Clique aqui para ir para a página inicial
 

Pular Links de Navegação
»
Home
Contato
Calculadoras
Consultoria
Conteúdo
Cotações
Perfil/Testes
Serviços
Parceiros
Mapa site
[HyperLink1]
Cadastrar
 
    
Assuntos

Total de artigos: 11132
    

 

 

Defenda-se - Fraudes: Cartilha de Segurança Digital: Introdução e Finalidades e Exemplos dos Ataques 

Data: 30/05/2007

 
 

Este golpe é com certeza um dos mais originais da nova safra de golpes "tecnológicos" via internet.
Você recebe um e-mail cheia de componentes gráficos e logomarcas que a identificam aparentemente como enviada por um banco (um dos grandes, normalmente). Neste e-mail você é convidado a acessar um site supostamente do mesmo banco (ou da seguradora do banco) com alguma desculpa.
Entre as desculpas mais comuns lembramos: participar de alguma promoção ou sorteio, ganhar um seguro de graça, atualizar um cadastro, autenticar ou cadastrar o seu e-mail, cumprir determinações legais, atualizar configurações de segurança ou alguma outra coisa etc...
Os endereços destes sites também são plausíveis, freqüentemente contém o nome do banco mais alguma palavra atraente tipo "sorteio" ou "promoção", mas raramente são do tipo ".com.br" ... mais freqüentemente são ".com" só ou tem sufixos de provedores de hospedagem gratuitos (freqüente o ".kit.net").
Você acessa o site e vai ter a agradável surpresa de encontrar um ambiente gráfico e um conceito de uso idênticos aos normalmente usados por aquele banco. Neste site entre as perguntas ou dados que você é solicitado a fornecer tem obviamente o número da sua conta e/ou do seu cartão com relativas senhas e demais detalhes. Você fornece estes dados acreditando que está assim cumprindo seu dever ou aproveitando uma bela chance de ganhar um cruzeiro por duas pessoas e ... surpresa ... no final da tarde descobre que o saldo da sua conta foi transferido ou sacado integralmente por desconhecidos !!

Estes sites são falsos e nada tem a ver com os bancos verdadeiros. Os golpistas usam os dados por você incautamente fornecidos, através dos sites forjados, para limpar a sua conta. Os bancos estão combatendo esta safra de golpes com ações rápidas para tirar estes sites do ar assim que aparecerem, mas os golpistas usam a rapidez da internet para aplicar os golpes e enviam milhões de e-mails para angariar vítimas antes que os sites sejam tirados do ar !
Lembre-se portanto de acessar sempre e só os sites oficiais dos bancos, digitando pessoalmente o relativo endereço, rejeitando qualquer link pré-confeccionado e desconfiando de qualquer outro site "parecido".

Se você tiver a menor dúvida quanto ao site que está acessando, e achar que, por alguma razão, poderia não ser o do seu banco, use o seguinte truque (chamado de "falso positivo"): na hora em que o site lhe pedir a senha pela primeira vez, coloque uma senha propositalmente errada. Se o sistema aceitar a sua senha errada, sem sinalizar que a mesma é errada, quer dizer que não é o verdadeiro site do banco (ou seja é tentativa de golpe !!).
Isso porque o verdadeiro site do banco teria verificado a senha e informado que está errada, pedindo para digitar a senha novamente. O site fraudulento, porém não tem como saber se a senha está errada ou certa, pois o intuito dele é justamente fazer com que você informe a senha para os golpistas aproveita-la, por isso sempre aceitará o que você for digitar, certo ou errado que seja.

Este golpe, nos EUA, é chamado de "phishing", ou seja "pescaria", pois são enviados milhares de emails (as iscas) e se espera para as vítimas (os peixes) abocanha-las.

Visite www.antiphishing.org para saber mais, este site é dedicado a este tipo de fraudes (sobretudo em relação aos EUA).

Introdução e Finalidades dos Ataques


A segurança digital é um problema real de qualquer pessoa que possua um computador. Hoje os golpistas digitais e hackers não procuram somente vitimar os bancos mas sobretudo as pessoas normais, que são mais vulneráveis, menos conscientes e menos preparadas pra se defender.

Como em qualquer ato criminoso, os ataques digitais tem sempre alguma motivação prática. As principais finalidades, entre as registradas até hoje, são:

 
  • Capturar senhas e outras informações sigilosas de forma oculta e invasiva, freqüentemente com o intuito de utilizar estas informações para fraudes ou roubos digitais ou até roubos de identidade.
  • Conseguir senhas e outras informações sigilosas enganando a vítima para que esta as forneça espontaneamente acreditando estar fazendo a coisa certa (engenharia social).
  • Infectar um computador para que este replique ao maximo a infecção, propagando uma determinada mensagem ou ação, freqüentemente como forma de vingança ou propaganda.
  • Causar danos ao computador por puro vandalismo ou exibicionismo. Exemplos clássicos são formatações de discos rígidos e cancelamento de arquivos de dados.
  • Fornecer e divulgar informações falsas e induzir em erro a vítima (ou outros) para que esta tome alguma decisão em favor de golpistas.
  • Utilizar o computador da vitima para atividades não autorizadas ou ilícitas (existe uma vasta gama de possibilidades), encobrindo assim a real identidade dos criminosos.
Modalidades dos Ataques


Existem muitas diferentes modalidades de ataque a um computador. Sobretudo existem inúmeras variantes de métodos clássicos, variantes estas que são atualizadas e aprimoradas constantemente.

Resumidamente, as principais macro-modalidades de ataque a um computador são:

 
  • Arquivos recebidos como anexos de emails (víruses, worms, trojans, macros, dialers, spywares, adwares, malwares, backdoors...).
  • Email com códigos malignos incorporados.
  • Sites visitados contendo códigos maliciosos.
  • Arquivos baixados ou recebidos via sistemas de P2P ou via bate-papo (MSN, Yahoo Messenger...).
  • Mídias externas inseridas no PC (disquetes, CDs, DVDs, pen drives ...).
  • Redes locais/intranet, WiFi e Bluetooth.
  • Ataques e invasões de hackers diretamente no computador, quando conectado à internet.
  • Dados deixados em lugares acessíveis por descuido (disquetes/CDs, pen drives, palms/notebooks/celulares com bluetooth/WiFi ligado e aberto, computadores de terceiros, web mails, forums ...).

 

Principais Definições


É muito importante conhecer e entender alguns termos comuns no mundo da segurança digital. Algumas definições e descrições importantes são as seguintes:

Phishing
São emails contendo links para falsos sites de bancos ou instituições financeiras e solicitando ou convidando a vítima, com alguma desculpa ou atração, a acessar tais links. O intuito destes sites é de capturar senhas e outros dados confidenciais que serão depois utilizados para aplicar golpes ou esvaziar as contas da vítima.

Trojan
É um programa que por trás de uma aparência inofensiva e freqüentemente disfarçada de programa normal, conduz atividades perigosas quais liberar e abrir canais de acesso e controle externo ao computador infectado, capturar senhas dos administradores, criar usuários fantasmas, espionar o computador e capturar dados confidenciais (senha de bancos por exemplo) etc... Uma das características que o diferenciam de um normal vírus é o fato que normalmente não se reproduz.

Malware
É o termo que define de forma geral todos os programas que tem finalidade maliciosa e que podem atacar o computador. Em alguns casos este termo é utilizado para se referir somente a programas que não causam danos diretos ao computador como dialers, adwares, spywares etc....

Vírus
É qualquer programa que infecta o computador, se reproduz e tenta se auto-divulgar infectando outros computadores. Normalmente o vírus para funcionar e/ou infectar precisa de um outro programa. A maioria dos vírus de hoje entra no computador através de programas pirateados ou de arquivos baixados pela internet. Antigamente os víruses infectavam os computadores sobretudo através de troca incauta de disquetes e outras mídias. O vírus pode ter múltiplas funções mas normalmente é projetado para causar danos aos computador hospede, cancelando ou alterando arquivos, ou para espionar.

Worm
O worm é um programa auto-replicante e independente, que não precisa de outros programas para existir, funcionar e se multiplicar. Os worms podem ser programados para realizar muitas funções, por exemplo: espionar, capturar ou roubar dados, abrir portas de acesso ao computador, enviar emails não solicitados, realizar ataques coordenados a outros computadores, cancelar arquivos ou danificar o computador onde está instalado. Em vários casos os worms são inofensivos tendo como única função a de se reproduzir ao máximo.

Dialer
É um programa malicioso, normalmente do tipo worm, que tem como principal função a de fazer ligações telefônicas a partir do computador infectado para determinados números (que faturam por isso). Muitas vezes tentam criar novas conexões de dados para baixar arquivos ou fotos ou para navegar em sites pornográficos usando o custo do telefonema de conexão como meio de pagamento (a facada vai chegar com a conta de telefone).

Adware
Programa que vem oculto a um outro, baixado da internet, muitas vezes sem que o usuário tenha conhecimento. Uma vez instalado, sempre que o computador estiver conectado à rede, passa a exibir na tela do computador anúncios publicitários interativos. Em alguns casos este sistema é utilizado como forma de pagamento para o software "gratuito" baixado, e para tanto existe um aviso prévio sobre a instalação do adware. Nestes casos sua remoção é, por vezes, feita quando da compra do software ou de uma versão mais completa e paga.

Hacker
É um programador que cria hacks, ou seja, cria uma série de modificações para melhorar, explorar ou extender o código existente. Na comunidade de segurança, hacker é uma pessoa capaz de explorar as falhas de um sistema para ganhar acesso não autorizado, através de uma série de habilidades e táticas. O uso do termo hacker encontra-se largamente associado à crackers que praticam atividades criminosas - como invasão de computadores, furto de informações, depredação de sites, etc. - usando várias técnicas e tecnologias. Porém, essa associação direta é criticada por vários segmentos, mais notavelmente pela comunidade de software livre que utiliza o termo para designar seus principais programadores, bem como os próprios especialistas que não se identificam com esta vertente obscura e criminosa.

Firewall
É o nome dado ao dispositivo de rede que tem por função regular o tráfego entre redes distintas e impedir a transmissão de dados nocivos ou não autorizados de uma rede a outra. Dentro deste conceito incluem-se, geralmente, os filtros de pacotes e proxy de protocolos.
É utilizado para evitar que o tráfego não autorizado possa fluir de um domínio de rede para o outro. Apesar de se tratar de um conceito geralmente relacionado à proteção contra invasões, o firewall não possui capacidade de analisar toda a extensão do protocolo, ficando geralmente restrito ao nível 4 da camada OSI.
Existe na forma de software e na forma de hardware, ou na combinação de ambos. A instalação depende do tamanho da rede, da complexidade das regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.

AntiVírus
Com esta denominação se entende um programa que é instalado no computador e passa a monitorar todas as atividades e programas que nele entram ou são executados, protegendo o mesmo de ataques de vírus, trojans, worms e outras ameaças. Para ser eficaz tem que ser atualizado com freqüência, de maneira que esteja pronto a identificar todas as novas ameaças que vão aparecendo. Também é necessário que esteja rodando permanentemente no computador, sendo o ideal que seja lançado automaticamente quando do boot ou inicialização do computador.

Spyware
Consiste em um programa automático de computador, que se instala silenciosamente e recolhe informações sobre o usuário, sobre seus hábitos na internet e transmite estas informações a uma entidade externa na internet, sem o conhecimento e o consentimento do proprietário do computador espionado.
Diferem dos Trojans e Worms por não terem como objetivo que o sistema do usuário seja dominado ou seja manipulado por uma entidade externa.
Os spywares podem ser desenvolvidos por firmas comerciais, que desejam monitorar os hábitos dos usuários para avaliar seus costumes e vender estes dados pela internet. Desta forma, esta firmas costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os e dificultando em muito a sua remoção.
Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados confidenciais dos usuários. Roubam logins bancários, montam e enviam logs das atividades do usuário, roubam determinados arquivos ou outros documentos pessoais.
Com freqüência, os spyware costumavam vir legalmente embutidos em algum programa do tipo shareware ou freeware.

AntiSpyware
Programas que monitoram o computador e eliminam ou bloqueiam os programas de tipo spyware que nele se instalem. Muitos modernos antivírus tem esta função embutida, mas ainda assim é bom ter um programa antispyware específico rodando no computador, sobretudo se este é muito utilizado na internet.

Spam
São emails não solicitadas enviadas a muitos destinatários (às vezes milhões). Na maioria dos casos se trata de mensagens publicitárias ou propostas comerciais, mas existem também muitos casos de emails deste tipo contendo anexos "infectantes".

AntiSpam
Sistema que permite de filtrar emails classificáveis como SPAM e descarta-las ou evidencia-las como tais de forma automática, permitindo assim selecionar o que ler e o que não ler. Em alguns casos este serviço é oferecido pelos próprios provedores, existem, porém, também softwares que podem ser instalados no computador e que tem esta finalidade.

Backdoor
Backdoor (porta dos fundos) é um pequeno programa ou trecho de código que cria uma ou mais falhas de segurança para permitir, a pessoas não autorizadas, o acesso a um computador. Esta falha de segurança criada é análoga a uma porta dos fundos por onde a pessoa mal intencionada pode entrar e invadir o sistema.

20 Dicas de Segurança Digital


Para alcançar um nível aceitável de segurança digital é fundamental conhecer e por em pratica no próprio computador e ambiente (de trabalho ou familiar) as seguintes "Vinte dicas fundamentais de segurança digital".

1) Instale um bom programa antivírus e mantenha o mesmo atualizado diariamente, melhor se através do sistema de atualização automática. O programa deve ser configurado para filtrar em tempo real TODOS os programas que forem executados ou entrarem no computador de qualquer maneira e, de preferência, para executar um "SCAN" completo a cada dia ou pelo menos uma vez por semana. Boas opções de programa Antivírus são: Kaspersky Lab, PandaVirus, NOD32 (Eset), Norton/Symantec, AVG. Alguns destes programas existem em versão limitada e gratuita.

2) Instale um bom programa antispyware. Configure este programa para filtrar todos os programas executados ou que entrem no computador de qualquer maneira. O programa deverá ainda ser configurado para se atualizar automaticamente e para executar um SCAN completo diariamente. Boas opções de programas deste tipo são: Microsoft AntiSpyware (grátis), Spy Sweeper, Spyware Doctor, Counter Spy.

3) Instale um bom programa de firewall e o configure para proteção intermediária ou máxima. Caso tenha problemas para executar tarefas no seu computador depois disso poderá ir diminuindo o nível de proteção ou excluindo certas funções. Algumas boas opções gratuitas na internet são: Comodo Personal Firewall (www.comodo.com - o melhor, na minha opinião), Sygate Personal Firewall (agora retirado pela Symantec, que incorporou a Sygate), Zone Alarm, Kerio Personal Firewall e Agnitum Outpost Firewall.

4) Use o filtro de SPAM fornecido por seu provedor, ou se não for disponível adquira um para utilizar junto ao seu cliente de email. Ter um sistema capaz de filtrar as mensagens de SPAM de forma eficaz é importante pois grande parte dos emails com arquivos maliciosos anexados são normalmente identificados como SPAM.

5) Configure seu Navegador (Internet Explorer, FireFox, Netscape...) para que peça SEMPRE autorização e confirmação antes de baixar ou executar qualquer coisa na internet. Depois não autorize ele a baixar nada a não ser que saiba muito bem do que se trata. Como regra nunca execute/abra códigos diretamente da internet, se necessário os baixe/salve e rode depois.

6) Antes de utilizar um novo site de compras e fornecer dados dos seus cartões de credito ou banco, procure informações sobre sua credibilidade, confiabilidade, solidez, segurança e eficiência. Também verifique que o site utilize, para a troca de dados e informações, uma área segura baseada em criptografia (SSL). Para isso confirme que no seu navegador apareça um pequeno cadeado fechado ou uma chave no canto inferior da tela.

7) Desconfie e rejeite comunicados, propostas e ofertas milagrosas de qualquer tipo que possam chegar por qualquer meio (email, MSN, salas de bate-papo, P2P, chat systems em geral etc...).

8) Nunca anote senhas e outras informações confidenciais em lugares de fácil acesso (inclusive arquivos não criptografados dentro do seu computador) ou visíveis.

9) Criminosos podem criar sites que parecem os de bancos ou outras entidades, com o intuito de enganar as vítimas desavisadas e de capturar suas senhas e dados sigilosos. Neste caso o primeiro cuidado é verificar se o endereço que aparece no browser é mesmo o do banco e se este permanece inalterado na hora que aparecer o site. O segundo cuidado é o chamado teste da senha errada ou do "falso positivo". É só tentar acessar utilizando uma senha propositalmente errada e ver se o site aceita esta senha. Sites falsos aceitam qualquer coisa, já os verdadeiros sabem reconhecer a senha válida de uma errada.

10) Se lembre que a enorme maioria dos casos de fraudes envolvendo internet banking acontece por descuidos do usuário e não por falhas de segurança do bancos. Portanto tome sempre os devidos cuidados quando acessar sua conta e, de forma geral, usar o seu computador.

11) Sempre e só utilize um computador confiável para acessar sua conta e/ou dados sigilosos. NUNCA use computadores públicos ou de terceiros ou ainda computadores que não tenham sistemas de proteção eficientes para acessar sua conta ou qualquer outra informação sigilosa ou que necessite de uma sua senha (por exemplo uma caixa de email).

12) Evite navegar em sites arriscados e NUNCA baixe qualquer coisa de site que não conheça bem e que não sejam totalmente confiáveis. Como regra geral, sites com material pornográfico e sites que promovem pirataria de software e outros crimes, são perigosos pois freqüentemente contém víruses, trojans ou outros programas maliciosos.

13) Nunca responda à emails não solicitadas (SPAM), nem para pedir sua remoção de listas de envio ou para reclamar ou solicitar qualquer informação. Eles usam sua resposta para confirmar a existência do seu endereço de email e aí sim que não irão parar nunca. Também não clique em links de descadastramento ou de forma geral em qualquer tipo de link ou site sugerido ou de outra forma presente nestas mensagens.

14) Nunca execute ou abra qualquer arquivo anexado a mensagens de origem desconhecida ou não solicitadas. Sobretudo NÃO abra arquivos dos tipos: EXE COM SCR PIF BAT CMD DPR. Também lembre de configurar o seu programa cliente de email (Outlook, Eudora, Thunderbird...) para que não abra automaticamente os anexos. Na maioria dos casos estes programas são víruses ou trojans ou worms.

15) Não se assuste quando receber emails ameaçadores tipo cobranças, cancelamento de documentos ou benefícios, ações na justiça etc... Também desconfie de mensagens que aparentem ter sido enviadas por bancos, repartições públicas, lojas famosas e programas televisivos. Não acredite e não leve a sério este tipo de mensagens, os respectivos órgãos e empresas NUNCA enviam mensagens por email com este intuito. Sobretudo NÃO abra nenhum arquivo anexado a este tipo de emails nem acesse nenhum link sugerido.

16) Não acredite em promessas milagrosas, ofertas mirabolantes, propostas fabulosas e também não acredite em vendas simplificadas de produtos ou serviços que deveriam estar sujeitos a controle (tipo medicamentos ou coisas parecidas). Na maioria dos casos se trata de golpes ou produtos falsificados e até perigosos ou prejudiciais.

17) Não forneça seu endereço de email para publicação em fóruns, salas de bate papo e grupos de discussão. A mesma regra vale para qualquer outra informação pessoal como nome completo, endereço, telefone, números de documentos (RG, CPF, CNH...), lugar de trabalho etc... Se não puder evitar de publicar em algum lugar um endereço de e-mail, substitua o "@" com "(ARROBA)".

18) Evite sempre participar de qualquer tipo de corrente na rede, sejam pirâmides financeiras sejam supostas ou reais campanhas de solidariedade seja o que for. Também desconfie muito de qualquer oferta que lhe chegue pela rede e onde exista a solicitação de um pagamento adiantado.

19) Crie um endereço de email alternativo em algum serviço gratuito de webmail (BOL, Hotmail, Yahoo, Gmail, IG...) e utilize exclusivamente este endereço (e não o seu pessoal e/ou profissional) para cadastramento em sites, fóruns, blogs, bate papos etc...quando isso for inevitável.

20) Se recuse a abrir qualquer mensagem suspeita onde não seja claramente definida a identidade de quem a envia (endereços falsos, endereços omissos ou incompletos, assuntos com erros ou incongruentes...). A mesma regra vale para sites que proponham vendas de produtos ou serviços mas que tenham poucos dados, sem endereços e telefone de contato, sem nomes de empresas ou pessoas para contatar etc...
É importante também lembrar que, em qualquer mensagem de e-mail, o endereço do remetente é muito fácil de se falsificar. Por isso não confie automaticamente em mensagens que "parecem" ter sido enviadas por seus contatos. Use seu senso crítico e um pouco de desconfiança pois existem muitos casos de fraude com e-mails que usam maliciosamente os nomes de pessoas conhecidas da vítima.
 

Exemplos práticos


Nestes clássicos exemplos de phishing, através de um email falso foram acessados links supostamente do Banco Bradesco e do Banco Itaú onde eram solicitados dados confidenciais relativos ao cartão de débito/crédito, supostamente para atender a uma resolução do BC (inexistente). Vale notar que na realidade os endereços acessados NÃO são dos bancos em questão, mas de provedores de espaço web gratuito ou faculdades (que muitas vezes oferecem espaço a estudantes).
 

 

 

 

Neste outro exemplo o atrativo é um suposto book contendo presumivelmente fotos eróticas de uma acompanhante. O email indicava este link no qual tem algumas fotos pra deixar a vítima curiosa e uma solicitação à "baixar o book completo" ... clicando nesta opção, como se pode ver, o que aparece pra ser baixado é na realidade um arquivo chamado JULYA.EXE que nada mais é que um programa de tipo trojan, projetado para capturar dados confidenciais e espionar o computador.

 

 

 

Por fim, para aprofundar os conhecimentos sobre estes assuntos, sugerimos a leitura dos seguintes documentos, publicados por diferentes entidades e relativos à segurança digital e na internet.

SERASA: http://www.serasa.com.br/guiainternet/index.htm

CERT.BR: http://cartilha.cert.br

A empresa FControl disponibiliza também um interessante "guia anti-fraudes", desenvolvido para sites de e-commerce, mas com muitas boas dicas gerais de segurança digital, através da seguinte página: http://www.fcontrol.com.br/guia.asp


 
Referência: Fraudes.org
Aprenda mais !!!
Abaixo colocamos mais algumas dicas :