blog.dennyroger.com.br

Dispositivo de segurança se populariza no Internet Banking, mas usuário deve ter cuidado.

Por Denny Roger

A segurança no Internet Banking é certamente um tópico fundamental, hoje em dia. O alvo dos ladrões migrou da agência bancária para o computador do correntista, onde as informações financeiras são acessadas e movimentadas (pagamentos, transferências etc).

O Internet Banking desenvolvido no Brasil é o que considero um dos mais seguros do mundo. Essa evolução é conseqüência da ação dos crackers. Existem tantos ataques bem-sucedidos executados por brasileiros que a tecnologia de segurança bancária evolui mais rápido aqui do que em outros países. Porém, não existe segurança absoluta e o objetivo dos crackers é localizar e explorar o elo mais fraco, o ser humano.

Os dispositivos de segurança no Internet Banking são eficazes?

O que você sabe: Os crackers disseminam programas espiões capazes de gravar tudo o que você digita durante o acesso ao Internet Banking. Por exemplo, agência, conta corrente, frase secreta e senha. A contramedida implementada foi o teclado virtual. Dessa forma, o cliente do banco é obrigado a utilizar o mouse para informar a sua senha, minimizando o risco do programa espião capturar as informações digitadas no computador.

Os riscos: Existem dois problemas neste caso. Alguns clientes compartilhavam a sua agência, conta corrente, senha do teclado virtual, com outra pessoa. Esta outra pessoa acessava o Internet Banking e realizava diversas transações financeiras. O cliente entrava em contato com o banco informando que o dinheiro havia “desaparecido” de sua conta corrente. Isso chama-se auto fraude.

O segundo problema é o teclado virtual. O programa espião evolui junto com a segurança do Internet Banking. Além de gravar tudo que é digitado, o programa espião fotografa (print screen) toda vez que é pressionado algum botão do mouse. Ou seja, quando você clica nos números da sua senha utilizando o teclado virtual, o programa espião fotografa os números que foram clicados.

O que você tem: Os bancos foram obrigados a implementar uma segunda camada de segurança conhecida como token (chave de segurança, cartão de segurança, tabela de senhas, dispositivo de senhas eletrônicas etc). Dessa forma, mesmo que agência, conta, e senha sejam informações conhecidas por terceiros, é necessário possuir o token para realizar as transações financeiras.

Os crackers não perderam tempo e publicaram na Internet páginas clonadas dos bancos solicitando todos os números da chave de segurança, cartão de segurança, e tabela de senhas. Veja o vídeo da ação do Cracker.

Alguns clientes utilizam o token para aplicar o golpe de auto fraude. Ou seja, é realizada uma fotocópia (xerox) do cartão/chave de segurança ou da tabela de segurança. Essa cópia é disponibilizada para uma outra pessoa. A conta corrente é acessada via Internet Banking pela outra pessoa e são realizadas diversas transferências e pagamentos de contas. O cliente entra em contato com o banco informando que roubaram seu dinheiro, acreditando que o banco irá devolver todo o dinheiro que “desapareceu” da sua conta corrente. Sendo assim, mesmo o token não consegue garantir uma segurança absoluta.

O que você é: Os bancos estão implementando uma terceira camada de segurança, a biometria.
A maioria das pessoas com quem conversei acreditam que a biometria é o dispositivo de segurança mais seguro. Na minha opinião este recurso passa uma falsa sensação de segurança. Um dos problemas é não poder revogar uma permissão baseada em biometria.

Os Caçadores de Mitos (MythBusters) demonstraram diversas formas de burlar um sistema de segurança baseado em biometria. Uma das técnicas utilizadas, e a mais curiosa, foi a utilização de uma fotocópia (xerox) da impressão digital para burlar o sistema de segurança. Você pode conferir todos os resultados das técnicas utilizadas no site http://mythbustersresults.com/episode59.
Confira o vídeo deste episódio disponível no YouTube.

Conclusão

Pode-se alcançar um aumento significativo de segurança utilizando o token. Alguns tokens utilizam a tecnologia de “uma única senha”. Esta senha é alterada uma vez por minuto e é permitido somente um acesso por minuto. O token também permite que você utilize uma autenticação de dois fatores (o que você sabe + o que você tem).

Não se esqueça: o cracker precisa descobrir apenas uma fraqueza para ser bem-sucedido. Normalmente o elo mais fraco é o ser humano. Não anote suas senhas, frases secretas etc. Não faça uma cópia do seu token (cartão/chave de segurança ou tabela de segurança), tenha cuidado com os sites clonados - os bancos solicitam apenas uma das chaves de segurança – e sempre atualize seu software antivírus.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: [email protected].

Fonte: Mente hacker - Denny Roger - Segredos do token - IDG Now!