SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet SCAM ANTIVRUS WORM BLUETOOTH
INCIDENTE SEGURANA FRAUDE

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

Parte IV: Fraudes na Internet

INTERNET

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil

Cartilha de Seguranca para Internet Parte IV: Fraudes na Internet

Esta parte da cartilha aborda quest es relacionadas a fraudes na Ino ternet. S o apresentadas algumas maneiras de prevencao contra ataa ques de engenharia social, situacoes envolvendo fraudes comerciais e banc rias via Internet, bem como medidas preventivas que um usu rio a a deve adotar ao acessar sites de com rcio eletr nico ou Internet Banking. e o Tamb m e apresentado o conceito de boato (hoax) e s o discutidas algue a mas implicacoes de seguranca e formas para se evitar sua distribuicao.

Versao 3.0 Setembro de 2005

http://cartilha.cert.br/

Parte IV: Fraudes na Internet

Sum rio a
1 Engenharia Social 1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . . . . . Fraudes via Internet 2.1 O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . . . . . 2.1.1 Sites de leil es e de produtos com precos muito atrativos . . . . . . . . . . o 2.1.2 O golpe da Nig ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . . . . . . . e 2.2 O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? . . . . 2.2.1 Mensagens que cont m links para programas maliciosos . . . . . . . . . . . e 2.2.2 P ginas de com rcio eletr nico ou Internet Banking falsicadas . . . . . . . a e o 2.2.3 E-mails contendo formul rios para o fornecimento de informacoes sensveis . a 2.2.4 Comprometimento do servico de resolucao de nomes . . . . . . . . . . . . . 2.2.5 Utilizacao de computadores de terceiros . . . . . . . . . . . . . . . . . . . . 2.3 Quais s o os cuidados que devo ter ao acessar sites de com rcio eletr nico ou Internet a e o Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Como vericar se a conex o e segura (criptografada)? . . . . . . . . . . . . . . . . . a 2.5 Como posso saber se o site que estou acessando n o foi falsicado? . . . . . . . . . a 2.6 Como posso saber se o certicado emitido para o site e legtimo? . . . . . . . . . . . 2.7 O que devo fazer se perceber que meus dados nanceiros est o sendo usados por a terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Boatos 3.1 Quais s o os problemas de seguranca relacionados aos boatos? . . . . . . . . . . . . a 3.2 Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . . . . . . 3 3 3 4 4 4 5 5 8 9 9 10 10 11 13 13 14 14 15 15 15 17 17 17

Como Obter este Documento Nota de Copyright e Distribuicao Agradecimentos

Cartilha de Seguranca para Internet c 2005 CERT.br

2/17

Parte IV: Fraudes na Internet

Engenharia Social

Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como uma ligacao telef nica ou e-mail, para persuadir o usu rio a fornecer informacoes ou o a realizar determinadas acoes. Exemplos destas acoes s o: executar um programa, acessar uma p gina a a falsa de com rcio eletr nico ou Internet Banking atrav s de um link em um e-mail ou em uma p gina, e o e a etc. O conceito de engenharia social, bem como alguns exemplos deste tipo de ataque, podem ser encontrados na parte I: Conceitos de Seguranca. Exemplos especcos destes ataques, envolvendo diversos tipos de fraude, s o abordados nas secoes 2.1 e 2.2. a

1.1

Como me protejo deste tipo de abordagem?

Em casos de engenharia social o bom senso e essencial. Fique atento para qualquer abordagem, seja via telefone, seja atrav s de um e-mail, onde uma pessoa (em muitos casos falando em nome de e uma instituicao) solicita informacoes (principalmente condenciais) a seu respeito. Procure n o fornecer muita informacao e n o forneca, sob hip tese alguma, informacoes sena a o sveis, como senhas ou n meros de cart es de cr dito. u o e Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou p gina Web, e extremamente importante que voc , a e o, procure identicar e entrar em contato com a instituicao envolvida, antes de realizar qualquer aca para certicar-se sobre o caso.

Fraudes via Internet

Normalmente, n o e uma tarefa simples atacar e fraudar dados em um servidor de uma instituicao a banc ria ou comercial. Ent o, atacantes t m concentrado seus esforcos na exploracao de fragilidades a a e dos usu rios, para realizar fraudes comerciais e banc rias atrav s da Internet. a a e Para obter vantagens, os fraudadores t m utilizado amplamente e-mails com discursos que, na e maioria dos casos, envolvem engenharia social e que tentam persuadir o usu rio a fornecer seus dados a pessoais e nanceiros. Em muitos casos, o usu rio e induzido a instalar algum c digo malicioso a o ou acessar uma p gina fraudulenta, para que dados pessoais e sensveis, como senhas banc rias e a a n meros de cart es de cr dito, possam ser furtados. Desta forma, e muito importante que usu rios u o e a de Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem servicos de com rcio e eletr nico ou Internet Banking. o A secoes 2.1 e 2.2 ilustram algumas situacoes envolvendo estes tipos de fraudes. A secao 2.3 descreve alguns cuidados a serem tomados pelos usu rios de Internet, ao acessarem sites de com rcio a e eletr nico ou Internet Banking. As secoes 2.4, 2.5 e 2.6 apresentam alguns procedimentos para verio car a legitimidade de um site. E a secao 2.7 recomenda o que o usu rio deve fazer se perceber que a seus dados nanceiros podem estar sendo usados por terceiros.

Cartilha de Seguranca para Internet c 2005 CERT.br

3/17

Parte IV: Fraudes na Internet

2.1

O que e scam e que situacoes podem ser citadas sobre este tipo de fraude?

O scam (ou golpe) e qualquer esquema ou acao enganosa e/ou fraudulenta que, normalmente, tem como nalidade obter vantagens nanceiras. As subsecoes 2.1.1 e 2.1.2 apresentam duas situacoes envolvendo este tipo de fraude, sendo que a primeira situacao se d atrav s de p ginas disponibilizadas na Internet e a segunda atrav s do re a e a e cebimento de e-mails. Observe que existem variantes para as situacoes apresentadas e outros tipos de scam. Al m disso, novas formas de scam podem surgir, portanto e muito importante que voc se e e mantenha informado sobre os tipos de scam que v m sendo utilizados pelos fraudadores, atrav s dos e e veculos de comunicacao, como jornais, revistas e sites especializados. 2.1.1 Sites de leil es e de produtos com precos muito atrativos o Voc acessa um site de leil o ou de venda de produtos, onde os produtos ofertados t m precos e a e muito abaixo dos praticados pelo mercado. Risco: ao efetivar uma compra, na melhor das hip teses, voc receber um produto que n o condiz o e a a com o que realmente foi solicitado. Na maioria dos casos, voc n o receber nenhum produto, perder e a a a o dinheiro e poder ter seus dados pessoais e nanceiros furtados, caso a transacao tenha envolvido, a por exemplo, o n mero do seu cart o de cr dito. u a e Como identicar: faca uma pesquisa de mercado sobre preco do produto desejado e compare com os precos oferecidos. Ent o, voc deve se perguntar por que est o oferecendo um produto com preco a e a t o abaixo do praticado pelo mercado. a E importante ressaltar que existem muitos sites con veis de leil es e de vendas de produtos, mas a o nesta situacao a intencao e ilustrar casos de sites especicamente projetados para realizar atividades ilcitas. 2.1.2 O golpe da Nig ria (Nigerian 4-1-9 Scam) e

Voc recebe um e-mail em nome de uma instituicao governamental da Nig ria (por exemplo, o e e solicitado que voc atue como intermedi rio em uma transfer ncia internaciBanco Central), onde e e a e onal de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milh es de d lares. o o Como recompensa, voc ter direito de car com uma porcentagem (que e normalmente alta) do e a valor mencionado na mensagem. Para completar a transacao e solicitado que voc pague antecipa e damente uma quantia, normalmente bem elevada, para arcar com taxas de transfer ncia de fundos, e custos com advogados, entre outros. Este tipo de golpe tamb m e conhecido como Advance Fee Fraud, ou a fraude de antecipacao de e pagamentos, e j foram registrados casos originados ou que mencionavam a Africa do Sul, Angola, a Eti pia, Lib ria, Marrocos, Serra Leoa, Tanz nia, Zaire, Zimb bue, Holanda, Iugosl via, Austr lia, o e a a a a Jap o, Mal sia e Taiwan, entre outros. a a ` No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o n mero 419 refere-se a secao do u equivalente ao artigo 171 do c digo penal c digo penal da Nig ria que e violada por este golpe. E o e o brasileiro, ou seja, estelionato.

Cartilha de Seguranca para Internet c 2005 CERT.br

4/17

Parte IV: Fraudes na Internet

Risco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, voc n o s perder e a o a o dinheiro investido, mas tamb m nunca ver os milhares ou milh es de d lares prometidos como e a o o recompensa. Como identicar: normalmente, estas mensagens apresentam quantias astron micas e abusam da o utilizacao de palavras capitalizadas (todas as letras mai sculas) para chamar a atencao do usu rio. u a Palavras como URGENT (urgente) e CONFIDENTIAL (condencial) tamb m s o comumente e a usadas no assunto da mensagem para chamar a atencao do usu rio. a Voc deve se perguntar por que foi escolhido para receber estes milhares ou milh es de d lares, e o o entre os in meros usu rios que utilizam a Internet. u a

2.2

O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude?

Phishing, tamb m conhecido como phishing scam ou phishing/scam, foi um termo originalmente e criado para descrever o tipo de fraude que se d atrav s do envio de mensagem n o solicitada, que se a e a passa por comunicacao de uma instituicao conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a p ginas fraudulentas (falsicadas), projetadas para furtar dados pessoais e a nanceiros de usu rios. a A palavra phishing (de shing) vem de uma analogia criada pelos fraudadores, onde iscas (e-mails) s o usadas para pescar senhas e dados nanceiros de usu rios da Internet. a a Atualmente, este termo v m sendo utilizado tamb m para se referir aos seguintes casos: e e mensagem que procura induzir o usu rio a instalacao de c digos maliciosos, projetados para a ` o furtar dados pessoais e nanceiros; mensagem que, no pr prio conte do, apresenta formul rios para o preenchimento e envio de o u a dados pessoais e nanceiros de usu rios. a A subsecoes a seguir apresentam cinco situacoes envolvendo phishing, que v m sendo utilizadas e por fraudadores na Internet. Observe que existem variantes para as situacoes apresentadas. Al m e disso, novas formas de phishing podem surgir, portanto e muito importante que voc se mantenha e informado sobre os tipos de phishing que v m sendo utilizados pelos fraudadores, atrav s dos veculos e e de comunicacao, como jornais, revistas e sites especializados. Tamb m e muito importante que voc , ao identicar um caso de fraude via Internet, notique a e e instituicao envolvida, para que ela possa tomar as provid ncias cabveis1 . e 2.2.1 Mensagens que cont m links para programas maliciosos e

Voc recebe uma mensagem por e-mail ou via servico de troca instant nea de mensagens, onde o e a texto procura atrair sua atencao, seja por curiosidade, por caridade, pela possibilidade de obter alguma vantagem (normalmente nanceira), entre outras. O texto da mensagem tamb m pode indicar que a e n o execucao dos procedimentos descritos acarretar o conseq encias mais s rias, como, por exemplo, a a u e
1 Veja

detalhes sobre como realizar a noticacao na parte VII: Incidentes de Seguranca e Uso Abusivo da Rede.

Cartilha de Seguranca para Internet c 2005 CERT.br

5/17

Parte IV: Fraudes na Internet

a inclus o do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta banc ria ou a a do seu cart o de cr dito, etc. A mensagem, ent o, procura induz-lo a clicar em um link, para baixar a e a e abrir/executar um arquivo. Alguns exemplos de temas e respectivas descricoes dos textos encontrados em mensagens deste tipo s o apresentados na tabela 1. a Tabela 1: Exemplos de temas de mensagens de phishing. Tema Cart es virtuais o SERASA e SPC Servicos de governo eletr nico o Texto da mensagem UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Crianca Esperanca, AACD/Teleton. d bitos, restricoes ou pend ncias nanceiras. e e CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova vers o ou correcao para o programa de declaracao, consulta a da restituicao, dados incorretos ou incompletos na declara o), eleicoes (ttulo eleitoral cancelado, simulacao da urna ca eletr nica). o pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas, televis o), traicao, a nudez ou pornograa, servico de acompanhantes. pend ncias de d bito, aviso de bloqueio de servicos, detalhae e mento de fatura, cr ditos gratuitos para o celular. e a melhor opcao do mercado, nova vers o, atualizacao de vaci a nas, novas funcionalidades, eliminacao de vrus do seu com putador. fatos amplamente noticiados (ataques terroristas, tsunami, terremotos, etc), boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situacoes chocantes). BigBrother, Casa dos Artistas, etc fotos ou vdeos envol vendo cenas de nudez ou er ticas, discadores. o novas vers es de softwares, correcoes para o sistema operacio onal Windows, m sicas, vdeos, jogos, acesso gratuito a cau nais de TV a cabo no computador, cadastro ou atualizacao de currculos, recorra das multas de tr nsito. a orcamento, cotacao de precos, lista de produtos. para conex o Internet gratuita, para acessar imagens ou vdeos a restritos. atualizacao de cadastro, devolucao de produtos, cobranca de d bitos, conrmacao de compra. e convites para participacao em sites de relacionamento (como o orkut) e outros servicos gratuitos. descubra como ganhar dinheiro na Internet. diversos. loterias, instituicoes nanceiras. produtos, cursos, treinamentos, concursos. cartilha de seguranca, avisos de fraude. censo.

Albuns de fotos

Servico de telefonia Antivrus

Notcias/boatos

Reality shows Programas ou arquivos diversos

Pedidos Discadores Sites de com rcio eletr nico e o Convites Dinheiro f cil a Promocoes Pr mios e Propaganda FEBRABAN IBGE

Cartilha de Seguranca para Internet c 2005 CERT.br

6/17

Parte IV: Fraudes na Internet

Cabe ressaltar que a lista de temas na tabela 1 n o e exaustiva, nem tampouco se aplica a todos os a casos. Existem outros temas e novos temas podem surgir. Risco: ao clicar no link, ser apresentada uma janela, solicitando que voc salve o arquivo. Depois a e de salvo, se voc abr-lo ou execut -lo, ser instalado um programa malicioso (malware) em seu e a a computador, por exemplo, um cavalo de tr ia ou outro tipo de spyware, projetado para furtar seus o dados pessoais e nanceiros, como senhas banc rias ou n meros de cart es de cr dito2 . Caso o seu a u o e programa leitor de e-mails esteja congurado para exibir mensagens em HTML, a janela solicitando que voc salve o arquivo poder aparecer automaticamente, sem que voc clique no link. e a e Ainda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computador automaticamente, ou seja, sem a sua intervencao, caso seu programa leitor de e-mails possua vulnerabilidades. Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usu rio, dentre a elas: capturar teclas digitadas no teclado; capturar a posicao do cursor e a tela ou regi es da tela, no o momento em que o mouse e clicado; sobrepor a janela do browser do usu rio com uma janela falsa, a onde os dados ser o inseridos; ou espionar o teclado do usu rio atrav s da Webcam (caso o usu rio a a a e a possua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas t cnicas podem ser e vistos na secao de keyloggers, na parte VIII: C digos Maliciosos (Malware). o Depois de capturados, seus dados pessoais e nanceiros ser o enviados para os fraudadores. A partir a da, os fraudadores poder o realizar diversas operacoes, incluindo a venda dos seus dados para tercei a ros, ou utilizacao dos seus dados nanceiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identicar: seguem algumas dicas para identicar este tipo de mensagem fraudulenta: leia atentamente a mensagem. Normalmente, ela conter diversos erros gramaticais e de ortoa graa; os fraudadores utilizam t cnicas para ofuscar o real link para o arquivo malicioso, apresentando e ` o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser possvel ver o real endereco do arquivo malicioso na barra de status a do programa leitor de e-mails, ou browser, caso esteja atualizado e n o possua vulnerabilidades. a Normalmente, este link ser diferente do apresentado na mensagem; a qualquer extens o pode ser utilizada nos nomes dos arquivos maliciosos, mas que particulara mente atento aos arquivos com extens es .exe, .zip e .scr, pois estas s o as mais utilizao a das. Outras extens es freq entemente utilizadas por fraudadores s o .com, .rar e .dll; o u a ` que atento as mensagens que solicitam a instalacao/execucao de qualquer tipo de arquivo/pro grama; acesse a p gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados a apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que voc e recebeu. Em muitos casos, voc vai observar que n o e poltica da instituicao enviar e-mails e a para usu rios da Internet, de forma indiscriminada, principalmente contendo arquivos anexados. a

conceito de malware pode ser encontrado na parte I: Conceitos de Seguranca. Os conceitos de cavalo de tr ia e o o spyware est o disponveis na parte VIII: C digos Maliciosos (Malware). a

2O

Cartilha de Seguranca para Internet c 2005 CERT.br

7/17

Parte IV: Fraudes na Internet

Recomendacoes: no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como par metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos a fraudadores; se voc ainda tiver alguma d vida e acreditar que a mensagem pode ser verdadeira, entre em e u contato com a instituicao para certicar-se sobre o caso, antes de enviar qualquer dado, princi palmente informacoes sensveis, como senhas e n meros de cart es de cr dito. u o e

2.2.2

P ginas de com rcio eletr nico ou Internet Banking falsicadas a e o

Voc recebe uma mensagem por e-mail ou via servico de troca instant nea de mensagens, em e a nome de um site de com rcio eletr nico ou de uma instituicao nanceira, por exemplo, um banco. e o Textos comuns neste tipo de mensagem envolvem o recadastramento ou conrmacao dos dados do usu rio, a participacao em uma nova promocao, etc. A mensagem, ent o, tenta persuad-lo a clicar a a em um link contido no texto, em uma imagem, ou em uma p gina de terceiros. a Risco: o link pode direcion -lo para uma p gina Web falsicada, semelhante ao site que voc reala a e mente deseja acessar. Nesta p gina ser o solicitados dados pessoais e nanceiros, como o n mero, a a u data de expiracao e c digo de seguranca do seu cart o de cr dito, ou os n meros da sua ag ncia e o a e u e conta banc ria, senha do cart o do banco e senha de acesso ao Internet Banking. a a Ao preencher os campos disponveis na p gina falsicada e clicar no bot o de conrmacao (em muitos a a casos o bot o apresentar o texto Conrm, OK, Submit, etc), os dados ser o enviados para os a a a fraudadores. A partir da, os fraudadores poder o realizar diversas operacoes, incluindo a venda dos seus dados a para terceiros, ou utilizacao dos seus dados nanceiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identicar: seguem algumas dicas para identicar este tipo de mensagem fraudulenta: os fraudadores utilizam t cnicas para ofuscar o real link para a p gina falsicada, apresentando e a ` o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser possvel ver o real endereco da p gina falsicada na barra de status a a do programa leitor de e-mails, ou browser, caso esteja atualizado e n o possua vulnerabilidades. a Normalmente, este link ser diferente do apresentado na mensagem; a acesse a p gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados a apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que voc e recebeu; sites de com rcio eletr nico ou Internet Banking con veis sempre utilizam conex es seguras e o a o (vide secao 2.4) quando dados pessoais e nanceiros de usu rios s o solicitados. Caso a p gina a a a n o utilize conex o segura, descone imediatamente. Caso a p gina falsicada utilize conex o a a a a segura, um novo certicado (que n o corresponde ao site verdadeiro) ser apresentado e, posa a sivelmente, o endereco mostrado no browser ser diferente do endereco correspondente ao site a verdadeiro.

Cartilha de Seguranca para Internet c 2005 CERT.br

8/17

Parte IV: Fraudes na Internet

Recomendacoes: no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como par metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos a fraudadores; se voc ainda tiver alguma d vida e acreditar que a mensagem pode ser verdadeira, entre em e u contato com a instituicao para certicar-se sobre o caso, antes de enviar qualquer dado, princi palmente informacoes sensveis, como senhas e n meros de cart es de cr dito. u o e

2.2.3 E-mails contendo formul rios para o fornecimento de informacoes sensveis a Voc recebe um e-mail em nome de um site de com rcio eletr nico ou de uma instituicao banc ria. e e o a O conte do da mensagem envolve o recadastramento ou conrmacao de seus dados, a participacao u em uma nova promocao, etc. A mensagem apresenta um formul rio, com campos para a digitacao de informacoes envolvendo a dados pessoais e nanceiros, como o n mero, data de expiracao e c digo de seguranca do seu cart o u o a de cr dito, ou os n meros da sua ag ncia e conta banc ria, senha do cart o do banco e senha de e u e a a acesso ao Internet Banking. A mensagem, ent o, solicita que voc preencha o formul rio e apresenta a e a um bot o para conrmar o envio das informacoes preenchidas. a Risco: ao preencher os dados e conrmar o envio, suas informacoes pessoais e nanceiras ser o a transmitidas para fraudadores, que, a partir da, poder o realizar diversas operacoes, incluindo a venda a dos seus dados para terceiros, ou utilizacao dos seus dados nanceiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identicar: o servico de e-mail convencional n o fornece qualquer mecanismo de criptograa, a ou seja, as informacoes, ao serem submetidas, trafegar o em claro pela Internet. Qualquer instituicao a con vel n o utilizaria este meio para o envio de informacoes pessoais e sensveis de seus usu rios. a a a 2.2.4 Comprometimento do servico de resolucao de nomes

Ao tentar acessar um site de com rcio eletr nico ou Internet Banking, mesmo digitando o enderee o co diretamente no seu browser, voc e redirecionado para uma p gina falsicada, semelhante ao site e a verdadeiro. Duas possveis causas para este caso de phishing s o: a o atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para p ginas falsicadas; a o atacante o induziu a instalar um malware, por exemplo, atrav s de uma mensagem recebida e por e-mail (como mostrado na secao 2.2.1), e este malware foi especicamente projetado para alterar o comportamento do servico de resolucao de nomes do seu computador, redirecionando os acessos a determinados sites para p ginas falsicadas. a

Cartilha de Seguranca para Internet c 2005 CERT.br

9/17

Parte IV: Fraudes na Internet

Apesar de n o ter uma denicao consolidada na data de publicacao desta Cartilha, os veculos a de comunicacao t m utilizado o termo pharming para se referir a casos especcos de phishing, que e envolvem algum tipo de redirecao da vtima para sites fraudulentos, atrav s de alteracoes nos servicos e de resolucao de nomes. Risco: ao preencher os campos disponveis na p gina falsicada e conrmar o envio dos dados, suas a informacoes pessoais e nanceiras ser o transmitidas para fraudadores, que, a partir da, poder o a a realizar diversas operacoes, incluindo a venda dos seus dados para terceiros, ou utilizacao dos seus dados nanceiros para efetuar pagamentos, transferir valores para outras contas, etc. Como identicar: neste caso, onde fraudadores alteram o comportamento do servico de resolucao de nomes, para redirecionar acessos para p ginas falsicadas, n o s o v lidas dicas como digitar a a a a o endereco diretamente no seu browser, ou observar o endereco apresentado na barra de status do browser. Deste modo, a melhor forma de identicar este tipo de fraude e estar atento para o fato de que sites de com rcio eletr nico ou Internet Banking con veis sempre utilizam conex es seguras quando e o a o dados pessoais e nanceiros de usu rios s o solicitados. Caso a p gina n o utilize conex o segura, a a a a a descone imediatamente. Caso a p gina falsicada utilize conex o segura, um novo certicado, que a a n o corresponde ao site verdadeiro, ser apresentado (mais detalhes sobre vericacao de certicados a a na secao 2.6). Recomendacao: se voc ainda tiver alguma d vida e acreditar que a p gina pode ser verdadeira, e u a mesmo n o utilizando conex o segura, ou apresentando um certicado n o compatvel, entre em a a a contato com a instituicao para certicar-se sobre o caso, antes de enviar qualquer dado, principalmente informacoes sensveis, como senhas e n meros de cart es de cr dito. u o e 2.2.5 Utilizacao de computadores de terceiros

Voc utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand e de um evento, para acessar um site de com rcio eletr nico ou Internet Banking. e o Risco: como estes computadores s o utilizados por muitas pessoas, voc pode ter todas as suas acoes a e monitoradas (incluindo a digitacao de senhas ou n mero de cart es de cr dito), atrav s de programas u o e e especicamente projetados para este m (como visto na secao 2.2.1) e que podem ter sido instalados previamente. Recomendacao: n o utilize computadores de terceiros em operacoes que necessitem de seus dados a pessoais e nanceiros, incluindo qualquer uma de suas senhas.

2.3

Quais s o os cuidados que devo ter ao acessar sites de com rcio eletr nico a e o ou Internet Banking?

Existem diversos cuidados que um usu rio deve ter ao acessar sites de com rcio eletr nico ou a e o Internet Banking. Dentre eles, podem-se citar: realizar transacoes somente em sites de instituicoes que voc considere con veis; e a procurar sempre digitar em seu browser o endereco desejado. N o utilize links em p ginas de a a terceiros ou recebidos por e-mail;
Cartilha de Seguranca para Internet c 2005 CERT.br 10/17

Parte IV: Fraudes na Internet

certicar-se de que o endereco apresentado em seu browser corresponde ao site que voc real e mente quer acessar, antes de realizar qualquer acao; certicar-se que o site faz uso de conex o segura (ou seja, que os dados transmitidos entre seu a browser e o site ser o criptografados) e utiliza um tamanho de chave considerado seguro (vide a secao 2.4); ` antes de aceitar um novo certicado, vericar junto a instituicao que mant m o site sobre sua e emiss o e quais s o os dados nele contidos. Ent o, vericar o certicado do site antes de iniciar a a a qualquer transacao, para assegurar-se que ele foi emitido para a instituicao que se deseja acessar e est dentro do prazo de validade (vide secao 2.6); a estar atento e prevenir-se dos ataques de engenharia social (como visto na secao 1.1); n o acessar sites de com rcio eletr nico ou Internet Banking atrav s de computadores de tera e o e ceiros; desligar sua Webcam (caso voc possua alguma), ao acessar um site de com rcio eletr nico ou e e o Internet Banking. Al m dos cuidados apresentados anteriormente e muito importante que voc tenha alguns cuidae e dos adicionais, tais como: manter o seu browser sempre atualizado e com todas as correcoes (patches) aplicadas; alterar a conguracao do seu browser para restringir a execucao de JavaScript e de programas Java ou ActiveX, exceto para casos especcos; congurar seu browser para bloquear pop-up windows e permit-las apenas para sites conheci dos e con veis, onde forem realmente necess rias; a a congurar seu programa leitor de e-mails para n o abrir arquivos ou executar programas autoa maticamente; n o executar programas obtidos pela Internet, ou recebidos por e-mail. a Com estes cuidados adicionais voc pode evitar que seu browser contenha alguma vulnerabilie dade, e que programas maliciosos (como os cavalos de tr ia e outros tipos de malware) sejam instalao dos em seu computador para, dentre outras nalidades, furtar dados sensveis e fraudar seus acessos a sites de com rcio eletr nico ou Internet Banking. Maiores detalhes sobre estes cuidados podem ser e o obtidos nas partes II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao e VIII: C digos e o Maliciosos (Malware).

2.4

Como vericar se a conex o e segura (criptografada)? a

Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que signicam que as informacoes transmitidas entre o browser e o site visitado est o sendo criptografadas. a O primeiro pode ser visualizado no local onde o endereco do site e digitado. O endereco deve comecar com https:// (diferente do http:// nas conex es normais), onde o s antes do sinal de o
Cartilha de Seguranca para Internet c 2005 CERT.br 11/17

Parte IV: Fraudes na Internet

dois-pontos indica que o endereco em quest o e de um site com conex o segura e, portanto, os dados a a ser o criptografados antes de serem enviados. A gura 1 apresenta o primeiro item, indicando uma a conex o segura, observado nos browsers Firefox e Internet Explorer, respectivamente. a Alguns browsers podem incluir outros sinais na barra de digitacao do endereco do site, que in dicam que a conex o e segura. No Firefox, por exemplo, o local onde o endereco do site e digitado a muda de cor, cando amarelo, e apresenta um cadeado fechado do lado direito.

Figura 1: https - identicando site com conex o segura. a O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conex o a e segura. Normalmente, o desenho mais adotado nos browsers recentes e de um cadeado fechado, apresentado na barra de status, na parte inferior da janela do browser (se o cadeado estiver aberto, a conex o n o e segura). a a o A gura 2 apresenta desenhos dos cadeados fechados, indicando conex es seguras, observados nas barras de status nos browsers Firefox e Internet Explorer, respectivamente.

Figura 2: Cadeado identicando site com conex o segura. a Ao clicar sobre o cadeado, ser exibida uma tela que permite vericar as informacoes referentes a ao certicado emitido para a instituicao que mant m o site (veja secao 2.6), bem como informacoes e sobre o tamanho da chave utilizada para criptografar os dados. E muito importante que voc verique se a chave utilizada para criptografar as informacoes a e serem transmitidas entre seu browser e o site e de no mnimo 128 bits. Chaves menores podem comprometer a seguranca dos dados a serem transmitidos. Maiores detalhes sobre criptograa e tamanho de chaves podem ser obtidos na parte I: Conceitos de Seguranca. Outro fator muito importante e que a vericacao das informacoes do certicado deve ser feita clicando unica e exclusivamente no cadeado exibido na barra status do browser. Atacantes podem tentar forjar certicados, incluindo o desenho de um cadeado fechado no conte do da p gina. A u a gura 3 ilustra esta situacao no browser Firefox.

Figura 3: Cadeado forjado. Compare as barras de status do browser Firefox nas guras 2 e 3. Observe que na gura 3 n o e a apresentado um cadeado fechado dentro da barra de status, indicando que a conex o n o e segura. a a
Cartilha de Seguranca para Internet c 2005 CERT.br 12/17

Parte IV: Fraudes na Internet

2.5

Como posso saber se o site que estou acessando n o foi falsicado? a

Existem alguns cuidados que um usu rio deve ter para certicar-se que um site n o foi falsicado. a a O primeiro cuidado e checar se o endereco digitado permanece inalterado no momento em que o conte do do site e apresentado no browser do usu rio. Existem algumas situacoes, como visto u a na secao 2.2, onde o acesso a um site pode ser redirecionado para uma p gina falsicada, mas nor a malmente nestes casos o endereco apresentado pelo browser e diferente daquele que o usu rio quer a realmente acessar. E um outro cuidado muito importante e vericar as informacoes contidas no certicado emitido para a instituicao que mant m o site. Estas informacoes podem dizer se o certicado e ou n o legtimo e a e, conseq entemente, se o site e ou n o falsicado (vide secao 2.6). u a

2.6

Como posso saber se o certicado emitido para o site e legtimo?

E extremamente importante que o usu rio verique algumas informacoes contidas no certicado. a Um exemplo de um certicado, emitido para um site de uma instituicao e mostrado abaixo.
This Certificate belongs to: This Certificate was issued by: www.example.org www.examplesign.com/CPS Incorp.by Ref. Terms of use at LIABILITY LTD.(c)97 ExampleSign www.examplesign.com/dir (c)00 ExampleSign International Server CA UF Tecno Class 3 Example Associados, Inc. ExampleSign, Inc. Cidade, Estado, BR Serial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A This Certificate is valid from Sat Aug 20, 2005 to Sun Aug 20, 2006 Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0

O usu rio deve, ent o, vericar se o certicado foi emitido para o site da instituicao que ele deseja a a acessar. As seguintes informacoes devem ser checadas: o endereco do site; o nome da instituicao (dona do certicado); o prazo de validade do certicado. Ao entrar pela primeira vez em um site que usa conex o segura, seu browser apresentar uma a a janela pedindo para conrmar o recebimento de um novo certicado. Ent o, verique se os dados do a ` certicado correspondem a instituicao que voc realmente deseja acessar e se seu browser reconheceu e a Autoridade Certicadora que emitiu o certicado3 .
3 Os conceitos de Autoridade Certicadora e certicados digitais, bem como as principais informacoes encontradas em um certicado podem ser encontradas na parte I: Conceitos de Seguranca.

Cartilha de Seguranca para Internet c 2005 CERT.br

13/17

Parte IV: Fraudes na Internet

Se ao entrar em um site com conex o segura, que voc utilize com freq encia, seu browser aprea e u sentar uma janela pedindo para conrmar o recebimento de um novo certicado, que atento. Uma situacao possvel seria que a validade do certicado do site tenha vencido, ou o certicado tenha sido revogado por outros motivos, e um novo certicado foi emitido para o site. Mas isto tamb m e pode signicar que voc est recebendo um certicado ilegtimo e, portanto, estar acessando um site e a a falsicado. Uma dica para reconhecer esta situacao e que as informacoes contidas no certicado normalmente n o corresponder o as da instituicao que voc realmente deseja acessar. Al m disso, seu browser a a ` e e possivelmente informar que a Autoridade Certicadora que emitiu o certicado para o site n o p de a a o ser reconhecida. De qualquer modo, caso voc receba um novo certicado ao acessar um site e tenha alguma e d vida ou desconanca, n o envie qualquer informacao para o site antes de entrar em contato com a u a instituicao que o mant m, para esclarecer o ocorrido. e

2.7

O que devo fazer se perceber que meus dados nanceiros est o sendo usaa dos por terceiros?

Caso voc acredite que terceiros possam estar usando suas informacoes pessoais e nanceiras, e como o n mero do seu cart o de cr dito ou seus dados banc rios (senha de acesso ao Internet Banking u a e a e senha do cart o de banco), entre em contato com a instituicao envolvida (por exemplo, seu banco ou a operadora do seu cart o de cr dito), informe-os sobre o caso e siga as orientacoes que ser o passadas a e a por eles. Monitore regularmente suas movimentacoes nanceiras, por exemplo, atrav s de extratos banc e a rios e/ou de cart es de cr dito, e procure por d bitos, transfer ncias ou cobrancas inesperadas. o e e e E recomendado que voc procure uma delegacia de polcia, para registrar um boletim de ocorr ne e cia, caso tenha sido vtima de uma fraude via Internet.

Boatos

Boatos (hoaxes) s o e-mails que possuem conte dos alarmantes ou falsos e que, geralmente, t m a u e como remetente ou apontam como autora da mensagem alguma instituicao, empresa importante ou a org o governamental. Atrav s de uma leitura minuciosa deste tipo de e-mail, normalmente, e possvel e identicar em seu conte do mensagens absurdas e muitas vezes sem sentido. u ` ` Dentre os diversos boatos tpicos, que chegam as caixas postais de usu rios conectados a Internet, a podem-se citar as correntes, pir mides, mensagens sobre pessoas que est o prestes a morrer de c ncer, a a a entre outras. Hist rias deste tipo s o criadas n o s para espalhar desinformacao pela Internet, mas tamb m o a a o e para outros ns maliciosos.

Cartilha de Seguranca para Internet c 2005 CERT.br

14/17

Parte IV: Fraudes na Internet

3.1

Quais s o os problemas de seguranca relacionados aos boatos? a

Normalmente, o objetivo do criador de um boato e vericar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos n o s o respons veis por a a a grandes problemas de seguranca, a n o ser ocupar espaco nas caixa de e-mails de usu rios. a a Mas podem existir casos com conseq encias mais s rias como, por exemplo, um boato que prou e cura induzir usu rios de Internet a fornecer informacoes importantes (como n meros de documentos, a u de contas-corrente em banco ou de cart es de cr dito), ou um boato que indica uma s rie de acoes o e e a serem realizadas pelos usu rios e que, se forem realmente efetivadas, podem resultar em danos a mais s rios (como instrucoes para apagar um arquivo que supostamente cont m um vrus, mas que na e e verdade e parte importante do sistema operacional instalado no computador). Al m disso, e-mails de boatos podem conter vrus, cavalos de tr ia ou outros tipos de malware e o anexados. Maiores detalhes podem ser encontrados na parte VIII: C digos Maliciosos (Malware). o E importante ressaltar que um boato tamb m pode comprometer a credibilidade e a reputacao e tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.

3.2

Como evitar a distribuicao dos boatos?

Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem: conam no remetente da mensagem; n o vericam a proced ncia da mensagem; a e n o checam a veracidade do conte do da mensagem. a u Para que voc possa evitar a distribuicao de boatos e muito importante checar a proced ncia e e dos e-mails, e mesmo que tenham como remetente algu m conhecido, e preciso certicar-se que a e mensagem n o e um boato (veja secao 3.3). a E importante ressaltar que voc nunca deve repassar este tipo de mensagem, pois estar endose a sando ou concordando com o seu conte do. u

3.3

Como posso saber se um e-mail e um boato?

Um boato normalmente apresenta pelo menos uma das caractersticas listadas abaixo. Observe que estas caractersticas devem ser usadas apenas como guia. Nem todo boato apresenta uma destas caractersticas e mensagens legtimas podem apresentar algumas delas. Muitas vezes, um boato: sugere conseq encias tr gicas se uma determinada tarefa n o for realizada; u a a promete ganhos nanceiros ou pr mios mediante a realizacao de alguma acao; e
Cartilha de Seguranca para Internet c 2005 CERT.br 15/17

Parte IV: Fraudes na Internet

fornece instrucoes ou arquivos anexados para, supostamente, proteger seu computador de um vrus n o detectado por programas antivrus; a arma n o ser um boato; a apresenta diversos erros gramaticais e de ortograa; apresenta uma mensagem contradit ria; o cont m algum texto enfatizando que voc deve repassar a mensagem para o maior n mero de e e u pessoas possvel; j foi repassado diversas vezes (no corpo da mensagem normalmente e possvel observar cabea calhos de e-mails repassados por outras pessoas). Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatos que est o circulando e seus respectivos conte dos. a u Alguns destes sites s o: a Hoaxbusters http://hoaxbusters.ciac.org/ QuatroCantos http://www.quatrocantos.com/LENDAS/ (em portugu s) e Urban Legends and Folklore http://urbanlegends.about.com/ Urban Legends Reference Pages http://www.snopes.com/ Stiller Research Virus Hoax News http://www.stiller.com/hoaxes.htm TruthOrFiction.com http://www.truthorfiction.com/ Symantec Security Response Hoaxes http://www.symantec.com/avcenter/hoax.html McAfee Security Virus Hoaxes http://vil.mcafee.com/hoax.asp Al m disso, os cadernos de inform tica dos jornais de grande circulacao, normalmente, trazem e a mat rias ou avisos sobre os boatos mais recentes. e

Cartilha de Seguranca para Internet c 2005 CERT.br

16/17

Parte IV: Fraudes na Internet

Como Obter este Documento

Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certique-se de ter sempre a vers o mais recente. a Caso voc tenha alguma sugest o para este documento ou encontre algum erro, entre em contato e a atrav s do endereco doc@cert.br. e

Nota de Copyright e Distribuicao

Este documento e Copyright c 20002005 CERT.br. Ele pode ser livremente copiado desde que sejam respeitadas as seguintes condicoes: o 1. E permitido fazer e distribuir c pias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribuicao seja mantida em todas as c pias, e que a o distribuicao n o tenha ns comerciais. a 2. Se este documento for distribudo apenas em partes, instrucoes de como obt -lo por completo e devem ser includas. o 3. E vedada a distribuicao de vers es modicadas deste documento, bem como a comercializacao de c pias, sem a permiss o expressa do CERT.br. o a Embora todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n o a garante a correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais con seq encias que possam advir do seu uso. u

Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o

Cartilha de Seguranca para Internet c 2005 CERT.br

17/17