Pular para o conteúdo principal

Fraudes em sites bancários não são tão graves quanto parecem

Randall Stross


As agências policiais que cuidam da segurança na computação estão muito familiarizadas com as diversas modalidades de "phishing", a forma de fraude que envolve tentar atrair usuários a um site bancário falso, por exemplo, para obter seus nomes de usuário e senhas. Mas até mesmo as pessoas cautelosas por motivos profissionais podem ser enganadas, ou quase enganadas. Se duvida, pergunte a Robert Mueller, diretor do Serviço Federal de Investigações (FBI).

Mueller recentemente recebeu uma mensagem de e-mail que parecia vir de seu banco. Ele clicou no link e começou a seguir as instruções para "confirmar" as informações de sua conta. Antes de concluir o procedimento, porém, percebeu que o site era falso, e por isso fechou o navegador. Mas o que aconteceu depois foi o mais interessante. Quando Mueller contou à sua mulher sobre o incidente, ele diz que a conclusão extraída por ela do caso foi a de que acesso online a contas bancárias é inaceitavelmente arriscado. "Para você, nada de usar o banco na internet", ela decretou.
 
O diretor do FBI contou a história em um discurso no Commonwealth Club, na Califórnia, em outubro. No discurso, ele afirmou que "não estamos dedicando atenção suficiente à ameaça virtual e suas consequências". Mueller relatou aquela história pessoal como exemplo cautelar vindo de "alguém que passa boa parte de sua vida profissional alertando os outros quanto aos perigos dos crimes de computação", mas ainda assim quase caiu vítima de um deles, e se deteve "apenas no último instante". (A história termina assim, e um porta-voz de Mueller, no FBI, recusou meu pedido de entrevista.).

Uma audiência formada por civis naturalmente sairia imaginando ¿que chances temos nós de evitar que o nosso dinheiro seja roubado?" Não estou convencido, porém, de que usar serviços bancários online seja tão arriscado quanto Mueller dá a entender. Sei que, como usuários comuns de computadores, somos vítimas de muitas tentativas de fraude. Mas isso não me preocupa porque, caso as fraudes causem prejuízo, quem arca com ele não sou eu, e sim o meu banco. Não consegui encontrar qualquer empresa do setor financeiro, e investiguei corretoras, além de bancos, que não prometa ressarcir os eventuais prejuízos de uma vítima de fraude.

Mueller, ao encorajar sua audiência a investir em "segurança na computação", evocou uma ameaça terrível ao mencionar que é necessário que as pessoas se protejam contra "perder tudo". Mas de que maneira eu poderia "perder tudo" para criminosos da computação quando meu banco promete, em seu site, garantia de 100% de restituição no "improvável evento de que alguém não autorizado saque fundos por meio de nossos serviços online"?

"Prejuízo zero para os clientes se tornou uma norma setorial", disse Doug Johnson, vice-presidente de gestão de risco na Associação Americana de Bancos. A restituição é plena, e os clientes não têm nem mesmo a responsabilidade limitada de US$ 50 que as operadoras de cartões de crédito impõem aos seus clientes pelo uso indevido de cartões.


Os bancos, as corretoras online e sites de pagamentos como o PayPal, expostos como estão, gostariam que seus clientes adotassem segurança mais sofisticada que uma simples senha, para proteger as nossas contas. Uma forma de combater a ameaça de phishing é requerer que os clientes forneçam uma segunda sequência de dados quando se conectam, um número de uso único criado ou por um aparelhinho especialmente concebido para esse fim ou por um código enviado ao celular do cliente.

Uma senha pessoal é "algo que você sabe", como descrevem os especialistas em segurança, e o código temporário de segurança é "algo que você tem", e que um fraudador praticando phishing não teria. Requerer duas coisas dessemelhantes é a essência da "autenticação em dois fatores".


Um sistema como esse não é perfeito, mas se pode perceber por que instituições financeiras gostariam de ter fechaduras melhores em suas portas de entrada. No entanto, elas precisam proceder com cautela, porque de outra forma poderiam levar seus clientes a abrir mão do uso bancário da internet. No momento, os bancos parecem estar oferecendo esse sistema de segurança adicional apenas aos clientes empresariais.

Teddy De Rivera, vice-presidente executivo de serviços de internet no banco Wells Fargo, disse que sua empresa passaria a empregar de maneira mais ampla o serviço de chave dupla de autenticação, nos próximos dois anos. O Wells Fargo planeja requerer um código não só quando o cliente se conecta mas quando o software detectar uma transação suspeita, "de alto risco". O departamento dele obteve informações junto a clientes que deixam clara a rejeição a "usar o sistema para todas as transações", disse.

Eu assinei para testar o sistema de chave de segurança do PayPal, disponível para os usuários interessados. A cada vez que me conecto, recebo um código de segurança de seis dígitos em uma mensagem de texto enviada ao meu celular -é fácil copiá-lo, mas o procedimento acrescenta um estágio extra à transação.


Quando perguntei a Michael Vergara, diretor de gestão de risco na PayPal, se ele recomendava que todos os usuários empregassem o sistema de segurança reforçada, ele respondeu que "se a pessoa passa muito tempo usando as áreas mais obscuras da internet, sim". "Mas se estivermos falando de alguém que visita três sites, ter segurança adicional quando usa o PayPal não vai melhorar sua experiência", ele acrescentou.


Não sei se Mueller, do FBI, convenceu a mulher a suspender a proibição quanto ao uso de bancos online pela família. Se não conseguiu, deveria usar as duas palavras que têm o poder mágico de acalmar os temores do mais ansioso cliente bancário: prejuízo zero.



Randall Stross é jornalista, no Vale do Silício, e professor de administração de empresas na Universidade Estadual de San Jose.

Tradução: Paulo Migliacci ME
The New York Times (Fonte: Terra Tecnologia)

Comentários

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook: Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil. Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDA Rua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000 - Fonte:  Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas

Endereço do Twitter no Brasil

Já algum tempo o Twitter possui escritório no Brasil, tal qual o Facebook . Vários colegas policiais me perguntam os dados. Ei-los: Twitter Brasil Rede de Informação Ltda Endereço: Rua Professor Atílio Innocenti, 642, 9º Andar, Vila Nova Conceição, São Paulo São Paulo - CEP 04538-001 Endereço eletrônico: legalnoticesbr@twitter.com Telefone 11-30332900 Diretor-Geral do Twitter no Brasil: Guilherme Ribenboim ( @guilhermerib ) O perfil brasileiro oficial do Twitter no Brasil: @TwitterBrasil . Ajuda e suporte em https://support.twitter.com/forms . O Blog oficial pode ser acessado aqui: https://blog.twitter.com/pt/brasil . Qualquer sugestão: comentem!!

Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

Esta ideia começou com o post sobre os órgãos especializados no enfrentamento aos crimes virtuais , que estava desatualizado. Estou fazendo essa atualização com vistas a uma melhor orientação às pessoas. Muitos já copiaram e replicaram este post, sem atualizar os dados e sem referenciar a fonte, mas o que importa é a difusão da informação. O primeiro aspecto de um registro de ocorrência de um crime virtual é saber o que levar ao conhecimento da Polícia Judiciária. Por isso, sugiro a leitura do post sobre como proceder em casos de crimes virtuais, deste blog. Crimes virtuais: com proceder? Então, vamos à lista dos Estados brasileiros onde você pode encontrar atendimento especializado, não esquecendo que se você não se encontra na cidade ou Estado em que há um órgão policial específico você pode e deve registrar a ocorrência na Delegacia de Polícia mais próxima . O que não pode é deixar o fato sem o conhecimento de uma Autoridade Policial. -  Rio Grande do Sul :