Bancos brasileiros investem alto contra fraudes
Com o uso crescente da internet para efetuar pagamentos, a Federação Brasileira dos Bancos (Febraban) tem registrado também aumento nas fraudes bancárias. Para impedir as ações dos criminosos, as instituições investem pesado em tecnologias para aprimorar a segurança das transações e dos dados do cliente, desde softwares até equipamentos que impõem uma barreira contra os ataques.
No primeiro semestre de 2011, o prejuízo com fraudes em meios eletrônicos foi de R$ 685 milhões, 36% a mais do que no mesmo período do ano anterior, conforme dados da Febraban. Segundo o especialista em segurança digital da SmartSec e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), Fábio Leto Biolo, os bancos investem alto para evitar fraudes, mas o hábito de resguardar os dados ainda não é muito bem disseminada entre os brasileiros. "Metade das pessoas que acessam a internet não conhece as medidas de segurança. É uma questão de educação e cultura. Há falhas que o banco não tem como consertar", analisa.
Tecnologias que aumentam a segurança
Para garantir uma transação segura a seus clientes, os bancos geralmente solicitam a instalação de um software, que opera integrado ao navegador e criptografa os dados que são transmitidos. Esse módulo de segurança reduz os riscos de outros programas captarem as informações e enviá-las para outros computadores.
Além desse recurso, os bancos podem utilizar até três tipos de autenticações. Biolo explica que o primeiro deles é a autenticação exclusivamente por senha. O segundo nível, contudo, consiste no emprego de hardwares como os tokens de segurança, os leitores de smart card e os cartões de senha.
O Token OTP ("one time password", ou senha descartável) é uma tecnologia que combina dados únicos do dispositivo com informações armazenadas no servidor do banco, cruzando ainda com o horário da transação. Essa operação gera uma senha randômica, que tem validade por segundos ou minutos e deve ser informada pelo cliente para concluir a transação no internet banking. "O token acaba com a ação do hacker", define Biolo. No Brasil, várias instituições bancárias dispõem desse recurso.
Biolo diz que essa é uma estratégia adotada pelos bancos com clientes empresariais ou que efetuam grandes movimentações de valores. Para outros clientes, as instituições também oferecem um sistema semelhante, porém mais simples. Trata-se dos cartões de senha, que trazem uma tabela com várias combinações possíveis para o momento da transação. Em qualquer um desses casos, mesmo que o computador do cliente fosse invadido e a senha da conta roubada, as transações não poderiam ser concluídas, já que o hacker não teria acesso à senha adicional definida por token ou cartão.
Os leitores de smart card são, segundo Biolo, uma tecnologia entre o cartão de senhas e o token. No Brasil, o principal utilizador desse serviço é o Banco do Estado do Rio Grande do Sul (Banrisul). O acesso é feito por um cartão que possui certificado digital único. O cliente, além do cartão, deve ter o leitor e fornecer uma senha PIN a cada vez que for entrar na conta - ao fornecer a senha errada por mais de uma vez, o sistema bloqueia o acesso.
Neste ano, o Banco do Brasil lançou uma autenticação por QR Code (código de barras bidimensional) para usuários de smartphones que também previne as fraudes eletrônicas. Disponível para iPhone, Android e Blackberry, o BB Code funciona por meio do aplicativo para celular e requer o cadastramento do celular, que pode ser feito em uma agência ou em um terminal de autoatendimento. O gerente-executivo da diretoria de gestão da segurança do BB, Luiz Fernando Martins, explica que o QR Code armazena informações da conta do cliente e da transação. "Depois de ter feito a adesão, o cliente não vai mais expor a senha de seis dígitos da conta corrente em operações de internet banking", ressalta.
Utilizando a câmera do smartphone e um leitor de QR Code, o usuário decodifica a imagem e recebe um número, que deve ser informado para completar a operação. "Com essa solução, inclusive o ataque mais sofisticado não vai lograr êxito", garante Martins. O BB Code ainda permite que o mesmo celular autorize transações para mais de uma conta, desde que o titular seja a mesma pessoa. Em caso de perda ou roubo do smartphone, basta efetuar o descadastramento do aparelho sem que haja risco de fraude, já que o aplicativo exige senha para acessar a conta.
Um terceiro modelo, enumera Biolo, seria o uso de autenticação biométrica. No Brasil, ele destaca que alguns projetos já chegaram a ter um projeto piloto formulado, mas os altos custos da operação ainda fazem com que a ideia permaneça no papel.
Domínios diferenciados
Desde 2009, o Brasil oferece um domínio diferenciado para os bancos, o b.br. A principal vantagem é o uso do protocolo DNSSEC, que garante a autenticidade da assinatura que o servidor envia para o computador do usuário. A tecnologia é a mesma utilizada em domínios leg.br e jus.br. Em domínios com.br, essa assinatura não é obrigatória.
O diretor-presidente do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), Demi Getschko, explica que essa não é uma medida única de segurança. Ao acessar um site b.br, contudo, os usuários evitam se tornar vítimas de phishing - quando alguém interfere na transmissão de dados e direciona para sites falsos que simulam o original e roubam as informações fornecidas pelo usuário.
Hoje, existem 257 domínios b.br, segundo Getschko. "É um clubinho fechado onde só entra quem tem registro no Banco Central", define. O recurso ainda é desconhecido por muitos, e alguns bancos optam por manter os registros com.br. Mas o diretor-presidente do NIC.br aposta na confiabilidade do domínio. "Se o link termina em b.br, é certo que é site de banco", assegura.
Cartola - Agência de Conteúdo - Especial para o Terra
-1hruaaaoul35j.png)
