An?se de Riscos em Sistemas Internet Banking
Exatas > Informática

Análise de Riscos em Sistemas Internet Banking
Andrezza Pastro, Heber Braz Krepe, Joel Marinho, Marcos Soares Martins, Ricardo Reis e Thiago S. Francisco
Universidade Nove de Julho - Uninove/Ciências Exatas, São Paulo, Brasil


Resumo: Este artigo tem por objetivo apresentar como é feita a análise de riscos e como mitigá-los para um sistema cada vez mais utilizado não somente por nós brasileiros, mas por todos no mundo inteiro, que conhecemos como Sistemas de Internet Banking. Iremos abordar principalmente os riscos relacionados à sua utilização, os escopos de análise de riscos, as formas de manter a segurança da informação pelas instituições bancárias e a finalidade de cada uma e a importância de disciplinar os usuários para que minimizem ainda mais as fraudes eletrônicas e danos materiais.
Palavras Chaves: Segurança, Autenticação, Vulnerabilidades, Ameaças e Tipos de Segurança

I.Introdução

O que é o Internet Banking?

O Sistema de Internet Banking surge-nos com um conjunto de serviços e ações que habitualmente eram fornecidos através de uma agência (presença física) e que agora são oferecidos para qualquer pessoa, independente de condição social através de meios de acesso eletrônico ou digital. Basta apenas um computador que tenha acesso à internet e com suas credenciais o cliente realiza todos os serviços que deseja da mesma forma que fazia antes na própria agência.
Inicialmente esses serviços eram básicos, mas, a aposta dos bancos manteve-se forte e os clientes foram vendo as possibilidades de transações na internet crescerem e naturalmente isso fez também aumentar a demanda por procura desses serviços.
E com essa demanda aumenta também o crescimento considerável de pessoas má intencionadas querendo tirar alguma vantagem por falhas de sistemas, pessoas ingênuas que caem fácil em golpes pela internet. Códigos maliciosos, hackers, cavalo de tróia são termos cada vez mais conhecidos pela sociedade em que a internet já faz parte do dia a dia. O desafio dos bancos é diário para manter a confiabilidade em seus serviços e garantir a autonomia em relação à concorrência. Tecnologia é cara e investimentos tendem a crescer a cada ano. Dados publicados no website da Federação Brasileira dos Bancos (FEBRABAN), entidade que engloba a maioria dos bancos no Brasil, indicam que em 2007 o setor bancário investiu R$ 7,0 Bilhões em segurança física. Investimento forte já que esse canal vem crescendo aceleradamente desde 2000.
Segundo dados da FEBRABAN, entre 2001 e 2002, o número de operações realizadas via Internet Banking também cresceu 177,9 %. No período de 2002 a 2003, o número de clientes com Internet Banking também cresceu 9,2 milhões para 9,7 milhões.
(Adachi, Diniz; 2004:3).

A evolução da Internet Banking

Depois de considerar o telefone e a televisão a cabo
como forma de acesso aos serviços bancários nos anos 80, os bancos voltaram para os PCs como plataforma de acesso aos seus serviços denominado de Home Banking. Da mesma forma que as tentativas anteriores não deram certo, o acesso via PC frustrou as tentativas dos bancos que investiram nesta tentativa. A falta de PCs e de uma população significativa de usuários a década de 90 não fez vingar definitivamente o home banking.
Com o avanço da ciência e tecnologia dos hardwares e com a popularidade dos microcomputadores o banco virtual, acessado por milhões de clientes de suas casas ou escritórios só foi mesmo acontecer depois que a internet se abriu para o mundo comercial no ano 1994, onde deu-se o início ao que conhecemos hoje como Internet Banking.

II. A Análise de Riscos.

É voltada para identificar as falhas de segurança que evidenciam vulnerabilidades que possam ser exploradas causando impacto nos negócios.
É um trabalho complexo e feito por uma equipe. Esta equipe deve ser altamente qualificada, pois estes profissionais têm um papel importante na continuidade dos negócios.
É preciso conhecer os processos de negócio de uma empresa. TI hoje se trata do motor de uma companhia. Sem ela a continuidade dos negócios seria impossível.
Algumas atividades de análise tem como resultado:
Encontrar conjunto de vulnerabilidades que podem comprometer o negócio, o grau de impacto desta e os passos a serem seguidos para sua correção;
Identificar as ameaças que podem explorar estas vulnerabilidades e elaborar estratégias de proteção;
Determinar recomendações, cursos, disciplinar usuários para que as ameaças sejam corrigidas ou reduzidas.
Em um banco que fornece os seus serviços pelo internet banking as ações de segurança provavelmente deveriam se concentrar naqueles processos que envolvem transações monetárias que seriam prioritárias devido à natureza de seu negócio.
Para que a análise de risco tenha eficiência dentro de uma empresa, é preciso compreender as diferentes prioridades ao longo de cada um dos processos de negócio. Um banco tem várias áreas que T.I atenda. A relevância em cada um dos processos de negócio da empresa é determinante para priorizas as ações de segurança. Resumindo, as ações serão aplicadas nas áreas mais estratégicas, aquelas que possam trazer um impacto muito grande caso ocorra algum incidente. São as áreas mais críticas.
Conhecer a relevância dos processos maximiza muito também o custo-benefício, dirigindo os custos e otimizando os recursos para onde eles sejam realmente necessários, ou seja, prioritários.

III.Relevância dos processos de negócios

Uma análise de Riscos com efeitos positivos identifica as diferentes prioridades ao longo de cada um dos processos de negócios, ou seja, traça um plano estratégico baseado na importância e no impacto das ações, que por menores que ocorram em pequenos incidentes, afetam os três princípios básicos da segurança da informação Confidencialidade, Integridade e Disponibilidade.
A aplicação da relevância dos processos de negócios traz a tona quais os focos de atenção em termos de tecnologia da informação, além de distinguir os ativos de maior valor de negócios para a empresa, com o objetivo de dirigir as ações de segurança à proteção dos mesmos.
Identificar a relevância dos processos na organização é determinante para que as ações de segurança sejam encaminhadas as áreas mais críticas e/ou mais prioritárias , isso permite priorizar ações mais urgentes, dirigindo também os custos e otimizando os recursos para onde sejam realmente necessários.
Em nossa pesquisa, relacionada a sistemas de Internet Banking, os processos mais prioritários são os que envolvem operações monetárias, porém se existem áreas que são normalmente atacadas e afetadas com um grande número de incidentes registrados, talvez deva ser necessário cuidar primeiro desses processos, devido aos riscos que podem representar à segurança da informação da instituição financeira, ou então se existem áreas para a redução de custos, podem ser consideradas também essenciais e de alta prioridade para as ações de segurança a serem empreendidas, portanto a relevância de cada processo de negócio da empresa é um ponto-chave que deve ser considerado na elaboração da análise de riscos, identificando as ações de segurança que serão implantadas.

IV.Identificação dos Riscos de Segurança

Identificar quais os riscos comuns a uma organização, também torna a tarefa de mitigação e administração dos mesmos mais efetiva, tais informações são reunidas na forma de ameaças, vulnerabilidades, pontos fracos e medidas preventivas, dessa forma podemos utilizar o modelo STRIDE para fácil memorização, além de possuir uma valiosa estrutura na identificação desses riscos.


Figura 1. Modelo STRIDE para identificação de ataques.

STRIDE são as siglas em inglês dos diferentes ataques possíveis: Spoofing identity (Falsificar), Tampering with data (Alterar), Repudiation (Repúdio), Information disclosure (Divulgação de informação), Denial of Service (Negação de Serviço), Elevation of privilege (Elevação de privilégios).
Abaixo descreveremos cada item e os possíveis riscos a sistemas de Internet Banking:
Falsificação Obter ou utilizar autenticação de outro usuário. Exemplo de falsificação em sistemas de internet banking é a tentativa da utilização de senhas de terceiros para obtenção de benefícios próprios.
Alteração Modificação não autorizada. Exemplo seria alterar o conteúdo de um cookie de um cliente, muito utilizado em softwares maliciosos como os famosos trojans que enviam informações de ações realizadas no computador para crackers, afim de informações pertinentes a acesso ao internet banking.
Repúdio Negar que algo tenha ocorrido. Exemplo, quando um usuário faz um pedido em um sistema e diz não ter feito.
Divulgação de Informação Expor informações a usuários que não deveriam ter acesso a ela. Exemplo, funcionários de um banco divulgar informações a supostos invasores.
Negação de Serviço Privam o usuário de acesso ao serviço normal. Exemplo, deixar o sistema de internet banking inacessível ao inundá-lo com uma quantidade enorme de solicitações, acima da capacidade de processamento.
Elevação de Privilégios Usuário ou processo possui permissões acima do necessário. Exemplo, o invasor consegue acesso com permissões padrões e tenta elevar suas permissões tentando igualar-se ao administrador do sistema.
Portanto, além de conhecer os processos mais relevantes para a empresa, ter conhecimento de quais atividades são mais afetadas por ataques internos e/ou externos tornam a análise de riscos muito mais funcional e eficaz.

V.Identificação da Relevância dos Ativos

Identificando e mapeando os tipos de ataques é importante saber a relevância de cada ativo, ou seja, analisa cada ativo em uma escala de valor crítico, determinando sua importância ao negócio em comparação aos demais ativos da organização. Dessa forma o investimento em segurança da informação pode ser priorizado onde seja necessariamente crítico, uma vez que as ações de correção e proteção são identificadas, são encontradas as ações que serão tomadas de imediato.
Alcançar a identificação da relevância dos ativos é uma tarefa que exige a busca de dados quantitativos e qualitativos sobre a importância de cada ativo para o processo, a fim de compreender os impactos na quebra do CID, confidencialidade, integridade e disponibilidade, também é realizada uma análise da situação atual da segurança no ambiente estudado para definir o impacto das ameaças levando em consideração suas proteções.

VI.Escopos da Análise de Riscos.

Compreendendo a importância de aumentar a segurança naqueles processos que têm maior impacto, a análise de riscos para os serviços de internet banking é aplicada em três camadas:
HUMANO
- As pessoas que fazem uso do Internet Banking
TECNOLÓGICO
- Os servidores de arquivos, nos quais se encontram as informações sobre o produto
- Um servidor de banco de dados que armazena as informações das contas dos clientes de Internet Banking.
FÍSICO
- Identifica na infra-estrutura física do ambiente em que os ativos se encontram vulnerabilidades que possam trazer algum prejuízo às informações e todos os outros ativos.

Humano

Ao se falar de maneiras de mitigar os riscos relacionados a algum incidente em sistemas de internet banking, devemos levar em consideração o fator humano e não só tecnológico.
Os chamados semi-analfabetos digitais são a grande maioria dos nossos usuários corporativos e as pessoas que possuem um computador em casa e sabem abrir um editor de textos, um software de leitura de emails e acessar a internet por exemplo. Contudo, nada sabem sobre ameaças digitais. São totalmente vulneráveis a elas e sem saber passam a ser Agentes Digitais do Crime.
Hoje, há uma grande gama de casas que possuem um computador com acesso à internet. Vamos falar das ameaças do micro de um usuário. Spyware: software que se instala na máquina do usuário e monitora o perfil deste na internet, enviando os dados coletados para um repositório na internet. Esse repositório pode ser o computador de um hacker.
Os usuários instalam facilmente estes softwares sem saber. Isso pode ocorrer por abertura de email desconhecido, dispositivo instalado no computador como um Pen Drive etc. Existe ainda o chamado Phisinhg Scam onde o usuário é convencido por Engenharia Social a executar um link baixando um arquivo malicioso e a fornecer dados confidenciais como senhas.
A Engenharia Social visa ganhar confiança de alguém com privilégios no computador da rede ou pessoal passando pelas barreiras de segurança e usando os Agentes Digitais do Crime como principal ferramenta de ataque. A Engenharia Social nada mais é que conseguir influenciar pessoas. Usam como técnicas para persuadir às pessoas e ganhar sua confiança, conhecem bem o alvo, técnicas de psicologia do ser humano tais como: Confiança, Solidariedade, Autoridade, Submissão e Instintos de sobrevivência. Podemos citar como exemplo aqui, aqueles emails que costumamos receber de pessoas que não conhecemos, mas com algum conteúdo que toque psicologicamente a vítima. Exemplos muito usados são de crianças precisando de ajuda, promessa de ganho de muito dinheiro, fotos de tragédias de pessoas famosas.
A Engenharia Social tem como alvo o fator humano e por isso é a mais perigosa arma de ataque.
Como podemos nos defender?
Como aplicar ações de segurança para proteção de informações dos clientes se o elo mais fraco não é tecnológico e sim humano?
Usamos a mesma técnica de Engenharia Social para disciplinar as pessoas a serem Policiais Corporativos. Primeiro é preciso informação como seminários, cursos e palestras. Isso na visão para a empresa onde trabalhamos. Referente às pessoas em casa com seu computador pessoal, falaremos no item que trata de dicas de segurança recomendadas pelos bancos para os clientes mais adiante, que são técnicas simples de como se previr de fraudes.
É preciso usar da autoridade de alguém forte na companhia que influencie os usuários a participarem dos treinamentos, já que também é muito comum agora os funcionários de qualquer empresa ter acesso a sua conta pessoal utilizando o canal de internet da empresa em que trabalha.
Técnicas de premiação hoje já são usadas para estimular os usuários a ficarem atentos quanto à segurança das informações e buscarem cada vez mais conhecimento.
Esse conhecimento deve ser de todos. Os assuntos relacionados a segurança deve estar na visão de toda a companhia, exposto na Intranet por exemplo, cartazes espalhados em painéis nos corredores, em murais etc. Treinamentos devem ser amplos.

Tecnológico

No intuito de mitigar acessos criminosos por processos que envolvem tecnologia (vírus, hardwares), as empresas que disponibilizam o serviço de acesso aos seus produtos via internet, investiram em processos tecnológicos que tem por finalidade diminuir os riscos de invasão e intervenção não autorizado.

Tabela 1: Tabela de investimentos em tecnologia. (Extraído de [2])

Entre os investimentos realizados, vários mecanismos foram desenvolvidos para proteger os usuários de seus sistemas. Estes mecanismos são divididos em dois tipos de categorias: mecanismos contra ataques remotos e mecanismos contra ataque local.
Os mecanismos contra ataques remotos visam proteger o usuário contra ataques de indivíduos mal intencionados possam capturar dados sensíveis sem que tenham penetrado no computador do usuário do sistema.
Os mecanismos contra ataques locais visam proteger o usuário contra ataques de iminentes causados por dispositivos incorporados internamente como softwares escondidos que foram executados e instalados nas máquinas.
Dentre os dispositivos encontrados para impedir as ações maliciosas estão:


Figura2. TransportLayerSecurity (TLS).

Um protocolo criptográfico que prevê comunicação na internet para diversos serviços inclusive o HTTP. Este protocolo provê autenticidade, privacidade e a integridade dos dados transmitidos entre duas aplicações que estejam se comunicando pela internet. Através de troca de credenciais, criptografia e checagem de dados previnem que atacantes venham ter acesso ou falsifiquem os dados transmitidos.
Encerramento de sessão: Uma sessão é representada por informações que são mantidas nos servidores a respeito de cada conexão recebida por ele. Quando o cliente efetua a autenticação, são mantidas no servidor as informações do mesmo que permitem que o usuário seja identificado e garanta o serviço disponível. A sessão é mantida com o usuário de acordo com regras impostas pelo serviço. O não cumprimento de algumas dessas regras implica na desconexão do serviço, obrigando o usuário a efetuar o processo de conexão novamente. Hoje as regras mais utilizadas pelas instituições que fornecem serviço por internet e se utilizam desse tipo de protocolo, encerra suas sessões por tempo de inatividade e pelo endereço IP do cliente.


Figura 3. Chave Temporal

É um mecanismo baseado no conceito de algoritmo criptográfico one-time. Esse mecanismo é utilizado no intuito de contornar o risco de roubo de senhas. O seu conceito se baseia na utilização de chaves que são validadas por um curto período de tempo. As chaves são geradas por um tempo mínimo e de uma forma que nunca se repitam. Apesar de algumas aplicações afirmarem que estas chaves nunca se repitam por um longo período de tempo, outras aplicações não garante tal feito, o que possa comprometer o efeito desse mecanismo. As chaves temporais encontradas hoje no mercado são de dois tipos: token que é um dispositivo eletrônico especializada na geração automática de chaves temporais, onde ele garante um longo período de repetição da chave; cartão com uma sequencia de chaves conhecido como code key. Com este mecanismo o sistema solicita um número cada vez haja e necessidade de efetuar alguma transação ou acesso ao sistema.


Figura 4. Chave temporal eletrônico (esquerda) e em cartão (direita).


Figura 5. Teclado Virtual.

É o principal mecanismo de segurança adotadas pelas instituições financeiras para prevenir ataque locais gerados por softwares maliciosos instalados no computador do usuário evitando que esses dispositivos maldosos possam capturar informações digitadas via teclado do usuário. A idéia do teclado virtual é reproduzir uma figurar de um teclado convencional na tela, onde o usuário terá acesso por meio da movimentação do mouse. Os princípios desse sistema é garantir que, embora seja fácil para humanos selecionar uma opção, seja muito difícil para um software, como um vírus instalado no computador do usuário possa identificar os itens selecionados.


Figura 6. Teclado virtual com apresentações direta (esquerda) e indireta (direita).

Identificação do Computador: é um software disponibilizado que ao ser instalado caracteriza o computador como o único ponto de acesso ao serviço. As informações coletadas por esse tipo de software contêm identificações de alguns dispositivos de hardware e software do computador. Esse mecanismo pode agregar bastante segurança ao acesso do serviço, porém são necessários cuidados para que outro computador não possa se passar por um equipamento autorizado.
Certificação Digital: é um arquivo que identifica o usuário sendo ele titular, pessoa jurídica ou física, sendo como uma identidade eletrônica. Quando são realizados transações de forma presencial, muitas vezes são requeridas uma identificação por meio de um registro que comprove a identidade do individuo.
Na internet, como as transações são feitas de forma eletrônica, o Certificado Digital surge como forma de garantir a identidade de ambas as partes envolvidas, visando mitigar o risco de que outro individuo possa realizar transações bancárias se passando por outro usuário. Ao utilizar a Certificação Bancária pode ter certeza de que está com a tecnologia mais moderna de segurança do mundo protegendo assim as suas informações pessoais e de sua empresa.


Figura 7. Cartão que contém a Certificação Digital.

Físico

A análise física de segurança tem como finalidade identificar, na infra-estrutura do ambiente, vulnerabilidades que possam trazer algum prejuízo às informações e a todos os outros ativos. O enfoque principal desse escopo de análise são os ativos do tipo organização, pois são os que fornecem o suporte físico ao ambiente em que estão sendo manipuladas as informações.
E com isso devemos avaliar alguns Aspectos como:
Identificar possíveis falhas na localização física dos ativos e avaliar o impacto de acessos indevidos às áreas nas quais se encontram os ativos tecnológicos
Um exemplo a citar (reportagem tirado do site da UOL) foi a falha de segurança do Banco Mundial que no período de 2007 a 2008 teve 6 grandes invasões em seus servidores sendo uma delas quando um funcionário da empresa infectou algumas estações de trabalho no escritório com um keylogger, que enviava as informações para um local não especificado.

Para internet Banking


Para o produto Internet Banking, os ambientes operacionais, como os locais de trabalho das equipes envolvidas, os locais de armazenamento das informações críticas, as centrais de processos de informações como os centros de processamento de dados e as salas de servidores, devem sem monitoradas constantemente e conter um alto nível de segurança.
Lembrando que o maior risco da segurança da informação são as pessoas, deve-se possuir um controle de acesso bem regrado.

Ameaças físicas

Em um ambiente de instituição financeira devem ser levados todos os fatores para se manter a segurança de seus dados, lembrado que Segurança da informação não envolve somente tecnologia.. O risco de segurança em relação às ameaças internas podem ser consideradas umas das mais graves.O primeiro passo para defesa dos dados é possuir um bom programa de segurança física, no sentido de proteger as informações contra acessos indevidos.
Deve-se levar em consideração os seguintes elementos para analisar em montar tal programa : portas das salas trancadas, mesas e armários trancados, estações de trabalho protegidas contra acessos indevidos, disposição e proteção das mídias magnéticas de armazenamento, cabeamento de rede padronizado e seguro, informações protegidas (em meio magnético e papel), documentos sobre as mesas, descarte de informações (se existem trituradoras de papéis), áreas de circulação de visitantes, áreas restritas etc.
Um exemplo que pode ser dado é no caso de que haja a necessidade de se adquirir equipamentos de controle de acesso baseado em autenticação biométrica para áreas críticas e de circulação restrita, como sala de servidores, alta direção da empresa etc.
Cuidados com Hardware
Esses ativos representam toda a infra-estrutura tecnológica que oferece suporte à informação. Faz parte desse grupo qualquer equipamento no qual se armazene, processe ou transmita as informações da empresa ou dos clientes. Devem ser monitorados e até mesmo restringidos ao um determinado grupo, dependendo de suas atividades.
Estações de trabalho: Deve se utilizar a política de mesa limpa, onde o funcionário possui somente o necessário para o desenvolvimento de sua tarefa não contendo nada que possa deixar em riscos os dados da empresa(Celulares, Pen drives e etc...)
Servidores: Acesso restrito somente a pessoal autorizado munidos com credencias.
Os computadores portáteis: Deve se ter grande cuidado com as permissões de redes para ativos como este, sendo que o mesmo não fica apenas na empresa, podendo assim ser maior o risco de perda da informação. Para estes são sugeridos computadores com biometria ou chaves criptografadas.
Mainframe: Somente técnicos de manutenção devem ter acesso a essa área, com rigorosos sistemas de identificação.
As mídias de armazenamento: Liberado somente ao alto escalão. Salvo exceções que deverão encaminhar um pedido ao departamento de tecnologia.
Firewall: A utilização de firewalls para proteger as redes locais contra invasores que usam a Internet para acessar os servidores das empresas, inclui tanto soluções em software (como o uso do ISA Server da Microsoft e Linux) quanto em hardware (Checkpoint, Dlink, Cisco), com ligeira predominância para as primeiras. Onde em questão o firewall deve somente ser acessado pelo pessoal da área de ti e deve estar em um local restrito para evitar acessos de pessoas mal intencionadas.

VII. Equipes Envolvidas

A definição das equipe de profissionais responsáveis por todos os serviços descritos anteriormente deve ser um aspecto importante a ser considerado pelas instituições contratantes, uma vez que em diversos casos de invasões em sistemas de internet banking, o próprio parceiro (funcionário direto ou indireto) abre brechas aos crackers que se aproveitam disso para obtenção de benefícios próprios agindo contra a lei. Essas Brechas podem ser desde o fornecimento de suas senhas a terceiros, onde o profissional envolvido atua conscientemente de estar infringindo leis, a até mesmo a divulgação da informação em locais públicos, como elevadores e locais de fácil acesso por todos da instituição, nestas situações mesmo sem saber o parceiro está agindo como um agente digital do crime.
A auditoria realizada neste tipo de situação é muito difícil de ser realizada, uma vez que os suspeitos são os próprios parceiros que atuam diariamente juntos tornando o trabalho muito mais detalhado, pois ninguém esta livre de ser alvo.
Pensando nisso, as instituições financeiras devem possuir um forte sistema para contratação de novos funcionários, obtendo informações sobre o histórico profissional do candidato, sua postura diante de situações onde a informação possa ficar exposta de alguma forma, além de seu comportamento que ser de uma pessoa discreta, centrada e ética.
Geralmente as instituições financeiras utilizam a estratégia de observarem o parceiro recém contratado durante determinado período, para enfim ser direcionado ao ambiente real de produção. Dessa forma é possível saber se esta foi uma escolha certa ao realizar esta contratação, pois quaisquer deslizes durante este tempo de observação descartam o novo parceiro de se integrar ao ambiente de produção real que pode afetar diversos ativos da instituição financeira.
Administração Desatenta: Administradores que não consertam seus sistemas apropriadamente são grandes ameaças à segurança de servidores. De acordo com o 'System Administration Network and Security Institute' (SANS), a causa fundamental da vulnerabilidade na segurança de computadores é "delegar pessoas não treinadas para manter a segurança e não prover nem treinamento nem tempo para que o trabalho seja executado. Isto se aplica tanto para administradores inexperientes quanto para administradores super confiantes ou desmotivados.

VIII.Ameaças e Pontos Fracos

Identificar as vulnerabilidades mais comuns para os principais ativos dentro da organização, para que isso ocorra é preciso ter conhecimento quais vulnerabilidades são mais comuns quando nos referimos a cada um dos escopos.
Conheça agora as quatro principais ameaças à segurança de dados em 2009 e saiba como se proteger.

1)Falsificação de Links
Em 2008, as empresas investiram na conscientização de seus funcionários e clientes. O objetivo das campanhas de conscientização foi minimizar o número de incidentes relacionados à engenharia social (arte de enganar as pessoas).
Os crackers estão aprimorando suas técnicas para dificultar a identificação (tecnicamente falando) de uma armadilha online. Ataques conhecidos como link spoofing (falsificação de links) devem aumentar em 2009.
Isso ocorre porque quando você recebe um e-mail, por exemplo, uma das principais dicas para saber que não se trata de um golpe online é passar o mouse sobre o link para conferir se o endereço do website está correto. No caso do link spoofing, ao passar o mouse sobre o link da mensagem, o internauta verá o endereço correto do website. Porém, ao clicar no link, ele será direcionado para uma página falsa e pode ter um cavalo-de-tróia instalado em sua máquina.
2) Mobilidade ameaçada
As pessoas estão investindo cada vez mais dinheiro na compra de celulares mais avançados. Os celulares estão sendo utilizados como ferramenta de trabalho para troca de e-mails, programas de mensagem instantânea, SMS, agenda corporativa e armazenamento de informações confidenciais (projetos, fotos etc.).
A migração do computador para o celular já é uma realidade no internet banking também. A nova mobilidade já está na mira do crackers. Em 2009, ocorrerá um aumento de programas espiões para a tecnologia móvel. O objetivo do cracker será conseguir copiar as informações armazenadas no aparelho e roubar a senha do internet banking.
É importante observarmos que os bancos estão migrando toda a tecnologia para acesso aos dados financeiros via celular. O cracker sempre irá explorar o elo mais fraco da corrente e atacar os dispositivos que possuem acesso a conta corrente.
3) Clonagem de cartões de crédito com chip e senha.
Para diminuir os casos de clonagem envolvendo cartões de crédito, os bancos estão disponibilizando para seus clientes o cartão de crédito com chip e senha (PIN). Este novo recurso de segurança criptografa as informações do cliente do banco no chip, aumentando o grau de dificuldade de acesso indevido as informações necessárias para a conclusão da fraude.
Em 2007 surgiram as primeiras provas de conceito demonstrando como clonar um cartão de crédito com chip. A técnica consiste em capturar as informações do cartão de crédito no momento em que ele é introduzido na leitora do chip, extrair todas as informações para um notebook e realizar uma engenharia reversa para reconstruir os dados.
Já existem registros de clonagem de cartão de crédito com chip no Brasil. Alguns clientes corporativos que atendo foram vítimas desta nova técnica. O número de casos deve aumentar com a evolução do dispositivo capaz de realizar a clonagem do chip e também com a redução do custo de construção deste equipamento. A evolução do equipamento que clona o chip permitirá que pessoas não especializadas comecem a aplicar o golpe também.
4) Ataques em banco de dados e sistemas de gestão.
O número de ataques nas aplicações tem aumentando constantemente. A Oi foi uma das mais recentes vítimas de um ataque na aplicação de seu website.
Em 2009, as empresas irão sofrer um aumento de ataques bem-sucedidos em seus sistemas porque estão surgindo softwares que automatizam os ataques na camada de aplicação. e já não será preciso ser um expert para promovê-las.
Por exemplo, o especialista em segurança Raviv Raz publicou uma ferramenta capaz de automatizar ataques na camada de aplicação.
Bancos de dados protegidos serão copiados e/ou alterados através da internet, áreas restritas por usuário e senha serão exploradas e invadidas sem que ninguém perceba o ataque, páginas web serão alteradas de forma indevida etc.
É importante lembrar que firewalls, antivírus, sistemas de detecção de intrusos e anti-spam não conseguem detectar ou até mesmo bloquear ataques na camada de aplicação. Não há 100% de segurança neste nível.

IX.Dicas de proteção

Algumas dicas de segurança podem ajudar a minimizar os riscos relacionados às novas ameaças em 2009:
- Tudo que não é monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidade é uma das principais vulnerabilidades exploradas pelos crackers;
- Compre e mantenha instalado um antivírus para o aparelho celular;
- Use tecnologias conhecidas como Web Application Firewall em sua empresa;
- Utilize seu cartão de crédito em estabelecimentos comerciais confiáveis;
Desconfie sempre de links que você recebe via e-mail e programas de mensagens instantâneas. Um profissional da área de desenvolvimento de software pode ajudar a identificar uma armadilha on-line no link suspeito;
- Assine boletins de segurança e acompanhe as notícias relacionadas a segurança da informação. Conhecer as ameaças e vulnerabilidades pode ser a principal arma contra as ameaças de 2009.


Figura 8. Ciclo de medidas para segurança.

Com cada vez mais investimentos em segurança adotados pelos bancos é correto afirmar que estamos 100% seguros?

X.Fraudes na atualidade.

Na Espanha, um aparente vazamento de dados fez com que Visa e Mastercard avisassem aos bancos sobre possíveis transações fraudulentas de cartões de crédito.
Essa brecha fez com que muitos bancos na Europa trocassem os cartões de crédito de seus clientes que fizeram transações na Espanha.
Isso só se deu percebido porque a Visa percebeu movimentações fora do padrão com uso de cartões na Espanha. Mas o que nós não sabemos é qual foi o problema ou que tamanho ele tem", disse Ian Barber, um porta-voz da Visa. Este fato se deu em novembro 2009, informações da Revista IDG NOW.
Em pesquisa a este fato, comprovamos que a principal preocupação dos profissionais de TI é em relação à pessoas e tecnologia vem em seguida.
Nos últimos anos as companhias de cartão de crédito , como Visa e MasterCard exigem que as empresas associadas se adéqüem ao Padrão de Segurança de Dados da Indústria de Cartões de Crédito. Um conjunto de práticas e recomendações sobre a manutenção da segurança dos dados e processamento de cartões de pagamento.

XI. Conclusão

Concluímos que com os investimentos cada vez maiores e o papel importante da FEBRABAN que vem contribuindo com os bancos para diminuição e até disseminação de pontos de falhas que possam causar vulnerabilidades no ambiente das instituições financeiras, assim como exigir que se cumpram suas determinações para que o serviço de internet banking seja disponível, os bancos comprometem-se em preservar a segurança do meio eletrônico para si, bem como para os clientes. Perdas em qualquer dos lados é ruim e compromete a imagem da instituição financeira.
Hoje, a segurança da informação é integrada ao objetivo dos negócios para melhor alinhamento com a estratégia do banco otimizando recursos investidos.
A equipe de pesquisa sentiu dificuldades na abordagem de assuntos relacionados à Internet Banking devido aos bancos não exporem seus processos para levantamento e coleta de dados de nossa pesquisa. Com isso não foi possível fazer uma entrevista a fundo. Os profissionais limitam-se apenas a responder um questionário e com rígida autorização de superiores.
Portanto explicitamos informações no contexto geral de segurança da informação baseada na ISO27002 e algumas pesquisas de caso que se tem como fonte revistas de tecnologia como a conceituada IDG NOW onde foi possível determinarmos as camadas a serem analisadas de acordo com o objetivo do negócio que foram a camada humana, física e tecnológica.
Dentre as camadas de negócio analisados, procuramos obter informações de como o usuário pode cair dentro de uma situação de vulnerabilidade onde os golpes são praticados se aproveitando de comportamentos como a curiosidade e ingenuidade dos clientes ao receber emails contendo promessas, promoções, cartões virtuais etc. Podemos destacar que um dos melhores caminhos para vencer a fraude e aumentar a confiança dos clientes é a informação, onde que podemos descrevar por base em pesquisa realizada que em dois anos, o total de perdas com fraudes relacionadas a internet banking caiu mais de 50%, de 300 milhões de reais em 2006 para cerca de 130 milhões de reais em 2008, segundo estimativas do Instituto de Peritos em Tecnologias Digitais (IPDI). Devido ao aumento de segurança e consciência dos usuários.

XII. Agradecimentos

Os autores desse documento Andrezza Pastro, Heber Braz Krepe, Joel Marinho, Marcos Soares Martins, Ricardo Reis e Thiago S. Francisco agradecem ao apoio primeiramente de nossas famílias por ter dado todo o apoio e o carinho para conseguíssemos chegar até aqui, agradecemos aos nossos mestres que nos ensinaram durante todo nosso percurso acadêmico passando conhecimentos de alto nível nos preparando não somente para ser um profissional, mas também sermos pessoas preparadas para o mundo, e especialmente o nosso orientador prof. Rodrigo Mastini por ter nos encaminhado nesse trabalho de conclusão de curso. Agradecemos a mãe do Heber Braz por ter nos acolhido em sua casa e preparado um almoço durante os dias que estivemos reunidos para o desenvolvimento do trabalho.
Agradecemos as nossas namoradas(o) por ter nos entendido nos momentos em que deixamos de estarmos juntos por motivos acadêmicos, por festas que deixaram de ir por nossa causa.
Para finalizar, agradecemos a Universidade Nove de Julho por ter proporcionado os meios para que possamos estudar e aprimorar nossos conhecimentos, fazendo com que nos tornarmos profissionais preparados para o mercado de trabalho.

XII.Referências Bibliográficas

 

 

 

 

 

 

 

 

 

 

 

 


Trabalhos Relacionados