NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Unidos contra as fraudes on-line
26 JUL 2004

Unidos contra as fraudes on-line






Arquivo - Clipping 2004

26 de julho de 2004

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Mais de 400 profissionais, mais de 250 organizações, sendo oito dos dez maiores bancos americanos, quatro dos cinco maiores provedores americanos de serviços de internet, cerca de 100 grandes empresas de tecnologia e órgãos de justiça do Canadá, Austrália, Reino Unido e EUA. Estamos falando da associação industrial sem fins lucrativos Anti-Phishing Working Group (APWG), formada em novembro de 2003.

Essa significativa união tem um grande objetivo: prevenir e combater o avanço das fraudes on-line. "Como assistimos um crescimento das fraudes, ficou claro a necessidade de se criar uma organização industrial para combater tal prática, pois uma única empresa ou fabricante de tecnologia não conseguiria resolver esse problema sozinho", explica Dan Maier, diretor da Tumbleweed Communications, uma das empresas fundadoras do APWG.

Assim, o grupo criou um fórum de discussão, procurando definir um escopo dos prejuízos causados pelas fraudes on-line, além de compartilhar informações e melhores práticas para eliminar tal problema.

Os prejuízos já registrados

Através da disseminação de e-mails e websites falsos, que utilizam de forma criminosa o nome de instituições dos mais diversos segmentos, os fraudadores de internet estão causando imensos prejuízos para quem realiza ou disponibiliza negócios pela internet.

Para se ter uma idéia, no monitoramento de incidentes reportados ao APWG em maio desse ano foram registrados 1.197 fraudes on-line, sendo que o segmento financeiro foi o maior alvo dos criminosos e 95% destes ataques aconteceram através de e-mails com endereço de remetente forjado.

Já o estudo "Phishing Victims Likely Will Suffer Identity Theft Fraud", divulgado em maio desse ano pelo Gartner, revela que 57 milhões de usuários americanos receberam e-mails falsos em 2003. Desse total, 1,4 milhões foram vítimas do roubo de informações confidenciais, causando perdas diretas de mais de um bilhão de dólares para os bancos e operadoras de cartões de créditos do país.

"A explicação básica para o aumento dramático deste tipo de ação criminosa é que ela é uma prática muito lucrativa. Com táticas comuns de spam, fraude de cartão de crédito e roubo de identidade, os criminosos conseguem capturar informações com custo e risco muito baixos se comparados a outras ações criminosas. A pessoa que lança esses ataques não precisa estar presente fisicamente para roubar um cliente de banco, adquirir o número de um cartão de crédito ou obter informações pessoais - a internet fornece um ambiente sem fronteiras para que essas fraudes possam acontecer. Além disso, crescem as evidências que crackers e programadores de vírus estão usando suas habilidades e recursos para causarem prejuízos financeiros e as autoridades policiais confirmam que o crime organizado internacional está se tornando a grande origem destes ataques", analisa Dan Maier.

O trabalho do APWG

Assim, para determinar suas principais linhas de ação, os membros do APWG decidiram criar sete grupos de trabalho. São eles:

  • Melhores Práticas: este grupo ficou responsável pela compilação e documentação das melhores práticas e recomendações pré-ataques e pós-ataques fraudulentos aos diferentes níveis atingidos (clientes e consumidores, instituições financeiras, varejistas, provedores de serviços de internet, entre outros);
  • Educação: responsável pela criação e disseminação de mensagens e materiais para conscientização sobre esse problema;
  • Modelo de Futuras Ameaças: esse grupo foi designado para identificar e analisar potenciais ameaças de fraudes, assim como identificar cenários de ameaças presentes. Além disso, tem como objetivo identificar tecnologias, mecanismos e processos que ajudem a combater tais ameaças;
  • Alertas e Banco de Dados de Fraudes On-line: sua função é criar políticas e procedimentos, através do compartilhamento e uso de um banco de dados;
  • Quantificação do problema: responsável por quantificar o tamanho do problema, com o objetivo de alertar consumidores, autoridades policiais, governos, entre outros;
  • Avaliação e experimentação de soluções: responsável em identificar, avaliar e experimentar possíveis soluções e técnicas contra a prática de fraudes on-line;
  • Autoridades e Leis - responsável por identificar meios para que o grupo possa trabalhar em conjunto com as autoridades policiais para processar fraudadores e deter ataques.

As primeiras recomendações

Prestes a completar nove meses de existência, o APWG já colhe alguns bons resultados da união de diferentes profissionais e empresas. O primeiro foi a divulgação de boas práticas em segurança para evitar e combater a ação de fraudadores de internet. Para as grandes organizações, o grupo traz oito recomendações principais:

  1. Ajudar os consumidores a saber como identificar quando eles recebem um e-mail válido (através do uso de assinaturas digitais, por exemplo);
  2. Ajudar os consumidores a saber como identificar quando navegam por um site legítimo (através do uso de alguns softwares disponíveis no mercado);
  3. Identificar e excluir, se possível, sites falsos antes que um ataque em massa seja lançado;
  4. Estabelecer um centro de resposta específico para lidar com os incidentes envolvendo fraudes on-line;
  5. Montar uma equipe para dirigir-se a áreas relevantes (contando com profissionais do Security Office, Jurídico, Marketing, entre outros);
  6. Preparar procedimentos e mensagens institucionais a serem executadas quando um ataque fraudulento estiver em curso;
  7. Criar e facilitar o acesso a mecanismos de denúncia para clientes e outros usuários;
  8. Criar campanhas educativas, que ajudem na prevenção e combate à ação dos fraudadores.

Cenário no Brasil

No Brasil, estimativas do Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI), que abordará esse assunto durante o evento CSO Meeting 2004, revelam que os prejuízos causados pelas fraudes atingiram um valor superior a 100 milhões de reais no ano passado. Já dados atuais do grupo brasileiro de resposta a incidentes de segurança NIC BR Security Office (NBSO) apontam o registro de 1.358 incidentes envolvendo fraudes pela internet somente no primeiro semestre de 2004.

Apesar desses números preocupantes, as principais instituições e equipes de segurança do país já demonstraram, ao longo dos últimos anos, preparo para combater esse tipo de prática criminosa. O primeiro bom exemplo vem de nossas autoridades policiais, que efetuaram dezenas de prisões de quadrilhas especializadas em fraudes de internet nos últimos três anos.

Outra boa ação adotada no país está na disseminação de informações em segurança. Quer provas? Podemos citar os documentos "Cartilha de Segurança para Internet" (Parte IV: Fraudes na Internet) e "Práticas de Segurança para Administradores de Redes Internet", desenvolvidos pelo NBSO, e a nova edição da cartilha "Você e seu banco - um guia que vai facilitar seu relacionamento com os bancos", lançada pela Febraban (Federação Brasileira de Bancos), que conta com um capítulo exclusivo para o assunto "fraudes eletrônicas".

Além disso, não podemos nos esquecer do dia 31/12/03, data histórica que marca a primeira condenação penal no país de fraudadores de internet. Estamos falando da sentença proferida pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul, que condenou Guilherme Amorim de Oliveira Alves, de 19 anos, a seis anos, cinco meses e seis dias de prisão, e também um de seus comparsas, Evânancy Soares de Alcântara, a quatro anos, oito meses e vinte dias de prisão.

Portanto, chegou a hora de os usuários assumirem seus papéis nesse cenário. Assim, a conscientização é o melhor caminho para que as boas práticas em Segurança da Informação reduzam significativamente o risco da ocorrência de incidentes.

Mais informações:

Site do APWG

Phishing Attack Trends Report (em pdf)

Estatísticas do NBSO - 2º Trimestre de 2004

Cartilha de Segurança para Internet

Práticas de Segurança para Administradores de Redes Internet

Cartilha sobre serviços e operações bancárias aborda fraudes eletrônicas

Fraudes pela internet: o crescimento de uma ameaça global

Fraudes on-line causam condenação de duas pessoas no Mato Grosso do Sul

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso