A Clonaid, empresa fundada por Raelinos, membros de uma seita que
acredita que os humanos são uma criação de extraterrestres, prometia
em torno de março último, em seu site na Internet, a apresentação de
Eve, a criança que seria o primeiro clone humano. Curiosamente, a
criança seria apresentada justamente em São Paulo, no final do mês em
que a notícia estava veiculada.
A clonagem já está há algum tempo no centro das atenções das
discussões científicas. Ratos de laboratório tiveram orelhas
enxertadas nas costas. Uma ovelha foi apresentada como cópia exata de
outro animal, mas morreu há algumas semanas com indícios de velhice
precoce. E alguém pegou a idéia da Dolly e a levou para a Internet.
Clones de sites de provedores e bancos viraram moda na Internet. Em
apenas três semanas apareceram dois novos clones de sistemas bancários
no Brasil. É interessante discutirmos a contextualização desse fato,
entender suas razões e suas conseqüências.
O sistema bancário brasileiro é um modelo para o mundo. As
tecnologias utilizadas no Brasil são copiadas em vários países. O
Sistema de Pagamentos Brasileiro, que agilizou a liquidez do sistema
bancário no país é um case fenomenal de integração entre empresas
poucas vezes visto. Efetivamente podemos dizer que os grandes bancos se
preocupam e investem pesado em sistemas de segurança física e digital,
o que inclui o assunto no topo das preocupações no momento do
desenvolvimento de seus sistemas de banco eletrônico. Os próprios
cidadãos estão ganhando cada vez mais recursos: a senha do homebanking
não é a mesma do cartão de saque, e muitos bancos incluíram uma senha
adicional como um passo necessário para a autenticação no sistema,
políticas de segurança baseadas na melhores práticas do mercado foram
implementadas, e num futuro muito próximo Certificados Digitais
assinados pelo ICP-Brasil serão distribuídos por vários bancos para seus
clientes, reduzindo de vez as tentativas de fraude baseadas em
adivinhação de senhas de pessoas ou invasão aos sistemas.
Tendo todas essas dificuldades à frente, a opção para se efetuar
fraudes em sistemas bancários da Internet se tornou, então, a clonagem
de sites. Os sites clonados foram hospedados em dois lugares
diferentes (um deles dentro do Brasil). É incrivelmente fácil fazer
isso, seja por meio do uso de ferramentas que literalmente gravam todo
o conteúdo de um site em minutos em um computador, seja por intermédio
do trabalho paciente de se fazer a cópia de cada um dos elementos de
uma página principal.
O processo começa por meio do registro de um endereço com um nome
em algum domínio parecido com o original. Em seguida, copia-se apenas a
página principal e algumas das funcionalidades do site original
(alguns links, inclusive, apontam para o endereço real), montando no
site falso apenas o necessário para receber um "cliente". Os
criminosos enviam em seguida um e-mail em massa (spam), para milhares
de endereços aleatórios, acreditando que muitos deles terão contas
naqueles bancos. A orientação dada pelo e-mail, na maioria dos casos, é o
recadastro de informações por "razões de segurança". E é óbvio, é
sempre solicitada a digitação de suas senhas. As senhas são então,
depois de digitadas, enviadas para os e-mails dos fraudadores.
As pessoas mais informadas podem se atentar ao fato de que
receberam uma solicitação de banco por e-mail - um canal de
comunicação quase nunca utilizado pelas instituições financeiras para
se comunicarem com seus clientes tratando esse tipo de assunto. Mas
uma boa parcela responde ao e-mail imediatamente, sempre preocupada em
ter suas contas bloqueadas por conta de uma falta da requisição
"exigida pelo Banco Central", como alguns e-mails descrevem.
Os fatores facilitam e encorajam indivíduos a criarem clones de
sites de bancos na Internet são intrínsecos. O primeiro é o risco
calculado de ser preso pelo crime. Será quase sempre difícil chegar à
origem de um indivíduo que hospede uma página em um país que, por
exemplo, o Brasil não tenha relações comerciais, ou cujo acesso e
comunicação sejam difíceis (por questões de língua, por exemplo). No
caso último banco, que foi a última vítima da tentativa de fraude, o
site clonado está localizado nas Ilhas Natal, na Austrália.
O segundo aspecto que está levando esses indivíduos a criarem os
sites é o retorno rápido que as fraudes podem trazer. Com a entrada no
ar do SPB - Sistema de Pagamentos Brasileiro - os bancos ligaram suas
redes em uma Extranet e transações eletrônicas como transferências de
montantes acima de R$ 5 mil podem ser feitas em questão de minutos,
quase em tempo real. Diferentes do tradicional "DOC Bancário", o TED -
Transferência Eletrônica Disponível - permite que valores altos
possam ser transferidos entre bancos diferentes em qualquer lugar do
Brasil.
Como a possibilidade de aberturas de contas correntes com nomes
falsos ainda é uma realidade no mercado, seja no Brasil ou em qualquer
outro país, a fraude fica mais fácil de ser efetuada. Se alguém
efetivamente tiver acesso ao banco eletrônico de um cidadão, poderá
efetuar uma transferência de forma rápida, efetuar seu saque em uma
agência bancária e desaparecer para sempre.
Em contrapartida à ousadia dos fraudadores em criarem sites
clonados virtualmente perfeitos, podem existir em seus métodos falhas
que podem ajudar a polícia e o banco a encontrar seus autores. O
próprio meio de envio da informação para os clientes - o e-mail -
poderá indicar a origem da fraude, e o nível de sofisticação e
conhecimento de quem a montou é que facilitará ou dificultará sua
investigação.
Tendo como base os históricos de fraudes bancárias que tiveram a
Internet como meio, podemos afirmar que nem sempre os envolvidos nos
crimes têm grandes conhecimentos em tecnologia. Há um caso antigo de
uma quadrilha que ligava para a casa das pessoas e um dos seus
integrantes, se passando pelo gerente do banco, oferecia novos
serviços e produtos com vantagens extremamente competitivas. A máxima de
que "o cego desconfia quando a esmola é grande" não foi lembrada por
muitas pessoas que, ao final da conversa com o "gerente", digitou em
seu teclado do telefone a senha de acesso ao sistema de homebanking,
"para confirmar que aceitara os serviços do banco" - exigência
requerida pelo "gerente". Tudo o que os fraudadores precisaram para
efetuar a fraude foi uma folha de cheque da vítima, seu número de
telefone (obtido nas listas telefônicas públicas) e boas técnicas de
Engenharia Social. O resto da estória já dá para imaginar.
Os crimes cometidos na Internet continuarão acontecendo,
independentes das proteções que estão sendo desenvolvidos em sistemas
bancários. O ser humano e sua falta de intimidade em tecnologia ainda
continuará sendo o elo mais fraco da corrente, apesar dos esforços dos
profissionais em campanhas sem fim sobre segurança e proteção. Os
bancos terão cada vez mais recursos no uso de autenticação forte, como
os Certificados Digitais, que permitirão que novos negócios sejam
feitos na Internet, e os criminosos também continuarão criando meios
de explorar o lado mais fraco no processo - as pessoas. O que
esperamos é que a consciência individual seja cada vez mais
proporcional às melhorias e investimentos que são feitas na área de
segurança pelos bancos.
(*) Alvaro Teofilo é gerente de Segurança da Informação da Caixa Seguros
Fonte: Agência Brasil - Radiobrás
Nenhum comentário