MAPA DO SITE ACESSIBILIDADE ALTO CONTRASTE

Diretoria de Tecnologia da Informação

DTI

CEFET-MG

Orientações sobre Segurança da Informação: engenharia social e golpes de phishing

Sábado, 21 de janeiro de 2023
Última modificação: Quinta-feira, 6 de julho de 2023

Considerando o crescente uso de sistemas e serviços de TI, impulsionados pela transformação digital do serviços públicos e o teletrabalho no âmbito do Programa de Gestão e Desempenho, a Diretoria de Tecnologia da Informação (DTI) vem divulgar orientações referentes à Segurança da Informação.

Nos últimos anos, o CEFET-MG, bem como as demais Instituições de ensino e pesquisa, tem notado um aumento acentuado nas tentativas de ataques cibernéticos do tipo phishing, que utiliza de engenharia social para aplicar golpes.

A engenharia social é uma técnica de manipulação que tenta convencer e conduzir outra pessoa a executar ações que levam a fornecer informações pessoais/sensíveis ou que facilitem a efetivação de golpes a partir do engano e da violação de procedimentos de segurança que normalmente deveriam ser seguidos por ela. Essa técnica também pode vir disfarçada de uma amizade repentina a fim de facilitar a obtenção de informações privilegiadas.

Uma das estratégias mais utilizadas pelos ataques de phishing é o envio de mensagens falsas por e-mail, aplicativos de mensageiria instantânea (Whatsapp, Telegram, etc) e SMS, que tentam induzir o usuário a clicar em um link ou instalar um aplicativo malicioso.

Os golpes com engenharia social são aplicados também para obtenção de credenciais de acesso às redes das instituições, como nomes de usuários, e-mail e senha correspondente, a partir de formulários falsos, mas devidamente preparados para tentar convencer o usuário de que é legítimo. Esta violação de dados é agravada quando o usuário utiliza a mesma senha em diferentes plataformas, sites ou serviços, aumentando ainda mais as possibilidades de acesso.

Portanto, diante da situação, a Diretoria de Tecnologia da Informação (DTI) orienta que:

  • fique atento aos endereços de links e e-mails que recebe, pois os serviços e mensagens institucionais utilizam o domínio “cefetmg.br”;
  • utilize o e-mail institucional estritamente para assuntos profissionais, evitando cadastrá-lo em sites de compra, redes sociais e demais serviços de terceiros, salvo exceções devidamente justificadas;
  • controle e mantenha atualizados os aplicativos e os sistemas em seu dispositivo, principalmente se fizer uso da rede de dados da Instituição, incluindo a rede sem fio e a VPN Institucional;
  • não abra mensagem de origem desconhecida, remetente suspeito ou com texto incomum;
  • não acesse links suspeitos ou de origem desconhecida;
  • ao se ausentar da estação de trabalho, bloqueie a tela do dispositivo;
  • sempre que disponível, ative o Múltiplo Fator de Autenticação (MFA) em seus sistemas;
  • evite utilizar redes sem fio não confiáveis (bares, restaurantes, aeroportos, etc);
  • não preencha suas informações em formulários de sites desconhecidos ou inseguros (note o endereço na barra do navegador);
  • não informe seus dados, principalmente senhas, por telefone ou mensagem e nem mantenha anotações visíveis;
  • não utilize a mesma senha para outros serviços;
  • não envie fotos de documentos ou os publique em redes sociais;
  • se possível, não autorize acessos remotos ao seu dispositivo;
  • não repasse códigos de segurança recebidos para supostos atendentes;
  • desconfie de ofertas, promessas ou ameaças que exigem dados;
  • caso tenha repassado informações para e-mails ou formulários falsos, faça a alteração imediata da senha e não a reutilize no futuro; e
  • sempre que receber mensagens falsas ou suspeitas, ou se tiver dúvidas, entre em contato com a Coordenação de Tecnologia da Informação e Comunicação (CTIC) da sua unidade ou a DTI a partir da Central de Serviços de TI (http://cs.sgi.cefetmg.br).

Recomenda-se, ainda, a leitura dos seguintes materiais:

Cartilha de Segurança para Internet elaborada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br): https://cartilha.cert.br/fasciculos/#phishing-golpes

Internet Segura idealizada pelo Comitê Gestor da Internet no Brasil (CGI.br): https://internetsegura.br

Glossário de Segurança da Informação do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (DSI/GSI/PR): https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/glossario-de-seguranca-da-informacao-1