1. Engenharia Social

Nos ataques de engenharia social normalmente o atacante frauda a sua identidade, se fazendo passar por outra pessoa, e utiliza meios como uma ligação telefônica ou e-mail, para persuadir o usuário a fornecer informações ou realizar determinadas ações, como executar um programa, acessar a página de Internet Banking através de um link em um e-mail ou em uma página, etc.

1.1. Como se protejo deste tipo de abordagem?

Em casos de engenharia social o bom senso é essencial. Fique atento para qualquer abordagem, seja via telefone, seja através de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituição) solicita informações (principalmente confidenciais) a seu respeito. Procure não fornecer muita informação e não forneça, sob hipótese alguma, informações sensíveis, como senhas ou números de cartões de crédito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou página Web, é extremamente importante que você, antes de realizar qualquer ação, procure identificar e entrar em contato com a instituição envolvida, para certificar-se sobre o caso.

2. Fraudes em Comércio Eletrônico e Internet Banking

Normalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial. Então, atacantes têm concentrado seus esforços na exploração de fragilidades dos usuários, para realizar fraudes comerciais e bancárias através da Internet. Portanto, é muito importante que usuários de Internet tenham certos cuidados ao acessar sites de comércio eletrônico ou Internet Banking.

2.1. Que situações podem ser citadas sobre fraudes envolvendo comércio eletrônico ou Internet Banking?

Existem diversas situações que vêm sendo utilizadas por atacantes em fraudes envolvendo o comércio eletrônico e Internet Banking. A maior parte das situações apresentadas abaixo:

• o usuário recebe um e-mail ou ligação telefônica, de um suposto funcionário da instituição que mantém o site de comércio eletrônico ou de um banco. Neste e-mail ou ligação telefônica o usuário é persuadido a fornecer informações sensíveis, como senhas de acesso ou número de cartões de crédito;
• o usuário recebe um e-mail, cujo remetente pode ser um suposto funcionário, gerente, ou até mesmo uma pessoa conhecida, sendo que este e-mail contém um programa anexado. A mensagem, então, solicita que o usuário execute o programa para, por exemplo, obter acesso mais rápido a um site de comércio eletrônico ou ter acesso a informações mais detalhadas em sua conta bancária;
• um programa pode capturar e armazenar todas as teclas digitadas pelo usuário, em particular, aquelas digitadas logo após a entrada em um site de comércio eletrônico ou de Internet Banking. Deste modo, o programa pode armazenar e enviar informações sensíveis (como senhas de acesso ao banco ou números de cartões de crédito) para um atacante;
• alguns sites de Internet Banking têm fornecido um teclado virtual, para evitar que seus usuários utilizem o teclado convencional e, assim, aumentar o nível de segurança na realização de transações bancárias via Web. O fato é que um programa pode armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse foi clicado. Estas informações permitem que um atacante, por exemplo, saiba qual foi a senha de acesso ao banco utilizada pelo usuário;
• um programa pode controlar a Webcam do usuário, direcionando-a para o teclado, no momento em que o usuário estiver acessando um site de comércio eletrônico ou de Internet Banking. Deste modo, as imagens coletadas (incluindo aquelas que contém a digitação de senhas ou número de cartões de crédito) podem ser enviadas para um atacante;
• um atacante compromete o servidor de nomes do provedor do usuário, de modo que todos os acessos a um site de comércio eletrônico ou Internet Banking são redirecionados para uma página Web falsificada, semelhante ao site verdadeiro. Neste caso, um atacante pode monitorar todas as ações do usuário, incluindo, por exemplo, a digitação de sua senha bancária ou do número de seu cartão de crédito. É importante ressaltar que nesta situação normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro) e o endereço mostrado no browser do usuário poderá ser diferente do endereço correspondente ao site verdadeiro;
• o usuário pode ser persuadido a acessar um site de comércio eletrônico ou de Internet Banking, através de um link recebido por e-mail ou em uma página de terceiros. Este link pode direcionar o usuário para uma página Web falsificada, semelhante ao site que o usuário realmente deseja acessar. A partir daí, um atacante pode monitorar todas as ações do usuário, incluindo, por exemplo, a digitação de sua senha bancária ou do número de seu cartão de crédito. Também é importante ressaltar que nesta situação normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro) e o endereço mostrado no browser do usuário será diferente do endereço correspondente ao site verdadeiro;
• o usuário, ao utilizar computadores de terceiros para acessar sites de comércio eletrônico ou de Internet Banking, pode ter todas as suas ações monitoradas (incluindo a digitação de senhas ou número de cartões de crédito), através de programas especificamente projetados para este fim. Apesar de existirem todas estas situações de risco, também existem alguns cuidados, relativamente simples, que podem e devem ser seguidos pelos usuários ao acessarem sites de comércio eletrônico e Internet Banking, de modo a evitar que fraudadores utilizem seus dados (principalmente dados sensíveis).

2.2. Quais são os cuidados ao acessar sites de comércio eletrônico ou Internet Banking?

• estar atento e prevenir-se dos ataques de engenharia social;
• realizar transações somente em sites de instituições que você considere confiáveis;
• certificar-se de que o endereço apresentado em seu browser corresponde ao site que você realmente quer acessar, antes de realizar qualquer ação;
• antes de aceitar um novo certificado, verificar junto à instituição que mantém o site sobre sua emissão e quais são os dados nele contidos;
• procurar sempre digitar em seu browser o endereço desejado. Não utilize links em páginas de terceiros ou recebidos por e-mail;
• certificar-se que o site faz uso de conexão segura, ou seja, que os dados transmitidos entre seu browser e o site serão criptografados e utiliza um tamanho de chave considerado seguro;
• verificar o certificado do site, para assegurar-se que ele foi emitido para a instituição que se deseja acessar e está dentro do prazo de validade;
• não acessar sites de comércio eletrônico ou Internet Banking através de computadores de terceiros;
• desligar sua Webcam (caso você possua alguma), ao acessar um site de comércio eletrônico ou Internet Banking;
• manter o seu browser sempre atualizado e com todas as correções (patches) aplicadas;
• alterar a configuração do seu browser para restringir a execução de Javascript e de programas Java ou ActiveX, exceto para casos específicos;
• configurar seu programa de e-mail para não abrir arquivos ou executar programas automaticamente;
• não executar programas obtidos pela Internet, ou recebidos por e-mail.

2.3. Como verificar se a conexão é criptografada?

Existem dois itens que podem ser visualizados na janela do seu browser, e que significam que as informações transmitidas entre o browser e o site visitado estão sendo criptografadas. O primeiro pode ser visualizado no local onde o endereço do site é digitado. O endereço deve começar com https:// (diferente do http:// nas conexões normais), onde o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e, portanto, os dados serão criptografados antes de serem enviados.

A figura 1 apresenta o primeiro item, indicando uma com conexão segura, observado nos browsers Netscape e Internet Explorer, respectivamente.

Figura 1: https - identificando site com conexão segura.

O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conexão é segura. Normalmente, o desenho mais adotado nos browsers recentes é de um "cadeado fechado" (se o cadeado estiver aberto, a conexão não é segura).

A figura 2 apresenta desenhos dos cadeados fechados, indicando conexões seguras, observados nos browsers Netscape e Internet Explorer, respectivamente.

Figura 2: Cadeado - identificando site com conexão segura.

Ao clicar sobre o cadeado, será exibida uma tela que permite verificar as informações referentes ao certificado emitido para a instituição que mantém o site, bem como informações sobre o tamanho da chave utilizada para criptografar os dados. É muito importante que você verifique se a chave utilizada para criptografar as informações a serem transmitidas entre seu browser e o site é de no mínimo 128 bits. Chaves menores podem comprometer a segurança dos dados a serem transmitidos.

2.4. Como saber se o site que estou acessando não foi falsificado?

• checar se o endereço digitado permanece inalterado no momento em que o conteúdo do site é apresentado no browser do usuário. Existem algumas situações, onde o acesso a um site pode ser redirecionado para uma página falsificada, mas normalmente nestes casos o endereço apresentado pelo browser é diferente daquele que o usuário quer realmente acessar;
• é importante verificar as informações contidas no certificado emitido para a instituição que mantém o site. Estas informações podem dizer se o certificado é ou não legítimo e, conseqüentemente, se o site é ou não falsificado.

2.5. Como saber se o certificado emitido para o site é legítimo?

É extremamente importante que o usuário verifique algumas informações contidas no certificado. Um exemplo de um certificado, emitido para um site de uma instituição é mostrado abaixo.

This Certificate belongs to:  www.example.org

This Certificate was issued by: www.examplesign.com/CPS Incorp.by Ref.

Terms of use at LIABILITY LTD.(c)97 ExampleSign

www.examplesign.com/dir (c)00 ExampleSign International Server CA - UF

Class 3

Example Associados, Inc. ExampleSign, Inc.

Cidade, Estado, BR

Serial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A

This Certificate is valid from Thu Sep 05, 2002 to Sat Sep 06, 2003

Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0

O usuário deve verificar as seguintes informações:

• o endereço do site;
• o nome da instituição (dona do certificado);
• o prazo de validade do certificado.

Ao entrar em um site seguro pela primeira vez, seu browser irá apresentar uma janela pedindo para confirmar o recebimento de um novo certificado. Então, verifique se os dados do certificado correspondem à instituição que você realmente deseja acessar e se seu browser reconheceu a autoridade certificadora que emitiu o certificado. Se ao entrar em um site seguro, que você utilize com freqüência, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma situação possível seria que a validade do certificado do site tenha vencido, ou o certificado tenha sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto também pode significar que você está recebendo um certificado ilegítimo e, portanto, estará acessando um site falsificado. Para reconhecer esta situação é que além das informações contidas no certificado normalmente não corresponderem à instituição que você realmente deseja acessar, seu browser possivelmente irá informar que a Autoridade Certificadora que emitiu o certificado para o site não pôde ser reconhecida. Caso você receba um novo certificado ao acessar um site e tenha alguma dúvida ou desconfiança, não envie qualquer informação para o site antes de entrar em contato com a instituição que o mantém, para esclarecer o ocorrido.

3. Boatos

Boatos (Hoaxes) são e-mails que possuem conteúdos alarmantes ou falsos, e que geralmente têm como remetente ou apontam com autor da mensagem alguma instituição, empresa importante ou órgão governamental. Através de uma leitura minuciosa deste tipo de e-mail, normalmente é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido, como:

• correntes ou pirâmides;
• pessoas ou crianças que estão prestes a morrer de câncer;
• a República Federativa de algum país oferecendo elevadas quantias em dinheiro e pedindo a confirmação do usuário ou, até mesmo, solicitando algum dinheiro para efetuar a transferência.

3.1. Quais são os problemas de segurança relacionados aos boatos?

Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança, a não ser ocupar espaço nas caixa de e-mails de usuários. Mas podem existir casos com conseqüências mais sérias como, por exemplo, um boato que procura induzir usuários de Internet a fornecer informações importantes (como números de documentos, de contas-corrente em banco ou de cartões de crédito), ou um boato que indica uma série de ações a serem realizadas pelos usuários e que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante do sistema operacional instalado no computador). Além disso, e-mails de boatos podem conter vírus ou cavalos de tróia anexados. É importante ressaltar que um boato também pode comprometer a credibilidade e a reputação tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.

3.2. Como evitar a distribuição dos boatos?

• os boatos se propagam pela boa vontade e solidariedade de quem os recebe;
• porque aqueles que o recebem confiam no remetente da mensagem;
• não verificam a procedência da mensagem;
• não checam a veracidade do conteúdo da mensagem.

Para que você possa evitar a distribuição de boatos é muito importante checar a procedência dos e-mails, e mesmo que tenham como remetente alguém conhecido, é preciso certificar-se que a mensagem não é um boato. É importante ressaltar que você nunca deve repassar este tipo de mensagem, pois estará endossando ou concordando com o seu conteúdo.

3.3. Como saber se um e-mail é um boato?

Existem sites, como o http://HoaxBusters.ciac.org/, onde é possível encontrar listas contendo os boatos que estão circulando pela Internet e seus respectivos conteúdos. Além disso, os cadernos de informática dos jornais de grande circulação, normalmente, trazem matérias ou avisos sobre os boatos mais recentes.