Clones de sites de provedores e bancos viraram moda na Internet

Alvaro Teofilo*

A Clonaid, empresa fundada por Raelinos, membros de uma seita que acredita que os humanos são uma criação de extraterrestres, prometia em torno de março de 2003, em seu site na Internet, a apresentação de Eve, a criança que seria o primeiro clone humano. Curiosamente, a criança seria apresentada justamente em São Paulo, no final do mês em que a notícia estava veiculada.

A clonagem já está há algum tempo no centro das atenções das discussões científicas. Ratos de laboratório tiveram orelhas enxertadas em suas costas. Uma ovelha foi apresentada como cópia exata de outro animal, mas morreu há algumas semanas com indícios de velhice precoce. E alguém pegou a idéia da Dolly e a levou para a Internet. Clones de sites de provedores e bancos viraram moda na Internet. Em apenas três semanas apareceram dois novos clones de sistemas bancários no Brasil. É interessante discutirmos a contextualização desse fato, entender suas razões e suas conseqüências.

O sistema bancário brasileiro é um modelo para o mundo. As tecnologias utilizadas no Brasil copiados em vários países. O Sistema de Pagamentos Brasileiro, que agilizou a liquidez do sistema bancário no país é um case fenomenal de integração entre empresas poucas vezes visto. Efetivamente podemos dizer que os grandes bancos se preocupam e investem pesado em sistemas de segurança física e digital, o que inclui o assunto no topo das preocupações no momento do desenvolvimento de seus sistemas de banco eletrônico. Os próprios cidadãos estão ganhando cada vez mais recursos: a senha do homebanking não é a mesma do cartão de saque, e muitos bancos incluíram uma senha adicional como um passo necessário para a autenticação no sistema, políticas de segurança baseadas na melhores práticas do mercado foram implementadas, e num futuro muito próximo certificados digitais assinados pelo ICP-Brasil serão distribuídos por vários bancos para seus clientes, reduzindo de vez as tentativas de fraude baseadas em adivinhação de senhas de pessoas ou invasão aos sistemas.

Tendo todas essas dificuldades à frente, a opção para se efetuar fraudes em sistemas bancários da Internet se tornou, então, a clonagem de sites. Os sites clonados foram hospedados em dois lugares diferentes (um deles dentro do Brasil). É incrivelmente fácil fazer isso, seja através do uso de ferramentas que literalmente gravam todo o conteúdo de um site em minutos em um computador, seja através do trabalho paciente de se fazer a cópia de cada um dos elementos de uma página principal.

O processo começa através do registro um endereço com um nome em algum domínio parecido com o original. Em seguida, copia-se apenas a página principal e algumas das funcionalidades do site original (alguns links, inclusive, apontam para o endereço real), montando no site falso apenas o necessário para receber um “cliente”. Os criminosos enviam em seguida um e-mail em massa (spam), para milhares de endereços aleatórios, acreditando que muitos deles terão contas naqueles bancos. A orientação dada pelo e-mail, na maioria dos casos, é o recadastro de informações por “razões de segurança”. E é óbvio, é sempre solicitada a digitação de suas senhas. As senhas são então, depois de digitadas, enviadas para os e-mails dos fraudadores.

As pessoas mais informadas podem se atentar ao fato de que receberam uma solicitação de banco por e-mail – um canal de comunicação quase nunca utilizado pelas instituições financeiras para se comunicarem com seus clientes tratando esse tipo de assunto. Mas uma boa parcela responde ao e-mail imediatamente, sempre preocupados em ter suas contas bloqueadas por conta de uma falta da requisição “exigida pelo Banco Central”, como alguns e-mails descrevem.

Os fatores facilitam e encorajam indivíduos a criarem clones de sites de bancos na Internet são intrínsecos. O primeiro é o risco calculado de ser preso pelo crime. Será quase sempre difícil chegar à origem de um indivíduo que hospede uma página em um país que, por exemplo, o Brasil não tenha relações comerciais, ou cujo acesso e comunicação sejam difíceis (por questões de língua, por exemplo). No caso último banco, que foi a última vítima da tentativa de fraude, o site clonado está localizado nas Ilhas Natal, na Austrália.

O segundo aspecto que está levando esses indivíduos a criarem os sites é o retorno rápido que as fraudes podem trazer. Com a entrada no ar do SPB – Sistema de Pagamentos Brasileiro – os bancos ligaram suas redes em uma Extranet e transações eletrônicas como transferências de montantes acima de cinco mil reais podem ser feitas em questão de minutos, quase em tempo real. Diferentes do tradicional “DOC Bancário”, o TED – Transferência Eletrônica Disponível – permite que valores altos possam ser transferidos entre bancos diferentes em qualquer lugar do Brasil. Como a possibilidade de aberturas de contas correntes com nomes falsos ainda é uma realidade no mercado, seja no Brasil ou em qualquer outro país, a fraude fica mais fácil de ser efetuada. Se alguém efetivamente tiver acesso ao banco eletrônico de um cidadão, poderá efetuar uma transferência de forma rápida, efetuar seu saque em uma agência bancária e desaparecer para sempre.

Em contrapartida à ousadia dos fraudadores em criarem sites clonados virtualmente perfeitos, podem existir em seus métodos falhas que podem ajudar a Polícia e o banco a encontrar seus autores. O próprio meio de envio da informação para os clientes – o e-mail – poderá indicar a origem da fraude, e o nível de sofisticação e conhecimento de quem a montou é que facilitará ou dificultará sua investigação.

Tendo como base os históricos de fraudes bancárias que tiveram a Internet como meio, podemos afirmar que nem sempre os envolvidos nos crimes têm grandes conhecimentos em tecnologia. Há um caso antigo de uma quadrilha que ligava para as casas das pessoas se passando pelo gerente do banco oferecendo novos serviços e produtos com vantagens extremamente competitivas. A máxima de que “o cego desconfia quando a esmola é grande” não foi lembrada por muitas pessoas que, ao final da conversa com o “gerente”, digitou em seu teclado do telefone a senha de acesso ao sistema de homebanking, “para confirmar que aceitara os serviços do banco” – exigência requerida pelo “gerente”. Tudo o que os fraudadores precisaram para efetuar a fraude foi uma folha de cheque da vítima, seu número de telefone (obtido nas listas telefônicas públicas) e boas técnicas de engenharia social. O resto da estória já dá pra imaginar.

Os crimes cometidos na Internet continuarão acontecendo, independentes das proteções que estão sendo desenvolvidos em sistemas bancários. O ser humano e sua falta de intimidade em tecnologia ainda continuará sendo o elo mais fraco da corrente, apesar dos esforços dos profissionais em campanhas sem fim sobre segurança e proteção. Os bancos terão cada vez mais recursos no uso de autenticação forte, como os certificados digitais, que permitirão que novos negócios sejam feitos na Internet, e os criminosos também continuarão criando novos meios criativos de explorar o lado mais fraco no processo – as pessoas. O que esperamos é que a consciência individual seja cada vez mais proporcional às melhorias e investimentos que estão sendo feitos na área de segurança pelos bancos.

Alvaro Teofilo é gerente de Segurança da Informação da Caixa Seguros.

Deixe um comentário

O seu endereço de e-mail não será publicado.


Você está prestes a ser direcionado à página
Deseja realmente prosseguir?
Init code Huggy.chat End code Huggy.chat