segunda-feira, 28 de dezembro de 2009

Dica: Não consigo lembrar de senhas ... Como faço??

[post update em 15/03/2010]

Cabe sempre melhorar um post, mesmo que não muito antigo. Por isso, resolvi aprimorar o post sobre dicas de como lembrar de senhas.

Inicialmente, há que se referir que senhas complexas são fundamentais para segurança nos e-mails e arquivos. Usar softwares de criptografia simétrica (como True Crypt, Kruptos e  Toucan, por exemplo) ou assimétrica também é importante e ajuda na segurança. Mas, de nada adianta se você não consegue guardar a sua senha complexa, não é??!!??

Uma senha complexa contém números (1, 2, 3, 4, ...), letras em caixa baixa (a, b, c, d ...) e alta (A, B, C, D ...), além de caracteres especiais ou teclas unicode (*&#,). O ideal é que a senha tenha pelo menos 14 caracteres, incluindo todas as opções citadas antes. Caso você queira testar se sua senha é mesmo complexa e segura, importante testar o Yet Another Password Meter, neste link: http://www.yetanotherpasswordmeter.com/. Embora em testes o site dá uma noção ao usuário, ao digitar a senha escolhida, se ela é segura e qual a avaliação sobre ela.

Vamos dizer que você já tenha criado uma senha, mesmo de oito dígitos, complexa e segura e você necessita gravá-la na memória e não consegue, pois já grava a senha de 10 e-mails, 5 sites de comércio eletrônico, cadastro de jornais etc.

Uma boa dica é o Keepass (link para o tutorial abaixo), que faz parta do pacote standard do PortableApps (conjunto de aplicativos para o pen drive), onde você cria uma senha mestra e cadastra as demais. Alguns antivírus, como o McAfee também vêem com essa possibilidade. É uma boa maneira. Caso você não se adapte, podes usar o que tem disponível na web, porém terás de guardar outras informações.
 
 
Já na web, veja a facilidade do Password Chart, que cria uma senha complexa e o funcionamento é simples: você insere uma frase qualquer no primeiro campo, descrito como “Enter a phrase to create the password chart”. Esta frase, definida por você, irá montar uma matriz que será a base para formação da senha, e também para você guardar e saber depois qual é a senha; seguindo, no campo “Enter a password to convert using the chart” você vai inserir a palavra que será convertida em senha, conforme imagem a seguir:


Veja que coloquei a palavra complexa e o site gerou a senha #77rbh+8RjcE3k@. Repare também que esta senha está associada a letras da palavra senha presentes na matriz ao lado (Como crio uma senha segura?).

Como realizei acima, tem como deixar a senha mais complexas, através das opções "include numbers?" (incluir números), que usei no exemplo e "include ponctuation?" (incluir pontuação).

Por isso, o bom do Password Chart é que se você esquecer a senha pode voltar ao site, reescrever a frase e a palavra que deu origem a ela. Selecionando as mesmas opções que selecionou da primeira vez, a senha será recuperada!

Caso você queira apenas um site para gerar uma senha forte e segura, a opção é o Good Password (neste link http://www.goodpassword.com/).

Leia mais sobre senhas seguras em:


Olhar Digital (texto e vídeo): Melhore suas senhas

-----------------------------------------------------------------------------

[post original]:


Voltando à ativa antes do final do ano e depois de várias considerações e acompanhamentos sobre os casos de phishing scam (PS) comuns à época do ano e às situações de negação de serviço (como é o caso da Amazon e da Wal-Mart, clique aqui para ver a notícia), pondero que é importante escrever sobre outro assunto: como lembrar de senhas?

Inicialmente, há que se referir que senhas complexas são fundamentais para segurança nos e-mails e arquivos. Usar softwares de criptografia (como True Crypt, Kruptos e  Toucan, por exemplo) também é importante e ajuda na segurança. Mas, de nada adianta se você não consegue guardar a sua senha complexa, não é??!!??

Uma senha complexa contém números, letras em caixa baixa e alta, além de caracteres especiais ou teclas unicode (ex.: *&#). Vamos dizer que você já tenha criado uma senha, mesmo de oito dígitos, complexa e segura e você necessita gravá-la na memória e não consegue, pois já grava a senha de 10 e-mails, 5 sites de comércio eletrônico, cadastro de jornais etc.

Uma boa dica é o Keepass, que faz parta do pacote standard do PortableApps (conjunto de aplicativos para o pen drive), onde você cria uma senha mestra e cadastra as demais. Alguns antivírus, como o McAfee também vêem com essa possibilidade. É uma boa maneira. Caso você não se adapte, podes usar o que tem disponível na web, porém terás de guardar outras informações.




Veja a facilidade do Password Chart, que cria uma senha complexa e o funcionamento é simples: você insere uma frase qualquer no primeiro campo, descrito como “Enter a phrase to create the password chart”. Esta frase, definida por você, irá montar uma matriz que será a base para formação da senha, e também para você guardar e saber depois qual é a senha; seguindo, no campo “Enter a password to convert using the chart” você vai inserir a palavra que será convertida em senha, conforme imagem a seguir:


Veja que coloquei a palavra complexa e o site gerou a senha #77rbh+8RjcE3k@. Repare também que esta senha está associada a letras da palavra senha presentes na matriz ao lado (Como crio uma senha segura?).

Como realizei acima, tem como deixar a senha mais complexas, através das opções "include numbers?" (incluir números), que usei no exemplo e "include ponctuation?" (incluir pontuação).

Por isso, o bom do Password Chart é que se você esquecer a senha pode voltar ao site, reescrever a frase e a palavra que deu origem a ela. Selecionando as mesmas opções que selecionou da primeira vez, a senha será recuperada!

Bom, por hoje é só. Espero que gostem e comentem!! Abraço a todos.
 

quinta-feira, 24 de dezembro de 2009

Feliz Natal e Próspero 2010!!!!

Amigos,

Estou passando aqui no Blog para deixar um Feliz Natal a todos os leitores. Que este período reforce ainda mais os valores de solidariedade, amor, paz e companheirismo entre as pessoas.

Mensagem de Natal e Ano Novo



"A Melhor mensagem de Natal é aquela que sai em silêncio
de nossos corações e aquece com ternura os corações daqueles que nos acompanham em nossa caminhada pela vida"


Que o ano de 2010 seja, para todos, um enorme sucesso, com muita paz nos corações!!

Obrigado por me acompanharem!!

Emerson Wendt

terça-feira, 22 de dezembro de 2009

O Blog do Emerson agora com domínio próprio

Amigos,

Depois de mais de um ano de blog e mais de 20.000 pageviews resolvir registrar um domínio com meu nome (www.emersonwendt.com.br), mas nada vai modificar, ao menos por enquanto, em relação a quem segue o blog. Apenas, por uma questão de "lógica do tempo", resolvi aceitar essa condição de formador de opinião no que tange aos assuntos de crimes cibernéticos e inteligência policial. Aliás, também foram criados os domínios www.crimesciberneticos.com.br e www.inteligenciapolicial.com.br, os quais deverão ter utilização futura, pois ainda não hospedados.



Agradeço a todos os que deram seus "pitacos" durante esse período e que colaboraram para o aperfeiçoamento do Blog e deste que escreve. De toda sorte, serviu até para que me sentisse encorajado a escrever sobre outros assuntos: sou colaborador do site www.notiquet.com e criei o Blog Meus Pitacos's, no qual pretendo escrever crônicas do cotidiano, principalmente relacionadas à cultura, educação, política e tecnologia (futuramente, o blog em questão estará sob o domínio www.meuspitacos.com.br).


Aproveito para desejar a todos um Feliz Natal e um Próspero Ano Novo. Abraço.

quinta-feira, 17 de dezembro de 2009

Como é a retirada de perfil falso do Orkut

Achei interessante o questionamento feito à coluna Segurança para o PC, sempre bem alinhavada pelo Altieres Rohr, sobre o "Perfil falso no Orkut", circunstância bastante comum tal qual a subtração de senhas do MSN (Windows Live Messenger). Posto-a abaixo e depois arrisco tecer alguns comentários.

>>> Perfil falso no Orkut
Gostaria de saber como proceder em caso de ataque pelo orkut?
Há um bom tempo existe um perfil 'fake' (falso) com meu nome e foto, que ridiculariza minha pessoa. Já solicitei várias vezes ao provedor e nunca tive resposta. Vocês poderiam me ajudar?

Márcio

Não sei a qual provedor você fez a solicitação, Márcio, mas o provedor de internet não pode ajudá-lo. Só uma empresa pode ajudar nesse caso: o Google, que é dono do Orkut. O que essa pessoa está fazendo com você é ilegal, e você pode conseguir fazer com que isso pare, mas é necessário tomar as atitudes corretas.

O advogado especializado em tecnologia Omar Kaminski lembra que o Google não tem um histórico muito solícito, e que pode ser necessário acionar a Justiça ou a polícia para conseguir que o perfil seja eliminado e que sejam reveladas as informações de identificação do responsável.

Primeiro, procure usar uma ferramenta de denúncia do próprio site. No caso, o Orkut possui essa opção logo abaixo da foto do perfil (no layout clássico), em um link rotulado “denunciar abuso”. Se isso não surtir efeito, procure um local para entrar em contato por e-mail e explique o problema. Não havendo retorno, é preciso notificar o responsável (no caso, o Google) extrajudicialmente (aqui, procure a ajuda de um advogado). Não havendo resultados, resta abrir uma ação contra a empresa.

Com isso também pode ser possível descobrir as informações técnicas necessárias para se chegar ao responsável.

Kaminski faz mais um comentário: a prática “pode configurar crime, dependendo do que foi feito em seu nome. Falsa identidade, falsidade ideológica e outras possibilidades”. 
 
Bom, postado o assunto entendo oportuno especificar algo, tendo em conta, principalmente, se o perfil falso criado configurar crime. Se a pessoa foi, através desse perfil criado, vítima de crimes contra a honra (calúnia, injúria e difamação), falsidade ideológica, ameaça etc., é importante que siga as recomandações postadas antes aqui neste blog, levando os dados do perfil até a Delegacia de Polícia mais próxima e registrando todos aspectos.

A atividade de investigação irá também, além de procurar identificar quem cometeu o crime, solicitar formalmente ao Google que retire o perfil do site e resguarde as provas necessárias (como o Google respeita a lei americana na preservação de informações, estes dados ficarão, em tese, guarnecidos por 5 anos), mas é importante mencionar isso durante o registro da ocorrência.

Assim, sabe-se que muitas vezes o que se quer não é o processamento criminal do acusado de montar determinado perfil fake; porém, como nem sempre há retirada do perfil pela simples utilização do "denunciar abuso", essa medida pode ser feita administrativamente pelo órgão policial e, como o especialista ouvido pela coluna citada, extrajudicialmente ou judicialmente, aí sim com auxílio de advogado de sua confiança. Outro aspecto importante é que alguns crimes, para que haja a atuação policial, mesmo que seja feito o registro, é necessária uma manifestação expressa de que quer que o fato seja investigado (é o caso, por exemplo, dos crimes contra a honra).

Por isso, fiquem atentos e registrem os crimes virtuais!!!

quarta-feira, 9 de dezembro de 2009

Crimes virtuais: como proceder??

Nos finais de ano ou próximo às festividades mais importantes, há sempre um número recorde de textos e postagens, em sites e blogs de segurança na web, orientando os usuários da internet em como fazer compras de maneira segura e com o mínimo de riscos, o que é muito positivo.

Porém, não tem como não fazer algumas considerações a respeito daqueles que, a despeito de todas as orientações, por algum motivo ou outro, acabam sendo vítimas de crimes virtuais, principalmente as fraudes eletrônicas, seja com a subtração de valores de contas bancárias, seja com utilização de cartões de crédito e/ou débito.

Percebe-se que o usuário-vítima, em primeiro momento, procura recompor sua perda financeira diretamente na instituição bancária, o que é de todo compreensível. Quem fica satisfeito em sofrer prejuízo econômico e não vai atrás daquilo que lhe tiraram?

No entanto, a sugestão importante, até para que a polícia possa ter o conhecimento real sobre esse tipo de crime, é de que a pessoa possa, municiada de todas informações possíveis, dirigir-se até a Delegacia de Polícia mais próxima e efetuar o registro de ocorrência. 

Veja a Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

A FEBRABAN estabelece orientação às instituições bancárias para que “sugiram” aos clientes o registro do fato, no entanto não estabelecem “a obrigatoriedade”, o que acaba ocasionando uma sub-notificação dessa espécie delitiva.

A partir do registro, caberá à Polícia Civil ou Federal (caso a instituição financeira seja a Caixa) buscar as provas necessárias e os dados de onde partiu a transação financeira ilegal, contatando – formalmente e/ou com ordem judicial – os bancos e os provedores de serviços de internet, ou seja, rastreando os passos do criminoso virtual e também do valor subtraído.

Da mesma forma, quando o crime for outro que não o financeiro, mas cometido através da rede mundial de computadores, a vítima ou seu representante legal pode comunicar o fato à delegacia mais próxima.

No caso de páginas falsas, postagens ofensivas em sites de relacionamento ou blogs, publicação indevida de vídeos e fotos etc., o importante é trazer consigo o endereço (link) e, também, a página impressa. A mesma orientação cabe quanto aos sítios de comércio eletrônico, que sempre exigem um cadastro dos usuários, tanto para venda quanto para compra. Neste caso, também é importante trazer o registro das conversas realizadas por e-mail e/ou comunicadores instantâneos (MSN, GTalk, Skype etc.).

Já no caso de e-mails com conteúdo criminoso, o que não é incomum, além da página impressa a pessoa deve levar junto o que chamamos de “cabeçalho do e-mail” ou “código fonte” da mensagem, guarnecendo o e-mail na sua caixa postal (apagar o e-mail não vai ajudar na identificação do criminoso!). 

Existem vários tutoriais à disposição na internet que ensinam como encontrar o “código fonte” de um e-mail, pois as configurações dos provedores de conteúdo são diferentes (por exemplo, no Yahoo! e Hotmail o usuário tem de clicar sobre a mensagem, ainda visualizada, com o botão direito e pedir para, respectivamente, “Exibir cabeçalhos completos” e “Exibir código fonte da mensagem”). Ela ajudará os agentes policiais a chegar à origem da mensagem e provedor de serviços de internet utilizado pelo criminoso.

Exposta a forma de proceder, é importante referir que o registro feito, pelo usuário da internet quando é vítima de algum criminoso virtual, ajuda a polícia a, além de estabelecer estatisticamente os fatos, contribuir preventivamente para a inocorrência de novos delitos. Daí que a importância da denúncia vai além do intuito repressivo, visando conhecer o perfil dos agentes delituosos desse “mundo interligado e que está por trás de máquinas e processadores”.

Ps.: caso tenham interesse em publicar este artigo, por favor façam referente à fonte (http://www.emersonwendt.com.br) e ao autor (Emerson Wendt).

Post original em 09/12/2009. Update post em 23/01/2011.

terça-feira, 8 de dezembro de 2009

Exemplo a seguir: Aula sobre segurança na web para crianças se torna obrigatória na Inglaterra


Estratégia criará diretrizes sobre como proteger as crianças na internet.
Lições sobre cuidados na web iniciarão em setembro de 2011.


A Grã-Bretanha tornará obrigatória lições de segurança na internet para crianças acima de 5 anos em um novo programa que visa retomar as campanhas sobre segurança do passado. As lições são parte da estratégia "Clique com Inteligência, Clique com Segurança", que criará diretrizes para o governo, indústria e instituições de caridade sobre como proteger as crianças ao acessar sites e serviços da internet.

"A internet oferece um mundo de entretenimento, oportunidade e conhecimento às nossas crianças, um mundo literalmente aos seus dedos", disse o primeiro-ministro, Gordon Brown. "Mas devemos assegurar que o mundo virtual seja tão seguro quanto este. Esperamos que 'zipar, bloquear, marcar' se torne tão familiar para essa geração quanto 'pare, olhe, escute' era no passado."

O governo diz que 99% das crianças britânicas entre 8 e 17 anos possuem acesso à internet. Contudo, pesquisas mostram que 18% dos jovens têm cruzado com conteúdo on-line "perigoso ou inapropriado", e 33% das crianças dizem que seus pais não estavam cientes de suas atividades na rede.

Os novos planos, esboçados pelo Conselho para Segurança da Criança na Internet, que é composto por 140 organizações, incluindo Google, Microsoft e a rede social Bebo, tornam as lições de segurança on-line obrigatórias para maiores de 5 anos a partir de setembro de 2011.
Da Reuters - Fonte: G1

segunda-feira, 7 de dezembro de 2009

Dicas de Segurança para Compras On-line no final de ano - CAIS-RNP


Estou reproduzindo, na sua totalidade, o alerta de final de ano distribuído pelo CAIS-RNP, sobre como fazer compras de maneira segura pela internet. Fiquem atentos.


Estamos entrando em um período em que o volume de compras pela Internet aumenta consideravelmente. Natal, Amigo Secreto/Oculto e outras confraternizações típicas desta época causam um aumento de compras

on-line, mesmo por aqueles que nunca compraram pela Internet por temer problemas de segurança.



O CAIS gostaria de alertá-lo sobre alguns cuidados que você deveria em suas compras on-line. Consulte nossa lista de dicas de segurança para realizar suas compras on-line de maneira mais segura.


ANTES DA COMPRA


. Cuidados na busca - seja cuidadoso com os links patrocinados do Google (resultado da busca em uma caixa amarela no topo da página de respostas da busca e no painel direito). Já aconteceram diversos casos de fraudadores que pagaram pelo serviço para destacar suas páginas falsas ou páginas de distribuição de software malicioso (malware). Existem também técnicas chamadas SEO (Search Engine Optimization ou Otimização de Mecanismos de Busca) que podem ser usadas para fazer com que páginas maliciosas na primeira página de respostas de uma busca no Google. Utilize sites de busca alternativos para verificar o endereço correto da loja, como Dogpile, Clusty e Microsoft Bing.



. Phishing - não visite sites sugeridos em Spam que você recebe. Você pode ser levado a sites falsos, com objetivo de coletar seus dados financeiros ou instalar programas maliciosos.



. Barras anti-phishing no navegador - estas barras o ajudam a identificar páginas falsas conhecidas. Elas também indicam que um site de banco brasileiro está hospedado em um outro país, por exemplo. Netcraft Anti-Phishing Toolbar, Microsoft Phishing Filter e AntiFraude UOL (Barra UOL) são as principais opções.



. Redes Sociais e SMS / Torpedo - Muitas mensagens maliciosas com golpes e vírus chegam por meio de Redes Sociais (Orkut, Twitter, Facebook) e torpedos / SMS no celular. Estas mensagens também são Spam  e tiram proveito de novos meios que não são bem preparados para lidar com mensagen não solicitadas.



. E-mail - os principais bancos optaram por não enviar mensagens para seus clientes. É mais fácil saber que seu banco nunca envia mensagens do que tentar separar mensagens falsas de verdadeiras. Como regra geral evite abrir mensagens e, principalmente, seguir os links (URL) que elas fornecem. Se você tomou conhecimento de um link suspeito colabore com serviços de filtragem de enderecos maliciosos encaminhando a mensagem ou simplesmente o link para:

- https://phishingfilter.microsoft.com/feedback.aspx?result=none&URL=http://www.example.com onde http://www.example.com e' o site malicioso. Este é o Phishing Filter disponivel na forma de Add-in para IE6 e integrado ao IE7.

- http://www.google.com/safebrowsing/report_phish/ - Filtro de paginas maliciosas do Google, tambem integrado ao Firefox.


. Conheça as mensagens falsas - consulte o Catálogo de Fraudes RNP para se familiarizar com as mensagens falsas mais comuns. Disponível em http://www.rnp.br/cais/fraudes.php



. Reforce a segurança de seu computador - mantenha seu computador totalmente atualizado, se não souber como fazer isto peça ajuda. Vulnerabilidades em software ajudam os fraudadores. Instale e mantenha  atualizado um anti-virus, firewall pessoal, anti-spyware e Anti-Spam. No caso de Windows utilize a opção Microsoft Update e não Windows Update para atualizações. Desta forma tanto o Sistema Operacional  Windows quanto os aplicativos (exemplo: Microsoft Office) são atualizados.



. Atualize o navegador - Tenha sempre as versões mais recentes de navegador (browser). Ter a última geração de navegadores (Mozilla Firefox 3.5, Microsoft Internet Explorer 8, entre outros) instalada oferece proteção adicional contra golpes de Phishing e vírus.



. Algumas atualizações especiais - Atualize sempre o Adobe Flash Player, Sun Java JRE e o Adobe Reader (documentos PDF). Há muitas vulnerabilidades que afetam estas aplicações que estão por trás de várias páginas que utilizamos todos os dias.



. VPN (Virtual Private Network) - se você tiver VPN à sua disposição utilize-a. A configuração ideal de  VPN é aquela que cria um "túnel" protegido por criptografia entre seu computador e a rede que abriga o servidor VPN, de forma que toda sua atividade de rede tenha origem na rede remota e não de seu computador. Consulte o suporte técnico de sua empresa para mais informações. Se for necessário  o uso de proxy sugerimos os Add-ons (Mozilla Firefox) FoxyProxy e SwitchProxy.



. Ensine o Anti-Spam de seu webmail - o envio de mensagens maliciosas por meio de Spam é uma das principais portas de entrada de fraudes. Marque mensagens que apresentam sinais de Phishing como Spam, desta forma você e outros usuários serão menos expostos a mensagens maliciosas.



. Reputação - Compre apenas de empresas on-line reconhecidas no mercado. Visite sites como Buscape (www.buscape.com.br) e Bondfaro (www.bondfaro.com.br) para conhecer sites confiáveis - ambos tem um  processo de filiação sujeito a aprovação, selos de empresa reconhecida, bem como opiniões e avaliação dos próprios compradores. Peça dicas de sites de compras para amigos próximos.



. Itens com mais risco - Tenha cuidado especial ao comprar itens populares, como MP3 players, câmeras digitais, smartphones, laptops, TV LCD, navegadores GPS. Itens mais desejados são mais explorados, o que pode tornar a compra mais arriscada. Desconfie se encontrar muitos itens difíceis de ser encontrados em um mesmo site.



. OpenDNS - configure seu computador de forma que ele use os servidores de DNS do projeto OpenDNS (208.67.222.222 e 208.67.220.220). Além de diminuir o tempo de resposta das resoluções de nome (processo que informa o endereço IP de um endereço) este serviço é mais uma camada de segurança ao apontar endereços que são conhecidos por serem maliciosos.


DURANTE A COMPRA


. Comunicação Segura - Verifique se o site oferece comunicação segura entre seu computador e o servidor. O nome técnico deste protocolo é SSL ou TLS (Secure Socket Layer / Transport Layer Security) e pode ser verificado em seu navegador pelas presenças do endereço no formato https://www.example.com (em vez de http://...) e da figura de um cadeado na interface gráfica de seu navegador. O navegador Mozilla Firefox complementa estes indicadores visuais trocando a cor de fundo da barra de endereços (URL) para amarelo.



. Cadeado no navegador nao é sinônimo de segurança! - Esta talvez seja a mais importante das dicas de compra. Existem vários ataques que permitem que alguém dentro de sua própria rede (trabalho, condomínio, hotspot Wi-Fi) faça com que um computador seja um "homem do meio" na conexão entre seu computador e o servidor do seu site de compras. A conexão segura acontecerá, mas ela será estabelecida entre seu computador e o computador malicioso, que estabelece a conexão com o servidor do site de compras. Isto permite que tudo o que você envia seja lido. Fique atento a alertas relacionados a certificados digitais que seu navegador apresenta.



. Use seu próprio computador - prefira o computador de sua casa ou trabalho para compras. A probabilidade de seu computador estar atualizado e livre de software malicioso é maior do que a  de uma estação de uma "Lan House" ou estabelecimento similar. 

. Usar ou não cartão de crédito? - Usar o cartão de crédito em compras on-line é tão seguro quanto usá-lo em um restaurante. Tanto compras no mundo real quanto on-line são sujeitas a fraude durante a compra ou a  problemas na manipulação de seus dados (armazenamento inadequado e vazamento dos dados de seu cartão, por exemplo). Se preferir use UOL PagSeguro ou PayPal, este último agora mais presente no Brasil. Estas duas formas de pagamento são muito seguras e você não precisa fornecer os dados de seu cartão de crédito.



. Não compre por impulso - Se desconfiar do site e a compra for inevitável, escolha por pagar com boleto bancário ou SEDEX a cobrar. Evite informar sua conta bancária e CPF, prefira um depósito não  identificado. Débitos automáticos incluidos sem a autorização do correntista são uma prática frequente.



. Desconfie de ofertas boas demais, use o bom senso acima de tudo. Sites sem reputação com preços bons demais são suspeitos. Você pode não receber o produto, colaborar com a sonegação de impostos ou ter seus dados financeiros utilizados por terceiros.


APÓS A COMPRA


. Logout - efetue "logout" do site de compras, em especial em estações compartilhadas por várias pessoas. Se possível aprenda como limpar "cookies" e outras informações confidenciais em seu browser. Firefox 3.5 e Internet Explorer 8 contam com opcoes especificas para este tipo de operacao.



. Realize uma limpeza mais completa em seu computador - instale ferramentas de limpeza de histórico e utilize-a com frequência. Uma sugestão é CCleaner (consulte a seção "Mais informações").



. Confira sempre a fatura de seu cartão - Acompanhe com cuidado a  fatura de seus cartões de crédito. Se identificar uma compra irregular informe sua operadora. Se você for um bom cliente, com reputação, é bem provável que não tenha problemas em ter o valor ressarcido. A maioria dos cartões oferece fatura parcial, ou seja, a movimentação atualizada antes do fechamento. Verifique se seu cartão oferece o serviço de notificação de transações por SMS (torpedo). Este recurso não impede fraudes, mas permite que você reaja o mais rápido possível.



. Acompanhe a entrega do produto - As entregas normalmente são realizadas pelos Correios ou por outras empresas que oferecem "tracking" do seu pedido, ou seja, acompanhamento da entrega do produto mediante o uso de um código fornecido pelo vendedor. Este código normalmente é fornecido ao final da transação de compra.



. Não apague os registros de sua compra, especialmente mensagens com  confirmação de compra e entrega.


SITES DE LEILÃO


. Reputação - Leia os comentários que os compradores anteriores tem com relação ao vendedor. Embora este tipo de indicador seja sujeito a fraude a reputação é uma boa maneira de avaliar o comprador.



. Qualidade do vendedor - Conheca o sistema de qualificação de vendedores de seu site de leilões preferido. Você pode saber mais sobre a reputação do vendedor a partir da avaliação de vendas anteriores feitas por outros compradores.



. Leia atentamente a descrição dos produtos, políticas de compra e políticas de entrega do produto.



. Não guarde dúvidas - Pergunte sobre o produto no espaço destinado a este fim. Este tipo de recurso normalmente é aberto a qualquer pessoa que consulte o produto e pode ser útil para identificar  características que não condizem com a descrição ou mesmo para conhecer compradores insatisfeitos.



. Denuncie o vendedor - Se você se sentiu lesado por algum vendedor informe a administração e possíveis futuros compradores (por meio de qualificação) do site o mais breve possível.

PS.: As comunicações de  links e e-mails suspeitos também pode ser feito ao CERT.br, através do e-mail cert@cert.br ou se quiser pode mandar para o e-mail no cadastro deste blog.

terça-feira, 1 de dezembro de 2009

Fraudes em sites bancários não são tão graves quanto parecem

Randall Stross


As agências policiais que cuidam da segurança na computação estão muito familiarizadas com as diversas modalidades de "phishing", a forma de fraude que envolve tentar atrair usuários a um site bancário falso, por exemplo, para obter seus nomes de usuário e senhas. Mas até mesmo as pessoas cautelosas por motivos profissionais podem ser enganadas, ou quase enganadas. Se duvida, pergunte a Robert Mueller, diretor do Serviço Federal de Investigações (FBI).

Mueller recentemente recebeu uma mensagem de e-mail que parecia vir de seu banco. Ele clicou no link e começou a seguir as instruções para "confirmar" as informações de sua conta. Antes de concluir o procedimento, porém, percebeu que o site era falso, e por isso fechou o navegador. Mas o que aconteceu depois foi o mais interessante. Quando Mueller contou à sua mulher sobre o incidente, ele diz que a conclusão extraída por ela do caso foi a de que acesso online a contas bancárias é inaceitavelmente arriscado. "Para você, nada de usar o banco na internet", ela decretou.
 
O diretor do FBI contou a história em um discurso no Commonwealth Club, na Califórnia, em outubro. No discurso, ele afirmou que "não estamos dedicando atenção suficiente à ameaça virtual e suas consequências". Mueller relatou aquela história pessoal como exemplo cautelar vindo de "alguém que passa boa parte de sua vida profissional alertando os outros quanto aos perigos dos crimes de computação", mas ainda assim quase caiu vítima de um deles, e se deteve "apenas no último instante". (A história termina assim, e um porta-voz de Mueller, no FBI, recusou meu pedido de entrevista.).

Uma audiência formada por civis naturalmente sairia imaginando ¿que chances temos nós de evitar que o nosso dinheiro seja roubado?" Não estou convencido, porém, de que usar serviços bancários online seja tão arriscado quanto Mueller dá a entender. Sei que, como usuários comuns de computadores, somos vítimas de muitas tentativas de fraude. Mas isso não me preocupa porque, caso as fraudes causem prejuízo, quem arca com ele não sou eu, e sim o meu banco. Não consegui encontrar qualquer empresa do setor financeiro, e investiguei corretoras, além de bancos, que não prometa ressarcir os eventuais prejuízos de uma vítima de fraude.

Mueller, ao encorajar sua audiência a investir em "segurança na computação", evocou uma ameaça terrível ao mencionar que é necessário que as pessoas se protejam contra "perder tudo". Mas de que maneira eu poderia "perder tudo" para criminosos da computação quando meu banco promete, em seu site, garantia de 100% de restituição no "improvável evento de que alguém não autorizado saque fundos por meio de nossos serviços online"?

"Prejuízo zero para os clientes se tornou uma norma setorial", disse Doug Johnson, vice-presidente de gestão de risco na Associação Americana de Bancos. A restituição é plena, e os clientes não têm nem mesmo a responsabilidade limitada de US$ 50 que as operadoras de cartões de crédito impõem aos seus clientes pelo uso indevido de cartões.


Os bancos, as corretoras online e sites de pagamentos como o PayPal, expostos como estão, gostariam que seus clientes adotassem segurança mais sofisticada que uma simples senha, para proteger as nossas contas. Uma forma de combater a ameaça de phishing é requerer que os clientes forneçam uma segunda sequência de dados quando se conectam, um número de uso único criado ou por um aparelhinho especialmente concebido para esse fim ou por um código enviado ao celular do cliente.

Uma senha pessoal é "algo que você sabe", como descrevem os especialistas em segurança, e o código temporário de segurança é "algo que você tem", e que um fraudador praticando phishing não teria. Requerer duas coisas dessemelhantes é a essência da "autenticação em dois fatores".


Um sistema como esse não é perfeito, mas se pode perceber por que instituições financeiras gostariam de ter fechaduras melhores em suas portas de entrada. No entanto, elas precisam proceder com cautela, porque de outra forma poderiam levar seus clientes a abrir mão do uso bancário da internet. No momento, os bancos parecem estar oferecendo esse sistema de segurança adicional apenas aos clientes empresariais.

Teddy De Rivera, vice-presidente executivo de serviços de internet no banco Wells Fargo, disse que sua empresa passaria a empregar de maneira mais ampla o serviço de chave dupla de autenticação, nos próximos dois anos. O Wells Fargo planeja requerer um código não só quando o cliente se conecta mas quando o software detectar uma transação suspeita, "de alto risco". O departamento dele obteve informações junto a clientes que deixam clara a rejeição a "usar o sistema para todas as transações", disse.

Eu assinei para testar o sistema de chave de segurança do PayPal, disponível para os usuários interessados. A cada vez que me conecto, recebo um código de segurança de seis dígitos em uma mensagem de texto enviada ao meu celular -é fácil copiá-lo, mas o procedimento acrescenta um estágio extra à transação.


Quando perguntei a Michael Vergara, diretor de gestão de risco na PayPal, se ele recomendava que todos os usuários empregassem o sistema de segurança reforçada, ele respondeu que "se a pessoa passa muito tempo usando as áreas mais obscuras da internet, sim". "Mas se estivermos falando de alguém que visita três sites, ter segurança adicional quando usa o PayPal não vai melhorar sua experiência", ele acrescentou.


Não sei se Mueller, do FBI, convenceu a mulher a suspender a proibição quanto ao uso de bancos online pela família. Se não conseguiu, deveria usar as duas palavras que têm o poder mágico de acalmar os temores do mais ansioso cliente bancário: prejuízo zero.



Randall Stross é jornalista, no Vale do Silício, e professor de administração de empresas na Universidade Estadual de San Jose.

Tradução: Paulo Migliacci ME
The New York Times (Fonte: Terra Tecnologia)