Páginas

domingo, 26 de julho de 2009

A Ameaça Sutil a Transações Bancárias Eletrônicas

ARTIGOS ESPECIAIS

26/07 - 10:05

A Ameaça Sutil a Transações Bancárias Eletrônicas

Recife, 26 de julho de 2009 - Alguns especialistas em fraudes eletrônicas pela internet têm manifestado preocupação com as enormes diferenças na culpabilidade financeira e legal que se atribui, por um lado, a pessoas físicas e, por outro lado, a pessoas jurídicas, no que concerne ao cibercrime. Consumidores que fazem transações bancárias pela internet nos Estados Unidos são protegidos pela chamada “Regulação E”, ou “Lei de Transferências Eletrônicas de Fundos” (“Electronic Funds Transfer Act”, de 1978), que em geral garante que os consumidores não são culpáveis por transações não-autorizadas contra suas próprias contas bancárias (desde que não permaneçam mais de 60 dias sem reportar cobranças ou débitos suspeitos ou não-autorizados). Entretanto, como observa Brian Krebs em recente artigo em seu blog no Washington Post (“The Growing Threat to Business Banking Online”, 20/07/2009), tal provisão não se aplica a titulares de contas de pessoa jurídica. Se uma empresa sofrer ataque de hacker e alguém conseguir zerar a conta bancária da empresa, o banco não está obrigado a reembolsar o cliente, como declarou Avivah Litan, uma analista de fraude bancária da empresa de pesquisa Gartner Inc. Segundo Litan, muitos bancos comerciais dispõem de muito poucos, se é que têm algum, mecanismos de detecção de fraudes instalados em seus “sistemas automatizados de compensação” (em inglês, “automated clearing house”, abrev. ACH). A maioria dos bancos escolheram instalar tecnologias anti-fraude na ponta final, ou seja, nos portais e servidores de acesso ao banco. Em conversa com Krebs, Litan acrescenta: “O ACH é um dos pontos mais vulneráveis no sistema, e pouquíssimos bancos têm detecção de fraude no ACH”. “É realmente um caso sério pois os direitos das empresas a receberem seu dinheiro de volta [após uma ocorrência de fraude no ACH] são fracos. Se eu fosse um pequeno negócio online nesse momento, eu trocaria a conta da minha empresa de pessoa jurídica para pessoa física. Há menos facilidades, mas é muito mais seguro.”

Conforme constata Krebs, tem sido grande o número de queixas de organizações que estão sendo literalmente tosquiadas por uma poderosa combinação de cibergangues internacionais, software malicioso sofisticado, e cúmplices não-tão-sofisticados no território americano. Os ataques também estão expondo um segredo mal-guardado do setor bancário comercial: tanto empresas grandes como pequenas dispõem de poucas das proteções garantidas a consumidores quando deparadas com fraudes cibernéticas.

Para exemplificar a tal combinação, Krebs relata o caso de uma loja de peças automotivas da cidade de Gainesville (Geórgia), chamada Slack Auto Parts, que recentemente foi vítima de um roubo de cerca de 75 mil dólares. Henry Slack, um dos proprietários, disse que entre 3 e 7 deste mês de Julho, ciberintrusos utilizaram software malicioso (“malware”) que havia sido plantado no computador do contador da empresa, e de lá foram capazes de entrar nas contas bancárias da empresa, criar novos usuários autorizados no banco, e depois fazer nove transferências eletrônicas a pelo menos seis “mulas” de dinheiro situadas em diversas partes do país. Além disso, tentaram transferir mais 69 mil dólares da conta da empresa para outras oito mulas, mas o banco conseguiu bloquear essas transações. Segundo a declaração do proprietário a Krebs, o banco tinha revertido em favor da empresa cerca de 14 mil dólares do total de transferências fraudulentas, e a empresa ainda trabalha para tentar recuperar o restante. (O inusitado nisso tudo é que uma das mulas, uma mulher de uma cidade da Carolina do Norte, chegou a contactar a empresa quando o banco reverteu a transferência e debitou de sua conta algo em torno de 10 mil dólares antes que ela pudesse fazer uma transferência para os fraudadores na Europa Oriental, conforme havia sido instruída. Segundo Slack, a mulher lhe revelou que havia sido recrutada através de e-mail por uma empresa chamada “The Junior Group”. O portal da empresa, www.junior-group.cn, visualmente bem apresentado, diz, em inglês pobre e repleto de erros gramaticais, que o Junior Group consiste de 3.000 funcionários com filiais em mais de 100 países. Segundo especialistas, trata-se de um caso típico de portal de recrutamento de mulas. De fato, Bob Harrison, que mantém o portal Bobbear.co.uk, um dos maiores recursos da internet dedicado a rastrear portais de recrutamento de mulas, afirma que o Junior-Group.cn é apenas o mais recente dos numerosos e altamente genéricos portais de fraude russos instalados como um front de lavagem de dinheiro.)

Curiosamente, após as transferências fraudulentas, varreduras realizadas pelo software anti-vírus da empresa e por um expert em cibersegurança especialmente contratado não acusaram a presença de qualquer malware. Uma segunda opinião de um outro investigador de ciberfraudes revelou, no entanto, que o computador do contador da empresa tinha sido infectado com um cavalo de Tróia (software portador e facilitador de vírus) extremamente sutil chamado “Clampi” (também conhecido como “Ligats” e “Rscan”). O investigador descobriu que esse cavalo de Tróia, que atuava como “keylogger” (ou seja, registrava tudo o que o usuário teclava), tinha residido nos sistemas da empresa por mais de um ano antes de ser utilizado pelos atacantes. Fica a pergunta: Quem deveria ser responsabilizado? A fabricante do anti-vírus que vendeu um produto ineficaz? A fabricante do sistema operacional do computador que foi infectado por não garantir a sua segurança?

Um leitor do artigo de Krebs deixa um comentário no mínimo interessante: “Francamente, espero que você continue a mencionar o fato de que os computadores com o Windows da Microsoft estiveram envolvidos nessa fraude. Embora que a Microsoft, é claro, não participe de verdade nessa roubalheira, ela certamente a possibilita com seu software. Hoje conheço, pessoalmente, várias pessoas que foram vitimizadas através de seus sistemas Windows. As pessoas precisam saber disso e sair da Microsoft, que é também a única maneira de ganhar a atenção da Microsoft, sendo esse um ‘ataque’ aos seus fundamentos.”

Num tom mais radical e um tanto assustador, o livro “Zero Day Threat: The Shocking Truth of How Banks and Credit Bureaus Help Cyber Crooks Steal Your Money and Identity” (“Ameaça de Zero Dias: A Chocante Verdade de Como Bancos e Bureaus de Crédito Ajudam os Cibercriminosos a Roubar Seu Dinheiro e Sua Identidade”, Union Square Press, Abril 2008), escrito pelos jornalistas Byron Acohido e Jon Swartz, e agraciado em Abril de 2009 com o prestigioso “Excellence in Financial Journalism Award” (“Prêmio em Excelência em Jornalismo Financeiro”) da New York State Society of Certified Public Accounts, afirma que os verdadeiros culpados por esse “perigo tão novo que nenhuma proteção contra ele existe”, são as estrelas de nossas indústrias tecnológica e financeira, corporações como o Banco Wells Fargo e o Bank of America, além das três grandes agências americanas de proteção ao crédito Equifax, Trans Union e Experian, assim como as gigantes da tecnologia Microsoft, Google e Apple. (Segundo a Wikipedia, uma ‘zero day threat’ – ‘ameaça de zero dias’ – é “uma ameaça por computador que tenta explorar vulnerabilidades em programas aplicativos que são desconhecidos dos outros, não-reveladas ao fabricante do software, ou para as quais nenhum reparo de segurança está disponível.”)

Segundo Acohido & Swartz, esses pesos-pesados corporativos “deram um passo muito além da capacidade na exploração da internet para auferir lucros, e, ao fazerem isso, criaram novas oportunidades de crime, que, por razões que servem a si próprias, são escondidas do público em geral.” Nos círculos da segurança tecnológica, a ameaça de zero dias é um dos fenômenos que mais amedronta, pois se refere a um malware que começa a explorar os sistemas através de uma falha de segurança para a qual nenhuma correção existe. E essa correção não existe porque os profissionais de segurança não estão cientes da vulnerabilidade. Da mesma forma, acrescentam os autores, o crime na internet surge como uma ameaça de zero dias à nossa sociedade de consumo. “A maioria das pessoas não têm idéia do verdadeiro alcance da sua exposição ao cibercrime. Muitos de nós têm pouca consciência de que ao simplesmente possuir um ‘social security number’ [SSN, o equivalente ao CPF aqui no Brasil] estamos sujeitos a nos tornar vítimas de fraude de crédito. Poucos de nós têm consciência de que a cada vez que fazemos transações bancárias na internet, ou realizamos compras pelo computador, colocamos nossos dados pessoais e financeiros num terreno acessível a cibercriminosos.”

O prólogo é encerrado com uma declaração de intenções: “a intenção dos autores não é tanto de alarmar quanto é de iluminar os principais responsáveis por nos expor a todos a uma ameaça de zero dias perpétua, em termos dos riscos iminentes de se tornar uma vítima de roubo de dados e fraude de identidade. Ao fazer isso, é nossa sincera esperança que os leitores saiam melhor equipados para lidar com questões de segurança e privacidade com as quais provavelmente vamos todos nos confrontar em maior ou menor grau.”

Nas palavras de Marcus Sachs (Diretor do SANS Internet Storm Center): “A internet criou um cenário de ‘tempestade perfeita’ para criminosos: nada de impostos, e nada de sonegação, valor em tudo online, acesso anônimo a vastos recursos, ferramentas criminosas que parecem e agem como ferramentas legais, nada de fronteiras nacionais ou políticas, leis do ciberdireito limitadas e praticamente nenhum policiamento, numerosas oportunidades para lavagem de dinheiro, interconectividade global, e milhões de vítimas sem a menor idéia. Some a essa mistura a atitude desleixada do setor financeiro e a tempestade se torna mortal. A sociedade não mais possui a internet, ela pretence aos criminosos descritos no livro Zero Day Threat.”

Impossível permanecer indiferente quando se toma ciência de que, em muitos de seus índices nefastos, o cibercrime já ultrapassou o narcotráfico.

(Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE)

Investimentos e Notícias (São Paulo), 26/07/2009, 10:05hs, http://investimentosenoticias.com.br/IN_News.aspx?Parms=2579532,408,100,1


Nenhum comentário: