Segurança da Informação

Ξ 1 comentário

Risco do roubo de dados pessoais, como conviver com ele?

publicado por Julio Carvalho

Para os milhares de trabalhadores da área de TI, os riscos de ter seus dados pessoais roubados na internet não é uma grande preocupação. Mas e os milhões de usuários da tecnologia, o que eles pensam sobre esses riscos, quais as dúvidas que eles possuem e qual a verdade sobre o que eles ouvem e leem?

Pensando nessas questões, faço, algumas vezes por ano, palestras de conscientização dos riscos da internet, para os colegas daqui da empresa, tentando sempre trazer alguma informação a mais ou nova para mantê-los atentos aos riscos e menos suscetíveis a problemas.

Pode parecer repetição, mas mesmo sendo falado a todo instante nas empresas, revistas, jornais, sites, etc. que a senha do usuário é intransferível, que só se devem acessar sites confiáveis, não abrir e-mails de pessoas que você não conhece e outras tantas informações básicas, mas muito importantes, o usuário acaba se descuidando e tento seu computador infectado ou passando informações pessoais em sites falsos. O resultado para isso é o acesso a sua conta bancária, a utilização dos dados do cartão para compras ou até mesmo falsificação de documentos já que os bandidos estão de posse de diversos dados do cidadão.

Já vi casos em que um usuário me informou que havia recebido um e-mail desconhecido, mas mesmo assim abriu a mensagem e executou o anexo que veio na mensagem e como nada de diferente aconteceu, achava que estava com o computador infectado. Se não estava, passou a estar. Outro caso curioso foi o de uma colega me questionou, após uma das palestras, que se o risco de ter os dados bancários roubados pela internet era tão grande, ela passaria a fazer as transações diretamente na agência. Perguntei então se ela já havia presenciado algum assalto a banco ou teve o cartão clonado em algum estabelecimento. Com a resposta positiva, passei a ela que além de sofrer do mesmo problema, teve o risco da sua integridade física adicionado.

O que quero demonstrar é que apesar dos riscos de transmitir seus dados pela internet seja real, com algumas precauções o risco é muito menor. Existem caixas eletrônicos modificados, máquinas de cartão manipuladas e até mesmo o roubo “comum” (batedores de carteira, roubos em sinais, e “saidinhas de banco”).

Em um site de e-commerce, por exemplo, informamos todos os dados existentes no cartão, por uma conexão criptografada, o que nos garante que os dados ali transmitidos “não podem” ser copiados. Porém, pela internet, seu computador pode estar infectado com um trojan, aonde os dados serão capturados antes mesmo da transmissão, ou o site de compras pode ter armazenado seus dados, e ser invadido. Caso um dos dois infelizmente aconteça, seu cartão poderá ser utilizado para outras compras ON-LINE apenas. No caso do Internet Bank, conseguir os dados para efetuar uma transação com sucesso é um pouco mais complicado, além da agência, conta e senha que utilizamos para acessar a conta, precisamos digitar códigos específicos do “cartão de senha”, ou token, fornecidos pelos bancos. Códigos esses que são solicitados de forma aleatória e apenas uma vez. Para conseguir todos os códigos o ladrão precisar ter muito mais que paciência ou então solicitar todos de uma única vez, o que irá gerar desconfiança do usuário. Também já vi casos em que a pessoa digitou todos os códigos, mesmo assim o banco a ressarciu e posteriormente vi avisos de outros bancos informando que apenas um código é solicitado por transação ou acesso. Abaixo um exemplo clássico de tentativa de roubo de códigos do cartão de senha do Bradesco.

Por incrível que pareça, o banco facilmente identifica transferências e compras “fora” do nosso padrão e, antes de aprovar, entra em contato para confirmar se deve ou não liberar ação. Em certos casos é inconveniente, pela compra ser verdadeira, mas é uma forma de se preservar e de nos preservar também. Caso alugma dessas operações “fora do padrão” não seja identificada, o banco tem obrigação de ressarcir o usuário caso seja comprovada a fraude, afinal pagamos taxas mensais de seguro nos cartões. Nesses 15 anos que tenho contato com a Internet nunca tive meus dados pessoais roubados do computador, mesmo tendo sido infectado por algum código malicioso algumas vezes, mas já tive o cartão “fisicamente” clonado três vezes e em todas o banco identificou a tentativa de uso e me informou imediatamente, e também fui contatado outras vezes por compras ON-LINE válidas, porém com alto valor. Sorte? Acho que não, no meu caso o monitoramento deles sempre funcionou.

O prejuízo de cerca de R$ 900 milhões que os bancos sofreram entre 2009 e 2010, fez com que o investimento em segurança dos bancos saltasse para R$ 9,5 bilhões de reais para o ano de 2011. A maior parte desse valor é para preservação do próprio patrimônio deixando o usuário “refém” da segurança pública. A outra parte desse investimento vai para a segurança eletrônica contra invasões e roubo de dados dos usuários, seja por ataques aos sistemas bancários ou aos computadores dos clientes. TODOS os bancos sempre informam que não pedem, principalmente por e-mail, dados pessoais, senhas, etc. esses dados já fazem parte do cadastro de usuários dos bancos, e mesmo quando entramos em contato telefônico apenas uma senha de acesso específico é solicitada. Senha essa que não é a mesma utilizada para acesso a internet ou ao cartão. Caso o usuário tenha qualquer dúvida, deve entrar em contato com seu gerente ou com telefones de suporte que constam nos boletos de mensalidade e NUNCA nos telefones que constam nos SPAM´s ou sites suspeitos.

Conviver com esses riscos pode parecer complicado, mas um pouco de cuidado e atenção é o suficiente para manter qualquer um tranquilo por muito tempo. No mundo inteiro a necessidade das pessoas de divulgar tudo o que estão fazendo nas redes sociais se tornou um prato cheio para os cybercriminosos. Praticamente todos os ataques através da internet são baseados em Engenharia Social, os SPAM´s ou sites de Phishing são totalmente voltados para tentar enganar o usuário fingindo serem e-mails ou sites verdadeiros. A divulgação de informações pessoais nas redes sociais facilita, e muito, esse processo. Abaixo um exemplo de site de Phishing que chegou com um SPAM, fingindo ser um e-mail do Santander.

No Brasil há um Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores que faz parte do Comitê Gestor da Internet no Brasil. Nele constam diversas informações sobre incidentes de segurança e fornece dicas de como se proteger (http://cartilha.cert.br/).

Para finalizar, não deixando de ser repetitivo, segue uma lista de algumas dicas de proteção:

1 – Não abra nenhum arquivo anexado ao e-mail que pareça suspeito ou venha de remetentes desconhecidos.
2 – Fique de olho nas mensagens de seus conhecidos, principalmente aquelas que você sabe que eles não usariam normalmente.
3 – Instale um programa antivírus. Reserve tempo para instalar atualizações desses programas no seu PC.
4 – Fique alerta com os patches de correção dos fabricantes de software para evitar novas ameaças e vulnerabilidades na programação.
5 – Evite navegar em sites desconhecidos ou de procedência duvidosa.
6 – Evite utilizar programas de compartilhamento de arquivos.
7 – Nunca forneça seu número do cartão de crédito e a senha ao acessar o site do Banco. A senha somente é solicitada no momento de pagamentos e transferências. O número do Cartão é informado pelo próprio banco.
8 – Nunca responda ou envie dados pessoais para e-mails desconhecidos e/ou para Bancos. Você é um cliente, suas informações pessoais já fazem parte de seu banco de informações.
9 – Tenha o costume de somente aceitar e-mails solicitados ou que estejam previstos para chegar.
10 – Se notar diferença em sites bancários ligue para o seu gerente ou para o suporte do Banco. Não ligue para o número fornecido no site, porque o site pode ser falso.
11 – Nunca acesse sites de compras e bancos dentro de um Cyber Café.
12 – Não cadastre seu e-mail corporativo em sites públicos. Quanto menos utilizá-lo em cadastros, menor a possibilidade de receber SPAM’s direcionados a ele.
13 – Não divulgue seu e-mail corporativo para fins pessoais. Quanto menos divulgá-lo menor é a possibilidade de ele ser usado, de forma falsa, por alguma máquina infectada por vírus que teve a lista de e-mails roubada.
14 – Em sites de comércio eletrônico, bancos etc., verifique se a comunicação é segura.
15 – Verifique se o certificado de criptografia é de uma empresa renomada e se ainda está na validade.

Autor

Sou Graduado em Redes de Computadores e Pós Graduado em Auditoria e Segurança de Sistemas, Especialista em Códigos Maliciosos (Vírus) e possuo 10 anos de experiência em Infraestrutura e Segurança de ambientes. http://br.linkedin.com/in/julioinfo

Julio Carvalho

Comentários

1 Comment

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes