gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Online Banking é seguro ?
Contribuído por vd em 14-09-04 9:20
do departamento opiniões-do-editor
Verdinhas Segundo um artigo da PCWorld que referencia a opinião de um analista da Gartner, "Internet banking is terribly secure" e ainda "unscrupulous people using phishing, keystroke collection, or similar activities to steal your passwords or account numbers are a growing problem".

O "phishing" é uma recente actividade que atinge os utilizadores menos informados e que normalmente confiam na informação vinda do seu banco, sem questionar a origem verdadeira da comunicação ou do destino que apresentam. Normalmente acontece sobre a forma de email - caso dos emails do citibank que pediam para aceder a um site semelhante e que se autenticasse.

Continua ...

Casos mais simples que o "phishing" são por exemplo o de gravar as passwords de entrada nos sistemas de online banking. De inicio as passwords eram inseridas no teclado fisico, o que permitia aos "key loggers" gravar as mesmas, desde que o computador do utilizador esteja comprometido. Os bancos então, numa mudança global e rápida - seguindo alguns outros bancos mundiais que já tinham pensado nisso, caso do Banco do Brasil ou Citibank - colocaram os "famosos" teclados virtuais, baseados em javascript, onde os algarismos mudam constantemente e onde o mesmo pode até mudar de lugar. Assim, o problema desaparecia, mas surgia o problema dos "screen loggers", que permitem a gravação do desktop do utilizador. Contudo, uma gravação constante, ao segundo é inviável e detectável por parte do utilizador.

Segue-se então os ataques de "phishing", a última moda.
Contra estes, as instituições financeiras não conseguem evitar, mas conseguem prevenir se alertarem os seus clientes para tal facto.
Contudo, entramos num problema geral das instituições, a mensagem que devem e podem dar aos seus clientes relativamente à segurança dos seus sistemas de online banking, ou seja, estes sistemas são considerados seguros por parte do cliente, onde as instituições investem bastante, ora para remover os postos de trabalho excedentes nas "caixas", ora para promover os novos meios da banca electrónica - telefone, internet, wap, sms, etc.

Na minha opinião o proximo passo será o ataque aos sistemas de callcenter - apesar de ser necessário na maior parte deles autenticação - o factor humano ainda é o elo mais vulnerável. Nos callcenters recentes das instituições financeiras, um cliente autenticado dá permissões ao operador que o atende, para efectuar consultas, movimentos e operações diversas de acordo com a sua ordem. Como sempre estes sistemas também possuem os seus próprios mecanismos de segurança, seja gravação das chamadas do cliente, das instrucções dadas, do controlo e monitorização constante do operador, mas é um ser humano que está do outro lado, não um sistema.

Á medida que se vão descobrindo novas formas de iludir os sistemas de segurança financeiros, as instituições tentam estar um passo à frente. Existem ainda outros mecanismos implementados, matrizes de acesso, códigos secundários - nº BI, NIF - para certas transaccções, confirmação por SMS ou ainda - o meu mecanismo favorito - os tokens.
Este é utilizado - pelo que tenho conhecimento - por um banco na Suiça, onde aquando adesão ao sistema, o cliente fica na sua posse um token que usa para entrar no sistema, a par com o seu código pessoal. Este permite uma segurança adicional, algo fisico que não é atingivel por hackers.
Mas possui o problema de ser caro e burocraticamente complicado. Distribuir um token por milhões de clientes demora e custa à instituição, mas por outro lado garante e dá ao cliente a segurança de um sistema seguro.

Actualmente os sistemas de online banking são alvo de uma auditoria constante, monitorização e preocupação. Presumo que seja um dos sistemas que durante o seu periodo de vida curto, já levou com vários sistemas de autenticação e que tem evoluido de acordo com as necessidades e ataques encontrados. Em muitos existe informação relativa a segurança, onde se aconselha o não uso do IE, onde é necessário um browser que possua encriptação 128bits, onde se usa matrizes de acesso, onde é necessário confirmar transacções, enfim uma panóplia de sistemas de segurança.

Pessoalmente a melhor segurança para o online banking é a verificação constante do saldo e dos movimentos, a par é claro, com os mecanismos da instituição, assim garante-se que a conta bancária está sempre "normal", não apresentado grandes alterações.

O novo paradigma do online banking será, sem dúvida, a forma de autenticação e a forma de como protegem os seus clientes e dos ataques.

Proxy Transparente Netcabo: O Império Contra-Ataca | How cool would that be...  >

 

gildot Login
Login:

Password:

Referências
  • PCWorld
  • "phishing"
  • Mais acerca Verdinhas
  • Também por vd
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Os tokens (Pontos:2, Informativo)
    por pns em 14-09-04 10:53 GMT (#1)
    (Utilizador Info)
    Trabalhei num projecto de investigação ligado a esses tokens, que de facto podem ser um bocadito caros, e que normalmente são baseados em mecanismos de challenge-response com desafio implícito ou explícitode forma a que sejam geradas one-time-passwords (OTP).

    E, como esses dispositivos podem ser caros, a ideia era usar um vulgar telemóvel com java (que estão a vulgarizar-se) de forma a tomar o lugar dos tokens para a geração das pass. E resultava, funcionava como um token e a parte da autenticação perante o dispositivo funcionava como um cartão multibanco, uma autenticação via 2 factores, something you known (tipicamente o pin), something you have (o cartão/o telemóvel). Foi pena ninguém depois ninguém ter avançado com a coisa...

    Na minha opinião, a forma mais segura é mesmo recorrer aos tokens porque recorrem a técnicas criptográficas para a geração das OTPs e mecanismos de autenticação forte (autenticação via 2 factores), o resto são esquemas que dão uma falsa sensação de segurança...

    Just my 2 cents...

    Cumprimentos, Pedro.
    Re:Os tokens (Pontos:2)
    por leitao em 14-09-04 14:25 GMT (#10)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    E, como esses dispositivos podem ser caros, a ideia era usar um vulgar telemóvel com java (que estão a vulgarizar-se) de forma a tomar o lugar dos tokens para a geração das pass. E resultava, funcionava como um token e a parte da autenticação perante o dispositivo funcionava como um cartão multibanco, uma autenticação via 2 factores, something you known (tipicamente o pin), something you have (o cartão/o telemóvel). Foi pena ninguém depois ninguém ter avançado com a coisa...

    A RSA ja' vende autenticadores para telefones moveis e mesmo para PDA's, Blackberries e afins.

    O problema e' que um banco usernames e passwords serao sempre mais baratos, mas alternativas nao faltam (hint: Identrus para o utilizador final) -- o que falta e' legislacao e vontade das instituicoes de a implementar.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:Os tokens (Pontos:2)
    por vd em 14-09-04 14:36 GMT (#12)
    (Utilizador Info) http://paradigma.co.pt/~vd
    o que falta e' legislacao e vontade das instituicoes de a implementar.

    Legislação ? Isto não é um problema do governo, afaik..

    A vontade pode existir em departamentos de segurança e aplicacionais - experiência propria -, o problema é a logistica, burocracias e investimento sem retorno claro.

    //vd
    Re:Os tokens (Pontos:2)
    por leitao em 14-09-04 15:09 GMT (#16)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Legislação ? Isto não é um problema do governo, afaik..

    Nao e' bem assim -- no Reino Unido por exemplo, a FSA regula a forma como se pode oferecer Online Banking, e um dos parametros e' seguranca.

    Claro que nao se pode regular tudo, mas existem criterios minimos que teem que ser aplicados -- o papel do regulador e' colocar a fasquia ao nivel certo.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:Os tokens (Pontos:1)
    por pns em 14-09-04 14:55 GMT (#15)
    (Utilizador Info)
    Já sabia... na altura já existiam, a Vasco também, no entanto são específicos para determinados telemóveis... nenhuma das soluções que encontramos na altura, e acho que agora também, permitia abranger tantos dispositivos de uma vez.

    Também concordo, os usernames e passwords são mais baratos, mas quando se trata do nosso dinheiro... temos que pensar nestas coisas.
    Re:Os tokens (Pontos:1)
    por metaphor em 14-09-04 19:57 GMT (#28)
    (Utilizador Info)
    >Na minha opinião, a forma mais segura é mesmo recorrer aos tokens porque recorrem a técnicas criptográficas para a geração das OTPs e mecanismos de autenticação forte (autenticação via 2 factores), o resto são esquemas que dão uma falsa sensação de segurança...

    concordo plenamente, o fraude bancário do lado do cliente é algo relativamente 'facil' de mitigar, pelo menos teoricamente. o BPI usa um sistema de cartões numericos que em conceito funciona muito bem e dificulta enormemente qualquer tentativa de fraude por parte do zé ninguem kiddie.


    __ 10% literal, 90% metaphor
    Re:Os tokens (Pontos:1)
    por metaphor em 14-09-04 20:10 GMT (#30)
    (Utilizador Info)
    ah!

    >something you have (o cartão/o telemóvel)
    por mim o telemovel não entra bem nesta categoria porque sendo um sistema informatico e ainda por cima demasiado interligado a outras pessoas, é mais limpo manipula-lo do que teres um token fisico com componentes informaticas fisicas minimas ou pelo menos minimamente interligadas a uma rede global.
    o que é que te impede de fazer um 'trojan' para o SO do telemovel e manipular toda a informação que lá anda? ainda por cima na realidade actual em que a má implementação do bluetooth nos telemoveis têm-se demonstrado (ainda que muito pouco no olho publico) um ponto de entrada brutal para qualquer tipo de merda. mas nem é preciso ir ao bluetooth, uma ideia: site de jogos em java para o telemovel à 'borla' mas com a diferença de todos os jogos encontrarem-se backdoorados e autopropagarem a backdoor pelo software java ja disponivel no telemovel? could happen..


    __ 10% literal, 90% metaphor
    Re:Os tokens (Pontos:3, Esclarecedor)
    por pns em 14-09-04 21:29 GMT (#32)
    (Utilizador Info)
    > o que é que te impede de fazer um 'trojan' para o SO do telemovel ?

    Primeiro - A informação é guardada na forma cifrada (AES - Advanced Encryption Standard) cuja chave é o pin para a aplicação... diferente do pin do telemóvel.

    Segundo - O Pin para aceder à aplicação nunca é guardado no telemóvel... é guardado a hash (SHA) do mesmo.

    Terceiro - No J2ME quando crias uma zona de dados, recordset se bem me lembro, ela só pode ser acedida pelo midlet a não ser que seja definido algo em contrário, pela própria aplicação.

    Além disso a aplicação não faz qualquer uso de rede... serve apenas para a introdução do desafio e obtenção da resposta.

    Não sei que mais garantias queres... não vejo outros sistemas oferecerem tantas garantias. Além disso fazer um trojan que consiga correr num telemóvel de forma a quebrar protecções criptográficas (AES e o SHA)... não sei que telemóveis tens... mas devem ter cá uma capacidade de processamento ;)

    E muito importante também, fazia assinatura dos dados, (grande parte dos tokens também funciona desse modo) porque muitas vezes queremos garantir a integridade dos dados. A manipulação dos mesmos pode ser tão ou mais perigosa que a apropriação dos mesmo.

    Cumprimentos, Pedro.
    Re:Os tokens (Pontos:1)
    por metaphor em 14-09-04 23:13 GMT (#34)
    (Utilizador Info)
    não é uma questão de quebrar mas de modificar o software, de modo a logar eventos, ou ele usa crypto na memoria? -g-


    __ 10% literal, 90% metaphor
    Re:Os tokens (Pontos:1)
    por pns em 15-09-04 11:02 GMT (#40)
    (Utilizador Info)
    "modificar o software (...) logar eventos (...) crypto na memoria?"

    Acho que não percebi muito bem o que querias dizer, mas não me parece que consigas o que quer que seja logando... até porque o processo é apenas: autenticar perante a aplicação, fazer o challenge-response ou assinatura e sair. No j2me as zonas de memória são protegidas entre midlets, pelo que me lembro, e acho que durante toda a aplicação a chave decifrada, não chega a estar em memória da aplicação, é que depois nunca mais toquei em j2me, nem na aplicação.

    Mais uma razão... à terceira vez que o pin é errado a aplicação bloqueia e tem de ser completamente reiniciada nova chave, tudo novo. Acho até que a aplicação tinha de ser reintroduzida...

    Cumprimentos, Pedro.
    O rasto... (Pontos:3, Interessante)
    por taf-7arte em 14-09-04 11:59 GMT (#2)
    (Utilizador Info) http://taf.net/opiniao/
    Já me tenho posto a pensar: vamos imaginar que consigo acesso à conta de homebanking de um milionário qualquer. Como é que eu faço para transferir o dinheiro para mim sem deixar NENHUM rasto? ;-)

    Não encontrei solução. Alguém me explica?

    Julgo que uma das principais medidas de segurança passará por isto: conseguir seguir o trajecto do dinheiro, se for preciso. Pressuponho que o ladrão não é alguém que vive na completa clandestinidade (e portanto que há uma morada para ir lá prendê-lo) e que a vítima não descobre o roubo apenas passado muito tempo.

    Pressuponho também que as transferências internacionais para contas anónimas (que já começa a haver poucas) são objecto de cuidados especiais por parte dos bancos (não sei sequer se algum deles as permite por meios remotos), especialmente no caso de países pouco recomendáveis neste aspecto.

    Re:O rasto... (Pontos:2)
    por vd em 14-09-04 12:05 GMT (#3)
    (Utilizador Info) http://paradigma.co.pt/~vd

    Não encontrei solução. Alguém me explica?


    :) O sigilo bancário faz por vezes maravilhas nisso. As contas offshore são também outra maravilha, mas os actuais sistemas (nacionais) de banca electrónica, o rasto está sempre presente.

    A questão não é o rasto mas sim o impacto "noticioso" que algo deste genero pode ter na instituição.

    //vd
    Re:O rasto... (Pontos:1)
    por blitzman em 14-09-04 13:47 GMT (#9)
    (Utilizador Info)
    E que tal transferir para países sem acordos de extradição com Portugal?

    Concordo que o impacto na imagem da Instituição é um factor muito importante.

    Penso que alguns casos relacionados com fraude bancária foram resolvidos sem passar pelo Tribunal por essa razão.
    Re:O rasto... (Pontos:2)
    por The CodeMaker em 14-09-04 12:05 GMT (#4)
    (Utilizador Info)
    Transferes para a tua conta bancária sobre sigilo na Suiça ;)

    --
    CodeMaker
    Re:O rasto... (Pontos:3, Interessante)
    por vd em 14-09-04 12:07 GMT (#5)
    (Utilizador Info) http://paradigma.co.pt/~vd
    O Offshore é tratado com muito cuidado e presencialmente.

    //vd
    Re:O rasto... (Pontos:2)
    por taf-7arte em 14-09-04 12:47 GMT (#7)
    (Utilizador Info) http://taf.net/opiniao/
    " Transferes para a tua conta bancária sobre sigilo na Suiça ;)"

    Não funciona assim.

    Re:O rasto... (Pontos:2)
    por vd em 14-09-04 12:10 GMT (#6)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Pressuponho que o ladrão não é alguém que vive na completa clandestinidade (e portanto que há uma morada para ir lá prendê-lo) e que a vítima não descobre o roubo apenas passado muito tempo.

    Basta um falso BI, uma falsa morada, contudo a conta só tem "provisão" depois de consultado o banco de Portugal.

    Um outro problema é a falta de "perfil" do cliente, ou seja, não existe um sistema de alertas sobre transacções normais dos clientes, sendo tudo feito manualmente.

    //vd
    Re:O rasto... (Pontos:2)
    por taf-7arte em 14-09-04 12:54 GMT (#8)
    (Utilizador Info) http://taf.net/opiniao/
    "Basta um falso BI, uma falsa morada"

    Isso é para criar a conta. E depois? Transferes 10.000 euros para lá. Arriscas-te a ir presencialmente levantá-los em dinheiro, sem receio de seres gravado no vídeo do banco, etc? Ou vais gastando "às pinguinhas" com um cartão de débito que também tinhas que falsificar porque não podias recebê-lo numa morada falsa?...
    Re:O rasto... (Pontos:1)
    por metaphor em 14-09-04 19:42 GMT (#25)
    (Utilizador Info)
    true, a coisa não passa por isso, não é assim tão facil. especialmente devido a certos seguros bancários onde muitos bancos assumem a culpa pelo cliente (comentando outras partes do thread). o problema do homebanking, à parte do crescente mercado de quebra de sigilo bancário (apesar de não legal nem legitimo, há sempre mercado), não creio que seja para os clientes, até porque um bom fraude bancário a meu ver não passa por roubar dinheiro a X pessoas ou a uma pessoa em si, mas ao próprio banco.
    Quanto ao rasto, é uma questão de decoys maleaveis. Com o timming certo, com os decoys certos e com ajuda da deusa vendada é plausivel enunciar um esquema 'perfeito' para o burlão final, usando o sistema de 'bounces' anonimos humanos :b acaba por remontar um pouco os metodos/conceitos mais primarios do crime organizado relacionado com o trafico de material ilicito. no caso do fraude bancário online, o paypal e o e-gold parecem ser os eleitos de toda a miudagem (mais de 80% brazileira) que resolve comprar um computador novo e uns tenis da nike...
    lá está, teorizar sobre um esquema perfeito é facil, a questão passa não pelas variaveis conhecidas mas pelas desconhecidas que essas é que, dádo o espectro enorme de elementos humanos que envolve, se tornam na grande maioria dos casos o toque necessário para defraldar todo o esquema..
    mas sempre foi assim, o elemento humano é a origem maioritária da 'cana' em si, lembrando um fraude portugues 'conhecido' do inicio do século passado (segundo a informação que tenho), um empregado do banco de portugal que era responsavel pela encomenda das notas de escudo, que na altura eram impressas na Inglaterra, duplicou um pedido de notas e enviou esse segundo pedido para Inglaterra mas com morada de entrega diferente, recebeu as notas, com a mesma numeração que as que foram endereçadas ao banco e la viveu feliz o seu 'furto' (que se formos a ver, é capaz de ser um dos casos de fraude bancário que prejudicou menos gente). Agora, se formos a ver, no plano descrito existem uma quantidade enorme de falhas 'técnicas' que deixam rasto, tudo bem, mas não há um unico indicio que levasse à suspeição e como tal nada que motive uma investigação.. até ao dia. e o dia acabou por chegar, um zé ninguem qualquer numa loja qualquer ia pagar um item qualquer com duas notas iguais e por mero acaso reparou no numero de série das duas notas e viu que eram exactamente iguais.. falou com a policia e apartir dai todo esquema foi descoberto. é capaz de ser das circunstancias mais inimaginarias e mais improvaveis, mas aconteceu e este genero de circunstancias, à parte da derrota de qualquer metodo de segurança, é sempre parte do risco que é o fraude bancário.. mais cedo ou mais tarde o esquema é descoberto, o sistema é penetrado, as pessoas certas começam a fazer as perguntas certas sobre os acontecimentos certos..
    a questão é capaz de passar por prever a investigação, prever a exposição completa do fraude e ainda assim lucrar, de um modo ou de outro.. faz-me lembrar um pouco aquele principio de segurança que diz que boa segurança não é aquela que evita a penetração mas aquela que a prevê. Acho que isto é aplicavel e aplicado tanto do lado do criminoso como do outro lado..

    quanto a chegar a teorizar um esquema, não acho bem fazer isso aqui talvez devido à crescente comunidade de script kiddies em portugal que lêm a gildot e ainda podem ficar ideias (como se os filmes não bastassem) e meter-se-iam em problemas desnecessários a jovens imberbes e inconsequentes..


    __ 10% literal, 90% metaphor
    Re:O rasto... (Pontos:2)
    por leitao em 14-09-04 14:27 GMT (#11)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Existem milhentas formas -- o ladrao pode transferir quantidades muito pequenas, pode fazer pagamentos para diversos servicos que sao trail-less e pode ainda roubar a tua identidade, pedir um cartao de credito e ir comprar bens sobre o teu nome.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:O rasto... (Pontos:2)
    por vd em 14-09-04 14:38 GMT (#13)
    (Utilizador Info) http://paradigma.co.pt/~vd
    pedir um cartao de credito e ir comprar bens sobre o teu nome.

    Ou cheques para uma morada qualquer...

    //vd
    Re:O rasto... (Pontos:2)
    por chbm em 14-09-04 17:35 GMT (#20)
    (Utilizador Info) http://chbm.net/
    Há bancos que mandam cartões para moradas que não a registada na conta ?
    Re:O rasto... (Pontos:2)
    por vd em 14-09-04 18:04 GMT (#23)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Cartões não, cheques sim.

    //vd
    Re:O rasto... (Pontos:2, Engraçado)
    por metaphor em 14-09-04 19:48 GMT (#26)
    (Utilizador Info)
    e qual é o problema de ter uma morada falsa ? :b
    não falta ai livros de 'anarquismo' a ensinar como fazer drop spots entre outras N coisas.
    Até dou um exemplo bom que não precisa de falsificação: compras meio quilo de haxixe, achas um drogado qualquer na gare do oriente, fazes o gajo tirar o passaporte e dar-to com o BI e o cartão de contribuinte, vais a um predio qualquer, tiras uma carta da agua ou da luz, imitas o formato e metes o nome do drogado mais a morada do verdadeiro drop spot e tens o comprovativo de morada, ah! e uma coisa também 'util' é ires tirar o BI com o tóxico e ele deixar-te assinar por ti ;b assim ganhas uma assinatura também..
    mas la está, isso é tão hollywoodesco quanto desnecessários, há maneiras mais faceis de fazer o mesmo deixando menos rasto, thing is, queres deixar mesmo 1% de rasto? e another thing is, queres mesmo cometer fraude bancário e prejudicar outras pessoas? é muito feio roubar, pelo menos não gosto quando sou roubado e sei lá, devo ser parvo mas mete-me igualmente nojo roubar, faz-me sentir da mesma maneira quando me acontece a mim..

    mas la está, com a dose de desespero suficiente a consciencia moral facilmente dá lugar à ganância e fazer uns milhares de euros não é assim tão 'dificil' quanto isso, que o digam os romenos e ukranianos que se têm divertido tanto em portugal.. basta ir à efnet a um canal dessa etnia (apesar de nos dias de hoje ser mais dificil) e propor qualquer coisa para os ver desenrolar os historiais todos.. (para não falar das listas de CC's que rodam nesses canais e em certos foruns que até são googlaveis.. -grin-)


    __ 10% literal, 90% metaphor
    Re:O rasto... (Pontos:2)
    por taf-7arte em 14-09-04 15:37 GMT (#17)
    (Utilizador Info) http://taf.net/opiniao/
    "o ladrao pode transferir quantidades muito pequenas, pode fazer pagamentos para diversos servicos que sao trail-less e pode ainda roubar a tua identidade, pedir um cartao de credito e ir comprar bens sobre o teu nome."

    Nuno, nenhuma dessas na prática é fácil de implementar.
    Transferir montantes pequenos não oculta o destino e, principalmente, teriam que ser muitas transferências para valer a pena.
    Serviços "trail-less": não me lembro de nenhum que me dê jeito para receber dinheiro ou bens sem me desmascarar de algum modo. Exemplos?
    Roubar a identidade e pedir cartão de crédito implica ou uma morada verdadeira ou a presença física (filmada, portanto) num banco. Para ser complicado de te encontrar terias provavelmente que fazer isso noutra cidade longínqua ou noutro país, etc, etc. Está longe de ser simples.

    Por acaso gostava de saber se alguém conhece casos de roubos destes onde não se descobriu quem os praticou.
    Re:O rasto... (Pontos:2)
    por leitao em 14-09-04 15:56 GMT (#18)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Sugiro que leias o seguinte artigo na BBC, ou este artigo na MSNBC.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:O rasto... (Pontos:2)
    por taf-7arte em 14-09-04 16:22 GMT (#19)
    (Utilizador Info) http://taf.net/opiniao/
    "Sugiro que leias (...)"

    Já estive a ler, um pouco a correr. Mas fiquei com a impressão de que os problemas são principalmente:

    1) responsabilidade dos bancos (a transferência de um balúrdio para um offshore na notícia da BBC parece-me ser um exemplo, até porque pelos vistos sabiam quem eram os beneficiários)
    2) gente que de facto deixa rasto mas não se importa muito com isso.

    Ou seja, não estou a dizer que não é problemático. O que digo é que não me parece nada trivial fazer um "roubo limpo", sem provas do culpado. Ou seja, é melhor não tentarmos... ;-)

    Re:O rasto... (Pontos:1)
    por metaphor em 14-09-04 20:03 GMT (#29)
    (Utilizador Info)
    a questão talvez passe pelos decoys humanos ;b
    confundir bastante a origem humana da coisa, tendo em conta que a origem base informatica é trivial (via wardrive+bounces).


    __ 10% literal, 90% metaphor
    Re:O rasto... (Pontos:2)
    por chbm em 14-09-04 17:41 GMT (#21)
    (Utilizador Info) http://chbm.net/
    Nota, o artigo da MSNBC não interessa porque o sistema bancário americano está perpetuamente em 1980 no pais dos telletubbies.
    A única coisa que precisas para sacar dinheiro de uma conta é o número da conta e de letterhead de uma empresa falsa. Na prática roubar de contas modestas compensa porque os bancos não dão andamento às queixas dos pequenos clientes.
    Agora que descobriram os debitos directos também podiam descobrir as autorizações :)
    Re:O rasto... (Pontos:2)
    por chbm em 14-09-04 17:50 GMT (#22)
    (Utilizador Info) http://chbm.net/
    Já agora, no artigo da BBC as duas tramoias são baseadas em roubo de identidade. Para quem não sabe abrir uma conta num banco inglês passa em grande parte por entrar no banco e dizer um nome e uma morada já que os "proof of ID" são fáceis de falsificar não são usados por lá.
    Curiosamente, os dois artigos falam de realidades em que é bastante mais simples pôr em pratica os metodos que o taf mencionou do que na nossa.
    Re:O rasto... (Pontos:2)
    por leitao em 14-09-04 19:05 GMT (#24)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Já agora, no artigo da BBC as duas tramoias são baseadas em roubo de identidade. Para quem não sabe abrir uma conta num banco inglês passa em grande parte por entrar no banco e dizer um nome e uma morada já que os "proof of ID" são fáceis de falsificar não são usados por lá.

    Nao e' bem, bem assim -- abrir uma conta no UK nao e' tao simples como isso. Primeiro a nao ser que tenhas historia de credito e ja' nao tenhas 18 anos provavelmente vao-te mandar dar uma curva, e na maioria dos casos precisas de demonstrar que ou tens um rendimento ou que pagas contas -- e em qualquer dos casos a informacao e' verificada por forma a evitar fraude. Mas por outro lado tens razao no sentido que nao ha' um conceito de bilhete de identidade por estas terras.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:O rasto... (Pontos:3, Engraçado)
    por biduxe em 14-09-04 14:52 GMT (#14)
    (Utilizador Info)
    Estou a ver que isto aínda acaba numa howto
    ------ EOFim.
    Re:O rasto... (Pontos:2, Esclarecedor)
    por bêbado em 14-09-04 21:23 GMT (#31)
    (Utilizador Info)
    "vamos imaginar que consigo acesso à conta de homebanking de um milionário qualquer. Como é que eu faço para transferir o dinheiro para mim sem deixar NENHUM rasto?"

    Isso só depende de quem tu és: que cordelinhos consegues mexer:

    - se trabalhares num banco...

    - Se fores um tipo com bons conhecimentos na direcção desse banco...

    - Se tiveres influência numa organização politicamente dominante na tua região...

    - Se em vez de sacares muito a um só fores sacando pouco a muitos...

    - Se não te gabares do feito...

    - Se fores besuntando as mãos de uns quantos pelo caminho...

    - Se fores guardando a massa fora do teu país;

    - Se não te importares de ir dentro durante dois anitos para depois gozares a vida...

    Então o mais certo é conseguires apagar mesmo todas as pistas. Isto é, apagar não apagas... mas se as coisas correrem mal e fores dentro a massa já está salva e à tua espera. E nem precisas de keyloggers, sniffers, brute forces e outras mezinhas...

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:O rasto... (Pontos:1)
    por metaphor em 14-09-04 23:34 GMT (#35)
    (Utilizador Info)
    >- Se em vez de sacares muito a um só fores sacando pouco a muitos...

    ora ai está uma coisa que não concordo nada e acho completamente hollywoodesca. quantos mais actos ilicitos mais probabilidades de seres apanhado, se conseguires sacar muito com o minimo tens muito menos probabilidades de algo correr mal, tendo em conta que o evento é unico e as condicionantes 'desconhecidas' menores do que se fossem muitos..


    __ 10% literal, 90% metaphor
    Re:O rasto... (Pontos:1)
    por bêbado em 15-09-04 1:18 GMT (#37)
    (Utilizador Info)
    "hollywoodesca."

    nah... aconteceu recentemente nos Açores...
    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:O rasto... (Pontos:2)
    por Ancestor em 15-09-04 2:51 GMT (#38)
    (Utilizador Info)
    Uma proposta mais modesta seria fazeres de vítima. Tratares tu de encaminhares o teu guito para paradeiro incerto para o banco, e queixares-te de roubo de identidade ou fraude. Aposto que o seguro deles cobriria isso e não fariam assim tantas perguntas, dadas as implicações na imagem da instituição. O lucro é menor mas a chatice também :)
    Re:O rasto... (Pontos:1)
    por metaphor em 15-09-04 4:47 GMT (#39)
    (Utilizador Info)
    ai o que fodia era 'falsificar' rasto :D para ser credivel :D


    __ 10% literal, 90% metaphor
    Re:O rasto... (Pontos:2)
    por Ancestor em 15-09-04 18:38 GMT (#41)
    (Utilizador Info)
    Não te esqueças que sendo tu a vítima, acabas por também acompanhar o desenrolar do processo de investigação. E sendo quantias razoavelmente pequenas, a entidade bancária vai evitar prolongar a investigação.
    os tokens não são nada maus... (Pontos:1)
    por metaphor em 14-09-04 19:55 GMT (#27)
    (Utilizador Info)
    mas lá está, não me preocupo muito com isso, só um grande idiota é que cometeria fraude bancário do lado do cliente, é probabilisticamente mais facil de detectar e deixa mais rasto do que a 'maneira' menos facil que do outro lado..
    de qualquer modo, para ganhar umas croas à pala do homebanking, tem crescido é outro mercado, especialmente devido ao sigilo bancário, que passa pela quebra do mesmo. teclado normal? -> key-logger; teclado virtual? -> COM+ logger, jscript event logger, mais que nao seja memory dumps! (NOT); tokens? sim, mas..há maneiras.
    porque a questão é que existe um meio legitimo de acesso e se o mercado for vender apenas a informação, não são precisas atitudes activas :) fazer um code para loggar o saldo e movimentos de conta sempre que o cliente os consulta por si é relativamente facil e se essa informação vale dinheiro, shazamm!
    não me preocupo com o fraude em si nem com a venda de informação, acho que tanto uma realidade como a outra não intersectam a minha realidade presente no mundo por isso não me confronto com a situação.. mas lá está, deve haver muita gente cuja segunda situação incomoda mais do que a primeira devido à facilidade e (relativa) simplicidade de realização...
    bom, mas lembram-se de um pouco antes do blaster? lembram-se de quando os todos bancos alteraram a auth dos homebankings? cheira-me a esturro até porque as noticias são quase inexistentes sobre o assunto..


    __ 10% literal, 90% metaphor
    Re:os tokens não são nada maus... (Pontos:2)
    por leitao em 14-09-04 22:51 GMT (#33)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Um token tem o mesmo nivel de seguranca de um cartao multibanco -- precisas de saber o PIN, e precisas de ter o token :)


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Ir ao banco físico é mais arriscado... (Pontos:3, Interessante)
    por mpinho em 15-09-04 0:46 GMT (#36)
    (Utilizador Info)
    Aqui nas grandes cidades do Brasil é mais arriscado ir ao banco físico do que acessá-lo online. Uso há anos o acesso online do meu banco (usando linux e Mozilla obviamente) e nunca tive problema. Em compensação já fui assaltado várias vezes.

    Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, quase todos usuários de IE e Outloco, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu Ruindows.
    Re:Ir ao banco físico é mais arriscado... (Pontos:1)
    por GugaK em 16-09-04 14:59 GMT (#42)
    (Utilizador Info)
    Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, quase todos usuários de IE e Outloco, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu Ruindows.

    O ataque gratuito é escusado. Poderias ter escrito:

    Quanto às fraudes causadas por phishing, realmente pega muitos idiotas, acostumados a clicar na primeira coisa que vêem, a rodar tudo quanto é tipo de warez (inclusive com trojans) nos micros e a nunca usar firewalls nem atualizar o seu sistema operativo.

    Até parece que a culpa de existirem idiotas no mundo é do IE/Windows.

    Re:Ir ao banco físico é mais arriscado... (Pontos:2)
    por Lowgitek em 17-09-04 0:59 GMT (#43)
    (Utilizador Info)
    Sim até porque o mozilla é altamente seguro...
    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:Ir ao banco físico é mais arriscado... (Pontos:2)
    por Ancestor em 17-09-04 6:49 GMT (#44)
    (Utilizador Info)
    Também é costume as técnicas de spoofing/phishing apanharem os idiotas que usam linux e pensam que estão seguros porque usam Mozilla/Firefox/whatever...

     

     

    [ Topo | FAQ | Editores | Contacto ]