Alternativa correta: E

1. Tema central da questão

A questão aborda ataques de phishing, ou seja, tentativas de enganar usuários para obter informações confidenciais, como senhas, por meio de e-mails ou sites falsos. É um dos golpes mais comuns em ambientes corporativos e exige atenção dos usuários e medidas de prevenção constantes.

2. Resumo teórico

Phishing é um ataque de engenharia social em que o golpista se passa por uma entidade confiável para enganar vítimas e roubar informações sensíveis. Prevenção eficaz depende de treinamento contínuo dos usuários para reconhecer sinais de fraude, combinado a políticas e soluções técnicas. Conforme destaca a Cartilha de Segurança para Internet do CERT.br e normas como a ISO/IEC 27002, a conscientização é elemento-chave na defesa contra ataques que exploram o fator humano.

3. Justificativa da alternativa correta (E)

A medida essencial é implementar um programa de treinamento contínuo sobre segurança da informação, incluindo identificação de phishing. Treinamentos regulares permitem que os funcionários aprendam a reconhecer tentativas de fraude, reduzindo drasticamente o risco de caírem em golpes. Essa abordagem é considerada best practice em segurança da informação e diretamente recomendada em normas e manuais confiáveis.

4. Análise das alternativas incorretas

A - Reiniciar estações automaticamente não impede golpes de phishing, pois não atua sobre o comportamento do usuário nem bloqueia o acesso a sites falsos.

B - Troca frequente e uso de senhas fortes são boas práticas, porém não evitam que o usuário forneça sua senha em um site falso.

C - Bloquear redes sociais corporativas pode prejudicar a comunicação interna e não impede que outros tipos de phishing ocorram, inclusive por e-mails ou outros sites.

D - Antispyware combate softwares espiões, mas phishing depende de ação humana e dificilmente é detectado por tais ferramentas.

Estratégias para resolução

Ao ler o enunciado, identifique o tipo de ameaça e qual fator foi explorado (neste caso, o fator humano). Desconfie de alternativas que priorizam apenas medidas técnicas ou restritivas sem abordar o comportamento do usuário – ponto central em ataques como o phishing.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

E) Implementar um programa de treinamento contínuo sobre segurança da informação, incluindo identificação de phishing.

O problema central foi a engenharia social!

1. Treinamento contínuo é a solução proativa:

• Ensina a reconhecer sinais de phishing (ex.: URLs falsos, remetentes suspeitos, solicitações de credenciais).
• Inclui simulações de ataques reais para testar e reforçar o aprendizado.

1. Benefícios adicionais:

• Reduz incidentes futuros não só de phishing, mas também de outros golpes (ex.: ransomware, BEC).
• Alinha-se a normas como ISO 27001 e LGPD, que exigem capacitação em segurança

A frase "solicitava suas credenciais de login" refere-se ao pedido de informações de identificação (nome de usuário e senha, por exemplo) para permitir que um usuário acesse um sistema ou serviço online. Este processo é essencial para a segurança, pois garante que apenas pessoas autorizadas possam entrar em áreas restritas. 

Credenciais de login são informações que comprovam a identidade de um usuário e permitem que ele acesse um sistema ou serviço específico.

Isso é PHISHING

Phishing:

• É um tipo de ataque de engenharia social que visa obter informações confidenciais através de comunicação fraudulenta. 
• Geralmente, utiliza e-mails, mensagens ou sites que se passam por fontes confiáveis, como bancos, redes sociais ou empresas, com o objetivo de enganar a vítima. 
• As mensagens de phishing podem conter links maliciosos que redirecionam para sites falsos ou anexos infectados por malware. 

Essa prova foi bem gostosinha, quem estudou se deu bem!