1

Avaliao da suscetibilidade dos

discentes de TI a ataques de phishing
Simone Campos Cohen
Orientador: Vinicius Cardoso Garcia
 Agenda
2

Contexto
Introduo
Crimes cibernticos
Engenharia social
Phishing
Trabalhos relacionados
Metodologia
Questionrio
Resultados
Anlise dos resultados
Trabalhos futuros
 Motivao
3

Em 2016, foram reportados

Cerca de 3,773 bilhes de
1.220.523 ataques de phishing,
pessoas tm acesso internet,
27,61% desse nmero somente
139 milhes apenas no Brasil
no Brasil
 Motivao
4

Avaliao da suscetibilidade ao phishing

Behavioral response to phishing risk
Who falls for phish?
O questionrio
Resultados
Quanto maior o conhecimento sobre o contexto da
Internet, menor a probabilidade de cair no phishing
Mas o conhecimento sobre certos conceitos no reduz a
vulnerabilidade ao phishing
Quo suscetveis esto os integrantes da rea de TI?
 Objetivos
5

Avaliar a suscetibilidade dos discentes de TI ao phishing

Suscetibilidade ao phishing
Suscetibilidade a clicar nos links segundo o curso
Suscetibilidade a clicar nos links segundo o nvel de
experincia, mensurado de acordo com o perodo cursado
pelo participante
Relao entre digitar ou copiar a URL e cair no phishing
 Crimes cibernticos
6

De acordo com Halder e Jaishankar:

so ofensas cometidas contra indivduos ou grupos de
indivduos com o intito de, intencionalmente, ferir a
reputao da vtima, causar-lhe dano fsico ou mental, ou,
direta ou indiretamente, qualquer tipo de perda, atravs do
uso da rede de telecomunicaes
Os primeiros casos surgiram na dcada de 1960
At 2019, cerca de 2 trilhes de dlares de prejuzo
 Crimes cibernticos
7

Nmero de incidentes reportados ao CERT.br em 2016

Figura 1
 Crimes cibernticos
8

Cdigo da Conveno sobre Cibercrime assinado em 2011:

contra a Segurana da Informao, ou seja, integridade,
confidencialidade e disponibilidade de sistemas ou dados
relacionadas a computadores, como fraudes
relacionadas ao contedo, como, por exemplo, pornografia
infantil
relacionadas aos direitos autorais
Ondas dos ataques cibernticos
1 - ataques fsicos
2 - ataques sintticos
3 - ataques semnticos
 Engenharia social
9

De acordo com Granger, a manipulao psicolgica da

tendncia humana natural de confiar
Ou ainda, de acordo com Woodward, qualquer estratgia
no-tcnica para se aproveitar dos aspectos humanos
conhecidos como os sete pecados capitais: curiosidade,
cortesia, credulidade, ganncia, irreflexo, timidez e apatia
Com o objetivo de:
ganhar acesso a um sistema ou a informaes de forma a
cometer fraudes, invases da rede, espionagem industrial,
roubo de identidade ou at uma perturbao a um sistema
ou rede internos
 Engenharia social
10

Fases: Tipos comuns:

Baiting
Pretexting
Tailgating
Phishing

Figura 2
 Phishing
11

Fishing + phreak
tido como qualquer tipo de golpe que faz uso da tecnologia
para obter informaes sensveis da vtima, com as finalidades
de roubo, extorso, sabotagem, espionagem ou at mltiplos
objetivos combinados
Tipos
tradicional
spear phishing
 Phishing
12

Caractersticas
Cumprimento genrico
Links forjados
Pedidos por informaes pessoais
Urgncia
Principais estratgias de explorao
Falta de conhecimento
Iluso de tica
Falta de ateno
 Phishing
13

Setores da indstria afetados em 2017, segundo a APWG

Figura 3
 Phishing
14

Incidentes reportados no primeiro semestre de 2017

Figura 4
 Phishing
15

Modalidades Preveno
Fraude de antecipao Verificar o remetente dos
de recursos (Advance e-mails
Verificar o link
fee fraud) Nunca passar informaes
Pharming pessoais por e-mail
Whaling Desconfiar da urgncia em
e-mails e SMS
Atendente impostor
Checar as regras de
Malware privacidade nas redes
sociais
Desconfiar de mensagens
de texto
 Trabalhos relacionados
16

Behavioral response to phishing risk

Questionrio
Role play
Avaliao de URLs
Conceitos da Internet
Experincias passadas
Resultados
Conhecimento sobre phishing indicava menor
percentual de vulnerabilidade a ele
 Trabalhos relacionados
17

Who falls for phish?

Questionrio
Role play
Treinamento
Resultados
Conhecimento prvio sobre phishing ajudava na
menor suscetibilidade do indivduo ao ataque
 Questionrio
18

414 Participantes - 19,5% do total de alunos do CIn

Role play
4 questes
curso
perodo
frequncia de acesso ao e-mail
meio de acesso ao e-mail
5 casos de e-mail
Formulrios Google
Google Drive
Oportunidade de vagas
Dropbox
Netflix
19
20
21
22
23
 Anlise dos resultados
24

Curso dos participantes

Grfico 1
 Anlise dos resultados
25

Perodo dos participantes

Grfico 2
 Anlise dos resultados
26

Frequncia de uso do e-mail

Grfico 3
 Anlise dos resultados
27

Meio de acesso ao e-mail

Grfico 4
 Anlise dos resultados
28

Suscetibilidade ao phishing

Grfico 5
 Anlise dos resultados
29

Suscetibilidade a clicar nos links segundo o curso

Grfico 6
 Anlise dos resultados
30

Suscetibilidade a clicar nos links segundo o nvel de

experincia

Grfico 7
 Anlise dos resultados
31

Relao entre digitar ou copiar a URL e cair no phishing

Grfico 8
 Anlise dos resultados
32

Relao entre digitar ou copiar a URL e cair no phishing

Grfico 9
 Anlise dos resultados
33

Aproximadamente 48,8% dos

participantes caram no
phishing
345 casos de sucesso do
phishing
Validade das respostas
Preveno
Conscientizao
Educao
Alertas Grfico 10
 Trabalhos Futuros
34

Anlise mais aprofundada a partir de questionrios mais

extensos e especficos, e entrevistas
Anlise psicolgica dado o comportamento diante de uma
resposta
Treinamentos e verificao de sua eficcia
 35

Obrigada!
scc@cin.ufpe.br Simone Campos Cohen
vcg@cin.ufpe.br Vinicius Cardoso Garcia
 36
Referncias
HALDER, Debarati and JAISHANKAR, K. Cyber crime and the victimization of women: laws,
rights and regulations. [s.l.]: Information Science Reference, 2011.
CERT.br Stats (janeiro a dezembro de 2016). CERT.br. Disponvel em:
<https://www.cert.br/stats/incidentes/2016-jan-dec/tipos-ataque.html>. Acesso em: 1 out. 2017.
UNION, International Telecommunication. Understanding cybercrime: A guide for developing countries. [S.L.:
s.n.], 2009.
Schneier on Security. Blog. Disponvel em: <https://www.schneier.com/crypto-gram/archives/2000/1015.html>.
Acesso em: 21 out. 2017.
DOWNS, Julie S.; HOLBROOK, Mandy and CRANOR, Lorrie Faith. Behavioral response to phishing risk.
Proceedings of the anti-phishing working groups 2nd annual eCrime researchers summit on - eCrime
'07, 2007.
SHENG, Steve; HOLBROOK, Mandy; KUMARAGURU, Ponnurangam; et al. Who falls for phish? Proceedings
of the 28th international conference on Human factors in computing systems - CHI '10, 2010.
GRANGER, Sarah. Social Engineering Fundamentals, Part I: Hacker Tactics | Symantec Connect. Disponvel
em: <https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics>.
Acesso em: 28 out. 2017.
WOODWARD, Prof Alan. Viewpoint: How hackers exploit 'the seven deadly sins'. BBC News. Disponvel
em: <http://www.bbc.com/news/technology-20717773>. Acesso em: 11 nov. 2017.
Phishing Activity Trend Report H1 2017 APWG. Disponvel em:
<http://docs.apwg.org/reports/apwg_trends_report_h1_2017.pdf> Acesso em: 4 nov. 2017.