Anda di halaman 1dari 41

Universidade Regional Integrada - URI Curso de Cincia da Computao

Segurana e Riscos na Web

Jonas Mayer, Getulio

Golpes na Internet

Furto de identidade
O furto de identidade, ou identity theft, o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade,.Alguns casos de furto de identidade podem ser considerados como crime contra a f pblica, tipificados como falsa identidade. Na Internet isto tambm pode ocorrer, caso algum crie um perfil em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens se passando por voc ou falsifique os campos de e-mail, fazendo parecer que ele foi enviado por voc.

Furto de identidade
Preveno: A melhor forma de impedir que sua identidade seja furtada evitar que o impostor tenha acesso aos seus dados as suas contas de usurio. Alm disto, para evitar que suas senhas sejam obtidas e indevidamente usadas, muito importante que voc seja cuidadoso, tanto ao us-las quanto ao elabor-las.

Fraude de antecipao de recursos


A fraude de antecipao de recursos, ou advance fee fraud, aquela na qual um golpista procura induzir uma pessoa a fornecer informaes confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefcio.

Fraude de antecipao de recursos


Exemplos:

Loteria internacional Crdito fcil

Oferta de emprego

Fraude de antecipao de recursos


Preveno:

Uma mensagem deste tipo, geralmente, possui caractersticas como:


oferece quantias astronmicas de dinheiro;

solicita sigilo nas transaes;


solicita que voc a responda rapidamente;

apresenta palavras como urgente e confidencial no campo de assunto;

apresenta erros gramaticais e de ortografia

Fraude de antecipao de recursos


Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para confirmar que o seu endereo de e-mail vlido. Esta informao pode ser usada, por exemplo, para inclu-lo em listas de spam ou de possveis vtimas em outros tipos de golpes.

Phishing
Phishing, phishing-scam ou phishing/scam, o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usurio, pela utilizao combinada de meios tcnicos e engenharia social.

Phishing
Exemplos:
Pginas falsas de comrcio eletrnico ou Internet Banking

Pginas falsas de redes sociais ou de companhias areas


Mensagens contendo formulrios

Mensagens contendo links para cdigos maliciosos

Solicitao de recadastramento

Phishing
Preveno: fique atento a mensagens, recebidas em nome de alguma instituio, que tentem induzi-lo a fornecer informaes, instalar/executar programas ou clicar em links;

questione-se por que instituies com as quais voc no tem contato esto lhe enviando mensagens,

fique atento a mensagens que apelem demasiadamente pela sua ateno e que, de alguma forma, o ameacem caso voc no execute os procedimentos descritos;

no considere que uma mensagem confivel com base na confiana que voc deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada ;

Phishing
seja cuidadoso ao acessar links. Procure digitar o endereo diretamente no navegador Web;

verifique o link apresentado na mensagem.

utilize mecanismos de segurana, como programas antimalware, firewall pessoal e filtros antiphishing;

verifique se a pgina utiliza conexo segura.

Pharming
Pharming um tipo especfico de phishing que envolve a redireo da navegao do usurio para sites falsos, por meio de alteraes no servio de DNS (Domain Name System). Neste caso, quando voc tenta acessar um site legtimo, o seu navegador Web redirecionado, de forma transparente, para uma pgina falsa.

Pharming
Preveno:

desconfie se, ao digitar uma URL, for redirecionado para outro site

desconfie imediatamente caso o site de comrcio eletrnico ou Internet Banking que voc est acessando no utilize conexo segura.

observe se o certificado apresentado corresponde ao do site verdadeiro .

Golpes de comrcio eletrnico

Golpe do site de comrcio eletrnico fraudulento


Neste golpe, o golpista cria um site fraudulento, com o objetivo especfico de enganar os possveis clientes que, aps efetuarem os pagamentos, no recebem as mercadorias.

Golpe do site de comrcio eletrnico fraudulento


Preveno:
faa uma pesquisa de mercado e desconfie caso ele seja muito abaixo dos praticados pelo mercado;

pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opinio de outros clientes;

acesse sites especializados em tratar reclamaes de consumidores insatisfeitos, para verificar se h reclamaes referentes a esta empresa;

fique atento a propagandas recebidas atravs de spam;;

procure validar os dados de cadastro da empresa no site da Receita Federal;

no informe dados de pagamento caso o site no oferea conexo segura ou no apresente um certificado confivel ;

Golpe envolvendo sites de compras coletivas


Sites de compras coletivas tm sido muito usados em golpes de sites de comrcio eletrnico fraudulentos.Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras coletivas e, assim, conseguir grande quantidade de vtimas em um curto intervalo de tempo.

Golpe envolvendo sites de compras coletivas


Preveno:
procure no comprar por impulso apenas para garantir o produto ofertado;

seja cauteloso e faa pesquisas prvias, pois h casos de produtos anunciados com desconto, mas que na verdade, apresentam valores superiores aos de mercado;

pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opinio de outros clientes e observar se foi satisfatria a forma como os possveis problemas foram resolvidos;

Golpe do site de leilo e venda de produtos


O golpe do site de leilo e venda de produtos aquele, por meio do qual, um comprador ou vendedor age de m-f e no cumpre com as obrigaes acordadas ou utiliza os dados pessoais e financeiros envolvidos na transao comercial para outros fins.

Golpe do site de leilo e venda de produtos


Preveno:

faa uma pesquisa de mercado, e desconfie caso ele seja muito abaixo dos praticados pelo mercado; acesse sites especializados em tratar reclamaes de consumidores insatisfeitos utilize sistemas de gerenciamento de pagamentos procure confirmar a realizao de um pagamento diretamente em sua conta bancria ou pelo site do sistema de gerenciamento de pagamentos verifique a reputao do usurio acesse os sites diretamente mesmo com o cdigo de rastreamento fornecido pelos Correios, no comprove o envio e libere o pagamento

Boato
Um boato, ou hoax, uma mensagem que possui contedo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituio, empresa importante ou rgo governamental. Por meio de uma leitura minuciosa de seu contedo, normalmente, possvel identificar informaes sem sentido e tentativas de golpes, como correntes e pirmides.

Boato
Preveno: Um boato, geralmente, apresenta pelo menos uma das seguintes caractersticas6:

afirma no ser um boato;


sugere consequncias trgicas caso uma determinada tarefa no seja realizada; promete ganhos financeiros ou prmios mediante a realizao de alguma ao; apresenta erros gramaticais e de ortografia; apresenta informaes contraditrias;

enfatiza que ele deve ser repassado rapidamente para o maior nmero de pessoas;
j foi repassado diversas vezes

Ataques na Internet

Explorao de vulnerabilidades
Um ataque de explorao de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar aes maliciosas, como invadir um sistema, acessar informaes confidenciais, disparar ataques contra outros computadores ou tornar um servio inacessvel.

Varredura em redes (Scan)


Varredura em redes, ou scan, uma tcnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informaes sobre eles como, por exemplo, servios disponibilizados e programas instalados. Com base nas informaes coletadas possvel associar possveis vulnerabilidades aos servios disponibilizados e aos programas instalados nos computadores ativos detectados.

Falsificao de e-mail (E-mail spoofing)


Falsificao de e-mail, ou e-mail spoofing, uma tcnica que consiste em alterar campos do header de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
Ataques deste tipo so bastante usados para propagao de cdigos maliciosos, envio de spam e em golpes de phishing.

Interceptao de trfego (Sniffing)


Interceptao de trfego, ou sniffing, uma tcnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas especficos chamados de sniffers.

Fora bruta (Brute force)


Um ataque de fora bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usurio e senha e, assim, executar processos e acessar sites, computadores e servios em nome e com os mesmos privilgios deste usurio.

Desfigurao de pgina (Defacement)


Desfigurao de pgina, defacement ou pichao, uma tcnica que consiste em alterar o contedo da pgina Web de um site.

Negao de servio (DoS e DDoS)


Negao de servio, ou DoS (Denial of Service), uma tcnica pela qual um atacante utiliza um computador para tirar de operao um servio, um computador ou uma rede conectada Internet. Quando utilizada de forma coordenada e distribuda, ou seja, quando um conjunto de computadores utilizado no ataque, recebe o nome de negao de servio distribudo, ou DDoS (Distributed Denial of Service).

Mecanismos de segurana

Poltica de segurana
A poltica de segurana define os direitos e as responsabilidades de cada um em relao segurana dos recursos computacionais que utiliza e as penalidades s quais est sujeito, caso no a cumpra.

Poltica de senhas

Poltica de backup
Poltica de privacidade

Poltica de confidencialidade

Poltica de uso aceitvel (PUA) = Termos de Uso

Contas e senhas
Contas e senhas so atualmente o mecanismo de autenticao mais usado para o controle de acesso a sites e servios oferecidos pela Internet.

Criptografia
Usando criptografia voc pode proteger seus dados contra acessos indevidos, tanto os que trafegam pela Internet como os j gravados em seu computador.

Cpias de segurana (Backups)


Backups so extremamente importantes, pois permitem:

Proteo de dados Recuperao de verses Arquivamento

Registro de eventos (Logs)


Log5 o registro de atividade gerado por programas e servios de um computador. Ele pode ficar armazenado em arquivos, na memria do computador ou em bases de dados.

Ferramentas antimalware
Ferramentas antimalware so aquelas que procuram detectar e, ento, anular ou remover os cdigos maliciosos de um computador. Antivrus, antispyware, antirootkit e antitrojan so exemplos de ferramentas deste tipo.

Firewall pessoal
Firewall pessoal um tipo especfico de firewall que utilizado para proteger um computador contra acessos no autorizados vindos da Internet.

Filtro antispam
Os filtros antispam j vem integrado maioria dos Webmails e programas leitores de e-mails e permite separar os e-mails desejados dos indesejados (spams).

Bibliografia
[CERT.br] Centro de Estudos, Respostas e Tratamento de Incidentes de Segurana no Brasil; Cartilha de Segurana para a Web
[OWASP] The Open Web Application Security Project (OWASP); www.owasp.org