Você também pode deixar sua dúvida na seção de comentários.
O pacotão de respostas da coluna Segurança para o PC de hoje derruba um conselho que já apareceu algumas vezes nos comentários deixados pelos leitores: “sites falsos não conseguem saber que uma senha está incorreta e, por isso, é bom digitar uma senha inválida no primeiro acesso para descobrir se a página é verdadeira ou não”. Outras dúvidas respondidas hoje são referentes à praga digital no site de torpedos web da Oi e dos “tokens” geradores de senhas únicas usados por bancos.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Truque para identificar site falso
Para garantir que o site do banco que acessei não seja um falso site, uma saída não seria sempre tentar o primeiro acesso com uma senha incorreta? Se o site permitisse o acesso teríamos a prova de que não seria o site do banco verdadeiro.
Lucas
Infelizmente, Lucas, essa dica – que já foi publicada várias vezes nos comentários por leitores da coluna – não funciona sempre. Ela é válida, mas é preciso ter cuidado com a situação oposta: sites falsos que irão identificar que a senha está incorreta.
É bem verdade que muitos sites falsos, especialmente os mais simples, seriam identificados por esse truque. Como o site falso não tem acesso aos dados dos clientes do banco, ele não tem como saber que as informações digitadas são falsas e iria liberar o “acesso”.
Em 2006, site falso do Citibank foi o primeiro a verificar dados enviados pelo internauta no site original do banco, invalidando o truque da senha inválida. (Foto: Reprodução )
Porém, confiar nisso não é uma boa ideia. É possível que o site falso seja um “proxy”, ou seja, fique de intermediário em uma conexão entre você e a página verdadeira do banco. Nesse caso, as informações (falsas) que você enviou serão repassadas ao banco, que retornará um erro. O erro de senha incorreta é então encaminhado pelo site falso a você.
Um ataque desse tipo foi realizado pela primeira vez na metade de 2006 com o intuito de burlar a autenticação do Citibank norte-americano. Como alguns bancos brasileiros, o Citibank faz uso de uma “chave de segurança” que gera uma senha diferente e única de tanto em tanto tempo. Os criminosos precisavam, então, usar os dados roubados imediatamente após a captura do mesmo no site. Usando esse site intermediário, isso foi possível.
Golpes operados dessa maneira são antigos e recebem o nome de “man in the middle” (MITM), ou “homem no meio”, porque o invasor fica entre a rede que ele quer acessar (o banco, no caso) e um usuário legítimo da rede (o cliente), permitindo que as informações sejam roubadas. Algumas vezes o ataque pode explorar a própria rede (em uma invasão ao provedor de acesso do banco ou do cliente), ou o próprio cliente (no caso de e-mails com links a sites falsos).
Não existe confirmação de que uma fraude com essa sofisticação já tenha sido realizada no Brasil. De qualquer forma, você pode digitar dados falsos no site e, se ele autenticar, concluir que é falso. Porém, se ele não autenticar, você não pode concluir que ele é verdadeiro. Entendido?
>>> Vírus em site de torpedos web
Um leitor foi infectado pela praga digital deixada por criminosos na página de torpedos web da Oi. Ele quer saber como desinfectar o computador:
Estava tentando descobrir de onde tinha vindo esse vírus infernal que não quer sair por nada do meu PC. E agora, alguém já descobriu como tirá-lo? Já passei uns quatro antivírus diferentes e três antispywares e antimalwares. Até agora nada.
Patrick
Sugiro que tente executar a ferramenta BankerFix, distribuída pela Linha Defensiva. Ela remove diversas pragas digitais brasileiras que roubam senhas, entre elas a que foi distribuída pela alteração no site da Oi.
>>> Token de senha única
Mesmo que alguém consiga instalar um código malicioso, ladrão de senhas, e eu tendo um token, como ele conseguirá movimentar a uma conta de banco?
Fabio Lima
'Token' gerador de senhas únicas do Bradesco.
Fabio, existem meios. Um deles foi explicado acima na resposta à pergunta do Lucas: um site falso que usa imediatamente as informações roubadas.
Em outros casos, dependendo do algoritmo usado para a geração da senha no token, pode ser possível “adivinhar” as senhas depois que o criminoso tiver algumas delas. É uma sequência, como “1, 2, 3”... tendo o criminoso alguns valores, ele pode conseguir adivinhar as demais. Isso nem sempre é simples e, no caso dos bancos, espera-se que não seja.
O token aumenta, sim, a segurança no acesso ao banco por meio da internet e aumenta consideravelmente o trabalho para os criminosos. No entanto, não é nenhum tipo de bala de prata.
>>> Pesquisa necessária
O comentário abaixo não é exatamente uma dúvida, mas vale para esclarecer um ponto importante sobre as configurações recomendadas pela coluna sobre Wi-Fi:
Essa coluna sempre diz para procurar saber, pesquisar e nunca entre em detalhes. Para leigos ela não serve...
Adriano
A coluna recomendou a pesquisa para descobrir como realizar as configurações no seu modem ou roteador Wi-Fi. Simplesmente não é possível que a coluna seja muito específica nesse sentido, porque cada equipamento é diferente. E os passos para configurá-los são diferentes. Se o texto entrar em detalhes para um equipamento específico, não servirá para quem tem dispositivos de outras marcas ou modelos.
Você pode facilmente descobrir como configurar o equipamento Wi-Fi da maneira que a coluna recomendou com uma pesquisa na web contendo a marca e o modelo do seu aparelho ou com uma simples consulta ao manual de instrução. O objetivo da coluna foi exatamente explicar o que você precisa fazer – o como é, geralmente, a parte mais fácil. Se você não sabe nem o que procurar, não vai descobrir como fazer.
Se você informar qual a marca e o modelo do seu roteador, Adriano, a coluna pode tentar achar as instruções para o seu equipamento.
O pacotão desta semana fica por aqui, mas a coluna volta na sexta-feira (12) com as principais notícias de segurança da informação da semana. Não se esqueça que logo abaixo há o formulário de comentários para você deixar sua dúvida ou sugestão de pauta. Até!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Nenhum comentário:
Postar um comentário