No último dia do MESEG - Mês da Segurança da Informação 2016. o boletim semanal refletirá sobre a utilização de e-mail e internet banking com segurança.
Este boletim faz parte das ações realizadas no MESEG - Mês da Segurança da Informação, pela Coordenadoria de Tecnologia da Informação (CTI).
Uma das facilidades mais interessantes que a internet proporcionou para as pessoas é evitar o que popularmente o brasileiro adora: as filas! Ou pelo menos fisicamente. Várias empresas, seja de comércio (como já foi falado em outro boletim) ou prestadoras de serviços, fizeram um canal de comunicação com seus clientes através da internet, e é claro que dois dos serviços mais antigos do mundo não ficaram por fora disso: O Sistema de Correspondência e Telegramas e o Sistema Bancário.
Quando se pensa em enviar uma carta para uma pessoa, a primeira empresa que se pensa para prestar esse serviços é a Empresa Brasileira de Correios e Telégrafos, popularmente conhecida como Correios. O trabalho prestado por ela vai muito além da entrega de cartas, mas para essa discussão o sistema será focado neste serviço.
Ao escrever uma carta, o usuário informa o Remetente e Destinatário, respectiva aquele que envia e aquele que recebe a carta. O Sistema de Correio Eletrônico (Eletronic Mail, ou abreviado para E-mail) funciona da mesma forma: O usuário escreve uma carta virtual, coloca seu endereço de origem e o endereço da pessoa de destino, entrega para um servidor (Comumente um provedor de e-mail) e este irá fazer a entrega para o servidor de destino (comumente outro provedor de e-mail, ou às vezes até o mesmo provedor), responsável pelas contas daquele endereço, realizar a entrega ao destinatário.
Até esse ponto não há nenhuma novidade de como funciona o sistema de correspondência eletrônica, mas fica a questão: Será que esse sistema é tão seguro quanto deveria ser? Quando se faz a associação desse sistema virtual com o sistema físico vigente, muitas vezes se cai nas mesmas questões de segurança: Uma correspondência pode ser roubada ou desviada? Uma pessoa pode se passar por alguém que não é? Uma pessoa pode se aproveitar do endereço de outras para enviar correspondências?
Uma prática bem comum nos sistemas de correspondência eletrônica é o chamado Phishing, uma prática em que um usuário mal intencionado se passa por outra pessoa (física ou jurídica) para tentar roubar informações pessoais ou induzir o usuário a realizar ações que possam causar prejuízos ou brechas de segurança de outras naturezas. Sempre que receber um e-mail, verifique se o remetente é realmente quem diz ser e, mesmo assim, se há algum motivo real para a informação recebida. Muitas vezes pessoas de confiança podem ter a conta de e-mail comprometida, e essa ser utilizada para envio de mensagens maliciosas por terceiros.
Outro problema recorrente, embora com muitas técnicas e formas de se contornar, é o envio de SPAMs. Um SPAM é uma mensagem não solicitada enviada para um número massivo de usuários. O termo surgiu de uma brincadeira do grupo britânico Monty Python, quando faziam piadas de um tipo de carne enlatada comum na época na Grã-Bretanha popularmente chamado SPAM (esse vídeo pode ser encontrado na internet, dê uma pesquisada!). Para se evitar problemas com esse tipo de ataque, é importante saber quem pode ter acesso ao seu endereço de e-mail. Evite colocar seu endereço de e-mail em locais que você não confia ou em sites Web, pois existem robôs (scripts automáticos) que fazem uma verdadeira varredura na internet em busca do famoso @ (arroba, ou no inglês, at).
Partindo para o outro assunto citado anteriormente: o Sistema Bancário na internet. Quando se fala em dinheiro, muitas vezes se fala em problemas, e isso não poderia ser diferente para um banco, seja ele físico ou virtual. Um dos tipos de sistemas que mais se tem ataques cibernéticos registrados é o sistema bancário, seja desde micro ataques de negação de serviço, até tentativas muito elaboradas de aberturas de brechas de segurança.
Com algo tão valioso em mãos, os sistemas bancários investem pesadamente em segurança, através de vários meios: ferramentas de segurança física, segurança eletrônica, profissionais de segurança, treinamento de pessoal, práticas e políticas, auditoria, monitoramento, etc. Todos esses meios, embora não necessariamente com ligação direta ao mundo virtual, podem trazer brechas de segurança se não tiverem um cuidado especial, e embora haja todo esse investimento pesado em segurança, sempre há uma brecha que o banco não terá controle suficiente para proteger: o próprio cliente.
Grande parte das ocorrências de seguranças no sistema bancário são causadas pelos próprios clientes em suas próprias contas. Seja aquele cliente que perde seu cartão de crédito e não avisa ao banco e faz o boletim de ocorrência, seja aquele cliente que não cuida do seu equipamento pessoal e acessa sua conta com vários programas mau intencionados rodando em seu computador, ou até mesmo aquele cliente que anota sua senha bancária em um papelzinho e deixa guardado na gaveta. São práticas que, embora haja campanhas de conscientização pagas pelo banco, ocorrem com uma frequência maior do que deveriam.
Quando precisar desfrutar da facilidade provida pelo Internet Banking, o acesso bancário pela internet, lembre-se de realizá-lo de um local seguro, em um equipamento que você pode confiar e que esteja com as boas práticas de segurança em dia: Sistema operacional e antivírus atualizado, varredura contra ameaças realizadas, aplicações indispensáveis atualizadas (um grande exemplo: JAVA), o módulo de segurança do seu banco instalado e funcionando, etc. Além de sempre verificar com cuidado a URL (endereço eletrônico único) do seu banco quando o estiver acessando, para ter certeza que não é uma página falsa se passando por ele.
Agradeço a todos que leram os boletins e que nos acompanharam ao longo desse mês, e espero que todos tenham suas anotações do que foi passado, para a próxima vez que for desfrutar desse mundo maravilhoso que é a internet, esteja seguro do que está fazendo. Lembre-se que a segurança não é uma ação isolada, mas uma prática diária.
Rodrigo Alexander de Andrade Pierini
Tecnólogo em Segurança da Informação