A engenharia social, no contexto da segurança da
informação, refere-se à manipulação psicológica de
pessoas para a execução de ações ou a divulgação de
informações confidenciais. A ação que exemplifica um
ataque de engenharia social focado na exploração da
confiança humana é descrita a seguir:

Question

A engenharia social, no contexto da segurança da
informação, refere-se à manipulação psicológica de
pessoas para a execução de ações ou a divulgação de
informações confidenciais. A ação que exemplifica um
ataque de engenharia social focado na exploração da
confiança humana é descrita a seguir: Alternativa A: Um hacker utiliza um software automatizado para
explorar uma falha de buffer overflow no sistema
operacional do servidor. Ou Alternativa B: Um atacante telefona para um funcionário fingindo
ser do suporte técnico e solicita a senha da rede para
"resolver um problema urgente". Ou Alternativa C: Um vírus se replica automaticamente através da rede
explorando uma vulnerabilidade no serviço de
compartilhamento de arquivos. Ou Alternativa D: Um keylogger é instalado fisicamente no teclado para
capturar as teclas digitadas pelo usuário sem que ele
perceba. Ou Alternativa E: Um script varre a rede em busca de portas abertas
para identificar serviços vulneráveis sem interagir
com nenhum humano.

Qconcursos · Accepted Answer

Alternativa [B] Um atacante telefona para um funcionário fingindo
ser do suporte técnico e solicita a senha da rede para
"resolver um problema urgente". Gabarito: BFundamento decisivo: O critério decisivo era identificar a manipulação psicológica de uma pessoa para obter informação confidencial. Entre as alternativas, só a B apresenta esse elemento ao fingir ser do suporte técnico para induzir o funcionário a revelar a senha.Tema central: Engenharia socialAnálise das alternativasAErradaEstá errada porque descreve exploração técnica de buffer overflow no sistema operacional do servidor. O critério decisivo da questão era manipulação psicológica de pessoa, e aqui não há interação humana nem exploração da confiança.BCertaA alternativa B está correta porque descreve o núcleo conceitual da engenharia social: interação humana enganosa, uso de pretexto e exploração da confiança para obter informação confidencial. O atacante se passa por suporte técnico, cria urgência e induz o funcionário a revelar a senha da rede.CErradaEstá errada porque trata de malware autorreplicante explorando vulnerabilidade de serviço de rede. Isso é ataque técnico automatizado, sem indução da vítima a revelar informação ou executar ação por confiança.DErradaEstá errada porque a instalação física de keylogger visa capturar teclas digitadas de modo furtivo, mas não depende de manipulação psicológica da vítima. O fato de a senha ser obtida não transforma o caso em engenharia social.EErradaEstá errada porque a varredura de portas é atividade técnica de reconhecimento para identificar serviços vulneráveis. Não há contato humano nem exploração direta da confiança de alguém.Pegadinha da questãoA confusão explorada foi equiparar qualquer ataque que roube senha ou ocorra de modo furtivo a engenharia social. O ponto real era verificar se havia manipulação humana direta; sem isso, o ataque é técnico, não social.Dica para questões semelhantesPara reconhecer engenharia social, procure fraude, pretexto ou fingimento dirigido a uma pessoa, e não apenas o resultado do ataque.Se a obtenção da credencial ocorre porque a própria vítima foi convencida a entregá-la, há forte indicativo de engenharia social.Exploração de vulnerabilidade, malware, keylogger e varredura de rede são ataques técnicos enquanto não houver manipulação psicológica da vítima.

🚀 Mais performance?

🚀 Mais performance?

A engenharia social, no contexto da segurança da informação...

Gabarito comentado

Gabarito: B

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas