CIÊNCI A AA.1 VIST A ELETR ÔNIC A D A ULBR A S ÃO ÃO JER ÔNIMO – V AS, A. VOL. 01, 2007, SISTEM AS A E CONHECIMENTO – R E VI
1
Fraudes na Internet
Hunder Everto Correa Junior Professor do Curso de Sistemas de Informação da ULBRA São Jerônimo. Mestre em Ensino de Ciências e Matemática (ULBRA). Especializando em Segurança Computacional (ULBRA)
[email protected] br
Abstract
The frauds in the Internet are characterized by provoking damages of the most varied types to the users of the Internet and also to a significant portion of companies. This article aims to present which they are and as the frauds for the Internet have caused damages to all the segments of the society, and of that it forms we can prevent its propagation. Key words: frauds in the Internet, virtual crimes, security of informations. Resumo
As fraudes na Internet são caracterizadas por provocar prejuízos dos mais variados tipos aos usuários da Internet e também a uma significativa parcela de empresas. Esse artigo tem como objetivo demonstrar quais são e de que forma estas fraudes são aplicadas em nossa sociedade, e de que forma podemos evitar sua propagação. Palavras-chave: fraudes na Internet, crimes virtuais, segurança de informações.
Introdução
A disseminação da Internet em todas as áreas de atuação, apesar dos inúmeros benefícios, trouxe também a tona uma série de novas palavras que estão se incorporando aos assuntos do dia a dia, até mesmos entre as camadas mais populares de usuários de serviços pela WEB. Expressões como Vírus, Spywares, Trojans, e outros aos poucos deixam as rodas de entusiastas pela Informática e ganham as manchetes de jornais e TVs. As chamadas fraudes na Internet tem causado inúmeros prejuízos a todos os segmentos da sociedade, de acordo com o Jornal a Tarde (2006) só em 2005 os bancos www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
2
somaram um prejuízo de R$ 300 milhões em fraudes virtuais, valor 20% superior ao registrado em 2004. Infelizmente, a lista de pessoas lesadas por golpes na Internet também aumenta, pois, segundo informação do mesmo jornal, de cada três golpes aplicados a usuários, um é bem sucedido, resultando em um número crescente de vítimas e prejuízos. Este artigo tem como objetivo demonstrar os principais tipos de fraudes realizados atualmente na Internet e disponibilizar informações e métodos que possam ser utilizados na tentativa de evitar maiores prejuízos com estes golpes.
1. Atacantes
Iniciarei este artigo descrevendo quem são e qual o perfil daqueles que tentam invadir computadores e comprometer a segurança das pessoas e empresas, pois para que seja possível proteger os sistemas computacionais é necessário conhecer seus adversários. Segundo CARVALHO (2005), dá-se o nome de atacante à pessoa que realiza um ataque ou tentativa a um sistema computacional, obtendo sucesso ou não. Comumente chamados de Hackers pela grande imprensa, existem na verdade uma série de termos mais específicos para designar esta categoria de usuários de computador. Os nomes mais comuns de acordo com CARVALHO (2005), são: Script Kiddies : é uma categoria que reúne usuários iniciantes que se utilizam de ferramentas disponíveis na Internet para realizar seus ataques, não visam um alvo específico e são a grande maioria hoje em dia na Internet. •
Crackers : possuem conhecimentos avançados em informática e são capazes de planejar um golpe contra alguém específico, normalmente são os responsáveis por roubos e invasões ocorridas em grandes empresas •
Carders: se utilizam de números de cartões de crédito roubados ou gerados para fazer compras na Internet. •
Cyberpunks : possuem alto grau de conhecimento e a preocupação excessiva com privacidade, normalmente fazem invasões por divertimento e desafio e após publicam na Internet as vulnerabilidades descobertas. •
Insiders: utilizando-se de métodos como engenharia social e suborno, tem como objetivos roubar informações confidenciais ou comprometer sistemas de empresas, normalmente são ex-funcionários e/ou espiões industriais. •
Coders : são ex-Hackers que compartilham seus conhecimentos através da publicação de livros e artigos em revistas e jornais, hoje ganham mais dinheiro dando palestras sobre segurança, como exemplo temos Kevin Mitnick, ex-hacker que atualmente ministra palestras sobre o assunto. •
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
3
White hats : utilizam seus conhecimentos para efetuarem invasões e encontrar vulnerabilidades em aplicações ou sites, corrigi-los e após divulgá-los na comunidade Web ou para empresas contratantes de seus serviços. •
Black hats: utilizam seus conhecimentos para invadir os sistemas de organizações para roubar informações, de forma a obter retorno financeiro vendendo-as ou chantageando a organização invadida. •
Preackers : são os hackers da telefonia, responsável por fraudes telefônicas, tanto fixa quanto móvel. •
A grande maioria destes Hackers são adolescentes com acesso a computadores e muito tempo disponível para ficar imaginando meios de realizar ataques, normalmente sem intenção de roubo ou prejuízo. O grande problema é que, como ocorre na vida real, já existem quadrilhas de criminosos que contratam ou se aliam a Hackers para planejar e executar golpes e fraudes pela Internet com o propósito de ganhar dinheiro com isto, na próxima seção deste artigo, contemplaremos os tipos mais conhecidos de golpes.
2. Tipos de Fraudes
A lista de golpes utilizados atualmente para fraudar a sociedade é imensa, mas os métodos são mais ou menos semelhantes. Para atacar e fraudar diretamente uma Instituição Bancária ou grande empresa é necessário muito conhecimento e pode se tornar uma tarefa muito difícil para os Hackers. Por isto, o alvo dos golpes é sempre o lado mais fraco, no caso, os usuários da Internet. Segundo o CERT (2005), os meios de obtenção de vantagens incluem o uso de e-mail falsos, distribuição de códigos maliciosos que induzem o usuário a instalar programas que dão acesso aos Hackers a seus dados, utilização de engenharia social, sites e e-mails falsos e outros. Portanto, nesta seção vamos elencar os principais métodos de fraudes aplicados contra pessoas físicas e jurídicas.
2.1 Engenharia Social
A engenharia social é um método de ataque onde a técnica utilizada é a persuasão. através de e-mail e/ou ligações telefônicas o usuário é induzido a fornecer informações importantes, ou realizar determinadas transações (CERT, 2005). Neste tipo de ataque, por exemplo, de posse de informações básicas da vítima é fácil se passar por um funcionário de um provedor e solicitar dados confidenciais, como senha do provedor.
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
4
2.2 Scan
Segundo o CERT (2006), o Scan ou Golpe é qualquer ação que, normalmente tem como finalidade obter vantagem financeira em cima de uma vítima. Existem vários destes golpes atualmente sendo praticados através da internet e existem ainda os que irão surgir. A forma de utilização deste tipo de fraude se dá basicamente através de dois métodos, sendo que o primeiro normalmente é caracterizado pela disponibilização de página na Internet e o outro através do envio de e-mails. Como exemplo deste tipo de esquema, temos o famoso “Golpe da Nigéria”. Neste golpe o usuário recebe um e-mail em nome de uma instituição governamental da Nigéria, onde é solicitado que esta pessoa atue como intermediária em uma transferência internacional de fundos. Obviamente, o valor mencionado normalmente corresponde a dezenas ou centenas de milhões de dólares. Como reconpensa a vitima terá direito de ficar com uma porcentagem do valor da transação, porém é solicitado que o usuário pague antecipadamente uma certa quantia, normalmente alta, para arcar com taxas de transferência de fundos.
2.3 Phishing
O Phishing, também conhecido como pishing scam, é um tipo de golpe que utiliza como método mais comum o envio de um falso e-mail (geralmente de uma instituição conhecida) solicitando que o usuário preencha alguns dados em um formulário ou que instale códigos malicíosos atraés de falsos links (CERT, 2006). O objetivo deste tipo de fraude é obter acesso a dados dos usuários ou instalar programas espiões que, escondidos do usuário, roubam informações como senhas, contas de bancos, números do cartão de crédito e outros. A tática da fraude pode variar um pouco, mas o resultado quase sempre é o de prejuízo para a vítima. Um dos exemplos mais comuns é o envio de e-mails, como cartões virtuais ( exemplo na figura 1), onde a vítima recebe um cartão virtual de um desconhecido, na mensagem é solicitado que o usuário clique em um link para poder olhar o cartão, geralmente estes links são falsos, levando o usuário a instalar códigos espiões com o objetivo de roubar senhas ou número de cartões de crédito.
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
5
Figura 1 – Exemplo de falso e-mail de cartão virtual
Outra variante deste tipo de golpe que se tornou uma praga ultimamente é o envio de avisos de instituições como Serasa, Companhias Telefônicas, Tvs a Cabo, Instituições Bancárias, Tribunal Eleitoral, e outras (exemplo na figura 2), enviando um aviso de débito ou informando que seu titulo eleitral foi cancelado, e que em ambos os casos, apresenta um link solicitando que o usuário clique nele para verificar os seus dados. Se a vítima cair neste golpe, fatalmente terá seus dados roubados ou seu computador será infectado com programas espiões.
2.4 Páginas Falsificadas
O golpe com o uso de páginas falsificadas é um dos maiores responsáveis pelos prejuízos causados as instituições bancárias. Este tipo de golpe normalmente inicia com um falso e-mail de uma instituição bancária, onde existe um link apontando para um endereço falso como sendo um atalho para a vítima acessar seu home banking. Uma vez que a pessoa clique no link, estará acessando uma página falsa da instituição, muito semelhante ao site original. Nesta página falsa serão solicitados dados como agência, conta e senha do seu banco, e após o prenchimento dos dados será pedido a confirmação do envio das informações, o problema é que sendo a página falsa, os dados digitados
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
6
serão armazenados no computador dos Crackers1, a partir daí os fraudadores poderão realizar qualquer operação com os seus dados, como transferências eletrônicas e saques em dinheiro. Normalmente, a vítima só descobre o golpe quando se dá conta de operações não realizadas por ela em seu extrato bancário.
Figura 2 – Exemplo de Falso e-mail de aviso de débito
2.5 Boatos
Este tipo de Golpe é um dos mais comuns na Internet, normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança (TERRA, 2006), mas podem causar preocupação se o boato induzir o usuário a entrar em determinado site para atualizar seus dados, ou instalar um determinado programa para eliminar um suposto vírus, obviamente todas estas informações são falsas e querem apenas confundir o usuário. Portanto, a melhor forma de se proteger de boatos é utilizar o bom senso e procurar certificar-se da veracidade das informações, também é possível acessar o site http://hoaxbusters.ciac.org/ , que mantém, em inglês, uma lista dos boatos mais freqüentes.
1
Crackers são pessoas com bom conhecimento em informática e domínio de ferramentas de invasão de computadores, que se utilizam de sua experiência para praticar atos de roubos de informações e golpes financeiros.
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
7
3. Como se proteger ?
Infelizmente, nenhuma ação é completamente eficaz quando se trata de segurança computacional. Contudo, nesta seção tentarei abordar algumas dicas simples que poderão ajudar o usuário no combate as fraudes na Internet. A principal forma de se proteger é primeiramente usar o bom senso, não acreditar em e-mails com promessas de dinheiro fácil ou promoção, não aceitar e instalar arquivos cujo conteúdo é desconhecido e, principalmente, jamais clicar em algum link enviado por e-mail, mesmo que aparentemente seja do banco aonde você possui conta. A seguir, apontarei outras dicas de proteção contra fraudes virtuais, segundo o site MONITOR (2006). Primeiro é necessário instalar um bom programa antivírus e manter o mesmo atualizado diariamente, preferencialmente através do sistema de atualização automática. O programa deve ser configurado para filtrar em tempo real todos os programas que forem executados ou que entrarem no computador de qualquer maneira e, de preferência, para executar uma verificação completa a cada dia ou pelo menos uma vez por semana. Existem vários antivírus disponíveis, alguns gratuitamente. Configure o Navegador (Internet Explorer, FireFox, Netscape, etc.) para que peça sempre autorização e confirmação antes de baixar ou executar qualquer coisa na internet. Desta forma qualquer programa, para ser executado ou instalado no seu computador, quando o usuário navega na Internet, terá que ser autorizado. Instale um bom programa antispyware. Configure-o para que a atualização ocorra diariamente e para filtrar todos os programas executados ou que entrem no computador de qualquer maneira. Também é necessário a instalação de um Firewall2 Pessoal, que poderá bloquear as tentativas de invasão do seu computador e possibilitar a identificação das origens destas tentativas. Alguns fabricantes oferecem versões gratuitas destes programas para uso pessoal, mas assim como o antivírus, é preciso que o firewall esteja atualizado e configurado para barrar os atacantes. Por último, jamais acesse sua conta de banco ou faça operações com o cartão de crédito em computadores de terceiros, como Cibercafés ou feiras e eventos, pois como estes computadores são utilizados por muitas pessoas, é possível que haja algum programa malicioso monitorando o uso e capturando os dados dos usuários.
4. Reportando Incidentes de segurança
Sempre que alguém for vítima de algum tipo de ataque é importante que o fato seja notificado. Este tipo de situação é chamado de incidente de segurança e deve ser reportado ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo Comitê Gestor da Internet no Brasil (CGI.br), que é o órgão brasileiro responsável pela base de dados de incidentes de segurança e pelo 2
Firewalls são dispositivos utilizados para controlar ao acesso ao computador, evitando que Hackers possam invadir um computador protegido.
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
8
tratamento dado a estes casos. O CERT disponibiliza o seu e-mail
[email protected] para notificações de incidentes e também notifica a origem do ataque, para que sejam evitados futuros novos incidentes. Na figura abaixo, podemos observar um gráfico obtido no site do CERT, com as últimas estatísticas de relatos de incidentes no Brasil.
Figura 3 – Estatísticas de Incidentes no Brasil (Cert, 2006)
Considerações Finais
Conforme foi visto ao longo deste trabalho, o simples uso de recursos computacionais conectados a Internet, faz de qualquer usuário, um possível alvo de Hackers. Garantir a segurança em cem por cento dos casos é impossível, mas é possível minimizar as possibilidades de se tornar vítima destes golpes. Para isso, é preciso que a sociedade tome conhecimento dos riscos que envolvem o acesso a Internet, e este é o objetivo principal deste artigo. Procuramos também ao longo deste trabalho, identificar e trazer para o usuário informações básicas sobre as principais fraudes executadas atualmente na Internet, visando uma disseminação dos problemas enfrentados hoje em dia pelo seu mau uso. Contudo, a implementação de medidas realmente eficazes de segurança deverá, além de contemplar as dicas relatadas neste artigo, passar pela consulta de um especialista em segurança computacional e somente um profissional com conhecimento e experiência na área poderá agir proativamente na identificação e prevenção de problemas relacionados a fraudes de computadores.
www.cienciaeconhecimento.com
CIÊNCI A A S ÃO VOL. 01, 2007, SISTEM AS A.1 A E CONHECIMENTO – R E VI VIST A ELETR ÔNIC A D A ULBR ÃO JER ÔNIMO – V AS, A.
9
Referências Bibliográficas:
CARVALHO, Luciano Gonçalves. Segurança de redes . Rio de Janeiro: Editora Ciência Moderna Ltda, 2005. TARDE, A. Jornal, Fraudes Virtuais levam 300 milhões dos bancos em 2005 , junho de 2006. TERRA. Quais são os problemas de segurança relacionados a boatos? . Disponível:< http://www.terra.com.br/informatica/especial/cartilha/fraudes_3_1.htm> Consultado em 16 jun. 2006. MONITOR, Das Fraudes. Cartilha de segurança digital , Disponível em
Consultado em 20 jun 2006.
www.cienciaeconhecimento.com