Pular para o conteúdo principal

Prevenindo-se contra fraude bancária (parte 1)

Evitando os vampiros modernos

Reza a lenda que um vampiro não entra numa casa se não for convidado pelo dono da casa. Obviamente ele o faz sem saber que o se trata de um vampiro, caso contrário, não o faria. Quando descobre, já é tarde. Pelo menos é o que vemos nos filmes.

Lendas à parte, quando falamos em crimes cibernéticos, particularmente em termos de fraudes bancárias, é a mesma coisa. A imprensa insiste em denominar esses criminosos de hackers, mas de hackers não têm nada (leia meu artigo “Entendendo a guerra real do mundo virtual”). Esses criminosos não “invadem” seu computador como você pode imaginar, levado pelo folclore popular. Na realidade, para que você seja uma vítima de fraude bancária, você tem que “convidar o cibercriminoso a “entrar no seu computador.

Calma! Sei que a essa altura você deve estar me xingando e me chamando de louco... Afinal, “quem, em sã consciência convidaria um ladrão a entrar na sua própria casa?. Exatamente!! Esse é o ponto: CONSCIÊNCIA. Você faz isso SEM SABER e é por isso que estou escrevendo esse artigo.

Na Segurança da Informação, existe um termo bastante conhecido: Engenharia Social. Nome bonito para a arte de enganar pessoas com o objetivo de obter alguma informação relevante, geralmente confidencial, como usuário e senha de acesso à um sistema.

Quanta vezes você já não recebeu um e-mail dizendo que você tem uma pendência no seu CPF ou que você foi o feliz ganhador de um automóvel? Talvez um e-mail, aparentemente enviado por algum conhecido seu, convidando-o a assistir um vídeo ou ver uma foto comprometedora? Todos eles possuem algo em comum: você tem que clicar em alguma coisa. Um link ou um botão. No exato instante em que você clicar nesse link você estará “convidando” o vampiro, digo criminoso, a entrar na sua máquina.

Através desse processo de Engenharia Social, valendo-se da sua ingenuidade, o cibercriminoso está instalando em um programa sua máquina que vai monitorar a utilização do sistema e capturar o número da sua conta bancária e sua senha, por exemplo. Uma vez capturados, esses dados são enviados ao criminoso pela própria internet. A partir daí deixa de existir o fator “cibernético” e inicia a esfera meramente “criminal”, que não é mais foco da minha área de atuação.

As vezes, mesmo com o conhecimento somos enganados num momento de distração. Há algum tempo atrás recebi um e-mail de uma pessoa conhecida, convidando para ver um vídeo engraçado no youtube. Como era alguem com grau de importância significativo na minha rede de relacionamentos, cliquei para ver. Ao invés de ser direcionado para o site do youtube, fui redirecionado para uma página da Adobe para fazer uma “atualização do Flash player”. Como sei que o youtube utiliza o Flash player, cliquei instintivamente no link. Só me dei conta da bobagem ao perceber que a “atualização” foi muito rápida. A suposta página da Adobe era falsa e eu havia acabado de instalar o software malicioso na minha máquina.

O uso de páginas falsas é outra técnica que já foi muito utilizada por esses criminosos. Utilizando envio de e-mails em massa, convidavam o usuário de um determinado banco a atualizar seus dados cadastrais, por exemplo. Para isso era redirecionado para uma página falsa, muito semelhante à página verdadeira do banco, onde o usuário deveria digitar o número da conta e a senha. Com enorme quantidade de e-mails enviados indiscriminadamente, muitas acabavam caindo em caixas postais de clientes do banco vitimado, que ingenuamente digitavam seus números de conta corrente e senha. Algumas dessas páginas, entretanto, possuíam erros grosseiros de português que de imediato denunciavam a fraude, mas o detalhe principal era a ausência do teclado virtual (aquele que você tem que clicar nos botões ao invés de digitar no teclado do computador).

Atualmente, na maioria das vezes, o usuário nem é direcionado a site algum, mas simplesmente apresenta um link onde ao ser clicado baixa um programa da internet, que ao ser executado, passa a capturar as senhas.

Essa técnica de envio de e-mails com mensagens e sites falsos é denominada de PHISHING, corruptela da palavra inglesa FISHING ou "pescaria" em português. Acho que o motivo desse nome agora já é obvio a você amigo leitor.

De modo genérico, todo software malicioso é denominado de MALWARE. Dependendo da forma como ele “entra” na máquina ou do que ele faz, recebe uma denominação mais específica como trojan, worm, vírus, spyware, keylogger, etc. Mas isso é assunto para outra conversa.

Na semana que vem, continuamos essa conversa onde vou passar algumas dicas para que você evite “identifique o vampiro antes de convida-lo a entrar na sua casa”. Até lá.

fonte: Megumi K. Jr. em http://drwhitehat.blogspot.com/

Comentários

Postar um comentário

Postagens mais visitadas deste blog

VNC Viewer Free Edition 4.1 para Windows ®

Índice * Instalação * Conectando a um servidor VNC o Conectar-se usando existentes. Vnc arquivos o Autenticação de Usuário * Configurando o VNC Viewer o Cor / Opções de Codificação o Opções de Entrada o Opções Diversas o Load / Save Options o Outras definições * O Menu F8 o As funções do menu F8 Instalação VNC Viewer Free Edition para Windows é fornecido como um componente do programa de instalação do VNC Free Edition. Se o espectador tiver sido instalado dessa maneira, então ele estará acessível através do menu Iniciar do grupo criado durante o processo de instalação (normalmente RealVNC / VNC Viewer 4). O telespectador também pode ser executável baixado , direta ou fechado. VNC Viewer para Windows foi projetado para rodar stand-alone, sem que nenhum outro pacote seja instalado em primeiro lugar. Conectando a um servidor VNC Se instalado, o pacote de instalação WinVNC então VNC Viewer é acessível a partir do Menu Iniciar. Se o download diretamente, o VNC Viewer
Postar um comentário
Leia mais

Como instalar blogger template

FAQ’s 1. Como  instalar blogger template? 2. Como  remover “Blogger Navbar”? 3. Como re-exibir os ultimos “Blogger Navbar”? 4. Como editar o menu no meu novo template? 5. Posso remover o link de crédito do template? Como instalar template blogger? 1.  Faça o download do seu modelo favorito ( zip ) and then extract ( unzip ) 2.  Login to blogger with your ID 3.  On the dashboard, click Layout → Edit HTML 4.  Do the Backup by clicking Download Full template 5.  Click Browse… botão e, em seguida, escolher o arquivo do seu modelo favorito que você acabou de baixar e descompactar (xml), e, em seguida, clique no botão Upload. 6.  Quando há um aviso, clique em KEEP WIDGETS button 7.  Concluído. Aproveite a nova aparência do seu modelo. ↑ Back to top How to remove “Blogger Navbar”? Muitos dos usuários blogger.com não gosto da existência de blogger Navbar (blogger barra de navegação), de modo que a maioria deles quer removê-lo. Na verdade, a barra de
Postar um comentário
Leia mais