Fraudes Eletrônicas -Cenário atual – BRASIL O Brasil viveu uma defasagem tecnológica muito grande no inicio da era digital afetando o desenvolvimento de metodologias e políticas de segurança. Resultado: empresas não possuem uma política de segurança bem definida e nem procuram adquirir certificações como por exemplo a ISO 27001 e a ISO 17799. ISO 17799: Code of practice for information security management ISO 27001: Information Security Management Systems – Requirements. Cenário atual – BRASIL • Recentemente, 13 de Junho de 2008 o governo brasileiro liberou uma Instrução Normativa GSI - Disciplina a Gestão de Segurança da Informação e Comunicações. Regulamenta a adoção de políticas de segurança da informação em instituições públicas. • Levantamento realizado pela TCU (Tribunal de contas da União) sobre a governança de tecnologia da informação: Uma amostra 255 órgãos e entidades mostram que informações reservadas e sigilosas de 5 a cada 10 órgãos públicos da administração pública federal estão vulneráveis ao acesso de pessoas não autorizadas. E um percentual ainda maior dos órgãos públicos não seguem padrões internacionais contra interrupção dos serviços e perdas de dados. Estatísticas Brasileiras • Dois órgãos brasileiros fazem levantamentos estatísticos dos incidentes noticiados por usuários • Com dados desde 1999 o CERT.Br mostra uma evolução no número de fraudes • O CERT.Br mantém uma lista, com os incidentes reportados alem de fraudes, é listado os ataques de negação de serviço (DOS), ataques a servidor web, scan, worms e invasões. Estatísticas – Reflexo do cenário brasileiro Gráfico com os incidentes registrados pelo Cert.br, os dados de 2008 são de janeiro a julho. Tipos de incidentes registrados pelo Cert.br, os dados de 2008 são de janeiro a julho. Porcentagem dos incidentes em 2007 Código Penal aplicado a Fraudes Eletrônicas Crimes Eletrônicos podem ser enquadrados nas leis existentes. O código penal Brasileiro prevê penas para todos os tipos de crimes virtuais, no entanto, fica muito mais difícil ter-se provas concretas para acusar ou inocentar aquele que o cometeu / recebeu, devido a própria natureza das comunicações eletrônicas. A punição as fraudes eletrônicas já podem ser enquadradas em pelo menos três artigos, conforme listado abaixo: - Código 171 (Estelionato) - Código 157 (Roubo Qualificado) - Código 288 (Formação de Quadrilha) A fraude através da Engenharia Social Quando a Internet chegou ao Brasil em meados dos anos 90, um famoso hacker, Kevin Mitnick, já cumpria pena de prisão, e uma das suas estratégias utilizadas pendura até hoje para realizar as fraudes eletrônicas, a Engenharia Social. A Engenharia Social é utilizada como método de ataque, onde alguém faz uso da persuasão, para conseguir informações privilegiadas. A fraude através da Engenharia Social Exemplos: O usuário recebe uma mensagem por e-mail, onde o remetente se diz ser o gerente ou alguém em nome do departamento de suporte do banco. Na mensagem ele diz que o serviço de Internet Banking está com problemas e para que o mesmo seja corrigido e não afete a conta do usuário deve-se executar o aplicativo em anexo que possui interface amigável e é análoga a tela em que o usuário digita a conta e senha e que possui total segurança, ao digitar as informações são enviadas para um e-mail específico. A fraude através da Engenharia Social Exemplos: Algum desconhecido liga para a sua casa e diz ser do suporte técnico do provedor de banda larga e tenta estabelecer um contato com o usuário falando se a conexão está lenta ou se tem apresentado algum problema e no final acaba pedindo a sua conta e senha para evitar interrupção do serviço. Ao estar de posse do nome do usuário e senha o suposto técnico pode efetuar fraudes e outras atividades no nome da vítima. A fraude através de códigos maliciosos Código malicioso ou Malware (Malicious Software) são softwares desenvolvidos com o objetivo de executar ações maliciosas em um computador, com a finalidade de obter informações confidenciais e aplicar as fraudes eletrônicas. A fraude através de códigos maliciosos 1.Cavalo de Tróia Programa recebido na maioria das vezes através de e-mail com assuntos como fotos, protetor de tela, carta virtual, torpedo, etc têm como objetivo executar suas funções e executar ações maliciosas como: Instalação de Keyloggers ou Screenloggers, efetuar o roubo de informações confidenciais como senha do cartão de crédito do banco. A fraude através de códigos maliciosos 2. Adware e Spyware O Adware é um software projetado para apresentar propagandas no computador, seja através do navegador seja através de programas instalados diretamente no computador, muitos são incorporados a softwares gratuitos que tem no Adware uma forma de patrocínio, um exemplo é o software de troca de mensagens MSN. Já o Spyware tem como característica monitorar as atividades de um sistema e enviar as informações obtidas a terceiros. Os dois conceitos acabam se misturando pois existe Adware que são um tipo de Spyware, onde ocorre a monitoração da navegação do usuário pelas páginas da web, exibindo propagandas específicas. A fraude através de códigos maliciosos 3. Keyloggers Keylogger é programa que fica oculto no sistema visando a captura e armazenamento dos dados dos usuários. O objetivo do Keylogger é armazenar informações confidenciais que são digitadas pelo teclado, tais informações como senhas de banco, e-mail dentre outras. A fraude através de códigos maliciosos 4. Screenlogger No Screenlogger a captura da tela é feita a partir do click do mouse, ou seja ao clicar a senha através do teclado virtual, se o teclado for reproduzido de forma idêntica ao teclado convencional, a cada click do mouse uma cópia da tela na região onde houve o click é armazenada ficando claro para o fraudador qual caractere foi clicado. Após a captura das informações as mesmas são enviadas para terceiros que em posse das informações confidenciais efetuam as fraudes. A fraude através de códigos maliciosos Característica de um bom Keylogger: • Fica oculto na lista de aplicativos em execução - Não consta na lista de aplicativos. • Fica oculto na lista de processos em execução - Não consta na lista de processos em execução. • Consegue burlar o Antivírus e os mecanismos de defesa do S.O como o Firewall. A fraude através de códigos maliciosos 5. Bot Bot é um programa malicioso que pode-se propagar de forma automática explorando as falhas dos softwares, muitas vezes não atualizados com patchs disponíveis pelos fabricantes, para se instalarem nos computadores. Geralmente o Bot após instalado no computador realiza uma conexão com uma sala de bate papo específica onde o invasor já está aguardando e enviado combinações específicas de caracteres que são interpretados e disparados comandos com o objetivos variados como: furtar dados presentes no computador como número de cartão de crédito, enviar e-mails de pishing dentre outras ações. A fraude na Internet Apesar da fragilidade de algumas instituições existem também sistemas em que os acessos aos servidores são bem configurados e, portanto protegidos, como por exemplo, servidores de uma instituição bancária. Para tentar obter um êxito maior os atacantes, portanto, concentram seus esforços na parte mais frágil do sistema, os usuários. A fraude na Internet Pishing/scam Pishing caracterizado pelo envio de mensagens não solicitadas, fazendo se passar por instituições conhecidas como bancos, empresas e sites populares, induzindo o acesso a páginas fraudulentas cujo objetivo principal é furtar senhas e os dados pessoais dos usuários. Muito utilizado, atualmente, através de mensagens nas redes sociais como Orkut e Facebook. A fraude na Internet Uma ação enganosa e ou fraudulenta cuja finalidade é obter vantagens financeiras é conhecida como scam. Existem diversos tipos de scam, porém as mais conhecidas são através de mensagens de e-mail e através de páginas espalhadas pela Internet. A fraude na Internet Fraude aplicada a um dos integrantes do grupo Parte Prática Programa que finge ser uma atualização do Bradesco empresas. O funcionamento do programa é simples, a idéia é enganar o usuário como se fosse o verdadeiro programa de atualização do Bradesco NetEmpresas, ao digitar os dados e selecionar os arquivos com as chaves de acesso do usuário, o programa envia todos os dados para o email [email protected]. Todos os dados necessários como token, chaves e senhas são enviados. O usuário desavisado que preenche os dados verdadeiros permite que o atacante tenha acesso a sua conta. O programa não modifica nenhum arquivo no windows, simplesmente envia os dados via smtp para um email registrado no servidor do SBT. Dúvidas ?