Questão nº 73
Questão de TI - Infraestrutura e Segurança · FGV EPE 2024 (nº 73)
Um analista estava acessando uma página de Internet Banking autêntica, e realizou normalmente sua autenticação, recebendo um cookie de sessão.
Em paralelo a isso, também estava verificando sua caixa de correio eletrônico, e clicou em um link suspeito que recebeu em um e-mail. Mais tarde, ao verificar seu extrato bancário, percebeu inúmeras operações que ele não realizou. Ao fazer contato com seu banco, o mesmo informou que as operações foram realizadas a partir do usuário autenticado do cliente.
Com base nessas informações, assinale a opção que apresenta o ataque sofrido.
- ASQL Injection.
- BCSRF. (alternativa correta)
- CXSS.
- DSpoofing.
- EDDoS.
Resposta comentada
Gabarito Alternativa B
Um ataque de CSRF (Cross-Site Request Forgery), ou Falsificação de Requisição Entre Sites, engana o navegador de um usuário já autenticado para que ele envie uma requisição não intencional a um site confiável, realizando ações em nome do usuário.
(A) Incorreta: SQL Injection explora vulnerabilidades em entradas de dados para manipular o banco de dados da aplicação, o que não se alinha com o cenário de operações realizadas via sessão autenticada do usuário.
(B) Correta: O CSRF (Cross-Site Request Forgery) se encaixa perfeitamente, pois o usuário, já autenticado no Internet Banking, clicou em um link malicioso que forçou seu navegador a enviar requisições indesejadas ao banco, usando sua sessão ativa para realizar operações.
(C) Incorreta: XSS (Cross-Site Scripting) envolve a injeção de scripts maliciosos em páginas web para serem executados no navegador do usuário, o que é diferente de forçar o navegador a enviar uma requisição para outro site usando a sessão ativa. A armadilha aqui é que ambos podem envolver links maliciosos, mas o efeito final descrito (operações bancárias via sessão) é de CSRF.
(D) Incorreta: Spoofing é a falsificação de identidade (IP, e-mail, etc.) para enganar. Embora o e-mail possa ter sido spoofado, o ataque que resultou nas transações não autorizadas usando a sessão do usuário é o CSRF, que é mais específico.
(E) Incorreta: DDoS (Distributed Denial of Service) visa indisponibilizar um serviço sobrecarregando-o com tráfego, o que não corresponde à realização de operações financeiras não autorizadas.
Fonte: FGV EPE 2024 Analista de Gestão Corporativa - TI - Infraestrutura e Segurança (Caderno Tipo 1). Reproduzida para fins de estudo.