🛡️ Conceitos Fundamentais de Segurança da Informação
Aula 2.4 — Os pilares da segurança (CID), os principais tipos de ameaças digitais e como reconhecer ataques antes de ser vítima
💬 O que é Segurança da Informação?
A Segurança da Informação é o conjunto de práticas, tecnologias e políticas que protegem os dados contra acesso não autorizado, alterações indevidas e indisponibilidade. Seu objetivo é garantir que a informação certa esteja disponível para as pessoas certas, no momento certo — e apenas para elas.
Na era digital, dados são um ativo valioso. Informações pessoais, senhas, documentos acadêmicos e financeiros précisam ser protegidos assim como se protege uma carteira ou um documento físico.
💡 Segurança da Informação não é apenas responsabilidade de especialistas em TI. Cada usuário é a primeira e mais importante linha de defesa — a maioria dos ataques explora erros humanos, não falhas técnicas.
📊 Panorama das ameaças digitais no Brasil
O Brasil é um dos países mais atacados da América Latina por ciberataques
Phishing é o tipo de golpe digital mais comum, especialmente por WhatsApp e e-mail
Ataques de ransomware (sequestrando dados por resgate) cresceram mais de 90% após 2020
A maior parte das vítimas não sabia que estava em risco até o momento do ataque
🔐 A Tríade CID — Os Três Pilares
A base de toda a Segurança da Informação é a tríade CID (em inglês, CIA). Qualquer incidente de segurança viola ao menos um desses três pilares:
🔒
C
Confidencialidade
A informação só é acessada por quem tem permissão. Dados pessoais, senhas e documentos sigilosos devem ser visíveis apenas aos autorizados.
✔️
I
Integridade
A informação é precisa e não foi alterada indevidamente. Um arquivo corrompido ou uma nota adulterada no sistema viola a integridade.
🟡
D
Disponibilidade
A informação e os sistemas estão acessíveis quando necessário. Um site fora do ar ou um sistema travado viola a disponibilidade.
📋 Exemplos práticos da tríade
Confidencialidade
Um colega descobre sua senha e acessa sua conta no SUAP sem permissão, lendo suas notas e mensagens privadas.
Integridade
Um hacker invade o banco de dados de uma escola e altera notas de alunos para aprovar reprovados mediante pagamento.
Disponibilidade
O sistema do ENEM fica fora do ar no dia da prova online por causa de um ataque, impedindo candidatos de acessar.
Confidencialidade
Uma foto sua enviada em conversa privada é compartilhada sem sua autorização para outras pessoas.
Integridade
Um vírus modifica os arquivos de um trabalho acadêmico salvo no computador, tornando-os ilegíveis ou com conteúdo diferente.
🦠 Tipos de Malware
O termo malware (do inglês malicious software) designa qualquer programa criado com intenção maliciosa. Cada tipo age de forma diferente e tem objetivos distintos:
Tipo
Como age
Exemplo / Impacto
🦠 Vírus
Infecta arquivos legítimos e se espalha quando o arquivo é executado. Precisa de ação humana para se propagar.
Corrupcão de arquivos, lentidão do sistema
🐍 Worm
Se replica automaticamente pela rede sem precisar de ação do usuário. Consome recursos e pode abrir portas para outros ataques.
Sobrecarga de redes, espalha outros malwares
🐴 Trojan
Disfarça-se de programa legítimo. Após instalado, abre acesso remoto ao invasor ou instala outros malwares.
Roubo de dados, controle remoto do dispositivo
🔐 Ransomware
Criptografa os arquivos da vítima e exige pagamento (resgate) para devolver o acesso. Muito usado contra empresas e órgãos públicos.
Perda total de dados, prejuízos milionários
🕶️ Spyware
Monitora silenciosamente as atividades do usuário: teclas digitadas, sites visitados, senhas.
Roubo de credenciais bancárias e senhas
📢 Adware
Exibe anúncios indesejados de forma agressiva. Geralmente menos perigoso, mas pode abrir caminho para malwares piores.
Pop-ups, redirecionamentos no navegador
⚠️ O ransomware é considerado a ameaça mais destrutiva da atualidade. Em 2023, ataques de ransomware paralisaram hospitais, órgãos do governo e universidades no Brasil. A principal proteção é manter backups atualizados e não abrir arquivos suspeitos.
🎯 Como os Ataques Chegam até Você
Os vetores de ataque são os caminhos que os criminosos digitais usam para atingir as vítimas. Conhecê-los é o primeiro passo para se proteger:
📧
E-mail malicioso
Links e anexos falsos enviados por remetentes que parecem confiáveis. É o vetor mais comum.
🌐
Sites falsos
Páginas que imitam bancos, lojas ou instituições para roubar dados digitados pelo usuário.
📲
WhatsApp / SMS
Mensagens com links encurtados ou promoções falsas que direcionam para páginas maliciosas.
💾
Pendrive infectado
Dispositivos USB deixados propositalmente em locais públicos. Ao conectar, instalam malware automaticamente.
📶
Wi-Fi público
Redes abertas permitem que atacantes interceptem dados trafegados, como senhas e logins.
📱
Apps falsos
Aplicativos fora das lojas oficiais ou clones de apps populares que contêm código malicioso.
🎭 Engenharia Social
A engenharia social é a manipulação psicológica de pessoas para que revelem informações confidenciais ou executem ações prejudiciais. Em vez de atacar sistemas, o criminoso ataca o ser humano — explorando empresos, confiança, medo ou urgência.
É considerada a técnica mais eficaz de ataque porque nenhum antivírus protege contra um usuário enganado. Por isso, conhecer os tipos é a melhor defesa.
🎣 Phishing
Via e-mail
Mensagem falsa que imita uma instituição (banco, Receita Federal, IFRN) com link para página clonada onde a vítima digita seus dados.
📱 Smishing
Via SMS ou WhatsApp
Mesmo princípio do phishing, mas executado por mensagem de texto. Comum com falsas notificações de entrega de encomenda ou premiações.
📞 Vishing
Via ligação telefônica
Ligação falsa de "banco" ou "suporte técnico" pedindo senha, token ou acesso remoto ao computador da vítima.
🎭 Pretexting
Qualquer canal
O atacante cria um cenário falso convincente (“Sou do TI da escola”) para extrair informações ou acesso privilegiado.
⚠️ Sinais de alerta — desconfie quando houver:
⏰
Urgência ou ameaça: “Sua conta será bloqueada em 24h se você não agir agora!”
🎁
Premiação inesperada: “Você foi selecionado para ganhar um prêmio. Clique aqui!”
🔗
Links suspeitos: URL com erros de grafia (bancobrasil.combr.xyz) ou encurtadores.
📝
Erros de português: mensagens com gramática estranha ou palavras fora de contexto.
📎
Anexo não solicitado: arquivo enviado por desconhecido ou que você não esperava receber.
🔑
Pedido de senha: instituições legítimas nunca pedem sua senha por e-mail, SMS ou telefone.
✅ Como se Proteger — Boas Práticas
🧐
Pense antes de clicarAntes de abrir um link ou anexo, pergunte-se: eu esperava esse e-mail? O remetente é quem diz ser? O endereço do link faz sentido?
🛡️
Mantenha antivírus ativoUse um antivírus confiável e mantenha-o atualizado. Ele é a segunda linha de defesa — a primeira é você.
🔄
Atualize sempre o sistemaAtualizações corrigem falhas de segurança exploradas por malwares. Não ignore a notificação de atualização do Windows ou do celular.
💾
Faça backups regularmenteMantenha cópias de arquivos importantes na nuvem e em HD externo. Um backup atual anula o poder de um ataque de ransomware.
📶
Evite Wi-Fi público para dados sensíveisNão acesse internet banking nem sistemas institucionais em redes abertas. Se precisar, use dados móveis ou VPN.
📱
Instale apps apenas de fontes oficiaisBaixe aplicativos somente da Google Play Store ou Apple App Store. Nunca instale APKs de sites desconhecidos.
📋 Recapitulando
A Segurança da Informação protege dados contra acesso indevido, alteração e indisponibilidade
A tríade CID: Confidencialidade (só quem pode acessa), Integridade (dado não foi adulterado) e Disponibilidade (acesso garantido quando necessário)
Principais malwares: vírus, worm, trojan, ransomware, spyware e adware — cada um com mecanismo e impacto diferente
Os vetores mais comuns são: e-mail, sites falsos, WhatsApp, pendrives e Wi-Fi público
A engenharia social manipula pessoas — não sistemas. Phishing, smishing e vishing exploram confiança e urgência
Sinais de alerta: urgência, premiações, links estranhos, pedidos de senha e português incorreto
A defesa começa com o comportamento humano: pensar antes de clicar, atualizar o sistema e fazer backups
📚 Na próxima aula vamos aprender Medidas de Proteção de Dados Pessoais: como criar senhas fortes, ativar a autenticação em dois fatores (2FA) e adotar boas práticas de privacidade no dia a dia digital.
🎯 Exercício — Arraste e Conecte
Arraste cada cenário ou descrição para o conceito correspondente. Em dispositivos móveis, toque na descrição e depois na zona de destino.
Cenário / Descrição
Acesso não autorizado ao e-mail de uma pessoa que teve a senha roubada
Hacker altera registros de notas no sistema acadêmico sem autorização
Ataque que deixa o site do ENEM fora do ar no dia da prova online
Malware que criptografa todos os arquivos do computador e exige pagamento
E-mail falso que imita o banco pedindo para “confirmar seus dados” em um link
Conceito
Violação de Confidencialidade
Violação de Integridade
Violação de Disponibilidade
Ransomware
Phishing
🛠️ Atividade Prática — Analisando Ameaças Reais
⏱ ~25 min🌐 Requer internet📝 Individual ou em dupla
1
Identifique os pilares violados
Leia os cenários abaixo e, para cada um, anote qual pilar da tríade CID foi violado e justifique: a) O notebook de um aluno é furtado com trabalhos não enviados ao professor. b) Um funcionário mal-intencionado altera relatórios antes de enviá-los à direção. c) Um sistema de chamada online fica inacessível por 3 dias por falha no servidor.
2
Analise um e-mail suspeito
O professor disponibilizará (ou projeta) um exemplo de e-mail de phishing impresso ou na tela. Identifique e anote pelo menos 4 sinais de alerta presentes na mensagem: remetente duvidoso, urgência, link suspeito, erros gramaticais, pedido de dados, etc.
3
Verifique um link antes de clicar
Acesse o site virustotal.com pelo navegador. Na aba URL, cole o endereço que o professor indicar (ou um link encurtado de exemplo). Observe o resultado: quantos antivírus o marcaram como malicioso? O que o relatório mostra sobre o site?
4
Classifique tipos de malware
Com base na tabela da aula, classifique cada situação pelo tipo de malware: a) O computador começou a mostrar propagandas em português de lojas nunca visitadas. b) Todos os arquivos da pasta Documentos têm agora a extensão .locked. c) Um programa de TV pirata instalado começou a enviar senhas digitadas para um servidor externo.
5
Crie um checklist de segurança pessoal
No Google Docs (na pasta criada na Aula 2.2), crie um documento chamado "Checklist de Segurança Digital". Liste pelo menos 8 hábitos que você vai adotar (ou já adota) para proteger seus dados. Compartilhe com o professor como Comentarista.
📌 Para saber: O VirusTotal é uma ferramenta gratuita do Google que verifica arquivos e URLs com mais de 70 antivírus simultaneamente. É uma das primeiras ferramentas a usar antes de acessar um link suspeito — e salva muita gente de cair em golpes.