Questão nº 59

Questão de TI - Soluções · FGV EPE 2024 (nº 59)

FGV2024Analista de Gestão Corporativa - TI - SoluçõesTI - Soluções
Gabarito: Bver comentário ↓

Um analista estava acessando uma página de Internet Banking autêntica, e realizou normalmente sua autenticação, recebendo um cookie de sessão.
Em paralelo a isso, também estava verificando sua caixa de correio eletrônico, e clicou em um link suspeito que recebeu em um e-mail. Mais tarde, ao verificar seu extrato bancário, percebeu inúmeras operações que ele não realizou.
Ao fazer contato com seu banco, o mesmo informou que as operações foram realizadas a partir do usuário autenticado do cliente.
Com base nessas informações, assinale a opção que apresenta o ataque sofrido.

Resposta comentada

Gabarito Alternativa B

Um ataque de CSRF (Cross-Site Request Forgery) ocorre quando um invasor engana um usuário que já está autenticado (logado) em um site para que ele execute ações indesejadas nesse site, sem seu conhecimento. Isso é possível porque o navegador do usuário envia automaticamente os cookies de sessão (que provam que ele está logado) junto com a requisição maliciosa.

(A) Incorreta: SQL Injection é um ataque que visa manipular consultas a bancos de dados, geralmente para extrair ou alterar informações, e não para forçar um usuário autenticado a realizar operações.
(B) Correta: O cenário descreve classicamente um ataque de CSRF. O usuário estava autenticado no Internet Banking (tinha um cookie de sessão ativo) e, ao clicar em um link malicioso (geralmente em um e-mail), seu navegador foi instruído a enviar uma requisição indesejada para o Internet Banking. Como o cookie de sessão foi enviado automaticamente junto com essa requisição, o banco processou as operações como se tivessem sido iniciadas legitimamente pelo usuário autenticado.
(C) Incorreta: XSS (Cross-Site Scripting) envolve a injeção de scripts maliciosos em páginas web, geralmente para roubar informações (como cookies) ou desfigurar o site. Embora um ataque XSS possa ser um vetor para um CSRF, o resultado final descrito (operações não realizadas pelo usuário, mas executadas em sua sessão) é a característica do CSRF, não do XSS em si. A armadilha aqui é que ambos envolvem links maliciosos e vulnerabilidades do lado do cliente, mas o efeito e o mecanismo principal são diferentes: XSS injeta código, CSRF força requisições.
(D) Incorreta: Spoofing é a falsificação da identidade (IP, e-mail, etc.) para enganar. Embora o e-mail possa ter sido spoofado, o ataque que resultou nas transações não autorizadas não foi uma falsificação de identidade para logar no banco, mas sim o uso da sessão já ativa do usuário.
(E) Incorreta: DDoS (Distributed Denial of Service) é um ataque que visa sobrecarregar um servidor para torná-lo indisponível, e não para realizar transações financeiras não autorizadas.

Fonte: FGV EPE 2024 Analista de Gestão Corporativa - TI - Soluções (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho