A engenharia social utiliza gatilhos psicológicos para
contornar proteções técnicas. Assinale a alternativa que
descreve corretamente a técnica de "Whaling" e sua
aplicação no contexto corporativo.

Question

A engenharia social utiliza gatilhos psicológicos para
contornar proteções técnicas. Assinale a alternativa que
descreve corretamente a técnica de "Whaling" e sua
aplicação no contexto corporativo. Alternativa A: A eficácia do Whaling baseia-se no uso de ataques
de negação de serviço (Distributed Denial of Service
 − DDoS) contra o servidor de e-mail, forçando o
executivo a utilizar canais de comunicação não
seguros e vulneráveis a interceptação.  Ou Alternativa B: O Whaling utiliza mensagens de texto (Short
Message Service − SMS) enviadas para dispositivos
móveis corporativos, explorando vulnerabilidades no
protocolo de sinalização SS7 para interceptar
chamadas de voz e capturar códigos de autenticação
de dois fatores. Ou Alternativa C: Trata-se de uma técnica de interceptação física onde
 o atacante instala dispositivos de escuta em salas de
videoconferência, utilizando inteligência artificial para
reconstruir diálogos a partir de vibrações em
superfícies de vidro. Ou Alternativa D: O Whaling é uma forma específica de Spear Phishing
direcionada a executivos de alto escalão (C-level),
utilizando comunicações altamente personalizadas e
termos técnicos ou jurídicos para induzir a vítima a
realizar transferências financeiras ou revelar
segredos industriais. Ou Alternativa E: Esta técnica consiste no envio de e-mails em massa
para toda a base de usuários da organização,
utilizando um assunto genérico de atualização de
senha, visando capturar o maior número possível de
credenciais de contas de baixo privilégio.

Qconcursos · Accepted Answer

Alternativa [D] O Whaling é uma forma específica de Spear Phishing
direcionada a executivos de alto escalão (C-level),
utilizando comunicações altamente personalizadas e
termos técnicos ou jurídicos para induzir a vítima a
realizar transferências financeiras ou revelar
segredos industriais. Gabarito: DFundamento decisivo: O ponto decisivo era distinguir whaling de phishing em massa e de outras técnicas de ataque, reconhecendo a alternativa que descreve comunicação fraudulenta direcionada a executivos de alto escalão.Tema central: WhalingAnálise das alternativasAErradaIncorreta. A alternativa descreve ataque de negação de serviço contra servidor de e-mail e uso forçado de canal alternativo, o que pertence a outro tipo de ação ofensiva. Whaling não é definido por DDoS nem por indisponibilização de serviço, mas por phishing direcionado a executivos.BErradaIncorreta. A descrição envolve SMS, interceptação de chamadas e exploração de SS7, cenário ligado a smishing/telecomunicações, não à classificação de whaling. O conceito de whaling não é caracterizado pelo uso de SMS nem por exploração do protocolo SS7.CErradaIncorreta. A alternativa trata de interceptação física/acústica com dispositivo de escuta em ambiente corporativo. Isso não corresponde a phishing direcionado nem à engenharia social por comunicação fraudulenta personalizada que define o whaling.DCertaA alternativa D está certa porque enquadra o whaling na classe correta: phishing direcionado, mais especificamente uma forma de spear phishing voltada a executivos de alto escalão e outros alvos estratégicos. O critério técnico que sustenta a resposta é a combinação de três elementos: alvo de alto nível hierárquico, alto grau de personalização da comunicação e finalidade de induzir fraude, divulgação de informações sensíveis ou realização de pagamentos. Esse é exatamente o núcleo conceitual apontado na base de decisão.EErradaIncorreta. A descrição é de phishing em massa com assunto genérico para ampla base de usuários e captura de credenciais de baixo privilégio. Whaling exige direcionamento a executivos ou alvos estratégicos, não envio genérico e massificado.Pegadinha da questãoA confusão explorada foi tratar whaling como qualquer ataque sofisticado contra empresa ou como qualquer técnica de engenharia social. O ponto real era distinguir phishing em massa, smishing e outras técnicas de um spear phishing altamente direcionado a executivos.Dica para questões semelhantesExecutivo, dirigente ou alvo de alto valor com comunicação personalizada indica whaling.Envio genérico para muitos usuários indica phishing em massa, não whaling.DDoS, SS7, SMS ou escuta ambiental apontam para outras categorias de ataque.

🚀 Mais performance?

🚀 Mais performance?

A engenharia social utiliza gatilhos psicológicos para cont...

Gabarito comentado

Gabarito: D

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas