A Internet e os cartões de Crédito

Recente pesquisa da UCLA (University of California) aponta que a maioria dos usuários da internet (mais de 90%) preocupa-se com a segurança de seu cartão de crédito em compras on line. A maioria dos usuários recusa-se a fornecer o número de seu cartão de crédito aos cadastros de compra, assombrados por fantasmas de hackers, invasões e roubos eletrônicos.

Durante o Fórum Econômico Mundial, realizado no final de janeiro, em Davos (Suíça), dados pessoais e números de cartões de crédito de personalidades políticas e empresariais do mundo inteiro foram roubados por hackers. Casos como este afastam ainda mais o consumidor da internet.

Entretanto, o e-commerce pode ser bastante seguro, pois comprar pela internet não é tão perigoso quanto se pensa! Para isso, basta que o próprio usuário adote alguns mecanismos de segurança, evitando que o número do seu cartão de crédito seja roubado.

O primeiro passo é identificar a existência ou não do mecanismo de segurança no site. Ao preencher o número do cartão de crédito e outras informações sigilosas dentro de um site, o usuário deve observar sempre a existência do ícone de cadeado na barra inferior do seu navegador (Internet Explorer, Netscape ou outro). Cadeado aberto ou ausência do mesmo significa transação não segura, desprotegida.

O cadeado fechado indica que a transação é segura, pois possui criptografia. Isso garante ao usuário-consumidor que todas as informações digitadas são codificadas. Ao clicar sobre o cadeado, pode-se ainda obter maiores informações sobre a certificação digital do site e sua procedência. Certificações da Certisign/Verisign são as mais tradicionais e, normalmente, a aceitação pelos navegadores é automática.

O elemento cadeado, indicando transação segura, é o item básico do comércio eletrônico, e denota a preocupação do site com a segurança. É o mínimo que o usuário-consumidor deve exigir ao fornecer seus dados pessoais.

Já o fornecimento de dados pessoais por e-mails nunca é seguro, pois as mensagens podem ser lidas e interceptadas por pessoas estranhas à transação comercial. O usuário nunca deve digitar uma informação sigilosa em mensagem de e-mail. O mesmo vale para arquivos de texto e outros que seguem atachados ao e-mail.

O e-mail pode ser protegido através do PGP (pretty good privacy), mas isto é outra história! Os programas normais de e-mail não dispõem de qualquer proteção habilitada.

ICQ, Salas de Chat e Newsgroups são igualmente perigosos para o fornecimento de dados pessoais, principalmente pelo grande número de usuários e maior possibilidade de brechas nos programas ou servidores.

Todos esses cuidados não eliminam de vez o perigo. O site de compras pode ser invadido por um hacker e o número do cartão de crédito do consumidor pode cair nas mãos dos piratas da rede.

Esta é uma situação que foge ao controle do usuário-consumidor, mas o problema pode ser driblado. Existe uma maneira de selecionar sites que não armazenam o número do cartão. Todos os sites que pedem para o usuário digitar o número do cartão de crédito em cada compra não armazenam essas informações em seu banco de dados. Complica um pouco mais a cada pedido, mas garante maior segurança ao consumidor.

Por exemplo, se toda vez que você faz a compra em um site, é obrigado a digitar novamente o número do seu cartão e ainda acha isso um incômodo, repense! Este site pede seus dados novamente porque não está guardando-os em sua base de dados. Isto é positivo.

Nos sites que guardam o número do cartão, o consumidor não precisa digitar o número a cada compra, necessitando apenas indicar com qual cartão quer efetuar o pagamento. Esses são os principais alvos dos hackers.

A Amazon.com utiliza um sistema intermediário: armazena apenas os últimos cinco dígitos do número do cartão de crédito do consumidor. O número completo fica guardado em um sistema que não possui conexão com a internet. Este sistema é bastante seguro.

Na dúvida, o consumidor deve sempre optar pelos sites que não armazenam o número do cartão ou escolher as lojas comprovadamente idôneas.

Mas nenhum desses cuidados será eficiente se o computador do usuário-consumidor estiver vulnerável, sem antivírus instalado e sem proteção na conexão com a internet. O antivírus deve ser atualizado semanalmente. Programas de cavalos-de-tróia (trojan) instalados em uma máquina, sem que o usuário perceba, podem ler todas as informações armazenadas e enviar os dados a terceiros. Os antivírus atuais detectam esses programas facilmente.

Para quem possui uma conexão com a internet de alta velocidade (ADSL ou Cable Modem) é imprescindível dispor de um bom firewall pessoal instalado (como o Black Ice ou Zone Alarm). Estes programas agem como defensores, impedindo que hackers invadam a máquina através de vulnerabilidades existentes no sistema operacional e nestes tipos de conexão.

Os próprios navegadores e programas de e-mail possuem vulnerabilidades que exigem o download de atualizações do site do fabricante. Versões de Netscape inferiores a 4.74 permitem que comandos sejam executados em uma máquina através de "inocentes" imagens. Versões de Outlook Express inferiores a 5.5 aceitam vírus que se executam automaticamente, sem que o usuário abra os arquivos.

Para garantir, o usuário deve instalar um bom antivírus, um firewall pessoal e agendar um dia na semana para verificar as atualizações no site dos fabricantes e também do navegador (browser). Se for usuário de Windows, aproveite este dia e entre no Microsoft Windows Update (através do botão INICIAR do seu Windows) e verifique os updates do sistema.

Estas recomendações podem parecer complicadas, mas são absolutamente básicas na internet. A partir do momento em que se compreende o por que de cada recomendação, torna-se mais simples e automática a execução das mesmas.

O usuário que quiser experimentar o uso de cartão de crédito na internet, pode também conferir com a operadora do cartão se existe algum tipo de seguro contra eventuais roubos e fraudes. Algumas operadoras permitem o cancelamento de compras não autorizadas através do pagamento de um seguro específico.

Os cartões de uso exclusivo para internet (e-Card) permitem uma transação mais segura, pois enviam e-mails de pré-compra e de autorização de compra. Mesmo que alguém descubra o número do cartão, quando o usuário recebe o e-mail de pré-compra, pode efetuar o cancelamento da compra e a troca do número do cartão de forma rápida.

Além disso, o roubo de cartão de crédito na internet vale muita publicidade, mas não é tão comum. O consumidor pode ser vítima de fraude também ao comprar no comércio em geral ou nas compras por telefone.

Portanto, não se assuste, a internet veio para ficar. Aplique estes conhecimentos com sensatez e boas compras!

Como se proteger quando utilizar uma Caixa MultiBanco

Tente evitar a utilização de uma caixa Multibanco (ATM) sozinho. Leve alguém consigo ou use somente a caixa quando estiverem outros utentes por perto.

Se possível, não utilize as caixas depois de escurecer. Se tiver necessidade use uma que seja bem iluminada sem arbustos densos por perto.

Quando se aproximar de uma Caixa MB olhe à sua volta. Se vir alguma coisa que o deixe preocupado ou alguém com um ar suspeito, não pare. Use outra Caixa noutro local ou volte mais tarde. Informe as autoridades.

Tenha o seu cartão de crédito e outros quaisquer documentos que precise à mão quando se aproximar de um ATM. Enquanto está a remexer na mala ou carteira, você torna-se uma presa fácil para os ladrões.

Se o ATM estiver a ser utilizado por alguém antes da sua chegada, evite estar logo atrás deste. Dê-lhe espaço suficiente para realizar a sua transacção em privacidade.

Mesmo durante a utilização do ATM, mantenha-se alerta ao ambiente que o rodeia. Olhe para cima e à volta de vez em quando enquanto efectua a sua operação.

Proteja o seu Número de Identificação Pessoal (PIN). Não introduza o PIN se alguém conseguir ver o ecrã. Esconda o seu código pessoal de curiosos utilizando o seu corpo.

Quando terminar a sua operação, tenha a certeza de que tem em sua posse o seu cartão e o recibo, deixando o local imediatamente. Evite contar ou mostrar grandes quantidades de dinheiro.

Quando sair do local, esteja atento. Mantenha-se alerta a algo ou alguém com um ar suspeito. Se pensa que está a ser perseguido, vá para uma área que tenha muita gente e chame a polícia

Fraude no Multibanco

Nunca deixe os talões na caixa Multibanco

Os cuidados durante a utilização do Multibanco vão além da preocupação em esconder a marcação do código: o talão da operação nunca deve ser deixado na máquina, porque contém informação da conta.

Nunca aceitar ajuda ou sugestões de estranhos na utilização do Multibanco e conferir com detalhe os movimentos registados no extracto de conta, certificando-se que correspondem ao consumo efectuado, são outros dos conselhos. Se o extracto da conta mensal não for recebido na data que é habitual, contactar a instituição financeira, pois pode ser indicação que alguém desviou a correspondência e tem agora acesso a dados pessoais.

Deve ainda destruir os cartões que estão a expirar quando estes forem substituídos por novos e ter sempre acessível ou memorizar os telefones para notificar o roubo ou extravio dos cartões.

Phishing que fazer depois do azar

1. investigue o e-mail e o website do phishing:
2. 
   

1. obtenha amostras das mensagens de e-mail maliciosas com o cabeçalho completo.
2. analise a mensagem em busca de URLs, endereços IP e endereços de e-mail do remetente. É bem comum que haja dois URLs envolvidos: um com o site que se faz passar pelo do banco e outro para o qual dos dados do formulário são submetidos. O segundo URL normalmente é encontrado dentro do código da página de phishing, normalmente nas seções de submit de botões de formulários.
3. visite o website do phishing para saber a que nível de ataque seus clientes estão sendo submetidos, mas antes se prepare. No tratamento de incidentes de phishing, o CAIS raramente se deparou com um ataque sofisticado de phishing a clientes de instituições brasileiras, ou seja, que envolvesse vulnerabilidades do browser ou pharming. Mesmo assim, os especialistas do grupo recomendam evitar a utilização do Internet Explorer, pois o navegador é alvo da maioria dos ataques devido a considerável quantidade de vulnerabilidades. Se possível, o CAIS/RNP sugere o uso do Mozilla/Firefox ou mesmo um browser em modo texto, como o lynx. O ideal é que se copie apenas o código-fonte do site. Segundo os especialistas, isto pode ser feito com os utilitários wget e lynx, presentes na maioria das distribuições Linux.
1. blacklists - submeta o endereço IP do host responsável pelo spam para blacklists para diminuir o número de vítimas em potencial. Embora radical, esta medida é mais eficaz do que apenas entrar em contato com a organização que hospeda o servidor de e-mail. Esta última opção toma tempo e é menos eficaz do que a primeira medida, especialmente porque na maioria das vezes os sites são hospedados em outros países;
2. entre em contato com provedores de acesso à Internet - eles podem providenciar filtro para hosts que hospedam phishing em seus backbones, daí a importância de se estabelecer contatos previamente;
3. envolva a área de comunicação de sua empresa - geralmente, a imprensa toma logo conhecimento desses ataques e vai procurar a área de Relações Públicas de sua empresa para saber mais sobre o assunto. Assim, procure manter a área de comunicação ciente do assunto desde o começo, além de passar todas as informações possíveis sobre esse processo. Isso pode evitar que a imagem de sua empresa seja comprometida;
4. informe seus clientes - cada empresa sabe a melhor maneira de contactar seus clientes. Uma pequena chamada na página principal do site da instituição pode ser o suficiente;
5. avise outras equipes de segurança sobre os ataques - essa atitude pode ajudar no processo de minimização dos ataques;
6. informe a polícia e órgãos de combate a phishing - alguns departamentos de polícia já possuem experiência necessária para tratar este tipo de incidente e ajudar sua equipe de segurança nesse momento;
7. entre em contato com o provedor que hospeda o site falso - a maioria desses sites falsos fica hospedado fora do país alvo do ataque. Procure descobrir o responsável pela administração do provedor que hospeda o site malicioso para que ele seja desativado;
8. tente obter logs - depois de conseguir retirar o website de operação, procure conseguir com o provedor os arquivos de logs do servidor web. Através deles, pode-se obter os endereços IP de consumidores que foram possíveis vítimas do ataque, bem como saber quem "plantou" o ataque.

Phishing Compra e venda

Existe uma armadilha difícil de ser rastreada por ultrapassar fronteiras de países, tornando as investigações criminais mais difíceis.

Um phisher ganhará acesso a dúzias de contas financeiras e comprar com centenas de dólares ações de baixíssimo valor, tipicamente que valem menos de 1 dólar. As ações com o "magro" valor começam a subir em valor, e os criminosos vendem sua participação no mercado, disse Hallam-Baker.

A Agência de Investigação Federal dos Estados Unidos (FBI, em inglês) encontrou pistas sobre o crime após inúmeros bancos avisarem o órgão sobre a fraude, disse Scott McGaunn, agente especial que investiga crimes digitais.

Phishing Fraudes de leilão

Esta armadilha envolve o uso dos dados da vítima em sites de leilão.

Um serviço de leilão online recebe um e-mail perguntando sobre um notebook que o usuário deveria ter enviado ao comprado. O usuário do serviço não tem que enviar produto algum e, para resolver o mal-entendido, é forçado a revelar seus dados em um site de phishing.

O hackers vende uma câmera digital, por exemplo, em um site de leilão com as credenciais do usuário. O comprador do produto envia o dinheiro para o scammer, quase sempre por uma transferência bancária, segundo Hallam-Baker.

O comprador da câmera manda e-mails para o usuário malicioso perguntando sobre a câmera. Mas não há câmera.

Phishing Cartões

Uma vez que números de cartão de crédito são coletados de um site de phishing, o próximo passo é colocar os números para usar de uma maneira que não podem ser facilmente rastreados, em uma prática chamada "carding". A fraude começa quando scammers atraem pessoas por propagandas de empregos remotos. As vítimas, que acreditam que estão aceitando empregos legítimos como intermediários de produtos, assume o papel de "mula", um ponto de trânsito para lavagem de dinheiro e bens.

A armadilha funciona assim: o hackers usa o cartão de crédito para pedir um item que é entregue à "mula". O trabalho da vítima é mover os bens para outras pessoas - um intermediário - que ou vende os produtos ou os movem para o hacker.

Quando uma compra fraudulenta é registrada no cartão de crédito, a vítima é o primeiro contatado pelos agentes da lei, que é, constantemente, apontado como o culpado.

Que é o Phishing

O "Phishing" é uma vigarice que utiliza SPAM ou mensagens de pop-up para ludibriar pessoas no sentido de revelarem números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.

Tipicamente, os "phishers" enviam emails ou pop-ups que alegam provir de uma empresa ou organização com a qual a potencial vítima tem negócios - por exemplo, o seu fornecedor de serviços de Internet (vulgo ISP), banco, serviços de pagamentos online ou até um organismo governamental. A mensagem costuma dizer que a pessoa necessita de "actualizar" ou "validar" a informação da sua conta. Pode até ameaçar consequências extremamente indesejáveis para o caso de não haver resposta. A mensagem encaminha-a para um website que parece um site legítimo de uma organização, mas na realidade não é. O propósito deste site fraudulento é enganá-la no sentido de divulgar informação pessoal que permita aos burlões roubar-lhe a sua identidade e debitar contas ou cometer crimes em seu nome.

Phisers, como são chamados os hackers que aplicam os crimes, enviam milhões de e-mails afirmando que a conta dos usuários de determinado serviço precisam ser atualizados. O e-mail inclui links para uma página extremamente semelhante aos serviços de e-banking, mas não correspondem aos reais. Uma vez que consegue os dados sigilosos, criminosos podem usar as informações para transferências bancárias e danos financeiros.

"A internet está sob ataque", disse Phillip Hallam-Baker, pesquisador da Verisign, que comandou uma palestra sobre crimes digitais durante a conferência do W3C (World Wide Web) em Edinburgh, na Escócia, nesta quinta-feira (25/05).

As ferramentas para a realização de um crime digital estão a venda na internet. Montar um ataque a milhões de usuários online pode ser feito com cerca de 300 dólares, disse Hallam-Baker. Redes de computadores sob o controle de hackers, chamadas de bot, podem ser empregadas para enviar spam. Também estão a venda listas com mais de 100 milhões de endereços de e-mail.

Hallam-Baker disse que um hacker russo pode criar um rootkit customizado - um método de esconder códigos maliciosos no sistema operacional do PC do usuário - por cerca de 60 dólares.

Se os usuários são enganados para clicarem no anexo de um e-mail que tenha malware, a praga pode gravar e enviar para o hacker todos os dados pessoais e números de cartão de crédito do usuário, que poderão ser vendidos para outros criminosos digitais.

O que os hackers fazem com os dados que conseguem? Hallam-Baker deu exemplos de como o vazamento de informações sigilosas pode prejudicar o usuário.

Evitar Ser Fisgado pelo Phishing

• Desconfie de mensagens de email com pedidos urgentes de informação financeira pessoal
• Caso suspeite que a mensagem possa não ser autêntica, não use os links numa mensagem de email para aceder a um site
• Evite preencher formulários em mensagens de email que peçam dados pessoais de carácter financeiro
• Certifique-se sempre que está a usar um site seguro quando estiver a submeter informação relativa ao seu cartão de crédito ou outra informação sensível através do seu web browser
• Considere a instalação de software que o ajude a reconhecer sites de phishing
• Aceda regularmente às suas contas online
• Verifique regularmente os seus extractos bancários e de cartões de crédito para se certificar que todas as transacções são legítimas
• Certifique-se que o seu browser está actualizado com os patches de segurança mais recentes
• Denuncie as mensagens de phishing que receber