Armadilha online

[*AgT'~ 13]

Atualize os dados de sua conta corrente ou ela será encerrada. Receba grátis nossa cartilha de segurança. Baixe uma nova versão do Windows. Basta clicar aqui. Quantas vezes você já recebeu e-mails com esse tipo de conteúdo? O Phishing scam (e-mail fraudulento) é uma praga que se espalha em ritmo acelerado pela internet. Segundo o Anti-Phishing Working Group, entidade que tem como objetivo combater a fraude online, só em julho de 2005 foram identificados mais de 14 mil novos casos. E o estudo aponta o Brasil como o país com maior incidência de keyloggers – programas nocivos destinados a monitorar a digitação para o roubo de senhas.

 

O phishing é uma fraude que faz o internauta acreditar que está em um site seguro e, por isso, inserir dados e senhas. Na verdade, ele está em uma página clonada, que leva todas as informações para as mãos de bandidos. O setor mais atingido por esse tipo de crime é o financeiro, por ser o que oferece maior retorno para os bandidos. Como os bancos online oferecem boas medidas de segurança, os delinqüentes atacam o elo mais fraco da corrente: os clientes.

 

Como Funciona

 

Esse tipo de fraude online não atua por si só. Requer a colaboração do usuário. É preciso que este forneça as chaves do seu banco no e-mail ou que clique no site falso que aparece no correio eletrônico e faça o que for indicado. Em geral, não se trata de um vírus ou spyware, que se possa evitar com programas de proteção. Utilizando o correio eletrônico, os criminosos se aproveitam da boa vontade ou até do medo do destinatário que acredita, por exemplo, que sua conta será cancelada se não inserir os dados solicitados.

 

O phishing consegue juntar em uma mensagem vários dos problemas que existem na internet. Por um lado, é um spam, por ser uma mensagem de correio eletrônico (ainda mais falsa) não solicitada. Por outro, direciona a vítima para páginas falsas ou instala programas nocivos, que passam a monitorar a atividade da vítima. Utiliza-se o correio eletrônico para a propagação da fraude devido a sua simplicidade e baixo custo para os delinqüentes.

Na imagem ao lado podemos observar um caso de phishing. A interface do banco foi indevidamente alterada para o golpe. Vale lembrar que nenhuma instituição está a salvo de ter seu nome utilizado indevidamente, como já aconteceu com Banco do Brasil, Caixa Econômica e Bradesco. No momento que o destinatário preenche os dados e clica em OK, os delinqüentes recebem a informação necessária para esvaziar a conta.

 

As táticas utilizadas para convencer alguém a colocar seus dados pessoais ou clicar em arquivos nocivos são tão variadas quanto a imaginação dos delinqüentes. São alegados problemas técnicos, mudanças na política de segurança da entidade, promoções ou presentes e, o que é mais curioso, até detecções recentes de fraudes. Tudo feito para que a pessoa não tenha muito tempo para pensar bem no que está fazendo. As mensagens tentam fazer com que o destinatário acredite que são originárias de empresa ou banco no qual confiamos (embora exista, por exemplo, a probabilidade de recebimento de mensagens falsas em nome de instituições financeiras das quais nem sequer somos clientes).

 

Na imagem à direita é possível ver um phishing relacionado ao sistema operacional Windows, ao analisar o remetente é possível notar que ele não corresponde a um domínio verídico da Symantec ou da Microsoft, embora em casos mais avançados também seja forjado esse endereço.

Antes que o phishing evoluísse e aperfeiçoasse seus métodos, havia outros aspectos nos quais podíamos prestar atenção: a confirmação de que a conexão era realizada através de uma conexão segura mediante https:// e que possuía um certificado de segurança válido. Infelizmente, esses detalhes já não são 100% confiáveis. Utilizar sempre a opção de desconexão da página do banco e não simplesmente fechar o navegador são recomendações que nos ajudam a não ser vítimas de golpes, mas não são suficientes para evitá-los. Os fraudadores também aperfeiçoam suas técnicas e é possível encontrar casos nos quais é simulada uma conexão segura a partir de uma URL https:// ou o indicador de site seguro através de um certificado. Para isso, os piratas da internet criam uma cópia do formulário da entidade em um servidor seguro próprio com um certificado válido. Modifica- se essa página de forma que qualquer nome de usuário e senha inseridos sejam armazenados em arquivos, que vão parar nas mãos dos delinqüentes. Depois de colocar os dados, em um caso de phishing, geralmente receberemos uma mensagem informando que há um erro na página e que é preciso tentar novamente. Nesse ponto, os fraudadores já terão os dados da vítima, mas ao colocá-los pela segunda vez, o internauta será reconduzido à verdadeira página da web da instituição, que funcionará normalmente.

 

Como evitar

 

A regra básica para evitar o phishing é não acessar a página do banco ou empresa citada através dos links fornecidos por e-mails fraudulentos ou sites de terceiros. Os bancos utilizam em suas páginas na internet medidas de segurança e buscam constantemente as possíveis vulnerabilidades antes que se realizem os ataques. Além disso, trazem várias recomendações em suas páginas. Mesmo assim, somos nós os últimos responsáveis por dar ou não nossos dados. Partindo da premissa de que nenhuma entidade vai pedir nossos dados confidenciais por telefone, e-mail ou qualquer outra forma, e que não devemos responder a esses correios eletrônicos, trata-se de uma fraude que só depende de nós para ser levada adiante. O que é realmente importante é ter consciência dos perigos para quando receber o e-mail que faz referência a uma entidade da qual realmente somos clientes, não inserir nenhum dos dados pedidos. No caso do phishing, a desconfiança é o antivírus mais potente que o usuário pode ter. Não acredite em ameaças ou ofertas tentadoras. E monitore com freqüência suas movimentações financeiras, em busca de cobranças indevidas.

 

Se estes conselhos vieram tarde demais – você acredita que bandidos estejam utilizando seus dados e senhas de conta bancária ou mesmo o número do cartão de crédito – a primeira providência é entrar em contato com seu banco ou administradora do cartão, que fornecerão os passos a seguir. E se a fraude se comprovar, registre um boletim de ocorrência.

 

Fonte: PcWorld

 

Fl's