Entenda por que o serviço requer cuidados e saiba o que vem por aí para proteger clientes e instituições.
Realizar pagamentos e transferências online usando o site dos bancos tornou-se o tendão de Aquiles da indústria financeira, na medida em que cibercriminosos encontram maneiras de tomar o controle dos computadores pessoais e realizar operações enviando dinheiro para lugares remotos.
Um caso: 400 mil dólaresFoi o que aconteceu à administração municipal de Poughkeepsie, no estado de Nova York, quando a bagatela de 387 mil dólares vazou da conta corrente hospedada no TD Bank. Descoberto em janeiro e finalmente sanado em março, quando o dinheiro furtado foi restituído, o caso esquentou as relações entre o município e a instituição financeira.
A administração do município não quer comentar o caso, mas o golpe dispara um alerta na rede dos bancos, em que foram registrados muitos casos semelhantes. A preocupação maior é relacionada ao uso corporativo dos serviços online. Nesses casos, o volume movimentado é bastante alto e as brechas na segurança dos desktops faz minguar a confiança que os correntistas depositam nos bancos, junto com o dinheiro.
Vários casos: bilhõesA lista de “ciberfurtos” nas contas correntes inclui 800 mil dólares subtraídos da conta da empresa fabricante de máquinas Hillary; 588 mil da conta da construtora Patco; 1,2 milhão do crédito da Unique Industrial; e mais quase meio milhão da Ferma abandonaram o status de crédito para se unirem ao débito. Por semana, relata o FBI, várias denúncias por parte de vítimas desse tipo de golpe chegam à agência.
Empresas, cuidado!Às empresas não faltam motivos para preocupação. Ladrões cibernéticos usam pragas virtuais controladas por botnets, e usufruem da baixa segurança de computadores para cometer os crimes. Nesse caso, as restituições cabem às pessoas físicas; as empresas, porém, não gozam desse direito. É o que explica a analista da Gartner, Aviavah Litan.
Disputas judiciais envolvendo o sequestro de sistemas e transferências fraudulentas vêm a público na medida em que as empresas brigam com as instituições financeiras sobre quem deve assumir as consequências do ataque de gangues cibernéticas. Cada caso é um caso.
A questão para os bancos pode ser reduzida ao seguinte: até que ponto eles respondem pela proteção dos desktops quando estes funcionam como parte integrante da rede, ao passo em que não pertencem às instituições?
“Os bancos encaram a possibilidade de os usuários possuírem PCs que estiveram em poder de sindicatos do crime da Rússia”, afirma o vice-presidente sênior do Hancock Bank, Jeff Theiler.
Os bancos se defendemAssim como muitas outras instituições financeiras, o Hancock tem desenvolvido ações com vistas a auxiliar os usuários na proteção dos computadores. Uma dessas iniciativas é a disponibilização de um software de proteção para os mais de 100 mil correntistas do banco.
O software usado pelo banco de Theiler foi desenvolvido pela empresa Trusteer, espcializada no desenvolvimento de programas dessa natureza. Sempre que um cliente se conecta ao site do Hancock, o aplicativo, basicamente um plug-in que detecta a atividade de keyloggers, bloqueia o redirecionamento de tráfego e informa o banco sobre o PC possivelmente infectado.
Theiler diz que quando um problema é detectado, a instituição deve entrar em contato com o usuário e avisá-lo sobre a possível fragilidade do sistema. Os criminosos virtuais certamente dão preferência às contas e transações automatizadas e de valor elevado, o que não os impede de aproveitar cada oportunidade que têm quando se deparam com consumidores fazendo transações na rede, diz. “Não existe banco que seja imune a esses ataques baseados em pragas virtuais”, diz Theiler.
PrivacidadeMas e a questão de até que ponto o banco tem direito de impor requisitos de segurança às máquinas particulares dos clientes? Theiler concorda com essa interrogação e afirma que até o presente momento o melhor que os bancos podem fazer é recomendar altamente o uso do software da Trusteer.
O software da Trusteer, desenvolvido especificamente para cada banco, é usado por aproximadamente 40 bancos, como o HSBC e o Huntington National Bank. A empresa, junto com a Prevx e a TrustDefender, são as poucas organizações voltadas para o segmento bancário. Litan (Gartner) acusa empresas como Symantec , McAfee e Trend Micro de não se esforçarem para combater esse fenômeno.
Para a analista, a aproximação iniciada pelos bancos na busca por soluções que minimizem os furtos eletrônicos não é acertada.
“Sugiro às instituições que não tentem vender a ideia de segurança total aos clientes”, diz.
Saindo da rotaSe os bancos usarem o conceito de segurança total na aproximação com os clientes, haverá um volume incontrolável de ações no caso em que algo dê errado. Segundo Litan, as instituições deveriam se preocupar em garantir fatores como proteção contra fraude e transmissão de chaves de segurança fora do canal ordinário de conexão com o banco, usando o método out-of-band.
Nessa categoria entraria, por exemplo, uma confirmação eletrônica via telefone, disparada sempre que o sistema do banco identificar atividades suspeitas. A verificação de autenticidade do usuário poderia acomodar uma solução baseada em reconhecimento de padrões de voz.
O gerente sênior de produtos para segurança bancária da empresa Fiserv, Christopher Beier, sintetiza: “o cenário de ameaças virtuais está mudando”. A Fiserv recentemente apresentou o programa PhoneFactor, que realiza autenticação de usuários com base em um modelo out-of-band, via chamada telefônica. O sistema é usado por 24 das maiores instituições financeiras.
página anterior
Esse tipo de autenticação não tem o propósito de minar a confiança do usuário nos sistemas de online banking. “Mas sei que o computador pode estar infectado, e a coisa mais inteligente a fazer é separar um canal para a verificação. O executivo acredita que a solução é bem aceita quando se trata de transações de valor elevado.
Algumas instituições financeiras da Austrália, bem com o Bank Leumi, estão ficando conhecidas por liderar o movimento rumo à autenticação out-of-band. Existe, ainda, a alternativa de incrementar as verificações atualmente usadas em transações com cartões de crédito e de débito.
“Dupla autenticação, que requer pelo menos duas pessoas no processo de aprovação de algumas dessas transações, são mais uma alternativa na hora de escolher uma maneira de aumentar a robustez das operações bancárias”, afirma Litan, da Gartner.
Existem outras maneiras de evitar pagamentos indevidos. Entre elas está a definição de contas-destino autorizadas a receber dinheiro. “Sim, o conceito parece fácil, mas há problemas com determinados softwares que não estão preparados para lidar com essas normas”, explica.
Jornalista detetiveO jornalista investigativo Brian Krebs, ocupado em desvendar causas da epidemia dos golpes virtuais, comenta: “O meu mantra, minha regra de ouro no que se refere a esse assunto é que os bancos devem acordar para a realidade de o computador do cliente poder estar infectado, caso contrário a instituição financeira não terá chance contra os cibercriminosos”. “Essa turma parece não ter os limites impostos nem pela lei, nem pelas técnicas de segurança bancária e, sim, pelo número de 'mulas' que conseguem usar para transportar os recursos para as contas destino”, completa.
Ainda, de acordo com um relatório emitido pelo FBI em novembro de 2009 e referente aos crimes virtuais e ao papel desempenhado pelas mulas virtuais, as contas destino do dinheiro roubado pertencem a indivíduos, dentro dos EUA, que podem ou não estar ligados e cientes das atividades dos criminosos.
ArmadilhasNão raramente essas mulas são atraídas por ofertas de “trabalhe em casa”, depois de divulgar os nomes e a disponibilidade para trabalho em sites de RH. Quem entra nessa acaba abrindo uma conta corrente em um banco indicado pelos criminosos. Não demora para algum dinheiro cair nessas contas e, assim que isso acontece, as mulas são instruídas a transferir parte do dinheiro para outras contas correntes, normalmente localizadas no Leste europeu, usando serviços como o Western Union ou o Moneygram.
A LigaO uso de computadores infectados para o exercício de crimes virtuais em redes bancárias ganhou a atenção do Financial Services Information Sharing and Analysis Center (FS-ISAC – Centro de análises e compartilhamento de informações financeiras – em tradução livre do inglês). O centro tem a incumbência de prover informações em um fórum que reúne importantíssimas instituições financeiras dos EUA, como é caso do Bank of America, o Citigroup, o Goldman Sachs e o Merril Lynch. No fórum, as instituições podem partilhar com segurança dados sobre a prática de crimes virtuais com agentes federais.
Nem todas as recomendações do centro de análise foram acertadas. Em uma tentativa de blindar a comunicação entre bancos e clientes, o FS-ISAC sugeriu que as instituições usassem apenas computadores sem recursos de browser ou de e-mail na troca de informações com o público. “O que eles queriam dizer é que deveria ser usado um PC dedicado para online banking“, diz Litan, que reconhece a manobra como inadequada.
Entre as atividades recentes no setor governamental encontra-se um simpósio organizado pelo Federal Deposit Insurance Corp, e voltado exclusivamente à questão dos computadores comprometidos.
Concluindo“Sem dúvida, o PC do usuário é o elo fraco na ligação”, diz o diretor de análise de pragas virtuais da empresa SecureWorks, Joe Stewart. Ele executou um longo trabalho voltado para a análise de Trojans avançados baseados em botnets, como ZeuS e Clampi. Os dois programas têm a função de tomar o controle dos computadores e executar transações financeiras não autorizadas através do furto das credenciais e das informações de conta corrente dos usuários.
Quando foi desenvolvida, a tecnologia de online banking não contava com o avanço das técnicas (trojans) aplicadas pelos criminosos virtuais. “Mas os bancos mudaram o paradigma com relação a esse fato”, afirma Stewart. Joe finaliza com a informação de que ainda não existem trojans específicos para capturar senhas de bancos em sistemas Macintosh. “Eu não recomendaria o uso de online banking com máquinas Windows”, finaliza.
Um caso: 400 mil dólaresFoi o que aconteceu à administração municipal de Poughkeepsie, no estado de Nova York, quando a bagatela de 387 mil dólares vazou da conta corrente hospedada no TD Bank. Descoberto em janeiro e finalmente sanado em março, quando o dinheiro furtado foi restituído, o caso esquentou as relações entre o município e a instituição financeira.
A administração do município não quer comentar o caso, mas o golpe dispara um alerta na rede dos bancos, em que foram registrados muitos casos semelhantes. A preocupação maior é relacionada ao uso corporativo dos serviços online. Nesses casos, o volume movimentado é bastante alto e as brechas na segurança dos desktops faz minguar a confiança que os correntistas depositam nos bancos, junto com o dinheiro.
Vários casos: bilhõesA lista de “ciberfurtos” nas contas correntes inclui 800 mil dólares subtraídos da conta da empresa fabricante de máquinas Hillary; 588 mil da conta da construtora Patco; 1,2 milhão do crédito da Unique Industrial; e mais quase meio milhão da Ferma abandonaram o status de crédito para se unirem ao débito. Por semana, relata o FBI, várias denúncias por parte de vítimas desse tipo de golpe chegam à agência.
Empresas, cuidado!Às empresas não faltam motivos para preocupação. Ladrões cibernéticos usam pragas virtuais controladas por botnets, e usufruem da baixa segurança de computadores para cometer os crimes. Nesse caso, as restituições cabem às pessoas físicas; as empresas, porém, não gozam desse direito. É o que explica a analista da Gartner, Aviavah Litan.
Disputas judiciais envolvendo o sequestro de sistemas e transferências fraudulentas vêm a público na medida em que as empresas brigam com as instituições financeiras sobre quem deve assumir as consequências do ataque de gangues cibernéticas. Cada caso é um caso.
A questão para os bancos pode ser reduzida ao seguinte: até que ponto eles respondem pela proteção dos desktops quando estes funcionam como parte integrante da rede, ao passo em que não pertencem às instituições?
“Os bancos encaram a possibilidade de os usuários possuírem PCs que estiveram em poder de sindicatos do crime da Rússia”, afirma o vice-presidente sênior do Hancock Bank, Jeff Theiler.
Os bancos se defendemAssim como muitas outras instituições financeiras, o Hancock tem desenvolvido ações com vistas a auxiliar os usuários na proteção dos computadores. Uma dessas iniciativas é a disponibilização de um software de proteção para os mais de 100 mil correntistas do banco.
O software usado pelo banco de Theiler foi desenvolvido pela empresa Trusteer, espcializada no desenvolvimento de programas dessa natureza. Sempre que um cliente se conecta ao site do Hancock, o aplicativo, basicamente um plug-in que detecta a atividade de keyloggers, bloqueia o redirecionamento de tráfego e informa o banco sobre o PC possivelmente infectado.
Theiler diz que quando um problema é detectado, a instituição deve entrar em contato com o usuário e avisá-lo sobre a possível fragilidade do sistema. Os criminosos virtuais certamente dão preferência às contas e transações automatizadas e de valor elevado, o que não os impede de aproveitar cada oportunidade que têm quando se deparam com consumidores fazendo transações na rede, diz. “Não existe banco que seja imune a esses ataques baseados em pragas virtuais”, diz Theiler.
PrivacidadeMas e a questão de até que ponto o banco tem direito de impor requisitos de segurança às máquinas particulares dos clientes? Theiler concorda com essa interrogação e afirma que até o presente momento o melhor que os bancos podem fazer é recomendar altamente o uso do software da Trusteer.
O software da Trusteer, desenvolvido especificamente para cada banco, é usado por aproximadamente 40 bancos, como o HSBC e o Huntington National Bank. A empresa, junto com a Prevx e a TrustDefender, são as poucas organizações voltadas para o segmento bancário. Litan (Gartner) acusa empresas como Symantec , McAfee e Trend Micro de não se esforçarem para combater esse fenômeno.
Para a analista, a aproximação iniciada pelos bancos na busca por soluções que minimizem os furtos eletrônicos não é acertada.
“Sugiro às instituições que não tentem vender a ideia de segurança total aos clientes”, diz.
Saindo da rotaSe os bancos usarem o conceito de segurança total na aproximação com os clientes, haverá um volume incontrolável de ações no caso em que algo dê errado. Segundo Litan, as instituições deveriam se preocupar em garantir fatores como proteção contra fraude e transmissão de chaves de segurança fora do canal ordinário de conexão com o banco, usando o método out-of-band.
Nessa categoria entraria, por exemplo, uma confirmação eletrônica via telefone, disparada sempre que o sistema do banco identificar atividades suspeitas. A verificação de autenticidade do usuário poderia acomodar uma solução baseada em reconhecimento de padrões de voz.
O gerente sênior de produtos para segurança bancária da empresa Fiserv, Christopher Beier, sintetiza: “o cenário de ameaças virtuais está mudando”. A Fiserv recentemente apresentou o programa PhoneFactor, que realiza autenticação de usuários com base em um modelo out-of-band, via chamada telefônica. O sistema é usado por 24 das maiores instituições financeiras.
página anterior
Esse tipo de autenticação não tem o propósito de minar a confiança do usuário nos sistemas de online banking. “Mas sei que o computador pode estar infectado, e a coisa mais inteligente a fazer é separar um canal para a verificação. O executivo acredita que a solução é bem aceita quando se trata de transações de valor elevado.
Algumas instituições financeiras da Austrália, bem com o Bank Leumi, estão ficando conhecidas por liderar o movimento rumo à autenticação out-of-band. Existe, ainda, a alternativa de incrementar as verificações atualmente usadas em transações com cartões de crédito e de débito.
“Dupla autenticação, que requer pelo menos duas pessoas no processo de aprovação de algumas dessas transações, são mais uma alternativa na hora de escolher uma maneira de aumentar a robustez das operações bancárias”, afirma Litan, da Gartner.
Existem outras maneiras de evitar pagamentos indevidos. Entre elas está a definição de contas-destino autorizadas a receber dinheiro. “Sim, o conceito parece fácil, mas há problemas com determinados softwares que não estão preparados para lidar com essas normas”, explica.
Jornalista detetiveO jornalista investigativo Brian Krebs, ocupado em desvendar causas da epidemia dos golpes virtuais, comenta: “O meu mantra, minha regra de ouro no que se refere a esse assunto é que os bancos devem acordar para a realidade de o computador do cliente poder estar infectado, caso contrário a instituição financeira não terá chance contra os cibercriminosos”. “Essa turma parece não ter os limites impostos nem pela lei, nem pelas técnicas de segurança bancária e, sim, pelo número de 'mulas' que conseguem usar para transportar os recursos para as contas destino”, completa.
Ainda, de acordo com um relatório emitido pelo FBI em novembro de 2009 e referente aos crimes virtuais e ao papel desempenhado pelas mulas virtuais, as contas destino do dinheiro roubado pertencem a indivíduos, dentro dos EUA, que podem ou não estar ligados e cientes das atividades dos criminosos.
ArmadilhasNão raramente essas mulas são atraídas por ofertas de “trabalhe em casa”, depois de divulgar os nomes e a disponibilidade para trabalho em sites de RH. Quem entra nessa acaba abrindo uma conta corrente em um banco indicado pelos criminosos. Não demora para algum dinheiro cair nessas contas e, assim que isso acontece, as mulas são instruídas a transferir parte do dinheiro para outras contas correntes, normalmente localizadas no Leste europeu, usando serviços como o Western Union ou o Moneygram.
A LigaO uso de computadores infectados para o exercício de crimes virtuais em redes bancárias ganhou a atenção do Financial Services Information Sharing and Analysis Center (FS-ISAC – Centro de análises e compartilhamento de informações financeiras – em tradução livre do inglês). O centro tem a incumbência de prover informações em um fórum que reúne importantíssimas instituições financeiras dos EUA, como é caso do Bank of America, o Citigroup, o Goldman Sachs e o Merril Lynch. No fórum, as instituições podem partilhar com segurança dados sobre a prática de crimes virtuais com agentes federais.
Nem todas as recomendações do centro de análise foram acertadas. Em uma tentativa de blindar a comunicação entre bancos e clientes, o FS-ISAC sugeriu que as instituições usassem apenas computadores sem recursos de browser ou de e-mail na troca de informações com o público. “O que eles queriam dizer é que deveria ser usado um PC dedicado para online banking“, diz Litan, que reconhece a manobra como inadequada.
Entre as atividades recentes no setor governamental encontra-se um simpósio organizado pelo Federal Deposit Insurance Corp, e voltado exclusivamente à questão dos computadores comprometidos.
Concluindo“Sem dúvida, o PC do usuário é o elo fraco na ligação”, diz o diretor de análise de pragas virtuais da empresa SecureWorks, Joe Stewart. Ele executou um longo trabalho voltado para a análise de Trojans avançados baseados em botnets, como ZeuS e Clampi. Os dois programas têm a função de tomar o controle dos computadores e executar transações financeiras não autorizadas através do furto das credenciais e das informações de conta corrente dos usuários.
Quando foi desenvolvida, a tecnologia de online banking não contava com o avanço das técnicas (trojans) aplicadas pelos criminosos virtuais. “Mas os bancos mudaram o paradigma com relação a esse fato”, afirma Stewart. Joe finaliza com a informação de que ainda não existem trojans específicos para capturar senhas de bancos em sistemas Macintosh. “Eu não recomendaria o uso de online banking com máquinas Windows”, finaliza.
Nenhum comentário:
Postar um comentário