Os cibercriminosos vem utilizando informações disponíveis em redes sociais, como Facebook e LinkedIn, para criar e-mails maliciosos. O LinkedIn, por exemplo, contém diversas informações sobre o perfil profissional de seus integrantes tornando-se uma ótima fonte para que os golpistas virtuais possam praticar engenharia social para praticar seus crimes.
Em segurança da informação, denomina-se “Engenharia Social” as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora-se as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.
Segundo informado pelo site Computerworld, no mês passado, o laboratório de ferramentas analíticas e de computação, Oak Ridge descobriu que um malware sofisticado de roubo de dados havia se infiltrado em suas redes. A invasão teve origem em um e-mail de phishing enviado para cerca de 600 funcionários. A mensagem foi “disfarçada” para parecer um comunicado sobre mudanças de benefícios do departamento de recursos humanos. Quando alguns empregados clicaram em um link anexado no e-mail, o malware foi baixado para seus computadores. Esses tipos de e-mails tem sido o método preferido para invadir redes corporativas. Os e-mails de phishing são personalizados, localizados e desenvolvidos de maneira a parecer como se tivessem se originado de uma fonte confiável.
Para se ter uma noção da gravidade desse problema, um relatório semestral de segurança na internet realizado pela Microsoft e divulgado esta semana, encontrou evidências de um aumento de 1.200% nos ataques de phishing em 2010. De acordo com o estudo da Microsoft, estes ataques representavam, um ano antes, menos de 10% de todas as fraudes cometidas por meio de sites de relacionamento. No fim de 2010, esta proporção aumentou para 85%. Recente pesquisa da ESET, empresa européia de segurança digital, apontou que o Brasil lidera o número de tentativas de roubo de dados bancários pela Internet na América Latina. No Brasil, a grande maioria dos ataques de phishing é projetada para o roubo de credenciais bancárias.
A prevenção destes ataques deverá demandar inicialmente desconfiança do conteúdo divulgado e posterior checagem de fontes dos fatos narrados por meio de outros ambientes que não seja exclusivamente o digital. É necessário que as informações divulgadas a cerca do perfil em sites de relacionamentos sejam restritas ao foco dos temas ali tratados, ou seja, o usuário deve definir qual postura ele quer adotar naquela rede social: pessoal ou profissional.
No Brasil, a criação e propagação de phishing ainda não é tipificada como crime na legislação. O projeto de lei de Crimes Cibernéticos (PL 84/1999) que tramita há 12 anos no Senado propõe tipificar esta prática como um crime de estelionato eletrônico. O PL prevê em seu Art. 6° punição com multa e prisão de até quatro anos quem difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. No entanto, temos que ressaltar que o phishing pode ser utilizado como um meio para praticar outros ilícitos que já estão tipificados no Código Penal, tal como crime de dano, falsidade ideológica dentre outros.
Advogado especialista em Direito de Tecnologia da Informação. Sócio de Aristoteles Atheniense Advogados. Destaca-se como advogado especialista em assuntos relacionados a Tecnologia da Informação, com experiência e atuação nas áreas de software, propriedade intelectual nas mídias digitais, crimes eletrônicos, responsabilidade civil de provedores, práticas processuais por meio eletrônico, contratos, relação de consumo na internet, política de segurança de dados nas empresas, privacidade online, nomes de domínios, leilão e pregão eletrônico, propaganda eleitoral na internet, auditoria de urnas eletrônicas, perícias, problemas jurídicos relacionados as mídias digitais, blindagem jurídica da reputação de empresas e pessoas na internet , retirada de conteúdos indevidos da internet, e arbitragem em questões relacionadas com tecnologia e provas eletrônicas, dentre outros. É coordenador do curso de Pós Graduação em Direito e Tecnologia da Informação na Escola Superior de Advocacia (ESA) da OAB-SP desde 2008, projeto acadêmico pioneiro nesta área de ensino. Coordena cursos in-company e palestras em todo país e no exterior sobre temas relacionados ao Direito e Tecnologia da Informação. É editor do blog Direito e Novas Tecnologias, blog DNT, pioneiro na área jurídica no Brasil. Autor dos livros "Internet e o Direito", editora Inédita, 2000 e "Comentários a lei 11.419/2006 e as práticas processuais por meio eletrônico nos Tribunais Brasileiros", editora Juruá, 2010. Twitter: @atheniense E-mail: alexandre@atheniense.com.br LinkedIn: http://br.linkedin.com/in/atheniense Site: www.dnt.adv.br www.alexandreatheniense.com
You must be logged in to post a comment.
