Um servidor público recebe um e-mail que aparenta ser do departamento de Recursos Humanos, solicitando a atualização de seus dados cadastrais, incluindo senha de acesso à rede, através de um link fornecido na mensagem. O e-mail possui o logotipo do órgão, mas o endereço do remetente parece suspeito e a mensagem contém erros de gramática. Este é um exemplo clássico de uma tentativa de ataque de engenharia social. Analise as seguintes proposições sobre técnicas de ataque e medidas de defesa no contexto da segurança da informação:
I. O ataque descrito é caracterizado como Phishing, uma técnica que utiliza iscas (e-mails, mensagens) para enganar o usuário e induzi-lo a revelar informações confidenciais, clicar em links maliciosos ou baixar artefatos maliciosos.
II. A autenticação de dois fatores (2FA) ou autenticação multifator (MFA) é uma medida de segurança insuficiente contra ataques de phishing, pois, uma vez que o usuário fornece sua senha no site falso, o atacante consegue acesso total à sua conta, independentemente de um segundo fator de verificação.
III. Uma política de segurança da informação eficaz para o setor público deve incluir treinamentos de conscientização para os servidores, ensinando-os a identificar sinais de phishing, como verificar o endereço do remetente, desconfiar de solicitações urgentes de informações sensíveis e evitar clicar em links suspeitos, passando o mouse sobre eles para verificar a URL de destino.
Está correto o que se afirma em: