Clonagem
de sites é a nova onda na Internet
Alvaro
Teofilo (*)
A
Clonaid, empresa fundada por Raelinos, membros
de uma seita que acredita que os humanos são
uma criação de extraterrestres,
prometia em torno de março último,
em seu site na Internet, a apresentação
de Eve, a criança que seria o primeiro
clone humano. Curiosamente, a criança
seria apresentada justamente em São Paulo,
no final do mês em que a notícia
estava veiculada.
A
clonagem já está há algum
tempo no centro das atenções das
discussões científicas. Ratos
de laboratório tiveram orelhas enxertadas
nas costas. Uma ovelha foi apresentada como
cópia exata de outro animal, mas morreu
há algumas semanas com indícios
de velhice precoce. E alguém pegou a
idéia da Dolly e a levou para a Internet.
Clones de sites de provedores e bancos viraram
moda na Internet. Em apenas três semanas
apareceram dois novos clones de sistemas bancários
no Brasil. É interessante discutirmos
a contextualização desse fato,
entender suas razões e suas conseqüências.
O
sistema bancário brasileiro é
um modelo para o mundo. As tecnologias utilizadas
no Brasil são copiadas em vários
países. O Sistema de Pagamentos Brasileiro,
que agilizou a liquidez do sistema bancário
no país é um case fenomenal de
integração entre empresas poucas
vezes visto. Efetivamente podemos dizer que
os grandes bancos se preocupam e investem pesado
em sistemas de segurança física
e digital, o que inclui o assunto no topo das
preocupações no momento do desenvolvimento
de seus sistemas de banco eletrônico.
Os próprios cidadãos estão
ganhando cada vez mais recursos: a senha do
homebanking não é a mesma do cartão
de saque, e muitos bancos incluíram uma
senha adicional como um passo necessário
para a autenticação no sistema,
políticas de segurança baseadas
na melhores práticas do mercado foram
implementadas, e num futuro muito próximo
Certificados Digitais assinados pelo ICP-Brasil
serão distribuídos por vários
bancos para seus clientes, reduzindo de vez
as tentativas de fraude baseadas em adivinhação
de senhas de pessoas ou invasão aos sistemas.
Tendo
todas essas dificuldades à frente, a
opção para se efetuar fraudes
em sistemas bancários da Internet se
tornou, então, a clonagem de sites. Os
sites clonados foram hospedados em dois lugares
diferentes (um deles dentro do Brasil). É
incrivelmente fácil fazer isso, seja
por meio do uso de ferramentas que literalmente
gravam todo o conteúdo de um site em
minutos em um computador, seja por intermédio
do trabalho paciente de se fazer a cópia
de cada um dos elementos de uma página
principal.
O
processo começa por meio do registro
de um endereço com um nome em algum domínio
parecido com o original. Em seguida, copia-se
apenas a página principal e algumas das
funcionalidades do site original (alguns links,
inclusive, apontam para o endereço real),
montando no site falso apenas o necessário
para receber um "cliente". Os criminosos
enviam em seguida um e-mail em massa (spam),
para milhares de endereços aleatórios,
acreditando que muitos deles terão contas
naqueles bancos. A orientação
dada pelo e-mail, na maioria dos casos, é
o recadastro de informações por
"razões de segurança".
E é óbvio, é sempre solicitada
a digitação de suas senhas. As
senhas são então, depois de digitadas,
enviadas para os e-mails dos fraudadores.
As
pessoas mais informadas podem se atentar ao
fato de que receberam uma solicitação
de banco por e-mail - um canal de comunicação
quase nunca utilizado pelas instituições
financeiras para se comunicarem com seus clientes
tratando esse tipo de assunto. Mas uma boa parcela
responde ao e-mail imediatamente, sempre preocupada
em ter suas contas bloqueadas por conta de uma
falta da requisição "exigida
pelo Banco Central", como alguns e-mails
descrevem.
Os
fatores facilitam e encorajam indivíduos
a criarem clones de sites de bancos na Internet
são intrínsecos. O primeiro é
o risco calculado de ser preso pelo crime. Será
quase sempre difícil chegar à
origem de um indivíduo que hospede uma
página em um país que, por exemplo,
o Brasil não tenha relações
comerciais, ou cujo acesso e comunicação
sejam difíceis (por questões de
língua, por exemplo). No caso último
banco, que foi a última vítima
da tentativa de fraude, o site clonado está
localizado nas Ilhas Natal, na Austrália.
O
segundo aspecto que está levando esses
indivíduos a criarem os sites é
o retorno rápido que as fraudes podem
trazer. Com a entrada no ar do SPB - Sistema
de Pagamentos Brasileiro - os bancos ligaram
suas redes em uma Extranet e transações
eletrônicas como transferências
de montantes acima de R$ 5 mil podem ser feitas
em questão de minutos, quase em tempo
real. Diferentes do tradicional "DOC Bancário",
o TED - Transferência Eletrônica
Disponível - permite que valores altos
possam ser transferidos entre bancos diferentes
em qualquer lugar do Brasil.
Como
a possibilidade de aberturas de contas correntes
com nomes falsos ainda é uma realidade
no mercado, seja no Brasil ou em qualquer outro
país, a fraude fica mais fácil
de ser efetuada. Se alguém efetivamente
tiver acesso ao banco eletrônico de um
cidadão, poderá efetuar uma transferência
de forma rápida, efetuar seu saque em
uma agência bancária e desaparecer
para sempre.
Em
contrapartida à ousadia dos fraudadores
em criarem sites clonados virtualmente perfeitos,
podem existir em seus métodos falhas
que podem ajudar a polícia e o banco
a encontrar seus autores. O próprio meio
de envio da informação para os
clientes - o e-mail - poderá indicar
a origem da fraude, e o nível de sofisticação
e conhecimento de quem a montou é que
facilitará ou dificultará sua
investigação.
Tendo
como base os históricos de fraudes bancárias
que tiveram a Internet como meio, podemos afirmar
que nem sempre os envolvidos nos crimes têm
grandes conhecimentos em tecnologia. Há
um caso antigo de uma quadrilha que ligava para
a casa das pessoas e um dos seus integrantes,
se passando pelo gerente do banco, oferecia
novos serviços e produtos com vantagens
extremamente competitivas. A máxima de
que "o cego desconfia quando a esmola é
grande" não foi lembrada por muitas
pessoas que, ao final da conversa com o "gerente",
digitou em seu teclado do telefone a senha de
acesso ao sistema de homebanking, "para
confirmar que aceitara os serviços do
banco" - exigência requerida pelo
"gerente". Tudo o que os fraudadores
precisaram para efetuar a fraude foi uma folha
de cheque da vítima, seu número
de telefone (obtido nas listas telefônicas
públicas) e boas técnicas de Engenharia
Social. O resto da estória já
dá para imaginar.
Os
crimes cometidos na Internet continuarão
acontecendo, independentes das proteções
que estão sendo desenvolvidos em sistemas
bancários. O ser humano e sua falta de
intimidade em tecnologia ainda continuará
sendo o elo mais fraco da corrente, apesar dos
esforços dos profissionais em campanhas
sem fim sobre segurança e proteção.
Os bancos terão cada vez mais recursos
no uso de autenticação forte,
como os Certificados Digitais, que permitirão
que novos negócios sejam feitos na Internet,
e os criminosos também continuarão
criando meios de explorar o lado mais fraco
no processo - as pessoas. O que esperamos é
que a consciência individual seja cada
vez mais proporcional às melhorias e
investimentos que são feitas na área
de segurança pelos bancos.
(*)
Alvaro Teofilo é gerente de Segurança
da Informação da Caixa Seguros
Fonte:
Agência Brasil - Radiobrás
