[SECURITY-L] CAIS-Alerta: Dicas para suas compras on-line de final de ano

CSIRT - UNICAMP security em unicamp.br
Qua Dez 10 11:04:38 -02 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Dicas para suas compras on-line de final de ano
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 9 Dec 2008 16:24:25 -0200 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Estamos entrando em um período em que o volume de compras pela Internet 
aumenta consideravelmente. Natal, Amigo Secreto/Oculto e outras 
confraternizações típicas desta época causam um aumento de compras 
on-line, mesmo por aqueles que nunca compraram pela Internet por temer 
problemas de segurança.

O CAIS gostaria de alertá-lo sobre alguns cuidados que você deveria tomar 
antes de efetuar suas compras on-line. Consulte nossa lista de dicas de 
segurança para realizar suas compras on-line de maneira mais segura.

O CAIS promove desde 2005 o Dia Internacional de Segurança em Informática, 
DISI. Muitos dos temas abordados são relacionados com fraudes e compras 
on-line, sugerimos que você visite a página da edição 2008 e anteriores, 
disponíveis em http://www.rnp.br/eventos/disi/ .


ANTES DA COMPRA

. Cuidados na busca - seja cuidadoso com os links patrocinados
  do Google (resultado da busca destacado em amarelo e no painel 
  direito). Há registros de fraudadores que pagaram pelo serviço para 
  destacar suas páginas falsas ou páginas de distribuição de software 
  malicioso (malware). Utilize sites de busca alternativos para verificar 
  o endereço correto da loja, como Dogpile (http://www.dogpile.com/) e 
  Clusty (http://clusty.com/).

. Phishing - não visite sites sugeridos em Spam que você recebe. Você 
  pode ser levado a sites falsos, com objetivo de coletar seus 
  dados financeiros ou instalar programas maliciosos.

. Barras anti-phishing no navegador - estas barras o ajudam a 
  identificar páginas falsas conhecidas. Elas também indicam que um site 
  de banco brasileiro está hospedado em um outro país, por exemplo. 
  Netcraft Anti-Phishing Toolbar, Microsoft Phishing Filter e AntiFraude 
  UOL (Barra UOL) são as principais opções.

. E-mail - os principais bancos optaram por não enviar mensagens para seus
  clientes. É mais fácil saber que seu banco nunca envia mensagens do que 
  tentar separar mensagens falsas de verdadeiras. Como regra geral evite 
  abrir mensagens e, principalmente, seguir os links (URL) que elas fornecem.

  Se você recebeu uma destas mensagens colabore com o CAIS encaminhando-a para:

    phishing em cais.rnp.br

  Se você tomou conhecimento de um link suspeito colabore com serviços de 
  filtragem de enderecos maliciosos encaminhando a mensagem ou simplesmente o link para:

  - reportphishing em antiphishing.org

  - http://toolbar.netcraft.com/report_url

  - https://phishingfilter.microsoft.com/feedback.aspx?result=none&URL=http://www.example.com
    onde http://www.example.com e' o site malicioso. Este e' o Phishing Filter
    disponivel na forma de Add-in para IE6 e integrado ao IE7.

  - http://www.google.com/safebrowsing/report_phish/
    Filtro de paginas maliciosas do Google, tambem integrado ao Firefox.

. Conheça as mensagens falsas - consulte o Catálogo de Fraudes RNP para 
  se familiarizar com as mensagens falsas mais comuns. Disponível em 
  http://www.rnp.br/cais/fraudes.php .

. Proteja seu computador - mantenha seu computador totalmente atualizado, se
  não souber como fazer isto peça ajuda. Vulnerabilidades em software 
  ajudam os fraudadores. Instale e mantenha atualizado um anti-vírus,
  firewall pessoal, anti-spyware e Anti-Spam.

. Ensine o Anti-Spam de seu webmail - o envio de mensagens maliciosas por
  meio de Spam é uma das principais portas de entrada de fraudes. Marque 
  mensagens que apresentam sinais de Phishing como Spam, desta forma você 
  e outros usuários serão menos expostos a mensagens maliciosas.

. Navegador - Tenha sempre as versões mais recentes de navegador 
  (browser). As última gerações de navegadores (Mozilla Firefox 3, 
  Microsoft Internet Explorer 7, entre outros) oferece proteção adicional 
  contra golpes de Phishing. Se por alguma razão instalar o Firefox 2 
  esteja ciente de que a última versão será 2.0.0.19, que será lançada em 
  16 de dezembro de 2008 sem o recurso anti-phishing devido a limitações 
  impostas pelo Google Safe Browsing API.

. Reputação - Compre apenas de empresas on-line reconhecidas no mercado. 
  Visite sites como Buscape (www.buscape.com.br) e Bondfaro (www.bondfaro.com.br)
  para conhecer sites confiáveis - ambos tem um processo de filiação 
  sujeito a aprovação, selos de empresa reconhecida, bem como opiniões e 
  avaliação dos próprios compradores. Peça dicas de sites de compras para 
  amigos próximos.

. Itens com mais risco - Tenha cuidado especial ao comprar itens 
  populares, como MP3 players, câmeras digitais, telefones celulares, 
  laptops, TV LCD, navegadores GPS. Itens mais desejados são mais 
  explorados, o que pode tornar a compra mais arriscada. Desconfie se 
  encontrar muitos itens difíceis de ser encontrados em um mesmo site.

. VPN (Virtual Private Network) - se você tiver VPN à sua disposicao
  utilize-a. A configuração ideal de VPN é aquela que cria um 
  "túnel" protegido por criptografia entre seu computador e a rede que 
  abriga o servidor VPN, de forma que toda sua atividade de rede 
  tenha origem na rede remota segura e não de seu computador. Consulte o 
  suporte técnico de sua empresa para mais informações. Se for necessário 
  o uso de proxy sugerimos os Add-ons (Mozilla Firefox) FoxyProxy e 
  SwitchProxy.

. OpenDNS - configure seu computador de forma que ele use os servidores
  de DNS do projeto OpenDNS (208.67.222.222 e 208.67.220.220). Além de
  diminuir o tempo de resposta das resoluções de nome (processo que 
  informa o endereço IP de um endereço) este serviço é mais uma camada de 
  segurança ao apontar endereços que são conhecidos por serem maliciosos.


DURANTE A COMPRA

. Comunicacao Segura - Verifique se o site oferece comunicação segura
  entre seu computador e o servidor. O nome técnico deste protocolo é SSL 
  ou TLS (Secure Socket Layer / Transport Layer Security) e pode ser 
  verificado em seu navegador pelas presenças do endereço no formato 
  https://www.example.com (em vez de http://...) e da figura de um 
  cadeado na interface gráfica de seu navegador. O navegador Mozilla 
  Firefox complementa estes indicadores visuais trocando a cor de fundo 
  da barra de endereços (URL) para amarelo.

. Cadeado no navegador não é sinônimo de segurança! - Esta talvez seja a 
  mais importante das dicas de compra. Existem ataques que permitem que 
  alguém dentro de sua própria rede (trabalho, condomínio, hotspot Wi-Fi) 
  faça com que um computador seja um "homem do meio" na conexão entre seu 
  computador e o servidor do seu site de compras. A conexão segura 
  acontecerá, mas ela será estabelecida entre seu computador e o 
  computador malicioso, que estabelece a conexão com o servidor do site 
  de compras e faz com que você visite o site. Isto permite que 
  tudo o que você envia seja lido. Fique atento a alertas relacionados a 
  certificados digitais que seu navegador apresenta.

. Cartão de crédito não confirma idade - nunca forneça o número de seu
  cartão de crédito como prova de sua idade. As operadoras afirmam que
  cartões não verificam a idade de alguém, trata-se apenas de uma maneira
  de enganar usuários desavisados.

. Use o seu próprio computador - prefira o computador de sua casa ou 
  trabalho para compras. A probabilidade da estação de trabalho de sua 
  empresa estar atualizada e livre de software malicioso é maior do que a 
  de uma estação de uma "Lan House" ou estabelecimento similar.

. Usar ou não cartão? - Usar o cartão de crédito em compras on-line é tão
  seguro quanto usá-lo em um restaurante, tanto compras no mundo real
  quanto on-line são sujeitas a fraude durante a compra ou a
  problemas na manipulação de seus dados (armazenamento inadequado e 
  vazamento dos dados de seu cartão, por exemplo).

. Não compre por impulso - Se desconfiar do site e a compra for
  inevitável, escolha por pagar com boleto bancário ou SEDEX a cobrar. 
  Evite informar sua conta bancária e CPF, prefira um depósito não 
  identificado. Débitos automáticos incluídos sem a autorização do 
  correntista são uma prática frequente.

. Desconfie de ofertas boas demais, use o bom senso acima de tudo. Sites 
  sem reputação com preços bons demais são suspeitos. Você pode não 
  receber o produto, colaborar com a sonegação de impostos ou ter seus 
  dados financeiros utilizados por terceiros.


APÓS A COMPRA

. Logout - efetue "logout" do site de compras, em especial em estações
  compartilhadas por várias pessoas. Se possível aprenda como limpar
  "cookies" e outras informações confidenciais em seu browser. Firefox
  2, Firefox 3 e Internet Explorer 7 contam com opções específicas 
  para este tipo de operação.

. Realize uma limpeza mais completa em seu computador - instale 
  ferramentas de limpeza de histórico e utilize-a com frequência. Uma 
  sugestão é CCleaner (consulte a seção "Mais informações").

. Confira sempre a fatura de seu cartão - Acompanhe com cuidado a
  fatura de seus cartões de crédito. Se identificar uma compra irregular
  informe sua operadora. Se você for um bom cliente, com boa reputação, é 
  bem provável que não tenha problemas em ter o valor ressarcido. A 
  maioria dos cartões oferece fatura parcial, com movimentações 
  atualizadas antes do fechamento. Verifique se seu cartão oferece o 
  serviço de notificação de transações por SMS (torpedo). Este recurso 
  não impede fraudes, mas permite que você reaja o mais rápido possível.

. Acompanhe a entrega do produto - As entregas normalmente são realizadas 
  pelos Correios ou por outras empresas que oferecem "tracking" do seu 
  pedido, ou seja, acompanhamento da entrega do produto mediante o uso de 
  um código fornecido pelo vendedor. Este código normalmente é fornecido 
  ao final da transação de compra.

. Não apague os registros de sua compra, especialmente mensagens com
  confirmação de compra e entrega.


SITES DE LEILÃO

. Reputação - Leia os comentários que dos compradores anteriores sobre o 
  vendedor. Embora este tipo de indicador seja sujeito a fraude a 
  reputação é uma boa maneira de avaliar o comprador.

. Qualidade do vendedor - Conheca o sistema de qualificação de vendedores
  de seu site de leilões preferido. Você pode saber mais sobre a
  reputação do vendedor a partir da avaliação de vendas anteriores feitas
  por outros compradores.

. Leia atentamente a descrição dos produtos.

. Não guarde dúvidas - Pergunte sobre o produto no espaço destinado a 
  este fim. Este tipo de recurso normalmente é aberto a qualquer pessoa 
  que consulte o produto e pode ser útil para identificar características 
  que não condizem com a descrição ou mesmo para conhecer compradores 
  insatisfeitos.

. Denuncie o vendedor - Se você se sentiu lesado por algum vendedor
  informe a administração e possíveis futuros compradores (por meio de
  qualificação) do site o mais breve possível.


MAIS INFORMAÇÕES

. Submarino - Compra Segura
  http://www.submarino.com.br/local/atendimento/seguranca.asp

. MercadoLivre Brasil - Portal de Segurança
  http://www.mercadolivre.com.br/brasil/ml/p_loadhtml?as_menu=CSEG&as_html_code=CSEG01

. Visa do Brasil - Segurança na Internet
  http://www.visa.com.br/conteudo.asp?pg=202

. BuscaPé
  http://www.buscape.com.br/

. Bondfaro
  http://www.bondfaro.com.br/

. Catálogo de Fraudes CAIS/RNP
  http://www.rnp.br/cais/fraudes.php

. CCleaner
  http://www.ccleaner.com/download

. Dia Internacional de Segurança em Informática - DISI
  http://www.rnp.br/eventos/disi/

. Internetsegura.org - Dicas de Segurança
  http://www.internetsegura.org/dicas/dicas.asp

. eBay Security Center
  http://pages.ebay.com/securitycenter/index.html

. Amazon.com - Safety and Security Tips
  http://www.amazon.com/gp/help/customer/display.html/103-4876189-2312668?ie=UTF8&nodeId=10412241

. Visa - Online Shopping Protection
  http://usa.visa.com/personal/security/index.html

. BBBOnline - Online Shopping Tips
  http://www.bbbonline.org/OnlineShopTips/

. Federal Trading Commission - Holiday Shopping Tips
  http://www.ftc.gov/bcp/conline/edcams/holiday/

. Netcraft Anti-Phishing Toolbar
  http://toolbar.netcraft.com/

. Microsoft Phishing Filter
  http://www.microsoft.com/brasil/athome/security/online/phishing_filter.mspx

. Barra UOL
  http://barrauol.uol.com.br/

. Mozilla Firefox
  http://www.mozilla.com/

. Internet Explorer 7
  http://www.microsoft.com/windows/ie/default.mspx

. OpenDNS
  https://www.opendns.com/start

. Firefox Add-ons - FoxyProxy
  https://addons.mozilla.org/en-US/firefox/addon/2464

. Firefox Add-ons - SwitchProxy Tool
  https://addons.mozilla.org/en-US/firefox/addon/125


O CAIS Alerta também é oferecido no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBST636Okli63F4U8VAQHlUgQAjGIU/skxl9aRiyVZA4FuDtaxGo+QGtu+
z81qq2vdStM8l7K4ChRdbZFkHNtnBsKo30wWm0hVav5UdxQ6GRaC0oIT/7kHZ+VO
hVu2tMNURoFi6xYJPJ403ncH30oI49MX8zqkZG5zpEu+ZmLbg91Ce2v6YYPHpTsY
RTW0ov3UQs8=
=rg/8
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L