Golpes
online ficam cada vez mais complexos
Os golpes online que usam táticas de "phishing", de montagem de
sites falsos de instituições financeiras para obtenção de dados bancários
de internautas desavisados, estão se tornando mais difíceis de detectar.
Além disso, os criminosos estão desenvolvendo novas maneiras de enganar
os consumidores para conseguir que revelem senhas, números de contas bancárias
e outras informações importantes, dizem especialistas em segurança.
Trapaceiros posando como
bancos e outras empresas legítimas, em milhares de ataques "phishing"
realizados no ano passado, enviaram milhões de e-mails não solicitados (spam)
com temas como "atualização de conta necessária", conduzindo
os destinatários a sites fraudulentos.
No Brasil, torna-se cada
vez mais comum o recebimento de spams como "Seu CPF precisa ter
cadastro atualizado" ou "seu nome consta no SPC", serviço
de proteção ao crédito.
Os ataques agora cada vez
mais usam worms e spywares para desviar os usuários e levá-los a sites
fraudulentos sem que estes percebam, dizem os especialistas.
"Se você costumava
ver os praticantes de 'phishing' como trapaceiros baratos, eles agora se
tornaram uma espécie de grupo de crime organizado", disse Paris
Trudeau, gerente sênior de produto na SurfControl, empresa de segurança
na Internet.
Os ataques phishing
afetaram 57 milhões de adultos nos Estados Unidos, e envolveram o uso de
pelo menos 122 marcas bem conhecidas, até agora, de acordo com diversas
estimativas.
No final de 2004, cerca
de metade desses ataques incluía o uso de alguma forma de spyware ou código
maligno que automaticamente redireciona o usuário para uma página falsa
quando ele digita o endereço de seu banco online por exemplo, segundo
Trudeau.
Este ataque, documentado
inicialmente no mês passado pelo grupo dinamarquês de segurança Secunia,
engana os internautas ao modificar uma pasta pouco conhecida do Windows.
A técnica foi usada em
ataques que envolveram o uso de nomes de diversos bancos sul-americanos,
disse Scott Chasin, vice-presidente técnico da MX Logic, uma empresa de
segurança.
A convergência de todas
essas ameaças significa que "podemos esperar alguns ataques de
escala muito grande no futuro próximo", declarou ele.
Outro método de ataque,
mais ambicioso, visa os servidores de nomes de domínio que redirecionam
os internautas para os endereços de Internet certo quando digitam nomes
de sites em seus programas de navegação.
Se um destes servidores
for afetado, qualquer internauta que digite o endereço de um banco, por
exemplo http://www.banco.com.br, pode ser redirecionado para um site falso
montado por cibercriminosos. A tática não precisaria de disseminação
de worms e vírus.
Servidores de nomes de
domínio são bem mais difíceis de invadir, porque são administrados por
especialistas e empresas em vez de usuários domésticos. Entretanto,
hackers mal-intencionados podem encontrar uma brecha ao se disfarçarem de
funcionários de uma companhia de suporte técnico e pedirem senhas a
empregados novos das empresas, disse Trudeau.
Sequestros de nomes de
domínio são suspeitos de terem sido a causa de incidentes que envolveram
endereços de empresas como Google.com, Amazon.com, eBay na Alemanha e a
unidade brasileira do banco HSBC, disse Chasin. A MasterCard International
detectou pelo menos dez esquemas de fraude que usaram técnicas de
phishing contra o endereço www.mastercard.com durante os últimos dois
meses, disse Sergio Pinon, vice-presidente sênior de serviços de segurança
e risco.
Os consumidores podem se
proteger das fraudes com softwares contra vírus, spyware e spam. Mas as
empresas online terão que tomar medidas como criação de senhas para
seus consumidores acessarem seus serviços, disse Chasin.
Os engenheiros da
Internet também precisam encontrar uma maneira para autenticar endereços
da Web, assim como já estão trabalhando para legitimar os e-mails, disse
o especialista.
Reuters
|
