Segurança Online em 3 passos. Será mesmo?

Está circulando um email na internet com 3 “atitudes positivas e simples” que “garantirão que você jamais será vítima de fraude virtual“. Li e reli este email, e sinto-me na obrigação de comentá-lo e alertar: não é tão simples assim. Talvez você tenha preguiça de ler minha explicação. Neste caso, “tome a pílula azul”, continue achando que é assim fácil, e seja feliz, contando com a sorte pra não entrar nas estatísticas de vítimas de golpes virtuais. Caso contrário, “tome a pílula vermelha” e leia o que tenho a comentar. Prometo que vou tentar ser o mais simples e didático possível.

Das duas, uma:

  • O texto foi escrito por alguém sem muito conhecimento sobre o tema; ou
  • O texto foi escrito por alguém que, com má fé, tenta criar uma falsa sensação de segurança baseada em atitudes ineficientes e, principalmente, insuficientes.

Irei comentar o texto à seguir, tentando ser o mais claro e objetivo. Ao final, comentarei algumas dicas que considero mais adequadas para melhorar (nunca “garantir”) a sua segurança.

ATENÇÃO, SE VOCÊ USA O SEU PC PARA SERVIÇOS DE BANCO PELA INTERNET, CUIDE-SE COM ESTAS 3 ATITUDES POSITIVAS E SIMPLES.

Quando for fazer uso dos serviços bancários pela internet, siga as 3 dicas abaixo para verificar a autenticidade do site:

1 – Minimize a página. Se o teclado virtual for minimizado também, está correto. Se ele permanecer na tela sem minimizar, é pirata! Não tecle nada.

A maior parte absoluta dos ataques que já conheci não faziam uso desse artifício (sobrepor um teclado falso na janela). Antigamente, até que isso era um pouco mais comum. Mas hoje em dia a maior parte dos golpes faz uso mesmo é de sites falsos (aos técnicos que estão lendo: ou XSS, ou outras técnicas, mas aqui e no restante do texto vou tentar evitar complicar o assunto mais do que o necessário, ok ;D), e por isso, você pode minimizar a janela e o teclado falso vai minimizar junto, sem “problema” algum. Afirmo: Esta dica funciona em um caso ou outro, mas é totalmente ineficaz na maior parte dos casos.

2 – Sempre que entrar no site do banco, digite SUA SENHA ERRADA na primeira vez. Se aparecer uma mensagem de erro significa que o site realmente do banco, porque o sistema tem como checar a senha digitada.Mas se digitar a senha errada e não acusar erro é mau sinal. Sites piratas não tem como conferir a informação,
o objetivo é apenas capturar a senha.

Das três, esta é a melhor dica. Mas não confie nela cegamente. De fato, é uma boa prática, se você não “confia” no computador que está usando. Mas cuidado, se o site indicar que a senha está errada mesmo, não assuma que é o site verdadeiro! Este golpe normalmente funciona assim: O site falso indica pra você uma, duas ou mais vezes que você digitou a senha errada, e depois lhe direciona pro site verdadeiro, de forma que na próxima tentativa, ao aceitar a senha e entrar normalmente no banco, você passe a acreditar que foi você que errou a senha na(s) primeira(s) vez(es), e não que o site tinha algum problema.

3 – Sempre que entrar no site do banco, verifique se no rodapé da página aparece o ícone de um cadeado; além disso clique 2 vezes sobre esse ícone; uma pequena
janela com informações sobre a autenticidade do site deve aparecer. Em alguns sites piratas o cadeado pode até aparecer, mas será apenas uma imagem e ao clicar 2 vezes sobre ele, nada irá acontecer.

Opa, essa é minha área ;)… Assim como a dica 1, esta dica funcionará apenas em alguns poucos casos específicos, mas não na maioria absoluta deles. Qualquer pessoa pode fazer um site que “fecha” o tal cadeado, e fecha de verdade, e quando você clica nele vai aparecer informações de verdade. Pra entender melhor, vou explicar o que siginifica, de verdade, este cadeado (novamente: sem entrar em detalhes técnicos, e por isso, vou fazer algumas simplificações “didáticas”):

  1. Ele significa que a conexão entre o seu computador e o site está cifrada (“criptografada”), ou seja, só o seu computador e o site conseguem “entender” a “conversa”, qualquer pessoa que esteja no meio (por exemplo, seu provedor de internet ou um “hacker”) não poderão entender o que está sendo transmitido. Mas veja bem, você pode estar com uma conexão cifrada com o site do banco, como pode estar com uma conexão cifrada com o site falso que imita o site do seu banco. Ambos podem ter cadeado, e cadeado de verdade, é fácil!
  2. Ele significa que o site apresentou um certificado digital. Esta sim é a parte que serve pra garantir que você está acessando o site que você quer. Mas para isso, você precisa confiar no certificado que o site te apresentou. Vamos fazer uma analogia com uma carteira de identidade: o site te apresenta a carteira de identidade dele, que diz que lá que ele realmente é o site “www.banco.com.br”, e prova (não interessa como). Mas e aí, agora você confia ou não que a identidade é verdadeira? Se o site te apresentar uma identidade falsa, que parece com a verdadeira, e você aceitar, não adianta nada. Bom, aí está a questão principal. Assim como as carteiras de entidade tem um emissor (normalmente a Secretaria de Segurança Pública do seu estado), os certificados digitais também tem uma entidade chamada Autoridade Certificadora, que emitiu e assinou o certificado (pra mais detalhes de como funciona, veja meus outros posts sobre criptografia básica). E felizmente, pra você, os bancos e muitos outros sites utilizam Autoridades Certificadoras confiáveis, que só emitem certificados pras pessoas e instituições certas, e por isso já vem instaladas por padrão no seu Windows, Firefox, etc. Desta forma, você não precisa se preocupar tanto em verificar a autenticidade da “identidade” que o site te apresentou, o seu computador vai fazer isso por você. Se um dia seu computador te exibir uma mensagem, dizendo que o site que você acessou tem um certificado digital que ele não reconhece, e se você quer aceitá-lo, você só tem duas opções seguras: se o site é de banco (ou outra coisa crítica), rejeite o certificado, e entre em contato com o banco por telefone pra esclarescer a questão. Se o site for de uma coisa menos crítica, você até pode aceitar, mas não fique achando que alguma segurança muito grande foi garantida.

O lado bom da história é que “a turma” que costuma aprontar esses golpes, por definição, não gosta de trabalhar muito. Fazer tudo isso dá algum trabalho, o cara tem que estudar, entender alguma coisa de certificado digital, e no final das contas, sejamos realistas: Provavelmente você, o alvo, assim como boa parte dos usuários de computador, acaba apertando “Sim” ou “Ok” em tudo que vê pela frente, sem nem ler o que está acontecendo, e não se preocupa com detalhes como “se o cadeado fechou” ou se “o certificado é o certificado é certo”. A maior parte, nem o endereço na barra de endereços verifica! Então pra que o cara vai passar tanto trabalho pra fazer um golpe “perfeito”, se o “imperfeito” já pega bastante gente?

Os 3 pequenos procedimentos acima são simples, mas garantirão que você jamais será vítima de fraude virtual.

SEJA SOLIDÁRIO, REPASSE AOS SEUS AMIGOS.

O email não seriam tão ruim, se não fosse esse final. Seria ruim, mas não tão ruim. O “garantirão que você jamais será vítima” é o motivo. Essas dicas nem de perto garantirão qualquer coisa. Aliás, nada que você faça garantirá isso, você pode no máximo conseguir um nível confortável e suficiente (mas não garantido) de segurança, quando o assunto é usar a internet pra essas coisas. Sejamos realistas, nem ir ao banco “real” é 100% seguro, você pode ser assaltado no caminho, por exemplo.

E ainda estou esperando, com meus muitos anos de internet, pra conhecer um email que termine com “repasse aos seus amigos” (ou similares) e que realmente vale a pena repassar. Se alguém tiver um que realmente vale a pena me apresentar, me avise, pois estou pensando em aplicar um filtro no meu email pra automaticamente bloquear esse tipo de frase.

Na minha opinião, o banco online pode ser seguro suficiente pra valer a pena seu uso. Um pouco de preocupação e de cuidados é saudável. Não precisa ser paranóico, mas veja bem: eu acho melhor que você não use nenhuma “dica de segurança” e tenha um medo grande de usar essas coisas, do que faça uso de 3 dicas que não adiantam quase nada e ache que sua segurança está garantida, e saia usando banco online no cyber café da esquina, num computador com Windows ME, sem antivírus, com o cara no computador do lado usando uma camiseta onde se lê “H4CK3R”.

Pre fechar, peço licença para recomendar algumas coisas. Não vão te garantir segurança. Mas ajudam, talvez, a chegar em um nível mais confortável de segurança.

  • Não utilize banco online em computadores públicos (cyber-café, universidade, colégio): muitos desses lugares tem bons mecanismos de segurança, mas na dúvida… melhor evitar.
  • Não utilize software pirata: Primeiro porque é anti-ético, mas também porque estes “crackers”, e os sites que os disponibilizam, muitas vezes vem com um ou mais vírus de presente pra você. E isso leva ao próximo ponto…
  • Mantenha tudo bem atualizado no seu computador. Se você usa Windows, deixe ele sempre bem atualizado (e você, provavelmente, vai precisar de uma versão não pirata dele pra fazer isso ;D). Se usa Linux, a maior parte deles te avisa quando tem algo pra atualizar também.
  • A dica 2, do email, pode ser usada quando você está na dúvida. Mas considere os comentários que eu fiz ali em cima.
  • Utilize um bom antivírus, e mantenha-o atualizado. Firewall, Anti spyware, etc, tudo isso é muito bem vindo, especialmente se você utiliza Windows.
  • Acostume-se a ter boas práticas na internet: não acessar qualquer site “sinistro”, leia todas as mensagens que lhe são exibidas com atenção e jamais aperte um botão sem ter certeza que está fazendo (exemplo, confirmar a aceitação de um certificado), não clique em links e anexos de emails sem ter certeza que não é vírus, etc.
  • Utilize preferencialmente um navegador mais seguro que o Internet Explorer. Pessoalmente, recomendo o Firefox.

Fique a vontade para comentar, criticar, corrigir ou debater este texto/comentário!

Etiquetado , , ,

3 pensamentos sobre “Segurança Online em 3 passos. Será mesmo?

  1. Bruno Pedrassani disse:

    Gostei do texto. Informação, principalmente dessas correntes de email é necessária. É bom alertar quem normalmente lê essas correntes(o usuário leigo) que não há como ser 100% seguro, mesmo que siga à risca todas as dicas.

    Só não concordei que o cara estava mal intencionado. As dicas não são ruins, e o cara demonstrou conhecer alguma coisa. Tá mais pra usuário avançado do que alguém que realmente conhece(como você mesmo falou), mas as dicas não são de se jogar fora. Como você disse, o problema é o final do email. Dizer que estará seguro somente com essas dicas, é até uma irresponsabilidade.

    Olá Bruno! Seja bem vindo, obrigado pelo comentário!

    Bom, não falei que necessariamente o cara é mal intencionado. Deixei a opção de que, ao falar que isso “garante a segurança”, o autor demostrou não saber muito sobre segurança. Não que eu saiba muito, mas sei que as dicas 1 e 3 são ruins, e não devem ser seguidas, por criarem “ilusão de segurança”, que é pior que “insegurança” na minha opinião, e a dica 2 é razoavelmente boa, mas até dispensável se outros procedimentos mais importantes forem tomados.

    Vamos fazer uma analogia: você pode fechar a porta de casa (dica 1), colocar um cadeado de brinquedo (dica 3), e trancar a porta com uma chave comum (dica 2). Fechar e colocar o cadeado de brinquedo não agregaram segurança alguma, a não ser, talvez, na remota possibilidade de que o ladrão seja uma criança e não alcance a fechadura😉. Trancar a porta, ajudou um pouco, claro. Mas não te garantiu a segurança, pois você esqueceu 5 janelas abertas, o fogão ligado, e deixou uma chave sob o tapete.

    []’s
    Cristian

  2. Samara disse:

    Olá, adorei o seu post, muito informativo e eficiente🙂

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: