segunda-feira, 28 de dezembro de 2009

Dica: Não consigo lembrar de senhas ... Como faço??

[post update em 15/03/2010]

Cabe sempre melhorar um post, mesmo que não muito antigo. Por isso, resolvi aprimorar o post sobre dicas de como lembrar de senhas.

Inicialmente, há que se referir que senhas complexas são fundamentais para segurança nos e-mails e arquivos. Usar softwares de criptografia simétrica (como True Crypt, Kruptos e  Toucan, por exemplo) ou assimétrica também é importante e ajuda na segurança. Mas, de nada adianta se você não consegue guardar a sua senha complexa, não é??!!??

Uma senha complexa contém números (1, 2, 3, 4, ...), letras em caixa baixa (a, b, c, d ...) e alta (A, B, C, D ...), além de caracteres especiais ou teclas unicode (*&#,). O ideal é que a senha tenha pelo menos 14 caracteres, incluindo todas as opções citadas antes. Caso você queira testar se sua senha é mesmo complexa e segura, importante testar o Yet Another Password Meter, neste link: http://www.yetanotherpasswordmeter.com/. Embora em testes o site dá uma noção ao usuário, ao digitar a senha escolhida, se ela é segura e qual a avaliação sobre ela.

Vamos dizer que você já tenha criado uma senha, mesmo de oito dígitos, complexa e segura e você necessita gravá-la na memória e não consegue, pois já grava a senha de 10 e-mails, 5 sites de comércio eletrônico, cadastro de jornais etc.

Uma boa dica é o Keepass (link para o tutorial abaixo), que faz parta do pacote standard do PortableApps (conjunto de aplicativos para o pen drive), onde você cria uma senha mestra e cadastra as demais. Alguns antivírus, como o McAfee também vêem com essa possibilidade. É uma boa maneira. Caso você não se adapte, podes usar o que tem disponível na web, porém terás de guardar outras informações.
 
 
Já na web, veja a facilidade do Password Chart, que cria uma senha complexa e o funcionamento é simples: você insere uma frase qualquer no primeiro campo, descrito como “Enter a phrase to create the password chart”. Esta frase, definida por você, irá montar uma matriz que será a base para formação da senha, e também para você guardar e saber depois qual é a senha; seguindo, no campo “Enter a password to convert using the chart” você vai inserir a palavra que será convertida em senha, conforme imagem a seguir:


Veja que coloquei a palavra complexa e o site gerou a senha #77rbh+8RjcE3k@. Repare também que esta senha está associada a letras da palavra senha presentes na matriz ao lado (Como crio uma senha segura?).

Como realizei acima, tem como deixar a senha mais complexas, através das opções "include numbers?" (incluir números), que usei no exemplo e "include ponctuation?" (incluir pontuação).

Por isso, o bom do Password Chart é que se você esquecer a senha pode voltar ao site, reescrever a frase e a palavra que deu origem a ela. Selecionando as mesmas opções que selecionou da primeira vez, a senha será recuperada!

Caso você queira apenas um site para gerar uma senha forte e segura, a opção é o Good Password (neste link http://www.goodpassword.com/).

Leia mais sobre senhas seguras em:


Olhar Digital (texto e vídeo): Melhore suas senhas

-----------------------------------------------------------------------------

[post original]:


Voltando à ativa antes do final do ano e depois de várias considerações e acompanhamentos sobre os casos de phishing scam (PS) comuns à época do ano e às situações de negação de serviço (como é o caso da Amazon e da Wal-Mart, clique aqui para ver a notícia), pondero que é importante escrever sobre outro assunto: como lembrar de senhas?

Inicialmente, há que se referir que senhas complexas são fundamentais para segurança nos e-mails e arquivos. Usar softwares de criptografia (como True Crypt, Kruptos e  Toucan, por exemplo) também é importante e ajuda na segurança. Mas, de nada adianta se você não consegue guardar a sua senha complexa, não é??!!??

Uma senha complexa contém números, letras em caixa baixa e alta, além de caracteres especiais ou teclas unicode (ex.: *&#). Vamos dizer que você já tenha criado uma senha, mesmo de oito dígitos, complexa e segura e você necessita gravá-la na memória e não consegue, pois já grava a senha de 10 e-mails, 5 sites de comércio eletrônico, cadastro de jornais etc.

Uma boa dica é o Keepass, que faz parta do pacote standard do PortableApps (conjunto de aplicativos para o pen drive), onde você cria uma senha mestra e cadastra as demais. Alguns antivírus, como o McAfee também vêem com essa possibilidade. É uma boa maneira. Caso você não se adapte, podes usar o que tem disponível na web, porém terás de guardar outras informações.




Veja a facilidade do Password Chart, que cria uma senha complexa e o funcionamento é simples: você insere uma frase qualquer no primeiro campo, descrito como “Enter a phrase to create the password chart”. Esta frase, definida por você, irá montar uma matriz que será a base para formação da senha, e também para você guardar e saber depois qual é a senha; seguindo, no campo “Enter a password to convert using the chart” você vai inserir a palavra que será convertida em senha, conforme imagem a seguir:


Veja que coloquei a palavra complexa e o site gerou a senha #77rbh+8RjcE3k@. Repare também que esta senha está associada a letras da palavra senha presentes na matriz ao lado (Como crio uma senha segura?).

Como realizei acima, tem como deixar a senha mais complexas, através das opções "include numbers?" (incluir números), que usei no exemplo e "include ponctuation?" (incluir pontuação).

Por isso, o bom do Password Chart é que se você esquecer a senha pode voltar ao site, reescrever a frase e a palavra que deu origem a ela. Selecionando as mesmas opções que selecionou da primeira vez, a senha será recuperada!

Bom, por hoje é só. Espero que gostem e comentem!! Abraço a todos.
 

quinta-feira, 24 de dezembro de 2009

Feliz Natal e Próspero 2010!!!!

Amigos,

Estou passando aqui no Blog para deixar um Feliz Natal a todos os leitores. Que este período reforce ainda mais os valores de solidariedade, amor, paz e companheirismo entre as pessoas.

Mensagem de Natal e Ano Novo



"A Melhor mensagem de Natal é aquela que sai em silêncio
de nossos corações e aquece com ternura os corações daqueles que nos acompanham em nossa caminhada pela vida"


Que o ano de 2010 seja, para todos, um enorme sucesso, com muita paz nos corações!!

Obrigado por me acompanharem!!

Emerson Wendt

terça-feira, 22 de dezembro de 2009

O Blog do Emerson agora com domínio próprio

Amigos,

Depois de mais de um ano de blog e mais de 20.000 pageviews resolvir registrar um domínio com meu nome (www.emersonwendt.com.br), mas nada vai modificar, ao menos por enquanto, em relação a quem segue o blog. Apenas, por uma questão de "lógica do tempo", resolvi aceitar essa condição de formador de opinião no que tange aos assuntos de crimes cibernéticos e inteligência policial. Aliás, também foram criados os domínios www.crimesciberneticos.com.br e www.inteligenciapolicial.com.br, os quais deverão ter utilização futura, pois ainda não hospedados.



Agradeço a todos os que deram seus "pitacos" durante esse período e que colaboraram para o aperfeiçoamento do Blog e deste que escreve. De toda sorte, serviu até para que me sentisse encorajado a escrever sobre outros assuntos: sou colaborador do site www.notiquet.com e criei o Blog Meus Pitacos's, no qual pretendo escrever crônicas do cotidiano, principalmente relacionadas à cultura, educação, política e tecnologia (futuramente, o blog em questão estará sob o domínio www.meuspitacos.com.br).


Aproveito para desejar a todos um Feliz Natal e um Próspero Ano Novo. Abraço.

quinta-feira, 17 de dezembro de 2009

Como é a retirada de perfil falso do Orkut

Achei interessante o questionamento feito à coluna Segurança para o PC, sempre bem alinhavada pelo Altieres Rohr, sobre o "Perfil falso no Orkut", circunstância bastante comum tal qual a subtração de senhas do MSN (Windows Live Messenger). Posto-a abaixo e depois arrisco tecer alguns comentários.

>>> Perfil falso no Orkut
Gostaria de saber como proceder em caso de ataque pelo orkut?
Há um bom tempo existe um perfil 'fake' (falso) com meu nome e foto, que ridiculariza minha pessoa. Já solicitei várias vezes ao provedor e nunca tive resposta. Vocês poderiam me ajudar?

Márcio

Não sei a qual provedor você fez a solicitação, Márcio, mas o provedor de internet não pode ajudá-lo. Só uma empresa pode ajudar nesse caso: o Google, que é dono do Orkut. O que essa pessoa está fazendo com você é ilegal, e você pode conseguir fazer com que isso pare, mas é necessário tomar as atitudes corretas.

O advogado especializado em tecnologia Omar Kaminski lembra que o Google não tem um histórico muito solícito, e que pode ser necessário acionar a Justiça ou a polícia para conseguir que o perfil seja eliminado e que sejam reveladas as informações de identificação do responsável.

Primeiro, procure usar uma ferramenta de denúncia do próprio site. No caso, o Orkut possui essa opção logo abaixo da foto do perfil (no layout clássico), em um link rotulado “denunciar abuso”. Se isso não surtir efeito, procure um local para entrar em contato por e-mail e explique o problema. Não havendo retorno, é preciso notificar o responsável (no caso, o Google) extrajudicialmente (aqui, procure a ajuda de um advogado). Não havendo resultados, resta abrir uma ação contra a empresa.

Com isso também pode ser possível descobrir as informações técnicas necessárias para se chegar ao responsável.

Kaminski faz mais um comentário: a prática “pode configurar crime, dependendo do que foi feito em seu nome. Falsa identidade, falsidade ideológica e outras possibilidades”. 
 
Bom, postado o assunto entendo oportuno especificar algo, tendo em conta, principalmente, se o perfil falso criado configurar crime. Se a pessoa foi, através desse perfil criado, vítima de crimes contra a honra (calúnia, injúria e difamação), falsidade ideológica, ameaça etc., é importante que siga as recomandações postadas antes aqui neste blog, levando os dados do perfil até a Delegacia de Polícia mais próxima e registrando todos aspectos.

A atividade de investigação irá também, além de procurar identificar quem cometeu o crime, solicitar formalmente ao Google que retire o perfil do site e resguarde as provas necessárias (como o Google respeita a lei americana na preservação de informações, estes dados ficarão, em tese, guarnecidos por 5 anos), mas é importante mencionar isso durante o registro da ocorrência.

Assim, sabe-se que muitas vezes o que se quer não é o processamento criminal do acusado de montar determinado perfil fake; porém, como nem sempre há retirada do perfil pela simples utilização do "denunciar abuso", essa medida pode ser feita administrativamente pelo órgão policial e, como o especialista ouvido pela coluna citada, extrajudicialmente ou judicialmente, aí sim com auxílio de advogado de sua confiança. Outro aspecto importante é que alguns crimes, para que haja a atuação policial, mesmo que seja feito o registro, é necessária uma manifestação expressa de que quer que o fato seja investigado (é o caso, por exemplo, dos crimes contra a honra).

Por isso, fiquem atentos e registrem os crimes virtuais!!!

quarta-feira, 9 de dezembro de 2009

Crimes virtuais: como proceder??

Nos finais de ano ou próximo às festividades mais importantes, há sempre um número recorde de textos e postagens, em sites e blogs de segurança na web, orientando os usuários da internet em como fazer compras de maneira segura e com o mínimo de riscos, o que é muito positivo.

Porém, não tem como não fazer algumas considerações a respeito daqueles que, a despeito de todas as orientações, por algum motivo ou outro, acabam sendo vítimas de crimes virtuais, principalmente as fraudes eletrônicas, seja com a subtração de valores de contas bancárias, seja com utilização de cartões de crédito e/ou débito.

Percebe-se que o usuário-vítima, em primeiro momento, procura recompor sua perda financeira diretamente na instituição bancária, o que é de todo compreensível. Quem fica satisfeito em sofrer prejuízo econômico e não vai atrás daquilo que lhe tiraram?

No entanto, a sugestão importante, até para que a polícia possa ter o conhecimento real sobre esse tipo de crime, é de que a pessoa possa, municiada de todas informações possíveis, dirigir-se até a Delegacia de Polícia mais próxima e efetuar o registro de ocorrência. 

Veja a Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

A FEBRABAN estabelece orientação às instituições bancárias para que “sugiram” aos clientes o registro do fato, no entanto não estabelecem “a obrigatoriedade”, o que acaba ocasionando uma sub-notificação dessa espécie delitiva.

A partir do registro, caberá à Polícia Civil ou Federal (caso a instituição financeira seja a Caixa) buscar as provas necessárias e os dados de onde partiu a transação financeira ilegal, contatando – formalmente e/ou com ordem judicial – os bancos e os provedores de serviços de internet, ou seja, rastreando os passos do criminoso virtual e também do valor subtraído.

Da mesma forma, quando o crime for outro que não o financeiro, mas cometido através da rede mundial de computadores, a vítima ou seu representante legal pode comunicar o fato à delegacia mais próxima.

No caso de páginas falsas, postagens ofensivas em sites de relacionamento ou blogs, publicação indevida de vídeos e fotos etc., o importante é trazer consigo o endereço (link) e, também, a página impressa. A mesma orientação cabe quanto aos sítios de comércio eletrônico, que sempre exigem um cadastro dos usuários, tanto para venda quanto para compra. Neste caso, também é importante trazer o registro das conversas realizadas por e-mail e/ou comunicadores instantâneos (MSN, GTalk, Skype etc.).

Já no caso de e-mails com conteúdo criminoso, o que não é incomum, além da página impressa a pessoa deve levar junto o que chamamos de “cabeçalho do e-mail” ou “código fonte” da mensagem, guarnecendo o e-mail na sua caixa postal (apagar o e-mail não vai ajudar na identificação do criminoso!). 

Existem vários tutoriais à disposição na internet que ensinam como encontrar o “código fonte” de um e-mail, pois as configurações dos provedores de conteúdo são diferentes (por exemplo, no Yahoo! e Hotmail o usuário tem de clicar sobre a mensagem, ainda visualizada, com o botão direito e pedir para, respectivamente, “Exibir cabeçalhos completos” e “Exibir código fonte da mensagem”). Ela ajudará os agentes policiais a chegar à origem da mensagem e provedor de serviços de internet utilizado pelo criminoso.

Exposta a forma de proceder, é importante referir que o registro feito, pelo usuário da internet quando é vítima de algum criminoso virtual, ajuda a polícia a, além de estabelecer estatisticamente os fatos, contribuir preventivamente para a inocorrência de novos delitos. Daí que a importância da denúncia vai além do intuito repressivo, visando conhecer o perfil dos agentes delituosos desse “mundo interligado e que está por trás de máquinas e processadores”.

Ps.: caso tenham interesse em publicar este artigo, por favor façam referente à fonte (http://www.emersonwendt.com.br) e ao autor (Emerson Wendt).

Post original em 09/12/2009. Update post em 23/01/2011.

terça-feira, 8 de dezembro de 2009

Exemplo a seguir: Aula sobre segurança na web para crianças se torna obrigatória na Inglaterra


Estratégia criará diretrizes sobre como proteger as crianças na internet.
Lições sobre cuidados na web iniciarão em setembro de 2011.


A Grã-Bretanha tornará obrigatória lições de segurança na internet para crianças acima de 5 anos em um novo programa que visa retomar as campanhas sobre segurança do passado. As lições são parte da estratégia "Clique com Inteligência, Clique com Segurança", que criará diretrizes para o governo, indústria e instituições de caridade sobre como proteger as crianças ao acessar sites e serviços da internet.

"A internet oferece um mundo de entretenimento, oportunidade e conhecimento às nossas crianças, um mundo literalmente aos seus dedos", disse o primeiro-ministro, Gordon Brown. "Mas devemos assegurar que o mundo virtual seja tão seguro quanto este. Esperamos que 'zipar, bloquear, marcar' se torne tão familiar para essa geração quanto 'pare, olhe, escute' era no passado."

O governo diz que 99% das crianças britânicas entre 8 e 17 anos possuem acesso à internet. Contudo, pesquisas mostram que 18% dos jovens têm cruzado com conteúdo on-line "perigoso ou inapropriado", e 33% das crianças dizem que seus pais não estavam cientes de suas atividades na rede.

Os novos planos, esboçados pelo Conselho para Segurança da Criança na Internet, que é composto por 140 organizações, incluindo Google, Microsoft e a rede social Bebo, tornam as lições de segurança on-line obrigatórias para maiores de 5 anos a partir de setembro de 2011.
Da Reuters - Fonte: G1

segunda-feira, 7 de dezembro de 2009

Dicas de Segurança para Compras On-line no final de ano - CAIS-RNP


Estou reproduzindo, na sua totalidade, o alerta de final de ano distribuído pelo CAIS-RNP, sobre como fazer compras de maneira segura pela internet. Fiquem atentos.


Estamos entrando em um período em que o volume de compras pela Internet aumenta consideravelmente. Natal, Amigo Secreto/Oculto e outras confraternizações típicas desta época causam um aumento de compras

on-line, mesmo por aqueles que nunca compraram pela Internet por temer problemas de segurança.



O CAIS gostaria de alertá-lo sobre alguns cuidados que você deveria em suas compras on-line. Consulte nossa lista de dicas de segurança para realizar suas compras on-line de maneira mais segura.


ANTES DA COMPRA


. Cuidados na busca - seja cuidadoso com os links patrocinados do Google (resultado da busca em uma caixa amarela no topo da página de respostas da busca e no painel direito). Já aconteceram diversos casos de fraudadores que pagaram pelo serviço para destacar suas páginas falsas ou páginas de distribuição de software malicioso (malware). Existem também técnicas chamadas SEO (Search Engine Optimization ou Otimização de Mecanismos de Busca) que podem ser usadas para fazer com que páginas maliciosas na primeira página de respostas de uma busca no Google. Utilize sites de busca alternativos para verificar o endereço correto da loja, como Dogpile, Clusty e Microsoft Bing.



. Phishing - não visite sites sugeridos em Spam que você recebe. Você pode ser levado a sites falsos, com objetivo de coletar seus dados financeiros ou instalar programas maliciosos.



. Barras anti-phishing no navegador - estas barras o ajudam a identificar páginas falsas conhecidas. Elas também indicam que um site de banco brasileiro está hospedado em um outro país, por exemplo. Netcraft Anti-Phishing Toolbar, Microsoft Phishing Filter e AntiFraude UOL (Barra UOL) são as principais opções.



. Redes Sociais e SMS / Torpedo - Muitas mensagens maliciosas com golpes e vírus chegam por meio de Redes Sociais (Orkut, Twitter, Facebook) e torpedos / SMS no celular. Estas mensagens também são Spam  e tiram proveito de novos meios que não são bem preparados para lidar com mensagen não solicitadas.



. E-mail - os principais bancos optaram por não enviar mensagens para seus clientes. É mais fácil saber que seu banco nunca envia mensagens do que tentar separar mensagens falsas de verdadeiras. Como regra geral evite abrir mensagens e, principalmente, seguir os links (URL) que elas fornecem. Se você tomou conhecimento de um link suspeito colabore com serviços de filtragem de enderecos maliciosos encaminhando a mensagem ou simplesmente o link para:

- https://phishingfilter.microsoft.com/feedback.aspx?result=none&URL=http://www.example.com onde http://www.example.com e' o site malicioso. Este é o Phishing Filter disponivel na forma de Add-in para IE6 e integrado ao IE7.

- http://www.google.com/safebrowsing/report_phish/ - Filtro de paginas maliciosas do Google, tambem integrado ao Firefox.


. Conheça as mensagens falsas - consulte o Catálogo de Fraudes RNP para se familiarizar com as mensagens falsas mais comuns. Disponível em http://www.rnp.br/cais/fraudes.php



. Reforce a segurança de seu computador - mantenha seu computador totalmente atualizado, se não souber como fazer isto peça ajuda. Vulnerabilidades em software ajudam os fraudadores. Instale e mantenha  atualizado um anti-virus, firewall pessoal, anti-spyware e Anti-Spam. No caso de Windows utilize a opção Microsoft Update e não Windows Update para atualizações. Desta forma tanto o Sistema Operacional  Windows quanto os aplicativos (exemplo: Microsoft Office) são atualizados.



. Atualize o navegador - Tenha sempre as versões mais recentes de navegador (browser). Ter a última geração de navegadores (Mozilla Firefox 3.5, Microsoft Internet Explorer 8, entre outros) instalada oferece proteção adicional contra golpes de Phishing e vírus.



. Algumas atualizações especiais - Atualize sempre o Adobe Flash Player, Sun Java JRE e o Adobe Reader (documentos PDF). Há muitas vulnerabilidades que afetam estas aplicações que estão por trás de várias páginas que utilizamos todos os dias.



. VPN (Virtual Private Network) - se você tiver VPN à sua disposição utilize-a. A configuração ideal de  VPN é aquela que cria um "túnel" protegido por criptografia entre seu computador e a rede que abriga o servidor VPN, de forma que toda sua atividade de rede tenha origem na rede remota e não de seu computador. Consulte o suporte técnico de sua empresa para mais informações. Se for necessário  o uso de proxy sugerimos os Add-ons (Mozilla Firefox) FoxyProxy e SwitchProxy.



. Ensine o Anti-Spam de seu webmail - o envio de mensagens maliciosas por meio de Spam é uma das principais portas de entrada de fraudes. Marque mensagens que apresentam sinais de Phishing como Spam, desta forma você e outros usuários serão menos expostos a mensagens maliciosas.



. Reputação - Compre apenas de empresas on-line reconhecidas no mercado. Visite sites como Buscape (www.buscape.com.br) e Bondfaro (www.bondfaro.com.br) para conhecer sites confiáveis - ambos tem um  processo de filiação sujeito a aprovação, selos de empresa reconhecida, bem como opiniões e avaliação dos próprios compradores. Peça dicas de sites de compras para amigos próximos.



. Itens com mais risco - Tenha cuidado especial ao comprar itens populares, como MP3 players, câmeras digitais, smartphones, laptops, TV LCD, navegadores GPS. Itens mais desejados são mais explorados, o que pode tornar a compra mais arriscada. Desconfie se encontrar muitos itens difíceis de ser encontrados em um mesmo site.



. OpenDNS - configure seu computador de forma que ele use os servidores de DNS do projeto OpenDNS (208.67.222.222 e 208.67.220.220). Além de diminuir o tempo de resposta das resoluções de nome (processo que informa o endereço IP de um endereço) este serviço é mais uma camada de segurança ao apontar endereços que são conhecidos por serem maliciosos.


DURANTE A COMPRA


. Comunicação Segura - Verifique se o site oferece comunicação segura entre seu computador e o servidor. O nome técnico deste protocolo é SSL ou TLS (Secure Socket Layer / Transport Layer Security) e pode ser verificado em seu navegador pelas presenças do endereço no formato https://www.example.com (em vez de http://...) e da figura de um cadeado na interface gráfica de seu navegador. O navegador Mozilla Firefox complementa estes indicadores visuais trocando a cor de fundo da barra de endereços (URL) para amarelo.



. Cadeado no navegador nao é sinônimo de segurança! - Esta talvez seja a mais importante das dicas de compra. Existem vários ataques que permitem que alguém dentro de sua própria rede (trabalho, condomínio, hotspot Wi-Fi) faça com que um computador seja um "homem do meio" na conexão entre seu computador e o servidor do seu site de compras. A conexão segura acontecerá, mas ela será estabelecida entre seu computador e o computador malicioso, que estabelece a conexão com o servidor do site de compras. Isto permite que tudo o que você envia seja lido. Fique atento a alertas relacionados a certificados digitais que seu navegador apresenta.



. Use seu próprio computador - prefira o computador de sua casa ou trabalho para compras. A probabilidade de seu computador estar atualizado e livre de software malicioso é maior do que a  de uma estação de uma "Lan House" ou estabelecimento similar. 

. Usar ou não cartão de crédito? - Usar o cartão de crédito em compras on-line é tão seguro quanto usá-lo em um restaurante. Tanto compras no mundo real quanto on-line são sujeitas a fraude durante a compra ou a  problemas na manipulação de seus dados (armazenamento inadequado e vazamento dos dados de seu cartão, por exemplo). Se preferir use UOL PagSeguro ou PayPal, este último agora mais presente no Brasil. Estas duas formas de pagamento são muito seguras e você não precisa fornecer os dados de seu cartão de crédito.



. Não compre por impulso - Se desconfiar do site e a compra for inevitável, escolha por pagar com boleto bancário ou SEDEX a cobrar. Evite informar sua conta bancária e CPF, prefira um depósito não  identificado. Débitos automáticos incluidos sem a autorização do correntista são uma prática frequente.



. Desconfie de ofertas boas demais, use o bom senso acima de tudo. Sites sem reputação com preços bons demais são suspeitos. Você pode não receber o produto, colaborar com a sonegação de impostos ou ter seus dados financeiros utilizados por terceiros.


APÓS A COMPRA


. Logout - efetue "logout" do site de compras, em especial em estações compartilhadas por várias pessoas. Se possível aprenda como limpar "cookies" e outras informações confidenciais em seu browser. Firefox 3.5 e Internet Explorer 8 contam com opcoes especificas para este tipo de operacao.



. Realize uma limpeza mais completa em seu computador - instale ferramentas de limpeza de histórico e utilize-a com frequência. Uma sugestão é CCleaner (consulte a seção "Mais informações").



. Confira sempre a fatura de seu cartão - Acompanhe com cuidado a  fatura de seus cartões de crédito. Se identificar uma compra irregular informe sua operadora. Se você for um bom cliente, com reputação, é bem provável que não tenha problemas em ter o valor ressarcido. A maioria dos cartões oferece fatura parcial, ou seja, a movimentação atualizada antes do fechamento. Verifique se seu cartão oferece o serviço de notificação de transações por SMS (torpedo). Este recurso não impede fraudes, mas permite que você reaja o mais rápido possível.



. Acompanhe a entrega do produto - As entregas normalmente são realizadas pelos Correios ou por outras empresas que oferecem "tracking" do seu pedido, ou seja, acompanhamento da entrega do produto mediante o uso de um código fornecido pelo vendedor. Este código normalmente é fornecido ao final da transação de compra.



. Não apague os registros de sua compra, especialmente mensagens com  confirmação de compra e entrega.


SITES DE LEILÃO


. Reputação - Leia os comentários que os compradores anteriores tem com relação ao vendedor. Embora este tipo de indicador seja sujeito a fraude a reputação é uma boa maneira de avaliar o comprador.



. Qualidade do vendedor - Conheca o sistema de qualificação de vendedores de seu site de leilões preferido. Você pode saber mais sobre a reputação do vendedor a partir da avaliação de vendas anteriores feitas por outros compradores.



. Leia atentamente a descrição dos produtos, políticas de compra e políticas de entrega do produto.



. Não guarde dúvidas - Pergunte sobre o produto no espaço destinado a este fim. Este tipo de recurso normalmente é aberto a qualquer pessoa que consulte o produto e pode ser útil para identificar  características que não condizem com a descrição ou mesmo para conhecer compradores insatisfeitos.



. Denuncie o vendedor - Se você se sentiu lesado por algum vendedor informe a administração e possíveis futuros compradores (por meio de qualificação) do site o mais breve possível.

PS.: As comunicações de  links e e-mails suspeitos também pode ser feito ao CERT.br, através do e-mail cert@cert.br ou se quiser pode mandar para o e-mail no cadastro deste blog.

terça-feira, 1 de dezembro de 2009

Fraudes em sites bancários não são tão graves quanto parecem

Randall Stross


As agências policiais que cuidam da segurança na computação estão muito familiarizadas com as diversas modalidades de "phishing", a forma de fraude que envolve tentar atrair usuários a um site bancário falso, por exemplo, para obter seus nomes de usuário e senhas. Mas até mesmo as pessoas cautelosas por motivos profissionais podem ser enganadas, ou quase enganadas. Se duvida, pergunte a Robert Mueller, diretor do Serviço Federal de Investigações (FBI).

Mueller recentemente recebeu uma mensagem de e-mail que parecia vir de seu banco. Ele clicou no link e começou a seguir as instruções para "confirmar" as informações de sua conta. Antes de concluir o procedimento, porém, percebeu que o site era falso, e por isso fechou o navegador. Mas o que aconteceu depois foi o mais interessante. Quando Mueller contou à sua mulher sobre o incidente, ele diz que a conclusão extraída por ela do caso foi a de que acesso online a contas bancárias é inaceitavelmente arriscado. "Para você, nada de usar o banco na internet", ela decretou.
 
O diretor do FBI contou a história em um discurso no Commonwealth Club, na Califórnia, em outubro. No discurso, ele afirmou que "não estamos dedicando atenção suficiente à ameaça virtual e suas consequências". Mueller relatou aquela história pessoal como exemplo cautelar vindo de "alguém que passa boa parte de sua vida profissional alertando os outros quanto aos perigos dos crimes de computação", mas ainda assim quase caiu vítima de um deles, e se deteve "apenas no último instante". (A história termina assim, e um porta-voz de Mueller, no FBI, recusou meu pedido de entrevista.).

Uma audiência formada por civis naturalmente sairia imaginando ¿que chances temos nós de evitar que o nosso dinheiro seja roubado?" Não estou convencido, porém, de que usar serviços bancários online seja tão arriscado quanto Mueller dá a entender. Sei que, como usuários comuns de computadores, somos vítimas de muitas tentativas de fraude. Mas isso não me preocupa porque, caso as fraudes causem prejuízo, quem arca com ele não sou eu, e sim o meu banco. Não consegui encontrar qualquer empresa do setor financeiro, e investiguei corretoras, além de bancos, que não prometa ressarcir os eventuais prejuízos de uma vítima de fraude.

Mueller, ao encorajar sua audiência a investir em "segurança na computação", evocou uma ameaça terrível ao mencionar que é necessário que as pessoas se protejam contra "perder tudo". Mas de que maneira eu poderia "perder tudo" para criminosos da computação quando meu banco promete, em seu site, garantia de 100% de restituição no "improvável evento de que alguém não autorizado saque fundos por meio de nossos serviços online"?

"Prejuízo zero para os clientes se tornou uma norma setorial", disse Doug Johnson, vice-presidente de gestão de risco na Associação Americana de Bancos. A restituição é plena, e os clientes não têm nem mesmo a responsabilidade limitada de US$ 50 que as operadoras de cartões de crédito impõem aos seus clientes pelo uso indevido de cartões.


Os bancos, as corretoras online e sites de pagamentos como o PayPal, expostos como estão, gostariam que seus clientes adotassem segurança mais sofisticada que uma simples senha, para proteger as nossas contas. Uma forma de combater a ameaça de phishing é requerer que os clientes forneçam uma segunda sequência de dados quando se conectam, um número de uso único criado ou por um aparelhinho especialmente concebido para esse fim ou por um código enviado ao celular do cliente.

Uma senha pessoal é "algo que você sabe", como descrevem os especialistas em segurança, e o código temporário de segurança é "algo que você tem", e que um fraudador praticando phishing não teria. Requerer duas coisas dessemelhantes é a essência da "autenticação em dois fatores".


Um sistema como esse não é perfeito, mas se pode perceber por que instituições financeiras gostariam de ter fechaduras melhores em suas portas de entrada. No entanto, elas precisam proceder com cautela, porque de outra forma poderiam levar seus clientes a abrir mão do uso bancário da internet. No momento, os bancos parecem estar oferecendo esse sistema de segurança adicional apenas aos clientes empresariais.

Teddy De Rivera, vice-presidente executivo de serviços de internet no banco Wells Fargo, disse que sua empresa passaria a empregar de maneira mais ampla o serviço de chave dupla de autenticação, nos próximos dois anos. O Wells Fargo planeja requerer um código não só quando o cliente se conecta mas quando o software detectar uma transação suspeita, "de alto risco". O departamento dele obteve informações junto a clientes que deixam clara a rejeição a "usar o sistema para todas as transações", disse.

Eu assinei para testar o sistema de chave de segurança do PayPal, disponível para os usuários interessados. A cada vez que me conecto, recebo um código de segurança de seis dígitos em uma mensagem de texto enviada ao meu celular -é fácil copiá-lo, mas o procedimento acrescenta um estágio extra à transação.


Quando perguntei a Michael Vergara, diretor de gestão de risco na PayPal, se ele recomendava que todos os usuários empregassem o sistema de segurança reforçada, ele respondeu que "se a pessoa passa muito tempo usando as áreas mais obscuras da internet, sim". "Mas se estivermos falando de alguém que visita três sites, ter segurança adicional quando usa o PayPal não vai melhorar sua experiência", ele acrescentou.


Não sei se Mueller, do FBI, convenceu a mulher a suspender a proibição quanto ao uso de bancos online pela família. Se não conseguiu, deveria usar as duas palavras que têm o poder mágico de acalmar os temores do mais ansioso cliente bancário: prejuízo zero.



Randall Stross é jornalista, no Vale do Silício, e professor de administração de empresas na Universidade Estadual de San Jose.

Tradução: Paulo Migliacci ME
The New York Times (Fonte: Terra Tecnologia)

segunda-feira, 30 de novembro de 2009

Quais os 12 golpes natalinos mais perigosos da web e como se proteger

Empresa de segurança enumera as tentativas de ataques mais comuns nessa época do ano e dá sugestões de como evitá-las.

Chega o Natal e, com ele, aumenta o interesse dos internautas em versões eletrônicas de cartões de boas festas, procura por presentes de amigo secreto (ou oculto, como também é conhecido) em sites de comércio eletrônico, viagens, e muito mais. Na rabeira de tudo isso, os criminosos virtuais jogam suas iscas na esperança de fisgar os mais descuidados e o resultado é um aumento no número de ameaças que circulam nesta época do ano.

A companhia de segurança McAfee divulgou, nesta segunda-feira (30/11), uma lista que enumera os golpes virtuais mais perigosos que costumam acontecer nesse período. Confira a relação com os 12 golpes mais comuns e cinco dicas de como se proteger:


1: Phishing Beneficentes
Durante as festas natalinas, crackers se aproveitam da generosidade das pessoas, enviando e-mails que parecem vir de organizações beneficentes legítimas. Na verdade, são sites falsos criados para roubar dinheiro, informações de cartão de crédito e identidades dos doadores.

2: Faturas falsas
Esse é um golpe comum e que costuma fazer vítimas. Os cibercriminosos enviam, por e-mail, faturas e avisos de entrega falsos que tentam se passar por cobrança de serviços de comércio eletrônico conhecidos, como Submarino e Americanas, por exemplo.

As mensagens podem trazer informações sobre uma suposta compra e dados para pagamento de boletos bancários, ou solicitar que informações de cartões de crédito para reembolso na conta (informando uma devolução) ou ainda que os usuários forneçam dados adicionais para receber uma determinada encomenda.


Caso a pessoa siga as instruções, suas informações são roubadas ou programas mal-intencionados são instalados automaticamente em seus computadores.
3: Redes sociais
As redes sociais são ótimas aliadas para envio de mensagens e convite para encontros de confraternização. Sabendo disso, os criminosos virtuais enviam convites falsos solicitando ao destinatário ingressar em uma nova rede social.

Só que os links costumam levar a sites de phishing que instalam automaticamente programas mal-intencionados nos computadores e permitem o roubo de informações pessoais.


4: Cartões de Natal virtuais
Anexos de e-mail com apresentações PowerPoint com temas natalinos também são muito usados pelos criminosos virtuais.

No Natal de 2008, os laboratórios da McAfee descobriram um worm disfarçado de cartões virtuais da Hallmark e de promoções de Natal do McDonald’s e da Coca-Cola.

5: Ofertas tentadoras
Uma nova campanha de Natal leva os compradores a sites cheios de malware que oferecem presentes de luxo "com desconto" das marcas Cartier, Gucci e Tag Heuer.

Até mesmo os logotipos da Better Business Bureau são falsificados para induzir os internautas a comprar os produtos.

6: Computadores compartilhados/públicos
Ao comprar ou navegar em pontos de acesso abertos, os crackers podem espionar a atividade e tentar roubar informações pessoais. A McAfee orienta os usuários a nunca fazerem compras pela Internet usando computadores públicos ou redes Wi-Fi abertas.

7: Pesquisar por itens de Natal
Nessa época, os crackers criam sites natalinos falsos para as pessoas que procuram toques de celular, papéis de parede, letras de canções de Natal ou protetores de tela festivos.

Baixar arquivos com temática natalina pode infectar um computador com spyware, adware ou outros programas mal-intencionados.

8: Golpes de emprego por e-mail
Os golpistas miram pessoas desesperadas em busca de emprego, com a promessa de empregos bem remunerados e oportunidades de lucros trabalhando em casa.

Quando a pessoa interessada envia suas informações e paga sua ‘taxa de inscrição’, os crackers roubam seu dinheiro em vez de dar continuidade à oportunidade de emprego prometida.

9: Leilões online 
Sites de leilões também são usados para golpes durante a época de Natal. Os compradores devem ficar atentos a oportunidades em leilões que parecem ser muito boas, já que muitas vezes podem se referir a ofertas falsas. Antes de dar um lance, procure obter informações sobre o vendedor. 

10: Roubo de senhas
Nesta época do ano é enorme o número de incidentes envolvendo roubo de senhas, principalmente por meio de ferramentas para que registram tudo o que o usuário digita no PC, os chamados keyloggers.

Quando os criminosos conseguem acesso a uma ou mais senhas, eles passam a ter acesso irrestrito às informações bancárias e podem limpar as contas em questão de minutos. Também é comum que eles distribuam spam da conta do usuário para seus contatos.

11: Golpes de banco pela Internet
Crackers podem induzir os consumidores a divulgarem seus dados bancários com e-mails de aparência oficial, supostamente das instituições financeiras onde possuem contas e cartões de crédito.

Tais mensagens solicitam que os usuários confirmem as informações das suas contas, avisando que as contas serão bloqueadas se não seguirem as instruções. Esse golpe é particularmente comum no Natal, já que as pessoas estão preocupadas em poderem movimentar facilmente suas finanças.

12: Sequestro de arquivos
Por meio de acesso remoto, os cibercriminosos podem assumir o controle de computadores pessoais, roubar arquivos e bloquear o acesso a eles.

Nesse caso, o golpista sequestra os arquivos do usuário e exige o pagamento de um resgate em troca da devolução desses arquivos.
Cinco dicas de proteção para seu PC e dados pessoais
1: Nunca clique em links de e-mails

Vá diretamente ao site da empresa ou da organização beneficente que se quer acessar, digitando o endereço ou utilizando um mecanismo de pesquisa.

2: Use um software de segurança atualizado
Proteja seu computador contra malware, spyware, vírus e outras ameaças com suítes de segurança atualizadas.

3: Faça compras e transações bancárias em redes seguras
As redes Wi-Fi devem sempre ser protegidas por senha e os dados que trafegam nelas serem criptografados para que os crackers não tenham acesso.

4: Use senhas diferentes
Nunca use as mesmas senhas para mais de uma conta na internet. Diversifique as senhas com combinações complexas de letras, números e símbolos.

5: Use o bom senso
Se ficar em dúvida sobre a legitimidade de uma oferta ou de um produto, não clique. Os crackers estão por trás de muitos dos negócios aparentemente "ótimos" na web.


Fonte: PC World

Atenção: Conheça os golpes virtuais que ganham força no final do ano


Muito boa a coluna de hoje do Altieres Rohr no G1, comentando sobre as engenharias sociais de final de ano usadas para "tirar dinheiro" dos descuidados na internet.


Mensagens de boas festas e promoções são usadas como iscas.
Veja quais são as estratégias e siga a dica: evite cartões on-line.


Ainda falta um mês para o final do ano e, nesta época, os criminosos virtuais geralmente criam golpes envolvendo desejos de boas festas, cartões e promoções natalinas. A coluna Segurança para o PC de hoje mostra quais foram os golpes que circularam no ano passado envolvendo esse tema e faz uma recomendação: evite cartões on-line.

Datas especiais são sempre tema de golpes
 

É tradição: qualquer data especial vira tema de golpes. Desde a declaração do imposto de renda às datas comemorativas, como dia dos pais, das mães, Páscoa, Natal e Ano Novo. Eventos, inclusive noticiosos, como mortes de pessoas famosas, também são usados por criminosos. Eles precisam conseguir a atenção das vítimas para que os e-mails sejam lidos e os links ou anexos, abertos. 



No caso dos cartões e promoções de fim de ano, infelizmente as fraudes são tão comuns que fica impossível recomendar que se tente distinguir os e-mails maliciosos dos legítimos. Se você quer mandar um desejo de bostas festas por e-mail, faça isso em modo texto. Não use links e evite até mesmo anexos. Se você receber um e-mail desse gênero, jamais siga links ou abra anexos. É arriscado demais. Se você realmente quer enviar um cartão, a coluna sugere: envie por correio “de verdade”.

Abaixo você confere alguns dos golpes que circularam em 2008. As imagens foram cedidas pelo grupo de Análise e Resposta a Incidentes de Segurança (ARIS) do Linha Defensiva. É possível perceber, pelas datas, que eles se estendem do início de dezembro até o início de janeiro. As marcas e nomes de empresas envolvidos foram retirados das imagens.

Se você receber um e-mail que suspeita ser malicioso, você pode encaminhá-lo para o Linha Defensiva. O e-mail será analisado e, caso contenha conteúdo malicioso, será feita uma tentativa de reduzir o número de vítimas, derrubando os links que levam aos sites infectados. Veja como encaminhar as mensagens aqui.

Todas as mensagens abaixo têm links que levam para vírus que roubam senhas de banco e circularam no final do ano passado. 


Foto: Reprodução

Golpes em 2008 começaram já no início de dezembro com cartões. (Foto: Reprodução )


Foto: Reprodução

Promoções envolvendo o natal foram usadas de temas para golpes. (Foto: Reprodução )


Foto: Reprodução

Cartões falsos tentam identificar supostos remetentes, como 'familiares'. (Foto: Reprodução )


Foto: Reprodução

Cartões de natal em links ou anexos podem trazer vírus. (Foto: Reprodução )


Foto: Reprodução

'Telegramas Virtuais' também são usados como isca para vírus. (Foto: Reprodução )


Foto: Reprodução

Golpes usando cartões são comuns o ano todo, mas se intensificam nessa época. (Foto: Reprodução )


Foto: Reprodução

Fraudes envolvendo cartões ou mensagens de ano novo também devem aparecer. (Foto: Reprodução )


Foto: Reprodução

Até o início do ano, golpes desejando um feliz ano novo ainda circulavam. (Foto: Reprodução)

Bom, então ... cuidado ... caso vocês também queiram podem enviar essas armadilhas virtuais para análise do CERT, através do e-mail cert@cert.br, sempre enviando junto o cabeçalho do e-mail. Abraço a todos.

sexta-feira, 27 de novembro de 2009

Cuidado ao pesquisar: Ataque infecta 500 mil páginas para envenenar resultados do Google


Reproduzo aqui parte da coluna de hoje do Altieres Rohr no site G1, pois é um alerta e cuidado nos retornos de pesquisa no Google:

A empresa de segurança Cyveillance detectou uma nova onda de ataques que envenenam exclusivamente os resultados de pesquisas no Google. Os resultados maliciosos não aparecem em concorrentes da gigante, como Bing e Yahoo. Além disso, as páginas são inofensivas se acessadas diretamente, fora do resultado das buscas.

Ao clicar em um dos resultados, o site tenta infectar o computador do internauta, instalando um antivírus fraudulento que tenta assustar a vítima até que ela compre o produto. O “antivírus”, porém, não realiza função alguma, e a fraude consiste exatamente nisso.

O curioso dessa onda ataques é que, segundo a Cyveillance, as páginas não apresentam qualquer comportamento malicioso se acessar diretamente. Quando um link é clicado, o navegador envia ao site que está sendo acessado a informação de referência, ou seja, quem fez o link. Usando essa informação, as páginas maliciosas restringem os ataques a apenas usuários que chegaram a elas por meio do Google.

Os links maliciosos, vários deles localizados em sites legítimos que foram comprometidos pelos criminosos, contém várias palavras populares. Com isso, eles esperam aparecer em buscas do Google, e serem eventualmente clicados por internautas. 



Fonte da reportagem e imagem: G1
 

quarta-feira, 25 de novembro de 2009

Palestra: Análise de incidentes de segurança na Internet e Crimes Virtuais - Uri Santiago


Acontecerá nas noites de 2, 3 e 4 de dezembro no Salão de Atos da URI a VI Semana Acadêmica de Ciência da Computação

Investimento:
- Até 27/11 R$ 25,00 + 1 kg de alimento não perecível
- Após 27/11 R$ 30,00

Programação:

2/12 (quarta-feira)

Palestrante: Ricardo Donato Iop
Título: "Decadium: empreendendo e exportando jogos."
Perfil Palestrante:
Sócio proprietário da Decadium Studios, empresa desenvolvedora de jogos participante da Incubadora Tecnológica de Santa Maria. Graduado em Ciência da Computação pela UFSM (Universidade Federal de Santa Maria) em 2007. Começou seu trabalho com a programação em Decadium Studios em 2004. Tem 6 anos de experiência programação e um 1ano de experiência como gerente de projetos.

Palestrante: Daniel Biasoli
Título: "Metodologias Ágeis: Aplicação de SCRUM."
Perfil Palestrante: Bacharel em Ciência da Computação pela UFSM, atuou na área de consultoria em Informática para o Curso de Especialização em Projetos Assistenciais da UFSC em parceria com a UFSM, criou o site Biasoli.com, desenvolveu sistemas para a Internet de Educação à Distância, atua na área de programação para a Internet e desenvolvimento de atividades que instigam o surgimento de novas tecnologias, trabalhou na Coperves/UFSM, na área de programação WEB.


3/12 (quinta-feira)

Palestrante: Emerson Wendt
Título: "Análise de incidentes de segurança na Internet e Crimes Virtuais"
Perfil Palestrante: Delegado de Polícia Civil do Estado do Rio Grande do Sul desde 1998. Formado em Direito pela UFSM e Pós-Graduado pela URI - Frederico Westphalen. Policial Rodoviário Federal de 1994 a 1998. Membro da Associação Internacional de Investigação de Crimes de Alta Tecnologia

 
4/12 (sexta-feira)

Palestrante: Alunos da Computação da URI Santiago
Título: "Apresentação de Propostas de TCC e Proj. de Pesquisa"
Perfil: Acadêmicos

Palestrante: Junior Marcos Bandeira
Título: "Tecnologias de Baixo Acoplamento para Construção de Sistemas Web."
Perfil Palestrante: Graduação: Informática - UNIJUI - Ijuí / RS, 2002. Pós-Graduação em Programação Avançada e Redes de Computadores na Unicruz, 2004. Mestrando em Sistemas de Informação - Engenharia de Produção na UFSM, grupo de Gestão e Tecnologia em Segurança da Informação GTSeg .
Passou por empresas como Jhon Deere Brasil (Analista de Suporte), HP Brasil (Projetista de Software), Sisnema Informática (Administrador de Redes) e Unicruz (Analista de Sistemas Web). Também atuou como professor.

Fonte: Uri Santiago