[SECURITY-L] CAIS-Alerta: Dicas para suas compras on-line de final de ano
CSIRT - UNICAMP
security em unicamp.br
Seg Dez 17 15:55:41 -02 2007
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Dicas para suas compras on-line de final de ano
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 17 Dec 2007 11:38:03 -0200 (BRST)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Estamos entrando em um periodo em que o volume de compras pela Internet
aumenta consideravelmente. Natal, Amigo Secreto/Oculto e outras
confraternizacoes tipicas desta epoca causam um aumento de compras
on-line, mesmo por aquelas pessoas que nunca compraram pela Internet por
temer problemas de seguranca.
O CAIS gostaria de alerta-lo sobre alguns cuidados que voce deveria tomar
antes de efetuar suas compras on-line. Consulte nossa lista de dicas de
seguranca e faca suas compras on-line com mais seguranca.
ANTES DA COMPRA
. Phishing - nao visite sites sugeridos em mensagens nao solicitadas
(Spam) que voce recebe, este tipo de atitude normalmente o levara' a
sites falsos que tem como objetivo coletar seus dados financeiros.
Instale barras anti-phishing em seu browser, elas o ajudam a
identificar, por exemplo, que o site de um banco brasileiro esta'
hospedado em um outro pais. Consulte a secao "Mais informacoes" para
saber mais sobre as principais barras de ferramentas, Netcraft
Anti-Phishing Toolbar e Microsoft Phishing Filter.
. E-mail - os principais bancos optaram por nao enviar mensagens para seus
clientes. E' bem mais facil saber que seu banco nunca envia
mensagens. Como regra geral, evite abrir mensagens e, principalmente,
nunca siga os links (URL) que elas fornecem.
Se voce recebeu uma mensagem suspeita colabore com o CAIS encaminhando
esta mensagem para:
phishing em cais.rnp.br
Se voce tomou conhecimento de um endereco (URL) suspeito colabore com os
principais projetos de filtragem de enderecos maliciosos da atualidade
encaminhando a mensagem ou simplesmente o endereco para:
- reportphishing em antiphishing.org
- http://toolbar.netcraft.com/report_url
- https://phishingfilter.microsoft.com/feedback.aspx?result=none&URL=http://www.example.com
onde http://www.example.com e' o site malicioso. Este e' o Phishing Filter
disponivel na forma de Add-in para IE6 e integrado ao IE7.
- http://www.google.com/safebrowsing/report_phish/
Filtro de paginas maliciosas do Google, tambem integrado ao Firefox 2.
. Proteja seu computador - mantenha seu computador sempre atualizado, se
nao souber como fazer isto peca a ajuda de alguem. Vulnerabilidades em
software colaboram com os crackers. Instale e mantenha atualizado um
anti-virus, firewall pessoal, anti-spyware e Anti-Spam.
. Ensine o Anti-Spam de seu webmail - o envio de mensagens maliciosas por
meio de Spam e' uma das principais maneiras de comprometer o seu
computador. Marque mensagens que apresentam sinais de Phishing como
Spam, desta forma voce e outros usuarios serao alertados.
. Navegador - Instale as versoes mais recentes de navegador (browser). A
ultima geracao de browsers (Mozilla Firefox 2, Microsoft Internet
Explorer 7, entre outros) oferece protecao adicional contra golpes de
Phishing.
. Reputacao - Compre apenas de empresas on-line confiaveis e reconhecidas
no mercado. Visite sites como Buscape (www.buscape.com.br) e Bondfaro
(www.bondfaro.com.br) para conhecer sites confiaveis - ambos tem um
processo de filiacao sujeito a aprovacao, selos de empresa reconhecida,
bem como opinioes e avaliacao dos proprios compradores.
. Itens com mais risco - Tenha cuidado especial ao comprar itens muito
vendidos (MP3 players, telefones celulares), eles normalmente estao
associados a compras mais arriscadas. Desconfie se encontrar muitos
itens dificeis de ser encontrados em um mesmo site.
. VPN (Virtual Private Network) - se voce tiver uma VPN 'a sua disposicao
utilize-a. Muitas implementacoes de VPN garantem a seguranca apenas do
trafego entre seu computador e hosts com enderecos IP da empresa.
Consulte seu suporte tecnico para saber se e' necessaria a configuracao
de um proxy em seu navegador. Nesta configuracao todas as requisicoes
HTTP (Web) de seu navegador seriam estabelecidas por meio de um servidor
que ficaria na rede da empresa, a conexao entre seu computador e o proxy
e' protegida pela VPN. Para facilitar a configuracao do proxy voce pode
usar os Add-ons FoxyProxy e SwitchProxy (Mozilla Firefox).
. OpenDNS - configure seu computador de forma que ele use os servidores
de DNS do projeto OpenDNS (208.67.222.222 e 208.67.220.220). Alem de
diminuir o tempo de resposta nas resolucoes de nome (o processo que informa o
endereco IP de um determinado endereco), uma das principais vantagens
anunciadas, este projeto funciona como mais um elemento de seguranca ao
apontar enderecos que sao conhecidos por ser maliciosos.
DURANTE A COMPRA
. Comunicacao Segura - Verifique se o site oferece comunicacao segura
entre seu computador e o servidor. O nome tecnico deste protocolo de
comunicacao e' SSL ou TLS (Secure Socket Layer/Transport Layer Security)
e pode ser verificado em seu navegador pelas presencas do endereco no
formato https://www.example.com (em vez de http://...) e da
figura de um cadeado em algum lugar da interface grafica de seu
navegador (normalmente no rodape'). O navegador Mozilla Firefox
complementa estes indicadores visuais de seguranca trocando a cor de
fundo da barra de enderecos (URL) para amarelo.
. Cadeado no navegador nao e' sinonimo de seguranca! - Existem ataques que
permitem que alguem dentro de sua propria rede (trabalho, casa,
condominio, hotspot Wi-Fi de aeroporto) faca com que um computador
malicioso atue como gateway da sua rede local, um "homem do meio" na
conexao entre seu computador e o servidor do seu site de compras
on-line. A conexao segura ainda acontecera', mas ela sera' estabelecida
entre seu computador e o computador malicioso. O computador malicioso
e' o que estabelece a conexao diretamente com o servidor do site de
compras, encaminhando os pacotes de um lado para o outro para fazer com
que voce nao perceba a diferenca e sendo capaz de ler todo o conteudo
trafegado em claro (sem criptografia). Fique atento a alertas
relacionados a certificados digitais que seu navegador apresenta.
. Cartao de credito nao confirma idade - nunca forneca o numero de seu
cartao de credito como prova de sua idade. As operadoras afirmam que
cartoes nao verificam a idade de alguem, trata-se apenas de uma maneira
simples de enganar usuarios desavisados.
. Use o seu proprio computador - Compras on-line nao devem ser feitas em
qualquer computador, prefira o computador de sua casa ou trabalho. A
probabilidade da estacao de trabalho de sua empresa estar atualizada e
livre de software malicioso e' maior do que a de uma estacao de uma "Lan
House" ou estabelecimento similar.
. Usar ou nao cartao? - Usar o cartao de credito em compras on-line e' tao
seguro quanto usa-lo em um restaurante, tanto compras no mundo real
quanto on-line sao sujeitas a fraude durante a compra ou a
problemas no tratamento de seus dados confidenciais (armazenamento
inseguro dos dados de seu cartao por exemplo).
. Escolha seu melhor cartao - use cartoes de credito especificos para
compras on-line, se possivel. Use seu cartao com menor limite de
compras, isto minimizara' seu prejuizo em caso de fraude ou
armazenamento inadequado dos dados de seu cartao.
. Nao compre por impulso - Se desconfiar do site e a compra for
inevitavel, escolha por pagar com boleto bancario ou SEDEX a cobrar.
. Desconfie de ofertas boas demais, use o bom senso acima de tudo.
APOS A COMPRA
. Logout - efetue "logout" do site de compras, em especial em estacoes
compartilhadas por varias pessoas. Se possivel aprenda como limpar
"cookies" e outras informacoes confidenciais em seu browser (Firefox
2 e Internet Explorer 7 contam com opcoes especificas para este tipo de
operacao)
. Extratos - se usou cartao de credito para a compra, acompanhe o
extrato. Se seu cartao oferece o servico de avisar pelo celular quando
uma compra foi feita, ative o servico, pois ele sera util para
identificar um uso nao autorizado de seu cartao.
. Acompanhe a entrega do produto - As entregas normalmente sao
realizadas pelos Correios ou por outras empresas que oferecem "tracking"
do seu pedido, ou seja, acompanhamento da entrega do produto mediante o
uso de um codigo fornecido pelo vendedor. Este codigo normalmente e'
fornecido ao final da transacao de compra.
. Nao apague os registros de sua compra, especialmente mensagens com
confirmacao de compra e entrega.
SITES DE LEILAO
. Reputacao - Leia os comentarios que os compradores anteriores tem com
relacao ao vendedor. Embora este tipo de indicador seja sujeito a
fraude a reputacao e' uma boa maneira de avaliar o comprador.
. Qualidade do vendedor - Conheca o sistema de qualificacao de vendedores
de seu site de leiloes preferido. Voce pode saber mais sobre a
reputacao do vendedor a partir da avaliacao de vendas anteriores feitas
por outros compradores.
. Leia atentamente a descricao dos produtos.
. Nao guarde duvidas - Pergunte sobre o produto no espaco
destinado a este fim. Este tipo de recurso normalmente e' aberto a
qualquer pessoa que consulte o produto e pode ser util para identificar
caracteristicas que nao condizem com a descricao ou mesmo para conhecer
compradores insatisfeitos.
. Denuncie o vendedor - Se voce se sentiu lesado por algum vendedor
informe a administracao e possiveis futuros compradores (por meio de
qualificacao) do site o mais breve possivel.
Mais Informacoes:
. Submarino - Compra Segura
http://www.submarino.com.br/local/atendimento/seguranca.asp
. MercadoLivre Brasil - Portal de Seguranca
http://www.mercadolivre.com.br/brasil/ml/p_loadhtml?as_menu=CSEG&as_html_code=CSEG01
. Visa do Brasil - Seguranca na Internet
http://www.visa.com.br/conteudo.asp?pg=842
. BuscaPe
http://www.buscape.com.br/
. Bondfaro
http://www.bondfaro.com.br/
. Dia Internacional de Seguranca em Informatica - DISI
http://www.rnp.br/eventos/disi/
. Internetsegura.org - Dicas de Seguranca
http://www.internetsegura.org/dicas/dicas.asp
. Stay Safe on eBay
http://pages.ebay.com/securitycenter/index.html
. Amazon.com - Privacy & Security
http://www.amazon.com/gp/help/customer/display.html?nodeId=551434
. Visa - Online Shopping Protection
http://usa.visa.com/personal/security/index.html
. BBBOnline - Online Shopping Tips
http://www.bbbonline.org/OnlineShopTips/
. Netcraft Anti-Phishing Toolbar
http://toolbar.netcraft.com/
. Microsoft Phishing Filter
http://www.microsoft.com/brasil/athome/security/online/phishing_filter.mspx
. Mozilla Firefox 2
http://www.mozilla.com/
. Internet Explorer 7
http://www.microsoft.com/windows/ie/default.mspx
. OpenDNS
https://www.opendns.com/start
. Firefox Add-ons - FoxyProxy
https://addons.mozilla.org/en-US/firefox/addon/2464
. Firefox Add-ons - SwitchProxy Tool
https://addons.mozilla.org/en-US/firefox/addon/125
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
O CAIS Alerta tambem e' oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBR2Z7z+kli63F4U8VAQGGqAP/V8pD5S6wHZ8dlYstUMMZMARRrSNGZhe1
0s94nEtrn53s4woGyyYybzpesUW/uJb1v1QMDU6gGKCH7KVKNNM27cM2fqJLl/g2
JlSza0I1iPdlPU8mWoMON6kDdGfIU6Q2vrVaz5ABVz0BKTQDIGAsFEkYZTpgNoot
5u5OviwU90M=
=bXhZ
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L