Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


FALSIDADE DOCUMENTAL NOS PROCESSOS ELETRÔNICOS

Veja aqui a programação deste inédito treinamento programado para o dia 20/12 em São Paulo

Acompanhe nosso Twitter

28/12/2012 - TEK Escrever Comentário Enviar Notícia por e-mail Feed RSS

Fraudes de banking em Portugal

Por: David Sopas


Cada vez existem mais vítimas de fraudes de banking em Portugal. Claro que esta situação coincide com o número crescente de utilizadores de Internet no nosso País e o aumento destes ataques.

A informação para desenvolver este tipo de esquemas também está ao alcance de qualquer um (em fóruns, chats, blogs). Inclusive existem pacotes já com as páginas devidamente alteradas para se assemelharem aos bancos (portugueses) e com malware FUD (Fully Undetected) já incluído. Tudo ao alcance de um simples clique.

Os ataques mais conhecidos são via email. Tentam enganar o utilizador, com algumas técnicas de "engenharia social"**, levando-o a fornecer dados bancários para posterior utilização por parte dos utilizadores maliciosos.

Recentemente, e segundo o relatório da empresa de segurança Check Point, uma fraude intitulada de Eurograbber conseguiu roubar cerca de 36 milhões de euros de empresas e clientes particulares na Europa. Os responsáveis por este ataque propagavam o malware infetando PCs e dispositivos móveis. O Eurograbber utilizava malware direcionado a estes dispositivos e conectava-os a um servidor de comando e controlo (C&C). A utilização do kit do trojan Zeus auxiliava a monitorização das teclas pressionadas pela vítima.

Após infectar o PC da vítima, o Eurograbber infectava o dispositivo móvel (Android e Blackberry) para que desta forma pudesse intercetar as SMS recebidas para ultrapassar o processo de autenticação de dois fatores. Depois de obter o número de autenticação de transação, os criminosos executavam transferências de fundos para contas mulas dispersas pela Europa.

Este é um caso que demonstra que ataques a entidades bancárias tornaram-se mais sofisticados e criativos, no entanto continuam a focar-se no elo mais fraco - os utilizadores. Este tipo de esquemas terá sempre uma taxa de sucesso apelativa para os criminosos. Parte desse sucesso é causado pela falta de formação das vítimas.

As entidades bancárias também deverão ter o papel ativo de informar e formar constantemente os seus clientes sobre a segurança das suas contas e os atuais esquemas fraudulentos que circulam. Desta forma, muitos clientes que tenham recebido algum email de phishing podem rapidamente identificar se é uma fraude, e alertar a entidade bancária para uma rápida resolução.

Claro que os bancos também deverão controlar possíveis falhas web nos seus sistemas. Por exemplo, falhas XSS (Cross-Site Scripting) em sites bancários podem levar à criação de formulários dentro da página do banco. Claro que o envio dos dados será para um site malicioso, preparado para receber a informação submetida. É uma prioridade a correção deste tipo de falhas, tal como outras, que sendo corrigidas aumentam a confiança por parte da vítima e tornam mais dificil a interceção de informação.

A utilização de falhas privadas (não divulgadas aos vendors) ou a utilização de falhas que ainda não estão devidamente corrigidas podem fornecer aos scammers a possibilidade de obtenção de informação confidencial. Posteriormente essa informação pode ser utilizada para roubo de identidade e ganhos monetários.

Nenhuma entidade bancária requer dados via email nem qualquer confirmação de conta, muito menos envia ficheiros para download para os clientes. Toda a comunicação cliente -> entidade bancária é feita por ligação segura, por isso verifique sempre se os links do suposto email do seu banco começam por https://dominio_do_seu_banco.pt e clique no respetivo certificado de segurança.

Se foi vítima de phishing ou se suspeita de algum ataque desta natureza, reporte a situação às entidades competentes. O seu alerta pode ajudar outros utilizadores. Tal como outros métodos de ataque, os utilizadores maliciosos continuam a aperfeiçoar técnicas para ultrapassar todas as barreiras de segurança. Convém estar sempre atento e jogar pelo seguro.

Aspetos que o utilizador deve ter em conta nos ataques bancários:

  • Dar preferência às aplicações de mobile banking oficiais disponibilizados gratuitamente pelo banco;
  • Nunca efetuar operações via mobile banking ligado a uma rede wireless pública;
  • Nunca clique em links enviados por supostos e-mails do seu banco, em caso de dúvida, é preferível inserir o endereço oficial no seu browser;
  • Não usar o Google para procurar a página do banco, pois os criminosos utilizam links patrocinados ou técnicas de blackhat SEO para aparecerem no topo da página;
  • Mantenha o seu software atualizado. Um browser adequado ou software antivírus possuem recursos como a navegação segura, capaz de bloquear o acesso a sites de phishing.

** Engenharia social - De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças, quando são pequenas, na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado. Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas ações sem o seu consentimento.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 202 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal