BLOCO
Blog dos Coordenadores ou Blog Comunitário
da
ComUnidade WirelessBrasil

Janeiro 2009               Índice Geral do BLOCO

O conteúdo do BLOCO tem forte vinculação com os debates nos Grupos de Discussão  Celld-group e WirelessBR. Participe!


14/01/09

• Crimes Digitais (53) - Artigo de Jana de Paula: "Fraudes no internet banking" - Parte 1

----- Original Message -----
From: Helio Rosa
To: Celld-group@yahoogrupos.com.br ; wirelessbr@yahoogrupos.com.br
Cc: Jana de Paula ; ElisM@oglobo.com.br ; Rubens Kuhl Jr.
Sent: Wednesday, January 14, 2009 10:28 AM
Subject: Crimes Digitais (53) - Artigo de Jana de Paula: "Fraudes no internet banking" - Parte 1
 
Olá, ComUnidade WirelessBRASIL!
 
01.
Há alguns dias a nossa Jana de Paula postou uma mensagem comum "help" sobre internet banking:
(...) Daí que quero levantar um bom material sobre o assunto e peço a ajuda de vocês. É claro que, assim, posso perder na prioridade da pauta, mas posso ganhar em informação. (...)

Transcrevemos abaixo este artigo de ontem:
 
Fonte: e-Thesis
[13/01/09]  Fraudes no internet banking - Parte 1  por Jana de Paula 

No final desta mensagem listamos outras matérias do e-Thesis sugeridas pela Jana.
 
02.
Damos boas-vindas à Jana de Paula e ao e-Thesis, assim como à nossa Elis Monteiro, ao tema "Crimes Digitais".

Como sabemos o Projeto de Lei sobre Crimes Digitais ("PL Azeredo") encontra-se em fase final de tramitação na Câmara dos Deputados. Antes do recesso parlamentar estava em "regime de urgência" e poderá ser votado a qualquer momento a partir de fevereiro.
Ao mesmo tempo já registramos outras iniciativas de parlamentares sobre o assunto.

Contra, a favor ou "muito pelo contrário", acompanhar, estudar e debater é preciso!

A ComUnidade não se posiciona como agremiação ou clube: todo nosso esforço visa a formação da opinião do participante/leitor que é estimulado a interagir com as autoridades e órgãos da sociedade civil e governo.

Ao debate!

Em frente, ComUnidade!  :-)
 
Boa leitura!
Um abraço cordial
Helio Rosa
Thienne Johnson
 
-----------------------------------------------
 
Fonte: e-Thesis
[13/01/09]  Fraudes no internet banking - Parte 1   por Jana de Paula  

Todos sabemos que ao comprar DVDs ou CDs piratas, contribuímos por nossa própria escolha para uma série de atividades do crime organizado. Também sabemos que o cigarro faz mal a saúde. Os próprios fabricantes dos cigarros nos alertam disso, estampando fotos, nos versos dos maços e pacotes, dos males que ele pode causar. Muita gente sabe disso e compra produção pirata e cigarros, por sua conta e risco. Numa análise superficial, pode-se dizer que é difícil não responsabilizar o consumidor que adquire estes produtos sabidamente 'criminosos'. Mas, e quando se trata de atividades críticas no internet banking?
 
O fato é que, hoje em dia, é quase impossível para um consumidor médio não realizar aplicações chamadas críticas de segurança via web. Seja uma compra num site 'seguro', seja uma transferência de fundos para um parente, seja um pagamento de última hora. Boa parte deste hábito foi proporcionada pelos próprios bancos, que oferecem um leque cada vez maior de serviços via internet, para que o usuário faça a maioria das transações bancárias sem sair de casa ou do escritório.
 
Também cresce e se sofistica a oferta de softwares de segurança, antivírus, firewalls etc. para que as máquinas dos usuários fiquem cada vez mais seguras. Mas isso parece não ser suficiente, nem mesmo para grandes portais. Um exemplo é que nos primeiros dias deste ano (5 de janeiro), o big portal Twitter foi invadido por um hacker que violou as contas do novo presidente dos EUA, Barak Obama, e da cantora Britney Spears, segundo reportou a Folha de São Paulo. O ataque se deu através de uma operação muito simples e comum - o pedido de reenvio de senha e login para o e-mail, num site com acesso seguro.
 
Segundo o Ibope/NetRatings, em abril do ano passado, 18,8 milhões de usuários acessaram serviços de telecomunicações e de internet no país. Dados da Bolsa de Valores de São Paulo (Bovespa) indicavam, ainda em abril de 2008, que mais de 220 mil pessoas utilizaram o sistema on-line de negociação de ações (home broker) - 105% a mais que no mesmo mês em 2007. As transações on-line respondiam por 12% do total.
 
Dados da Federação Brasileira de Bancos, Febraban, divulgados a 3 de dezembro passado dão conta de que, entre janeiro e outubro de 2008, os ataques virtuais ao sistema bancário brasileiro cresceram 20% em comparação com o mesmo período de 2007. Guilhermino Domiciano, da comissão de Fraudes Eletrônicas da Febraban, informa que a média atual de investimentos dos bancos brasileiros em segurança eletrônica é da ordem de R$ 1, 5 bilhão. É um investimento de vulto, compatível com o faturamento do setor  que, de acordo com o Banco Central, foi de R$ 14,4 bilhões, no segundo trimestre do ano passado, ou 2,25% a mais que no trimestre anterior. Segundo fontes do setor, os bancos pagam em média, R$ 500 milhões por ano às vítimas de fraude bancária virtual, clonagem de cartões e golpes em caixas eletrônicos.
 
Mas, enquanto a Febraban reporta redução no valor das fraudes eletrônicas, de 27,5%, e de 29,6% no número de fraudes, em 2008, parece que o esforço dos criminosos em roubar dinheiro dos correntistas não arrefeceu. Em seu "Sumário de Dados de Segurança de 2008",  a F-Secure considera 2008 como um ano recorde em crescimento de software malicioso (malware - de malicious software). A contagem de detecção destes softwares triplicou em um ano, o que significa que a quantia total de malwares acumulada cresceu 200%, em 21 anos.
 
Motivo do crime: lucro financeiro
 
Já vai longe o tempo em que ser hacker era uma atitude transgressora de jovens empenhados em demonstrar sua habilidade com os dados. Hoje, trata-se de uma atividade criminosa de vulto, cujo objetivo é o ganho financeiro. A história de Al Faric é 'um clássico': ele distribuiu um vírus de sua própria criação entre 25 mil contas de cartões de crédito na Europa, o que o permitiu coletar todas as informações destes clientes. Com estes dados em mãos, passou a acessar os jogos de pôquer on-line e, com o dinheiro obtido, ele foi às compras,sempre via internet: facas, lanternas, botas, câmeras fotográficas e filmadoras de uso noturno etc., que eram enviavas pelo correio (via web) para uma facção de crime organizado no Iraque. Também se sabe que o roubo financeiro virtual sustenta seqüestros, gangues de falsificação e um longo etc.
 
E apesar de o Brasil não ser o único ponto do planeta onde ocorrem os ataques - ao contrário, mesmo na Europa, onde há grande intercâmbio entre órgãos de segurança e uma caçada sem trégua aos criminosos virtuais, pegá-los não é tarefa fácil -, o país ocupa posições importantes no tocante a este tipo de crime. Pesquisa realizada pela F-Secure, por exemplo, reportou que o Brasil é o maior criador de trojans (vírus do tipo cavalo de tróia) do mundo, detendo 33% do ranking. "E a tendência deste quadro é evoluir para pior", alerta Gabriel Mernegatti, Diretor da F-Secure no Brasil.
 
Um dos piores sintomas deste cenário é que, como lembra Mernegatti, os vírus, hoje em dia, têm a capacidade de ficar escondidos numa determinada máquina, sem causar qualquer dano aparente. Se a versão de antivírus instalada está desatualizada ou não é ininterruptamente atualizável, o usuário pode estar com um vírus em 'background', aguardando apenas uma transação crítica para atacar. Certificados de segurança (bem) falsificados, cadeados de segurança falsos... O requinte dos criminosos avança a passos muito mais largos que o dos lendários acaios, que levaram à cidade de Tróia a destruição em forma de presente.
 
São os chamados vírus com códigos 'exploit', que exploram vulnerabilidades, inclusive dos ambientes seguros, criptografados e que apresentam aquele 'cadeado' de segurança. Devidamente instalado na máquina, o vírus começa seu trabalho, que pode ser atacar outra máquina através daquela infectada (sem que nem o remetente ou o destinatário saibam); colher dados digitados pelo usuário logado numa conexão segura; apresentar publicidade falsa infectada... Em resumo, o vírus fica lá escondido e tudo o que o cliente faz - dados que digita, fotos que carrega, tudo, enfim, o que ele envia 'para fora' de seu computador é absorvido pelo criminoso e utilizado.
 
Este tipo de vírus 'exploit' é o que em geral pode ser 'internado' numa máquina através de um site de e-commerce, por exemplo, mesmo aqueles com 'conexão segura' e que possuem parcerias com os principais bancos brasileiros, para que se gere e pague o boleto on-line. Por ser um dos pagamentos mais rápidos (mais até que o do cartão de crédito, pois o dinheiro é transferido imediatamente da conta do cliente para o da loja), em geral esta opção vem acompanhada de descontos, de modo a incentivar o seu uso.
 
Arrastão natalino
 
Durante o período de compras natalinas e no último dia útil do ano (30 de dezembro de 2008), houve uma espécie de arrastão deste tipo de vírus, pois nesta época aumentam as compras pela internet (mais cômodas e com descontos mais atraentes do que na loja 'real'). É claro que não houve divulgação deste arrastão, para não criar pânico entre os clientes e para não oferecer mais uma justificativa de o cliente reclamar junto a seu banco. Mas, houve o aviso das principais empresas de segurança eletrônica, que enviaram relatórios completos e contundentes sobre as práticas mais comuns dos criminosos, nesta época anual de compras. Quem leu pôde se precaver. Quem não leu...
 
Damos abaixo o exemplo de um leitor do e-Thesis que nos reportou o seguinte incidente. Manteremos seu anonimato e não citaremos o banco em questão, por razões óbvias.
 
"... Segue em anexo um e-mail falso, enviado de forma maciça e recebido por mim no dia 29 de dezembro de 2008. Neste mesmo dia, encaminhei o e-mail alertando ao CSIRT - Computer Security Incident Reponse Team do banco em questão, que me respondeu que iria tomar providências o mais rápido possível. Hoje, dia 5 de janeiro de 2009, o site falso, hospedado fora do Brasil, continua ativo, coletando dados de usuários com menos conhecimento do internet banking. Apenas para constar, também em anexo, e-mail da resposta do banco, informando que tomou conhecimento do e-mail enviado por mim e alertando que iria tomar as devidas providências. Pergunto eu: quantos dias serão precisos para que as 'devidas providências' sejam tomadas?".
 
O especialista teve o cuidado de nos enviar toda a correspondência trocada até o dia 5 de janeiro. Entre o dia 29 de dezembro e o dia 5 de janeiro, houve quatro dias úteis. Além disso, entre os dias 31 de dezembro e 2 de janeiro os bancos fecharam para balanço - justamente um dos períodos do arrastão - quando por motivos de conveniência deve ter aumentado o acesso ao internet banking, já que saques e transferência se mantiveram permitidos aos clientes.
 
O leitor em questão é técnico em informática e foi capaz de detectar a falsidade de um e-mail, que remete o destinatário a um site idêntico ao do banco em questão. O especialista, no primeiro dos e-mails enviados ao banco, lembra que sempre há quem possa cair no golpe, por ser um neófito na web, por falta de informação suficiente etc. Ao enviar o link da falsa página, ele pede para que o banco rastreie os autores, impedindo que eles roubem os dados que mais tarde serão usados quando o correntista for sacar o dinheiro. Um detalhe, o referido leitor não é cliente do banco, o que facilitou checar a falsidade do e-mail.
 
O preço da segurança
 
Qualquer usuário de internet mediano já sabe que não se abre e-mail suspeito e, muito menos, arquivos de mensagens não solicitadas ou não autorizadas. Mas, atualmente, o simples acesso a uma página (até para que se identifique sua procedência) já permite que um vírus do tipo 'exploit' se 'interne' na máquina, infectando-a, sem qualquer 'sintoma'. A solução para o usuário é adquirir um pacote de antivírus + firewall, cujo preço varia de 700 a 1,800 reais, dependendo do prazo de validade; ou fazer uma assinatura anual, cujo preço varia de 40 a 180 reais (as mais eficazes).
 
E, aí, surge uma nova questão. A disseminação da internet passa pela inclusão digital. E, hoje, seu crescimento exponencial está nas classes C, D e E, onde é maior o número de usuários leigos de informática, de internautas com nível básico de escolaridade e de poder aquisitivo menor. Muitos adquirem sua estação desktop por etapas - primeiro compram a CPU, depois a tela, a impressora etc., a grande maioria em compra parcelada. Muitos, ainda, preferem os serviços de banda larga gratuitos ou os pacotes mais baratos. Para estes, um pacote de software que custe mais do que toda a configuração está fora de cogitação e, uma assinatura de antivírus + firewall é sonho de consumo, muitas vezes inatingível.
 
Rubens Kuhl Júnior, outro especialista consultado pelo e-Thesis, salienta que os grandes vetores da fraude virtual financeira ainda são o "chupa-cabra" (leitor de dados de cartões magnéticos e senhas tecladas) e os computadores infectados por malware. Ele reconhece que é difícil se fazer o levantamento da freqüência destas práticas "pois os bancos guardam estas informações a 777 chaves". O que ele adiantou é que, graças a sua experiência de especialista em TI/telecom num grande provedor de web e em três grandes bancos "este número não é tão pequeno quanto dizem os bancos nem tão grande quanto, às vezes, aparece na imprensa. Trata-se de um risco administrado", avalia Kuhl. Ler mais...

Outras matérias no e-Thesis:

Dicas para evitar crimes digitais na sua máquina
Crescimento dos crimes da Internet pede punição mais rígida
Cloud e grid computing: enfim definidos
Vulnerabilidade crítica do Internet Explorer 7.0
Ataques na Web crescem 30%
Segmento financeiro impulsionará investimentos em TI em 2009
Tendências de Segurança em 2009
Brasileiros: mais preocupados com segurança de dados
Cresce o mercado virtual paralelo de informações  
Hábitos de web no trabalho na A.Latina são nocivos à segurança
A segurança positiva
As práticas corporativas de TI na América Latina
Tecnologia não faz a segurança da informação
Crescem as ameaças cibernéticas
Cuidados simples e eficientes na prevenção a golpes virtuais
Brasil: 80º lugar em viabilidade comercial
Serasa e CA: controle de acesso à web
Ataques a web aumentam 519% no ano
Cresce a 'digital shadow'
Crimes de internet  
Crimes virtuais  
Crimes na web 
Roubo de indentidade, o retorno
Como navegar na era do lixo eletrônico
Lei e conteúdo web 
Pró-atividade virtual  
Piratas na PF  

 


ComUnidade WirelessBrasil                     Índice Geral do BLOCO