2.1. Que situações podem ser citadas sobre fraudes envolvendo comércio eletrônico ou Internet Banking?
Existem diversas situações que vêm sendo utilizadas por atacantes em fraudes envolvendo o comércio eletrônico e Internet Banking. A maior parte das situações apresentadas abaixo, com exceção das situações 3 e 5, envolvem técnicas de engenharia social.
Situação 1 - o usuário recebe um e-mail ou ligação telefônica, de um suposto funcionário da instituição que mantém o site de comércio eletrônico ou de um banco. Neste e-mail ou ligação telefônica o usuário é persuadido a fornecer informações sensíveis, como senhas de acesso ou número de cartões de crédito.
Situação 2 - o usuário recebe um e-mail, cujo remetente pode ser um suposto funcionário, gerente, ou até mesmo uma pessoa conhecida, sendo que este e-mail contém um programa anexado. A mensagem, então, solicita que o usuário execute o programa para, por exemplo, obter acesso mais rápido a um site de comércio eletrônico ou ter acesso a informações mais detalhadas em sua conta bancária.
Teclas digitadas: um programa pode capturar e armazenar todas as teclas digitadas pelo usuário, em particular, aquelas digitadas logo após a entrada em um site de comércio eletrônico ou de Internet Banking. Deste modo, o programa pode armazenar e enviar informações sensíveis (como senhas de acesso ao banco ou números de cartões de crétido) para um atacante;
Posição do cursor e tela: alguns sites de Internet Banking têm fornecido um teclado virtual, para evitar que seus usuários utilizem o teclado convencional e, assim, aumentar o nível de segurança na realização de transações bancárias via Web. O fato é que um programa pode armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse foi clicado. Estas informações permitem que um atacante, por exemplo, saiba qual foi a senha de acesso ao banco utilizada pelo usuário;
Webcam: um programa pode controlar a Webcam do usuário, direcionando-a para o teclado, no momento em que o usuário estiver acessando um site de comércio eletrônico ou de Internet Banking. Deste modo, as imagens coletadas (incluindo aquelas que contém a digitação de senhas ou número de cartões de crédito) podem ser enviadas para um atacante.
Situação 3 - um atacante compromete o servidor de nomes do provedor do usuário, de modo que todos os acessos a um site de comércio eletrônico ou Internet Banking são redirecionados para uma página Web falsificada, semelhante ao site verdadeiro. Neste caso, um atacante pode monitorar todas as ações do usuário, incluindo, por exemplo, a digitação de sua senha bancária ou do número de seu cartão de crédito. É importante ressaltar que nesta situação normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro) e o endereço mostrado no browser do usuário poderá ser diferente do endereço correspodente ao site verdadeiro;
Situação 4 - o usuário pode ser persuadido a acessar um site de comércio eletrônico ou de Internet Banking, através de um link recebido por e-mail ou em uma página de terceiros. Este link pode direcionar o usuário para uma página Web falsificada, semelhante ao site que o usuário realmente deseja acessar. A partir daí, um atacante pode monitorar todas as ações do usuário, incluindo, por exemplo, a digitação de sua senha bancária ou do número de seu cartão de crédito. Também é importante ressaltar que nesta situação normalmente o usuário deve aceitar um novo certificado (que não corresponde ao site verdadeiro) e o endereço mostrado no browser do usuário será diferente do endereço correspodente ao site verdadeiro;
Situação 5 - o usuário, ao utilizar computadores de terceiros para acessar sites de comércio eletrônico ou de Internet Banking, pode ter todas as suas ações monitoradas (incluindo a digitação de senhas ou número de cartões de crédito), através de programas especificamente projetados para este fim (como visto na situação 2).
Apesar de existirem todas estas situações de risco, também existem alguns cuidados, relativamente simples, que podem e devem ser seguidos pelos usuários ao acessarem sites de comércio eletrônico e Internet Banking, de modo a evitar que fraudadores utilizem seus dados (principalmente dados sensíveis).
|