Cuidado - Crackers Querem Seu Dinheiro
Caveat Emptor II - Pesca Predatória
Por Renato Fridschtein
Nota: A expressão Caveat Emptor significa 'o cliente que se cuide' e é o tema desta série de artigos.
Parece que toda semana você acompanha manchetes de que mais uma gangue de hackers é desbaratada, depois de desviar milhões de contas bancárias.
Mas o que é que está acontecendo?
Como funciona este golpe, afinal?
Será que as próprias vítimas colaboram com os meliantes?
Como se proteger?
Estas são algumas das questões respondidas nesta matéria.
Pesca Predatória
O golpe – com algumas variações – funciona assim:
A pessoa recebe um email do banco, dizendo que precisa de algumas informações e pedindo para clicar num link para entrar com estes dados. A pessoa clica, abre a página do banco e se põe a digitar, insuspeita, seus dados pessoas, número da conta, senha, etc. e conclui o processo. Dias depois, ao verificar seu extrato bancário, nota que a conta está vazia...
Este ardil foi batizado de phishing , uma corruptela da palavra inglesa fishing (pescaria). Uma lenda diz que é porque o meliante ‘pesca' os dados das vitimas, enquanto outra diz que é porque os primeiros golpes eram tão mal feitos, com tantos erros gramaticais, que o nome do engodo acabou contaminado.
Seja como for, é o golpe que mais cresceu este ano de 2005, especialmente no Brasil.
Os bastidores do crime
Pelo que pude apurar, a coisa é assim: o hacker...Deixe-me abrir um parêntese. Hacker é uma gíria que significa uma pessoa que manja muito de computador. Não precisa ser mal intencionado, apenas ter profundo conhecimento técnico. É aquele cara que chega, olha o computador, clica aqui, clica ali e em dois minutos, resolve o problema que você estava tentando consertar a manhã todinha.
Os hackers do mal são chamados crackers (quebradores) porque eles ‘quebram' a segurança e invadem sistemas de empresas e entidades governamentais. Nem todo hacker é cracker, mas esta pecha acabou pegando em todos.
De qualquer forma, não é preciso ter grandes conhecimentos técnicos para aplicar este golpe. Nem hacker precisa ser, então vamos chamá-los pelo que são, estelionatários, 171.
...Muito bem. O estelionatário cria uma página com a cara da página do banco e prepara tudo para parecer exatamente com o processo real e não revelar suspeitas.
Então, munido de um CD com milhões de emails – desses que se compra pela Internet – , envia as mensagens. Mesmo que uma pequena parcela caia no truque, ainda são milhares de nomes e senhas coletados.
Com estes dados em mãos, o golpista parte para a segunda parte do plano que é o desvio do dinheiro. Munido das senhas, ele pode entrar nas contas e usá-las de duas maneiras: 1) se ela tem dinheiro, o caixa é raspado, e 2) se ela não tem dinheiro, servirá de ponte. Isto é, o crédito entra e sai da conta para despistar. Deste jeito, o dinheiro dá uma volta pelo sistema bancário, indo terminar nas contas dos laranjas que as emprestam na promessa de ficarem com uma parte do produto do roubo.
Anti-phishing
Phishing é uma modalidade de ataque de engenharia social , difícil de resolver pela automação, mas fácil de resolver pelo bom senso e se você prestar atenção nestas dicas:Nenhuma empresa que se preze vai pedir pra você digitar dados confidenciais em um email. Isso nunca vai acontecer . Se você receber uma mensagem pedindo pra entrar com qualquer tipo de identificação como senha, não entre nessa.
Tome cuidado com os anexos. Tanto os que você envia como – principalmente – os que você recebe. Nunca abra nada, se tiver a mínima suspeita. Especialmente, se você não esperava receber nenhum anexo.
Cuidado com os programas e arquivos que você baixa da Internet. Especialmente os gratuitos. Uma das variações do golpe é através da instalação de trojan horses (cavalos de tróia): softwares que registram tudo o que você digita e enviam esta informação para o falsário.
Mantenha seus antivírus, antispyware, antispam atualizados. Existem agora também alguns programas antiphishing, mas não pudemos analisar nenhum satisfatória antes da publicação deste artigo.
Nunca digite informações confidenciais em uma janela aberta por um click em um email. Sempre abra uma janela do navegador e digite o endereço do banco manualmente.
Fique atento para erros gramaticais, de concordância e de escrita. Estes são forte indicativos da fraude.
Aprenda a identificar o esquema seguindo as instruções da próxima seção.
Identificando esquemas fraudulentos
Veja a figura abaixo. Note como o visual parece do site verdadeiro ou pelo menos bastante profissional.
Este é apenas um exemplo, mas se você colocar o mouse sobre o link (sem clicar), verá na linha de status o endereço de destino.
Note que o endereço tem a palavra Symantec (que ele tenta emular), mas não é o endereço do site, como em www.symantec.com
Ou seja, o endereço é uma importante dica para descobrir um esquema de phishing.
Tem outra coisa ainda mais obvia. Eu não tenho nenhum programa desta software house instalado no meu sistema. Então como poderia estar recebendo informações deles?
Da mesma forma, já recebi emails de bancos em que não tenho conta. Operadoras de telefonia que não uso e por aí, vai. Mais um exemplo de phishing:
Novamente, ao passar o mouse sobre o link, vemos um endereço que não tem relação com a empresa mencionada na mensagem.
As empresas imitadas são tão vitimas quanto as pessoas que são enganadas por este golpe. E nenhuma empresa que se preza vai pedir pra você enviar sua senha num email.
Para não se tornar vitima deste esquema é muito simples. Basta ficar atento e não colaborar com os meliantes.
Fonte http://www.meio.ws/artigos/exibe.asp?na=68
