⬅ Voltar ao Dashboard Unidade 2 — Internet e Segurança

🛡️ Conceitos Fundamentais de Segurança da Informação

Aula 2.4 — Os pilares da segurança (CID), os principais tipos de ameaças digitais e como reconhecer ataques antes de ser vítima

💬 O que é Segurança da Informação?

🔒 👤 Dados pessoais nome, CPF, endereço 🔑 Senhas contas e acessos 📄 Documentos arquivos e trabalhos 💳 Financeiro cartões, contas 📨 Mensagens comunicações privadas 🎓 Acadêmico notas, frequência

A Segurança da Informação é o conjunto de práticas, tecnologias e políticas que protegem os dados contra acesso não autorizado, alterações indevidas e indisponibilidade. Seu objetivo é garantir que a informação certa esteja disponível para as pessoas certas, no momento certo — e apenas para elas.

Na era digital, dados são um ativo valioso. Informações pessoais, senhas, documentos acadêmicos e financeiros precisam ser protegidos assim como se protege uma carteira ou um documento físico.

💡 Segurança da Informação não é apenas responsabilidade de especialistas em TI. Cada usuário é a primeira e mais importante linha de defesa — a maioria dos ataques explora erros humanos, não falhas técnicas.

📊 Panorama das ameaças digitais no Brasil

🔐 A Tríade CID — Os Três Pilares

Tríade CID base da Segurança da Informação 🟡 D Disponibilidade 🔒 C Confidencialidade ✔️ I Integridade

A base de toda a Segurança da Informação é a tríade CID (em inglês, CIA). Qualquer incidente de segurança viola ao menos um desses três pilares:

🔒
C
Confidencialidade
A informação só é acessada por quem tem permissão. Dados pessoais, senhas e documentos sigilosos devem ser visíveis apenas aos autorizados.
✔️
I
Integridade
A informação é precisa e não foi alterada indevidamente. Um arquivo corrompido ou uma nota adulterada no sistema viola a integridade.
🟡
D
Disponibilidade
A informação e os sistemas estão acessíveis quando necessário. Um site fora do ar ou um sistema travado viola a disponibilidade.

📋 Exemplos práticos da tríade

Confidencialidade

Um colega descobre sua senha e acessa sua conta no SUAP sem permissão, lendo suas notas e mensagens privadas.

Integridade

Um hacker invade o banco de dados de uma escola e altera notas de alunos para aprovar reprovados mediante pagamento.

Disponibilidade

O sistema do ENEM fica fora do ar no dia da prova online por causa de um ataque, impedindo candidatos de acessar.

Confidencialidade

Uma foto sua enviada em conversa privada é compartilhada sem sua autorização para outras pessoas.

Integridade

Um vírus modifica os arquivos de um trabalho acadêmico salvo no computador, tornando-os ilegíveis ou com conteúdo diferente.

🦠 Tipos de Malware

💻 🦠 Vírus 🐍 Worm 🐴 Trojan 🔐 Ransomware 🕶️ Spyware 📢 Adware 🛡️ Antivírus + Comportamento do usuário = Proteção

O termo malware (do inglês malicious software) designa qualquer programa criado com intenção maliciosa. Cada tipo age de forma diferente e tem objetivos distintos:

Tipo Como age Exemplo / Impacto
🦠 Vírus Infecta arquivos legítimos e se espalha quando o arquivo é executado. Precisa de ação humana para se propagar. Corrupção de arquivos, lentidão do sistema
🐍 Worm Se replica automaticamente pela rede sem precisar de ação do usuário. Consome recursos e pode abrir portas para outros ataques. Sobrecarga de redes, espalha outros malwares
🐴 Trojan Disfarça-se de programa legítimo. Após instalado, abre acesso remoto ao invasor ou instala outros malwares. Roubo de dados, controle remoto do dispositivo
🔐 Ransomware Criptografa os arquivos da vítima e exige pagamento (resgate) para devolver o acesso. Muito usado contra empresas e órgãos públicos. Perda total de dados, prejuízos milionários
🕶️ Spyware Monitora silenciosamente as atividades do usuário: teclas digitadas, sites visitados, senhas. Roubo de credenciais bancárias e senhas
📢 Adware Exibe anúncios indesejados de forma agressiva. Geralmente menos perigoso, mas pode abrir caminho para malwares piores. Pop-ups, redirecionamentos no navegador

⚠️ O ransomware é considerado a ameaça mais destrutiva da atualidade. Em 2023, ataques de ransomware paralisaram hospitais, órgãos do governo e universidades no Brasil. A principal proteção é manter backups atualizados e não abrir arquivos suspeitos.

🎯 Como os Ataques Chegam até Você

🧑 Usuário alvo 📧 E-mail malicioso 🌐 Sites falsos phishing web 📲 WhatsApp smishing 💾 Pendrive infectado 📶 Wi-Fi público interceptação 📱 Apps falsos fora da loja oficial

Os vetores de ataque são os caminhos que os criminosos digitais usam para atingir as vítimas. Conhecê-los é o primeiro passo para se proteger:

📧
E-mail malicioso
Links e anexos falsos enviados por remetentes que parecem confiáveis. É o vetor mais comum.
🌐
Sites falsos
Páginas que imitam bancos, lojas ou instituições para roubar dados digitados pelo usuário.
📲
WhatsApp / SMS
Mensagens com links encurtados ou promoções falsas que direcionam para páginas maliciosas.
💾
Pendrive infectado
Dispositivos USB deixados propositalmente em locais públicos. Ao conectar, instalam malware automaticamente.
📶
Wi-Fi público
Redes abertas permitem que atacantes interceptem dados trafegados, como senhas e logins.
📱
Apps falsos
Aplicativos fora das lojas oficiais ou clones de apps populares que contêm código malicioso.

🎭 Engenharia Social

🧠 mente humana alvo real ⏰ Urgência “Sua conta será bloqueada!” 🎭 Confiança “Sou do TI da escola” 🎁 Prêmio “Você ganhou um prêmio!” 📄 Pretexto cenário falso elaborado

A engenharia social é a manipulação psicológica de pessoas para que revelem informações confidenciais ou executem ações prejudiciais. Em vez de atacar sistemas, o criminoso ataca o ser humano — explorando confiança, medo ou urgência.

É considerada a técnica mais eficaz de ataque porque nenhum antivírus protege contra um usuário enganado. Por isso, conhecer os tipos é a melhor defesa.

🎣 Phishing
Via e-mail
Mensagem falsa que imita uma instituição (banco, Receita Federal, IFRN) com link para página clonada onde a vítima digita seus dados.
📱 Smishing
Via SMS ou WhatsApp
Mesmo princípio do phishing, mas executado por mensagem de texto. Comum com falsas notificações de entrega de encomenda ou premiações.
📞 Vishing
Via ligação telefônica
Ligação falsa de “banco” ou “suporte técnico” pedindo senha, token ou acesso remoto ao computador da vítima.
🎭 Pretexting
Qualquer canal
O atacante cria um cenário falso convincente (“Sou do TI da escola”) para extrair informações ou acesso privilegiado.

⚠️ Sinais de alerta — desconfie quando houver:

Urgência ou ameaça: “Sua conta será bloqueada em 24h se você não agir agora!”

🎁

Premiação inesperada: “Você foi selecionado para ganhar um prêmio. Clique aqui!”

🔗

Links suspeitos: URL com erros de grafia (bancobrasil.combr.xyz) ou encurtadores.

📝

Erros de português: mensagens com gramática estranha ou palavras fora de contexto.

📎

Anexo não solicitado: arquivo enviado por desconhecido ou que você não esperava receber.

🔑

Pedido de senha: instituições legítimas nunca pedem sua senha por e-mail, SMS ou telefone.

✅ Como se Proteger — Boas Práticas

🧐
Pense antes de clicar Antes de abrir um link ou anexo, pergunte-se: eu esperava esse e-mail? O remetente é quem diz ser? O endereço do link faz sentido?
🛡️
Mantenha antivírus ativo Use um antivírus confiável e mantenha-o atualizado. Ele é a segunda linha de defesa — a primeira é você.
🔄
Atualize sempre o sistema Atualizações corrigem falhas de segurança exploradas por malwares. Não ignore a notificação de atualização do Windows ou do celular.
💾
Faça backups regularmente Mantenha cópias de arquivos importantes na nuvem e em HD externo. Um backup atual anula o poder de um ataque de ransomware.
📶
Evite Wi-Fi público para dados sensíveis Não acesse internet banking nem sistemas institucionais em redes abertas. Se precisar, use dados móveis ou VPN.
📱
Instale apps apenas de fontes oficiais Baixe aplicativos somente da Google Play Store ou Apple App Store. Nunca instale APKs de sites desconhecidos.

📋 Recapitulando

📚 Na próxima aula vamos aprender Medidas de Proteção de Dados Pessoais: como criar senhas fortes, ativar a autenticação em dois fatores (2FA) e adotar boas práticas de privacidade no dia a dia digital.

🎯 Exercício — Arraste e Conecte

Arraste cada cenário ou descrição para o conceito correspondente. Em dispositivos móveis, toque na descrição e depois na zona de destino.

Cenário / Descrição
Acesso não autorizado ao e-mail de uma pessoa que teve a senha roubada
Hacker altera registros de notas no sistema acadêmico sem autorização
Ataque que deixa o site do ENEM fora do ar no dia da prova online
Malware que criptografa todos os arquivos do computador e exige pagamento
E-mail falso que imita o banco pedindo para “confirmar seus dados” em um link
Conceito
Violação de Confidencialidade
Violação de Integridade
Violação de Disponibilidade
Ransomware
Phishing

🧠 Quiz — Múltipla Escolha

Selecione a alternativa correta em cada questão.

1. Qual pilar da tríade CID é violado quando um hacker acessa seu e-mail sem autorização?
A Disponibilidade — o sistema ficou fora do ar
B Confidencialidade — alguém sem permissão acessou a informação
C Integridade — os dados foram modificados sem autorização
D Nenhum pilar — apenas a senha foi roubada, não os dados
✔ Correto! Confidencialidade garante que só pessoas autorizadas acessem a informação. Acesso não autorizado ao e-mail viola exatamente esse pilar.
✖ Errado. Disponibilidade trata da acessibilidade do sistema. O e-mail não ficou fora do ar — foi acessado por quem não deveria.
✖ Errado. Integridade seria violada se os dados fossem alterados. Aqui o problema é o acesso não autorizado, que é confidencialidade.
✖ Errado. Roubo de senha que permite acesso indevido é exatamente uma violação de confidencialidade.
2. Um malware que criptografa seus arquivos e exige pagamento para devolver o acesso é chamado de:
A Spyware
B Trojan
C Ransomware
D Worm
✔ Correto! Ransomware é o malware que sequestra dados criptografando os arquivos e exige resgate (ransom) para restaurar o acesso.
✖ Errado. Spyware monitora silenciosamente suas atividades (teclas, senhas, sites visitados), mas não criptografa arquivos.
✖ Errado. Trojan disfarça-se de programa legítimo para abrir acesso remoto ou instalar outros malwares, mas não criptografa arquivos.
✖ Errado. Worm se replica automaticamente pela rede, mas seu objetivo é propagação, não criptografar e cobrar resgate.
3. Qual das situações abaixo é um exemplo clássico de phishing?
A Um pendrive encontrado no corredor que, ao ser conectado, instala um malware
B E-mail falso imitando o banco pedindo para clicar em link e “confirmar seus dados”
C Ligação telefônica de falso suporte técnico pedindo acesso remoto ao computador
D Aplicação baixada fora da Play Store que rouba senhas em segundo plano
✔ Correto! Phishing é o golpe por e-mail que imita uma instituição legítima e leva a vítima a um site falso para roubar seus dados.
✖ Errado. Isso descreve um ataque de “baiting” com pendrive infectado, não phishing.
✖ Errado. Ligação telefônica falsa é vishing (voice + phishing), uma modalidade distinta de engenharia social.
✖ Errado. App malicioso fora da loja é um vetor de ataque por aplicativo falso, não phishing.
4. Um worm se diferencia de um vírus porque:
A Se replica automaticamente pela rede sem precisar de ação do usuário
B Criptografa arquivos e exige resgate para devolver o acesso
C Disfarça-se de programa legítimo para enganar o usuário
D Monitora silenciosamente as teclas digitadas e envia para o atacante
✔ Correto! O worm é autônomo: se propaga sozinho pela rede sem ação humana. O vírus precisa que o usuário execute um arquivo infectado para se espalhar.
✖ Errado. Criptografar arquivos e exigir resgate é a característica do ransomware.
✖ Errado. Disfarçar-se de programa legítimo é a característica do trojan.
✖ Errado. Monitorar teclas silenciosamente é a característica do spyware (especificamente keylogger).
5. Qual boa prática é a mais eficaz para se proteger de um ataque de ransomware?
A Não abrir e-mails de desconhecidos
B Usar antivírus atualizado
C Evitar o uso de Wi-Fi público
D Manter backups atualizados em local separado do computador principal
✔ Correto! O backup é a proteção definitiva contra ransomware: mesmo que os arquivos sejam criptografados, você restaura a cópia. Antivírus ajuda, mas pode falhar com variantes novas.
✖ Parcialmente correto, mas insuficiente. Ransomware também chega por sites, downloads e pendrives. Apenas evitar e-mails não garante proteção total.
✖ Importante, mas não é a mais eficaz contra ransomware especificamente. Novas variantes podem não ser detectadas. O backup garante a recuperação mesmo após o ataque.
✖ Evitar Wi-Fi público protege contra interceptação de dados, mas não é o vetor principal do ransomware.
6. O que define a engenharia social como técnica de ataque?
A Uso de softwares especializados para explorar vulnerabilidades em servidores
B Criação de vírus que se propagam automaticamente pela rede interna
C Manipulação psicológica de pessoas para que revelem informações ou executem ações prejudiciais
D Intercepção de dados em redes Wi-Fi públicas sem criptografia
✔ Correto! Engenharia social ataca o elo mais fraco: o ser humano. Usa confiança, urgência e medo para enganar — nenhum antivírus protege contra um usuário manipulado.
✖ Errado. Explorar vulnerabilidades em servidores com software é um ataque técnico (exploit), não engenharia social.
✖ Errado. Vírus que se propagam automaticamente descrevem um worm, não engenharia social.
✖ Errado. Interceptação em Wi-Fi é um ataque técnico chamado man-in-the-middle, diferente da manipulação humana da engenharia social.

🛠️ Atividade Prática — Analisando Ameaças Reais

⏱ ~25 min 🌐 Requer internet 📝 Individual ou em dupla
1
Identifique os pilares violados
Leia os cenários abaixo e, para cada um, anote qual pilar da tríade CID foi violado e justifique:
a) O notebook de um aluno é furtado com trabalhos não enviados ao professor.
b) Um funcionário mal-intencionado altera relatórios antes de enviá-los à direção.
c) Um sistema de chamada online fica inacessível por 3 dias por falha no servidor.
2
Analise um e-mail suspeito
O professor disponibilizará (ou projeta) um exemplo de e-mail de phishing. Identifique e anote pelo menos 4 sinais de alerta presentes na mensagem: remetente duvidoso, urgência, link suspeito, erros gramaticais, pedido de dados, etc.
3
Verifique um link antes de clicar
Acesse o site virustotal.com pelo navegador. Na aba URL, cole o endereço que o professor indicar (ou um link encurtado de exemplo). Observe o resultado: quantos antivírus o marcaram como malicioso? O que o relatório mostra sobre o site?
4
Classifique tipos de malware
Com base na tabela da aula, classifique cada situação pelo tipo de malware:
a) O computador começou a mostrar propagandas em português de lojas nunca visitadas.
b) Todos os arquivos da pasta Documentos têm agora a extensão .locked.
c) Um programa de TV pirata instalado começou a enviar senhas digitadas para um servidor externo.
5
Crie um checklist de segurança pessoal
No Google Docs (na pasta criada na Aula 2.2), crie um documento chamado “Checklist de Segurança Digital”. Liste pelo menos 8 hábitos que você vai adotar (ou já adota) para proteger seus dados. Compartilhe com o professor como Comentarista.
📌 Para saber: O VirusTotal é uma ferramenta gratuita do Google que verifica arquivos e URLs com mais de 70 antivírus simultaneamente. É uma das primeiras ferramentas a usar antes de acessar um link suspeito — e salva muita gente de cair em golpes.
⬅ Anterior: AVA Próxima: Proteção de Dados ➡