O grande dilema da banca online: como parar os ciberassaltos aos PC dos clientes

Pagamentos e transferências online pelo site dos bancos tornaram-se o tendão de Aquiles da indústria financeira, já que os cibercriminosos encontram maneiras de controlar os computadores pessoais e realizar operações enviando dinheiro muitas vezes para locais remotos.
Foi o que aconteceu à administração municipal de Poughkeepsie, no estado de Nova Iorque, quando 378 mil dólares foram ilegalmente movimentados em quatro transacções de uma conta no TD Bank. Descoberto em Janeiro, o caso foi resolvido em Março, quando o dinheiro furtado foi restituído e após algumas relações tensas com a instituição financeira.
O município não comenta o caso, mas o golpe alertou os bancos, até porque foram registados muitos casos semelhantes. A maior preocupação é o uso empresarial dos serviços online. Nesses casos, o volume movimentado é bastante alto e as quebras na segurança dos computadores desktop são a ligação em falha na cadeia de confiança.
A lista de ciberfurtos inclui 800 mil dólares subtraídos da conta da empresa fabricante de máquinas Hillary, 588 mil da conta da construtora Patco, 1,2 milhão da Unique Industrial e 447 mil da Ferma. Por semana, segundo o FBI, esta agência recebe várias denúncias por parte das vítimas.
Às empresas não faltam motivos para preocupação, muito mais do que aos clientes individuais. Os ciberladrões usam malware controlado por botnets, e usufruem da baixa segurança dos computadores para cometer os crimes. Neste caso, as pessoas estão protegidas mas não as empresas, como explica a analista da Gartner, Aviavah Litan. Disputas judiciais envolvendo o sequestro de sistemas e transferências fraudulentas vêm a público quando as empresas disputam com as instituições financeiras quem deve assumir as consequências dos ataques de gangues cibernéticos. E cada caso é um caso.
A questão para os bancos pode ser reduzida ao seguinte: até que ponto devem proteger os computadores quando estes funcionam como parte integrante na sua rede mas não pertencem às instituições bancárias?
Os bancos encaram a possibilidade de “os utilizadores terem computadores que foram de criminosos na Rússia”, afirma o vice-presidente do Hancock Bank, Jeff Theiler.
Como outras instituições financeiras, o Hancock tem desenvolvido acções para auxiliar os utilizadores na protecção dos computadores. Uma dessas iniciativas recentes é a disponibilização de um software de protecção aos mais de 100 mil clientes do banco.
O software usado pelo banco de Theiler foi desenvolvido pela empresa Trusteer, especializada no desenvolvimento desse tipo de programas. Sempre que um cliente se liga ao site do Hancock, a aplicação (que é basicamente um plug-in para detectar a actividade de keyloggers), bloqueia o redireccionamento do tráfego e alerta o banco se o computador está infectado.
Quando um problema é detectado, o banco entra em contacto com o utilizador para o avisar sobre a possível falha no sistema. Os criminosos preferem as contas e transacções automatizadas e de valor elevado, o que não os impede de aproveitar qualquer oportunidade quando se deparam com consumidores fazendo transacções na rede. “Não existe qualquer banco imune a esses ataques de malware”, diz Theiler.
E a questão se o banco tem direito de impor requisitos de segurança às máquinas particulares dos clientes? Theiler concorda com essa interrogação e afirma que até ao momento o melhor que os bancos podem fazer é recomendar o uso do software da Trusteer.
Este software, desenvolvido especificamente para cada banco, é usado por aproximadamente 40 instituições, como o HSBC e o Huntington National Bank. A empresa, junto com a Prevx e a TrustDefender, são das poucas organizações voltadas para o segmento bancário. Litan, da Gartner, acusa empresas como a Symantec, McAfee e Trend Micro de não se esforçarem para combater o problema.
Para esta analista, a aproximação iniciada pelos bancos na busca de soluções que minimizem o roubo electrónico não é acertada e sugere-lhes “que não tentem vender a ideia de segurança total aos clientes”.
Se os bancos usarem o conceito de segurança total na aproximação com os clientes, haverá um volume incontrolável de acções judiciais se algo correr mal. Segundo Litan, as instituições deveriam preocupar-se em garantir a protecção contra a fraude e a transmissão de palavras-chave de segurança fora do canal normal de ligação ao banco, usando outros métodos.
Nessa categoria entra, por exemplo, uma confirmação por telefone, activada sempre que o sistema do banco identifica actividades suspeitas. A verificação de autenticidade do utilizador pode acomodar uma solução baseada em reconhecimento de voz.
O responsável de produtos de segurança bancária da Fiserv, Christopher Beier, sintetiza: “o cenário de ameaças virtuais está a mudar”. A Fiserv recentemente apresentou o programa PhoneFactor, que realiza autenticação de utilizadores com base num modelo por chamada telefónica. O sistema é usado por 24 das maiores instituições financeiras.
Esse tipo de autenticação não visa minar a confiança dos utilizadores nos sistemas de online banking. “Mas sei que o computador pode estar infectado e o mais inteligente a fazer é separar um canal para verificação”, refere Beier. A solução é bem aceite quando se tratam de transacções de valor elevado.
Algumas instituições financeiras da Austrália, como o Bank Leumi, estão a liderar esse tipo de autenticação. Existe ainda a alternativa de aumentar as verificações actualmente usadas nas transacções com cartões de crédito e de débito.
“A dupla autenticação, que requer pelo menos duas pessoas no processo de aprovação de algumas dessas transacções, são outra alternativa para aumentar a robustez das operações bancárias”, afirma Litan, da Gartner. Existem outras formas de evitar pagamentos indevidos e, entre elas, está a definição de contas autorizadas a receber dinheiro. “O conceito parece fácil mas há problemas com determinados softwares que não estão preparados para lidar com essas normas”, explica.
“A minha regra de ouro no que se refere a esse assunto é que os bancos devem acordar para a realidade de o computador do cliente poder estar infectado, caso contrário a instituição financeira não terá hipóteses contra os cibercriminosos”, afirma o jornalista Brian Krebs, responsável pelo site KrebsOnSecurity. “Os criminosos não têm os limites impostos pela lei ou pelas técnicas de segurança bancária e sim pelo número de ‘mulas’ que conseguem usar para transportar os recursos para as contas comprometidas”, diz.
De acordo com um relatório do FBI em Novembro de 2009 referente aos crimes virtuais e ao papel destas “mulas” virtuais, as contas de destino do dinheiro roubado pertencem a indivíduos, nos EUA, que podem ou não estar ligados e cientes das actividades dos criminosos.
Não raramente essas “mulas” são atraídas por ofertas de “trabalhe em casa”, depois de divulgarem o seu nome e disponibilidade para trabalho em sites de recursos humanos. Quem é escolhido, abre uma conta corrente num banco indicado pelos criminosos. Não demora muito até que algum dinheiro caia nessas contas e, assim que isso acontece, as “mulas” são instruídas a transferir parte do dinheiro para outras contas correntes, normalmente localizadas no leste europeu, usando serviços como a Western Union ou a Moneygram.
O uso de computadores infectados para o exercício de crimes virtuais em redes bancárias mereceu a atenção do Financial Services Information Sharing and Analysis Center (FS-ISAC ou centro de análise e partilha de informação de serviços financeiros). O centro tem a incumbência de fornecer informações num fórum que reúne importantíssimas instituições financeiras dos EUA, como o Bank of America, o Citigroup, o Goldman Sachs e o Merril Lynch. No fórum, as instituições podem partilhar com segurança dados sobre a prática de crimes virtuais com agentes federais.
Numa dada altura, o FS-ISAC sugeriu que as instituições bancárias usassem apenas computadores sem browser ou e-mail na troca de informações com o público. “O que eles queriam dizer é que deveria ser usado um computador dedicado para o online banking“, diz Litan, que reconhece o engano do centro.
Nas actividades recentes no sector governamental, houve um simpósio organizado pelo Federal Deposit Insurance, dedicado exclusivamente à questão dos computadores comprometidos e do cibercrime.
“Sem dúvida, o computador do utilizador é o elo fraco na ligação”, diz Joe Stewart, director de análise de malware na empresa SecureWorks, que tem um longo trabalho na análise de “troianos” (“trojans”) baseados em botnets, como o ZeuS ou o Clampi. Os dois programas têm a função de assumir o controlo dos computadores e executar transacções financeiras não autorizadas através do furto das credenciais e da informações bancária dos utilizadores.
Quando foi desenvolvida, a tecnologia de online banking não antecipou que o utilizador teria de lidar com estas técnicas (“troianos”) usadas pelos criminosos. “Mas os bancos mudaram o paradigma em relação a isso”, afirma Stewart, que lembra que não existem ainda “troianos” específicos para capturar palavras-chave de bancos nos sistemas Macintosh. “Eu não recomendaria o online banking em computadores Windows”, finaliza.
Network World/IDGNow!




Deixe um comentário

O seu email não será publicado