O interessante da notícia quotada abaixo é que o método de phishing evoluiu e agora ataca um banco que possui um método de autenticação mais forte do que o usuário e senha usado pela maioria das instituições no Brasil. Tudo bem, não é um token no sentido estrito da palavra, mas deveria adicionar um nível maior de segurança.
Como pode ser visto abaixo esse tipo de token, como dispositivo de segurança, aparentemente não vai ter uma vida muito longa:
Phishers Target Scandinavian Internet Banking Customers (5/4 October 2005)
Phishers have targeted the bank Nordea Sweden, which uses a one-time password/PIN authentication procedure. The phishing emails were written in Swedish; they told customers that the bank was changing security procedures. If the customers clicked on the link provided, they were sent to one of two bank look-alike sites hosted in South Korea. The sites ask for account details and the next password code on a scratch card the bank customers have in their possession. The sites would then say there was a problem with the code given and ask for the next code in an apparent attempt to collect a number of the one-time use passwords. Nordea has more than 4 million Internet banking customers in eight countries. Nordea closed down its Internet banking service for about 12 hours while it dealt with the problem.
- mais informação
- ainda mais informação
- mais informação outra vez
No Brasil o phishing scam tem sido largamente utilizado, principalmente para convencer correntistas de bancos a fornecer dados pessoais e senhas. Existem diversos métodos usados pelos fraudadores, tais como: websites falsos, trojans, vírus, spyware, keylogger etc. As possibilidades são infinitas.
Estes dados e senhas são posteriormente usados para roubar o dinheiro das contas bancárias.
É um problema tão grande que a maioria das instituições bancárias já distribuiu aos clientes a sua versão de token, consistindo basicamente de um cartão numerado com diversas senhas de autorização. Em vista destes novos métodos de phishing provavelmente as instituições bancárias terão que investigar uma solução mais segura.
Um bom ponto de partida para quem quiser conhecer mais sobre o assunto é o site do Anti Phishing Working Group que monitora as atividades de phishing na internet e conta com a participação de órgãos brasileiros como parceiros.
O Projeto Honeypot-BR também colocou no ar uma base de dados com exemplos de phising scams usados por fraudadores no Brasil.
Nenhum comentário:
Postar um comentário