terça-feira, 18 de setembro de 2007

Mais sobre (in) segurança...

Na matéria do dia 23 de agosto - publicada a pedido do Georges (um abraço, meu amigo) -, a gente discutiu o NetBanking do ponto de vista da segurança virtual. Ainda assim, devido à relevância do assunto (e a despeito de muitos visitantes aqui do Blog já estarem de saco cheio dele), resolvi tecer mais algumas considerações a propósito.
A popularização da Internet fez com que o "conto do vigário" de antigamente se tornasse bem mais abrangente e perigoso: como se já não bastassem os vírus - patriarcas dos malwares - e os worms (veja alguns conceitos e definições das principais pragas virtuais no post de 23 de agosto), o scam e o phishing campeiam soltos.
Se você acha que isso é paranóia, até porque os vírus apresentam um sistema de infecção por correio eletrônico bastante conhecido das suítes de segurança, é bom saber que não são apenas os e-mails que transportam essas pestes: redes P2P (de trocas de arquivos), programas de mensagens instantâneas e até páginas web podem esconder códigos maliciosos.
Além disso, técnicas como o "morphin" permitem aos crackers embutir códigos maliciosos em arquivos MP3 (é comum usuários de programas como o KaZaA, E-mule e Limewire baixarem músicas com vírus integrados), e a inclusão de malwares em sites faz com que seu PC seja infectado durante uma simples navegação (nem mesmo é preciso abrir arquivo algum). Para piorar, as mensagens de phishing (versão eletrônica da vigarice tradicional) não costumam incluir anexos que possam ser barrados pelos antivírus, de modo que fugir dos "amigos do alheio" digitais requer mais atenção do que tecnologia: é preciso desconfiar de tudo e de todos, mesmo quando se tem um arsenal de segurança competente, porque muitas dessas mensagens acabam fatalmente nas nossas caixas postais.

Já os adeptos do NetBanking devem tomar cuidados redobrados: existem basicamente três formas de se realizar uma fraude na internet: atacando o servidor, interceptando dados durante a transmissão ou usando técnicas para roubar informações do usuário final. Como os Bancos vêm tomando medidas consistentes de proteção, o scam e o phishing se tornaram as técnicas mais utilizadas pelos fraudadores, porque os clientes são o elo fraco da corrente.
O scam consiste geralmente numa mensagem que procura levar o destinatário a instalar um cavalo-de-tróia - permitindo ao cracker acessar os dados do usuário através de keyllogers (programinhas espiões que capturam as teclas digitadas), de screenloggers (que registram as posições do clique do mouse) e de telas sobrepostas (teclados falsificados ou telas do navegador que solicitam um determinado número de informações). Já o phishing costuma trazer links que remetem a sites falsos - mas muito parecidos com os originais -, onde o incauto é compelido a digitar seus dados bancários (agência, conta e senha).

Qualquer que seja o engodo, o objetivo do golpe, na maioria das vezes, é utilizar as informações "roubadas" para realizar transferências financeiras ou compras on-line. As mensagens de scam e phishing costumam apresentar erros ortográficos e/ou gramaticais, mas você deve ficar atento para quaisquer e-mails com solicitações estranhas (atualização de dados cadastrais, confirmação de senhas etc.) e/ou provenientes de pessoas que você não conhece (na dúvida, ligue para seu gerente e confirme a autenticidade da mensagem).
Além disso (embora você já esteja cansado de saber), convém manter seu sistema e programas sempre em dia (instalando todas as atualizações críticas e de segurança); usar um antivírus - mesmo que gratuito - e mantê-lo atualizado; instalar um firewall e configurá-lo adequadamente; não acessar links de e-mails suspeitos e tomar muito cuidado ao usar computadores públicos.
Se, ainda assim, você for fraudado, entre imediatamente em contato com o gerente da sua agência; ele irá orientá-lo a escrever uma carta de contestação e/ou tomar outras providências visando solucionar o problema e minimizar os prejuízos.
Na maioria dos casos, os Bancos costumam ressarcir os clientes - a não ser que não ter havido fraude (caso em que o fraudador é o próprio cliente) ou que se constatem "comportamentos negligentes" (como fornecer senha e cartão a terceiros ou fazer NetBanking em máquinas de redes de cybercafés ou de hotéis, por exemplo).
Mais uma vez, boa sorte a todos.
Amanhã tem mais; até lá.
Postar um comentário