[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Fraudes em Internet Banking]
Silvana Mieko Misuta
mieko em ccuec.unicamp.br
Qui Abr 3 09:33:49 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Fraudes em Internet Banking
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Cc: champs-all em rnp.br
Date: Wed, 2 Apr 2003 15:27:12 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Recentemente, o CAIS tem registrado um aumento nas denuncias de fraudes
envolvendo Internet Banking. Neste contexto, este alerta tem o intuito de
esclarecer o usuario sobre algumas das tecnicas mais usadas pelos
atacantes, assim como recomendar procedimentos basicos de prevencao a
ataques deste genero.
Os principais artificios usados pelos atacantes sao:
. envio de e-mails, usando engenharia social para convencer o usuario
a enviar dados como numero da conta e senha para determinado endereco,
ou ainda, preencher formularios anexados ao e-mail com tais dados.
Os formularios ou e-mails sao enviados ao atacante.
. envio de e-mails falsos, usando engenharia social para convencer o
usuario a acessar determinada URL, onde se encontra uma pagina falsa
solicitando dados sensiveis do usuario, tais como: numero da conta,
senha de acesso, senha do cartao, etc.
. uso de dominios similares ao original, para legitimar os e-mails
enviados e as paginas falsas usadas para coletar os dados. Alguns
exemplos sao: www.banco.com.br e' o site original e www.banco.com
e' o site falso.
Analogamente, o e-mail original do banco pode ser banco em banco.com.br
e o e-mail falso pode ser sac em banco.com.br ou banco em banco.com.
. contaminacao do servidor de nomes, redirecionando o usuario do Internet
Banking a uma pagina falsa, semelhante a pagina original do Banco, de onde o
atacante possa extrair dados sensiveis do usuario, tais como: numero
da conta, senha de acesso, senha do cartao, etc.
. ligacoes telefonicas, usando engenharia social para obter os dados
do usuario (numero da conta, senha, etc).
Ressalta-se que engenharia social e´ o termo usado para caracterizar um
tipo de ataque onde o atacante explora a ingenuidade ou confianca do
usuario, apresentando estorias e situacoes que o levam a fornecer dados
sigilosos, posteriormente usados para se obter acesso nao autorizado a
computadores ou informacoes. As tecnicas de engenharia social podem ser
usadas em contatos pessoais, por telefone, e-mail, mensagens instantaneas
ou chats.
O CAIS recomenda aos usuarios de Internet Banking:
. Manter bem guardadas e seguras suas senhas bancarias, seguindo as
recomendacoes de seu banco.
. Nao fornecer detalhes de sua conta bancaria ou senhas a terceiros
quando abordados por qualquer meio, seja pessoalmente, telefone ou
e-mail.
. Usar senhas fortes e nao triviais, trocar as senhas com frequencia,
seguindo as normas e recomendacoes de seu banco.
. Ao acessar o site de seu banco, dedicar algum tempo a verificar a
pagina, propagandas e dados solicitados, em busca de algo suspeito.
Recomenda-se tambem verificar se o endereco mostrado pelo navegador
corresponde ao endereco acessado, por exemplo: www.banco.com.br.
. Ficar atento aos comunicados oficiais do seu banco. Alguns bancos tem
destacado nos seus sites, mensagens de advertencia sobre recentes
tentativas de fraude.
. Ao ser alvo de situacoes suspeitas (e-mails do banco, contatos
telefonicos solicitando senha ou conta bancaria, erros consecutivos
no acesso ao site do banco), notificar o ocorrido ao servico de suporte
ao usuario do respectivo banco.
. Manter sempre atualizado o navegador utilizado, por exemplo Netscape e
Internet Explorer.
. Verificar o certificado digital do site do banco, confirmando se
este foi realmente emitido para o referido banco e seu prazo de
validade. Recomenda-se tambem ficar atento as mensagens emitidas
pelo seu navegador, verificando se este reconheceu a autoridade
certificadora que emitiu o certificado ao site que voce esta
acessando.
. Nao descartar automaticamente as mensagens de aviso geradas pelo
navegador em relacao a certificados digitais e paginas criptografadas.
A pratica recomendada e' ler atentamente tais mensagens e em caso
de duvidas interromper o processo, consultando o servico de suporte ao
usuario do banco.
Sao listadas a seguir, as referencias de alguns bancos brasileiros,
contendo recomendacoes sobre seguranca em Internet Banking:
http://www.bradesco.com.br/html/prodserv/homeoffice/internetbank.html
http://www.bb.com.br/appbb/portal/bb/ds/problemas.jsp
http://www.itau.com.br/bankline/seguranca.htm
https://internetcaixa.caixa.gov.br/InternetCaixa/index.asp
http://www.bancoreal.com.br/pessoas/real_ate_voce/tpl_rib_duvidas.shtm
http://galeriadeinvestimentos.unibanco.com.br/url.asp?nu_texto=142
http://www.banespa.com.br/site/servicos/atendimento/sn_netbanking_pessoas.jsp
Finalmente, seguem dois documentos relacionados ao tema abordado neste
alerta.
"AL-2003.04 - Increase in fraudulent activity targeting users of online
banking and electronic payment sites"
http://www.auscert.org.au/render.html?it=2909
"Cartilha de Seguranca para Internet, Parte IV: Fraudes na Internet"
http://www.nbso.nic.br/docs/cartilha/cartilha-04-fraudes.html
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPosrh+kli63F4U8VAQEU7AP/X8sbUbYA2RyAK8XSz9aAyUep5yYDBrNi
IxpKKSxLnlL8v09X/5o8isW6b+5jhyL6H8/EuLAgJD9Ng1c9wHdJvcy78a56MPov
Fqd1XlE4BHCbzjcwwbPwM95uNsBVNOv6E9WjH/9n/nvc6k9ctcDglC0RpqhqnUDE
zteO0Ong9NI=
=EQfD
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L