Sua identidade digital corre perigo
Arquivo do Clipping 2006
Veículo: Revista Exame
Data: 24/08/2006
Assunto: Segurança
A curiosidade de abrir um e-mail com fotos inéditas de Marcola, chefe do grupo criminoso Primeiro Comando da Capital (PCC), ou com o ensaio que a ex-Big Brother Brasil Mariana Felício fez para a revista Playboy pode ser irresistível para alguns. E é só desse impulso que os fraudadores digitais precisam para roubar informações preciosas de quem mordeu a isca: os dois exemplos são casos reais de mensagens que circulam pela internet com um programa espião oculto. Ao clicar no e-mail, um software é baixado no computador. Sem que o usuário perceba, são coletados números de contas bancárias e de cartões de crédito e as respectivas senhas. A vítima só vai descobrir o golpe quando aparecer um rombo em sua conta corrente. Os 26 milhões de brasileiros que acessam serviços bancários online sabem que a internet é a maneira mais prática e confortável para se relacionar com seu banco. Mas o tom dos elogios cai sensivelmente em relação a outro quesito: a segurança. O principal responsável por isso é o golpe do phishing, modalidade de fraude eletrônica em que mensagens falsas são enviadas para enganar os clientes. O problema não é novo, mas tem crescido de forma tão assustadora que já superou o volume de vírus de computador. Diariamente, quase 8 milhões de e-mails de phishing são disparados para usuários de todo o mundo, em especial do Brasil e dos Estados Unidos. No primeiro semestre de 2005, a média diária era de 5,7 milhões de tentativas. É um verdadeiro arrastão no mundo digital.
Essa onda de ações eletrônicas criminosas acendeu o alerta amarelo nos bancos. Só no ano passado, os prejuízos com fraudes eletrônicas no mercado nacional ultrapassaram 300 milhões de reais. As instituições financeiras ainda investem 1,2 bilhão de reais por ano para atualizar seus mecanismos de combate às fraudes eletrônicas, segundo a Federação Brasileira de Bancos (Febraban). Os arranhões na imagem das empresas são atenuados pelos contratos de confidencialidade que os clientes ressarcidos são obrigados a assinar. Mas há sempre um ou outro episódio que vêm à tona. Há algumas explicações para a recente onda de golpes na internet. Um dos fatores que contribuíram para isso é que os criminosos aprimoraram as técnicas empregadas para ludibriar os correntistas. A forma mais comum de phishing, em que os e-mails simulam ser uma comunicação oficial dos bancos, continua em voga. Mas novos temas mostraram-se mais eficazes em persuadir as pessoas -- seja fotos sensuais, seja uma mensagem com o logotipo da empresa em que a vítima trabalha, supostamente enviada pelo departamento de recursos humanos. A situação parece estar tão fora de controle que há casos de phishing de voz. A nova modalidade usa e-mails que levam os usuários a telefonar para um 0800 também falso. A enganação começa na internet e termina com a ajuda da lábia, a mais antiga arma dos estelionatários.
O CRESCIMENTO DAS VENDAS de computadores pessoais para as classes C e D, impulsionado por fatores como o real valorizado e incentivos fiscais, contribui para o aumento no número de ataques. O passo seguinte de quem adquire o primeiro PC é conectá-lo à rede. Mas esses internautas de primeira viagem desconhecem os procedimentos básicos de segurança na web. Muitos acreditam em e-mails que pedem seus dados bancários ou clicam em links suspeitos. Cristine Hoepers, analista de segurança do CERT.br, órgão do Comitê Gestor da Internet que registra mensagens fraudulentas, spams e ataques de vírus, aponta ainda outro fator: o crescimento vertiginoso da banda larga. Como as conexões de alta velocidade geralmente permanecem ativas todo o tempo em que o PC está ligado, os cuidados de segurança têm de ser redobrados.
O rombo da fraude eletrônica
Confira alguns dos principais números dos golpes pela internet, no Brasil e no mundo
300 milhões de reais é o prejuízo admitido pelos bancos com fraudes online no Brasil
920 reais é o prejuízo médio de cada incidente
630 milhões de dólares é a soma dos golpes registrados nos Estados Unidos(1)
850 dólares é o valor médio do desfalque nos golpes aplicados nos Estados Unidos(1)
7,9 milhões de mensagens de phishing são enviadas diariamente
(1) Dados de 2006
Fontes: Febraban, FGV, Symantec e Consumer Reports
Mas o motivo mais forte para o crescente interesse dos criminosos é o sucesso do internet banking no país. O assalto à mão armada foi trocado pela modalidade eletrônica. Segundo Marcelo Bezerra, diretor-técnico da ISS para a América Latina, esses grupos descobriram um filão que permite roubar dinheiro facilmente e em grandes volumes. "Que quadrilha conseguiria furtar 100 000 pessoas ao mesmo tempo se não fosse pela internet?", pergunta Bezerra. Não se trata mais de brincadeiras de hackers adolescentes. Por trás das mensagens fraudulentas, há quadrilhas bem estruturadas, ligadas ao crime organizado. Há quem as compare à máfia italiana, dado o nível de sofisticação na estrutura e também o perigo que representam. Na recente convenção de hackers DefCon, realizada nos Estados Unidos, o consenso era que os bandidos estão ganhando a guerra. O encontro, diga-se, não era uma reunião de criminosos. Os especialistas fazem a reunião anual justamente para ajudar empresas e polícia a entender as estratégias técnicas mais usadas pelos golpistas.
Após blindar sua infra-estrutura interna de tecnologia, os bancos têm partido para novas frentes de defesa. No momento, a principal missão é cuidar do elo mais fraco do internet banking: o usuário doméstico. A conscientização dos correntistas é o maior desafio. O banco Itaú, que tem 4,4 milhões de clientes cadastrados em seus serviços online, começou neste mês uma grande campanha publicitária centrada na segurança eletrônica. Veiculados na TV, mídia impressa e web, os anúncios orientam os clientes sobre a uti lização segura, responsável e correta dos canais eletrônicos. Afirmando que, em tempos digitais, até o ladrão é digital, o banco convoca o cliente a cumprir sua parte no que diz respeito à segurança. "Para que todos os mecanismos de proteção oferecidos sejam eficazes, é importante que o usuário entenda que também precisa participar", diz Antonio Matias, vice-presidente do Itaú.
O Bradesco comprou 470 000 tokens -- espécie de chaveiro eletrônico que carrega a senha do correntista -- para clientes pessoa jurídica e mais de 14 milhões de cartões de senhas para pessoa física. A Scopus, empresa de tecnologia do Bradesco, desenvolveu um antivírus que é depositado na máquina do usuário quando ele visita o internet banking, evitando a ação de programas espiões. Com isso, o banco diz que sofreu uma queda de 70% nos casos de fraudes online. Já no ABN Amro Real, Paulo Martins, chefe de segurança da informação para a América Latina, optou pela tripla autenticação. São usadas duas senhas -- a tradicional e outra presente em uma tabela que é exibida aleatoriamente a cada novo acesso -- e também um software que bloqueia a ação de programas espiões. Para pessoas jurídicas, o ABN recorreu a um token que apresenta um código novo a cada 2 minutos e é sincronizado com os servidores do banco. No último ano, os gastos com segurança do ABN cresceram cerca de 18%.
São investimentos altos, sem dúvida. Mas será o suficiente? Analisando apenas do ponto de vista tecnológico, a resposta é não. Adriano Mauro Cansian, professor doutor do laboratório Acme! de Pesquisa em Segurança, da Unesp de São José do Rio Preto, no interior paulista, afirma que há diversos recursos eficientes de proteção que os bancos poderiam adotar, como os sistemas de identificação biométrica, que fazem a leitura de partes do corpo. Mas optar por esses recursos não é simples. Quanto mais cadeados e travas são colocados, menos conveniente torna-se o serviço de internet banking -- que deveria ter na comodidade uma das principais características. Além disso, o uso em larga escala dessas ferramentas sofisticadas envolveria custos elevados. Nenhum banco vai investir em proteção mais do que perde com as fraudes. "Ninguém compra um cofre de 200 dólares para guardar uma nota de 100 dólares", diz Fernando Nery, sócio da Módulo, empresa de segurança da informação. Portanto, quando receber um e-mail tentador, pense muito antes de abri-lo.
