Fraudes Eletrônicas
-Cenário atual – BRASIL
O Brasil viveu uma defasagem tecnológica muito grande no inicio da era
digital afetando o desenvolvimento de metodologias e políticas de
segurança.
Resultado: empresas não possuem uma política de segurança bem
definida e nem procuram adquirir certificações como por exemplo a ISO
27001 e a ISO 17799.
ISO 17799: Code of practice for information security management
ISO 27001: Information Security Management Systems – Requirements.
Cenário atual – BRASIL
• Recentemente, 13 de Junho de 2008 o governo brasileiro liberou uma
Instrução Normativa GSI - Disciplina a Gestão de Segurança da Informação
e Comunicações. Regulamenta a adoção de políticas de segurança da
informação em instituições públicas.
• Levantamento realizado pela TCU (Tribunal de contas da União) sobre a
governança de tecnologia da informação:
Uma amostra 255 órgãos e entidades mostram que informações
reservadas e sigilosas de 5 a cada 10 órgãos públicos da administração
pública federal estão vulneráveis ao acesso de pessoas não autorizadas. E
um percentual ainda maior dos órgãos públicos não seguem padrões
internacionais contra interrupção dos serviços e perdas de dados.
Estatísticas Brasileiras
• Dois órgãos brasileiros fazem levantamentos estatísticos dos incidentes
noticiados por usuários
• Com dados desde 1999 o CERT.Br mostra uma evolução no número de
fraudes
• O CERT.Br mantém uma lista, com os incidentes reportados alem de
fraudes, é listado os ataques de negação de serviço (DOS), ataques a
servidor web, scan, worms e invasões.
Estatísticas – Reflexo do cenário brasileiro
Gráfico com os incidentes registrados pelo Cert.br, os dados de 2008 são de janeiro a julho.
Tipos de incidentes registrados pelo Cert.br, os dados de 2008 são de janeiro a julho.
Porcentagem dos incidentes em 2007
Código Penal aplicado a Fraudes Eletrônicas
Crimes Eletrônicos podem ser enquadrados nas leis existentes.
O código penal Brasileiro prevê penas para todos os tipos de crimes
virtuais, no entanto, fica muito mais difícil ter-se provas concretas para
acusar ou inocentar aquele que o cometeu / recebeu, devido a própria
natureza das comunicações eletrônicas. A punição as fraudes
eletrônicas já podem ser enquadradas em pelo menos três artigos,
conforme listado abaixo:
- Código 171 (Estelionato)
- Código 157 (Roubo Qualificado)
- Código 288 (Formação de Quadrilha)
A fraude através da Engenharia Social
Quando a Internet chegou ao Brasil em meados dos anos 90, um
famoso hacker, Kevin Mitnick, já cumpria pena de prisão, e uma das
suas estratégias utilizadas pendura até hoje para realizar as fraudes
eletrônicas, a Engenharia Social.
A Engenharia Social é utilizada como método de ataque, onde alguém
faz uso da persuasão, para conseguir informações privilegiadas.
A fraude através da Engenharia Social
Exemplos:
O usuário recebe uma mensagem por e-mail, onde o remetente se diz ser o
gerente ou alguém em nome do departamento de suporte do banco. Na
mensagem ele diz que o serviço de Internet Banking está com problemas e para
que o mesmo seja corrigido e não afete a conta do usuário deve-se executar o
aplicativo em anexo que possui interface amigável e é análoga a tela em que o
usuário digita a conta e senha e que possui total segurança, ao digitar as
informações são enviadas para um e-mail específico.
A fraude através da Engenharia Social
Exemplos:
Algum desconhecido liga para a sua casa e diz ser do suporte técnico
do provedor de banda larga e tenta estabelecer um contato com o
usuário falando se a conexão está lenta ou se tem apresentado algum
problema e no final acaba pedindo a sua conta e senha para evitar
interrupção do serviço. Ao estar de posse do nome do usuário e senha
o suposto técnico pode efetuar fraudes e outras atividades no nome da
vítima.
A fraude através de códigos maliciosos
Código malicioso ou Malware (Malicious Software) são
softwares desenvolvidos com o objetivo de executar ações
maliciosas em um computador, com a finalidade de obter
informações confidenciais e aplicar as fraudes eletrônicas.
A fraude através de códigos maliciosos
1.Cavalo de Tróia
Programa recebido na maioria das vezes através de e-mail
com assuntos como fotos, protetor de tela, carta virtual,
torpedo, etc têm como objetivo executar suas funções e
executar ações maliciosas como: Instalação de Keyloggers ou
Screenloggers, efetuar o roubo de informações confidenciais
como senha do cartão de crédito do banco.
A fraude através de códigos maliciosos
2. Adware e Spyware
O Adware é um software projetado para apresentar
propagandas no computador, seja através do navegador seja
através de programas instalados diretamente no computador,
muitos são incorporados a softwares gratuitos que tem no
Adware uma forma de patrocínio, um exemplo é o software de
troca de mensagens MSN.
Já o Spyware tem como característica monitorar as atividades
de um sistema e enviar as informações obtidas a terceiros. Os
dois conceitos acabam se misturando pois existe Adware que
são um tipo de Spyware, onde ocorre a monitoração da
navegação do usuário pelas páginas da web, exibindo
propagandas específicas.
A fraude através de códigos maliciosos
3. Keyloggers
Keylogger é programa que fica oculto no sistema visando a captura
e armazenamento dos dados dos usuários. O objetivo do Keylogger
é armazenar informações confidenciais que são digitadas pelo
teclado, tais informações como senhas de banco, e-mail dentre
outras.
A fraude através de códigos maliciosos
4. Screenlogger
No Screenlogger a captura da tela é feita a partir do click do mouse,
ou seja ao clicar a senha através do teclado virtual, se o teclado for
reproduzido de forma idêntica ao teclado convencional, a cada click
do mouse uma cópia da tela na região onde houve o click é
armazenada ficando claro para o fraudador qual caractere foi
clicado. Após a captura das informações as mesmas são enviadas
para terceiros que em posse das informações confidenciais efetuam
as fraudes.
A fraude através de códigos maliciosos
Característica de um bom Keylogger:
• Fica oculto na lista de aplicativos em execução - Não consta na
lista de aplicativos.
• Fica oculto na lista de processos em execução - Não consta na
lista de processos em execução.
• Consegue burlar o Antivírus e os mecanismos de defesa do S.O
como o Firewall.
A fraude através de códigos maliciosos
5. Bot
Bot é um programa malicioso que pode-se propagar de forma
automática explorando as falhas dos softwares, muitas vezes não
atualizados com patchs disponíveis pelos fabricantes, para se
instalarem nos computadores.
Geralmente o Bot após instalado no computador realiza uma
conexão com uma sala de bate papo específica onde o invasor já
está aguardando e enviado combinações específicas de caracteres
que são interpretados e disparados comandos com o objetivos
variados como: furtar dados presentes no computador como
número de cartão de crédito, enviar e-mails de pishing dentre outras
ações.
A fraude na Internet
Apesar da fragilidade de algumas instituições existem também
sistemas em que os acessos aos servidores são bem configurados
e, portanto protegidos, como por exemplo, servidores de uma
instituição bancária. Para tentar obter um êxito maior os atacantes,
portanto, concentram seus esforços na parte mais frágil do sistema,
os usuários.
A fraude na Internet
Pishing/scam
Pishing caracterizado pelo envio de mensagens não solicitadas,
fazendo se passar por instituições conhecidas como bancos,
empresas e sites populares, induzindo o acesso a páginas
fraudulentas cujo objetivo principal é furtar senhas e os dados
pessoais dos usuários. Muito utilizado, atualmente, através de
mensagens nas redes sociais como Orkut e Facebook.
A fraude na Internet
Uma ação enganosa e ou fraudulenta cuja finalidade é obter
vantagens financeiras é conhecida como scam. Existem diversos
tipos de scam, porém as mais conhecidas são através de
mensagens de e-mail e através de páginas espalhadas pela
Internet.
A fraude na Internet
Fraude aplicada a um dos integrantes do grupo
Parte Prática
Programa que finge ser uma atualização do Bradesco empresas.
O funcionamento do programa é simples, a idéia é enganar o usuário
como se fosse o verdadeiro programa de atualização do Bradesco
NetEmpresas, ao digitar os dados e selecionar os arquivos com as
chaves de acesso do usuário, o programa envia todos os dados para
o email [email protected].
Todos os dados necessários como token, chaves e senhas são
enviados. O usuário desavisado que preenche os dados verdadeiros
permite que o atacante tenha acesso a sua conta.
O programa não modifica nenhum arquivo no windows,
simplesmente envia os dados via smtp para um email registrado no
servidor do SBT.
Dúvidas
?