Internet Banking é o alvo principal dos hackers no Brasil

internet-bankingNão há como negar que poder acessar sua conta bancária online é uma mão na roda. Afinal, ninguém quer ficar tendo que ir até o banco para cada conta ou pagamento. Mas, da mesma maneira, isso também pode se tornar um risco e tanto, já que quer dizer que hackers podem se aproveitar disso para ter acesso aos seus dados.

Se você acha que estamos exagerando, é melhor pensar novamente, pois os sistemas de internet banking se tornaram o principal alvo de ataques no Brasil. Isso é o que indica uma nova pesquisa feita pelos especialistas do Laboratório ESET: segundo eles, uma em cada dez ameaças detectadas no país corresponde a trojans bancários, que enviam seus dados para os cibercriminosos.

Para tal, eles utilizam um arquivo executável especial, chamado CPL (“Control Panel Application” ou “Aplicativo de Painel de Controle”, em português). Este é propagado daquela maneira bem conhecida: através de anexos em emails falsos, disfarçados de documentos de orçamentos, faturas, recibos, notas fiscais e afins.

Ainda mais atrativo no Brasil

Ao que tudo indica, a grande adoção dos brasileiros ao internet banking é o que torna os ataques mais atrativos para eles. “Durante a investigação, os especialistas da ESET notaram que o Brasil possui um ecossistema de cibercrime diferente do resto da região da América Latina”, disse Camillo Di Jorge, Country Manager da ESET no Brasil.

Di Jorge ainda continua: “A maneira como as ameaças são desenvolvidas e distribuídas demandam uma dedicação dos cibercriminosos, que geram os seus ataques de forma personalizada, levando em conta as diferentes formas de operações eletrônicas”.

Felizmente, a recomendação para evitar esses ataques é uma simples questão de prestar maior atenção nos emails recebidos: se forem de origem duvidosa, nem pense em abrir aquele arquivo anexo. Já no caso de empresas, é importante bloquear anexos com extensões como COM, CPL, EXE, JS e VBS, entre outros.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Seis coisas que seu banco nunca irá fazer

emailAs tecnologias mudam, mas os criminosos vão sempre inventar novas maneiras de tentarem obter os seus dados bancários – seja através de e-mails de phishing, SMS ou por telefone. O que importa salientar é que muitos destes ataques podem parecer muito convincentes – pelo menos no início.

A solução para garantir a sua segurança passa por reconhecer comportamentos atípicos. Eis as principais coisas que o seu banco nunca irá fazer – mas um cibercriminoso sim.

Envio de mensagens solicitando a confirmação da sua identidade

O seu banco pode – por exemplo, pedir-lhe para confirmar uma transação no PC – mas nunca irá solicitar que confirme os seus dados via Internet, através da introdução da sua senha. Se receber uma mensagem escrita solicitando estas informações, não responda. Ligue para o seu banco e explique o ocorrido.

Prazo de 24 horas antes de fecharem a sua conta bancária

Muitas mensagens legítimas do seu banco podem ser marcadas como “urgente” – particularmente, as relacionadas com suspeitas de fraude – porém nunca referem prazos e datas. As mensagens enviadas pelos cibercriminosos sim. Estes usuários mal intencionados têm de trabalhar rapidamente – os seus sites podem ser sinalizados, bloqueados ou fechados e por isso necessitam do clique das vítimas sem lhes darem tempo para pensar. Se você receber alguma mensagem indicando que a sua conta bancária será fechada em caso de não haver uma resposta nas próximas 24 horas, elimine-a de imediato, pois é um golpe.

Envio por email do link de uma nova versão do aplicativo bancário

O seu banco nunca irá distribuir as novas versões das suas aplicações bancárias desta forma. O que poderá fazer é indicar-lhe que existe uma nova versão que poderá ser baixada a partir das lojas de aplicativos oficiais, como o Google Play ou a iTunes App Store.

Muitos ataques de phishing por SMS tentam levar o usuário a instalar aplicações maliciosas – particularmente no Android. Como precaução, bloqueie a instalação de aplicações que chegam de fontes desconhecidas (no menu de Definições do Sistema Operacional Android. Se por algum motivo for “enganado” por um esquema de phishing bem arquitetado, esta opção lhe dará uma segunda linha de proteção.

Utilização de URLs encurtados num email

Os cibercriminosos utilizam uma grande variedade de truques para fazerem uma página web maliciosa parecer mais “real” num e-mail que supostamente é do seu banco. Para esse efeito, ocultam normalmente a página de destino através de um link encurtado. Nunca clique num link encurtado, quer chegue por SMS ou por e-mail. Para verificar o real endereço de destino de um link encurtado basta acessar este endereço. http://www.urluncoverpro.com/

Envio de mensagens para novas caixas de correio

Se o seu banco entrar em contato com você através de um e-mail diferente daquele fornecido quando da abertura de conta, ou registo, é porque a mensagem é falsa. As instituições bancárias não adicionam novos contatos sem que o usuários lhes informe previamente a esse respeito.

Disponibilização de acesso à sua conta de forma insegura

Se estiver na página “verdadeira” de um banco, irá ver um símbolo na barra de endereços do seu navegador revelando que o site é seguro, como um cadeado fechado ou o símbolo de uma chave. Se esse símbolo estiver em falta, muito cuidado.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: ESET blog

Brasil: vice-líder em ataques a Internet Banking

Internet_banking
O Brasil concentra 22% de todos os casos de ataques a internet banking, segundo relatório de segurança geral divulgado pela Trend Micro. O líder é os Estados Unidos, com 28% das ameaças ocorridas em todo mundo no último trimestre. O terceiro lugar na lista, a Austrália, é responsável por 5% das violações.
No Brasil, dois malwares foram os mais usados para esses tipos de ataque. O primeiro, chamado Banker, estava disfarçado como atualização do Adobe e Flash Player em sites com segurança comprometida. Já o segundo teve como alvo usuários do Banco do Brasil, utilizando um navegador falso que coletava as informações do usuário.
Mundialmente, a facilidade que hackers têm em conseguir o código fonte de vírus específicos para transações bancárias online fez com que o número de ataques tivesse um aumento de 21% do segundo para o terceiro trimestre. Entre abril e junho, foram registrados 146 mil casos, 33 mil a mais do que o período entre janeiro e março.
Ataques ao Android
Os usuários de dispositivos com o sistema operacional Android, do Google, também estão vulneráveis a ataques, de acordo com o relatório. O número de malwares subiu 41% em apenas três meses. Enquanto o primeiro trimestre registrou 509 mil aplicativos maliciosos, o segundo atingiu a marca de 718 mil. A projeção é que esse número chegue a 1 milhão até o final do ano.
Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.
Fonte: itweb

Manual de segurança para uso do Internet Banking

Cert

Manual traz orientações, além de dicas de proteção, para que usuários possam acessar sites bancários com mais segurança

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) lançou nos últimos dias um novo fascículo da Cartilha de Segurança dedicado aos cuidados com o Internet Banking.

O manual traz orientações – como os riscos de divulgar informações bancárias por e-mail e telefone, e cuidados com mensagens atribuídas a bancos e que podem conter códigos maliciosos ou induzir acesso a páginas falsas – para que o usuário possa utilizar sites bancários com mais segurança.

Além de dicas de proteção, como: não acessar suas contas por meio de computadores e dispositivos móveis de terceiros, criar senhas bem elaboradas e conferir periodicamente extratos bancários para verificar transações indevidas.

Esse é o sexto fascículo do conjunto, ilustrado e disponível no formato PDF – o terceiro neste ano. O material é acompanhado por slides, licenciados sob Creative Commons (CC BY-NC-SA 3.0), e pode ser usado livremente.

A cartilha na íntegra também está disponível em formado ePub.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!

Falha no Java coloca em risco usuários de Internet Banking

javasec

Vulnerabilidade, que está sendo ativamente explorada, abre porta no sistema para a instalação de vírus; veja como se proteger

A recém-descoberta falha no padrão Java é uma grave ameaça contra a maioria dos usuários de Internet Banking do País, alertam pesquisadores de segurança.

O problema central é que a maioria dos grandes bancos brasileiros, como Itau, Santander, CEF e Banco do Brasil, exige a instalação do Java para permitir o acesso aos serviços online. “Essa exigência começou com os teclados virtuais, feitos para impedir a ação de vírus que gravam a digitação no micro”, explica o analista-senior de malware da Kasperky Lab no Brasil, Fabio Assolini. “Só que agora ela é um tiro no pé, pois está sendo usada para roubar contas”.

O bug do Java é do tipo 0-day – desconhecido e ainda sem correção. Os ataques contra os usuários são feitos por meio de sites contaminados com o código malicioso (exploit). Para ser infectado, basta visitar o endereço – caso a máquina não esteja protegida, o processo é automático e silencioso.

Segundo Assolini, o exploit contra o Java, que vem sendo testado desde o final do ano passado, abre uma porta no sistema do usuário para a injeção de um vírus. “No Brasil, 99% dos cibercriminosos optam por instalar um Trojan bancário”, diz. Esse malware captura as credenciais do internauta e as manda para o cracker.

“Há múltiplas redes de publicidade (ad networks) redirecionando para sites infectados, ampliando o problema. Encontramos anúncios em sites legítimos, especialmente na Inglaterra, Brasil e Rússia, que levam para domínios com o exploit. Isso inclui sites de previsão do tempo, notícias e, claro, pornografia”, disse o pesquisador Kurt Baumgartner, da Kaspersky Lab.

Usuários que têm versões atualizadas de bons antivírus não correm risco, explica o analista. No entanto, muitos dos 42 milhões de internautas brasileiros que usam Internet Banking são alvos fáceis dessa vulnerabilidade. “Outro problema é que o Java não tem uma política de update automático, como o do navegador Chrome”, aponta.

Use dois navegadores
A principal medida para evitar qualquer problema é simplesmente desinstalar o Java. Para isso, basta ir ao Painel de Controle do Windows, selecionar o ícone Adicionar-Remover Programas e clicar sobre o nome do programa, que aparece como Java(TM).

No entanto, essa solução não é válida para quem tem conta em um banco que exige o padrão. Neste caso, a dica é o uso de dois navegadores, recomenda Assolini. Um, com o Java habilitado, exclusivamente para o acesso ao Internet Banking. O outro para a navegação “normal”.

Como desabilitar
Para desativar os plugins Java, basta acessar as configurações do navegador. Veja como:

No Chrome, digite chrome://plugins na barra de endereços. Localize o Java(TM) e clique em desativar.

No Firefox, clique no botão Firefox (campo superior esquerdo)-Complementos. Na nova janela, selecione Plugins. Localize o Java(TM) Platform SE e clique em Desativar.

No Internet Explorer 9, clique no símbolo de uma roda dentada no canto superior direito e selecione Opções da Internet. Clique na caixa Nível personalizado e procure o item Scripts de miniaplicativos Java. Desabilite.

Em tempo, a Sun em tempo recorde  liberou neste Domingo (13/01) uma atualização da sua ferramenta, o Java 7 Update 11.

De acordo com a companhia, este update resolve o problema desta séria brecha de segurança descoberta nos últimos dias. O problema era sério demais e a Sun agiu rápido na busca de uma solução.

Vamos agora aguardar a palavra dos especialistas que nos dirão se o problema de fato foi resolvido.

Desde já recomendo a todos que sejam usuários do Java que baixem a última versão pelo link: http://www.java.com/pt_BR/

Agradeço ao Davi,  Lucas e ao Domingos, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!

Vem aí a ‘segurança invisível’ no Internet Banking

A Federação Brasileira de Bancos (Febraban) realizou uma coletiva de imprensa para dar dicas de segurança à internautas na quinta-feira (22). O mais interessante, no entanto, foi o balanço e análise das medidas de segurança adotadas por bancos, e também a visão de Marcelo Câmara, especialista em segurança da Febraban: que a segurança no internet banking deve ser invisível para o usuário, e que a inconveniência no acesso aos serviços bancários deve ser reduzida.

Parte dessa “segurança invisível” seria obtida por meio das chamadas “redes neurais”. O nome é complicado, mas o objetivo é simples: detectar padrões de comportamento no internet banking para que os sistemas dos bancos consigam detectar as ações que não fazem sentido para o comportamento do usuário, dando um alerta para o banco de que algo pode estar errado quando uma transferência ilegítima for realizada.

Um exemplo dado pela Febraban: se uma pessoa em Porto Alegre paga um imposto de alguém em São Paulo, esse não é um comportamento comum e deve ser verificado pelo banco, mesmo que seja preciso entrar em contato com o cliente. Essa tecnologia já é usada para detectar fraudes em cartões de crédito.

Se o ideal de “segurança invisível” poderá um dia ser alcançado é difícil prever. No entanto, o caminho está correto: quanto menos o usuário precisar se envolver com mecanismos de segurança, mais fácil é de aprender a usá-los. Qualquer mecanismo que restar neste ideal pode ter a simplicidade como sua maior vantagem.

Aumento do phishing e pharming
Marcelo Câmara, da Febraban, afirmou que tem aumentado o número de ataques baseados em phishing – o uso de páginas clonadas de bancos – para roubar senhas de internautas. Esse ataque estaria substituindo as pragas digitais com capacidade para capturar teclas e cliques e que roubavam senhas.

Também em crescimento está o pharming, que é o nome técnico para endereços redirecionados, ou seja, quando a vítima acessa o verdadeiro endereço do banco, mas é encaminhada silenciosamente a um site controlado por criminosos. Esse redirecionamento é possível, por exemplo, atacando os modems-roteadores de acesso à internet, como aconteceu em larga escala durante 2011.

Mas detalhe: o que se vê muito, no Brasil, são pragas digitais que também realizam esses redirecionamentos diretamente no computador da vítima, por meio da alteração de uma configuração no sistema ou do navegador de internet. Embora seja considerado um tipo de “pharming”, esse ataque também envolve uma praga digital, assim como as fraudes tradicionais para captura de teclas e cliques.

Normalmente, pharming e phishing são realizados apenas quando não há a necessidade ou a vontade de instalar qualquer praga digital no computador da vítima. O objetivo é roubar o internauta diretamente no acesso ao site, sem realizar nenhuma alteração permanente no computador.

Expectativa é de queda no prejuízo anual
Em 2011, os bancos perderam R$ 1,5 bilhão com as fraudes virtuais. No entanto, César Faustino, coordenador da subcomissão de prevenção a fraudes eletrônicas da Febraban, destacou que esse número inclui fraudes realizadas com cartões de débito e crédito. Na verdade, essa é a maior parte do problema: R$ 1,2 bilhão (80%) foram fraudes com cartões. Apenas cerca de R$ 300 milhões foram fraudes com internet banking e mobile banking.

Esse número se deve em parte ao volume. Faustino revelou que 40% de todas as transações financeiras do Brasil envolvem um cartão de algum tipo, seja crédito, débito, ou outro cartão especializado, como os emitidos pelas lojas ou vale-alimentação.

A Febraban revelou que o investimento anual do setor em tecnologia é de quase R$ 20 bilhões (US$ 9,9 bilhões) e que só o investimento em segurança é superior ao prejuízo causado pelas fraudes, embora o valor específico investido em segurança não tenha sido revelado. A Febraban também não quis revelar se algum banco é mais prejudicado do que outro.

Como o ano ainda não acabou, o prejuízo de 2012 não está consolidado, mas espera-se uma leve queda para R$ 1,4 bilhão. Isso, segundo a Febraban, é motivo de comemoração, porque o número de transações realizadas pela internet aumentou, enquanto as fraudes caíram.

De acordo com os números divulgados, 24% de todas as transações bancárias em 2011 foram realizadas pela internet.

Dicas
A Febraban deu diversas dicas para que correntistas se mantenham seguros na internet. Há um documento (leia aqui) contendo as dicas, que ocupam mais de uma página. São instruções muito específicas e difíceis de colocar em prática e com resultados duvidosos, como “memorizar a página do cliente e a sequência da inserção de senhas solicitadas”.

Há casos em que pragas digitais realizam a fraude diretamente a partir do computador da vítima. Pouco importa se o internauta sabe como é o site real do banco, porque ele de fato está no site real. Por isso a dica tem eficácia duvidosa – ela só serve para um tipo de ataque específico.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: G1

Bancos responsabilizam correntistas por ação de crackers

O comportamento do cliente é o principal fator de ocorrências de fraudes eletrônicas bancárias, principalmente nas transações por cartões e pela internet, disse recentemente, Marcelo Camara, diretor da Comissão de Prevenção a Fraudes da Federação Brasileira de Bancos (Febraban).

“Sem dúvida, é o comportamento do cliente o fator principal [que possibilita as fraudes]. Os computadores têm a possibilidade de estarem seguros, de terem programas seguros e, ainda assim, dependerem de uma atualização e configuração adequada, e quem faz isso é o dono do computador. O bandido aborda o elo mais fraco”.

As fraudes eletrônicas deverão causar prejuízo de aproximadamente R$ 1,4 bilhão aos bancos brasileiros este ano, segundo a Febraban. Em 2011, apesar de terem sido responsáveis apenas por 0,006% do total de transações, as fraudes eletrônicas – que ocorrem geralmente pela internet ou na falsificação do cartão bancário – causaram prejuízo de R$ 1,5 bilhão.

De acordo com a Febraban, 24% de todas as transações bancárias são feitas atualmente pela internet, o que demanda um investimento anual, pelos bancos, de US$ 9,2 bilhões no combate aos crimes virtuais. Mas o alto investimento em tecnologia não consegue fechar todas as portas aos criminosos. A entidade indica o comportamento dos clientes como a maior fragilidade do sistema.

Entre os comportamentos dos clientes que podem colocar em risco a segurança de uma transação bancária está o de não manter o sistema operacional do computador, o navegador e o antivírus atualizados, além de abrir com frequência e executar arquivos de remetentes duvidosos.

A Febraban recomenda que o usuário sempre fique atente ao fluxo de navegação dos sites bancários. Que repare, em sua disposição visual, a sequência em que as senhas são exigidas. Qualquer alteração visual ou aumento da quantidade de perguntas sobre dados pessoais, o cliente deve entrar em contato com o banco. É recomendado também a alteração, sempre que possível, das senhas cadastradas.

A entidade destaca que os golpes típicos do final de ano são feitos por meio de e-mails de remetentes duvidosos, com algum assunto curioso, que vai exigir o clique em uma figura ou link, para assistir um vídeo, ver uma foto ou para acessar outro site. Ao clicar, é instalado um programa espião no computador, que irá identificar a senha do usuário no próximo acesso ao site do banco. “O brasileiro é muito curioso, é colocar ‘veja a sucuri engolindo o garoto’ que as pessoas clicam”, disse Camara.

Os programas maliciosos podem ainda fazer com que o navegador da vítima a levem para um site falso na hora de entrar na página do banco. “Normalmente a página falsa pede informações que no site do banco não são exigidas. Vai pedir muitos dados, além do que você normalmente está habituado a fazer”, alerta.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Convergência Digital