Repórter News - reporternews.com.br
Fraude on-line dá prejuízo de R$ 100 mi
As fraudes on-line nos sistemas de atendimento bancário provocaram um prejuízo de pelo menos R$ 100 milhões a instituições financeiras e clientes em 2003.
O dado é uma estimativa do IPDI (Instituto de Peritos em Tecnologias Digitais e Telecomunicações). Os bancos se recusam a divulgar números com o temor de disseminar pânico entre clientes, afastando-os do uso de suas páginas na internet e de terminais de atendimento eletrônico.
Entre os afetados pela ação dos crackers (o hacker que invade sites ou sistemas on-line para roubar informações que vão de números de cartões de créditos a senhas bancárias) estão as maiores instituições e até o Banco Central.
Embora os especialistas sustentem que os sistemas dos bancos não sejam absolutamente imunes a ataques, a ação direta de um pirata sobre essas redes é tida como mais remota. Em grande parte porque os bancos direcionam soma considerável dos recursos de TI (tecnologia da informação) ao aperfeiçoamento de dispositivos de proteção de sua rede.
Assim, o caminho comum é praticar as fraudes invadindo os computadores dos clientes dos bancos, que, em sua maioria, não dispõem de dispositivos como "firewall" (programas que controlam a entrada e saída de dados do PC). Ou capturar informações dos clientes a partir do envio de páginas falsas das instituições.
Com esses dados, os crackers movimentam contas correntes e de poupança ou emitem cartões nos sites originais dos bancos. Os ataques mais recentes com páginas falsas envolvem o Banco do Brasil.
Mensagens falsas
Ricardo Theil, presidente do IPDI e diretor da Câmara Brasileira de Comércio Eletrônico, diz que a primeira grande ação contra instituições financeiras foi deflagrada em dezembro de 2002.
Naquele período, foi distribuída uma mensagem, atribuída à Microsoft, na qual se afirmava que a empresa detectara falha no sistema Explorer (de acesso à internet) e solicitava aos usuários que baixassem um aplicativo que solucionaria o problema. Ao clicarem, os usuários baixavam um cavalo-de-tróia, espécie de vírus, que chega disfarçado (por isso a menção ao artifício usado por Ulisses para vencer os troianos) e contamina os computadores. Esse vírus direcionava os usuários a páginas falsas dos bancos.
Como a modalidade de fraude não era muito sofisticada, o cliente acabava redirecionado ao sistema original de seu banco.
Num segundo momento, as ações passaram a incluir o envio de mensagens que iam de anúncios promocionais de lojas a acesso a páginas pornográficas. Ao clicar na página, o usuário, sem conhecimento, acabava instalando um sistema de leitura de teclados --os chamados "keyloggers". Esses sistemas registram tudo o que usuário digita, de e-mails a senhas e dados dos bancos. As versões mais sofisticadas filtram informações --são acionadas (e registram dados) apenas quando o usuário entra num site de banco.
"O usuário de computador pessoal não vê como prioritário investir em segurança, na compra de "firewalls", detectores de intrusos ou de antivírus contra monitoramento de teclado", diz Fernando Lopes, consultor de segurança da Kroll, empresa inglesa de investigação privada.
Apuração prejudicada
Arlindo Vaz, delegado titular da 4ª Delegacia de Meios Eletrônicos do Deic, em São Paulo, afirma que os crimes contra instituições financeiras respondem por considerável número em todo o país. Mas que a apuração e as estatísticas acabam prejudicadas pela conduta de bancos e clientes. Segundo ele, os bancos, por temerem ver sua imagem afetada, preferem não fornecer dados sobre fraudes. Dos 400 inquéritos acompanhados pela delegacia, não mais que cinco são fraudes on-line de serviços bancários.
"Normalmente, os bancos não querem se mostrar vulneráveis. Os gerentes orientam os clientes a registrar boletim de ocorrência e fazem o ressarcimento."
O delegado explica que crimes contra a honra e pedofilia lideram entre os casos apurados na delegacia. E que o fato de não haver uma centralização de queixas impede de mensurar a quantidade de ações contra usuários de bancos (ou ataques às instituições). Em novembro, a Polícia Federal prendeu 21 hackers, em quatro Estados brasileiros, acusados de desviar dinheiro de contas.
O Procon-SP, por meio de sua assessoria, informa que as queixas de usuários vítimas de fraudes on-line são consideradas no mesmo grupo das demais queixas contra os bancos. Por falta de funcionários, afirma a instituição, não há como separar os crimes on-line.
No Idec (Instituto de Defesa do Consumidor) há um processo em que um associado recebeu mensagem atribuída ao Banco do Brasil na qual se solicitou que o usuário repassasse seus dados para que a conta entrasse "no mais novo sistema antifraude de internet banking". Detalhe: o associado do Idec não era cliente do BB.
O banco estatal não foi o único. Segundo o delegado Vaz, mensagens de igual teor, que direcionavam a links falsos dos maiores bancos do país, foram enviadas a usuários de internet nos últimos meses. "Repassam 70 mil, 80 mil spams de uma vez. Evidentemente, uma parcela das pessoas que recebe é cliente de algum dos bancos e acaba sendo enganada."
O consultor James Wygand, presidente do Risk Solutions Group, afirma que uma das soluções seria a disseminação da criptografia digital. É como uma espécie de cartório: cria-se um código para o usuário que só o banco pode identificar, por possuir uma "chave" para traduzi-lo. "Embora não seja absolutamente seguro, esse sistema já é usado por advogados que precisam assinar contratos por e-mail, mas os bancos não investem nisso para não criar complicações para os clientes."
Os bancos
Procurada pela Folha, a Febraban não se pronunciou. Limitou-se a informar que mantém uma comissão, com representantes de todas as instituições e especialistas, encarregada de analisar e tomar medidas de segurança.
"Os registros que temos são isolados. Não é um elemento de preocupação", disse o presidente do Bradesco, Márcio Cypriano.
Procurados pela Folha, o Itaú e o Banco do Brasil, dois dos bancos alvos de fraudes com páginas clonadas, não se manifestaram.
O Unibanco implantou para os clientes pessoa jurídica um sistema de certificação digital, que impede o acesso às contas a partir de uma máquina que não seja certificada. "Mas com pessoa física não posso fazer isso. Esse usuário preza mobilidade, quer poder acessar a conta onde estiver", diz Marcelo Tognozollo, diretor do Unibanco.
Entre os afetados pela ação dos crackers (o hacker que invade sites ou sistemas on-line para roubar informações que vão de números de cartões de créditos a senhas bancárias) estão as maiores instituições e até o Banco Central.
Embora os especialistas sustentem que os sistemas dos bancos não sejam absolutamente imunes a ataques, a ação direta de um pirata sobre essas redes é tida como mais remota. Em grande parte porque os bancos direcionam soma considerável dos recursos de TI (tecnologia da informação) ao aperfeiçoamento de dispositivos de proteção de sua rede.
Assim, o caminho comum é praticar as fraudes invadindo os computadores dos clientes dos bancos, que, em sua maioria, não dispõem de dispositivos como "firewall" (programas que controlam a entrada e saída de dados do PC). Ou capturar informações dos clientes a partir do envio de páginas falsas das instituições.
Com esses dados, os crackers movimentam contas correntes e de poupança ou emitem cartões nos sites originais dos bancos. Os ataques mais recentes com páginas falsas envolvem o Banco do Brasil.
Mensagens falsas
Ricardo Theil, presidente do IPDI e diretor da Câmara Brasileira de Comércio Eletrônico, diz que a primeira grande ação contra instituições financeiras foi deflagrada em dezembro de 2002.
Naquele período, foi distribuída uma mensagem, atribuída à Microsoft, na qual se afirmava que a empresa detectara falha no sistema Explorer (de acesso à internet) e solicitava aos usuários que baixassem um aplicativo que solucionaria o problema. Ao clicarem, os usuários baixavam um cavalo-de-tróia, espécie de vírus, que chega disfarçado (por isso a menção ao artifício usado por Ulisses para vencer os troianos) e contamina os computadores. Esse vírus direcionava os usuários a páginas falsas dos bancos.
Como a modalidade de fraude não era muito sofisticada, o cliente acabava redirecionado ao sistema original de seu banco.
Num segundo momento, as ações passaram a incluir o envio de mensagens que iam de anúncios promocionais de lojas a acesso a páginas pornográficas. Ao clicar na página, o usuário, sem conhecimento, acabava instalando um sistema de leitura de teclados --os chamados "keyloggers". Esses sistemas registram tudo o que usuário digita, de e-mails a senhas e dados dos bancos. As versões mais sofisticadas filtram informações --são acionadas (e registram dados) apenas quando o usuário entra num site de banco.
"O usuário de computador pessoal não vê como prioritário investir em segurança, na compra de "firewalls", detectores de intrusos ou de antivírus contra monitoramento de teclado", diz Fernando Lopes, consultor de segurança da Kroll, empresa inglesa de investigação privada.
Apuração prejudicada
Arlindo Vaz, delegado titular da 4ª Delegacia de Meios Eletrônicos do Deic, em São Paulo, afirma que os crimes contra instituições financeiras respondem por considerável número em todo o país. Mas que a apuração e as estatísticas acabam prejudicadas pela conduta de bancos e clientes. Segundo ele, os bancos, por temerem ver sua imagem afetada, preferem não fornecer dados sobre fraudes. Dos 400 inquéritos acompanhados pela delegacia, não mais que cinco são fraudes on-line de serviços bancários.
"Normalmente, os bancos não querem se mostrar vulneráveis. Os gerentes orientam os clientes a registrar boletim de ocorrência e fazem o ressarcimento."
O delegado explica que crimes contra a honra e pedofilia lideram entre os casos apurados na delegacia. E que o fato de não haver uma centralização de queixas impede de mensurar a quantidade de ações contra usuários de bancos (ou ataques às instituições). Em novembro, a Polícia Federal prendeu 21 hackers, em quatro Estados brasileiros, acusados de desviar dinheiro de contas.
O Procon-SP, por meio de sua assessoria, informa que as queixas de usuários vítimas de fraudes on-line são consideradas no mesmo grupo das demais queixas contra os bancos. Por falta de funcionários, afirma a instituição, não há como separar os crimes on-line.
No Idec (Instituto de Defesa do Consumidor) há um processo em que um associado recebeu mensagem atribuída ao Banco do Brasil na qual se solicitou que o usuário repassasse seus dados para que a conta entrasse "no mais novo sistema antifraude de internet banking". Detalhe: o associado do Idec não era cliente do BB.
O banco estatal não foi o único. Segundo o delegado Vaz, mensagens de igual teor, que direcionavam a links falsos dos maiores bancos do país, foram enviadas a usuários de internet nos últimos meses. "Repassam 70 mil, 80 mil spams de uma vez. Evidentemente, uma parcela das pessoas que recebe é cliente de algum dos bancos e acaba sendo enganada."
O consultor James Wygand, presidente do Risk Solutions Group, afirma que uma das soluções seria a disseminação da criptografia digital. É como uma espécie de cartório: cria-se um código para o usuário que só o banco pode identificar, por possuir uma "chave" para traduzi-lo. "Embora não seja absolutamente seguro, esse sistema já é usado por advogados que precisam assinar contratos por e-mail, mas os bancos não investem nisso para não criar complicações para os clientes."
Os bancos
Procurada pela Folha, a Febraban não se pronunciou. Limitou-se a informar que mantém uma comissão, com representantes de todas as instituições e especialistas, encarregada de analisar e tomar medidas de segurança.
"Os registros que temos são isolados. Não é um elemento de preocupação", disse o presidente do Bradesco, Márcio Cypriano.
Procurados pela Folha, o Itaú e o Banco do Brasil, dois dos bancos alvos de fraudes com páginas clonadas, não se manifestaram.
O Unibanco implantou para os clientes pessoa jurídica um sistema de certificação digital, que impede o acesso às contas a partir de uma máquina que não seja certificada. "Mas com pessoa física não posso fazer isso. Esse usuário preza mobilidade, quer poder acessar a conta onde estiver", diz Marcelo Tognozollo, diretor do Unibanco.
Fonte:
Folha de São Paulo
URL Fonte: https://reporternews.com.br/noticia/387116/visualizar/
Comentários