Macaé/RJ, 06 de outubro de 2023.
* Dr. Fabricius Assumpção
1. INTRODUÇÃO
Todos os dias, milhões de pessoas no mundo fazem uso de algum dispositivo informático, seja ele um computador (conectado ou não a um HD ou SSD externo), smartphone, tablet, pen drive, servidor, nuvem entre outros (MAGGIO; ELIEZER e GARCIA). Esses dispositivos podem estar protegidos ou não por um mecanismo de segurança ou controle de acesso (antivírus, firewall, senha, cartão inteligente, token, assinatura, voz, impressão digital ou de retina, conforme o caso (TURBAN e VOLONINO).
Em seu recente Relatório de Mobilidade, a empresa sueca fabricante de equipamentos de telefonia Ericsson (2023) informa que no ano de 2022 existiam no mundo mais de 7 bilhões de aparelhos móveis com assinatura de banda larga (Internet). Em outra pesquisa, divulgada pela empresa americana de consultoria Gartner (2021), para aquele mesmo ano a previsão era de 470 milhões de computadores do tipo desktop e 929 milhões do tipo laptop em uso.
Considerando a quantidade de dispositivos informáticos relatada, há milhões de possibilidades de instalação ou exploração de vulnerabilidades relacionadas a eles, seja em seus aplicativos e sistema operacional, seja nas redes que eles estejam conectados (KASPERSKY; MICROSOFT). O termo “redes” se refere desde a Internet (por Wi-Fi e roteadores, de acesso restrito a quem possua senha, ou por hotspot – locais com ponto de acesso aberto sem fio, ou sem criptografia de tráfego seguro) até a intranet, como no caso de computadores conectados entre si (BITDEFENDER; TEIXEIRA; TURBAN e VOLONINO).
E em razão do volume de dados pessoais e sobre atividades de organizações privadas coletados e armazenados, alguns tipos de hackers, normalmente especialistas em segurança da informação e programação, e quando mal-intencionados, ou seja, com o intuito de cometer um ou mais crimes, tentam invadir dispositivos informáticos para diversas finalidades (BELCIC). O hacking, portanto, é a ação do hacker na qual ele identifica e explora vulnerabilidades em um sistema de computador ou rede, geralmente para obter acesso não autorizado a dados pessoais ou organizacionais (KASPERSKY).
Quando conseguem obter dados ou informações, principalmente, de pessoas ou de organizações privadas e para finalidades mal-intencionadas, os hackers podem, em prejuízo do titular, vir a praticar atos como:
– realizar transferências de dinheiro;
– realizar transações com cartão de crédito, solicitar cartão adicional ou novo (além de débito ou múltiplo), ou abertura de nova conta;
– realizar compras;
– solicitar empréstimos;
– divulgar, comercializar ou transmitir a concorrente da empresa que teve dispositivo invadido por espionagem, segredos comerciais ou industriais ou informações sigilosas, gratuitamente ou mediante cobrança de valor;
– violar direito autoral.
2. ENGENHARIA SOCIAL: UM CONJUNTO DE TÉCNICAS DE INVASÃO A DISPOSITIVOS INFORMÁTICOS
Um hacker ou qualquer pessoa mal-intencionada pode conseguir invadir um dispositivo informático utilizando técnicas que vão desde a engenharia social, de um entre os vários tipos softwares ou códigos maliciosos, conhecidos como malwares, até a combinação de ambos.
Nesse artigo daremos foco na engenharia social que tem o phishing e outros golpes como práticas comuns. Mas apenas para uma pequena diferenciação, trazemos uma definição de malware.
Malware, combinação das palavras malicious e software, é um aplicativo que, ao ser transferido para um sistema computacional, tem por objetivo atacar seus conteúdos e arquivos executados neles via conexão de rede para obter dados ou informações pessoais ou de organizações (INFOWESTER; BROOKSHEAR). Como exemplos de malwares, e cada qual com uma ou mais subespécies, temos vírus, Cavalos de Troia (Trojan), Spywares, Ransomwares, Worms, Keyloggers, Bots, Botnets e Adware (KASPERSKY).
De acordo com Wendt e Jorge (2013, p. 21), engenharia social:
É a utilização de um conjunto de técnicas destinadas a ludibriar a vítima, de forma que ela acredite nas informações prestadas e se convença a fornecer dados pessoais nos quais o criminoso tenha interesse ou a executar alguma tarefa e/ou aplicativo.
Desse modo, a engenharia social se baseia na natureza humana e nas reações emocionais da vítima, utilizando os invasores de várias táticas para tentar enganá-la tanto on-line como off-line (NORTON). Através de técnicas persuasivas, com abuso da ingenuidade ou confiança do usuário de um computador ou smartphone, o criminoso não usa de violência ou coerção, o que, muitas vezes, dificulta a identificação do crime logo no início (UOL).
Nos ataques de engenharia social, o pretenso criminoso emprega uma ou mais táticas como (IBM; CERT.BR):
– se passar por uma marca confiável (empresas as quais as vítimas conhecem, confiam e das quais compram com certa frequência ou regularidade);
– se passar por agência governamental ou figura de autoridade (Receita Federal, figuras políticas, celebridades);
– induzir medo ou sensação de urgência (informando à vítima que uma transação de crédito recente não foi aprovada, que um vírus infectou seu computador, que uma imagem usada em seu site viola direitos autorais, etc.);
– apelar para a ganância (oportunidades de ganho fácil, promoções ou descontos muito grandes);
– apelar à prestatividade ou curiosidade, ou fazer falso alerta (oferta de ajuda técnica, pedido de participação em pesquisa, cancelamento de CPF, débitos pendentes, oferta de emprego).
3. PHISHING: UMA TÉCNICA DE ENGENHARIA SOCIAL
A técnica mais antiga e comumente utilizada de engenharia social é a do phishing (ou phishing scam).
A origem do termo phishing é alusiva à palavra em inglês fishing, que significa “pescaria”, em tradução livre (INFOWESTER). O phishing, assim:
é como pescar com uma rede: a rede é jogada na maior área (…) [e] para o maior número de pessoas possível. Mesmo que uma proporção pequena dos peixes caia na rede, o número de vítimas já será suficiente para que o criminoso atinja seu objetivo (ABIN, 2021)
Da mesma forma que na Internet circulam informações de qualquer tipo e origem, inclusive falsas e maliciosas, tendo como principais meios de propagação redes sociais (Facebook, Instagram, Twiiter, Threads) e serviços de mensagens instantâneas (WhatsApp, Telegram), isso não é diferente em relação ao SMS (CERT.BR; INFOWESTER). E embora esses meios de propagação de informações falsas contendo links maliciosos tenham se tornado comum, as ameaças por e-mail e arquivos anexos continuam elevadas (KOVTUN).
E a pessoa que acreditar cegamente em tudo que recebe ou acessa, sem uma análise crítica, “mordendo a isca jogada” ao clicar/tocar num link ou código QR malicioso que a direcione para uma página falsa ou com malware, facilita a ação de golpistas (CERT.BR).
Além do envio mensagem de texto por SMS (smishing), há outras espécies de phishing, na qual o criminoso (IBM):
– utiliza a voz, por meio de telefonemas ameaçadores previamente gravados, alegando ser funcionário de um órgão público, uma autoridade (vishing);
– aproveita o acesso privilegiado a informações de usuários, à rede ou a fundos corporativos e pesquisando a vítima, geralmente por meio de redes sociais, cria uma mensagem que aparenta ser de alguém que ela conhece e confia ou que faça referência a situações com as quais ela está familiarizada (spear phishing);
– utiliza contas falsas de redes sociais que se passam por contas oficiais de atendimento ao cliente ou de equipes de suporte de empresas confiáveis (angler phishing).
Uma abordagem do tipo phishing acontece quando criminoso, ao entrar em contato fingindo ser uma empresa, solicita o código enviado por SMS para o smartphone da vítima que, por desatenção, acaba permitindo que o dispositivo seja invadido (“clonado”) por intermédio do aplicativo de mensagem instantânea WhatsApp instalado nele o qual, se não estiver configurado para a verificação de duas etapas, acaba tendo seu acesso comprometido (UOL).
Lembrando que as versões Web e para computador do WhatsApp, apesar de oferecerem mecanismos de segurança bastantes eficientes, não são totalmente imunes a ataques, golpes e ameaças cibernéticas, havendo a possibilidade de exposição de dados, históricos, conversas, arquivos etc. (KLUSAITÉ). E isso acontece quando os computadores, que também podem ser acessados por terceiros, ou o próprio smartphone da vítima podem estar comprometidos com malware do tipo spyware (REGAN).
O criminoso, ao acessar o WhatsApp, passa a solicitar dinheiro por PIX, informando a respectiva chave, ou outras modalidades de transferência de valores a pessoas que constam na lista de contatos da vítima (UOL).
4. OUTRAS ESPÉCIES DE ENGENHARIA SOCIAL
Outras espécies de engenharia social que vale a pena serem citadas são baiting, tailgaling, pretexting, quid pro quo, scareware e a watering hole.
Na técnica de invasão (ataque) baiting, parecida com o phishing, pois que também é lançada uma “isca”, a vítima, intencionalmente ou não, e motivada pela curiosidade, fornece informações confidenciais ao receber ofertas on-line de dinheiro ou de objetos de valor (IBM). Ocorre baiting também quando, ao utilizar um pen drive deixado em sua mesa de trabalho pelo criminoso, conecta esse dispositivo em seu computador e acaba por infectá-lo com um malware (código malicioso) que poderá causar algum dano (NORTON).
Na tailgaling (ou acesso superposto), o ataque é feito por uma pessoa não autorizada que obtém acesso físico a um local contendo informações confidenciais ou bens de valor, vindo a “roubar” essas informações e ou danificar esses bens, além de comprometer (pelo acesso digital) credenciais de usuários ou até mesmo instalar um malware em computadores (IBM, MCAFEE).
Na pretexting, a abordagem do criminoso se dá por “pretexto”, contando uma história falsa objetivando induzir a vítima a erro ao relatar, por exemplo, a ocorrência de uma violação de segurança e que para ajudá-la a resolver o problema, ela precisa fornecer informações importantes sobre sua conta ou permitir que haja acesso ao seu computador (MALWAREBYRES; BURDONA).
Na quid pro quod, o criminoso oferece um bem ou serviço (prêmio de concurso falso, recompensa de programa de fidelidade) em troca de informações confidenciais da vítima quando, por exemplo, essa preenche um formulário on-line cujo link lhe é enviado (IBM; NORTON).
Na scareware, ao enviar notificações que assustam a vítima, e induzindo ela a erro de que seu dispositivo estaria infectado com um malware, o criminoso envia um link que faz direcionamento para um outro local, como uma página ou site (BUXTON). Nesse local seria feito um download ou adquirido um software de segurança específico para que seja solucionado o problema, o que na verdade provoca a invasão e possibilidade de golpe (BUXTON; FREDA).
Por fim, na watering hole, em geral, e fazendo uma alusão ao seu significado na língua portuguesa, o criminoso fica à espreita da vítima para atacá-la quando, estando em situação similar a um animal com sede, ela se dirige a um local de uma “fonte de água “que a deixa em posição vulnerável para ser caçada (MENDOZA). Em outras palavras, o criminoso consegue, através de sua página web legítima, “infectar” o dispositivo da vítima por um código malicioso na ocasião em que ela faz um acesso (IBM).
5. INVASÃO DE DISPOSITIVO INFORMÁTICO NA LEGISLAÇÃO BRASILEIRA
Entre as finalidades da invasão mal-intencionada de um dispositivo informático realizada por um hacker, e sem autorização de seu usuário, conforme leitura do art. 154-A do Código Penal Brasileiro (BRASIL), podemos listar:
– obter, adulterar ou destruir dados ou informações contidos no dispositivo;
– por em mau estado ou em pior condição de uso, ou inutilizar o dispositivo em si ou os dados ou informações contidos nele.
– instalar vulnerabilidades no dispositivo para obter vantagem ilícita;
– obter conteúdo de comunicações eletrônicas privadas (no caso de computadores, smartphones e tablets que se conectam à Internet), segredos comerciais ou industriais, informações sigilosas, ou o controle remoto não autorizado do dispositivo;
– divulgar, comercializar ou transmitir a terceiro, gratuitamente ou mediante cobrança de valor, os dados ou informações obtidos no dispositivo.
Conforme preceituado pelo art. 154-B do Código Penal Brasileiro, esses crimes ainda podem vir a ser cometidos contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos (BRASIL).
Quando a vítima é induzida a fornecer informações confidenciais, que são então utilizadas para cometer fraudes e outros crimes financeiros, há entendimento no sentido de que as condutas do hacker estariam entre aquelas tipificadas no art. 155, caput, § 4º, inciso II (roubo qualificado) e no art. 171 (estelionato), ambos do Código Penal Brasileiro (CAMPELO; CARLOS).
6. O QUE O USUÁRIO DE DISPOSITIVO INFORMÁTICO PODE FAZER PARA EVITAR FRAUDES, DANOS E ESPIONAGEM
Dica nº 1:
Toda vez que o usuário de um computador, smartphone ou tablet conectado à Internet pretender acessar uma página web ou conjuntos de páginas (site), inclusive relacionadas a redes sociais, aplicativos e serviços vinculados e outros de mensagens, ele deve se certificar de que essas tecnologias são legítimas, de origem autêntica, verdadeira. Dessa maneira, o ideal é que o usuário (CERT.BR; MICROSOFT; GOOGLE; APPLE):
– Acesse o site digitando o endereço (URL) diretamente no navegador sendo que, se usar sites de busca para localizar esse endereço, deve certificar de que ele é o correto, priorizando acessar o que possua conexão segura (https);
– Instale apenas aplicativo oferecido diretamente pela organização fabricante, da possuidora do respectivo direito, ou relacionada ao sistema operacional utilizado no dispositivo informático [se o sistema for Windows, o aplicativo é encontrado no serviço on-line (loja) da Microsoft Store; se Android, no Google Play; se Apple, no App Store)];
– Antes de realizar uma transação comercial, principalmente estimulada por preços aparentemente baixos, ou por prêmios ou recompensas, pesquise tanto o mercado como a reputação da empresa e opiniões de clientes que tenham sido publicadas em redes sociais e sites de reclamações.
– Ao pretender realizar uma transação comercial ou celebração de contratos diversos de maneira on-line, ele deve priorizar sites e lojas que conheça ou tenha boas referências a respeito;
– Antes de autorizar a cobrança correspondente à transação comercial ou celebração de contratos diversos, ele deve conferir o valor cobrado, bem como compará-lo ao que constar no respectivo extrato ou fatura, quando efetuado o pagamento;
– Se pretender efetuar o pagamento do valor correspondente à transação comercial ou celebração de contratos diversos realizados, ele deve preferir o cartão virtual, e evitar fazer esse pagamento fora da respectiva plataforma.
Dica nº 2:
Um usuário de dispositivo informático pode vir a receber mensagem por SMS, em seu celular ou smartphone, com notificações ou alertas que supostamente podem ser em benefício próprio ou de uma organização que ele possua vínculo ou interesse.
Em casos como esse, é comum ser enviado um link contendo textos para que o usuário solucione uma situação ou realize um procedimento. Para tanto, normalmente deve ser dado um toque na tela ou numa tecla do dispositivo para que haja supostamente o direcionamento a um serviço on-line de download de aplicativo ou de correio eletrônico (e-mail), bem como página web ou site, sendo que antes o usuário deve (CERT.BR):
– Desconfiar, ter calma e buscar informação a respeito sobre quem originou a mensagem, principalmente se existir uma fonte oficial (site, número de telefone ou e-mail de contato);
– Pesquisar sobre a possibilidade de ter havido relatos de golpes contra outras pessoas que receberam mensagens do tipo;
– Se aconselhar com alguém que tenha vivido experiência similar, seja um familiar, amigo, ou que entenda do assunto;
– Refletir sobre a possibilidade de o conteúdo da mensagem fazer sentido, principalmente se o usuário não contratou nenhum serviço ou produto com a suposta pessoa ou organização, ou mesmo que tenha contratado ou seja cliente antigo, se o meio de comunicação utilizado é o de costume ou o correto;
– Refletir se o valor eventualmente cobrado, bem como forma de pagá-lo procede;
– Observar se há erros de escrita na mensagem;
– Conferir sempre os dados recebidos quando forem necessários para a realização de transferências ou transações financeiras, bem como celebração de contratos diversos legítimos;
– De forma nenhuma, fornecer senhas, códigos de verificação ou imagens de códigos QR.
Dica nº 3:
Quando forem enviadas mensagens de texto com ou sem arquivo anexo, anúncio, bem como link de e-mail, perfil de rede social e de código QR, e para finalidades como as mencionadas na Dica nº 2, ao recebê-los o usuário deve (CERT.BR; FREIRE):
– Averiguar a possibilidade de tentativa de fraude, dano ou espionagem, por meio de pesquisa quanto à existência de perfil oficial e, quando disponível, pela indicação “conta verificada”; sendo confirmada a falsidade, deve denunciar tais mensagens, anúncios ou links maliciosos através dos canais apropriados, bem como bloquear os e-mails recebidos e os números de telefone e contas falsas relacionadas;
– Fazer contato com o verdadeiro titular através de outro canal de comunicação ou procurá-lo pessoalmente, amigos e familiares dele, quando da suspeita de que o perfil possa estar sendo utilizado ou tenha sido invadido por outra pessoa;
– Conferir sempre os dados recebidos quando forem necessários para a realização de transferências ou transações financeiras, bem como celebração de contratos diversos legítimos;
– De forma nenhuma fornecer senhas, códigos de verificação ou imagens de códigos QR;
– Ativar a verificação de duas etapas para acrescentar mais uma camada de segurança quando acessar suas contas em navegadores e aplicativos (on-line);
– Somente ler códigos QR quando tiver certeza de que a fonte é confiável.
Dica nº 4:
Quando forem enviadas mensagens de texto para seu e-mail, com ou sem arquivo anexo, anúncio, indicação de link de perfil de rede social, de código QR, bem como de página web ou site, e para finalidades como as mencionadas na Dica nº 2, ao recebê-los, o usuário deve ter as mesmas cautelas nela descritas.
* Dr. Fabricius Assumpção é advogado especialista em Direito Digital e associado ao Luiz Fernando Piersanti Sociedade Individual de Advocacia (Piersanti Advogados).
REFERÊNCIAS
ABIN. Engenharia social: guia para proteção de conhecimentos sensíveis. Programa Nacional de Proteção do Conhecimento Sensível, 2021. Disponível em: <https://www.gov.br/abin/pt-br/acesso-a-informacao/acoes-e-programas/PNPC/boaspraticas/cartilha-engenharia-social-guia-para-protecao-de-conhecimentos-sensiveis>. Acesso em: 12 set. 2023.
APPLE. App store. Disponível em: <https://www.apple.com/br/app-store/>. Acesso em: 12 set. 2023.
BELCIC, I. O que é hacking. Avast Academy, 2020. Disponível em: <https://www.avast.com/pt-br/c-hacker>. Acesso em: 12 set. 2023.
BITDEFENDER. Support: como verificar com a análise de vulnerabilidades se o seu pc está vulnerável a hackers. Disponível em: <https://www.bitdefender.com.br/consumer/support/answer/38597/>. Acesso em: 12 set. 2023.
BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Disponível em: <https://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm>. Acesso em: 12 SET. 2023.
BROOKSHEAR, J. G. Ciência da computação: uma visão abrangente. (Contr.) David T. Smith, Dennis Brylow. (Trad.) Eduardo Kessler Piveta. 11 ed. Porto Alegre; Bookman, 2013.
BURDONA, C. O que é pretexting. AVG, 2023. Disponível em: <https://www.avg.com/pt/signal/what-is-pretexting#:~:text=O%20pretexting%20%C3%A9%20um%20truque,pessoais%20ou%20acesso%20%C3%A0%20conta.>. Acesso em: 12 set. 2023.
BUXTON, O. O que é um scareware. Avast Academy, 2021. Disponível em: <https://www.avast.com/pt-br/c-scareware>. Acesso em: 12 set. 2023.
CAMPELO, M. Crimes Cibernéticos: phishing, furto, estelionato. Migalhas, 2023. Disponível em: <https://www.migalhas.com.br/depeso/382987/crimes-ciberneticos–phishing–furto>. Acesso em: 12 set. 2023.
CARLOS, L. Phishing: a pescaria para furtar seus dados na Internet. Canal Ciências Criminais, 2022. Disponível em: <https://canalcienciascriminais.com.br/phishing-a-pescaria-para-furtar-seus-dados-na-internet/>. Acesso em: 12 set. 2023.
CERT.BR. Cartilha de Segurança para Internet: phishing e outros golpes. Disponível em: <https://cartilha.cert.br/>. Acesso em: 12 set. 2023.
ELIEZER, C. R.; GARCIA, T. P. O novo crime de invasão de dispositivo informático. Revista do Curso de Direito da UNIFOR, v. 5, n. 1, p. 69-87, jan./jun. 2014. Disponível em: <https://periodicos.uniformg.edu.br:21011/ojs/index.php/cursodireitouniformg/article/view/242>. Acesso em: 12 set. 2023.
ERICSSON. Ericsson Mobily Report. Jun./2023. Disponível em: <https://www.ericsson.com/en/reports-and-papers/mobility-report/reports/june-2023>. Acesso em: 12 set. 2023.
FREDA, A. Então, o que é exatamente um scareware. Blog AVG Signal, 2021. Disponível em: <https://www.avg.com/pt/signal/what-is-scareware>. Acesso em: 12 set. 2023.
FREIRE, R. Autenticação de dois fatores: o que é e para que serve o recurso. TechTudo, 2021. Disponível em: <https://www.techtudo.com.br/noticias/2021/08/autenticacao-de-dois-fatores-o-que-e-e-para-que-serve-o-recurso.ghtml>. Acesso em: 12 set. 2023.
GARTNER. Press Release: Gartner Forecasts Global Devices Installed Base to Reach 6.2 Billion Units in 2021. Apri./2021. Disponível em: <https://www.gartner.com/en/newsroom/press-releases/2021-04-01-gartner-forecasts-global-devices-installed-base-to-reach-6-2-billion-units-in-2021>. Acesso em: 12 set. 2023.
GOOGLE. Google play. Disponível em: <https://play.google.com/store/games?device=windows>. Acesso em: 12 set. 2023.
IBM. O que é engenharia social. Disponível em: <https://www.ibm.com/br-pt/topics/social-engineering>. Acesso em: 12 set. 2023.
INFOWESTER. O que é phishing. Disponível em: <https://www.infowester.com/phishing.php>. Acesso em: 12 set. 2023.
KASPERSKY. Tipos de malwares & exemplos de malwares. Disponível em: <https://www.kaspersky.com.br/resource-center/threats/types-of-malware>. Acesso em: 12 set. 2023.
____________. Exploits de vulnerabilidades e técnicas de implementação de malware. Disponível em: <https://www.kaspersky.com.br/resource-center/threats/malware-implementation-techniques>. Acesso em: 12 set. 2023.
____________. O que é hacking e como se prevenir. Disponível em: https://www.kaspersky.com.br/resource-center/definitions/what-is-hacking. Acesso em: 12 set. 2023.
KLUSAITÉ, L. Como usar WhatsApp Web, e é seguro utilizá-lo. NordVPN, 2023. Disponível em: <https://nordvpn.com/pt-br/blog/whatsapp-web-e-seguro/#:~:text=Aposte%20numa%20VPN-,Os%20riscos%20de%20seguran%C3%A7a%20do%20WhatsApp%20Web,usu%C3%A1rio%20tenha%20seu%20WhatsApp%20hackeado.> Acesso em: 12 set. 2023.
KOVTUN, A. As ameaças por e-mail em 2022. Kaspersky daily, 2022. Disponível em: https://www.kaspersky.com.br/blog/email-threats-in-2022/20731/. Acesso em: 12 set. 2023.
MAGGIO, V. P. R. Novo crime: invasão de dispositivo informático (CP, art. 154-A). Disponível em: <https://www.jusbrasil.com.br/artigos/novo-crime-invasao-de-dispositivo-informatico-cp-art-154-a/121942478#:~:text=Da%20mesma%20forma%2C%20dispositivo%20inform%C3%A1tico,comuns%2C%20pendrives%20etc.).> Acesso em: 12 set. 2023.
MALWAREBYTES. What is pretexting. Disponível em: <https://www.malwarebytes.com/cybersecurity/business/what-is-pretexting>. Acesso em: 12 set. 2023.
MCAFEE. What are tailgating attacks and how to protect yourself from them. Disponível em: <https://www.mcafee.com/blogs/internet-security/what-are-tailgating-attacks/>. Acesso em: 12 set. 2023.
MENDOZA, M.A. Watering Hole: à espera de vítimas, do reino animal à segurança. Welivesecurity, 2017. Disponível em: <https://www.welivesecurity.com/br/2017/11/21/watering-hole-a-espera-de-vitimas/>. Acesso em: 12 set. 2023.
MICROSOFT. O que é gerenciamento de vulnerabilidades. Disponível em: <https://www.microsoft.com/pt-br/security/business/security-101/what-is-vulnerability-management>. Acesso em: 12 set. 2023.
_____________. Aplicativos do Windows. Disponível em: <https://apps.microsoft.com/store/apps>. Acesso em: 12 set. 2023.
NORTON. O que é engenharia social. Disponível em: <https://br.norton.com/blog/emerging-threats/what-is-social-engineering>. Acesso em: 12 set. 2023.
REGAN, J. O que é spyware. Blog AVG Signal, 2023. Disponível em: <https://www.avg.com/pt/signal/what-is-spyware#:~:text=O%20spyware%20%C3%A9%20definido%20como,uma%20forma%20perigosa%20de%20malware.> Acesso em: 12 set. 2023.
TEIXEIRA, T. Direito digital e processo eletrônico. 5 ed. São Paulo: Saraiva Educação, 2020.
TURBAN, E.; VOLONINO, L. Tecnologia da informação para gestão: em busca do melhor desempenho estratégico e operacional. (Trad.) Aline Evers. (Rev. Téc.) Ângela Freitag Brodbeck. 8 ed. Porto Alegre: Bookman, 2013.
UOL. Golpes de engenharia social: entenda o que são e saiba como se proteger. PagBang, 2022. Disponível em: <https://blog.pagseguro.uol.com.br/o-que-e-engenharia-social/>. Acesso em: 12 set. 2023.
WENDT, E.; JORGE, H. V. N. Crimes cibernéticos: ameaças e procedimentos de investigação. 2 ed. Rio de Janeiro: Brasport, 2013.
