REVISTA ELETRÔNICA DE JORNALISMO CIENTÍFICO
Dossiê Anteriores Notícias Reportagens Especiais HumorComCiência Quem Somos
Dossiê
Editorial
Segurança contra quem? - Carlos Vogt
Reportagens
Lei sobre crimes de informática voltará ao debate
Rodrigo Cunha
Não morda a isca!
Flávia Gouveia
A liberdade vigiada do Orkut
Cauê Nunes
Códigos a(r)mados, códigos desa(r)mados
Yurij Castelfranchi
Governos e mercado impulsionam censura na Internet
Germana Barata
Artigos
Certificação e identidade digital: ICP-Brasil
Renato Martini
A robotização do controle
Diego Saravia
DRM: Defectis Repleta Machina
Alexandre Oliva e Fernanda G. Weiden
Ferramentas de segurança alinhadas à realidade brasileira
Luiz Fernando Rust da Costa Carmo
Hackers, monopólios e instituições panópticas
Sergio Amadeu da Silveira
Resenha
Reconhecimento de padrões
Marta Kanashiro
Entrevista
Pedro Rezende
Entrevistado por por Rafael Evangelista
Poema
Guerra solidária
Carlos Vogt
Humor
HumorComCiencia
João Garcia
    Versão para impressão       Enviar por email       Compartilhar no Twitter       Compartilhar no Facebook
Reportagem
Não morda a isca!
Por Flávia Gouveia
10/12/2006

Atraentes e maliciosas. Assim são as mensagens de correio eletrônico que visam fisgar o internauta menos atento, infectar seu computador com vírus, monitorar seus passos, roubar suas senhas. Quem nunca recebeu uma mensagem de correio eletrônico supostamente enviada por uma instituição conhecida (um banco ou empresa), com o intuito de induzir o acesso a páginas fraudulentas? As mensagens contêm, invariavelmente, um luminoso link “clique aqui” ou “leia mais”, que leva à execução de programas para furtar dados pessoais e financeiros do usuário ou monitorar suas ações. A prática ganhou o nome de phishing (ou phishing scam), uma analogia com a pescaria (fishing, em inglês), em que "iscas" (e-mails) são usadas para "pescar" senhas e dados de usuários da Internet. O número de e-mails contendo mensagens fraudulentas cresceu 81%, no primeiro semestre de 2006, em relação ao último semestre do ano passado, conforme levantamento da empresa especializada em anti-vírus Symantec em 40 mil pontos localizados em mais de 180 países.

As formas de invasão de computadores se multiplicam rapidamente. Hoje há um sem número delas, classificadas com nomenclaturas específicas (cavalo-de-tróia, vírus, spam, worm, spyware etc – veja box). De acordo com o advogado Pablo de Camargo Cerdeira, sócio da KCP Advogados e gestor de projetos da escola de Direito da Fundação Getúlio Vargas do Rio de Janeiro, o phishing é a principal via de transmissão de programas invasores. Por meio dessas mensagens, e graças ao clique do internauta, instalam-se spywares, vírus e cavalos-de-tróia causadores de grandes prejuízos aos usuários de computador. “No final dos anos 90, os vírus eram muito comuns e tinham como objetivo principal a destruição de dados do computador invadido, numa atitude de puro vandalismo”, diz Cerdeira. Nos anos 2000, houve um forte crescimento dos spywares, programas espiões que têm, muitas vezes, a finalidade de buscar informações e senhas para a realização de furtos informáticos. Segundo o advogado, “agora vemos quadrilhas organizadas compostas por programadores, e os interesses financeiros são claros. Não é apenas vandalismo”.

Uma modalidade mais recente e mais traiçoeira que o phishing é o pharming. Embora o princípio de fazer o internauta pensar que está acessando um site legítimo (quando na verdade não está) lhes seja comum, no pharming, a vítima não precisa, necessariamente, clicar em nenhum link de mensagem de correio eletrônico. Basta que o servidor de DNS (responsáveis por transformar em Ips, os números de localização, os endereços digitados) utilizado esteja infectado que, quando a pessoa tenta acessar o site de um banco, por exemplo, o navegador o redireciona para o chamado spoof site (o site falso com as mesmas características gráficas do site verdadeiro). No site falseado, ocorre a coleta das informações, como números de cartões de crédito, contas bancárias e senhas.

Há ainda a utilização mais inofensiva desses programas invasores, como a investigação das preferências dos usuários por meio de spywares para orientar o envio de propagandas. Nessa mesma linha estão os spams, as mensagens de correio eletrônico não solicitadas, geralmente enviadas para um grande número de pessoas. “Não deixa de ser uma invasão”, diz Cerdeira, “mas nesse caso, de privacidade”. De acordo com o relatório da Symantec, os spams responderam por mais da metade (54%) do tráfego monitorado de e-mail, o dobro do volume registrado seis meses antes. A maior incidência de spams e de phishing ocorre nos Estados Unidos, de onde se originam 58% dos spams e 37% dos ataques da Internet.

Mercado em expansão

Segundo a IDC (International Data Corporation), empresa especializada no fornecimento de pesquisas e análises orientadas a executivos, profissionais e fornecedores de serviços de Tecnologia de Informação (TI), o mercado brasileiro de segurança movimentou US$ 100 milhões em 2005, valor que deve se repetir em 2006. “Em quase todos os setores, segurança é a prioridade das empresas”, diz Carlos Alberto Barros Costa, presidente da Open Communications Security. “Não temos fontes oficiais sobre o montante de investimento das empresas brasileiras em segurança digital, mas podemos citar as instituições financeiras como as empresas que mais investem, justamente porque são as mais prejudicadas”, afirma.

De acordo com a Federação Brasileira de Bancos (Febraban), as instituições financeiras investem R$ 1,2 bilhão por ano para atualizar seus mecanismos de combate às fraudes eletrônicas. Para Costa, “é um investimento justificado pois, só no ano passado, os prejuízos com fraudes eletrônicas no mercado nacional ultrapassaram R$ 300 milhões”.

No mundo, o mercado de softwares de segurança está em expansão. De acordo com estudo divulgado pela IDC, o setor de sistemas de proteção para Internet deve atingir a marca de US$ 14,2 bilhões em 2006, faturamento 237% maior do que o registrado em 2001, que totalizou US$ 6 bilhões (18% mais que no ano anterior).

Segundo um estudo da Info-Tech Research Group, as grandes companhias norte-americanas gastarão US$ 61 bilhões em segurança até o fim deste ano, o que representa 7,3% do total dos orçamentos de TI nos Estados Unidos. Entre US$ 21 e 27 bilhões serão gastos na aquisição de novas tecnologias e serviços de segurança. A pesquisa aponta que os maiores investidores são as empresas dos setores de serviços, financeiro e governo.

Prevenção é sempre melhor

Algumas empresas investem fortunas em segurança de informações e protegem fisicamente seus sistemas, mas a maioria delas não possui métodos que protegem seus funcionários das armadilhas da chamada engenharia social. A engenharia social consiste na obtenção de acesso e informações importantes ou sigilosas em organizações ou sistemas por meio da exploração da confiança das pessoas. Para Cerdeira, “o elemento mais vulnerável de qualquer sistema é o ser humano. É o seu comportamento que o torna suscetível a ataques de engenharia social”. Essa é também a posição do Centro de Estudos, Segurança e Tratamento de Incidentes de Segurança no Brasil (Cert) e dos especialistas. A vontade de ser útil, a busca por novas amizades, a curiosidade sobre a vida de famosos e acidentes graves, por exemplo, levam os internautas a clicar em links maliciosos e colocar seus sistemas informáticos em posições de vulnerabilidade.

No mês passado, um levantamento da Associação dos Serviços de Pagamento e Compensação da Grã-Bretanha revelou que metade dos usuários de Internet entrevistados admitiu que poderia ser vítima de e-mails contendo phishing. Entre os usuários pertencentes a esse grupo, 3,8% reconheceram ser incapazes de identificar a fraude e afirmaram que responderiam a um e-mail pedindo dados de suas contas bancárias. “No mundo todo, os internautas são os principais alvos de ataques e fraudes informáticas. Em seguida, vêm as instituições financeiras e demais segmentos”, diz Costa.

A identificação das mensagens fraudulentas é o primeiro passo para o usuário da Internet se proteger e evitar maiores problemas. Os especialistas recomendam algumas atitudes para identificar esse tipo de mensagem, como observar se ela contém erros gramaticais e de ortografia, passar o cursor do mouse sobre o link para ver o real endereço do arquivo malicioso na barra de status do programa leitor de e-mails, ter especial cuidado com os arquivos com extensões ".exe", ".zip", ".scr", ".rar" e ".dll" (extensões muito utilizadas para a propagação de vírus), estar atento às mensagens que solicitam a instalação/execução de qualquer tipo de arquivo/programa, acessar a página da instituição que supostamente enviou a mensagem, e procurar informações relacionadas com a mensagem recebida, entre outros. Em muitos casos, não é política da instituição enviar e-mails de forma indiscriminada, principalmente contendo arquivos anexados. Se ainda houver alguma dúvida, deve-se entrar em contato com a instituição para certificar-se sobre o caso.

Castro alerta principalmente os usuários de banco pela Internet. “Ao fazer transações bancárias pela web, é importante solicitar um extrato ao final da transação e verificar se as operações foram efetuadas conforme digitadas”. Para Cerdeira, não se deve confiar no remetente para atestar a veracidade de uma mensagem. “Os fraudadores podem facilmente forjar ser o remetente de um amigo”.

Conhecer um pouco o funcionamento dos computadores e evitar enviar informações pessoais é tão importante quanto manter o anti-vírus atualizado.

Saiba mais:

Para termos relacionados à segurança digital, consulte a cartilha de segurança para a internet do Centro de Estudos, Segurança e Tratamento de Incidentes de Segurança no Brasil (Cert).

Veja abaixo algumas formas de invasão a computadores.

Forma de invasão

Descrição

Adware

Tipo de software especificamente projetado para apresentar propagandas.

Backdoor

Programa que permite o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim.

Cavalo-de-tróia

(Trojan)

Programa normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário (como o furto de senhas).

Keylogger

Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.

Pharming

Ataque que envolve modificações no sistema DNS (Domain Name System) de endereços, encaminhando o internauta para uma página que não corresponde à digitada no endereço, mas sim a um website falso desenvolvido especialmente com o objetivo de copiar o original nos mínimos detalhes e fazer com que o usuário não perceba que está em território perigoso.

Phishing

Fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários.

Sniffer

Programa usado para monitorar o tráfego de redes e descobrir portas abertas ou outras falhas de segurança. Estes programas podem ser usados tanto por administradores de rede, interessados em corrigir brechas de segurança, quanto por pessoas mal intencionadas.

Spam

E-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do inglês Unsolicited Commercial E-mail)

Spyware

Categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

Vírus

Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.

Worm

Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Não necessita ser explicitamente executado para sua propagação, que se dá por meio da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.

Fonte: Elaboração própria, a partir de informações encontradas nos sites www.cert.br, http://idgnow.uol.com.br e http://www.guiadohardware.net/termos/s.html.