Um mundo de fraudes
Arquivo do Clipping 2006
Veículo: TI Master
Data: 28/06/2006
Autor: Jeferson D´Addario
Assunto: Segurança
O que podemos concluir com esta reflexão da Profa. Peck é que a Internet e outros recursos tecnológicos avançados oferecem os mesmos riscos que as ruas de São Paulo.
Mesmo vivendo em um país relativamente conhecido pelo excessivo número de fraudes como, por exemplo, as fraudes na Previdência, Licitações, Concorrências públicas e etc, agora temos um inimigo em outro plano - o virtual. Criminosos do mundo real estão se aperfeiçoando e cometendo golpes e fraudes cada vez mais engenhosos e difíceis de enquadrar em um código civil antigo e cheio de brechas.
A Segurança da Informação vem se tornando cada vez mais pauta das grandes corporações, devido ao grande índice de incidentes que vivenciamos e ao grande valor da informação neste novo século.
Conforme registros do CERT.BR, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, mantido pelo Comitê Gestor da Internet do Brasil, no ano de 2005 foram reportados ao órgão 68 mil incidentes de segurança. Parecem muitos incidentes, porém os incidentes diminuíram dos 75 mil de 2004. Agora, vejamos os percentuais de 2005: 25% Worm, 33% SCAN, 40% fraudes e incrivelmente 0% para AF (Ataques ao usuário final), DOS (Denial of Service) e somente 1% para Invasão e AW (Ataque a servidor Web).
Dados curiosos sobre as estatísticas de 2005
Entre os TOP 10 da origem dos ataques via Internet estão os EUA, com 32,64%, seguido pelo Brasil. Isso mesmo, nosso país, com 20,20%, como vemos na figura abaixo. Outro dado interessante vem do aumento de fraudes ocorridas às segundas-feiras. Será que é porque a programação das emissoras de TV nos domingos é muito ruim e os atacantes testam o que desenvolveram nas segundas-feiras, quando as equipes de resposta a incidentes estão mais relaxadas voltando do final de semana.
E as tentativas de scan por portas, ou seja, aquela vasculhada para ver quais portas estão abertas e podem ser utilizadas para promover um ataque. Isto serve de alerta para aqueles que ainda não acreditam que segurança não depende do firewall e do antivírus, mas da responsabilidade e comprometimento de todas as pessoas e principalmente dos gestores, analistas e técnicos que implementam, auditam e monitoram os controles de segurança implementados. Segurança é obrigação de todos.
A comunidade de Segurança da Informação no país sabe que infelizmente nem todos os incidentes são reportados e muitos são confundidos ou erroneamente interpretados, o que deixa qualquer profissional da área ainda mais alerta. O sistema financeiro, através de sua linha de frente - os bancos - vem sofrendo muito com essa realidade e por termos o sistema mais avançado de compensação do mundo estamos constantemente sendo alvo.
Se você recebeu um e-mail em nome de uma instituição governamental da Nigéria ou algum outro país africano, geralmente envolvido em guerras civis, que pede, geralmente em inglês, que atue como intermediário para transferência de fundos internacional, cuidado. Você pode estar caindo em um dos golpes mais comuns que envolvem engenharia social, uma das técnicas mais utilizadas para fraudes digitais.
Com valores expressivos de alguns milhares ou milhões de dólares, o atacante propõe a você que seja intermediário e fique com um percentual da transação, o que parece muito atraente até este ponto.
O detalhe é que você precisa pagar algumas taxas relativas a transação financeira antecipadamente. Ops! É ai que está o objetivo do golpe. Seduzido pelos valores que ganhará, os futuros milionários enviam seus dados pessoais e financeiros ou até mesmo enviam os valores solicitados.
Sob o nome de Nigerian 4-1-9 Scam, o número "419" refere-se à seção do código penal da Nigéria que é violada por este golpe. É equivalente ao artigo 171 do código penal brasileiro, ou seja, estelionato. Porém, quando detectados os criminosos evoluíram este golpe e agora apresentam de tudo, prêmios de loteria que você nunca imaginou estar concorrendo, transferência de fundos em virtude do Tsunami e até do Katrina.
Eu mesmo recebi uma centena de e-mails de um suposto advogado americano, que havia identificado uma apólice de 10 milhões em nome de herdeiros de um Sr. D'Addario - infelizmente falecido no incidente do World Trade Center e que como não havia parentes identificados nos EUA - estava me propondo que utilizasse o meu nome D'Addario para recebermos os valores do seguro e ficaria com 10%. Bom, para isso eu precisaria lhe enviar todos os meus dados pessoais, contas bancárias e uma antecipação de taxas para a documentação. Resultado: continuo pobre.
A facilidade e fragilidade do sem fio
No ano passado, vimos um levantamento da consultoria Deloitte, na reportagem do jornalista Marcelo Rehder de O Estado de S. Paulo, onde foram apresentados os seguintes resultados: 33% dos entrevistados não fizeram nada para proteger a comunicação interna sem fio (wi-fi, wireless). Somente 38% fizeram varreduras para identificar furos nas redes wireless e apenas 65% das organizações treinaram empregados para identificar e relatar atividades suspeitas contra segurança de dados.
Ou seja, comprar um access point na Av. Paulista por R$ 300 é fácil. Porém, as pessoas não percebem que estão instalando um "cabo de rede totalmente desprotegido", passando pela casa dos vizinhos ou até em escritórios próximos.
Seja qual for o ataque ou fraude, devemos, como profissionais de Segurança e Tecnologia da Informação, estar sempre muito bem informados, buscando rapidamente obter conhecimento sobre as vulnerabilidades de sistemas operacionais, aplicativos, e-mail servers, browsers e outros.
Preparados, podemos ao menos diminuir a probabilidade de incidentes. Através de alguns links como da ISS XForce Team (http://xforce.iss.net/xforce/search.php), podemos obter boas informações sobre vulnerabilidades e formas de prevenção. Já o CERT.BR (www.cert.br) fornece cartilhas ricas em orientação para usuários leigos de como evitar ou prevenir-se frente a estas novas ameaças. Vale conferir!
