Questão nº 73

Questão de TI - Infraestrutura e Segurança · FGV EPE 2024 (nº 73)

FGV2024Analista de Gestão Corporativa - TI - Infraestrutura e SegurançaTI - Infraestrutura e Segurança
Gabarito: Bver comentário ↓

Um analista estava acessando uma página de Internet Banking autêntica, e realizou normalmente sua autenticação, recebendo um cookie de sessão.

Em paralelo a isso, também estava verificando sua caixa de correio eletrônico, e clicou em um link suspeito que recebeu em um e-mail. Mais tarde, ao verificar seu extrato bancário, percebeu inúmeras operações que ele não realizou. Ao fazer contato com seu banco, o mesmo informou que as operações foram realizadas a partir do usuário autenticado do cliente.

Com base nessas informações, assinale a opção que apresenta o ataque sofrido.

Resposta comentada

Gabarito Alternativa B

Um ataque de CSRF (Cross-Site Request Forgery), ou Falsificação de Requisição Entre Sites, engana o navegador de um usuário já autenticado para que ele envie uma requisição não intencional a um site confiável, realizando ações em nome do usuário.

(A) Incorreta: SQL Injection explora vulnerabilidades em entradas de dados para manipular o banco de dados da aplicação, o que não se alinha com o cenário de operações realizadas via sessão autenticada do usuário.
(B) Correta: O CSRF (Cross-Site Request Forgery) se encaixa perfeitamente, pois o usuário, já autenticado no Internet Banking, clicou em um link malicioso que forçou seu navegador a enviar requisições indesejadas ao banco, usando sua sessão ativa para realizar operações.
(C) Incorreta: XSS (Cross-Site Scripting) envolve a injeção de scripts maliciosos em páginas web para serem executados no navegador do usuário, o que é diferente de forçar o navegador a enviar uma requisição para outro site usando a sessão ativa. A armadilha aqui é que ambos podem envolver links maliciosos, mas o efeito final descrito (operações bancárias via sessão) é de CSRF.
(D) Incorreta: Spoofing é a falsificação de identidade (IP, e-mail, etc.) para enganar. Embora o e-mail possa ter sido spoofado, o ataque que resultou nas transações não autorizadas usando a sessão do usuário é o CSRF, que é mais específico.
(E) Incorreta: DDoS (Distributed Denial of Service) visa indisponibilizar um serviço sobrecarregando-o com tráfego, o que não corresponde à realização de operações financeiras não autorizadas.

Fonte: FGV EPE 2024 Analista de Gestão Corporativa - TI - Infraestrutura e Segurança (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho