01.
Há alguns dias a nossa Jana de Paula postou uma mensagem comum "help"
sobre internet banking:
(...) Daí que quero levantar um bom material sobre o
assunto e peço a ajuda de vocês. É claro que, assim, posso perder na
prioridade da pauta, mas posso ganhar em informação. (...)
Transcrevemos abaixo este artigo de ontem:
Fonte: e-Thesis
02.
Damos boas-vindas à Jana de Paula e ao e-Thesis,
assim como à nossa Elis Monteiro, ao tema "Crimes Digitais".
Como sabemos o Projeto de Lei sobre Crimes Digitais ("PL Azeredo") encontra-se
em fase final de tramitação na Câmara dos Deputados. Antes do recesso
parlamentar estava em "regime de urgência" e poderá ser votado a qualquer
momento a partir de fevereiro.
Ao mesmo tempo já registramos outras iniciativas de parlamentares sobre o
assunto.
Contra, a favor ou "muito pelo contrário", acompanhar, estudar e debater é
preciso!
A ComUnidade não se posiciona como agremiação ou clube: todo nosso esforço
visa a formação da opinião do participante/leitor que é estimulado a
interagir com as autoridades e órgãos da sociedade civil e governo.
Ao debate!
Em frente, ComUnidade! :-)
-----------------------------------------------
Fonte: e-Thesis
Todos sabemos que ao comprar DVDs ou CDs piratas, contribuímos por nossa
própria escolha para uma série de atividades do crime organizado. Também
sabemos que o cigarro faz mal a saúde. Os próprios fabricantes dos
cigarros nos alertam disso, estampando fotos, nos versos dos maços e
pacotes, dos males que ele pode causar. Muita gente sabe disso e compra
produção pirata e cigarros, por sua conta e risco. Numa análise
superficial, pode-se dizer que é difícil não responsabilizar o consumidor
que adquire estes produtos sabidamente 'criminosos'. Mas, e quando se
trata de atividades críticas no internet banking?
O fato é que, hoje em dia, é quase impossível para um consumidor médio não
realizar aplicações chamadas críticas de segurança via web. Seja uma
compra num site 'seguro', seja uma transferência de fundos para um
parente, seja um pagamento de última hora. Boa parte deste hábito foi
proporcionada pelos próprios bancos, que oferecem um leque cada vez maior
de serviços via internet, para que o usuário faça a maioria das transações
bancárias sem sair de casa ou do escritório.
Também cresce e se sofistica a oferta de softwares de segurança,
antivírus, firewalls etc. para que as máquinas dos usuários fiquem cada
vez mais seguras. Mas isso parece não ser suficiente, nem mesmo para
grandes portais. Um exemplo é que nos primeiros dias deste ano (5 de
janeiro), o big portal Twitter foi invadido por um hacker que violou as
contas do novo presidente dos EUA, Barak Obama, e da cantora Britney
Spears, segundo reportou a Folha de São Paulo. O ataque se deu através de
uma operação muito simples e comum - o pedido de reenvio de senha e login
para o e-mail, num site com acesso seguro.
Segundo o Ibope/NetRatings, em abril do ano passado, 18,8 milhões de
usuários acessaram serviços de telecomunicações e de internet no país.
Dados da Bolsa de Valores de São Paulo (Bovespa) indicavam, ainda em abril
de 2008, que mais de 220 mil pessoas utilizaram o sistema on-line de
negociação de ações (home broker) - 105% a mais que no mesmo mês em 2007.
As transações on-line respondiam por 12% do total.
Dados da Federação Brasileira de Bancos, Febraban, divulgados a 3 de
dezembro passado dão conta de que, entre janeiro e outubro de 2008, os
ataques virtuais ao sistema bancário brasileiro cresceram 20% em
comparação com o mesmo período de 2007. Guilhermino Domiciano, da comissão
de Fraudes Eletrônicas da Febraban, informa que a média atual de
investimentos dos bancos brasileiros em segurança eletrônica é da ordem de
R$ 1, 5 bilhão. É um investimento de vulto, compatível com o faturamento
do setor que, de acordo com o Banco Central, foi de R$ 14,4 bilhões, no
segundo trimestre do ano passado, ou 2,25% a mais que no trimestre
anterior. Segundo fontes do setor, os bancos pagam em média, R$ 500
milhões por ano às vítimas de fraude bancária virtual, clonagem de cartões
e golpes em caixas eletrônicos.
Mas, enquanto a Febraban reporta redução no valor das fraudes eletrônicas,
de 27,5%, e de 29,6% no número de fraudes, em 2008, parece que o esforço
dos criminosos em roubar dinheiro dos correntistas não arrefeceu. Em seu
"Sumário de Dados de Segurança de 2008", a F-Secure considera 2008 como
um ano recorde em crescimento de software malicioso (malware - de
malicious software). A contagem de detecção destes softwares triplicou em
um ano, o que significa que a quantia total de malwares acumulada cresceu
200%, em 21 anos.
Motivo do crime: lucro financeiro
Já vai longe o tempo em que ser hacker era uma atitude transgressora de
jovens empenhados em demonstrar sua habilidade com os dados. Hoje,
trata-se de uma atividade criminosa de vulto, cujo objetivo é o ganho
financeiro. A história de Al Faric é 'um clássico': ele distribuiu um
vírus de sua própria criação entre 25 mil contas de cartões de crédito na
Europa, o que o permitiu coletar todas as informações destes clientes. Com
estes dados em mãos, passou a acessar os jogos de pôquer on-line e, com o
dinheiro obtido, ele foi às compras,sempre via internet: facas, lanternas,
botas, câmeras fotográficas e filmadoras de uso noturno etc., que eram
enviavas pelo correio (via web) para uma facção de crime organizado no
Iraque. Também se sabe que o roubo financeiro virtual sustenta seqüestros,
gangues de falsificação e um longo etc.
E apesar de o Brasil não ser o único ponto do planeta onde ocorrem os
ataques - ao contrário, mesmo na Europa, onde há grande intercâmbio entre
órgãos de segurança e uma caçada sem trégua aos criminosos virtuais,
pegá-los não é tarefa fácil -, o país ocupa posições importantes no
tocante a este tipo de crime. Pesquisa realizada pela F-Secure, por
exemplo, reportou que o Brasil é o maior criador de trojans (vírus do tipo
cavalo de tróia) do mundo, detendo 33% do ranking. "E a tendência deste
quadro é evoluir para pior", alerta Gabriel Mernegatti, Diretor da
F-Secure no Brasil.
Um dos piores sintomas deste cenário é que, como lembra Mernegatti, os
vírus, hoje em dia, têm a capacidade de ficar escondidos numa determinada
máquina, sem causar qualquer dano aparente. Se a versão de antivírus
instalada está desatualizada ou não é ininterruptamente atualizável, o
usuário pode estar com um vírus em 'background', aguardando apenas uma
transação crítica para atacar. Certificados de segurança (bem)
falsificados, cadeados de segurança falsos... O requinte dos criminosos
avança a passos muito mais largos que o dos lendários acaios, que levaram
à cidade de Tróia a destruição em forma de presente.
São os chamados vírus com códigos 'exploit', que exploram
vulnerabilidades, inclusive dos ambientes seguros, criptografados e que
apresentam aquele 'cadeado' de segurança. Devidamente instalado na
máquina, o vírus começa seu trabalho, que pode ser atacar outra máquina
através daquela infectada (sem que nem o remetente ou o destinatário
saibam); colher dados digitados pelo usuário logado numa conexão segura;
apresentar publicidade falsa infectada... Em resumo, o vírus fica lá
escondido e tudo o que o cliente faz - dados que digita, fotos que
carrega, tudo, enfim, o que ele envia 'para fora' de seu computador é
absorvido pelo criminoso e utilizado.
Este tipo de vírus 'exploit' é o que em geral pode ser 'internado' numa
máquina através de um site de e-commerce, por exemplo, mesmo aqueles com
'conexão segura' e que possuem parcerias com os principais bancos
brasileiros, para que se gere e pague o boleto on-line. Por ser um dos
pagamentos mais rápidos (mais até que o do cartão de crédito, pois o
dinheiro é transferido imediatamente da conta do cliente para o da loja),
em geral esta opção vem acompanhada de descontos, de modo a incentivar o
seu uso.
Arrastão natalino
Durante o período de compras natalinas e no último dia útil do ano (30 de
dezembro de 2008), houve uma espécie de arrastão deste tipo de vírus, pois
nesta época aumentam as compras pela internet (mais cômodas e com
descontos mais atraentes do que na loja 'real'). É claro que não houve
divulgação deste arrastão, para não criar pânico entre os clientes e para
não oferecer mais uma justificativa de o cliente reclamar junto a seu
banco. Mas, houve o aviso das principais empresas de segurança eletrônica,
que enviaram relatórios completos e contundentes sobre as práticas mais
comuns dos criminosos, nesta época anual de compras. Quem leu pôde se
precaver. Quem não leu...
Damos abaixo o exemplo de um leitor do e-Thesis que nos reportou o
seguinte incidente. Manteremos seu anonimato e não citaremos o banco em
questão, por razões óbvias.
"... Segue em anexo um e-mail falso, enviado de forma maciça e recebido
por mim no dia 29 de dezembro de 2008. Neste mesmo dia, encaminhei o
e-mail alertando ao CSIRT - Computer Security Incident Reponse Team do
banco em questão, que me respondeu que iria tomar providências o mais
rápido possível. Hoje, dia 5 de janeiro de 2009, o site falso, hospedado
fora do Brasil, continua ativo, coletando dados de usuários com menos
conhecimento do internet banking. Apenas para constar, também em anexo,
e-mail da resposta do banco, informando que tomou conhecimento do e-mail
enviado por mim e alertando que iria tomar as devidas providências.
Pergunto eu: quantos dias serão precisos para que as 'devidas
providências' sejam tomadas?".
O especialista teve o cuidado de nos enviar toda a correspondência trocada
até o dia 5 de janeiro. Entre o dia 29 de dezembro e o dia 5 de janeiro,
houve quatro dias úteis. Além disso, entre os dias 31 de dezembro e 2 de
janeiro os bancos fecharam para balanço - justamente um dos períodos do
arrastão - quando por motivos de conveniência deve ter aumentado o acesso
ao internet banking, já que saques e transferência se mantiveram
permitidos aos clientes.
O leitor em questão é técnico em informática e foi capaz de detectar a
falsidade de um e-mail, que remete o destinatário a um site idêntico ao do
banco em questão. O especialista, no primeiro dos e-mails enviados ao
banco, lembra que sempre há quem possa cair no golpe, por ser um neófito
na web, por falta de informação suficiente etc. Ao enviar o link da falsa
página, ele pede para que o banco rastreie os autores, impedindo que eles
roubem os dados que mais tarde serão usados quando o correntista for sacar
o dinheiro. Um detalhe, o referido leitor não é cliente do banco, o que
facilitou checar a falsidade do e-mail.
O preço da segurança
Qualquer usuário de internet mediano já sabe que não se abre e-mail
suspeito e, muito menos, arquivos de mensagens não solicitadas ou não
autorizadas. Mas, atualmente, o simples acesso a uma página (até para que
se identifique sua procedência) já permite que um vírus do tipo 'exploit'
se 'interne' na máquina, infectando-a, sem qualquer 'sintoma'. A solução
para o usuário é adquirir um pacote de antivírus + firewall, cujo preço
varia de 700 a 1,800 reais, dependendo do prazo de validade; ou fazer uma
assinatura anual, cujo preço varia de 40 a 180 reais (as mais eficazes).
E, aí, surge uma nova questão. A disseminação da internet passa pela
inclusão digital. E, hoje, seu crescimento exponencial está nas classes C,
D e E, onde é maior o número de usuários leigos de informática, de
internautas com nível básico de escolaridade e de poder aquisitivo menor.
Muitos adquirem sua estação desktop por etapas - primeiro compram a CPU,
depois a tela, a impressora etc., a grande maioria em compra parcelada.
Muitos, ainda, preferem os serviços de banda larga gratuitos ou os pacotes
mais baratos. Para estes, um pacote de software que custe mais do que toda
a configuração está fora de cogitação e, uma assinatura de antivírus +
firewall é sonho de consumo, muitas vezes inatingível.
Rubens Kuhl Júnior, outro especialista consultado pelo e-Thesis, salienta
que os grandes vetores da fraude virtual financeira ainda são o
"chupa-cabra" (leitor de dados de cartões magnéticos e senhas tecladas) e
os computadores infectados por malware. Ele reconhece que é difícil se
fazer o levantamento da freqüência destas práticas "pois os bancos guardam
estas informações a 777 chaves". O que ele adiantou é que, graças a sua
experiência de especialista em TI/telecom num grande provedor de web e em
três grandes bancos "este número não é tão pequeno quanto dizem os bancos
nem tão grande quanto, às vezes, aparece na imprensa. Trata-se de um risco
administrado", avalia Kuhl.
Ler mais...
Outras matérias no e-Thesis: