3 min de leitura ·

A Ironia do IBSEC: Usando táticas de Phishing e Engenharia Social para te vender curso de Cybersec

Eu fiquei puto. Indignado mesmo. Recebi dois e-mails do IBSEC (Instituto Brasileiro de Cibersegurança) que parecem ter sido redigidos pelo estagiário do estagiário que assistiu a um filme ruim e agora quer ser hacker. É de um extremo mau gosto e o puro suco da engenharia social barata.

Fica nítido que o alvo da campanha não são pessoas sérias, profissionais que entendem de tecnologia ou de arquitetura de sistemas. Eles estruturaram a comunicação para fisgar exclusivamente a nata mais inocente e leiga do mercado. É revoltante ver uma instituição que deveria focar em proteger o ecossistema digital utilizando as exatas mesmas táticas de manipulação de um golpista comum.

Abaixo, exponho a anatomia dessa estratégia ridícula.

O Terrorismo Digital (Análise do E-mail 1)
O primeiro e-mail vem assinado pelo CEO com a seguinte premissa: "Peguei uma foto de um participante e em 4 minutos descobri onde ele mora, o celular que usa e o horário que sai de casa". Em seguida, o botão de compra.

FUD (Fear, Uncertainty, and Doubt): É a clássica tática de intimidação. Eles criam um pânico artificial em cima de metadados e OSINT básico, fazendo o usuário sentir que sua privacidade está completamente violada e que sua segurança física está em risco.

O "Resgate": O e-mail age exatamente como a tela de um ransomware. "Você está vulnerável, eu tenho o poder de expor sua vida. Pague R$67 até a meia-noite para eu te ensinar como parar isso".

O Paternalismo Tóxico e a Falsa Escassez (Análise do E-mail 2)
O segundo e-mail chega com o título: "Estamos preocupados com você!". Logo após a falsa empatia, eles empurram um contrato de 2 anos no boleto.

A Isca da Ganância: Jogam na sua cara um "salário médio de R$ 7.333" e vagas no LinkedIn para forçar uma conexão emocional entre pagar o boleto deles e ficar rico.

Falsa Urgência e Escassez: "ÚLTIMA CHAMADA!", "pague o primeiro boleto daqui a 30 dias". Gatilhos absurdamente manjados do marketing digital agressivo para forçar uma decisão por impulso.

A Hipocrisia e o Convite ao Mau Uso
Se uma instituição de ensino de cibersegurança usa gatilhos de medo visceral e pressão psicológica para converter vendas, ela está, na prática, treinando o usuário novato a cair em phishing.

Porém, o pior de tudo é a psicologia reversa do e-mail. Ele grita em letras garrafais para os usuários mal-intencionados (o que quase não temos no Brasil, não é mesmo? Tutancâmon deve estar se revirando no museu). A mensagem é clara para quem já tem inclinações questionáveis: "Se tu quer aprender a fazer merda e stalkear pessoas usando dados triviais, vem que a gente ensina a fazer de forma profissional".

Quando você normaliza que uma autoridade no assunto te mande uma mensagem dizendo que sabe onde você mora para te forçar a clicar num link de pagamento urgente, você destrói o rigor técnico de quem entra na área. Se a grade deles tem algum valor, o produto deveria se vender pela excelência arquitetural e técnica. Mas apelar para engenharia social de vendedor de palco é um desaforo. Nosso tempo é finito para ter que lidar com esse tipo de lixo entupindo a caixa de entrada.
https://developer.mozilla.org/en-US/observatory/analyze?host=ibsec.com.br
https://www.youtube.com/watch?v=GNK6O5Jy6Og

Silva97

3 horas atrás

Quando você normaliza que uma autoridade no assunto[...]

Pô, man. Vou te mandar a real: não existe instituição de ensino brasileira que seja autoridade em cybersec. A única empresa que é autoridade em cybersec no Brasil é a Tempest, mas eles não vendem cursos. Fora do Brasil tem a OffSec (https://www.offsec.com/), por exemplo. Mas os preços são absurdos para o nosso padrão.

Dito isto, minha recomendação a todos que queiram aprender cybersec é não pagar por curso nenhum. Se for fazer faculdade, faça Ciência da Computação e não Segurança da Informação. Por mais irônico que seja, você vai aprender mais sobre segurança da informação cursando Ciência da Computação do que Segurança da Informação propriamente dita.

Para aprender cybersec corretamente você tem que aprender a ser autodidata e tem que consumir conteúdo em Inglês. Para conteúdo em PT bom sobre cybersec, temos a Mente Binária (https://www.mentebinaria.com.br/).

O problema é que a MB só ensina o básico. Então você pode aprender muita coisa básica de graça com os cursos e livros deles, mas para chegar em um nível intermediário ou até avançado, só sendo autodidata.

Isso não é opinião exclusiva minha. Já troquei ideia com muita gente foda da área de segurança (como o próprio Mercês, que fundou a MB, o Rodrigo Rubira Branco e vários outros) e a opinião é unânime: aprender Inglês, consumir conteúdo em Inglês e focar em fundamentos de computação.

Nunca vi uma opinião tão unânime na minha vida. Eu fico impressionado como todo mundo foda em cybersec concorda com isso... E eu mesmo não discordo nenhum pouco, é claro.

Vou copiar e colar uma resposta que eu dei para outra pessoa sobre materiais de estudos sobre cybersec aqui em baixo. Estou com preguiça de digitar de novo, então vai copy/paste mesmo. 😂

A OWASP tem vários materiais sobre web security. Port Swigger tem a Web Security Academy. Hack The Box (mais desafiador) e TryHackMe (mais amigável para iniciantes) têm vários desafios e máquinas para praticar. LetsDefend e Code Review Lab têm laboratórios para praticar segurança defensiva. Se quiser aprender pentest, você pode ler o Penetration Testing Execution Standard (PTES) e estudar e praticar cada habilidade que é descrita em cada fase de pentest. Também existe o pwn.college que é bem legal, inclui material educativo e labs para praticar.

A Mente Binária, uma ONG brasileira, também tem vários treinamentos e livros gratuitos sobre segurança da informação. Você também pode entrar aqui no meu perfil, que eu já postei vários conteúdos sobre segurança aqui no grupo e pretendo continuar postando.

Se me permite lhe dar um conselho: toma muito cuidado em quem você confia. Tem muito charlatão na área de segurança. A maior red flag é se o cara fica se chamando de "hacker" e, pior ainda, se vender curso. Raramente você vai ver alguém que é realmente profissional sério de segurança ficar falando de "hacker isso", "hacker aquilo", "eu sou hacker" ou qualquer coisa parecida com isso.

Não é que profissionais sérios nunca usam o jargão "hacker", mas é que quem abusa do uso é porque quer chamar atenção. E se quer chamar atenção, em 99% dos casos é charlatão.

Outro conselho: foque em conteúdo em Inglês e, se não souber, aprenda Inglês primeiro. Conteúdo em Português de qualidade sobre segurança é muito raro. A maioria que produz conteúdo ou vende curso em Português sobre segurança é charlatão. A Mente Binária é exceção à regra.

Tá, último conselho: foque em fundamentos de computação. Eu vi que você está fazendo Ciência da Computação, então já está no caminho certo. Os fundamentos são muito importantes, muito mesmo.

E também foque em arquitetura de software para se preparar para o futuro. A área de segurança está cada vez mais andando para ter mais falhas de design, principalmente agora por causa do uso de LLM.

Arquitetura sempre foi importante em segurança, mas está ficando rapidamente cada vez mais importante.

macnator

Autor

2 horas atrás

Muito bom, concordo com tudo que disse, eu estou na área de computação de baixo nível a um bom tempo e realmente aprender fundamento não tem nada melhor para segurança, o curso de segurança da informação ao meu ver já é como uma linguagem de alto nível, nada contra, mas já tem coisa pronta demais entende?

Silva97

2 horas atrás

É que o curso de Segurança da Informação é "vendido" como se ensinasse segurança da informação no geral, mas na verdade eles ensinam uma subárea específica que é GRC (Governança, Risco e Compliance).

Então é o tipo de formação que um gestor vai querer fazer, não um profissional que realmente vai contribuir na proteção de sistemas. Nesse curso você não aprende praticamente nada sobre como cybersec é feito na vida real.

E uma coisa muito importante de entender é que "conformidade de segurança" é diferente de "segurança da informação". Muitos leigos leem sobre ISO 27001, PCI-DSS e outros padrões de conformidade e acham que estão aprendendo segurança, quando na verdade estão aprendendo conformidade.

Um sistema pode seguir a conformidade à risca e ainda assim ser cheio de falhas de segurança. Uma coisa não tem nada a ver com a outra.

macnator

Autor

2 horas atrás

Você tocou num ponto importante, eu na área de tecnologia sempre fui autodidata, fui fazer curso e faculdade muito depois, e nao sei se é só eu, mas pelo que falou acho que percebeu isso também, parece que muitas faculdades, falando da faculdade em si, o curso propriamente dito ensinam exatamente o que você falou uma camada de abstração para um gestor, e isso me parece ser o que fabrica as empresas que pedem coisas absurdas, prazos irreais, você concorda? Não te duvido que alguem desse ibsec tenha feito faculdade de marketing kkkkk

Não estou querendo ir contra ensino academico de forma nenhuma, mas sinceramente me parece estar ficando muito complicado escolher uma boa faculdade, parece estar decaindo muito a qualidade.

Silva97

2 horas atrás

Sim, é exatamente isso. Nas faculdades eles só ensinam GRC que serve só para gestores, não para profissionais de segurança. A verdade é que nenhuma faculdade é boa para aprender cybersec. Cybersec é simplesmente impossível de aprender por ensino tradicional. Não tem como.

E comprar esses cursos de internet é jogar dinheiro fora porque 99% é feito por gente que não sabe do que tá falando. Em Português, a única exceção que eu conheço são os cursos da Mente Binária, mas eles são gratuitos...

Em Inglês até existe curso bom, mas é caro pra caramba. E mesmo curso caro não é garantia de ser bom. Um amigo meu, por exemplo, reclamou de um curso de 5 mil dólares de engenharia reversa que não ensinava nada demais e não valia o preço. No caso, foi a empresa que pagou pra ele, então ele não perdeu nenhum centavo.

Enfim, é como eu dei a dica desde o começo: tem que ser autodidata. Quem não é autodidata não dá conta de aprender cybersec, não de verdade.

A pessoa que não é autodidata pode até aprender o basicão, o feijão com arroz, mas não vai passar disso. Ou então vai aprender GRC e vai ter o nível de conhecimento de um gestor (que beira à zero).