uma estratégia não técnica que tenta manipular indivíduos para realizar
determinadas ações ou divulgar informações confidenciais. Pretexting é quando um indivíduo
mente para obter acesso a dados privilegiados. Os ataques de contrapartida são uma solicitação de
informações pessoais em troca de algo. Fraude de identidade é usar a identidade roubada de uma
pessoa para obter bens ou serviços por meio de engano.
As táticas de engenharia social incluem se passar por uma figura de autoridade, intimidação,
consenso ("todo mundo está fazendo isso"), fingir que algo é escasso ou que uma situação é
urgente, criando familiaridade e confiança com um funcionário para, eventualmente, aproveitá-la no
acesso. A ressaca é olhar sobre a ressaca do alvo para obter informações valiosas, como PINs,
códigos de acesso ou detalhes de cartão de crédito. Os criminosos nem sempre precisam estar perto
de suas vítimas para escapar da onda, eles podem usar binóculos ou câmeras de segurança para
obter essas informações. O mergulho no lixo está passando pelo lixo de um alvo para ver quais
informações foram jogadas fora. Piggybacking ou tailgating é quando um criminoso segue uma
pessoa autorizada para obter entrada física em um local seguro ou em uma área restrita. Outros
métodos de engano incluem fraudes de faturas, ataques de watering hole, typosquatting, prepending
e campanhas de influência.

As organizações precisam promover a conscientização sobre as táticas de engenharia social e

educar adequadamente os funcionários sobre as medidas de prevenção.

-Malware é qualquer código que pode ser usado para roubar dados, contornar controles de acesso,
causar danos ou comprometer um sistema. Um vírus é um tipo de programa de computador que,
quando executado, se replica e se anexa a outros arquivos inserindo seu próprio código nele. Um
worm é um programa de software malicioso que se replica explorando independentemente
vulnerabilidades nas redes. Um Trojan (Cavalo de Tróia) é um malware que realiza operações
maliciosas mascarando sua verdadeira intenção. Uma bomba lógica é um programa malicioso que
espera por um gatilho para detonar o código malicioso. Ransomware é projetado para manter um
sistema de computador ou os dados que ele contém cativos até que um pagamento seja feito. Os
ataques de DoS funcionam criando uma quantidade enorme de tráfego ou enviando pacotes mal-
intencionados que não podem ser identificados por um aplicativo, fazendo com que o dispositivo
receptor funcione lentamente ou trava. Os ataques DDoS são semelhantes, mas se originam de
várias fontes coordenadas. Os ataques de DNS incluem spoofing e sequestro.
Os ataques de camada 2 incluem endereço MAC, spoofing de IP e ARP, inundação de MAC,
homem no celular e homem no meio. Os ataques de dia zero exploram vulnerabilidades de software
antes que elas se tornem conhecidas. O registro de teclado (keylogging) registra pressionamentos de
teclas e configura o software keylogger para enviar o arquivo de log para o criminoso. Esse arquivo
de log pode revelar nomes de usuário, senhas, sites visitados etc.

Para se defender contra esses ataques, use firewalls, mantenha-se atualizado sobre atualizações e
correções, distribua a carga de trabalho entre sistemas de servidor e bloqueie pacotes ICMP
externos com firewalls.

-Grayware é um aplicativo indesejado que se comporta de maneira irritante ou indesejável.

SMiShing são mensagens de texto falsas que solicitam que você acesse um site mal-intencionado ou
ligue para um número de telefone fraudulento, o que pode resultar no download de malware no
dispositivo. Um ponto de acesso não autorizado é um ponto de acesso sem fio instalado em uma
rede segura sem autorização. Um ataque de gêmeos do mal é onde o access point do invasor é
configurado para parecer uma opção de conexão melhor. O congestionamento de radiofrequência
está congestionando deliberadamente a transmissão de uma estação de rádio ou satélite para impedir
que um sinal sem fio chegue à estação receptora.
Bluejacking envia mensagens não autorizadas ou imagens chocantes para outro dispositivo
Bluetooth. Bluesnarfing é quando um invasor copia informações do dispositivo de um alvo usando
Bluetooth. WEP e WPA são protocolos de segurança projetados para proteger redes sem fio. O
WPA2 é um protocolo de segurança aprimorado. Ao contrário do WEP, um invasor não pode
recuperar a chave de criptografia do WPA2 observando o tráfego de rede.

Para se defender contra ataques a dispositivos móveis e sem fio: altere as configurações padrão.
Restrinja o posicionamento do access point colocando esses dispositivos fora do firewall ou em uma
DMZ. Use ferramentas de WLAN para detectar access points não autorizados ou estações de
trabalho não autorizadas. Tenha uma política para acesso de convidado a uma rede Wi-Fi. Os
funcionários devem usar uma VPN de acesso remoto para acesso à WLAN.

-XSS é uma vulnerabilidade encontrada em muitos aplicativos da web. Os tipos de ataques de

injeção de código incluem XML, SQL, DLL e LDAP. Um estouro de buffer ocorre quando os
dados são gravados além dos limites de um buffer. A execução remota de código está explorando as
vulnerabilidades do aplicativo para executar qualquer comando com os privilégios do usuário
autorizado. Outros ataques a aplicativos incluem CSRF, condição de corrida, tratamento de entrada
incorreto, tratamento de erro, API, reprodução, passagem de diretório e esgotamento de recursos.
Escreva um código sólido para se defender contra ataques a aplicativos. Trate e valide toda a
entrada de fora de uma função como se fosse hostil. Mantenha todos os softwares atualizados. Spam
é um e-mail não solicitado que geralmente é um método de publicidade. Alguns spam são enviados
em massa por computadores infectados por vírus ou worms. Phishing é quando um usuário é
contatado por e-mail ou mensagem instantânea por um agente de ameaças que se disfarça de pessoa
legítima. O spear phishing envia e-mails personalizados para uma pessoa específica com base nas
informações que o invasor conhece sobre elas. Outros golpes comuns incluem vishing, farmácia e
caça às baleias. Outros tipos de ataques incluem ataques físicos a equipamentos, ataques adversários
de inteligência artificial, ataques à cadeia de fornecimento e ataques na nuvem.

Use um software antivírus para se defender contra ataques de e-mail e navegadores. Nunca assuma
que os anexos de e-mail são seguros. Sempre verifique os anexos antes de abri-los. Torne-se um
membro do Grupo de Trabalho Anti-Phishing (APWG). Todos os softwares devem ser mantidos
atualizados.

Pergunta 1
Questão de múltipla escolha

Que tipo de ataque de aplicativo ocorre quando os dados ultrapassam as áreas de memória alocadas
para o aplicativo?

Buffer overflow

Pergunta 2
Questão de múltipla escolha

Qual das seguintes afirmações descreve um ataque distribuído de negação de serviço (DDoS)?

Um botnet de zumbis, coordenado por um invasor, sobrecarrega um servidor com ataques de DoS

Pergunta 3
Questão de múltipla escolha

Os funcionários de uma empresa relatam que o acesso à rede é lento. Uma investigação mais
aprofundada revela que um funcionário baixou um programa de digitalização de terceiros para a
impressora.

Que tipo de malware pode ter sido introduzido?

Worm

Pergunta 4
Questão de múltipla escolha

Os funcionários de uma empresa relatam que não podem acessar o banco de dados de clientes no
servidor principal. Uma investigação mais aprofundada revela que o arquivo de banco de dados
agora está criptografado. Pouco depois, a organização recebe um e-mail ameaçador exigindo o
pagamento pela descriptografia do arquivo do banco de dados.

Qual tipo de ataque a empresa está sofrendo?

Ransomware

Pergunta 5
Questão de múltipla escolha
Um teste de penetração realizado por uma empresa identificou um backdoor na rede. Que ação a
organização deve tomar para descobrir se seus sistemas foram comprometidos?

Procurar por contas não autorizadas

Pergunta 6
Questão de múltipla escolha

Que método não técnico um cibercriminoso pode usar para coletar informações confidenciais de
uma organização?

Pharming

Pergunta 7
Questão de múltipla escolha

Uma secretária recebe um telefonema de alguém alegando que seu gerente está prestes a fazer uma
apresentação importante, mas os arquivos da apresentação estão corrompidos.

O chamador pede severamente que a secretária envie a apresentação por e-mail imediatamente para
um endereço de e-mail pessoal. O interlocutor também afirma que o secretário está sendo
responsabilizado pessoalmente pelo sucesso desta apresentação.

Que tipo de tática de engenharia social o chamador está usando?

Intimidação

Pergunta 8
Questão de múltipla escolha

Os funcionários de uma empresa recebem um e-mail informando que a senha da conta irá expirar
imediatamente, e que é necessário redefinir uma senha dentro de 5 minutos.

Qual das afirmações a seguir descreve melhor a segurança cibernética?

É um ataque de DdoS

Pergunta 9
Questão de múltipla escolha

Quais são as três melhores práticas que podem ajudar a defender contra-ataques de engenharia
social?

Selecione as três respostas corretas

Resista à tentação de clicar em links atraentes da web

Não forneça redefinições de senha em uma janela de bate-papo
Educar os funcionários sobre as políticas de segurança
Pergunta 10
Questão de múltipla escolha

Qual opção é um ataque de imitação que se aproveita de uma relação de confiança entre dois
sistemas?

Spoofing

Pergunta 11
Questão de múltipla escolha

Um criminoso virtual envia uma série de pacotes formatados maliciosamente para o servidor de
banco de dados.

Que tipo de ataque é esse?

DoS

Pergunta 12
Questão de múltipla escolha

A conscientização e a identificação de vulnerabilidades são funções essenciais para um especialista

em segurança cibernética. Quais dos seguintes recursos eles podem usar para identificar detalhes
específicos sobre vulnerabilidades?

banco de dados nacional CVE