Pular para o conteúdo principal

Fraudes em sites bancários não são tão graves quanto parecem

Randall Stross


As agências policiais que cuidam da segurança na computação estão muito familiarizadas com as diversas modalidades de "phishing", a forma de fraude que envolve tentar atrair usuários a um site bancário falso, por exemplo, para obter seus nomes de usuário e senhas. Mas até mesmo as pessoas cautelosas por motivos profissionais podem ser enganadas, ou quase enganadas. Se duvida, pergunte a Robert Mueller, diretor do Serviço Federal de Investigações (FBI).

Mueller recentemente recebeu uma mensagem de e-mail que parecia vir de seu banco. Ele clicou no link e começou a seguir as instruções para "confirmar" as informações de sua conta. Antes de concluir o procedimento, porém, percebeu que o site era falso, e por isso fechou o navegador. Mas o que aconteceu depois foi o mais interessante. Quando Mueller contou à sua mulher sobre o incidente, ele diz que a conclusão extraída por ela do caso foi a de que acesso online a contas bancárias é inaceitavelmente arriscado. "Para você, nada de usar o banco na internet", ela decretou.
 
O diretor do FBI contou a história em um discurso no Commonwealth Club, na Califórnia, em outubro. No discurso, ele afirmou que "não estamos dedicando atenção suficiente à ameaça virtual e suas consequências". Mueller relatou aquela história pessoal como exemplo cautelar vindo de "alguém que passa boa parte de sua vida profissional alertando os outros quanto aos perigos dos crimes de computação", mas ainda assim quase caiu vítima de um deles, e se deteve "apenas no último instante". (A história termina assim, e um porta-voz de Mueller, no FBI, recusou meu pedido de entrevista.).

Uma audiência formada por civis naturalmente sairia imaginando ¿que chances temos nós de evitar que o nosso dinheiro seja roubado?" Não estou convencido, porém, de que usar serviços bancários online seja tão arriscado quanto Mueller dá a entender. Sei que, como usuários comuns de computadores, somos vítimas de muitas tentativas de fraude. Mas isso não me preocupa porque, caso as fraudes causem prejuízo, quem arca com ele não sou eu, e sim o meu banco. Não consegui encontrar qualquer empresa do setor financeiro, e investiguei corretoras, além de bancos, que não prometa ressarcir os eventuais prejuízos de uma vítima de fraude.

Mueller, ao encorajar sua audiência a investir em "segurança na computação", evocou uma ameaça terrível ao mencionar que é necessário que as pessoas se protejam contra "perder tudo". Mas de que maneira eu poderia "perder tudo" para criminosos da computação quando meu banco promete, em seu site, garantia de 100% de restituição no "improvável evento de que alguém não autorizado saque fundos por meio de nossos serviços online"?

"Prejuízo zero para os clientes se tornou uma norma setorial", disse Doug Johnson, vice-presidente de gestão de risco na Associação Americana de Bancos. A restituição é plena, e os clientes não têm nem mesmo a responsabilidade limitada de US$ 50 que as operadoras de cartões de crédito impõem aos seus clientes pelo uso indevido de cartões.


Os bancos, as corretoras online e sites de pagamentos como o PayPal, expostos como estão, gostariam que seus clientes adotassem segurança mais sofisticada que uma simples senha, para proteger as nossas contas. Uma forma de combater a ameaça de phishing é requerer que os clientes forneçam uma segunda sequência de dados quando se conectam, um número de uso único criado ou por um aparelhinho especialmente concebido para esse fim ou por um código enviado ao celular do cliente.

Uma senha pessoal é "algo que você sabe", como descrevem os especialistas em segurança, e o código temporário de segurança é "algo que você tem", e que um fraudador praticando phishing não teria. Requerer duas coisas dessemelhantes é a essência da "autenticação em dois fatores".


Um sistema como esse não é perfeito, mas se pode perceber por que instituições financeiras gostariam de ter fechaduras melhores em suas portas de entrada. No entanto, elas precisam proceder com cautela, porque de outra forma poderiam levar seus clientes a abrir mão do uso bancário da internet. No momento, os bancos parecem estar oferecendo esse sistema de segurança adicional apenas aos clientes empresariais.

Teddy De Rivera, vice-presidente executivo de serviços de internet no banco Wells Fargo, disse que sua empresa passaria a empregar de maneira mais ampla o serviço de chave dupla de autenticação, nos próximos dois anos. O Wells Fargo planeja requerer um código não só quando o cliente se conecta mas quando o software detectar uma transação suspeita, "de alto risco". O departamento dele obteve informações junto a clientes que deixam clara a rejeição a "usar o sistema para todas as transações", disse.

Eu assinei para testar o sistema de chave de segurança do PayPal, disponível para os usuários interessados. A cada vez que me conecto, recebo um código de segurança de seis dígitos em uma mensagem de texto enviada ao meu celular -é fácil copiá-lo, mas o procedimento acrescenta um estágio extra à transação.


Quando perguntei a Michael Vergara, diretor de gestão de risco na PayPal, se ele recomendava que todos os usuários empregassem o sistema de segurança reforçada, ele respondeu que "se a pessoa passa muito tempo usando as áreas mais obscuras da internet, sim". "Mas se estivermos falando de alguém que visita três sites, ter segurança adicional quando usa o PayPal não vai melhorar sua experiência", ele acrescentou.


Não sei se Mueller, do FBI, convenceu a mulher a suspender a proibição quanto ao uso de bancos online pela família. Se não conseguiu, deveria usar as duas palavras que têm o poder mágico de acalmar os temores do mais ansioso cliente bancário: prejuízo zero.



Randall Stross é jornalista, no Vale do Silício, e professor de administração de empresas na Universidade Estadual de San Jose.

Tradução: Paulo Migliacci ME
The New York Times (Fonte: Terra Tecnologia)

Comentários

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook:
Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil.
Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDARua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000
- Fonte: Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas forças da lei (law enforcemen…

Estamos entre os melhores Delegados de Polícia, segundo Censos de 2017, 2018 e 2019

No ano de 2017 já havíamos sido agraciados com a distinção e citação dentre os melhores Delegados de Polícia na Categoria Jurídica. 


Em 2018 e 2019, segundo o Portal Nacional dos Delegados, fomos novamente escolhidos, dentre os Melhores Delegados de Polícia do Brasil, na Categoria Gestão.


Assim, ficamos muito lisonjeados pelo reconhecimento nacional em termos de gestão, especialmente pelo trabalho frente ao Conselho Nacional de Chefes de Polícia Civil, o CONCPC, e, também, da atividade de inteligência. Vejam a lista completa dos agraciados de 2019, clicando aqui.

Seguimos em frente. Deixamos a Chefia da Polícia Civil do RS, deixamos a área de inteligência, porém na vamos continuar nos dedicando à atividade de Segurança Pública.

Recomendações a pais, professores e escolas quanto às ameaças de atentado

Pós fato Suzano/SP, o alvoroço nas mídias sociais foi muito grande. Em alguns Estados mais do que outros. Muita trollagen para gerar pânico. Sendo assim, é importante algumas precauções por parte dos colégios/escolas:

Existência de meios físicos de contenção e controle:

- catraca/controle eletrônico de acesso
- controle de entrada e saída de visitantes, com registros de dados
- videomonitoramento, com gravação por pelo menos 10 dias. Ideal é 30 dias

Mecanismos preventivos:

- formatar equipe (interna ou mista interna/externa) de avaliação de ameaças;
- definir comportamentos por ordem de risco e necessidade de contingenciamento;
- definir condutas que demandam intervenção imediata (por exemplo, porte de arma, postagem em redes sociais);
- criar e gerir um sistema anônimo que permita reportar informações com condutas de risco (e-mail, telefone etc.);
- promover ambiente alicerçado em uma cultura de segurança, respeito, confiança e apoio emocional;
- incentivar alunos a compartilhar suas …