Phishing: pescaria desonesta
25 de outubro de 2005
"Por questões de segurança o Deutsche Bank pede a todos os seus clientes que atualizem seus dados ..." Cuidado! A mensagem de aparência tão oficial e séria geralmente não passa de um golpe para "pescar" as senhas de acesso bancário dos incautos. Um procedimento já consagrado no jargão da internet sob o termo phishing, ou password fishing (pesca de senhas).
Segundo a revista Focus, os e-mails falsificados já causaram prejuízos de 4,5 milhões de euros aos clientes bancários alemães. Segundo investigador do Departamento Estadual de Polícia de Berlim, as 1052 queixas registradas até agora representam apenas "a ponta do iceberg".
PIN e TAN: chave-mestra em mãos erradas
Para "limpar" uma conta, os "pescadores" criminosos precisam de dois dados: o PIN (número de identificação pessoal) e o TAN (número de transação, que só vale para uma operação de cada vez).
"Normalmente o phishing começa com um e-mail em que o suposto banco pede ao usuário que se dirija a um site na internet, para atualizar dados importantes", explica Jürgen Schmidt, da revista alemã de informática c't.
Ao acessar a página, forjada, é claro, o cliente é instado a fornecer seu PIN e um TAN, ou até mesmo vários. "Estes não são recolhidos pelo banco, mas sim pelo fraudador, que então pode fazer saques da conta da vítima", explica Schmidt.
Em caso de dúvida, ignorar
De início era fácil identificar as tentativas de pesca bancária que chegavam aos clientes da Alemanha, pois as mensagens eram cheias de erros e geralmente num mau alemão. Porém, neste meio tempo o visual das páginas está cada vez mais profissional, sendi quase impossível identificar a falsificação.
Segundo Kerstin Altendorf, da Federação dos Bancos Alemães (BdB), a melhor forma de combater o phishing é ignorar os e-mails suspeitos. Nenhum banco da Alemanha entra em contato com seus clientes por e-mail para pedir o PIN ou TAN. Por princípio, toda transação online deve ser feita diretamente a partir do site do banco: "Jamais clicar em links dentro de e-mails não solicitados", alerta Altendorf.
O mesmo se aplica a imagens e documentos anexados. Os infocriminosos estão cada vez mais e espertos, e através de anexos especialmente programados contrabandeiam chamados "cavalos de Tróia" para dentro do computador.
"Cavalos" perigosos
Ocultos, o vírus fica de espreita até a próxima vez que o usuário acesse a página de online-banking. Após apossar-se do PIN e do TAN, o cavalo de Tróia virtual interrompe a operação, e transmite os dados confidenciais aos fraudadores.
Um caso registrado na região do Mar Báltico foi ainda mais longe. O hacker assumiu o controle total de uma sessão de online-banking, realizando transferências diretamente.
Especialistas denominam esse tipo de interferência man in the middle attack. Contra esse ataque de um terceiro – "no meio", entre o banco e o cliente, e capaz de ler e manipular dados à vontade – não há no momento nenhuma defesa conhecida.
Soluções extremas
Um dos primeiros bancos europeus a ser alvo de phishing direcionado foi o alemão Postbank. Em reação, a instituição adotou recentemente o sistema de iTANs. Aqui, o cliente não mais decide qual dos números de transação utilizará, dentre a lista de TANs válidos. O programa encarregado da transferência bancária exige um determinado número, por exemplo, o que esteja na 11ª colocação. Isso dificulta o roubo de números de transação por infocriminosos.
Do ponto de vista dos peritos, em comparação com as fraudes envolvendo cartões de crédito, o phishing provocou até agora perdas financeiras relativamente modestas. E os clientes ludibriados têm sido sempre ressarcidos dos danos.
Porém, quem suspeita haver sido vítima de um golpe por e-mail mal deve informar seu banco o mais rápido possível. Em casos extremos, Kerstin Altendorf, da BdB, aconselha forçar o bloqueio da conta online, digitando três vezes o PIN errado: "Assim ninguém, nem os hackers, consegue acesso à conta".