Comit Gestor da Internet no Brasil

Cartilha de Segurana para Internet

Parte IV: Fraudes na Internet

Verso 3.1 2006

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil

Cartilha de Seguranc a para Internet Parte IV: Fraudes na Internet

Esta parte da cartilha aborda quest oes relacionadas a fraudes na In o contra ataternet. S ao apresentadas algumas maneiras de prevenc a es envolvendo fraudes comerciais e ques de engenharia social, situac o banc arias via Internet, bem como medidas preventivas que um usu ario deve adotar ao acessar sites de com ercio eletr onico ou Internet Banking. apresentado o conceito de boato (hoax) e s Tamb em e ao discutidas algu es de seguranc o. mas implicac o a e formas para se evitar sua distribuic a

3.1 Outubro de 2006 Versao

http://cartilha.cert.br/

Parte IV: Fraudes na Internet

Sum ario
1 Engenharia Social 1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . . . . . Fraudes via Internet scam e que situac es podem ser citadas sobre este tipo de fraude? . . . . . . 2.1 O que e o 2.1.1 Sites de leil oes e de produtos com prec os muito atrativos . . . . . . . . . . 2.1.2 O golpe da Nig eria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . . . . . . . phishing e que situac es podem ser citadas sobre este tipo de fraude? . . . . 2.2 O que e o 2.2.1 Mensagens que cont em links para programas maliciosos . . . . . . . . . . . 2.2.2 P aginas de com ercio eletr onico ou Internet Banking falsicadas . . . . . . . es sens 2.2.3 E-mails contendo formul arios para o fornecimento de informac o veis . o de nomes . . . . . . . . . . . . . 2.2.4 Comprometimento do servic o de resoluc a o de computadores de terceiros . . . . . . . . . . . . . . . . . . . . 2.2.5 Utilizac a 2.3 Quais s ao os cuidados que devo ter ao acessar sites de com ercio eletr onico ou Internet Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . segura (criptografada)? . . . . . . . . . . . . . . . . . 2.4 Como vericar se a conex ao e 2.5 Como posso saber se o site que estou acessando n ao foi falsicado? . . . . . . . . . leg 2.6 Como posso saber se o certicado emitido para o site e timo? . . . . . . . . . . . 2.7 O que devo fazer se perceber que meus dados nanceiros est ao sendo usados por terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Boatos 3.1 Quais s ao os problemas de seguranc a relacionados aos boatos? . . . . . . . . . . . . o dos boatos? . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Como evitar a distribuic a um boato? . . . . . . . . . . . . . . . . . . . . . . 3.3 Como posso saber se um e-mail e 3 3 3 4 4 4 5 5 8 9 9 10 10 11 13 13 14 14 15 15 15 17 17 17

Como Obter este Documento Licenc a de Uso da Cartilha Agradecimentos

Cartilha de Seguranc a para Internet c 2006 CERT.br

2/17

Parte IV: Fraudes na Internet

Engenharia Social

Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza o telef es ou meios, como uma ligac a onica ou e-mail, para persuadir o usu ario a fornecer informac o es. Exemplos destas ac es s realizar determinadas ac o o ao: executar um programa, acessar uma p agina falsa de com ercio eletr onico ou Internet Banking atrav es de um link em um e-mail ou em uma p agina, etc. O conceito de engenharia social, bem como alguns exemplos deste tipo de ataque, podem ser encontrados na Parte I: Conceitos de Seguranc a. Exemplos espec cos destes ataques, envolvendo es 2.1 e 2.2. diversos tipos de fraude, s ao abordados nas sec o

1.1

Como me protejo deste tipo de abordagem?

essencial. Fique atento para qualquer abordagem, Em casos de engenharia social o bom senso e seja via telefone, seja atrav es de um e-mail, onde uma pessoa (em muitos casos falando em nome de o) solicita informac es (principalmente condenciais) a seu respeito. uma instituic a o o e n es senProcure n ao fornecer muita informac a ao fornec a, sob hip otese alguma, informac o s veis, como senhas ou n umeros de cart oes de cr edito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas extremamente importante que voc ou clicar em um link contido em um e-mail ou p agina Web, e e, antes de realizar qualquer ac ao, procure identicar e entrar em contato com a instituic ao envolvida, para certicar-se sobre o caso.

Fraudes via Internet

uma tarefa simples atacar e fraudar dados em um servidor de uma instituic o Normalmente, n ao e a o de fragilidades banc aria ou comercial. Ent ao, atacantes t em concentrado seus esforc os na explorac a dos usu arios, para realizar fraudes comerciais e banc arias atrav es da Internet. Para obter vantagens, os fraudadores t em utilizado amplamente e-mails com discursos que, na maioria dos casos, envolvem engenharia social e que tentam persuadir o usu ario a fornecer seus dados induzido a instalar algum c pessoais e nanceiros. Em muitos casos, o usu ario e odigo malicioso ou acessar uma p agina fraudulenta, para que dados pessoais e sens veis, como senhas banc arias e muito importante que usu n umeros de cart oes de cr edito, possam ser furtados. Desta forma, e arios de Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem servic os de com ercio eletr onico ou Internet Banking. es 2.1 e 2.2 ilustram algumas situac es envolvendo estes tipos de fraudes. A sec o 2.3 A sec o o a descreve alguns cuidados a serem tomados pelos usu arios de Internet, ao acessarem sites de com ercio es 2.4, 2.5 e 2.6 apresentam alguns procedimentos para verieletr onico ou Internet Banking. As sec o o 2.7 recomenda o que o usu car a legitimidade de um site. E a sec a ario deve fazer se perceber que seus dados nanceiros podem estar sendo usados por terceiros.

Cartilha de Seguranc a para Internet c 2006 CERT.br

3/17

Parte IV: Fraudes na Internet

2.1

scam e que situac es podem ser citadas sobre este tipo de fraude? O que e o

qualquer esquema ou ac o enganosa e/ou fraudulenta que, normalmente, O scam (ou golpe) e a tem como nalidade obter vantagens nanceiras. es 2.1.1 e 2.1.2 apresentam duas situac es envolvendo este tipo de fraude, sendo que As subsec o o o se d a primeira situac a a atrav es de p aginas disponibilizadas na Internet e a segunda atrav es do re es apresentadas e outros tipos cebimento de e-mails. Observe que existem variantes para as situac o muito importante que voc de scam. Al em disso, novas formas de scam podem surgir, portanto e e se mantenha informado sobre os tipos de scam que v em sendo utilizados pelos fraudadores, atrav es dos o, como jornais, revistas e sites especializados. ve culos de comunicac a 2.1.1 Sites de leil oes e de produtos com prec os muito atrativos Voc e acessa um site de leil ao ou de venda de produtos, onde os produtos ofertados t em prec os muito abaixo dos praticados pelo mercado. Risco: ao efetivar uma compra, na melhor das hip oteses, voc e receber a um produto que n ao condiz com o que realmente foi solicitado. Na maioria dos casos, voc e n ao receber a nenhum produto, perder a o tenha envolvido, o dinheiro e poder a ter seus dados pessoais e nanceiros furtados, caso a transac a por exemplo, o n umero do seu cart ao de cr edito. Como identicar: fac a uma pesquisa de mercado sobre prec o do produto desejado e compare com os prec os oferecidos. Ent ao, voc e deve se perguntar por que est ao oferecendo um produto com prec o t ao abaixo do praticado pelo mercado. importante ressaltar que existem muitos sites con E aveis de leil oes e de vendas de produtos, mas o a intenc o e ilustrar casos de sites especicamente projetados para realizar atividades nesta situac a a il citas. 2.1.2 O golpe da Nig eria (Nigerian 4-1-9 Scam)

o governamental da Nig Voc e recebe um e-mail em nome de uma instituic a eria (por exemplo, o Banco Central), onde e solicitado que voc e atue como intermedi ario em uma transfer encia internacional de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milh oes de d olares. normalmente alta) do Como recompensa, voc e ter a direito de car com uma porcentagem (que e o e solicitado que voc valor mencionado na mensagem. Para completar a transac a e pague antecipadamente uma quantia, normalmente bem elevada, para arcar com taxas de transfer encia de fundos, custos com advogados, entre outros. conhecido como Advance Fee Fraud, ou a fraude de antecipac o de Este tipo de golpe tamb em e a pagamentos, e j a foram registrados casos originados ou que mencionavam a Africa do Sul, Angola, Eti opia, Lib eria, Marrocos, Serra Leoa, Tanz ania, Zaire, Zimb abue, Holanda, Iugosl avia, Austr alia, Jap ao, Mal asia e Taiwan, entre outros. ` sec o do No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o n umero 419 refere-se a a violada por este golpe. E equivalente ao artigo 171 do c c odigo penal da Nig eria que e odigo penal brasileiro, ou seja, estelionato.

Cartilha de Seguranc a para Internet c 2006 CERT.br

4/17

Parte IV: Fraudes na Internet

Risco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, voc e n ao s o perder a o dinheiro investido, mas tamb em nunca ver a os milhares ou milh oes de d olares prometidos como recompensa. Como identicar: normalmente, estas mensagens apresentam quantias astron omicas e abusam da o de palavras capitalizadas (todas as letras mai o do usu utilizac a usculas) para chamar a atenc a ario. Palavras como URGENT (urgente) e CONFIDENTIAL (condencial) tamb em s ao comumente o do usu usadas no assunto da mensagem para chamar a atenc a ario. Voc e deve se perguntar por que foi escolhido para receber estes milhares ou milh oes de d olares, entre os in umeros usu arios que utilizam a Internet.

2.2

phishing e que situac es podem ser citadas sobre este tipo de O que e o fraude?

Phishing, tamb em conhecido como phishing scam ou phishing/scam, foi um termo originalmente criado para descrever o tipo de fraude que se d a atrav es do envio de mensagem n ao solicitada, que se o de uma instituic o conhecida, como um banco, empresa ou site popular, e que passa por comunicac a a procura induzir o acesso a p aginas fraudulentas (falsicadas), projetadas para furtar dados pessoais e nanceiros de usu arios. A palavra phishing (de shing) vem de uma analogia criada pelos fraudadores, onde iscas (e-mails) s ao usadas para pescar senhas e dados nanceiros de usu arios da Internet. Atualmente, este termo v em sendo utilizado tamb em para se referir aos seguintes casos: ` instalac o de c mensagem que procura induzir o usu ario a a odigos maliciosos, projetados para furtar dados pessoais e nanceiros; mensagem que, no pr oprio conte udo, apresenta formul arios para o preenchimento e envio de dados pessoais e nanceiros de usu arios. es a seguir apresentam cinco situac es envolvendo phishing, que v A subsec o o em sendo utilizadas es apresentadas. Al por fraudadores na Internet. Observe que existem variantes para as situac o em muito importante que voc disso, novas formas de phishing podem surgir, portanto e e se mantenha informado sobre os tipos de phishing que v em sendo utilizados pelos fraudadores, atrav es dos ve culos o, como jornais, revistas e sites especializados. de comunicac a muito importante que voc Tamb em e e, ao identicar um caso de fraude via Internet, notique a o envolvida, para que ela possa tomar as provid instituic a encias cab veis1 . 2.2.1 Mensagens que cont em links para programas maliciosos

Voc e recebe uma mensagem por e-mail ou via servic o de troca instant anea de mensagens, onde o o, seja por curiosidade, por caridade, pela possibilidade de obter alguma texto procura atrair sua atenc a vantagem (normalmente nanceira), entre outras. O texto da mensagem tamb em pode indicar que a o dos procedimentos descritos acarretar ncias mais s n ao execuc a ao conseq ue erias, como, por exemplo,
1 Veja

o na Parte VII: Incidentes de Seguranc detalhes sobre como realizar a noticac a a e Uso Abusivo da Rede.

Cartilha de Seguranc a para Internet c 2006 CERT.br

5/17

Parte IV: Fraudes na Internet

a inclus ao do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta banc aria ou do seu cart ao de cr edito, etc. A mensagem, ent ao, procura induz -lo a clicar em um link, para baixar e abrir/executar um arquivo. es dos textos encontrados em mensagens deste Alguns exemplos de temas e respectivas descric o tipo s ao apresentados na tabela 1. Tabela 1: Exemplos de temas de mensagens de phishing. Tema Cart oes virtuais SERASA e SPC Servic os de governo eletr onico Texto da mensagem UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Crianc a Esperanc a, AACD/Teleton. es ou pend d ebitos, restric o encias nanceiras. CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova o para o programa de declarac o, consulta vers ao ou correc a a o, dados incorretos ou incompletos na declarada restituic a o), eleic es (t o da urna c a o tulo eleitoral cancelado, simulac a eletr onica). pessoa supostamente conhecida, celebridades, relacionado a o, algum fato noticiado (em jornais, revistas, televis ao), traic a nudez ou pornograa, servic o de acompanhantes. pend encias de d ebito, aviso de bloqueio de servic os, detalhamento de fatura, cr editos gratuitos para o celular. o do mercado, nova vers o de vacia melhor opc a ao, atualizac a o de v nas, novas funcionalidades, eliminac a rus do seu computador. fatos amplamente noticiados (ataques terroristas, tsunami, terremotos, etc), boatos envolvendo pessoas conhecidas (morte, es chocantes). acidentes ou outras situac o BigBrother, Casa dos Artistas, etc fotos ou v deos envolvendo cenas de nudez ou er oticas, discadores. es para o sistema operacinovas vers oes de softwares, correc o onal Windows, m usicas, v deos, jogos, acesso gratuito a ca o de nais de TV a cabo no computador, cadastro ou atualizac a curr culos, recorra das multas de tr ansito. o de prec orc amento, cotac a os, lista de produtos. para conex ao Internet gratuita, para acessar imagens ou v deos restritos. o de cadastro, devoluc o de produtos, cobranc atualizac a a a de o de compra. d ebitos, conrmac a o em sites de relacionamento (como o convites para participac a orkut) e outros servic os gratuitos. descubra como ganhar dinheiro na Internet. diversos. es nanceiras. loterias, instituic o produtos, cursos, treinamentos, concursos. cartilha de seguranc a, avisos de fraude. censo.

Albuns de fotos

Servic o de telefonia Antiv rus

Not cias/boatos

Reality shows Programas ou arquivos diversos

Pedidos Discadores Sites de com ercio eletr onico Convites Dinheiro f acil es Promoc o Pr emios Propaganda FEBRABAN IBGE

Cartilha de Seguranc a para Internet c 2006 CERT.br

6/17

Parte IV: Fraudes na Internet

exaustiva, nem tampouco se aplica a todos os Cabe ressaltar que a lista de temas na tabela 1 n ao e casos. Existem outros temas e novos temas podem surgir. Risco: ao clicar no link, ser a apresentada uma janela, solicitando que voc e salve o arquivo. Depois de salvo, se voc e abr -lo ou execut a-lo, ser a instalado um programa malicioso (malware) em seu computador, por exemplo, um cavalo de tr oia ou outro tipo de spyware, projetado para furtar seus dados pessoais e nanceiros, como senhas banc arias ou n umeros de cart oes de cr edito2 . Caso o seu programa leitor de e-mails esteja congurado para exibir mensagens em HTML, a janela solicitando que voc e salve o arquivo poder a aparecer automaticamente, sem que voc e clique no link. Ainda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computa o, caso seu programa leitor de e-mails possua dor automaticamente, ou seja, sem a sua intervenc a vulnerabilidades. Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usu ario, dentre o do cursor e a tela ou regi elas: capturar teclas digitadas no teclado; capturar a posic a oes da tela, no clicado; sobrepor a janela do browser do usu momento em que o mouse e ario com uma janela falsa, onde os dados ser ao inseridos; ou espionar o teclado do usu ario atrav es da Webcam (caso o usu ario a possua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas t ecnicas podem ser o de keyloggers, na Parte VIII: C vistos na sec a odigos Maliciosos (Malware). Depois de capturados, seus dados pessoais e nanceiros ser ao enviados para os fraudadores. A partir es, incluindo a venda dos seus dados para terceida , os fraudadores poder ao realizar diversas operac o o dos seus dados nanceiros para efetuar pagamentos, transferir valores para outras ros, ou utilizac a contas, etc. Como identicar: seguem algumas dicas para identicar este tipo de mensagem fraudulenta: leia atentamente a mensagem. Normalmente, ela conter a diversos erros gramaticais e de ortograa; os fraudadores utilizam t ecnicas para ofuscar o real link para o arquivo malicioso, apresentando ` instituic o mencionada na mensagem. Ao passar o cursor o que parece ser um link relacionado a a do mouse sobre o link, ser a poss vel ver o real enderec o do arquivo malicioso na barra de status do programa leitor de e-mails, ou browser, caso esteja atualizado e n ao possua vulnerabilidades. Normalmente, este link ser a diferente do apresentado na mensagem; qualquer extens ao pode ser utilizada nos nomes dos arquivos maliciosos, mas que particularmente atento aos arquivos com extens oes .exe, .zip e .scr, pois estas s ao as mais utilizadas. Outras extens oes freq uentemente utilizadas por fraudadores s ao .com, .rar e .dll; ` s mensagens que solicitam a instalac o/execuc o de qualquer tipo de arquivo/pro que atento a a a grama; o que supostamente enviou a mensagem, seguindo os cuidados acesse a p agina da instituic a o 2.3, e procure por informac es relacionadas com a mensagem que voc apresentados na sec a o e pol o enviar e-mails recebeu. Em muitos casos, voc e vai observar que n ao e tica da instituic a para usu arios da Internet, de forma indiscriminada, principalmente contendo arquivos anexados.

conceito de malware pode ser encontrado na Parte I: Conceitos de Seguranc a. Os conceitos de cavalo de tr oia e odigos Maliciosos (Malware). spyware est ao dispon veis na Parte VIII: C

2O

Cartilha de Seguranc a para Internet c 2006 CERT.br

7/17

Parte IV: Fraudes na Internet

es: Recomendac o no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como par ametro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores; se voc e ainda tiver alguma d uvida e acreditar que a mensagem pode ser verdadeira, entre em o para certicar-se sobre o caso, antes de enviar qualquer dado, princicontato com a instituic a es sens palmente informac o veis, como senhas e n umeros de cart oes de cr edito.

2.2.2

P aginas de com ercio eletr onico ou Internet Banking falsicadas

Voc e recebe uma mensagem por e-mail ou via servic o de troca instant anea de mensagens, em o nanceira, por exemplo, um banco. nome de um site de com ercio eletr onico ou de uma instituic a o dos dados do Textos comuns neste tipo de mensagem envolvem o recadastramento ou conrmac a o em uma nova promoc o, etc. A mensagem, ent usu ario, a participac a a ao, tenta persuad -lo a clicar em um link contido no texto, em uma imagem, ou em uma p agina de terceiros. Risco: o link pode direcion a-lo para uma p agina Web falsicada, semelhante ao site que voc e realmente deseja acessar. Nesta p agina ser ao solicitados dados pessoais e nanceiros, como o n umero, o e c data de expirac a odigo de seguranc a do seu cart ao de cr edito, ou os n umeros da sua ag encia e conta banc aria, senha do cart ao do banco e senha de acesso ao Internet Banking. o (em muitos Ao preencher os campos dispon veis na p agina falsicada e clicar no bot ao de conrmac a casos o bot ao apresentar a o texto Conrm, OK, Submit, etc), os dados ser ao enviados para os fraudadores. es, incluindo a venda dos seus dados A partir da , os fraudadores poder ao realizar diversas operac o o dos seus dados nanceiros para efetuar pagamentos, transferir valores para terceiros, ou utilizac a para outras contas, etc. Como identicar: seguem algumas dicas para identicar este tipo de mensagem fraudulenta: os fraudadores utilizam t ecnicas para ofuscar o real link para a p agina falsicada, apresentando ` instituic o mencionada na mensagem. Ao passar o cursor o que parece ser um link relacionado a a do mouse sobre o link, ser a poss vel ver o real enderec o da p agina falsicada na barra de status do programa leitor de e-mails, ou browser, caso esteja atualizado e n ao possua vulnerabilidades. Normalmente, este link ser a diferente do apresentado na mensagem; o que supostamente enviou a mensagem, seguindo os cuidados acesse a p agina da instituic a o 2.3, e procure por informac es relacionadas com a mensagem que voc apresentados na sec a o e recebeu; sites de com ercio eletr onico ou Internet Banking con aveis sempre utilizam conex oes seguras o 2.4) quando dados pessoais e nanceiros de usu (vide sec a arios s ao solicitados. Caso a p agina n ao utilize conex ao segura, descone imediatamente. Caso a p agina falsicada utilize conex ao segura, um novo certicado (que n ao corresponde ao site verdadeiro) ser a apresentado e, possivelmente, o enderec o mostrado no browser ser a diferente do enderec o correspondente ao site verdadeiro.

Cartilha de Seguranc a para Internet c 2006 CERT.br

8/17

Parte IV: Fraudes na Internet

es: Recomendac o no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como par ametro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores; se voc e ainda tiver alguma d uvida e acreditar que a mensagem pode ser verdadeira, entre em o para certicar-se sobre o caso, antes de enviar qualquer dado, princicontato com a instituic a es sens palmente informac o veis, como senhas e n umeros de cart oes de cr edito.

es sens 2.2.3 E-mails contendo formul arios para o fornecimento de informac o veis o banc Voc e recebe um e-mail em nome de um site de com ercio eletr onico ou de uma instituic a aria. o de seus dados, a participac o O conte udo da mensagem envolve o recadastramento ou conrmac a a o, etc. em uma nova promoc a o de informac es envolvendo A mensagem apresenta um formul ario, com campos para a digitac a o o e c dados pessoais e nanceiros, como o n umero, data de expirac a odigo de seguranc a do seu cart ao de cr edito, ou os n umeros da sua ag encia e conta banc aria, senha do cart ao do banco e senha de acesso ao Internet Banking. A mensagem, ent ao, solicita que voc e preencha o formul ario e apresenta es preenchidas. um bot ao para conrmar o envio das informac o es pessoais e nanceiras ser Risco: ao preencher os dados e conrmar o envio, suas informac o ao es, incluindo a venda transmitidas para fraudadores, que, a partir da , poder ao realizar diversas operac o o dos seus dados nanceiros para efetuar pagamentos, dos seus dados para terceiros, ou utilizac a transferir valores para outras contas, etc. Como identicar: o servic o de e-mail convencional n ao fornece qualquer mecanismo de criptograa, es, ao serem submetidas, trafegar o ou seja, as informac o ao em claro pela Internet. Qualquer instituic a es pessoais e sens con avel n ao utilizaria este meio para o envio de informac o veis de seus usu arios. 2.2.4 o de nomes Comprometimento do servic o de resoluc a

Ao tentar acessar um site de com ercio eletr onico ou Internet Banking, mesmo digitando o endere redirecionado para uma p c o diretamente no seu browser, voc ee agina falsicada, semelhante ao site verdadeiro. Duas poss veis causas para este caso de phishing s ao: o atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para p aginas falsicadas; o atacante o induziu a instalar um malware, por exemplo, atrav es de uma mensagem recebida o 2.2.1), e este malware foi especicamente projetado para por e-mail (como mostrado na sec a o de nomes do seu computador, redirecionando alterar o comportamento do servic o de resoluc a os acessos a determinados sites para p aginas falsicadas.

Cartilha de Seguranc a para Internet c 2006 CERT.br

9/17

Parte IV: Fraudes na Internet

o consolidada na data de publicac o desta Cartilha, os ve Apesar de n ao ter uma denic a a culos o t de comunicac a em utilizado o termo pharming para se referir a casos espec cos de phishing, que o da v es nos servic envolvem algum tipo de redirec a tima para sites fraudulentos, atrav es de alterac o os o de nomes. de resoluc a Risco: ao preencher os campos dispon veis na p agina falsicada e conrmar o envio dos dados, suas es pessoais e nanceiras ser informac o ao transmitidas para fraudadores, que, a partir da , poder ao es, incluindo a venda dos seus dados para terceiros, ou utilizac o dos seus realizar diversas operac o a dados nanceiros para efetuar pagamentos, transferir valores para outras contas, etc. o Como identicar: neste caso, onde fraudadores alteram o comportamento do servic o de resoluc a de nomes, para redirecionar acessos para p aginas falsicadas, n ao s ao v alidas dicas como digitar o enderec o diretamente no seu browser, ou observar o enderec o apresentado na barra de status do browser. estar atento para o fato de que sites Deste modo, a melhor forma de identicar este tipo de fraude e de com ercio eletr onico ou Internet Banking con aveis sempre utilizam conex oes seguras quando dados pessoais e nanceiros de usu arios s ao solicitados. Caso a p agina n ao utilize conex ao segura, descone imediatamente. Caso a p agina falsicada utilize conex ao segura, um novo certicado, que o de certicados n ao corresponde ao site verdadeiro, ser a apresentado (mais detalhes sobre vericac a o 2.6). na sec a o: se voc Recomendac a e ainda tiver alguma d uvida e acreditar que a p agina pode ser verdadeira, mesmo n ao utilizando conex ao segura, ou apresentando um certicado n ao compat vel, entre em o para certicar-se sobre o caso, antes de enviar qualquer dado, principalmente contato com a instituic a es sens informac o veis, como senhas e n umeros de cart oes de cr edito. 2.2.5 o de computadores de terceiros Utilizac a

Voc e utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand de um evento, para acessar um site de com ercio eletr onico ou Internet Banking. es Risco: como estes computadores s ao utilizados por muitas pessoas, voc e pode ter todas as suas ac o o de senhas ou n monitoradas (incluindo a digitac a umero de cart oes de cr edito), atrav es de programas o 2.2.1) e que podem ter sido instalados especicamente projetados para este m (como visto na sec a previamente. o: n es que necessitem de seus dados Recomendac a ao utilize computadores de terceiros em operac o pessoais e nanceiros, incluindo qualquer uma de suas senhas.

2.3

Quais s ao os cuidados que devo ter ao acessar sites de com ercio eletr onico ou Internet Banking?

Existem diversos cuidados que um usu ario deve ter ao acessar sites de com ercio eletr onico ou Internet Banking. Dentre eles, podem-se citar: es somente em sites de instituic es que voc realizar transac o o e considere con aveis; procurar sempre digitar em seu browser o enderec o desejado. N ao utilize links em p aginas de terceiros ou recebidos por e-mail;
Cartilha de Seguranc a para Internet c 2006 CERT.br 10/17

Parte IV: Fraudes na Internet

certicar-se de que o enderec o apresentado em seu browser corresponde ao site que voc e real o; mente quer acessar, antes de realizar qualquer ac a certicar-se que o site faz uso de conex ao segura (ou seja, que os dados transmitidos entre seu browser e o site ser ao criptografados) e utiliza um tamanho de chave considerado seguro (vide o 2.4); sec a ` instituic o que mant antes de aceitar um novo certicado, vericar junto a a em o site sobre sua emiss ao e quais s ao os dados nele contidos. Ent ao, vericar o certicado do site antes de iniciar o, para assegurar-se que ele foi emitido para a instituic o que se deseja acessar qualquer transac a a o 2.6); e est a dentro do prazo de validade (vide sec a o 1.1); estar atento e prevenir-se dos ataques de engenharia social (como visto na sec a n ao acessar sites de com ercio eletr onico ou Internet Banking atrav es de computadores de terceiros; desligar sua Webcam (caso voc e possua alguma), ao acessar um site de com ercio eletr onico ou Internet Banking. muito importante que voc Al em dos cuidados apresentados anteriormente e e tenha alguns cuidados adicionais, tais como: es (patches) aplicadas; manter o seu browser sempre atualizado e com todas as correc o o do seu browser para restringir a execuc o de JavaScript e de programas alterar a congurac a a Java ou ActiveX , exceto para casos espec cos; congurar seu browser para bloquear pop-up windows e permit -las apenas para sites conhecidos e con aveis, onde forem realmente necess arias; congurar seu programa leitor de e-mails para n ao abrir arquivos ou executar programas automaticamente; n ao executar programas obtidos pela Internet, ou recebidos por e-mail. Com estes cuidados adicionais voc e pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tr oia e outros tipos de malware) sejam instalados em seu computador para, dentre outras nalidades, furtar dados sens veis e fraudar seus acessos a sites de com ercio eletr onico ou Internet Banking. Maiores detalhes sobre estes cuidados podem o e Parte VIII: ser obtidos na Parte II: Riscos Envolvidos no Uso da Internet e M etodos de Prevenc a C odigos Maliciosos (Malware).

2.4

segura (criptografada)? Como vericar se a conex ao e

Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que signi es transmitidas entre o browser e o site visitado est cam que as informac o ao sendo criptografadas. digitado. O enderec O primeiro pode ser visualizado no local onde o enderec o do site e o deve comec ar com https:// (diferente do http:// nas conex oes normais), onde o s antes do sinal de
Cartilha de Seguranc a para Internet c 2006 CERT.br 11/17

Parte IV: Fraudes na Internet

de um site com conex dois-pontos indica que o enderec o em quest ao e ao segura e, portanto, os dados ser ao criptografados antes de serem enviados. A gura 1 apresenta o primeiro item, indicando uma conex ao segura, observado nos browsers Firefox e Internet Explorer, respectivamente. o do enderec Alguns browsers podem incluir outros sinais na barra de digitac a o do site, que in segura. No Firefox, por exemplo, o local onde o enderec digitado dicam que a conex ao e o do site e muda de cor, cando amarelo, e apresenta um cadeado fechado do lado direito.

Figura 1: https - identicando site com conex ao segura. O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conex ao segura. Normalmente, o desenho mais adotado nos browsers recentes e de um cadeado fechado, e apresentado na barra de status, na parte inferior da janela do browser (se o cadeado estiver aberto, a segura). conex ao n ao e oes seguras, observados A gura 2 apresenta desenhos dos cadeados fechados, indicando conex nas barras de status nos browsers Firefox e Internet Explorer, respectivamente.

Figura 2: Cadeado identicando site com conex ao segura. es referentes Ao clicar sobre o cadeado, ser a exibida uma tela que permite vericar as informac o o que mant o 2.6), bem como informac es ao certicado emitido para a instituic a em o site (veja sec a o sobre o tamanho da chave utilizada para criptografar os dados. muito importante que voc es a E e verique se a chave utilizada para criptografar as informac o de no m serem transmitidas entre seu browser e o site e nimo 128 bits. Chaves menores podem comprometer a seguranc a dos dados a serem transmitidos. Maiores detalhes sobre criptograa e tamanho de chaves podem ser obtidos na Parte I: Conceitos de Seguranc a. que a vericac o das informac es do certicado deve ser feita Outro fator muito importante e a o nica e exclusivamente no cadeado exibido na barra status do browser. Atacantes podem clicando u tentar forjar certicados, incluindo o desenho de um cadeado fechado no conte udo da p agina. A o no browser Firefox. gura 3 ilustra esta situac a

Figura 3: Cadeado forjado. Compare as barras de status do browser Firefox nas guras 2 e 3. Observe que na gura 3 n ao e segura. apresentado um cadeado fechado dentro da barra de status, indicando que a conex ao n ao e
Cartilha de Seguranc a para Internet c 2006 CERT.br 12/17

Parte IV: Fraudes na Internet

2.5

Como posso saber se o site que estou acessando n ao foi falsicado?

Existem alguns cuidados que um usu ario deve ter para certicar-se que um site n ao foi falsicado. checar se o enderec O primeiro cuidado e o digitado permanece inalterado no momento em que apresentado no browser do usu es, como visto o conte udo do site e ario. Existem algumas situac o o 2.2, onde o acesso a um site pode ser redirecionado para uma p na sec a agina falsicada, mas nor diferente daquele que o usu malmente nestes casos o enderec o apresentado pelo browser e ario quer realmente acessar. vericar as informac es contidas no certicado emitido E um outro cuidado muito importante e o o que mant es podem dizer se o certicado e ou n para a instituic a em o site. Estas informac o ao leg timo ou n o 2.6). e, conseq uentemente, se o site e ao falsicado (vide sec a

2.6

leg Como posso saber se o certicado emitido para o site e timo?

extremamente importante que o usu es contidas no certicado. E ario verique algumas informac o o e mostrado abaixo. Um exemplo de um certicado, emitido para um site de uma instituic a
This Certificate belongs to: This Certificate was issued by: www.example.org www.examplesign.com/CPS Incorp.by Ref. Terms of use at LIABILITY LTD.(c)97 ExampleSign www.examplesign.com/dir (c)00 ExampleSign International Server CA UF Tecno Class 3 Example Associados, Inc. ExampleSign, Inc. Cidade, Estado, BR Serial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A This Certificate is valid from Sat Aug 20, 2005 to Sun Aug 20, 2006 Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0

o que ele deseja O usu ario deve, ent ao, vericar se o certicado foi emitido para o site da instituic a es devem ser checadas: acessar. As seguintes informac o o enderec o do site; o (dona do certicado); o nome da instituic a o prazo de validade do certicado. Ao entrar pela primeira vez em um site que usa conex ao segura, seu browser apresentar a uma janela pedindo para conrmar o recebimento de um novo certicado. Ent ao, verique se os dados do ` instituic o que voc certicado correspondem a a e realmente deseja acessar e se seu browser reconheceu a Autoridade Certicadora que emitiu o certicado3 .
3 Os conceitos de Autoridade Certicadora e certicados digitais, bem como as principais informac es encontradas em o um certicado podem ser encontradas na Parte I: Conceitos de Seguranc a.

Cartilha de Seguranc a para Internet c 2006 CERT.br

13/17

Parte IV: Fraudes na Internet

ncia, seu browser apreSe ao entrar em um site com conex ao segura, que voc e utilize com freq ue sentar uma janela pedindo para conrmar o recebimento de um novo certicado, que atento. Uma o poss situac a vel seria que a validade do certicado do site tenha vencido, ou o certicado tenha sido revogado por outros motivos, e um novo certicado foi emitido para o site. Mas isto tamb em pode signicar que voc e est a recebendo um certicado ileg timo e, portanto, estar a acessando um site falsicado. o e que as informac es contidas no certicado normalmente Uma dica para reconhecer esta situac a o ` s da instituic o que voc n ao corresponder ao a a e realmente deseja acessar. Al em disso, seu browser possivelmente informar a que a Autoridade Certicadora que emitiu o certicado para o site n ao p ode ser reconhecida. De qualquer modo, caso voc e receba um novo certicado ao acessar um site e tenha alguma o para o site antes de entrar em contato com a d uvida ou desconanc a, n ao envie qualquer informac a o que o mant instituic a em, para esclarecer o ocorrido.

2.7

O que devo fazer se perceber que meus dados nanceiros est ao sendo usados por terceiros?

es pessoais e nanceiras, Caso voc e acredite que terceiros possam estar usando suas informac o como o n umero do seu cart ao de cr edito ou seus dados banc arios (senha de acesso ao Internet Banking o envolvida (por exemplo, seu banco ou e senha do cart ao de banco), entre em contato com a instituic a es que ser operadora do seu cart ao de cr edito), informe-os sobre o caso e siga as orientac o ao passadas por eles. es nanceiras, por exemplo, atrav Monitore regularmente suas movimentac o es de extratos banc arios e/ou de cart oes de cr edito, e procure por d ebitos, transfer encias ou cobranc as inesperadas. recomendado que voc E e procure uma delegacia de pol cia, para registrar um boletim de ocorr encia, caso tenha sido v tima de uma fraude via Internet.

Boatos

Boatos (hoaxes) s ao e-mails que possuem conte udos alarmantes ou falsos e que, geralmente, t em o, empresa importante ou como remetente ou apontam como autora da mensagem alguma instituic a rg poss o ao governamental. Atrav es de uma leitura minuciosa deste tipo de e-mail, normalmente, e vel identicar em seu conte udo mensagens absurdas e muitas vezes sem sentido. ` s caixas postais de usu ` Internet, Dentre os diversos boatos t picos, que chegam a arios conectados a podem-se citar as correntes, pir amides, mensagens sobre pessoas que est ao prestes a morrer de c ancer, entre outras. o pela Internet, mas tamb Hist orias deste tipo s ao criadas n ao s o para espalhar desinformac a em para outros ns maliciosos.

Cartilha de Seguranc a para Internet c 2006 CERT.br

14/17

Parte IV: Fraudes na Internet

3.1

Quais s ao os problemas de seguranc a relacionados aos boatos?

vericar o quanto ele se propaga pela Internet Normalmente, o objetivo do criador de um boato e e por quanto tempo permanece se propagando. De modo geral, os boatos n ao s ao respons aveis por grandes problemas de seguranc a, a n ao ser ocupar espac o nas caixa de e-mails de usu arios. ncias mais s Mas podem existir casos com conseq ue erias como, por exemplo, um boato que pro es importantes (como n cura induzir usu arios de Internet a fornecer informac o umeros de documentos, es de contas-corrente em banco ou de cart oes de cr edito), ou um boato que indica uma s erie de ac o a serem realizadas pelos usu arios e que, se forem realmente efetivadas, podem resultar em danos es para apagar um arquivo que supostamente cont mais s erios (como instruc o em um v rus, mas que na parte importante do sistema operacional instalado no computador). verdade e Al em disso, e-mails de boatos podem conter v rus, cavalos de tr oia ou outros tipos de malware anexados. Maiores detalhes podem ser encontrados na Parte VIII: C odigos Maliciosos (Malware). importante ressaltar que um boato tamb o E em pode comprometer a credibilidade e a reputac a tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.

3.2

o dos boatos? Como evitar a distribuic a

Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: conam no remetente da mensagem; n ao vericam a proced encia da mensagem; n ao checam a veracidade do conte udo da mensagem. o de boatos e muito importante checar a proced Para que voc e possa evitar a distribuic a encia preciso certicar-se que a dos e-mails, e mesmo que tenham como remetente algu em conhecido, e um boato (veja sec o 3.3). mensagem n ao e a importante ressaltar que voc E e nunca deve repassar este tipo de mensagem, pois estar a endossando ou concordando com o seu conte udo.

3.3

um boato? Como posso saber se um e-mail e

Um boato normalmente apresenta pelo menos uma das caracter sticas listadas abaixo. Observe que estas caracter sticas devem ser usadas apenas como guia. Nem todo boato apresenta uma destas caracter sticas e mensagens leg timas podem apresentar algumas delas. Muitas vezes, um boato: ncias tr sugere conseq ue agicas se uma determinada tarefa n ao for realizada; o de alguma ac o; promete ganhos nanceiros ou pr emios mediante a realizac a a
Cartilha de Seguranc a para Internet c 2006 CERT.br 15/17

Parte IV: Fraudes na Internet

es ou arquivos anexados para, supostamente, proteger seu computador de um fornece instruc o v rus n ao detectado por programas antiv rus; arma n ao ser um boato; apresenta diversos erros gramaticais e de ortograa; apresenta uma mensagem contradit oria; cont em algum texto enfatizando que voc e deve repassar a mensagem para o maior n umero de pessoas poss vel; poss j a foi repassado diversas vezes (no corpo da mensagem normalmente e vel observar cabec alhos de e-mails repassados por outras pessoas). Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatos que est ao circulando e seus respectivos conte udos. Alguns destes sites s ao: Hoaxbusters http://hoaxbusters.ciac.org/ QuatroCantos http://www.quatrocantos.com/LENDAS/ (em portugu es) Urban Legends and Folklore http://urbanlegends.about.com/ Urban Legends Reference Pages http://www.snopes.com/ TruthOrFiction.com http://www.truthorfiction.com/ Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html McAfee Security Virus Hoaxes http://vil.mcafee.com/hoax.asp o, normalmente, trazem Al em disso, os cadernos de inform atica dos jornais de grande circulac a mat erias ou avisos sobre os boatos mais recentes.

Cartilha de Seguranc a para Internet c 2006 CERT.br

16/17

Parte IV: Fraudes na Internet

Como Obter este Documento

periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

Licenc a de Uso da Cartilha

Copyright c 20002006 CERT.br. Ele pode ser livremente distribu Este documento e do desde es: que sejam respeitadas as seguintes condic o permitido fazer e distribuir gratuitamente c opias impressas inalteradas deste documento, 1. E es de como obt acompanhado desta Licenc a de Uso e de instruc o e-lo atrav es da Internet. permitido fazer links para a p agina http://cartilha.cert.br/, ou para p 2. E aginas dentro deste site que contenham partes espec cas da Cartilha. o do documento, completo ou em partes, como parte de site ou de outro tipo de 3. Para reproduc a material, deve ser assinado um Termo de Licenc a de Uso, e a autoria deve ser citada da seguinte forma: Texto extra do da Cartilha de Seguranc a para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/. vedada a exibic o ou a distribuic o total ou parcial de vers 4. E a a oes modicadas deste docu o de material derivado sem expressa autorizac o do CERT.br, bem como a mento, a produc a a o no todo ou em parte de c comercializac a opias do referido documento. es sobre o Termo de Licenc Informac o a de Uso podem ser solicitadas para doc@cert.br. Embora o deste documento, o CERT.br n todos os cuidados tenham sido tomados na preparac a ao garante a o absoluta das informac es nele contidas, nem se responsabiliza por eventuais conseq ncias correc a o ue que possam advir do seu uso.

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes.

Cartilha de Seguranc a para Internet c 2006 CERT.br

17/17