Engenharia Social nas Redes Sociais - Phishing na prática

Prévia do material em texto

FACULDADE UNA DE UBERLÂNDIA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
DANILO ARANTES FREITAS 
 
 
 
 
 
 
 
ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: 
CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO 
 
 
 
 
 
 
 
 
 
 
 
 
 
UBERLÂNDIA/MG 
2017 
FACULDADE UNA DE UBERLÂNDIA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
DANILO ARANTES FREITAS 
 
 
 
ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: 
CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO 
 
 
Trabalho apresentado à disciplina de Projeto 
Integrador III, do Curso de Sistemas de 
Informação, da Faculdade Una de Uberlândia, 
como parte dos requisitos à graduação e 
obtenção do título de Bacharel em Sistemas de 
Informação. 
 
Coordenadora de Curso: Profª. Lilian Ribeiro 
Mendes Paiva, Dra. 
 
Coordenador Adjunto de Curso: Prof. Jean 
Carlo de Sousa Santos, Ms. 
 
Orientador (a): Profª. Silvia Fernanda M 
Brandão, Ms. 
 
Co-orientador (a): Prof. Mário César P. 
Peixoto, Ms. 
 
Área de Concentração: Ciência da Computação 
Sub-Área: Segurança da Informação 
 
 
 
UBERLÂNDIA/MG 
2017 
FACULDADE UNA DE UBERLÂNDIA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
ENGENHARIA SOCIAL APLICADA NAS REDES SOCIAIS: 
CONDUTA E BOAS PRÁTICAS PARA MANTER-SE MAIS SEGURO 
 
DANILO ARANTES FREITAS 
 
 
Trabalho apresentado à disciplina de Projeto Integrador III, do Curso de Sistemas de 
Informação, da Faculdade Una de Uberlândia, como parte dos requisitos à graduação e 
obtenção do título de Bacharel em Sistemas de Informação. 
 
Aprovado em: 04 / 07 / 2017 
 
Banca Examinadora: 
 
 
Orientador (a): Profª. Silvia Fernanda M Brandão, Ms. 
 
 
Co-orientador (a): Prof. Mario César P. Peixoto, Ms. 
 
 
Examinador (a): Prof. Reginaldo Aparecido Mendes, Esp. 
 
 
Examinador (a): Prof. Eduardo Souza Santos, Ms. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Aos meus Pais, Deusamira e Ney, 
que não puderam fazer parte desta etapa da 
minha carreira, 
A minha irmã, Isabela, 
que sempre foi meu apoio e acreditou no 
meu melhor. 
AGRADECIMENTOS 
 
 
Agradeço a Deus por ter me abençoado com muita saúde, força, perseverança e uma família 
unida e acolhedora. Aos meus exemplos de vida Ney Arantes e Deusamira Barros de Freitas, 
que me mostraram o caminho do certo, me deixando para caminhar com meus próprios pés e 
me amaram até o último dia de suas vidas. Agradeço a minha irmã Isabela Arantes Freitas, 
por torcer por mim, me apoiando, aconselhando e por estar ao meu lado sempre. 
Agradeço aos meus primos Marcelo Arantes Soares e sua esposa Jane Lima de Natividade 
Arantes por todo o suporte, conselhos e acolhimento, sem os quais não seria possível chegar 
ao fim do desafio à conclusão do curso de Sistemas de Informação. 
À minha orientadora, Profª. Silvia Brandão, pela paciência e auxílio neste projeto, dando o 
seu melhor como professora e motivadora. Também gostaria de agradecer aos grandes amigos 
do curso de Sistemas de Informação, pelos momentos de troca de ideias, pelas incríveis dicas 
e também pela responsabilidade e competência de cada um nos trabalhos em equipe. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“Privacidade para os fracos, transparência 
para os poderosos!” 
(Julian Assange) 
RESUMO 
 
 
As redes sociais já se tornaram parte na vida das pessoas, que gastam horas e horas do dia 
navegando, muitas vezes sem se dar conta disso. Utilizadas para diversos fins, pessoais ou 
empresariais, este mecanismo não é visto pelos usuários como algo perigoso, nem que eles 
possam estar vulneráveis a golpes ou ataques através do uso da mesma. Uma ameaça evidente 
é conhecida como engenharia social, sendo, a capacidade do ser humano de através das 
técnicas de persuasão, conseguir manipular uma pessoa para obtenção de informações 
importantes sobre um determinado alvo sem que ela perceba. A inclusão digital e o uso das 
redes sociais, tem potencializado parte da população a se familiarizar com à Internet, através 
dos aplicativos de smartphone e priorizando à acessibilidade para estes itens de informática. 
Os engenheiros sociais aproveitam as “brechas”, o pouco conhecimento desses usuários sobre 
cibersegurança, para facilitar o seu ataque aplicando golpes com a ajuda de programas 
espiões, técnicas de phishing e scam. Com base neste cenário, esta pesquisa monográfica 
objetiva apresentar, de uma maneira bem simples e utilitária, os ataques mais comumente 
aplicados no meio das redes sociais, a fim de que os mais leigos no assunto consigam refletir 
sobre seu comportamento online pessoal e organizacional. O estudo desse tema apresenta o 
perfil de vítimas, atores e suas motivações. 
Palavras-chave: Redes Sociais. Engenharia Social. Privacidade. 
ABSTRACT 
Social networks have already become part of people's lives, where they spend hours and 
hours of the day sailing on it, often without realizing it. Used for various purposes, either 
personal or business, this mechanism isn't seen by users as dangerous services, nor that they 
may be vulnerable to get caught in scams or online attacks. An evident threat is known as 
social engineering, that is the human beings' ability, through persuasion techniques to be able 
to manipulate a person to provide key information about a particular target, without he/she 
see what is doing. Moreover, digital inclusion and the use of social networks has empowered 
part of the population to become familiar with the Internet, through smartphone applications 
and prioritizing accessibility for these IT items. Social engineers take advantage of "gaps" 
and the lack of people's knowledge about cyber security, facilitating their attacks by applying 
scams with the help of spyware, phishing and scam techniques. Based on this scenario, the 
goal of this monographic research is to expose the most common attacks applied in the 
middle of social networks, in a clear way, so that even the most lazy person in the subject, can 
reflect on their online personal and organizational behavior. The study of this theme, presents 
the profile of victims, actors and their motivations. 
Keywords: Social networks. Social engineering. Privacy. 
 
LISTA DE FIGURAS 
 
 
Figura 1 - Número de usuários ativos em milhões. .................................................................. 21 
Figura 2 - Tempo gasto nas mídias sociais. .............................................................................. 22 
Figura 3 - Foto de funcionário expondo seu crachá. ................................................................ 24 
Figura 4 - Site falso do Facebook. ............................................................................................ 26 
Figura 5 - Smishing no WhatsApp. ........................................................................................... 27 
Figura 6 - Arquivo malicioso disseminado pelo bate-papo do Facebook. ............................... 28 
Figura 7 - Banner falso do Facebook oferecendo créditos grátis para aplicativos externos. ... 29 
Figura 8 - Solicitação de uma aplicação externa no Facebook................................................. 30 
Figura 9 - Total de incidentes reportados ao CERT.br de 1999 a 2015. .................................. 32 
Figura 10 - Fan page Seguidores Grátis. ..................................................................................42 
Figura 11 - Perfil falso. ............................................................................................................. 43 
Figura 12 - Site sortudo.pe.hu. ................................................................................................. 44 
Figura 13 - Encurtador de link. ................................................................................................. 45 
Figura 14 - Contato pelo chat. .................................................................................................. 47 
Figura 15 - Captcha. ................................................................................................................. 47 
Figura 16 - Alcance das publicações. ....................................................................................... 48 
Figura 17 - Cliques realizados no link encurtado do site externo. ........................................... 49 
Figura 18 - Relação de cadastros realizados no site sortudo.pe.hu. ......................................... 49 
 
LISTA DE TABELAS 
 
 
Tabela 1 – Perfil de um engenheiro social ............................................................................... 23 
 
LISTA DE ABREVIATURAS E SIGLAS 
 
 
AIM America Online Instant Messenger (Serviço de mensagens instantâneas) 
APAV Associação Portuguesa de Apoio à Vítima 
CERT Centro de estudos, respostas e tratamento de incidentes em todo o Brasil 
ESR Engenharia Social Reversa 
HTTP Hypertext Transport Protocol 
HTTPS Hypertext Transport Protocol Secure 
IBGE Instituto Brasileiro de Geografia e Estatística 
IBOPE Instituto Brasileiro de Opinião Pública e Estatística 
ICQ Internet Chat Query (Serviço web de mensagens instantâneas) 
IoT Internet of Things (Internet das coisas) 
IP Internet Protocol (Protocolo de Internet) 
RSO Redes Sociais Online 
SMS Short Message Service (Serviço de mensagens curtas) 
US-CERT 
 
United States Computer Emergency Readiness Team (Equipe de preparação 
para emergências em informática dos Estados Unidos) 
WIN Worldwide Independent Network of Market Research 
SUMÁRIO 
 
Capítulo 1 – Introdução ....................................................................................... 14 
1.1 Situação problema ................................................................................................ 14 
1.2 Justificativa e motivação ...................................................................................... 15 
1.3 Objetivo geral ...................................................................................................... 16 
1.4 Objetivos específicos ........................................................................................... 16 
1.5 Metodologia ......................................................................................................... 16 
1.6 Organização do trabalho ...................................................................................... 17 
Capítulo 2 – O impacto da engenharia social nas redes sociais .......................... 18 
2.1 Redes sociais em palavras.................................................................................... 18 
2.1.1 Nascimento das redes sociais .................................................................................. 19 
2.1.2 Crescimento no mundo inteiro ................................................................................ 20 
2.1.3 Como funciona a engenharia social ......................................................................... 22 
2.2 Ataques e incidentes em redes sociais ................................................................. 25 
2.2.1 Técnica de phishing ................................................................................................. 25 
2.2.2 Spyware ................................................................................................................... 27 
2.2.3 Scam ........................................................................................................................ 28 
2.2.4 Aplicativos externos vinculados as redes sociais .................................................... 29 
2.2.5 Cyberstalking ........................................................................................................... 30 
2.2.6 Engenharia social reversa ........................................................................................ 31 
2.3 A cibersegurança .................................................................................................. 32 
2.4 Conclusão ............................................................................................................. 33 
Capítulo 3 – Contramedidas para a Cibersegurança ........................................... 34 
3.1 Termos de segurança ........................................................................................... 34 
3.2 Controle de privacidade ....................................................................................... 35 
3.3 Não ser inocente ................................................................................................... 36 
3.4 Reconhecer as técnicas de engenharia social ....................................................... 37 
3.5 Proteja você mesmo ............................................................................................. 38 
3.6 Conclusão ............................................................................................................. 40 
Capítulo 4 – Estudo de caso phishing no Facebook ........................................... 41 
4.1 Situação Problema ............................................................................................... 41 
4.1.1 A página no Facebook ............................................................................................. 41 
4.1.2 Criação de um perfil falso ....................................................................................... 43 
4.1.3 Página web pelo site hostinger.com.br .................................................................... 44 
4.1.4 Encurtadores de links .............................................................................................. 45 
4.2 Resultados obtidos com o caso de uso ................................................................. 46 
4.2.1 Perfil falso ............................................................................................................... 46 
4.2.2 Página Seguidores Grátis ......................................................................................... 48 
4.2.3 Site externo .............................................................................................................. 48 
4.3 Análise dos resultados ......................................................................................... 49 
4.4 Conclusão ............................................................................................................. 50 
Capítulo 5 – Conclusão ....................................................................................... 51 
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................ 53 
APÊNDICE 1 - TERMOS DE USO DO SITE sortudo.pe.hu ............................ 57 
Termos de uso ..................................................................................................... 57 
APÊNDICE 2 - TABELAS COM AS VÍTIMAS ............................................... 59 
 
 
14 
Capítulo 1 – Introdução 
Esta monografia procurou tratar o tema das redes sociais e seu surgimento com foco 
no Facebook, bem como, os perigos e as maneiras de se proteger utilizando bons hábitos que 
todo usuário deveria desenvolver, a fim de conseguir uma navegação mais segura. 
1.1 Situação problema 
Os sites de redes sociaissurgiram juntamente com a ascensão da Internet, 
objetivando a interação entre pessoas, através de novas amizades e até aproximando 
virtualmente amigos e familiares. Elas permitem usuários a abrirem contas online, nas quais 
possam mostrar para sua rede de amigos, publicações de sua vida diariamente, por métodos 
multimídia como fotos, vídeos, pequenos blocos de texto, expondo suas ideias sobre um 
determinado assunto, dentre outras várias opções disponíveis ao internauta. Tornando-se 
mundialmente utilizada, alimentando o desejo das pessoas por reconhecimento e 
influenciando o meio social, esse sucesso despertou olhares de criminosos perigosos como o 
engenheiro social, visto que disponibilizam métodos facilitadores na busca por informações 
pessoais. Por exemplo, é possível observar o perfil da vítima e descobrir o que está 
acontecendo em sua vida atualmente, quanto tempo ela costuma permanecer conectada, quem 
são seus familiares, qual seu cargo profissional e organização em que trabalha, dentre outras 
informações. Após esses dados coletados, um quebra-cabeça começa a ser organizado, para o 
próximo ataque e alvo ser decidido. 
“Os engenheiros sociais habilidosos são adeptos do 
desenvolvimento de um truque que estimula emoções 
tais como medo, agitação ou culpa. Eles fazem isso 
usando os gatilhos psicológicos – os mecanismos 
automáticos que levam as pessoas a responderem as 
solicitações sem uma análise cuidadosa das informações 
disponíveis.” (MITNICK e SIMON, 2003, p.85) 
 
 
15 
A cibersegurança se tornou um tema altamente discutido, quando os negócios 
começaram a depender cada vez mais da Internet. Ataques diversos surgiram, sendo 
orquestrados para explorarem falhas nos processos, executados por organizações e elementos 
relacionados aos ativos da informação: softwares, hardwares e o peopleware. Atualmente com 
paradigmas de cloud computer (computação na nuvem), smartphones e IoT (Internet das 
coisas), os riscos e vulnerabilidades inerentes a informação, possibilitaram um aumento das 
variáveis que ameaçam os alicerces da segurança da informação. 
Diante disso, é preciso analisar e alertar o usuário quanto a estes problemas, 
demonstrando os principais ataques planejados pelos engenheiros sociais e como os usuários 
de redes sociais estão sendo afetados por eles. Além disso, são observadas e tratadas áreas de 
risco, as quais os usuários estão vulneráveis para saber quando aplicar as medidas de 
segurança, disseminadas por profissionais da área. 
1.2 Justificativa e motivação 
Devido à falta de hábito da maioria dos utilizadores de redes sociais, em manter um 
olhar crítico sobre o próprio comportamento, e isso relacionado a acessibilidade à Internet que 
está cada vez maior, possivelmente os usuários podem ser persuadidos e dirigidos diretamente 
para uma armadilha. Vários métodos maliciosos foram desenvolvidos, onde até os mais 
famosos ainda continuam gerando vítimas. 
“A ameaça de uma invasão que viola a nossa privacidade, a nossa mente ou os 
sistemas de informações da nossa empresa pode não parecer real até que aconteça. 
Para evitar tamanha dose de realidade precisamos nos conscientizar, educar, vigiar e 
proteger os nossos ativos de informações, as nossas informações pessoais e as 
infraestruturas críticas da nossa nação. E devemos implementar essas precauções 
hoje mesmo.”(MITNICK e SIMON, 2003, p. 7). 
Nunca é cedo demais para uma iniciativa de segurança, para implementar 
contramedidas e reavaliar os processos tomados como seguros, por parte de uma organização 
e até pessoalmente nos sites de redes sociais. 
Segurança sempre esteve entrelaçado com privacidade em todos os sentidos, 
contudo, Mitnick e Simon (2003), mostram a importância do fator humano que é classificado 
por eles como o elemento mais importante na gestão de segurança da informação, e também 
como o elo mais fraco da corrente. 
“É natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa 
ideia de segurança” (MITNICK e SIMON, 2003, p. 3). 
 
 
16 
A Internet contribui para a multiplicação e incentivo dos crimes online, uma vez que 
a origem do ato malicioso, pode ser ocultada de forma que não se consiga descobrir o autor do 
ataque ou tornando a busca bem mais difícil. Os criminosos se passam por outras pessoas, 
mudam a localização que o ataque se originou, conseguem persuadir com facilidade usuários 
e colaboradores de uma organização, com o objetivo de capturar dados importantes e sigilosos 
sobre o alvo. 
1.3 Objetivo geral 
O objetivo desta pesquisa monográfica é analisar as formas de ataque pelo 
engenheiro social, disseminados nas redes sociais online, e as maneiras de defesa para que se 
tenha um perfil mais seguro, por meio de costumes recomendados a serem adotados. 
1.4 Objetivos específicos 
Quanto aos objetivos específicos tem-se: 
 Pesquisar sobre ataques relacionados à engenharia social, especificamente dando 
ênfase às redes sociais; 
 Fazer um estudo de caso utilizando a técnica de phishing; 
 Alertar os leitores sobre os crimes pelas redes sociais; 
 Mostrar a importância da leitura dos termos de uso de aplicativos e das redes 
sociais; 
 Despertar um olhar crítico para o engenheiro social; e, 
 Apresentar e sugerir, de uma maneira simples e utilitária, contramedidas para que 
as pessoas possam se proteger de ataques e incidentes em redes sociais. 
1.5 Metodologia 
Durante esta pesquisa, foram consultados livros, blogs, sites e artigos periódicos, 
com a finalidade de suprir assuntos inerentes à pesquisa, tanto na redação, no estudo de caso 
 
17 
utilizando a técnica de phishing ou na apresentação de contramedidas, para se proteger de 
ataques e incidentes em redes sociais. 
1.6 Organização do trabalho 
A presente monografia, encontra-se dividida e organizada nos seguintes capítulos: 
Capítulo 1, foi apresentado uma introdução e contextualização geral do tema 
abordado, destacando os objetivos da monografia e a cibersegurança em redes sociais; 
Capítulo 2, apresenta um referencial teórico, em que são apresentados os principais 
conceitos relativos as redes sociais online, como, a sua origem e o grande sucesso em todas as 
culturas e crenças, destacando a permanência das pessoas, com estatísticas de utilização em 
todo o mundo. Neste capítulo, ainda é abordado o termo engenharia social, para que se possa 
entender o que é, onde é aplicada, e seus diversos métodos de ataque, destacando autores de 
renome, que expressam seus pontos de vista em livros e trabalhos de pesquisa; 
Capítulo 3, apresenta uma abordagem sobre o aspecto de como manter-se mais 
seguro, para que se compreenda a importância de etapas como: a leitura dos termos de uso, 
para ciência do quanto a privacidade do usuário está sendo acessada, os controles de 
privacidade, que fazem o papel de regrar quem pode ver o que, e também, para que se possa 
estabelecer comportamentos e boas práticas de uso evitando vulnerabilidades e golpes; 
Capítulo 4, apresenta o estudo de caso utilizando a técnica de phishing através da 
rede social Facebook, com a ajuda de um site externo. Neste capítulo, descreveu-se como o 
caso foi tratado e os resultados das condutas dos usuários diante deste tipo de golpe; 
Capítulo 5, apresenta as considerações finais, concluindo a pesquisa sobre a 
engenharia social nas redes sociais, e em seguida, apresenta algumas sugestões de trabalhos 
futuros na área do tema. 
 
18 
Capítulo 2 – O impacto da engenharia social nas redes sociais 
Socializar, conversar, interagir sempre foram premissas para os seres humanos, desde 
a antiguidade. Devido a essas necessidades, as pessoas começaram a desenvolver meios de 
comunicação mais eficazes, rápidose dinâmicos. Os sites de redes sociais se enraizaram 
fortemente na sociedade, efetivamente em virtude de sua grande utilidade e facilidade para 
encontrar amigos, familiares, debater e expor algo para outros usuários. No entanto, é preciso 
manter-se alerta em meio a tantos integrantes da rede, como os criminosos cibernéticos e 
engenheiros sociais. Eles também utilizam esses sites para monitorar vítimas, de maneira a 
obter e conhecer o seu alvo, a partir de informações cedidas pela própria pessoa no seu perfil, 
onde maior parte não configura as opções de privacidade. 
Este capítulo apresenta, de maneira sucinta, alguns conceitos relativos ao surgimento 
das redes sociais e da engenharia social; além das técnicas comumente utilizadas pelos 
hackers, na tentativa de capturar informações através da interação nestes ambientes sociais. 
2.1 Redes sociais em palavras 
Os sites de redes sociais, são constituídos por integrantes com interesses em comum, 
que formam uma comunidade com ligação e intenção de compartilhar conteúdo. A partir de 
hábitos como curtir, compartilhar, adicionar, seguir outras pessoas, acompanhar o que elas 
gostam, elas tornaram-se uma febre em qualquer faixa etária. 
“We define social network sites as web-based services that allow individuals to (1) 
construct a public or semi-public profile within a bounded system, (2) articulate a 
list of other users with whom they share a connection, and (3) view and traverse 
their list of connections and those made by others within the system. The nature and 
nomenclature of these connections may vary from site to site.” (BOYD e ELISSON, 
2007, pág. 2). 
 
19 
Para Mislove et al. (2007), três componentes são essenciais nas RSO (Rede 
Sociais Online): usuários cadastrados, possibilidade de criar links entre usuários e a 
possibilidade de segmentar os links em grupos, reunindo usuários com interesses comuns. 
Identifica-se que o maior atrativo dos sites de redes sociais não é realmente conhecer 
outras pessoas, mas sim, permitirem seu perfil ser visualizado por outros usuários, expondo 
sua vida para o círculo de amigos. De acordo com Cerqueira e Silva (2011) as redes sociais 
sempre existiram, pois, a sociedade é, e sempre foi organizada em rede. 
As conexões vão ainda mais longe: além de formar as redes pela conversação, é 
possível formar uma rede de contatos onde jamais houve qualquer tipo de interação recíproca. 
E essa conexão, embora não recíproca, pode dar ao ator acesso a determinados valores sociais, 
que de outra forma não estariam acessíveis, tais como determinados tipos de informações. 
Considera-se essa conexão como social, porque o ator adicionado é informado deste 
acréscimo, podendo impedi-lo, se desejar. (RECUERO e ZAGO, 2009) 
2.1.1 Nascimento das redes sociais 
SixDegrees.com em 1997 foi o primeiro site de rede social a ser lançado, segundo 
Boyd e Ellison (2007), onde permitiu que os usuários criassem perfis, listassem seus amigos 
e, a partir de 1998, navegassem nas listas de amigos. Cada um desses recursos existia de 
alguma forma antes de SixDegrees. AIM e ICQ, forneciam serviços de bate papo, suportavam 
listas de amigos, embora os amigos não eram visíveis para os outros. Classmates.com 
permitiu que as pessoas se afiliassem com sua escola ou faculdade, navegassem na rede com 
outros que também eram afiliados, mas os usuários não podiam criar perfis ou lista de amigos 
até anos mais tarde. SixDegrees foi o primeiro a combinar todos esses recursos. 
Em 2002, Friendster é lançado com o conceito de círculo de amigos que relaciona 
usuários com os amigos de seus amigos. Problemas técnicos como falta de servidores para 
tantos acessos e vários concorrentes surgindo acabou levando ao desligamento do site em 
2011. (SANTOS, 2014) 
2003 foi o ano do surgimento do MySpace considerado um dos pioneiros no sentido 
multimídia das redes sociais, a página foi criada em apenas dez dias como “um clone do 
Friendster”. Hoje é alvo de músicos e bandas. (JESUS, 2012) 
 
20 
Também lançado em 2003, o LinkedIn, segundo JESUS (2012), surgiu com uma 
proposta totalmente diferente. A rede social que existe até hoje, não tinha como objetivo 
reunir amigos, mas sim contatos profissionais. Era a origem de algo muito comum hoje em 
dia: a criação de sites de relacionamento segmentados e voltados a apenas um determinado 
tipo de público e não para o internauta em geral. 
O Orkut, iniciado em 2004, foi a rede social mais acessada pelos brasileiros durante 
muitos anos e a porta de entrada para a Internet no Brasil. Para 82% daqueles que acessam as 
redes, o Orkut foi a primeira delas. (IBOPE, 2010) Essa rede social teve seu desligamento 
oficial em 2014 por motivos de concorrência. 
O Facebook, primeiramente chamado Thefacebook surgiu em 2004 junto com o 
Orkut; mas, de acordo com Boyd e Elisson (2007), no começo era uma rede social somente 
para membros da Universidade de Harvard. Desta forma, para se tornar um usuário era 
necessário um e-mail da instituição. Com o sucesso eminente o Facebook decidiu expandir 
seu acesso, permitindo outras instituições de ensino. Em setembro de 2005, abriu as portas 
para estudantes do ensino médio, profissionais e eventualmente a todos, se tornando a rede 
social mais famosa em todo o mundo desde 2012, atraindo e entretendo usuários com a 
possibilidade de criar páginas para conteúdo específico, grupos de amigos, enviar mensagens, 
se divertir com vários jogos, postar fotos, comentar suas fotos e a de amigos, postar 
mensagens e outros vários recursos padrões das redes sociais atuais. 
2.1.2 Crescimento no mundo inteiro 
A vontade de se expor para as outras pessoas, compartilhando com um certo público 
o que fazem durante o seu dia, alimenta o desejo de reconhecimento, influenciando bastante o 
meio social. Alguém com baixa autoestima pode encontrar nas redes sociais a aprovação 
desejada. Além disso, no mundo virtual tudo é perfeito, todos são felizes e as pessoas sentem-
se de alguma forma protegidas por não precisarem expor suas imperfeições. (KILINSK, 
[20??]) 
Os smartphones têm um papel muito grande na ascensão de redes sociais, pela 
portabilidade que oferecem, como conexão à Internet em quase qualquer lugar e facilidade de 
disseminar um fato ocorrido utilizando meios multimídias como fotos, vídeos e áudios, 
 
21 
gravados no momento do acontecimento. A evolução desses aparelhos, possibilitou novos 
recursos e o desenvolvimento de novas RSO, no paradigma de aplicativos. 
“Quando acordamos, a primeira coisa que fazemos é pegar o telefone celular e olhar 
as últimas novidades de nossos amigos no Facebook, verificando atualizações de 
notícias no Twitter ou curtindo fotos no Instagram.” (RIBEIRO, 2016). 
Com mais de 1 bilhão de contas cadastradas e 1,8 milhões de usuários ativos, o 
Facebook domina como a mais famosa entre as redes sociais em todo o mundo. A Figura 1 
mostra um gráfico de barras, de janeiro de 2017, que demonstra em milhões a quantidade de 
usuários ativos nas redes sociais mais acessadas. 
 
Figura 1 - Número de usuários ativos em milhões. 
Fonte: Adaptado do site: https://www.statista.com/statistics/272014/global-social-networks-ranked-by-
number-of-users/ 
 
Em 2010, o Instituto Brasileiro de Opinião Pública e Estatística (IBOPE), realizou 
uma pesquisa em parceria com a Worldwide Independent Network of Market Research (WIN), 
onde os resultados mostram que 87% dos internautas brasileiros acessam redes sociais, com 
tendência de crescimento, em que, 20% da população pretende entrar no mundo das redes 
sociais num futuro próximo. A quantidade de brasileiros online em 2015, segundo o Índice 
Brasileiro de Geografia e Estatística (IBGE), ultrapassou os 100 milhões, com isso,subiu para 
57,5% a porcentagem da população brasileira que navega na rede. 
A Figura 2, apresenta um gráfico onde mostra o tempo médio gasto por grandes 
países nas mídias sociais em horas a cada dia. O Brasil está em segundo lugar, com o tempo 
médio de quase 4 horas por dia. 
 
22 
 
Figura 2 - Tempo gasto nas mídias sociais. 
Fonte: https://wearesocial.com/sg/blog/2017/01/digital-in-2017-global-overview 
 
2.1.3 Como funciona a engenharia social 
Segundo Júnior (2006), a engenharia social consiste em técnicas utilizadas por 
pessoas, com o objetivo de se obter acesso e informações importantes e/ou sigilosas em 
organizações ou sistemas por meio da ilusão ou exploração da confiança das pessoas. O termo 
“engenharia”, foi atribuído a essa prática, porque é construída sobre informações e táticas de 
acesso a dados sigilosos de forma indevida. Já o termo “social”, foi atribuído porque utiliza 
pessoas que vivem e trabalham em grupos organizados. 
O exemplo dos “trotes de presídio”, que acontece por meio de uma ligação na qual os 
criminosos encenam um sequestro de um familiar da vítima, e como resgate exigem dinheiro 
ou até crédito para celular, é uma maneira de conseguir dados de forma que a pessoa deixe o 
medo falar mais alto, e acabe cedendo nomes, senhas e endereços. O principal objetivo é 
abalar o psicológico de um indivíduo, motivando-o pelo medo, a passar informações chave 
para um golpe bem-sucedido. Este tipo de comportamento se assemelha ao do engenheiro 
social. 
Para Mitnick e Simon (2003) há duas especialidades dentro da classificação do cargo 
de “artista da trapaça”. Alguém que faz falcatruas e engana as pessoas para tirar o seu 
dinheiro, pertence a uma subespecialidade chamada grifter. Alguém que usa a fraude, a 
 
23 
influência e a persuasão contra as empresas, em geral visando suas informações, pertence a 
outra subespecialidade: o engenheiro social. 
No passado, os engenheiros sociais precisavam se expor fisicamente para coletar 
referências e executar um ataque. A maneira mais utilizada era fazendo ligações, se passando 
por uma outra pessoa, com desculpas e capacidades de adaptação rápida a uma situação 
inesperada, conseguindo dados e assim acesso a informações sigilosas do alvo. 
O engenheiro social tem como principal alvo as organizações, por oferecerem algo 
de valor que possa ser usufruído ou roubado, para tal, realiza pesquisas sobre seu alvo 
procurando por alguns de seus funcionários, levantando informações relevantes a políticas, 
cultura, processos da organização para então trabalhar em um plano de ataque. A tabela 1 
descreve o perfil de um engenheiro social. 
Tabela 1 – Perfil de um engenheiro social 
Fonte: TUBAN et al (2004) apud BALDIM, 2007 
CARACTERÍSTICA DESCRIÇÃO 
Sexo 
Homens brancos, com idades entre 19 e 30 anos, sem antecedentes criminais. 
(As mulheres têm tendência de serem cúmplices). 
Ocupação 
Programador de aplicativos, usuário de sistema, pessoal administrativo, 
estudantes, gerentes. 
QI QI elevado, inteligente, boa aparência e criativo. 
Aparência Aparentemente autoconfiante, ambiciosa e dinâmico. 
Abordagem ao trabalho 
Gosta de aventuras, disposto a aceitar desafios tecnológicos, altamente 
motivado. 
 
Os sistemas de segurança evoluíram e se sofisticaram, conseguindo barrar muitas 
ameaças e ataques cibernéticos, compondo dois dos três aspectos dos ativos da informação, 
sendo esses o hardware e o software. O terceiro aspecto, com base nas abordagens de Stimmer 
(2011) e, Mitnick e Simon (2003), é o peopleware, que cobre toda a parte de tarefas e 
atividades de pessoas envolvidas no desenvolvimento, design, operação e uso de sistemas 
computacionais, e ser devem ser a maior preocupação. 
Comumente, quando um funcionário consegue ingressar em uma empresa, logo 
deseja compartilhar sua alegria com seus amigos online de ter conquistado algo que almejava, 
tirando uma foto em seu novo posto, outra com seu novo crachá e atualiza as informações do 
perfil com o novo emprego. Olhando por outros ângulos, Hadnagy (2015) em um boletim 
informativo no site “Security through education”, alerta sob esse tipo de comportamento, 
destacando aspectos como: 
 
24 
 Agora, um invasor sabe exatamente como é o crachá da empresa; 
 Recriar esse crachá foi facilitado; 
 Dezenas de funcionários divulgam seus nomes completos, bem como os papeis 
na empresa; 
 Muitas das imagens também contêm espaços de trabalho e muito mais. 
Vide Figura 3. 
 
Figura 3 - Foto de funcionário expondo seu crachá. 
Fonte: Adaptado do site: https://www.social-engineer.org/newsletter/6132/ 
 
Silva et al (2013), enfatiza outra vertente do assunto, os funcionários insatisfeitos, 
expondo a perspectiva em que não adianta a organização investir em sistematização de 
processos e implementação de tecnologias sofisticadas, se os seus funcionários estão 
insatisfeitos, podendo utilizar informações corporativas de forma intencional e indevida. Se 
não estiverem conscientes das ameaças existentes através do relacionamento interpessoal, e da 
comunicação humana dentro e fora da organização, possivelmente o repasse de informações 
sigilosas, de forma involuntária a pessoas mal-intencionadas por meio da engenharia social, é 
uma consequência quase certa. Isso deveria ser uma grande preocupação de empresas que 
desejam as manterem seguras. 
 
 
25 
2.2 Ataques e incidentes em redes sociais 
Os ataques do engenheiro social podem ir além da especulação em redes sociais, 
passando a instigar a curiosidade do alvo com mensagens contendo assuntos como: “Boleto 
Atrasado”, “Olhe essa foto sua”, “Não acredito que isso aconteceu”, induzindo a vítima a 
realizar o download de algum arquivo em anexo, contaminando seu computador. 
Pequenas e grandes empresas utilizam as redes sociais para estratégia de mercado 
assim como seus funcionários possuem perfis para interação, portanto é indispensável que a 
organização adote medidas para que os colaboradores possam compreender a importância em 
manter as informações seguras. 
2.2.1 Técnica de phishing 
Na tentativa de capturar informações, confundindo o usuário, é aplicado pelos 
atacantes o chamado phishing, que diz respeito a sites falsos que imitam os originais, muitas 
vezes os de Internet Banking e redes sociais, criados na tentativa de mascarar o ataque. 
Ao contrário de um arquivo anexado, é dado um link de uma página web para ser 
acessada, onde é aberto um site para que o usuário possa inserir seus dados e, assim, utilizar o 
serviço. Na verdade, ele está digitando em um campo que captura as informações, as envia ao 
atacante e redireciona o indivíduo ao site original. Também, são comuns formulários online 
em que a pessoa preenche seus dados para receber um prêmio, mas na verdade, é apenas outra 
maneira de executar o golpe. 
O phishing por mensagens no e-mail é um dos mais famosos ataques e que ainda 
continuam gerando muitas vítimas. Toda a atenção é necessária antes de acreditar no que se 
recebe, por mais que pareça verídico. A Figura 4 mostra o quão convincente os sites podem 
ser, entretanto, analisando essa página, percebe-se no endereço do site www.lolomgz.a.gp ao 
invés de www.facebook.com. 
 
26 
 
Figura 4 - Site falso do Facebook. 
Fonte: Adaptado do site: http://yakimanetworking.com/uncategorized/phishing-scams-not-just-websites-
anymore/ 
 
A Microsoft, empresa que mantém o sistema operacional Windows, no artigo “How 
to recognize phishing email messages, links, or phone calls”, em seu site, faz um alerta aos 
usuários, e destaca a engenharia social para convencer a vítima instalar um software malicioso 
ou entregar suas informações pessoais sob falsos pretextos.Os cibercriminosos podem 
chamá-lo no telefone e oferecer para ajudar a resolver os problemas do seu computador ou 
vender uma licença de software. 
A acessibilidade a dispositivos móveis, especialmente os smartphones, acelerou a 
comunicação entre as pessoas pela mobilidade e fácil utilização. Sendo assim, um indivíduo é 
mais propício a ler uma mensagem em seu celular, do que abrir seu e-mail para verificar se 
alguém o contatou. 
O smishing foi desenvolvido exatamente por esse motivo, com ofertas tentadoras 
através de mensagens de texto, disparadas para números de smartphones aleatórios na 
tentativa de alguém retornar o contato ou acessar um link anexado a mensagem. É bastante 
utilizado no envio de SMS, de acordo com a Norton Antivírus, números como “5000”, que 
não se parecem com números de telefones. 
Em abril de 2017, de acordo com o site Tecmundo, mais de 50 milhões de brasileiros 
caíram em um golpe que foi espalhado no aplicativo de dispositivos móveis WhatsApp, onde 
promove uma campanha falsa sobre uma empresa de cosméticos que estava oferecendo um 
vale-presente no valor de R$ 500,00 reais. Através de uma “corrente”, os usuários eram 
persuadidos a clicar em um link e assim eles eram direcionados para uma página onde haviam 
 
27 
três perguntas relacionadas à marca e após inserir seus dados, tais como: nome, telefone e 
CPF. Os criminosos cadastravam a vítima em sites maliciosos, que realizavam cobranças. 
Também era feito downloads de aplicativos falsos que podem infectar o celular. 
A Figura 5 ilustra um exemplo da forma de ataque smishing no WhatsApp e o 
website que era utilizado para roubo das informações pessoais das vítimas. 
 
Figura 5 - Smishing no WhatsApp. 
Fonte: Adaptado do site Tecmundo (2017). 
 
O smishing usa elementos de engenharia social para que a vítima compartilhe suas 
informações pessoais. Essa tática alavanca a confiança do indivíduo para obter informações 
que o "smisher" – pessoa que pratica smishing, está procurando. Pode ser qualquer coisa, de 
uma senha online, o seu Cadastro de Pessoa Física e as informações do seu cartão de crédito. 
Uma vez que o smisher possui esses dados, eles podem começar a solicitar novos cartões de 
crédito em seu nome, e aí os problemas começam de verdade, explica o site do antivírus 
Norton em seu artigo: “What Is Smishing?”. 
2.2.2 Spyware 
Os spyware são programas espiões secretos que rodam por trás do sistema 
operacional do computador, para que o usuário não se dê conta que ele está ali. A empresa 
Symantec que mantém o antivírus Norton, define o vírus como: um coletor de informações 
relacionadas ao computador infectado e sua forma de uso, monitorando o navegador de 
 
28 
Internet podendo transmitir para um ladrão de identidades, nomes de usuários, senhas, 
números de cartões de crédito, sites mais acessados, dentre outros. Ele geralmente é instalado 
pelo próprio usuário, amarrado em um outro software, ou a downloads em sites de músicas, 
filmes e vídeos sem que o usuário perceba. 
No Facebook, o ataque é disseminado principalmente no bate-papo do site, pelo fato 
da vítima não configurar as opções de segurança corretamente, permitindo que pessoas não 
integrantes de sua corrente de amigos possam as enviar mensagens, ou, acabam aceitando 
uma solicitação de um desconhecido. 
A Figura 6 ilustra um exemplo da forma de ataque disseminado pelo bate-papo do 
Facebook. 
 
Figura 6 - Arquivo malicioso disseminado pelo bate-papo do Facebook. 
Fonte: Adaptado do site Virusai (2015). 
 
2.2.3 Scam 
Os chamados scams online, “golpes online” em português, são esquemas 
fraudulentos que um atacante desenvolve, podendo tomar a forma de um software mal-
intencionado, como um vírus ou spyware. É uma maneira de roubar suas senhas e ter acesso à 
sua conta bancária, ou poderá ainda usar e-mails de phishing e engenharia social para 
extorquir dinheiro, explica o site do antivírus Avast, que também complementa: "Se é algo 
muito bom para ser verdade, provavelmente não é". 
Muitos dos scams online, oferecem uma boa quantia em dinheiro e tudo que a vítima 
precisa fazer é realizar um pequeno depósito para cobrir as chamadas taxas de processamento. 
Na Figura 7 tem-se um exemplo da forma de ataque disseminado através de um banner falso 
no Facebook. 
 
29 
 
Figura 7 - Banner falso do Facebook oferecendo créditos grátis para aplicativos externos. 
Fonte: http://awarenessact.com/top-5-scams-effecting-facebook-users/ 
 
Já os scams que instalam softwares maliciosos em um computador, tentarão forçar o 
download de arquivos, como por exemplo uma janela pop-up – janelas que aparecem na tela 
repentinamente ao clicar em algo, onde informa que o computador foi infectado por um vírus 
e, para se livrar dele, só é preciso baixar um (fraudulento) programa de antivírus. 
Um dos mais lucrativos scams espalhado pelos criminosos, é o ransomware. 
Também um software malicioso, instalado no computador da vítima, que codifica os arquivos 
do computador e pede uma senha, antes da restauração do sistema em seu estado normal. 
Comenta a empresa Symantec no seu site, sobre o mega ataque aplicado em maio de 2017 ao 
redor do mundo, atingindo mais de 150 países, explorando uma vulnerabilidade no sistema 
operacional Windows. 
2.2.4 Aplicativos externos vinculados as redes sociais 
Nota-se que, em vários sites que oferecem um serviço ou em sites de jogos, é 
necessário um cadastro para sua utilização, sendo possível criá-lo por meio de uma conta 
existente no Facebook, Twitter ou o Google Plus. Feito isso, a aplicação tem acesso aos dados 
que o usuário havia inserido nessa rede social, dessa forma agilizando o processo de ingresso. 
 O problema, está quando o indivíduo não tem certeza se o aplicativo externo ou site 
é autêntico, tampouco verifica o que está permitindo ao serviço fazer com as suas informações 
disponibilizadas pela rede social, já que há a possibilidade do aplicativo enviar mensagens aos 
 
30 
amigos do usuário, fazer postagem no nome do usuário, realizar a leitura de toda a rede de 
amigos e as informações básicas da pessoa, facilitando a distribuição de links maliciosos com 
o perfil da vítima. 
Na Figura 8, tem-se um exemplo de uma solicitação de uma aplicação externa ao 
Facebook, que deseja acesso as informações básicas do usuário, realizar postagens no perfil 
da pessoa e ver o que os amigos do indivíduo estão postando. 
 
Figura 8 - Solicitação de uma aplicação externa no Facebook. 
Fonte: https://permadi.com/2010/11/facebook-open-graph-api-authenticating-in-iframe-applications/ 
 
2.2.5 Cyberstalking 
Uma definição clara para cyberstalking é imaginar uma pessoa caminhando em uma 
rua deserta e, esta, notar que está sendo seguida. O perseguidor se aproxima e começa a 
realizar ameaças e acusações, consequentemente, a vítima corre para afastar-se, porém, onde 
quer que ela vá, o criminoso consegue alcançá-la sem dificuldades, pois é conhecedor de seus 
comportamentos e manias. 
Levando a mesma situação para o contexto cibernético, a vítima poderia ser um 
usuário qualquer que faz uso de um serviço ou dispositivo tecnológico. O perseguidor, neste 
caso um “stalker”, não é somente um engenheiro social, pode ser também uma pessoa 
próxima. Merritt (20??) cita em seu artigo, “Straight Talk About Cyberstalking”, que estes 
tipos de crimes são frequentemente perpetuados por um ex-namorado(a), ex-amigo(a), ou 
 
31 
alguém que queira somente incomodar. Ele ainda conclui que as características inclusas no 
cyberstalking podem ser: 
 Falsas acusações; 
 Monitoramento da vítima pelos meios tecnológicos; 
 Ameaças; 
 Roubo de identidade; e, 
 Destruição e manipulação dedados. 
A APAV (2015) – Associação Portuguesa de Apoio à Vítima, em uma de suas folhas 
informativas explica que qualquer pessoa, independentemente do sexo, etnia, faixa etária, 
orientação sexual ou classe social, pode ser vítima de cyberstalking em algum momento da 
sua vida, e segundo Spagnol (2016), a frequência com as mulheres é maior. 
2.2.6 Engenharia social reversa 
Engenharia Social Reversa (ESR) é uma técnica que requer mais experiência do 
atacante, pois ele precisa fazer com que o indivíduo venha ao seu encontro. E, para tal, 
segundo Irani et al (2011) existe uma comparação entre a engenharia social e a engenharia 
social reversa que pode ser melhor explicada pelas seguintes versões: usando a engenharia 
social, seria uma ligação direta aos usuários de um sistema se passando pelo administrador do 
sistema e pedindo-lhes suas senhas por telefone, o que poderia levantar suspeita em alguns 
usuários. Na versão da engenharia social reversa para o mesmo ataque, seria o envio de um 
número de telefone por e-mail para os alvos, forjando um e-mail do administrador do sistema. 
O e-mail pode instruir os usuários a chamar este número em caso de problemas. Neste 
exemplo, qualquer vítima que ligar para o número de telefone informado, provavelmente não 
terá receios, ou nem mesmo suspeitará de algo; e, consequentemente estará mais disposta a 
compartilhar informações, já que foi ela quem iniciou o primeiro contato. 
Um primeiro passo, conforme Irani et al (2011) depende de alguma maneira 
chamativa para estimular a curiosidade da vítima. E, num segundo momento, uma vez 
despertado o interesse, o atacante espera que a vítima faça a abordagem inicial e estabeleça o 
contato. 
 
32 
Um ataque ESR, geralmente requer que o atacante crie um personagem que pareça 
confiante para a vítima e que a encorajaria a iniciar a comunicação. 
2.3 A cibersegurança 
A conectividade que as redes sociais proporcionam, agilizando a vida diária das 
pessoas com informações variadas, também é a mesma plataforma utilizada para a troca de 
dados roubados entre criminosos, que encontraram nestes serviços oportunidades para o 
anonimato, fraudes e se passar por outra pessoa sem muitos problemas. 
Os cibercrimes e incidentes somente no Brasil no ano de 2014 extrapolaram a casa 
dos milhões, segundo informações do Centro de Estudos, Respostas e Tratamento de 
Segurança (Cert.br) como mostra a Figura 9, que relaciona os totais de incidentes reportados 
desde 1999 a 2015. 
 
Figura 9 - Total de incidentes reportados ao CERT.br de 1999 a 2015. 
Fonte: https://www.cert.br/stats/incidentes/#2015 
 
O jornal O Globo, em uma de suas matérias na internet sobre a cibersegurança, 
destacou como principais queixas, as fraudes financeiras e o golpe por meio da técnica de 
phishing, explicada na seção 2.2.1. Muitos indivíduos nem sabiam explicar como ocorreu o 
golpe. 
As redes sociais são frequentemente usadas para marketing falso, contas de usuários 
fictícios e aproveitamento de um escândalo para promover algo, longe de se tornar um canal 
confiável. Por meio de um questionário, a Kaspersky Lab, empresa de segurança, identificou 
que 30% dos usuários das redes compartilham suas postagens, localização e outras 
 
33 
informações pessoais com usuários desconhecidos. Certos disso, os atacantes neste ambiente 
se multiplicam com plena convicção, que poderão persuadir e aplicar um golpe com sucesso. 
Um fato relatado, é informado em um relatório do Facebook (2016), onde diz que 2% de seus 
usuários médios mensais – por volta de 31 milhões de contas, são falsas. 
2.4 Conclusão 
As redes sociais são sem dúvida os meios mais eficazes de comunicação, detendo 
uma gama de usuários conectados todos os dias, porém, como no mundo real existem formas 
de enganar pessoas, no mundo virtual isso não é diferente, o que muda é a abordagem. O 
engenheiro social, dotado de habilidades persuasivas e com a intenção de aplicá-las em 
golpes, no passado, se arriscava muitas vezes para conseguir pequenas informações, e assim, 
ir montando seu quebra-cabeça. Entretanto, nos dias atuais, ele age com técnicas aprimoradas 
e com a Internet, em que não precisa expor-se em público, além disso tem uma maior 
facilidade de se passar por outra pessoa. 
No capítulo 3 serão apresentados alguns recursos disponíveis para que você, leitor, 
possa se manter em alerta e, assim, despertar um olhar crítico aos criminosos online. 
 
34 
Capítulo 3 – Contramedidas para a Cibersegurança 
A progressiva dependência da Internet para relação entre as pessoas, automação dos 
equipamentos médicos, das redes elétricas e da IoT abriu vastas possibilidades para 
criminosos online praticarem seus ataques. 
Como mostrado no capítulo anterior, os ataques são planejados estrategicamente com 
o objetivo de confundir a vítima e persuadi-la a ajudar no ataque, seja clicando em um link, 
uma foto, baixando um arquivo e até mesmo cedendo informações sem terem a consciência 
disso. 
Neste capítulo serão abordadas as técnicas que um internauta deveria desenvolver, 
para, assim, poder navegar na Internet e também nas redes sociais com mais segurança. 
3.1 Termos de segurança 
Políticas de privacidade ou termos de segurança é uma nota para o utilizador de uma 
rede social ou qualquer outro site em que a empresa faz uma declaração de como as 
informações inseridas em seus serviços são tratadas e utilizadas por elas mesmas. A partir da 
leitura desses termos, o usuário estará apto a escolher se aceitará participar da aplicação, 
apoiando a maneira em que seus dados serão manuseados por outras pessoas ao se ingressar 
no serviço. 
A PSafe, empresa brasileira de serviços de segurança para dispositivos móveis, alerta 
sobre a importância de se ler e ficar atento às atualizações que podem sofrer os termos de 
segurança. A empresa cita um anúncio do Twitter, no fim de 2014, relacionado a sua intenção 
de coletar listas dos aplicativos instalados nos smartphones para direcionar serviços e 
publicidades. No entanto, essa iniciativa não teve aprovação universal e gerou grandes 
polêmicas. O Twitter teve que se justificar, e afirmou que não estava colocando todos os 
 
35 
dados dentro dos aplicativos e que os usuários têm a opção de sair a qualquer momento. O 
problema é que o diretor de políticas da Open Rights Group, empresa de organização de 
campanhas baseadas em direitos digitais do Reino Unido, Javier Juiz, garantiu que essa 
iniciativa pode revelar informações pessoais e sensíveis dos usuários. (NOVAES, 2015) 
Além disso, os provedores do serviço das redes sociais online exercem um controle 
muito grande sobre os dados do usuário. Estes provedores possuem uma política de 
privacidade segundo a qual o usuário, ao concordar, renuncia a determinados direitos e 
privilégios. Com o discurso de melhorar os serviços prestados, as redes sociais coletam e 
armazenam dados dos usuários, como idade, sexo, interesses pessoais, educação, ocupação e 
endereço IP (Internet Protocol, é o principal protocolo de comunicação da Internet). Dessa 
forma, ainda que o usuário configure todas as suas preferências de privacidade, ele não será 
detentor total do controle sobre suas informações. (AÏMER et al, 2009 apud GOMES, 2009) 
O hábito da não leitura é comum entre a população, que visa usufruir de serviços 
pelo conforto que podem proporcionar e pelas facilidades de comunicação que possuem; 
acordando consequentemente com cada linha dos termos de privacidade, sem nem ao menos 
ter aberto o documento. 
Políticas de privacidade são relevantes neste contexto, dado que nela está contida as 
formas em que o detentor dos dados e informações inseridos em seus serviços, poderá utilizá-
las legalmente,sendo assim, cabe ao usuário a obrigação da leitura, tendo consciência sobre 
onde seus registros serão aplicados. 
3.2 Controle de privacidade 
Segundo Naraine (201?), as redes sociais no seu nível mais básico, fornecem um 
conjunto de recursos para que os utilizadores finais criem e personalizem configurações de 
privacidade para aprovar outros membros que podem ver seu perfil. Também oferece a 
capacidade de bloquear um membro indesejado. 
A opção de poder controlar o público que conseguirá visualizar uma postagem 
individualmente e o perfil como um todo, é uma das mais importantes formas para a 
segurança de uma conta nas redes sociais. No entanto, Naraine (201?) explica que as 
ferramentas oferecidas por estes sites para proporcionar privacidade aos dados do usuário, não 
são suficientes para assegurá-la. 
 
36 
As possibilidades de configuração de exibição vão desde só o autor da postagem até 
qualquer pessoa, mesmo se esta não estiver no círculo de amigos do usuário. Atualizá-las com 
frequência, especialmente quando novos termos de serviços são divulgados e/ou o site for 
atualizado, explica Bannwart (2013), é o básico para melhorar a segurança. Ele complementa 
enfatizando os ajustes das configurações para evitar a exibição dos dados do usuário em 
pesquisas do Google, por meio dos seus robôs automatizados que buscam por informações 
públicas disponíveis na Internet. 
Um fato é que, mesmo os usuários tendo conhecimento sobre a existência das 
configurações de privacidade, a maior parte não se importa em modifica-las. Uma prova 
disso, segundo Strater e Richter (2007), são análises em grande escala sobre a configuração de 
privacidade do Facebook, realizadas nas redes universitárias que indicam uma média de 87% 
dos universitários, têm configurações padrão. Embora a maioria dos usuários tenham 
conhecimento das opções de privacidade do Facebook, menos da metade da pesquisa nunca 
nem mesmo as alteraram. 
3.3 Não ser inocente 
A ânsia de ser uma pessoa popular e reconhecida por todos, acaba cegando o usuário 
no tocante as ameaças existentes, já que, por vezes, aceita pessoas desconhecidas entrarem em 
seu círculo de amigos podendo dessa forma bisbilhotar o que está acontecendo. Uma conversa 
amigável em um bate-papo online com um desses indivíduos talvez seja comum ao usuário, 
no entanto muitos casos de ataques são iniciados dessa forma, fortificados pela inocência e o 
fato de imaginar que um desconhecido está tentando ser legal. 
“Não temos consciência da ameaça, em particular no mundo ocidental. Nos Estados 
Unidos, não somos treinados para suspeitarmos uns dos outros. Somos ensinados a 
"amar o próximo" e ter confiança e fé uns nos outros. Veja como é difícil para as 
organizações de vigilância de vizinhança fazer com que as pessoas tranquem suas 
casas e seus carros. Esse tipo de vulnerabilidade é óbvio, e mesmo assim parece ser 
ignorado por muitas pessoas que preferem viver em um mundo de sonhos — até se 
queimarem.” (MITNICK e SIMON, 2003, p. 7) 
 
A falta de contato físico com outra pessoa, gera um falso sentimento de segurança, se 
esquecendo que na Internet um usuário pode se passar por qualquer pessoa, dessa forma 
escondendo sua verdadeira identidade aplicando seus golpes e tornando mais difícil seu 
rastreamento. Entretanto, segundo Naraine (201?), por essa razão, passará a acreditar que 
 
37 
links vindos de pessoas na sua rede não oferecem perigo e se sentirá mais confortável para 
expor detalhes sobre sua vida na rede. 
De acordo com Gomes (2009), ainda que o usuário tenha um certo controle sobre seu 
perfil, ele está sujeito a outros fatores que influenciam diretamente na privacidade de suas 
informações. No que diz respeito às suas interconexões, por exemplo, ele não pode controlar o 
que outras pessoas revelam sobre ele. Um exemplo disso é a inserção de marcação em fotos. 
Um usuário pode adicionar uma foto ao seu álbum e, em seguida, inserir uma marcação para 
outro usuário que faça parte da sua rede social. Ainda que o usuário que recebeu a marcação 
não queira disponibilizar esta foto na rede, ele não tem controle sobre o que outros usuários 
publicam. Existe a opção de excluir a marcação, mas isto não vai impedir que outras pessoas 
tenham acesso aquele conteúdo. 
3.4 Reconhecer as técnicas de engenharia social 
Relacionando os itens anteriormente vistos, se tem uma noção do tamanho do perigo 
que se está exposto ao utilizar qualquer rede social. Conforme Santos (2014), o que torna os 
usuários mais propícios a serem vítimas da engenharia social é o desconhecimento sobre a 
engenharia social e suas técnicas, mas isso não significa que quem as conhece não sejam 
possíveis vítimas. 
“Assim como as peças de um quebra-cabeça, cada informação parece irrelevante 
sozinha. Porém, quando as peças são juntadas, uma figura aparece.” (MITNICK e 
SIMON, 2003, p. 21). 
Assim como o engenheiro social é dotado de técnicas para ler pessoas, pessoas 
deveriam ser capazes de reconhecer o engenheiro social, sendo que mesmo quem não acessa a 
Internet, está exposto a um ataque. Naraine (201?) em suas pesquisas constatou que as 
pessoas não exercem o mesmo grau de cautela em nas redes sociais, tal como aconteceria 
quando uma pessoa se comunicasse fisicamente. 
A atenção pela forma que uma pessoa desconhecida se aproxima é de suma 
importância, levando em consideração que a possibilidade de a vítima perceber detalhes 
mencionados na seção 2.1.3, evitando, dessa forma, a coleta de informações em um primeiro 
contato. 
A sensatez se torna um item importante neste assunto, com base que será o usuário o 
detentor da decisão de seguir ou não as boas práticas contra um engenheiro social, 
 
38 
principalmente, quando for realizar uma postagem multimídia – vídeo, foto, ou quando 
compartilhar sua localização no exato momento que está no local. 
3.5 Proteja você mesmo 
Os usuários deveriam adotar hábitos básicos para sua própria segurança, seguindo 
regras que podem diminuir o risco de se tornarem uma próxima vítima da engenharia social, 
não exclusivamente nas redes sociais, mas também no geral. 
A seguir são citadas medidas para manter-se mais seguro segundo a US-CERT, um 
departamento federal americano que procura, segundo seu website, se esforçar para uma 
Internet mais segura e mais forte, para todos os americanos; respondendo a grandes 
incidentes, analisando ameaças e trocando informações críticas de segurança cibernética com 
parceiros de confiança em todo o mundo. São elas: 
 Limitar a quantidade de informações pessoais postadas - Não postar 
informações que podem vulnerabilizar a vida pessoal, como o seu endereço ou 
informações sobre uma agenda ou rotina; 
 Lembre-se que a Internet é um recurso público - Somente postar informações 
que você está confortável com quem vê. Isso inclui informações e fotos em seu 
perfil e em blogs e outros fóruns; 
 Desconfie de estranhos - A Internet torna mais fácil para as pessoas deturpar 
suas identidades e motivos; 
 Seja cético - Não acredite em tudo que você lê online; 
 Avalie suas configurações - Aproveite as configurações de privacidade de um 
site; 
 Desconfie de aplicativos de terceiros - Aplicativos de terceiros podem fornecer 
entretenimento ou funcionalidades extras, mas tenha cuidado ao decidir quais 
aplicativos ativar; 
 Use senhas fortes - Proteja sua conta com senhas que não podem ser facilmente 
adivinhadas; 
 
39 
 Verificar políticas de privacidade - Alguns sites podem compartilhar 
informações como endereços de e-mail ou preferências de usuário com outras 
empresas; 
 Mantenha softwares, especialmente o seu navegador da web, atualizado - 
Instale atualizações de software paraque os invasores não possam tirar proveito 
de problemas conhecidos ou vulnerabilidades; e, 
 Utilize um bom software antivírus - O software antivírus ajuda a proteger o 
computador contra vírus conhecidos, portanto, você pode detectar e remover os 
vírus antes que eles possam causar algum dano. 
Quando for necessário acessar um site utilizando usuário e senha, como as redes 
sociais e de bancos por exemplo, é recomendado na primeira tentativa sempre digitar uma 
senha errada de propósito, sendo que, se for um site malicioso irá aceitá-la, porque ele não 
possuiu a senha armazenada e não retornará nenhuma mensagem de erro. 
Evitar acessar informações importantes a partir de conexões a Internet públicas ou 
compartilhadas, é recomendado pois não se tem conhecimento de quem está controlando a 
conexão, levando em consideração que o próprio criminoso poder ter aberto o acesso, 
justamente para as pessoas se conectarem e ele possa roubar as informações que trafegam em 
sua rede. 
Dicas básicas e fáceis podem evitar muita dor de cabeça, então é preciso se habituar 
a verificar sempre o endereço do site antes de utilizá-lo. É comum a criação de páginas a 
redes sociais que se parecem muito com as verdadeiras, cuidado com mensagens no chat e e-
mails falsos em nome de alguma organização como bancos, essas mensagens costumam 
conter erros de ortografia, formatação irregular e endereços totalmente fora do padrão. 
Dadas essas medidas de precauções, é possível visualizar claramente os perigos que 
rondam os usuários. Estes podem ser evitados a partir da adoção de hábitos tão simples 
quanto os citados, e além do mais não se deixar levar pelo querer de “ser popular”, mostrando 
o seu dia a dia, hábitos, familiares e costumes para total desconhecidos. 
 
40 
3.6 Conclusão 
O fato dos mais variados tipos de serviços migrarem para a Internet, a fez o lugar 
preferido para o engenheiro social aplicar seus ataques fraudulentos. Em reação a esse fato, 
departamentos como a US-CERT, conforme já mencionado na seção 3.5, desenvolveram 
normas para que o usuário possa navegar com mais segurança, isso se o usuário seguir as 
regras. Entretanto, nenhuma pessoa deveria se sentir segura apenas pelo fato de acompanhar 
rigidamente o que foi sugerido. 
Sendo assim, cabe ao usuário a decisão de adquirir as boas práticas ao utilizar um 
serviço online, conseguindo mais segurança não só a ele, mas também a sua carreira 
profissional, amigos e familiares próximos. 
No capítulo 4, será apresentado um estudo de caso realizado no intuito de validar as 
informações apresentadas nesta monografia, e, assim, possibilitar explorar as vulnerabilidades 
mencionadas no capítulo 2 e seus sub tópicos através do Facebook, escolhido justamente por 
ser a rede social mais acessada atualmente. 
 
41 
Capítulo 4 – Estudo de caso phishing no Facebook 
Neste capítulo será apresentado um estudo de caso, usufruindo dos recursos 
disponibilizados pela rede social Facebook, espalhando um scam com a técnica de phishing. 
Serão apresentados também como o caso foi tratado, quais as condutas dos usuários diante 
deste tipo de golpe, e, de uma maneira bem simples e utilitária, os resultados obtidos no 
ataque serão discutidos para que o usuário mais leigo no assunto, consiga refletir sobre seu 
comportamento pessoal e organizacional nesse tipo de rede social. 
4.1 Situação Problema 
No capítulo 2 foram tratadas algumas formas que o engenheiro social utiliza para 
aplicar golpes em suas vítimas. Pensando nisso, este estudo de caso se embasou na técnica de 
phishing através da rede social Facebook e de um site externo, explorando a ingenuidade e 
também a vontade de uma pessoa se tornar popular, satisfazendo assim seu desejo por 
notoriedade, se expondo a pessoas desconhecidas. 
O site externo tem o objetivo de validar e mensurar se realmente uma pessoa confia 
em links fornecidos por desconhecidos, que a levam a páginas para inserção de informações 
pessoais. Todas as informações retidas e as publicações abrangidas nesta página, por 
intermédio do website, foram utilizadas, nesta monografia, apenas com finalidades 
acadêmicas. 
4.1.1 A Página no Facebook 
Uma página no Facebook, chamada por muitos de “fan page” tem o objetivo de 
divulgar um certo conteúdo. Ela é uma alternativa para o perfil de usuário e, geralmente 
utilizada por empresas para marketing, por famosos e assuntos de utilidade pública, pois 
 
42 
contemplam a opção de ser “curtida”, dessa forma ingressando instantaneamente o usuário a 
receber suas postagens, ao contrário da solicitação de amizade que precisa da aprovação do 
solicitado. 
Rez (2015) afirma que a página de uma empresa no Facebook é como um cartão de 
visitas virtual, e, é por meio delas que muitas pessoas irão conhecer seu produto ou serviço, 
podendo iniciar uma conversa, comentando sua página ou apenas “clicando em curtir”, desta 
forma, gerando tráfego e compartilhando o assunto com outras pessoas. 
Por ela, o criador é capaz de obter informações importantes como estatísticas de 
quantas pessoas uma publicação conseguiu alcançar, com gráficos por período de tempo. 
Também é possível ter acesso a uma espécie de sumário em que contém o histórico de 
visualização da página pelos usuários que a curtiram. 
Tal como um dos veículos mais utilizados para promover produtos, marcas, 
empresas, etc., a página “Seguidores Grátis”, mostrada na Figura 10, foi criada para esta 
pesquisa monográfica, com o objetivo de propiciar aos usuários seguirem as publicações, se 
sentido confiantes a clicarem em links fornecidos pela mesma. 
 
Figura 10 - Fan page Seguidores Grátis. 
Fonte: O autor. 
 
A página promete vários seguidores e curtidas grátis aos seus membros, assim que 
alcançar metas de quantidade de integrantes. Outro artifício empregado foi o de desafios aos 
usuários, com frases que instigassem seu interesse, tais como: “Comente um oi e espere 
 
43 
alguns instantes”, “Vamos travar sua foto de perfil”, “Curta a página para explosão de 
curtidas”. 
4.1.2 Criação de um perfil falso 
Das mais maléficas as mais inocentes intenções, um perfil falso é criado em redes 
sociais. Sendo assim, o usuário fictício Murilo Seguidores Grátis foi o intermediador para 
aplicar a engenharia social nos usuários do Facebook. 
Foram adicionados centenas de usuários aleatoriamente e utilizado funcionalidades 
como: marcar usuários em uma publicação, fazer compartilhamentos de publicações da 
página Seguidores Grátis e o uso do chat, para uma aproximação amigável que transparecesse 
confiança ao persuadi-los, assim, eles poderiam ajudar a espalhar a fan page entre seus 
círculos de amigos. 
O perfil falso tinha a mesma foto (imagem) da página Seguidores Grátis, como 
apresentando na Figura 11, o que já poderia levantar alguma suspeita por não ter a foto real de 
uma pessoa. Isso foi aplicado propositalmente, com o intuito de analisar se os usuários 
requisitados aceitariam um total desconhecido que não usasse uma foto ou imagem de sua 
face, e que não tivesse a certeza de suas intenções. 
 
Figura 11 - Perfil falso. 
Fonte: O autor. 
 
44 
O Facebook, em seu termo de uso, não permite perfis falsos, então, como explica 
Freire (2014) ele é dotado de sistemas que rastreiam perfis em busca de nomes falsos. Não se 
sabe exatamente quais são os critérios utilizados para detectar, no entanto, é assim que muitas 
contas de spammers (aqueles que espalham spam) e bots (robôs) são eliminadas. Eles levam 
em conta nomes, termos e palavras identificadas como fakes. 
Com o uso da engenharia reversa, descrita na seção 2.2.6, navegando por alguns 
perfis a procura de fotos públicas, foram feitos alguns comentárioscom a intenção de 
persuadir o usuário a solicitar a requisição de amizade para que, dessa forma, o mesmo tivesse 
mais confiança e sem receio pudesse entrar no link cedido pelo perfil falso. 
4.1.3 Página web pelo site hostinger.com.br 
O Hostinger é uma empresa que fornece serviços gratuitos e pagos de hospedagem 
para websites. Possui um conjunto de ferramentas facilitadoras como o construtor de sites, 
onde qualquer pessoa está apta a fazer um site de forma rápida, simples e intuitiva. 
A partir das demais funcionalidades proporcionadas pelo Hostinger, o website 
sortudo.pe.hu foi desenvolvido com apenas uma página e ficou disponível por dois (02) 
meses, composta de um formulário para a vítima inserir seus dados. Ao clicar em um botão, 
as informações contidas nos campos eram envidadas para o administrador do site, que 
prometia após o cadastro várias curtidas nas fotos do usuário. Vide a Figura 12. 
 
Figura 12 - Site sortudo.pe.hu. 
Fonte: O autor. 
 
45 
 
Logo após o formulário de inserção dos dados, como mostrado na Figura 12, foi 
disponibilizado um link para a leitura dos termos de uso, anexado no Apêndice 1. Este termo 
deixava claro que o site não se responsabilizava por nenhum dado inserido nele, e que o 
usuário ao se cadastrar, cedia total permissão ao possuidor de salvar e utilizar seus dados para 
outros fins. 
4.1.4 Encurtadores de links 
Grandes links se tornaram um problema, quando os sites que limitam a quantidade de 
caracteres a serem digitados em uma mensagem, começaram a surgir. Para suprir isso, os 
encurtadores de links foram utilizados mais frequentemente, se tornando famosos com o 
passar do tempo. 
Basicamente, os “encurtadores de link”, são ferramentas online que fornecem um 
link compacto ao usuário a partir de um link original, porém, de acordo com a SANS (2013) – 
instituição de treinamento focada em cibersegurança, essa opção é bastante usufruída também 
por criminosos. O motivo, é esconder o verdadeiro endereço da página para que a pessoa não 
desconfie que é um site falso. A Figura 13 apresenta um modelo de link encurtado. 
 
Figura 13 - Encurtador de link. 
Fonte: O autor. 
 
Segundo Pereira (2010), sites do gênero encurtamento de links, com o passar do 
tempo, lançaram novos recursos como estatísticas de acesso, compartilhamento automático, 
favoritos dinâmicos, pré-visualizações, dentre outros. 
O encurtador de links foi utilizado nesta monografia, para que fosse possível 
mensurar a quantidade de pessoas que clicariam no link do site externo, seja fornecido através 
 
46 
do perfil falso a seus amigos pelo chat do Facebook ou, quando anexado a algumas das 
publicações da própria página Seguidores Grátis. 
Foi escolhido o serviço da empresa Google, que fornece esta ferramenta de forma 
gratuita em seu site goo.gl. Com a aplicação do encurtador de link, na situação problema 
relatada por este estudo de caso, pôde se realmente saber se uma legenda chamativa é o 
bastante para despertar a curiosidade nos usuários que são guiados ao clique, sem nem mesmo 
antes perguntarem a si mesmos do que se trata. 
4.2 Resultados obtidos com o caso de uso 
Nas pesquisas realizadas para a redação desta monografia, verificou-se, que 
conseguir ser aceito no círculo de amizade de um estranho não é uma tarefa difícil, mesmo se 
o perfil não possuir uma foto ou informações relevantes sobre o solicitante. Um ponto a ser 
destacado, é a falta de preocupação por parte dos usuários com as pessoas totalmente 
desconhecidas, que tem acesso total às informações disponibilizadas, visualizam suas 
postagens e acompanham seu dia a dia em troca de simples curtidas que recebem no perfil. 
4.2.1 Perfil falso 
Não foi estipulado uma meta de solicitações de amizade com o perfil falso, mas 
foram realizadas com pessoas em todo o Brasil, totalizando 233 amigos. Vale ressaltar o 
registro de 9 solicitações ao perfil, por usuários que faziam parte dos amigos de pessoas 
solicitadas, onde pode se analisar o desejo de popularidade pelos usuários tanto adultos 
quanto jovens, a partir de uma foto e um nome dizendo “Seguidores Grátis”. 
De todas as amizades efetuadas, apenas um se manifestou, entrando em contato pelo 
chat e fazendo seus questionamentos; porém, bastou algumas mensagens para a desconfiança 
diminuir ao ponto dele aceitar curtir a página e compartilhá-la com seus amigos. Outro caso, 
ocorreu quando o link do site externo foi enviado pelo chat a um usuário e o mesmo 
respondeu dizendo: “SPAAAAM”, como mostra a Figura 14. Apesar disso a amizade não foi 
desfeita. 
 
47 
 
Figura 14 - Contato pelo chat. 
Fonte: O autor. 
 
Muitos usuários que foram adicionados, mas não curtiram a página, mesmo sabendo 
que o perfil falso tinha feito a solicitação apenas por esse motivo, não o removeram do seu 
círculo de amigos. 
Ao longo dos dois meses em que o estudo foi dirigido, os recursos contra perfis 
falsos no Facebook notaram atividades suspeitas; e, como medidas preventivas primeiramente 
bloquearam as solicitações de amizade, pois haviam detectado as inúmeras requisições para 
pessoas desconhecidas. Também, o recurso de captchas, que são um desafio ao usuário para 
descobrir se ele é um humano ou um robô, tiveram de ser resolvidos a cada vez que se 
compartilhava o link do site externo. 
A Figura 15 ilustra um captcha. 
 
Figura 15 – Captcha. 
Fonte: O autor. 
 
 
48 
Posteriormente, a conta Murilo Seguidores Grátis foi bloqueada por um período de 
três dias, sendo liberado o acesso no quarto dia consecutivo. 
Como as atividades de disseminar o link pelo chat, em comentários nas fotos dos 
amigos e em grupos não pararam, em poucos dias, após o primeiro bloqueio a conta foi 
retirada pelo Facebook definitivamente. 
4.2.2 Página Seguidores Grátis 
A fan page Seguidores Grátis, conseguiu alcançar 90 curtidas com a frequência de 
publicações baixa. Uma de suas postagens de acordo com as estatísticas cedidas pelo 
Facebook, chegou a 1000 visualizações como mostra a Figura 16, que contém uma relação 
das publicações mais recentes com o público alcançado. 
 
Figura 16 - Alcance das publicações. 
Fonte: O autor. 
 
As publicações sempre apontavam para o link do site externo de alguma forma, 
sendo disponibilizado na própria postagem ou em seus comentários. 
4.2.3 Site externo 
O website recebeu 46 acessos como apresenta a Figura 17, contabilizados com a 
ajuda da ferramenta encurtador de links explicado na seção 4.1.4. Em contrapartida, apenas 17 
pessoas desse total inseriram seus dados no formulário, confiantes em ganhar novos amigos 
em seu círculo de amizade e, através disso, conquistar as almejadas curtidas em suas 
publicações. 
 
49 
 
Figura 17 - Cliques realizados no link encurtado do site externo. 
Fonte: O autor. 
 
As informações coletadas nesse estudo de caso, se encontram no Apêndice 2; 
contudo, alguns dados foram borrados no intuito de preservar a identidade dos usuários. 
4.3 Análise dos Resultados 
Com os resultados obtidos, fica evidente que ainda existem usuários não preparados 
para conseguirem por si próprio, evitar os ataques e as ocorrência de golpe nas redes sociais. 
O gráfico da Figura 18 mostra a relação do total de cadastros e pessoas que apenas 
clicaram para visualização do conteúdo do link. 
 
Figura 18 - Relação de cadastros realizados no site sortudo.pe.hu. 
Fonte: O autor. 
 
Um alerta a ser feito sobre links desconhecidos é que o usuário deve se atentar à sua 
formatação, como é o caso do http://sortudo.pe.hu/, e também do golpe que circulou pelo 
aplicativo WhatsApp, citado na seção 2.2.1, http://obotica00.com/, que está totalmente fora 
dos padrões convencionais.Outro fato que ainda pode ser analisado nos links, é o uso do 
protocolo de transmissão de dados HTTP, com suas vulnerabilidades já comprovadas, sabe-se 
 
50 
que na sua nova versão, HTTPS, o transporte das informações é mais seguro. A falta do 
símbolo de um cadeado, geralmente antes do link de um site, deve ser considerado suspeito. 
Em relação ao formulário, nele estava incluso os campos nome, e-mail, cidade e 
CPF, além de uma mensagem informando que ele seria utilizado para que fossem 
diferenciados nomes iguais. Porém, isso não era necessário já que o e-mail da vítima havia 
sido inserido. Assim, alguns usuários chegaram a utilizar seu verdadeiro registro, e os demais 
utilizaram números quaisquer como o de seu celular e até sequências numéricas 12345. 
Deve se prestar muita atenção antes de fornecerem dados sensíveis em qualquer site, 
pois seria fácil conseguir a senha pessoal das vítimas se houvesse mais um campo solicitando 
essa informação. 
4.4 Conclusão 
Neste capítulo foi visto na prática uma das maneiras mais utilizadas na captura de 
informações pessoais, no qual se oferece na maioria dos casos uma recompensa e em troca é 
solicitado os dados do usuário para que ele tente obtê-la. O phishing foi escolhido por ser uma 
técnica que o atacante não necessita ser um mestre na persuasão, e essa propensão é o porquê 
dela ser tão disseminada. 
A partir dos dados analisados, conclui se que boa parte dos usuários em qualquer 
faixa etária, ainda carece de um olhar analítico sobre o que é postado, como também para uma 
solicitação de amizade e um redirecionamento as páginas externas, como o sortudo.pe.hu. A 
falta de conhecimento básico sobre navegação segura é outro problema a ser destacado, 
juntamente com leitura dos termos de uso. 
No próximo capítulo serão apresentadas as considerações finais, retomando pontos 
importantes da engenharia social nas redes sociais, uma breve explicação sobre a escolha do 
tema e sugestões para trabalhos futuros. 
 
51 
Capítulo 5 – Conclusão 
Boa parte do mundo utiliza as redes sociais com inúmeras finalidades, mas por se 
tratar de tamanha notoriedade, criminosos também começaram a popular esse ambiente 
dispostos de técnicas diversas, aplicando golpes nos mais despreparados usuários. Ser uma 
pessoa popular, conhecida pela maioria, é e será o sonho de muitos indivíduos. Pensando 
nisso, com o surgimento das redes sociais online, aquilo que grande parte almejava pôde ser 
conquistado, mesmo através de usuários que nunca se interagiram antes. No entanto, onde 
vários veem como popularidade, o engenheiro social vê oportunidades para seus ataques, 
dado que os golpes eram anteriormente executados com frequência por telefone, correndo 
risco de uma possível associação, e casos de até mesmo ser necessário se expor ao perigo 
pessoalmente. A facilidade na coleta de informações, preservando o anonimato do atacante e 
tantas outras possibilidades, é o ambiente perfeito para executar e aprimorar suas técnicas de 
persuasão, principal característica desse pirata da internet. 
As redes sociais não são o maior perigo de todos, é possível serem aproveitadas com 
mais segurança se for utilizado seus recursos de proteção corretamente, onde também o 
indivíduo tem um papel importante no que diz respeito a seus círculos de amigos, o que ele 
(a) permite ser acessado publicamente e inclusive quais aplicativos tem autorização de 
realizar postagens em seu nome, leitura dos círculos de amigos e igualmente ao chat. É uma 
questão de cautela e divisão de tarefas, entre o serviço e o usuário. 
A engenharia social é um tema relevante a todos, mesmo aos que não utilizam a 
Internet, sendo uma ameaça capaz de conseguir informações que muitos pensam estarem 
segura. Seguir as boas práticas como o uso de uma senha forte, com vários caracteres 
especiais para a visualização de um conteúdo privado, ou ter instalado um bom antivírus no 
computador, são o básico. O que muitos se esquecem, que além da parte tecnológica deve se 
 
52 
atentar ao elo mais fraco da segurança, o ser humano, suscetível ao erro, ingênuo e boa parte 
das vezes, solidário. 
Esta monografia foi idealizada com base em um assunto pouco disseminado, mas de 
grande importância social, podendo ser consultada para aprofundamento do conhecimento 
sobre o tema, tanto quanto, referência para se manter mais seguro diante das ameaças, e 
sabedoria das técnicas aplicadas com os princípios da engenharia social. 
Para trabalhos futuros, sugere-se complementar o conhecimento sobre engenharia 
social, focando no âmbito empresarial, aprofundando em ferramentas e tecnologias 
disponíveis para o auxílio e proteção a uma organização dessa ameaça. Políticas de 
gerenciamento e conscientização de como se comportar nas redes sociais, é outra vertente 
pertinente a segurança da informação. 
 
53 
REFERÊNCIAS BIBLIOGRÁFICAS 
AÏMEUR, Esma; GAMBS, Sébastien; HO, Ai. UPP: User Privacy Policy for Social 
Networking Sites, 2009. Fourth International Conference on Internet and Web Applications 
and Services. apud GOMES, Talita L. Redes Sociais Online: Privacidade. Universidade 
Federal do Rio de Janeiro, 2009. Disponível em: 
<https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2009_2/talita/index.html>. Acesso em: 
25 maio 2017. 
 
APAV. Folha informativa stalking. Documento em PDF. 2015. Disponível em: 
<http://www.apav.pt/apav_v3/images/folhas_informativas/fi_stalking.pdf>. Acesso em: 31 
maio 2017. 
 
BANNWART, C. Engenharia Social nas Redes Sociais: a inteligência usada para o mal. 
[S.l], 2013. Disponível em: <https://corporate.canaltech.com.br/noticia/seguranca/Engenharia-
Social-nas-Redes-Sociais/>. Acesso em: 21 maio 2017. 
 
BOYD, Danah M.; ELLISON, Nicole B. Social Network Sites: Definition, History,and 
Scholarship. 2007. Disponível em: <http://onlinelibrary.wiley.com/doi/10.1111/j.1083-
6101.2007.00393.x/epdf>. Acesso em 30 mar. 2017. 
 
CERQUEIRA, Renata; SILVA, Tarcízio. Marcas e engajamento digital: algumas 
considerações. In: GOMES, Wilson; REIS, Lucas (Org.). Publicidade digital: 
formatos e tendências da nova fronteira publicitária. Salvador: P&A Editora, 
2011. p. 107 - 122. 
 
CERT.BR. Estatísticas dos Incidentes Reportados ao CERT.br. 2015. Disponível em: 
<https://www.cert.br/stats/incidentes/#2015>. Acesso em: 15 jun. 2017. 
 
FACEBOOK. Annual Report Pursuant To Section 13 Or 15(D) Of The Securities 
Exchange Act Of 1934. Facebook Investor Relations, 2016. Disponível em: 
<https://investor.fb.com/financials/sec-filings-details/default.aspx?FilingId=11131970>. 
Acesso em: 15 jun. 2017. 
 
 
54 
FREIRE Karla. Saiba como o Facebook descobre perfis com nomes falsos e fique atento. 
Techtudo, 2014. Disponível em: <http://www.techtudo.com.br/noticias/noticia/2014/09/saiba-
como-o-facebook-descobre-perfis-com-nomes-falsos-e-fique-atento.html>. Acesso em: 14 jun 
2017. 
 
GOMES, Talita L. Redes Sociais Online: Privacidade. Universidade Federal do Rio de 
Janeiro, 2009. Disponível em: <https://www.gta.ufrj.br/ensino/eel879/ 
trabalhos_vf_2009_2/talita/index.html>. Acesso em: 25 maio 2017. 
 
HADNAGY Christopher. Social Media and the Social Engineer. Security through 
education, 2015. Disponível em: <https://www.social-engineer.org/newsletter/6132/>. Acesso 
em: 25 jun. 2017. 
 
JESUS, Aline. História das redes sociais: do tímido ClassMates até o boom do Facebook. 
Techtudo 2012. Disponível em: 
<http://www.techtudo.com.br/artigos/noticia/2012/07/historia-das-redes-sociais.html>. 
Acesso em 14 abr. 2017. 
 
JUNIOR, Guilherme. Entendendo o que é Engenharia Social. Comunidade Viva o Linux, 
2006. Disponível em: <https://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social>. Acesso em: 5 abr. 2017. 
 
KASPERSKY. Social Network Sharing Makes Users an Easy Target for Cybercriminals. 
Kaspersky, 2016. Disponível em: <https://www.kaspersky.com/about/press-
releases/2016_social-network-sharing-makes-users-an-easy-target-for-cybercriminals>. 
Acesso em: 15 jun. 2017. 
 
KILINSKI, Fernanda S. Superexposição nas Redes Sociais, 20??. Disponível em: 
<http://fernandapsicologa.com.br/textos/superexposicao.html>. Acesso em 18 abr. 2017. 
 
MERRITT Marian. Straight Talk About Cyberstalking. Symantec 20??. Disponível em: 
<https://us.norton.com/cyberstalking/article>. Acesso em: 2 jun. 2017. 
 
MICROSOFT. How to recognize phishing email messages, links, or phone calls. 
Microsoft, 20??. Disponível em: <https://www.microsoft.com/en-us/safety/online-
privacy/phishing-symptoms.aspx>. Acesso em: 15 jun. 2017. 
 
MISLOVE, Alan; MARCON, Massimiliano; GUMMADI, Krishina P.; DRUSCHEL, Peter; 
BHATTACHARJEE, Bobby. Measurement and Analysis of Online Social Networks. 
Internet Measurement Conference, 2007. Disponível em: 
<http://conferences.sigcomm.org/imc/2007/papers/imc170.pdf>. Acesso em 25 abr. 2017. 
 
 
55 
MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de harckers: 
controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 
2003. 
 
NARAIME, Ryan. When Web 2.0 Becomes Security Risk 2.0. Kaspersky Lab, 201?. 
Disponível em: <http://www.sintel.com/bibli/telechargement/203/document_Multi.pdf>. 
Acesso em: 28 maio 2017 
 
NORTON. What Is Smishing?. Norton, 20??. Disponível em: 
<https://us.norton.com/internetsecurity-emerging-threats-what-is-smishing.html>. Acesso em: 
10 jun. 2017. 
 
NOVAES, Rafael. Twitter: Especial política de privacidade. Psafe, 2015. Disponível em: < 
http://www.psafe.com/blog/politica-de-privacidade-twitter-invade-vida-usuarios/>. Acesso 
em: 06 maio 2017. 
 
PEREIRA Douglas Leandro. Seleção: encurtadores de URLs. Tecmundo, 2010. Disponível 
em: <https://www.tecmundo.com.br/rede-social/3518-selecao-encurtadores-de-urls.htm>. 
Acesso em: 14 jun 2017. 
 
RECUERO, Raquel; ZAGO, Gabriela. Em busca das "redes que importam". 2009. 
Disponível em: <https://www.academia.edu/2516501/Em_busca_das_redes_que_ 
importam_>. Acesso em: 09 maio 2017. 
 
REZ, Rafael. A importância de uma Fan Page no Facebook. Marketing de Conteúdo, 2015. 
Disponível em: <http://www.marketingdeconteudo.com.br/comunicacao-corporativa/a-
importancia-de-uma-fan-page-no-facebook/>. Acesso em: 14 jun 2017. 
 
RIBEIRO, Patrícia T. M. Nomofobia: o transtorno da web no século XXI. Brasil Escola, 
2016. Disponível em: <http://monografias.brasilescola.uol.com.br/comunicacao-
marketing/nomofobia-transtorno-web-no-seculo-xxi.htm>. Acesso em: 21 abr. 2017. 
 
SANS. Encurtadores de URL / Códigos QR. SANS Securing The Human, 2013. Disponível 
em: <https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201306_pt.pdf>. 
Acesso em: 22 jun 2017. 
 
SANTOS, Yuri Rafael de Lima; A Engenharia Social nas Redes Sociais Online. Barra do 
Bugres, 2014. Disponível em: <http://www.ebah.com.br/content/ABAAAgzFwAE/a-
engenharia-social-nas-redes-sociais-online#>. Acesso em 20 fev. 2017. 
 
 
 
 
 
56 
SILVA, Narjara B. X.; ARAÚJO, Wagner J.; AZEVEDO, Patrícia M. Engenharia Social 
nas Redes Socias Online: um estudo de caso sobre a exposição de informações pessoas e a 
necessidade de estratégias de segurança da informação. Universidade de Brasília, 2013. 
Disponível em: <http://periodicos.unb.br/index.php/RICI/article/view/9222>. Acesso em: 20 
fev. 2017. 
 
SPAGNOL, Débora. Cyberstalking: mulheres são as maiores vítimas desta violência. 
Jusbrasil, 2016. Disponível em: 
<https://deboraspagnol.jusbrasil.com.br/noticias/345420647/cyberstalking-mulheres-sao-as-
maiores-vitimas-desta-violencia?ref=topic_feed>. Acesso em: 25 maio 2017. 
 
STIMMER, Joerg. Peopleware: the human parameter as the critical success factor of 
outsourcing. Outsource Magazine, 2011. Disponível em: 
<http://46.32.255.199/~onexus/wp/peopleware-the-human-parameter-as-the-critical-success-
factor-of-outsourcing/>. Acesso em: 21 abr. 2017. 
 
STRATER, K.; RICHTER, H. Examining Privacy and Disclosure in a Social Networking 
Community. University of North Carolina at Charlotte, 2007. Disponível em: 
<https://pdfs.semanticscholar.org/f717/11fee87d53284439c7749921a9eba2ccd24f.pdf>. 
Acesso em: 28 maio 2017. 
 
SYMANTEC. Symantec's Antispyware Approach. Symantec, 20??. Disponível em: 
<https://www.symantec.com/security_response/antispyware_approach.jsp>. Acesso em: 2 
jun. 2017. 
 
SYMANTEC. What you need to know about the WannaCry Ransomware. Symantec, 
2017. Disponível em: <https://www.symantec.com/connect/blogs/what-you-need-know-
about-wannacry-ransomware>. Acesso em: 15 jun. 2017. 
 
TUBAN, Efaim; MCLEAN, Ephraim; WETHERBE, James; trad. Renate Schinke. 
Tecnologia da Informação para Gestão: transformando os negócios na economia digital. 3° 
ed. Porto Alegre: Bookman, 2004. (apud BALDIM, Natália P. Engenharia Social e 
Segurança da Informação no Ambiente Corporativo: uma análise focada nos profissionais 
de Secretariado Executivo, UFV 2007.) 
 
US-CERT. Staying safe on social network sites. US-CERT, 2011. Disponível em: 
<https://www.us-cert.gov/ncas/tips/ST06-003>. Acesso em: 28 maio 2017. 
 
US-CERT. About Us. US-CERT, 20??. Disponível em: <https://www.us-cert.gov/about-us>. 
Acesso em: 28 maio 2017. 
 
57 
APÊNDICE 1 - TERMOS DE USO DO SITE sortudo.pe.hu 
Termos de uso 
 
--------------------------------------------------------------------- 
1 – CADASTRO 
 
1.1. Para a utilização da Plataforma, você deverá se cadastrar informando seus dados pessoais 
("Dados Pessoais"), tais como nome completo, data de nascimento, e-mail e CPF nos campos 
corretamente. Caso você ainda não tenha curtido nossa página no Facebook acesse através do 
endereço https://www.facebook.com/seguidoresGrati/. Durante a realização do cadastro, você 
precisará ter curtido esta página para participar da corrente. 
 
1.1.1. Ao se cadastrar, você deverá informar dados verdadeiros, que serão de sua exclusiva 
responsabilidade. A página não se responsabiliza por dados falsos inseridos no cadastro. 
 
1.1.2. Não poderão ser feitas alterações por você após clicar no botão Ganhar Likes. 
 
1.1.3. Lembre-se: Você é o único responsável pelos seus dados. Ao se cadastrar você está 
dando total permissão ao possuidor de salvar e utilizá-los para outros fins. 
 
1.2. Para se cadastrar, se você for maior de 18 (dezoito) anos completos e ser plenamente 
capaz, deve fazer uma declaração nesse sentido. Se você for menor de 18 (dezoito) anos ou 
necessitar de representação na forma da lei, seus pais ou responsáveis deverão lhe representar 
ou assistir. Neste caso, eles deverão preencher o seu cadastro e se responsabilizarão 
integralmente por você e por seus atos. 
 
2 – CONDIÇÕES DE USO DO SITE 
 
2.1. Ao acessar este site, você se compromete a observar o Termo de Uso, as normas e 
regulamentos das Empresas, a lei, a utilizar termos aceitáveis socialmente, e a não 
desrespeitar a ordem pública. 
 
 
58 
2.2. Você não deverá utilizar o site para a prática de atos proibidos pela lei e pelo presente 
Termo de Uso, ou atos que possam danificar, inutilizar, sobrecarregar ou deteriorar o site, os 
equipamentos informáticos de outros usuários ou de outros internautas (hardware e software), 
assim como os documentos, arquivos e toda classe de conteúdos armazenados nos seus 
equipamentos informáticos (cracking) ou impedir a normal utilização da referida ferramenta, 
equipamentos informáticos e documentos,arquivos e conteúdos por parte dos demais usuários 
e de outros internautas. 
 
2.2.1. Você se compromete a não utilizar qualquer sistema automatizado, inclusive, mas sem 
se limitar a "robôs", "spiders" ou "offline readers," que acessem o site de maneira a enviar 
mais mensagens de solicitações aos servidores das Empresas em um dado período de tempo 
do que seja humanamente possível responder no mesmo período através de um navegador 
convencional. É igualmente vedada a coleta de qualquer informação pessoal dos demais 
usuários do site. 
 
59 
APÊNDICE 2 - TABELAS COM AS VÍTIMAS