brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Combatendo Fraudes Online

ID do Artigo: 4706
Publicado no Brasil em 8 de dezembro de 2004
Introdução
Técnicas traiçoeiras
Uma luz no fim do túnel
Extensão da ameaça
Contra-ataque
Informação, avaliação da segurança do desktop, proteção
Conclusão
Links relacionados

O que antes parecia uma goteira agora virou uma enxurrada.

Hoje em dia, milhares de ataques de fraude online são lançados, visando os clientes de instituições financeiras, colocando em risco e ameaçando não só o nome e a reputação dessas instituições, mas também a confiança de seus clientes online. Relatórios recentes mostram um quadro alarmante: de acordo com o Anti-Phishing Working Group (Grupo de trabalho anti-phishing), o número de ataques de phishing subiu de 116 em dezembro de 2003 a 1.422 em junho de 2004 – um aumento de 12 vezes em apenas seis meses. Além disso, esses ataques são caros; a Gartner Inc. estima que só os esquemas de phishing custam aos bancos 1,3 bilhão de dólares.

Este artigo analisa os tipos mais avassaladores de fraude via e-mail que circulam atualmente e as medidas que as instituições financeiras podem adotar para mitigar essas ameaças, incluindo detecção e bloqueio de e-mails fraudulentos, informação aos clientes, avaliação da segurança dos computares desktop e proteção avançada.

Diversas empresas possuem iniciativas e preocupações diferentes quanto à segurança, portanto as métricas a adotar dependem daquilo que você está tentando proteger e medir, e da postura atual de segurança da sua empresa. Por exemplo, algum setor foi terceirizado? Você está tentando medir o tempo de detecção e de resposta? Você ainda está cuidando das operações em vez de cuidar dos resultados?

Então vamos analisar o que a CISO está fazendo para medir o sucesso de programas de gerenciamento de segurança das informações por meio de melhores métricas e medições. Examinaremos a necessidade de melhores métricas e medições de segurança, discutiremos o que algumas dessas organizações visionárias estão fazendo e, em seguida, mencionaremos uma estrutura que irá ajudá-lo a desenvolver uma lista de avaliação de métricas de segurança para a sua organização. Ao longo deste artigo, comentarei sobre um relatório de pesquisa organizado pelo Sand Hill Group, que entrevistou alguns dos principais especialistas em segurança para reunir bons exemplos para a criação de uma lista de segurança.

Técnicas traiçoeiras
Usando técnicas como defraudação de marca e phishing, os criminosos freqüentemente conseguem convencer os clientes mais desavisados a fornecer senhas, números de conta, números CPF, CNPJ e RG e outras informações pessoais. Em muitos casos, isso vem aumentando ainda mais o grave problema de roubo de identidade.

  • Defraudação de marca – Ocorre quando o infrator envia um e-mail de aparência legítima que parece ter sido criado por empresas grandes ou de renome. Esse tipo de e-mail traz um conteúdo enganoso no corpo da mensagem, usando de forma fraudulenta logotipos falsos da empresa ou um texto convincente que parece ser legítimo. Ao fazer uso dessas marcas, os agressores podem atrair a atenção dos clientes atuais e de potenciais clientes da empresa. Alguns e-mails são tão convincentes que mesmo usuários mais experientes não conseguem distinguir entre o e-mail de defraudação da marca e comunicados legítimos da empresa.
  • Phishing – Obviamente, para os criminosos de fraudes online, o objetivo não é a defraudação da marca em si. Ela serve apenas para convencer os destinatários a fornecerem seus dados pessoais e informações financeiras. O termo usado para essas tentativas maliciosas de se coletar informações de clientes com o objetivo de cometer uma fraude é "phishing" (pronunciado “fishing”). Em alguns casos, o phishing é cometido ao redirecionar os clientes a um website fraudulento com aparência legítima. Esse tipo de website traz instruções ou formulários que permitem ao agressor obter números de contas bancárias, endereços e números de identidade – todos os dados necessários para roubo de identidade.
  • Roubo de identidade – A defraudação de marcas e o phishing vêm piorar uma situação que já era difícil para muitos clientes de empresas de diversos mercados, incluindo o de serviços financeiros. O Centro de Recursos de Roubo de Identidade (ITRC, Identity Theft Resource Center) relata que o roubo de identidade é a preocupação número um dos clientes que entram em contato com a Comissão Federal de Comércio (FTC, Federal Trade Commission). Dois estudos concluídos em junho de 2003 pela Gartner Research e Harris Interactive relatam que aproximadamente sete milhões de pessoas foram vítimas do roubo de identidade nos 12 últimos meses – um aumento significativo em comparação com o ano anterior. O efeito do roubo de identidade inclui uma média de 600 horas gastas por vítima na recuperação após o crime, a um custo alto devido à perda de receita potencial. Além disso, outro relatório de 2003 do ITRC concluiu que as perdas nos negócios variam entre 40 mil dólares e 92 mil dólares por nome em taxas fraudulentas.

Uma luz no fim do túnel
Graças, em parte, aos esforços de organizações como o Anti-Phishing Working Group, há uma luz no fim do túnel. Por exemplo, os clientes das empresas do setor financeiro (devido aos ataques ao Citibank e U.S. Bank) e do setor de vendas online (devido aos ataques ao eBay e ao Paypal) são os que sofrem mais ataques (os clientes do Citibank foram alvo de 492 ataques diferentes em junho). Além disso, os websites destinados a phishing têm vida curta: 2,25 dias em média. Cerca de 25% dos sites de phishing são alocados em servidores da Web que foram seqüestrados por hackers. E quase todos esses websites (94%) permitem que seus desenvolvedores façam o download remoto dos dados capturados.

Extensão da ameaça
Apesar dos custos diretos dessas novas ameaças estarem sendo avaliados de diversas formas, nenhum relatório levou em consideração os custos indiretos encarados pelas instituições financeiras. Considere o seguinte: a confiança do cliente é a base fundamental do mercado de serviços financeiros. Sem isso, todo o modelo de serviços financeiros desaba. Os clientes devem ser capazes de confiar nas instituições financeiras para proteger a privacidade e garantir a precisão das transações. Os ataques de phishing ameaçam a confiança do consumidor ao disseminar o descrédito em transações online. Por isso, muitos observadores do mercado consideram o phishing a principal ameaça ao futuro dos serviços bancários online.

Não podemos deixar de lado o aumento nos custos de serviço e suporte ao cliente, em decorrência da enxurrada de chamadas ao centro de suporte por parte dos clientes, quando estão tentando verificar a legitimidade dos e-mails recebidos ou obter uma compensação pelo roubo de suas identidades.

Contra-ataque
Alguns relatórios mostram que uma porcentagem significativa dos clientes dos serviços bancários online estão mudando seu comportamento devido aos ataques de phishing. Quais as medidas que as instituições financeiras devem tomar para mitigar a fraude online? A Symantec acredita que uma abordagem múltipla se faz necessária, incluindo os seguintes componentes:

  • Detecção, filtragem e alertas em rede de fraudes via e-mail
  • Informação online ao cliente
  • Capacidade de avaliação da segurança dos computares desktop para clientes das instituições financeiras
  • Meios para os clientes adquirirem os produtos e serviços necessários para aumentar o nível de sua proteção

O segredo do sucesso de qualquer programa anti-fraude é a habilidade de interceptar os e-mails fraudulentos antes que cheguem às caixas de entrada das possíveis vítimas. Em uma visão mais ampla, isso significa trabalhar com os provedores e monitorar a Internet em busca de e-mails fraudulentos, identificando ataques de fraude e implementando regras anti-fraude na forma de filtros atualizados constantemente, afim de impedir que as mensagens fraudulentas cheguem aos consumidores. As instituições financeiras devem ser alertadas imediatamente quando um ataque estiver a caminho para que possam colocar os procedimentos de resposta adequados em operação.

Deve-se destacar que, diferentemente do spam, os ataques de fraude são mais difíceis de serem detectados sem os algoritmos especializados de detecção e inspeção. Um programa anti-fraude precisa de técnicos especializados e meios tecnológicos para identificar os ataques de fraude em sua fase inicial. Além disso, as instituições financeiras precisam de um mecanismo de coleta de informações sobre os perpetradores de fraudes via e-mail que auxilie a processar os criminosos e a proteger os direitos legais de nomes, marcas registradas e da propriedade intelectual em geral.

Informação, avaliação da segurança do desktop, proteção
Como muitas outras ameaças online atuais, a fraude online se desenvolve continuamente. Por isso, a informação constante dos clientes é crucial para ajudá-los a mudar seu comportamento e a evitar a fraude online. O aviso sobre as ameaças mais recentes e a oferta de informações sobre como se proteger contra elas fazem parte da primeira etapa. Artigos informativos, conselhos de especialistas e alertas de segurança em tempo real também devem ser considerados.

Um programa anti-fraude efetivo permite que os clientes das instituições financeiras identifiquem os pontos fracos na segurança de seus computadores através de uma avaliação de segurança online. Tal avaliação deveria verificar: vulnerabilidade a hackers, vulnerabilidades do Windows, Cavalos de Tróia, produtos antivírus e atualizações da proteção contra vírus.

Para finalizar, o programa anti-fraude deve permitir que os clientes das instituições financeiras comprem ou façam download dos produtos e serviços identificados na avaliação.

Conclusão
Essa é a nova cara da fraude online. Já se foi o tempo em que os hackers buscavam notoriedade pela deformação ou destruição de websites famosos. Atualmente, eles são motivados por um princípio mais vantajoso: lucro. E cada vez mais eles têm recebido o investimento necessário para criar novos tipos de fraudes. Conforme observou o ex-Consultor-mor de segurança no espaço cibernético da Casa Branca, Richard Clarke, sobre os “bandidos” online atuais:

"Em uma extremidade do espectro estão aqueles tentando se exibir. Com freqüência, são adolescentes fazendo o equivalente a 'tirar um racha' no espaço cibernético. Entretanto, no próximo nível estão pessoas envolvidas em fraude e extorsão."

Um programa efetivo anti-fraude ajudará as instituições financeiras a protegerem a si e a seus clientes contra tais bandidos. Ao mesmo tempo, ele pode ajudá-las a proteger seu nome e sua reputação, e a preservar a confiança de seus clientes nas transações online.

Links Relacionados:


assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home