Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

10/06/2009 - G1 Escrever Comentário Enviar Notícia por e-mail Feed RSS

Pacotão de segurança: truque para sites falsos e vírus em site de torpedos

Por: Altieres Rohr

Colunista responde se tática de digitar senha falsa pode ser útil. Você também pode deixar sua dúvida na seção de comentários.

O pacotão de respostas da coluna Segurança para o PC de hoje derruba um conselho que já apareceu algumas vezes nos comentários deixados pelos leitores: “sites falsos não conseguem saber que uma senha está incorreta e, por isso, é bom digitar uma senha inválida no primeiro acesso para descobrir se a página é verdadeira ou não”. Outras dúvidas respondidas hoje são referentes à praga digital no site de torpedos web da Oi e dos “tokens” geradores de senhas únicas usados por bancos.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Truque para identificar site falso

Para garantir que o site do banco que acessei não seja um falso site, uma saída não seria sempre tentar o primeiro acesso com uma senha incorreta? Se o site permitisse o acesso teríamos a prova de que não seria o site do banco verdadeiro.
Lucas

Infelizmente, Lucas, essa dica – que já foi publicada várias vezes nos comentários por leitores da coluna – não funciona sempre. Ela é válida, mas é preciso ter cuidado com a situação oposta: sites falsos que irão identificar que a senha está incorreta.

É bem verdade que muitos sites falsos, especialmente os mais simples, seriam identificados por esse truque. Como o site falso não tem acesso aos dados dos clientes do banco, ele não tem como saber que as informações digitadas são falsas e iria liberar o “acesso”.

Porém, confiar nisso não é uma boa ideia. É possível que o site falso seja um “proxy”, ou seja, fique de intermediário em uma conexão entre você e a página verdadeira do banco. Nesse caso, as informações (falsas) que você enviou serão repassadas ao banco, que retornará um erro. O erro de senha incorreta é então encaminhado pelo site falso a você.

Um ataque desse tipo foi realizado pela primeira vez na metade de 2006 com o intuito de burlar a autenticação do Citibank norte-americano. Como alguns bancos brasileiros, o Citibank faz uso de uma “chave de segurança” que gera uma senha diferente e única de tanto em tanto tempo. Os criminosos precisavam, então, usar os dados roubados imediatamente após a captura do mesmo no site. Usando esse site intermediário, isso foi possível.

Golpes operados dessa maneira são antigos e recebem o nome de “man in the middle” (MITM), ou “homem no meio”, porque o invasor fica entre a rede que ele quer acessar (o banco, no caso) e um usuário legítimo da rede (o cliente), permitindo que as informações sejam roubadas. Algumas vezes o ataque pode explorar a própria rede (em uma invasão ao provedor de acesso do banco ou do cliente), ou o próprio cliente (no caso de e-mails com links a sites falsos).

Não existe confirmação de que uma fraude com essa sofisticação já tenha sido realizada no Brasil. De qualquer forma, você pode digitar dados falsos no site e, se ele autenticar, concluir que é falso. Porém, se ele não autenticar, você não pode concluir que ele é verdadeiro. Entendido?

>>> Vírus em site de torpedos web

Um leitor foi infectado pela praga digital deixada por criminosos na página de torpedos web da Oi. Ele quer saber como desinfectar o computador:

Estava tentando descobrir de onde tinha vindo esse vírus infernal que não quer sair por nada do meu PC. E agora, alguém já descobriu como tirá-lo? Já passei uns quatro antivírus diferentes e três antispywares e antimalwares. Até agora nada.
Patrick

Sugiro que tente executar a ferramenta BankerFix, distribuída pela Linha Defensiva. Ela remove diversas pragas digitais brasileiras que roubam senhas, entre elas a que foi distribuída pela alteração no site da Oi.

>>> Token de senha única

Mesmo que alguém consiga instalar um código malicioso, ladrão de senhas, e eu tendo um token, como ele conseguirá movimentar a uma conta de banco?
Fabio Lima

Fabio, existem meios. Um deles foi explicado acima na resposta à pergunta do Lucas: um site falso que usa imediatamente as informações roubadas.

Em outros casos, dependendo do algoritmo usado para a geração da senha no token, pode ser possível “adivinhar” as senhas depois que o criminoso tiver algumas delas. É uma sequência, como “1, 2, 3”... tendo o criminoso alguns valores, ele pode conseguir adivinhar as demais. Isso nem sempre é simples e, no caso dos bancos, espera-se que não seja.

O token aumenta, sim, a segurança no acesso ao banco por meio da internet e aumenta consideravelmente o trabalho para os criminosos. No entanto, não é nenhum tipo de bala de prata.

Bradesco e o Itaú são exemplos de bancos que fazem uso de tokens de segurança.

>>> Pesquisa necessária

O comentário abaixo não é exatamente uma dúvida, mas vale para esclarecer um ponto importante sobre as configurações recomendadas pela coluna sobre Wi-Fi:
Essa coluna sempre diz para procurar saber, pesquisar e nunca entre em detalhes. Para leigos ela não serve...
Adriano

A coluna recomendou a pesquisa para descobrir como realizar as configurações no seu modem ou roteador Wi-Fi. Simplesmente não é possível que a coluna seja muito específica nesse sentido, porque cada equipamento é diferente. E os passos para configurá-los são diferentes. Se o texto entrar em detalhes para um equipamento específico, não servirá para quem tem dispositivos de outras marcas ou modelos.

Você pode facilmente descobrir como configurar o equipamento Wi-Fi da maneira que a coluna recomendou com uma pesquisa na web contendo a marca e o modelo do seu aparelho ou com uma simples consulta ao manual de instrução. O objetivo da coluna foi exatamente explicar o que você precisa fazer – o como é, geralmente, a parte mais fácil. Se você não sabe nem o que procurar, não vai descobrir como fazer.

Se você informar qual a marca e o modelo do seu roteador, Adriano, a coluna pode tentar achar as instruções para o seu equipamento.

O pacotão desta semana fica por aqui, mas a coluna volta na sexta-feira (12) com as principais notícias de segurança da informação da semana. Não se esqueça que logo abaixo há o formulário de comentários para você deixar sua dúvida ou sugestão de pauta. Até!

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 211 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal