Engenharia Social: A Psicologia na Borda da Falha na Cibersegurança

Engenharia Social: A Psicologia na Borda da Falha na Cibersegurança

A engenharia social explora a psicologia humana para contornar defesas técnicas, tornando o fator humano o elo mais fraco na cibersegurança. Este artigo detalha as táticas, fases e tipos de ataques de engenharia social, enfatizando a importância do treinamento contínuo e da vigilância.

MundiX News·01 de julho de 2026·20 min de leitura·👁 1 views

A engenharia social representa um conjunto de técnicas psicológicas empregadas por atacantes para persuadir indivíduos a realizar ações que beneficiem o agressor. Em vez de explorar vulnerabilidades técnicas complexas, o atacante foca no elo mais fraco de qualquer sistema: o ser humano. Cada usuário possui acesso a recursos corporativos, direitos e a capacidade de executar diversas operações, o que o torna a primeira linha de defesa. Se um atacante consegue contornar essa barreira, a segurança de toda a organização fica comprometida. Este artigo explora os métodos fundamentais da engenharia social, a estrutura de tais ataques e por que até mesmo as defesas modernas nem sempre são suficientes para preveni-los.

Independentemente da robustez do hardware ou da meticulosidade com que os especialistas em segurança da informação configuram as defesas, o fator humano é impossível de eliminar completamente. É o indivíduo que, com frequência, se torna o elemento vulnerável através do qual o atacante obtém acesso ao sistema. A engenharia social não exige conhecimentos técnicos profundos, ampliando significativamente o leque de potenciais infratores. Embora especialistas em segurança da informação, administradores de sistemas e outros profissionais de TI representem um perigo maior devido aos seus privilégios de acesso expandidos, funcionários comuns também podem representar uma ameaça considerável. Particular atenção deve ser dada a funcionários insatisfeitos ou desiludidos, cujas razões podem incluir conflitos com a gerência, insatisfação salarial, falta de progressão na carreira ou demissão. Esses indivíduos podem se tornar fontes de ameaças internas. Estudos indicam que alguns funcionários, após serem demitidos, retêm documentos corporativos, copiam materiais de trabalho ou continuam a usar e-mails pessoais para transmitir informações de serviço. Dados confidenciais são frequentemente extraídos em mídias físicas, discos rígidos externos ou pendrives.

Mesmo que uma empresa não esteja sob ataque direto no momento, isso não significa que ninguém esteja coletando informações sobre ela. Existem organizações especializadas na busca e venda de diversos dados sobre indivíduos e empresas. Exemplos notáveis incluem LexisNexis, MasterFiles e outros serviços similares. Embora essas empresas não sejam criminosas por si só, as informações que coletam podem ser utilizadas por uma variedade de indivíduos. É por isso que os atacantes frequentemente iniciam a preparação de um ataque estudando fontes de informação abertas. Profissionais de recrutamento também merecem atenção especial. Agências de recrutamento possuem um bom conhecimento da estrutura das empresas, seus departamentos, requisitos de funcionários e particularidades dos processos internos. À primeira vista, essa informação pode parecer inofensiva, mas nas mãos de um atacante, pode se tornar uma fonte valiosa de dados. Por exemplo, um atacante pode criar um perfil profissional no LinkedIn que corresponda exatamente aos requisitos de uma vaga aberta. Durante as interações com um recrutador ou em uma entrevista, ele pode sutilmente obter informações adicionais sobre a estrutura interna da organização, tecnologias, cultura corporativa e até mesmo sobre funcionários individuais.

Para executar um ataque bem-sucedido contra um indivíduo, o atacante geralmente segue várias etapas sequenciais: 1. Coletar o máximo de informações sobre o alvo; 2. Estabelecer um relacionamento de confiança; 3. Obter as informações necessárias; 4. Alcançar a execução da ação desejada. A preparação começa muito antes do contato direto com a vítima. Fontes de informação podem incluir o site corporativo, redes sociais, publicações de funcionários, fóruns, documentos abertos e até mesmo o lixo comum. Embora possa parecer estranho, papéis descartados às vezes contêm uma quantidade enorme de informações úteis. Contas antigas, extratos bancários, receitas médicas, fotos, currículos e outros documentos permitem descobrir o endereço de uma pessoa, número de telefone, situação financeira, estado de saúde e muitos outros detalhes. Às vezes, um atacante passa semanas tentando encontrar uma maneira de invadir um sistema e, em seguida, acidentalmente descobre na lixeira um pedaço de papel com um login e senha anotados. É por isso que o descarte adequado de documentos continua sendo uma parte importante da segurança da informação. Estabelecer confiança nem sempre requer comunicação prolongada; um único telefonema pode ser suficiente. Um bom exemplo é um ataque a uma empresa da AOL, onde um atacante conversou por mais de uma hora com um funcionário de suporte técnico, gradualmente ganhando sua simpatia. Durante a conversa, ele mencionou que estava vendendo um carro. O funcionário se interessou e pediu para enviar fotos. Em vez de fotos, o atacante enviou um arquivo malicioso. Após abri-lo, ele obteve acesso à rede interna da empresa. Após estabelecer a confiança, a coleta de informações necessárias começa. Uma vez, um atacante ligou para o número público de uma organização, apresentando-se como um novo funcionário. Inicialmente, ele pediu para ser conectado ao suporte técnico e, em seguida, informou que havia acabado de começar a trabalhar e precisava dos contatos do chefe do departamento de TI para coordenar a conexão à rede local. Após obter os dados necessários, ele fez uma nova ligação. Desta vez, o atacante informou ao funcionário de suporte técnico que precisava urgentemente fazer uma apresentação, mas sua conta ainda não havia sido criada. Ele também acrescentou que já havia recebido permissão verbal do chefe do departamento de TI para criar uma conta temporária. Desejando ajudar o novo colega, o funcionário do suporte atendeu ao pedido. Como resultado, o atacante obteve acesso à rede interna sem o uso de quaisquer métodos técnicos de invasão.

A engenharia social é construída principalmente sobre a psicologia, e é por isso que os atacantes utilizam ativamente várias formas de influenciar as pessoas. A limitação de tempo, ao criar uma sensação de urgência, diminui significativamente a probabilidade de uma pessoa verificar cuidadosamente as informações. Frases como "Isso levará apenas alguns segundos", "Muito urgente" ou "Precisa ser feito agora" são comuns. Em interações pessoais, olhar constantemente para o relógio ou demonstrar pressa pode intensificar esse efeito. O apoio à autoestima, onde as pessoas gostam de se sentir competentes, leva o atacante a demonstrar intencionalmente sua falta de conhecimento e pedir ajuda. Quando uma pessoa tem a oportunidade de se sentir como um especialista, ela se torna mais aberta e mais disposta a compartilhar informações. Elogios também são eficazes: "Só você entende bem desse assunto" ou "Sem a sua ajuda, eu definitivamente não consigo". Perguntas corretas, como "Como?", "Por quê?" e "Quando?", são mais úteis do que perguntas fechadas, pois incentivam o interlocutor a fornecer mais detalhes, muitas vezes sem que ninguém tenha pedido diretamente. O senso de dever, apelando para as responsabilidades de serviço, é outro truque comum. Por exemplo, um atacante pode afirmar que o funcionário tem a obrigação de ajudar, pois as instruções de trabalho ou uma ordem da gerência exigem isso. Ameaças, embora muitos ataques se baseiem em comunicação amigável, às vezes são usadas. Se uma pessoa teme punição, demissão ou outras consequências desagradáveis, a probabilidade de cumprir as exigências aumenta significativamente. Recompensa, nem sempre é necessário intimidar uma pessoa; às vezes, oferecer uma pequena recompensa é suficiente. Em um experimento, transeuntes receberam brindes baratos em troca de escreverem suas senhas em um pedaço de papel. Surpreendentemente, cerca de 90% dos participantes concordaram em cumprir essa solicitação. A engenharia social abrange inúmeras maneiras de obter acesso a informações ou recursos de uma organização. Apesar da variedade de métodos, todos compartilham uma característica comum: o atacante explora a credulidade, a falta de atenção ou o desejo de ajudar de uma pessoa. Obtenção de informações confidenciais é um dos cenários mais comuns, onde dados necessários são extraídos durante uma conversa. Por exemplo, um atacante encontra um recibo bancário no lixo e liga para o titular do cartão, apresentando-se como funcionário do banco. Ele informa que o prazo de validade do cartão bancário está prestes a expirar e oferece a emissão de um novo. A vítima responde que o cartão ainda é válido e informa o prazo de validade real. O golpista então alega um erro no banco de dados e pede para confirmar o número do cartão. Sem suspeitar de nada, a pessoa fornece voluntariamente todas as informações necessárias. Esses ataques não se baseiam em conhecimento técnico, mas na habilidade de conduzir uma conversa e inspirar confiança. A falsificação de afiliação a uma organização continua sendo um método muito eficaz, onde o atacante se passa por um funcionário de uma empresa conhecida. Hoje, é fácil adquirir roupas de marca de serviços de entrega, organizações de serviços públicos ou suporte técnico. Por exemplo, uma jaqueta da DHL pode ser facilmente comprada online. Uma pessoa com tal uniforme raramente levanta suspeitas. Seguranças, funcionários e visitantes automaticamente começam a percebê-lo como alguém familiar. Estando dentro do escritório, o atacante pode procurar tranquilamente estações de trabalho desbloqueadas, laptops deixados sem supervisão, documentos ou outros objetos valiosos. Phishing é uma das variedades mais conhecidas de engenharia social. Seu objetivo é fazer com que o usuário revele voluntariamente dados confidenciais. Para isso, são criados e-mails falsos, sites ou formulários de login, praticamente indistinguíveis dos originais. Um exemplo típico é um e-mail informando que a conta do usuário foi bloqueada. Para restaurar o acesso, é solicitado que o usuário clique em um link fornecido. Tais mensagens podem vir supostamente de bancos, serviços de e-mail, lojas online, redes sociais, plataformas de jogos ou organizações governamentais. Frequentemente, os golpistas usam técnicas especiais para ocultar o endereço real do remetente. A maioria dos usuários não analisa os detalhes técnicos do e-mail e vê apenas o nome familiar da empresa, o que os atacantes exploram. Às vezes, em vez de um link, um anexo contendo software malicioso é adicionado ao e-mail.

Outra variedade clássica de fraude são as chamadas "cartas de sorte". Nelas, o remetente informa que recebeu inesperadamente uma grande herança ou ganhou uma quantia considerável de dinheiro, mas precisa de um representante de confiança para finalizar o pagamento. Ao usuário é prometida uma recompensa significativa – às vezes milhões de dólares – se ele concordar em ajudar. Para isso, basta enviar dados pessoais, detalhes da conta bancária ou cópias de documentos. Embora a probabilidade de alguém acreditar em tal mensagem seja pequena, a distribuição em massa torna esses esquemas bastante lucrativos. Mesmo um usuário experiente nem sempre consegue distinguir um site real de uma falsificação de alta qualidade. Golpistas modernos registram facilmente nomes de domínio semelhantes, que diferem em apenas uma letra ou usam caracteres visualmente quase indistinguíveis. Por exemplo, o nome de domínio de um banco conhecido pode parecer completamente familiar, embora uma das letras seja substituída por um caractere semelhante de outro alfabeto. A presença de um certificado SSL adiciona credibilidade. Muitos usuários acreditam que o ícone de cadeado no navegador garante a segurança do site. Na verdade, o certificado apenas confirma uma conexão segura, mas não indica que o site pertence a uma organização real. Após criar uma cópia, os golpistas enviam e-mails solicitando que o usuário revise as novas regras de serviço ou confirme os dados da conta. O usuário clica no link e insere voluntariamente seu login, senha ou dados bancários. O phishing telefônico é baseado no uso de sistemas telefônicos automatizados. Em muitos bancos, o cliente é convidado a passar pela identificação antes de se conectar a um operador. Geralmente, isso requer a inserção do número do cliente, PIN ou outros dados. O atacante cria seu próprio sistema telefônico automatizado que grava todos os valores inseridos pelo usuário. Em seguida, mensagens são enviadas às potenciais vítimas solicitando contato urgente com o banco pelo número fornecido. O usuário liga, insere os dados necessários, após o que a conexão é inesperadamente interrompida. Embora a pessoa possa tentar várias vezes, o atacante já conseguiu salvar todas as informações inseridas. A curiosidade muitas vezes supera a cautela. É nisso que se baseia o ataque de "isca" (baiting). É conhecido um caso em que um atacante deixou um pendrive chamativo no estacionamento de uma grande empresa. Um dos funcionários o encontrou antes do início do dia de trabalho e decidiu verificar o conteúdo diretamente em seu computador de trabalho. O dispositivo continha software malicioso. Após a conexão, o vírus se espalhou rapidamente pela rede interna da organização e interrompeu o funcionamento da empresa. Este exemplo demonstra o quão perigoso um simples pendrive encontrado pode ser. "Shoulder surfing" (olhar por cima do ombro) – às vezes, não são necessários programas complexos para obter uma senha. Basta ver o usuário digitá-la. Esse método é chamado de "shoulder surfing". A senha pode ser observada: estando perto da pessoa; através de uma janela usando ótica; usando câmeras de vigilância; observando a tela do dispositivo em um local público. Portanto, ao inserir informações confidenciais, sempre vale a pena observar o ambiente. "Tailgating" (seguir de perto) – este método é usado para penetrar em instalações protegidas. Imagine uma organização onde a entrada é feita por crachás eletrônicos através de catracas. O atacante se aproxima de um funcionário e diz que esqueceu ou perdeu seu cartão e está com muita pressa para uma reunião importante. Em muitos casos, a pessoa, desejando ajudar, segura a porta ou passa pela catraca junto com o estranho. Como resultado, o estranho obtém acesso à área protegida sem nenhum crachá. É por isso que as regras de segurança física exigem que cada funcionário passe pelo sistema de controle de acesso apenas com seu próprio crachá, independentemente das circunstâncias. Após penetrar com sucesso no sistema, o atacante frequentemente precisa baixar arquivos adicionais. Estes podem ser várias ferramentas: programas maliciosos, sniffers, keyloggers, ferramentas de controle remoto ou outros componentes necessários para o desenvolvimento posterior do ataque. Na prática, realizar essa tarefa nem sempre é fácil. Um dos principais obstáculos é o software antivírus, que é usado em praticamente todas as organizações hoje. A maioria dos antivírus modernos funciona comparando as assinaturas digitais dos arquivos com seu banco de dados. Se uma correspondência com uma ameaça conhecida for encontrada, o arquivo é automaticamente bloqueado ou excluído. A situação se torna ainda mais séria se a proteção for gerenciada centralmente. Nesse caso, ao detectar um arquivo suspeito, o administrador de segurança da informação recebe quase instantaneamente uma notificação sobre um possível incidente. Portanto, os atacantes geralmente usam uma das duas abordagens. A primeira é usar software malicioso exclusivo que não está nos bancos de dados antivírus. A segunda é usar utilitários de sistema legais e ferramentas integradas do sistema operacional que não levantam suspeitas do software de proteção.

Após obter acesso à linha de comando do sistema atacado, o atacante quase imediatamente se depara com um novo desafio: a falta de ferramentas necessárias para o trabalho posterior. Em sistemas operacionais do tipo UNIX, esse problema surge com muito menos frequência. Geralmente, utilitários como wget, curl e netcat já estão presentes, permitindo baixar arquivos e interagir com a rede. No ambiente Windows, a situação é geralmente mais complexa. As ferramentas necessárias podem simplesmente não estar presentes, exigindo a busca por métodos alternativos de transferência de dados e download de componentes necessários. A metodologia PETS (Information Gathering Levels) distingue três níveis de preparação para um ataque. O primeiro nível é a etapa mais simples, onde são utilizados meios automatizados de coleta de informações e os recursos de internet mais populares. A tarefa principal é obter rapidamente uma visão geral do alvo sem análise profunda. O segundo nível requer mais do que a busca automática. A maior parte do tempo é gasta na análise manual das informações encontradas, estudando publicações, documentos, infraestrutura da empresa, funcionários e as particularidades de suas atividades. Essa abordagem permite entender melhor a organização e identificar pontos potencialmente fracos. O terceiro nível é a etapa mais trabalhosa e demorada. A tarefa principal é identificar os elementos mais vulneráveis do sistema e se preparar para ações futuras. Aqui, a análise é realizada da forma mais detalhada possível, pois o sucesso das etapas subsequentes depende em grande parte da qualidade das informações coletadas. Antes de iniciar a busca por dados, é necessário definir o objetivo da pesquisa. Se a tarefa estiver claramente formulada, o trabalho é significativamente simplificado. No entanto, na prática, os objetivos são frequentemente vagos. Nesses casos, é importante definir antecipadamente quais informações específicas precisam ser obtidas. Se a análise for realizada sob encomenda de uma organização externa, os limites das ações permitidas devem ser imediatamente definidos, e deve-se entender quais métodos são proibidos de usar. Não menos importante é avaliar antecipadamente o volume do trabalho a ser realizado e o tempo necessário para sua conclusão. Ao final da etapa, é desejável ter um conjunto estruturado de informações obtidas de diversas fontes. Idealmente, as informações coletadas devem incluir várias categorias principais: 1. Informações públicas – dados oficiais publicados pela própria organização. 2. Dados de fontes abertas (OSINT) – qualquer informação disponível na internet ou em outros recursos de acesso público. 3. Informações específicas – dados sobre as particularidades das atividades da empresa, equipamentos e software utilizados. 4. Informações de rede – endereços IP, registros DNS, informações sobre domínios, serviços de rede e infraestrutura. 5. Vulnerabilidades potenciais – pontos fracos que podem ser explorados nas próximas etapas de teste. 6. Resultados de engenharia social – informações obtidas diretamente de funcionários da organização. Após a conclusão da etapa de coleta de informações, inicia-se a interação direta com o sistema investigado. O objetivo principal desta etapa é descobrir e classificar possíveis vulnerabilidades, que podem ser erros de configuração, falhas de software ou outros pontos fracos da infraestrutura. É muito importante definir antecipadamente: quais verificações serão realizadas; quais ferramentas serão usadas; quais resultados precisam ser obtidos. Sem um plano claro, é fácil se aprofundar na pesquisa de componentes individuais do sistema e gastar muito tempo sem resultados perceptíveis. Geralmente, nesta etapa são realizadas: varredura de portas; identificação dos serviços utilizados; coleta de informações sobre o software instalado; busca por vulnerabilidades conhecidas; análise da configuração do sistema. Apesar do desejo de testar rapidamente as defesas encontradas na prática, não se deve apressar. A tarefa principal é coletar informações, não explorar as vulnerabilidades descobertas.

A próxima etapa é a criação de um ambiente de teste. Ele permite testar com segurança os métodos de ataque escolhidos antes de aplicá-los na infraestrutura real. Isso é especialmente importante ao usar métodos de engenharia social. A prática prévia de cenários ajuda a evitar erros, aumentar a eficácia das ações e reduzir a probabilidade de o atacante ou especialista em testes ser detectado. Durante a modelagem, geralmente são seguidas quatro etapas principais: estudo da documentação necessária; definição dos métodos de ataque primários e de backup; identificação das vulnerabilidades principais e secundárias; seleção da forma mais adequada de explorar cada fraqueza descoberta. Essencialmente, a modelagem é uma continuação mais profunda da etapa de coleta de informações. As informações obtidas devem ser apresentadas de forma visual: construir um mapa de rede, um esquema de processos de negócios, a estrutura dos departamentos e as interconexões entre os funcionários. Essa abordagem facilita significativamente o planejamento posterior. Quando todas as informações necessárias são coletadas, as ferramentas são preparadas e os alvos são definidos, é hora de passar para a próxima etapa. Agora, as vulnerabilidades descobertas são usadas para obter acesso ao sistema. Se vários alvos potenciais forem encontrados, é importante escolher aquele cuja comprometimento trará o maior benefício. Por exemplo, invadir um servidor geralmente abre muito mais possibilidades do que comprometer uma estação de trabalho individual. Após a escolha do alvo, inicia-se a exploração direta da vulnerabilidade. Nem sempre a primeira tentativa é bem-sucedida. Às vezes, é necessário testar diferentes abordagens e combinar vários métodos antes de conseguir obter o acesso necessário. Os métodos de comprometimento mais comuns incluem: adivinhação ou quebra de senhas; interceptação de dados transmitidos; interceptação de sessões de usuário; ataques relacionados a buffer overflow. É importante lembrar que muitos ataques modernos combinam métodos técnicos com elementos de engenharia social, utilizando simultaneamente vulnerabilidades de software e o fator humano. A segurança da informação não é uma tarefa que pode ser realizada uma vez e esquecida. É um processo contínuo que exige atenção, atualização de conhecimentos e aprimoramento regular da proteção. O mundo da TI evolui muito rapidamente. Novas tecnologias, vulnerabilidades e métodos de ataque surgem quase diariamente. Portanto, é importante que o especialista em segurança da informação acompanhe as mudanças e se adapte a elas em tempo hábil. Isso não significa que seja necessário ler livros enormes sobre cibersegurança toda semana. É muito mais eficaz obter regularmente informações atualizadas de fontes confiáveis. Assinar newsletters de recursos especializados em segurança da informação é uma boa prática. Por exemplo, SecurityLab, Dark Reading, Security Week e outras plataformas semelhantes publicam regularmente notícias sobre vulnerabilidades descobertas, novos métodos de ataque e defesas modernas. É igualmente importante acompanhar os comunicados dos fabricantes de software utilizados em sua organização. Eles são os primeiros a publicar informações sobre vulnerabilidades críticas, atualizações de segurança e correções necessárias. Tais notificações exigem atenção especial, pois permitem corrigir o problema em tempo hábil, antes que os atacantes o explorem. O treinamento regular deve abranger não apenas os especialistas em TI, mas todos os funcionários da empresa. Mesmo o sistema de proteção mais moderno será ineficaz se os usuários não conhecerem as regras básicas de trabalho seguro. É por isso que o treinamento de pessoal deve fazer parte da política geral de segurança da informação. Um lugar especial é ocupado por treinamentos práticos. Conhecimento teórico não é suficiente – os funcionários devem entender como agir em situações reais. Por exemplo, é útil realizar regularmente testes simulados, modelar tentativas de ataques de phishing, praticar ações ao detectar e-mails suspeitos ou outros sinais de comprometimento. Esses treinamentos ajudam não apenas a verificar o nível de preparação do pessoal, mas também a identificar pontos fracos no sistema de proteção existente. Após cada evento desse tipo, é desejável analisar os resultados, discutir os erros cometidos e explicar como evitá-los no futuro. Não se deve esquecer do desenvolvimento dos próprios especialistas em segurança da informação. Participar de conferências especializadas, webinars, estudar novas tecnologias, obter certificações profissionais e trocar experiências com colegas permite manter um alto nível de competência e estar preparado para as ameaças modernas. A segurança da informação nunca para. Portanto, uma organização que treina regularmente seus funcionários, aprimora seus processos e acompanha as ameaças atuais estará sempre significativamente mais bem preparada para incidentes potenciais do que uma empresa onde a atenção ao treinamento é dada apenas ocasionalmente. A melhoria contínua do sistema de segurança – apenas meios técnicos não são suficientes para garantir uma proteção confiável.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.