Segunda-feira, 10 de Dezembro de 2012

Roubo de dados através de smartphones

12:13  ,  Sem comentarios

Estudo da Checkpoint e Versafe revelam que aproximadamente 36 milhões de euros foram roubados de contas bancárias privadas na Europa durante os últimos meses de 2012.

Níveis de Proteção nos Bancos

As entidades bancárias em conjunto com empresas informáticas têm vindo a reforçar os métodos de segurança no acesso através da internet. Atualmente o cliente dispõe de um nome e um código de segurança para entrar na sua conta privada através de computador, smartphone, tablet ou notebook.
Para determinadas operações bancárias como por exemplo transferências de dinheiro o nível de protecção aumenta e é necessário introduzir uma 2ª chave de acesso. Em determinadas situações o banco envia um SMS para o celular/telemóvel do cliente com a descrição da operação e um número com autenticação da operação (TAN) que deverá ser introduzido na página web da operação bancária.

Chave de acesso fornecida pelo banco num cartão matriz
Cartões bancários com chaves de acesso em matriz
Podem exister 3 níveis de protecção:
  • Nome de utilizador e código de segurança definidos pelo cliente;
  • Chave de acesso normalmente fornecido pelo banco num cartão matriz, para determinadas operações (ver foto acima);
  • Envio de SMS com descrição da operação e um número com autenticação da operação (TAN).
Mas a sofisticação do malware (programas mal intencionados) conseguiu ultrapassar estas barreiras de segurança no caso Eurograbber e permitir aos piratas o roubo de milhões de euros de clientes em mais de 30.000 contas bancárias em países europeus. O ataque começou na Itália e espalhou-se até à Alemanha, Espanha e Holanda.
Este malware era instalado em computadores e smartphones de clientes bancários com acesso online e cada vez que estes acediam às suas contas eram monitorizados e manipulados pelos seus atacantes.

Esquema de roubo de dados bancários atraves da internet com smartphone


Como funciona o malware (Trojan Eurograbber)

  1. O utilizador clica num mau endereço de internet de uma mensagem de correio electrónico ou após navegar num site duvidoso;
  2. A partir desse link sem se aperceber faz o download de um Trojan (cavalo de Troia) para o seu computador;
  3. Sempre que ligar o computador, portátil ou tablet o programa malicioso monitoriza todas as suas ações;
  4. Depois de infetado a primeira vez que aceder ao site do seu banco o malware intercepta a ligação e envia um programa em javascript com instruções para proceder a um aumento (upgrade) de segurança;
  5. A vitima é convidada a preencher um formulário com o número do celular/telemóvel e o tipo de sistema operativo (iOS, Android, Blackberry, Symbian ou outro);
  6. Imediatamente recebe um SMS com intruções de instalação de um software gratuito com o intuito de completar o upgrade de segurança desta vez no smartphone;
  7. A partir deste momento cada vez que se conetar à sua conta bancária o malware inicia a sua própria transacção iniciando o processo de transferência de dinheiro. Para confirmação da operação o banco envia como é hábito um SMS com o TAN para o smartphone do cliente, mas o malware ai instalado, esconde-o da vitima enviando o número com autenticação da operação (TAN) para o Trojan presente no computador que preenche os dados e confirma a operação.
como funciona pirataria nos celulares-telemoveis

Como se proteger

A melhor proteção é a prevenção. Com estes 3 conselhos a probabilidade de ser pirateado é quase nula.

1. Não clique

Desconfie de links e ficheiros em mensagens de correio eletrónico. A origem até pode parecer de confiança, mas muitas vezes trata-se de uma capa para iludir o destinatário. Não responda a estas mensagens. Não clique em links nem abra ficheiros que dizem aumentar a segurança ou com promessas de transferência bancária, multas do fisco, heranças, prémios ou vencedor de concurso/passatempo.
Outra das técnicas utilizadas para pressionar o destinatário é a informação com um prazo curto que requer uma acção urgente de forma a beneficiar de um desconto ou amnistia. Não responda.
Este tipo de abordagem é conhecida como phishing (termo inglês que designa pesca), isto é, uns espertalhões tentam pescar uns incautos para lhes roubar o dinheiro, para isso fazem umas mensagens e sites  falsos que se parecem mesmo com os originais dos bancos e instituições financeiras, usam as palavras certas (muitas vezes com a ajuda de profissionais psicólogos, marketing e vendas) de forma a convencer os destinatários da sua veracidade e honestidade.


2. Atualizações

Os Black Hat (Chapéu preto, termo que designa hackers com intenções criminosas) procuram vulnerabilidades nos sistemas operativos para assim tirarem proveito dos dados dos utilizadores. A melhor forma de se proteger é ir atualizando regularmente o software do computador e smartphone, nomeadamente:

  • Sistema Operativo;
  • Web browser (navegador);
  • Anti-Vírus;
  • Adobe Flash e Reader.
Como exemplo vimos em http://celularestelemovel.blogspot.pt/2012/07/jelly-bean-mais-seguro.html, a ultima versão do Android (Jelly Bean), foi considerada pelos analistas como a mais segura.


3. Downgrade

Se é um utilizador regular dos serviços bancários via internet através de um computador, pondere usar um celular/telemóvel de gama baixa (o mais barato do mercado, aqueles que servem somente para efetuar e receber chamadas e enviar SMS) como o equipamento predefinido nas operações bancárias.

0 comentários:

Enviar um comentário

Subscrever: Enviar comentários (Atom)