CÓDIGO DA DISCIPLINA: DEE345

SEGURANÇA DIGITAL - Aula 3

Prof. Jéfer Benedett Dörr

Departamento de Engenharias e Exatas - UFPR/Palotina

Docente de Segurança da Informação

Aula 3: Comportamento Seguro no Ambiente Digital – Golpes, Fraudes e Políticas

1. Projeto “Seja Incrível na Internet”

O projeto “Seja Incrível na Internet” ensina comportamentos éticos e seguros no mundo virtual, com foco na educação digital desde cedo. Promove educação digital interativa, com foco em crianças e adolescentes, mas também aplicável a universitários. Esta seção expande as atividades com práticas técnicas, casos reais e reflexões sobre tendências emergentes em segurança digital. “Interland” do Google.

Objetivos: Conscientizar sobre dados pessoais, comportamento responsável e cidadania digital.
Conscientizar sobre proteção de dados pessoais e reconhecimento de deepfakes gerados por IA.
Desenvolver habilidades técnicas para verificar a segurança de dispositivos e redes.
Promover debates éticos sobre o impacto do compartilhamento de dados online.
Atividades:
- Navegar por cenários, ilhas, de Interland, aprendendo a identificar informações sensíveis.
- Debates em grupo sobre exemplos de comportamentos adequados e inadequados.
- Roda de conversa sobre privacidade: “O que você compartilha online?”
- Desafio de Cidadania Digital: Crie uma campanha para redes sociais com slogans (ex.: “Pense duas vezes, clique com certeza!”) e vídeos curtos baseados nos princípios do Interland.
- Oficina de Segurança: Configure um ambiente controlado para simular um ataque de phishing em sala, usando um e-mail fictício. Peça aos alunos para identificar pistas (ex.: URLs encurtadas, erros ortográficos).
Material de Apoio: Plataforma Interland (Google), vídeos explicativos e cartilhas didáticas.

Comandos Técnicos:

Verificar conexões suspeitas (Windows): Execute netstat -an | findstr ESTABLISHED no Prompt de Comando para listar conexões ativas e identificar IPs suspeitos.
Checar permissões de apps (Android/iOS): Acesse Configurações > Privacidade > Gerenciador de Permissões e analise quais aplicativos acessam microfone, câmera ou localização. Revogue permissões desnecessárias.
Verificar integridade de arquivos: Use certutil -hashfile arquivo.exe SHA256 (Windows) ou sha256sum arquivo.tar.gz (Linux) para comparar hashes de downloads e detectar alterações maliciosas.

2. Golpes e Fraudes

Este tópico aborda diversos golpes e fraudes que ocorrem no ambiente digital, golpes emergentes, com exemplos reais, comandos técnicos e estratégias de prevenção, conectando aos conceitos da Lei Carolina Dieckmann (Lei nº 12.737/2012) e LGPD. O site Fraudes.org pode ser consultado para exemplos reais e estatísticas atualizadas.

2.1 Golpe da Nigéria (419 Scam)

Definição: É um tipo de “fraude de antecipação de pagamentos” (Advance Fee Fraud).
Como Funciona:
1. Você recebe um e-mail de uma suposta instituição (ex.: Banco Central da Nigéria), solicitando que seja intermediário em grande transferência internacional de fundos (milhões de dólares).
2. Prometem uma alta porcentagem do valor como recompensa.
3. Para “concluir a transação”, são exigidos pagamentos antecipados para cobrir taxas de transferência, advogados, etc.
4. Após esses pagamentos, o golpista desaparece.
Origem do Nome: “419” refere-se ao artigo 419 do Código Penal nigeriano, equivalente ao artigo 171 do Código Penal brasileiro (estelionato).
Características Comuns: Uso de termos como “URGENTÍSSIMO” e “CONFIDENCIAL” no assunto do e-mail, pedidos de rapidez e sigilo.
Dicas de Prevenção: Sempre pergunte “Por que eu fui escolhido?”; desconfie de promessas financeiras fáceis e verifique a reputação do remetente.

2.2 Phishing

Definição: Ataque que visa enganar o usuário para obter credenciais ou dados bancários, geralmente por e-mail falso ou site clonado.
Mecanismos:
- E-mail Spoofing: O atacante forja o endereço de remetente para parecer confiável.
- Sites Falsos: Páginas que imitam visualmente bancos ou empresas, solicitando login e senha.
- Urgência e Medo: Mensagens com assuntos como “Conta bloqueada” ou “Pagamento pendente” para induzir ação rápida.
Semelhança com Golpe da Nigéria: Ambos utilizam urgência e palavras como “URGENTÍSSIMO” e “CONFIDENCIAL” para manipular emocionalmente a vítima.
Dicas de Identificação:
- Verificar o domínio do link antes de clicar (hover sobre o link para conferir).
- Confirmar diretamente no site oficial ou por outro canal de contato (telefone, app oficial).
- Não fornecer dados sensíveis sem antes checar a autenticidade do remetente.

2.3 Boato (Hoax)

Definição: Histórias falsas ou “embustes” que circulam por e-mail, redes sociais ou aplicativos de mensagem.
Conteúdo Típico: Correntes com apelos dramáticos (sentimentais, religiosos ou filantrópicos) ou ameaças de vírus que “apagarão todo o disco rígido”.
Exemplos:
- Promessas de cirurgias pagas por empresas em troca de encaminhar a mensagem.
- Alertas falsos de vírus que não existem.
- Pedidos de compartilhamento massivo para “ajudar” alguém.
Fascículo Boatos (CERT.br): Guia para identificar e combater boatos. Alerta que quem repassa pode ser responsabilizado por danos e perder credibilidade.
Dicas de Prevenção:
- Verificar fontes oficiais antes de compartilhar.
- Questionar a veracidade de mensagens que pedem compartilhamento em massa.
- Consultar o “Fascículo Boatos” do CERT.br para orientações práticas.

2.4 Golpe do Pix

Definição: Fraude que usa mensagens falsas de “atualização cadastral” ou QR Codes maliciosos para roubar chaves Pix ou dados bancários.
Mecanismo: Criminosos enviam SMS ou WhatsApp com links para sites falsos, induzindo a vítima a inserir credenciais.
Caso Real: Em 2021, o Banco do Estado de Sergipe teve 395 mil chaves Pix vazadas após um ataque de engenharia social, resultando em transferências não autorizadas de R$ 2 milhões.
Prevenção:
- Confirme solicitações diretamente no app oficial do banco.
- Use curl -I https://site-suspeito.com para verificar redirecionamentos em links recebidos.
- Ative autenticação de dois fatores (2FA) no app bancário.

2.5 Vishing (Phishing por Voz)

Definição: Chamadas telefônicas fraudulentas, muitas vezes com vozes geradas por IA, para extrair dados sensíveis.
Exemplo: Em 2024, golpistas usaram IA para imitar vozes de parentes, pedindo transferências urgentes. Segundo a SAS, 90% dos ataques envolveram vishing.
Prevenção:
- Desconfie de chamadas inesperadas solicitando dados.
- Use whois numero.com para verificar números VoIP suspeitos.
- Confirme a identidade por outros canais (ex.: mensagem direta).

2.6 DeepNude e Manipulação de Imagens

Definição: Uso de IA para criar imagens ou vídeos falsos, como o software DeepNude, que gera nudez falsa, violando privacidade.
Caso Real: Em 2023, uma estudante universitária brasileira teve fotos manipuladas por IA, disseminadas em redes sociais, causando danos emocionais.
Conexão Legal: A Lei Carolina Dieckmann criminaliza a disseminação de conteúdo obtido por invasão de dispositivo (pena: 3 meses a 1 ano).
Prevenção: Evite compartilhar fotos pessoais em plataformas não seguras. Use ferramentas como Deepware Scanner para detectar manipulações.

2.7 Comandos Técnicos para Detecção

Verificar e-mails: Use dig +short dominio.com MX (Linux) ou nslookup -type=MX dominio.com (Windows) para checar servidores de e-mail e identificar remetentes falsos.
Analisar URLs: Execute curl -s -L https://site-suspeito.com | grep -i redirect para detectar redirecionamentos maliciosos.
Inspecionar certificados: Use openssl s_client -connect site.com:443 -showcerts para verificar a cadeia de certificados SSL.
Monitorar tráfego: Use tcpdump -i eth0 port 80 (Linux, com permissão root) para capturar tráfego HTTP suspeito em redes locais.

2.8 Casos Reais

Lojas Renner (2021): Um ataque de ransomware bloqueou servidores, exigindo resgate de US$ 1 milhão. A empresa recusou pagamento, mas enfrentou 3 dias de paralisação.
Golpe do Imposto de Renda (2023): Apps falsos em lojas oficiais roubaram dados de 10 mil contribuintes, como relatado por Guilherme Guidi na Folha de S.Paulo.
Falso site de ingressos (2024): Um site clonado para shows de Caetano Veloso enganou 500 fãs, com prejuízo médio de R$ 300 por vítima.
Caso Carolina Dieckmann (2011): Invasão do computador da atriz vazou 36 fotos íntimas, levando à Lei nº 12.737/2012, que tipifica invasão de dispositivos (pena: 3 meses a 1 ano).
Banco Inter (2018): Vazamento de 19 mil contas, incluindo senhas, resultou em multa de R$ 1 milhão por violação da LGPD.
Ministério da Saúde (2021): Ataque excluiu dados do portal Conecte SUS, atrasando emissão de cartões de vacina.

Atividade Prática: Simule um e-mail de phishing em sala (modelo fictício com URL como https://banco-falso.com). Usar o VirusTotal para analisar a URL e identificar pistas de fraude (ex.: domínio recente, erros no texto).

3. Cartilha de Comércio Eletrônico

Boas práticas e precauções para compras online, para proteger consumidores contra golpes e fraudes:

Verifique a Reputação do Site: Busque avaliações de usuários, selos de segurança (Ex.: HTTPS, cadeado verde).
Desconfie de Ofertas Muito Abaixo do Preço de Mercado: Preços extremamente baixos podem indicar fraude ou produto inexistente.
Use Métodos de Pagamento Confiáveis: Cartão de crédito com possibilidade de estorno, sistemas de pagamento reconhecidos (PayPal, Pix).
Proteja seus Dados Pessoais: Não forneça CPF, RG ou senhas em sites sem autenticação confiável.
Analise a Política de Troca e Devolução: Prefira lojas que ofereçam garantia de devolução e suporte ao cliente eficiente.
Fascículo “Comércio Eletrônico”: Documento do CERT.br contendo dicas para identificar sites falsos, verificar URLs e reconhecer certificados SSL falsos.
Monitoramento de Transações: Consulte regularmente extratos bancários e “fatura” do cartão para identificar cobranças suspeitas.

Comandos para Segurança:
- Verificar HTTPS: Execute openssl s_client -connect site.com:443 -showcerts | grep "issuer" para confirmar a autoridade certificadora do site.
- Monitorar transações: Use grep -i "transação não reconhecida" extrato.txt em um extrato fictício para filtrar movimentações suspeitas.
- Checar domínio: Use whois dominio.com para verificar a data de registro e a legitimidade de um site de compras.
Notícias Recentes:
- Em 2023, o Correio Braziliense relatou sites falsos clonando plataformas como Mercado Livre, usando URLs quase idênticas (ex.: “mercadolivre-br.com”).
- Segundo a Kaspersky 2024, 34% dos brasileiros foram alvos de golpes em compras online, com prejuízo médio de R$ 500 por vítima.
Casos Reais:
- C&A (2018): Vazamento de 2 milhões de dados de clientes via sistema de vales-presente, violando a LGPD. A empresa foi multada em R$ 2,5 milhões.
- Americanas (2022): Um ataque de phishing direcionado a clientes expôs dados de 1,2 milhão de usuários, explorando e-mails falsos de “confirmação de compra”.
Atividade Prática: Forneça uma lista de 5 URLs (ex.: https://loja-segura.com, https://loja-falsa.xyz) e peça aos alunos para classificá-las como seguras ou suspeitas, usando Who.is, verificação de HTTPS e avaliações de usuários no Reclame Aqui.

4. Política Nacional de Segurança da Informação (PNSI)

A PNSI (Decreto nº 9.637/2018) estabelece diretrizes para segurança da informação, complementada pela Estratégia Nacional de Segurança da Informação (ENSI) e coordenada pelo Comitê Gestor de Segurança da Informação (CGSI). Esta seção conecta a PNSI a casos reais e práticas técnicas.

Objetivos Principais:
- Definir regras para proteção de dados e ativos de informação.
- Estabelecer responsabilidades e processos internos de segurança.
- Orientar a implementação de controles técnicos e administrativos.
Abrangência: Órgãos e entidades da administração pública direta, autárquica e fundacional, além de empresas contratadas para atividades essenciais.
Componentes Técnicos: Gestão de riscos, classificação da informação, auditorias, tratamento de incidentes e plano de continuidade de negócios.
Importância para o Brasil:
- Padroniza práticas de segurança em nível nacional.
- Garante transparência e responsabilidade no uso de dados públicos.
- Alinha-se a normas internacionais, facilitando cooperação e auditorias externas.
Módulos da ENSI:
- Segurança Cibernética: Implementação de firewalls, SIEMs e políticas de acesso.
- Defesa Cibernética: Proteção contra ataques patrocinados por estados ou grupos criminosos.
- Proteção de Dados: Criptografia e anonimização, conforme LGPD.
Legislação Complementar:
- Lei Carolina Dieckmann (Lei nº 12.737/2012): Criminaliza invasão de dispositivos informáticos alheios, com finalidade ilícita.
- Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018): Regula o tratamento e compartilhamento de dados pessoais no Brasil, exigindo consentimento explícito e transparente.
- Data Protection Act 2018 (DPA): Legislação similar no Reino Unido, reforçando a importância global da proteção de dados.

Comandos Técnicos:

Auditoria de logs: Use sudo tail -f /var/log/auth.log | grep "failed" (Linux) para monitorar tentativas de login frustradas.
Criptografia: Execute gpg --symmetric --cipher-algo AES256 arquivo.txt para criptografar arquivos com AES-256, atendendo à PNSI.
Verificar processos: Use ps aux | grep suspeito (Linux) para identificar processos maliciosos em execução.

Notícias Recentes:

O TCU (2024) revelou que 60% das organizações do Sisp não cumprem as diretrizes da PNSI, como no vazamento do INSS (2024), que expôs dados de 30 milhões de beneficiários.
Em 2023, o Estado de S.Paulo relatou falhas na implementação da PNSI em órgãos públicos, aumentando vulnerabilidades a ransomware.

Casos Reais:

Siafi (2024): Ataque permitiu desvios de R$ 10 milhões de recursos públicos, devido à falta de auditorias regulares exigidas pela PNSI.
INSS (2024): Vazamento de dados pessoais, incluindo CPFs, foi causado por falhas em controles de acesso, violando a LGPD e a PNSI.

Atividade de Reflexão: Pesquise um caso de violação da PNSI ou LGPD (ex.: Siafi ou INSS, 2024) e proponha um plano de mitigação com base nas diretrizes da PNSI, incluindo auditorias, treinamento e criptografia.

Atividade de Reflexão: Pesquise um caso real de violação da PNSI ou LGPD no Brasil e discuta as consequências legais e práticas adotadas para mitigar o problema.

5. Aprofundamentos e Recursos Adicionais

5.1 Engenharia Social

A engenharia social é a “arte de enganar pessoas para obter informações”, explorando o “elo mais fraco” da segurança, que muitas vezes é o próprio usuário:

Definição: Técnicas de manipulação psicológica para induzir ações ou divulgações de informações confidenciais.
Conexão com Golpes:
- Golpe da Nigéria e Phishing baseiam-se em engenharia social para ganhar confiança.
- Boatos exploram credulidade e medo, levando usuários a disseminar informação falsa.
Princípio do “Elo Mais Fraco”: “A segurança de um sistema é tão forte quanto seu elemento mais vulnerável: seja hardware, software, rede ou usuário.”
Dicas de Proteção:
- Desenvolver espírito crítico antes de clicar em links ou atender solicitações digitais.
- Verificar sempre a veracidade das mensagens recebidas.
- Não compartilhar senhas ou dados pessoais sem confirmação direta da solicitação.

Técnica Avançada – Pretexting: Criminosos criam cenários falsos (ex.: fingir ser um técnico de TI pedindo acesso remoto via TeamViewer).
Comando Técnico: Use whois dominio.com | grep "Registrant" para verificar a propriedade de domínios suspeitos.
Caso Real: Em 2021, o Banco do Estado de Sergipe sofreu um ataque de engenharia social, resultando no vazamento de 395 mil chaves Pix.
Prevenção: Treine o pensamento crítico com a regra “STT”: Stop (pare), Think (pense), Trust (confie apenas após verificar).

5.2 Conexão com Tipos de Ataques

Relacionar os golpes estudados com os conceitos de ataques apresentados na Aula 2:

Interceptação: Phishing caracteriza-se como interceptação de dados (confidencialidade), pois obtém credenciais sem alterar informação original.
Fabricação: Boatos e algumas fraudes são exemplos de fabricação, pois inserem informações falsas e manipulam percepção (autenticidade).
Modificação: Em golpes avançados, pode haver modificação de transações (ex.: alterar dados antes de confirmá-los).
Negação de Serviço: Embora não seja foco da Aula 3, alguns golpe de DDoS podem ser usados para desviar atenção enquanto outro golpe ocorre.
Ransomware: Caso das Lojas Renner (2021), com sistemas bloqueados por 3 dias, exigindo resgate de US$ 1 milhão. Afetou confidencialidade e disponibilidade.
DDoS: Ataque à Twitch (2021) expôs código-fonte e dados de usuários devido a erro de configuração.
SQL Injection: Em 2023, um site de e-commerce brasileiro sofreu injeção de SQL, expondo 500 mil CPFs.

5.3 Classificação da Informação

Classificar informações ajuda a definir quais dados podem ser compartilhados e quais devem ser protegidos:

Pública: Informações abertas ao público, sem restrições (Ex.: horário de funcionamento de uma loja).
Uso Interno: Não sensível, mas restrito a membros de uma organização (Ex.: comunicados internos).
Restrita: Informações que exigem controle de acesso mais rígido (Ex.: listas de alunos, calendário acadêmico).
Confidencial: Dados sensíveis que, se expostos, podem causar danos (Ex.: senhas, dados bancários, números de CPF).

Exercício Prático: Crie uma política de classificação de dados para uma universidade fictícia. Classifique dados como boletins (confidencial), comunicados internos (uso interno) e horários de aula (público), justificando com base na LGPD.

5.4 Recursos Adicionais para Combate a Fraudes

Fascículo Boatos (CERT.br): Guia para identificar e combater boatos; alerta que quem repassa boatos pode ser responsabilizado por danos e perder credibilidade.
Safernet (safernet.org.br): Plataforma para denúncia de crimes virtuais, orientações de segurança e materiais educativos.
Fascículos do CERT.br:
- “Comércio Eletrônico” – dicas para compras seguras online.
- “Phishing” – orientações para reconhecer e-mails e sites falsos.
- “Riscos em Dispositivos Móveis” – prevenção contra golpes em smartphones.
Sites de Referência:
- fraudes.org – banco de dados de fraudes e golpes registrados no Brasil.
- leicaro.htarma – exemplo fictício de portal governamental para verificação de normativas (consulte sempre a fonte oficial).

Ferramentas:
- Have I Been Pwned: Verifique se seu e-mail foi comprometido em vazamentos.
- URLScan.io: Analise URLs suspeitas em tempo real.
Relatórios: O Relatório Kaspersky 2024 detectou 411 mil novos malwares diários, um aumento de 3% em relação a 2022.
Denúncias: Use o Safernet para denunciar crimes como pornografia infantil, em parceria com a Polícia Federal.