Internet Banking: Sinônimo de Fraude

A Julgar pelo tráfego e pedido de informações nas newsletter especializadas no mercado de Telecomunicações, o advento das novas tecnologias de transmissão celular está causando uma verdadeira revolução nas fraudes bancárias que surgem no dia-a-dia da mobilidade e da portabilidade.

A seguir, uma série de e-mails transcritos pelo belonline, demonstrando que o negócio não está para brincadeiras.

Bom dia a todos, e um excelente 2009!.
O motivo do meu e-mail é obter informações abalizadas sobre a evolução da segurança no internet banking.
O uso do celular para a realização de transações críticas, a forte disseminação da banda larga entre as classes C,D e E levou a um recrudescimento das fraudes neste tipo de aplicação.
No primeiro dia últil de 2009, tive o desprazer de ver uma fila de clientes do Bradesco, que tinham sido vítimas de fraude no internet banking e na clonagem de cartões de débito. A maioria (eram 8 pessoas na fila, na meia hora em que permaneci no banco), de pessoas destas classes, que tiveram seus caraminguás abiscoitados (um 800 reais, outro 300, outro dois créditos pré-pagos de 50), enfim, uma lástima.
Daí que quero levantar um bom material sobre o assunto e peço a ajuda de vocês. É claro que, assim, posso perder na prioridade da pauta, mas posso ganhar em informação.
;)
Sei que há uma regulamentação do Banco Central (uma verborragia difícil de entender); mas não sei se há um tipo de atendimento específico aos clientes; não sei até onde vai a responsabilidade dos provedores; enfim, nas minhas pesquisas na web o conteúdo que encontrei é muito emocional, e estou em busca de algo mais empírico.
Abraços a todos e desde já agradeço
Jana
 

Boa tarde.

 
apenas com o intuito de agregar informações, segue em anexo
um email falso, enviado de forma maciça e recebido por mim em
29 de dezembro de 2008. Neste mesmo dia, encaminhei o email
alertando ao CSIRT - Computer Security Incident Response Team
do banco em questão, que me respondeu dizendo tomar providencias
o mais rapido possivel. Hoje dia 05 de janeiro de 2009, o site falso,
hospedado fora do brasil continua ativo, coletando dados de usuarios
da internet banking com menos conhecimento.
 
Apenas para constar, tb em anexo, email d eresposta do banco, informando
conhecimento do email, e que estarai tomando as devidas providencias.
 
entao, penso eu, quantos dias sao precisos para ser tomadas as devidas providencias?
 
Atencisoamente
 
Jefferson Affonso

Abaixo, o e-mail enviado a Jefferson.

Caro, cliente Bradesco Pessoa Física.

Houve um problema interno de informações em nosso banco de dados, onde as chaves de segurança, não foram atualizadas, ocorrendo problemas ao seu acesso pelo Internet Banking e outros canais de conveniência Bradesco.

Estamos lançando uma atualização do Módulo de Segurança Bradesco para corrigir esta falha.

Ao tentar o acesso via Bradesco Internet Banking, Caixas Eletrônicos e Fone Fácil suas chaves de segurança constarão como inexistentes, impossibilitando o acesso.
A Chave, gerada pelo dispositivo abaixo, será agregada ao processo já existente, sem substituição das senhas atuais (Senha de 04 números e Frase Secreta para utilização nos acessos ao Bradesco Internet Banking).
Para corrigir este problema, basta clicar no caminho abaixo, e concluir a atualização acessando o internet banking Bradesco.

(link ativo retirado)

Sr.(a) Cliente Caso link não esteja funcionando, (link ativo retirado)

Em caso de dúvida, contatar a central Bradesco, pelo e-mail (link ativo retirado), de segunda a sexta-feira das 07:00 ás 20:00 horas


© 2008 Banco Bradesco S.A. Todos os direitos reservados.                

Agora, a resposta da instituição.

Prezado Sr.Jeferson,

Agradecemos as informações. Já estamos tomando as providências cabíveis.
Esclarecemos que a mensagem em questão não procede de nossa Organização.
Sinta-se a vontade para nos enviar amostras a qualquer tempo.


Atenciosamente,

---------------------------------------------------------------
BANCO BRADESCO S.A.
CSIRT - Computer Security Incident Response Team
INOC-DBA 28586*800 (GMT -3)
Mail: CSIRT@bradesco.com.br
Fingerprint: 0872 5E4F 1656 DC4D 0664 C2D7 406F DD43 DCF6 EF93
Home page: www.bradesco.com.br
--------------------------------------------------------------- 

Um dos integrantes da Newsletter, Rubens Kuhl Jr. , agregou a seguinte resposta à corrente:

Jana,

O uso de celular para transações bancárias ainda é muito pequeno então
qualquer que seja o risco nessas transações, grande ou pequeno, terá
pouco impacto sobre a massa de clientes... para nós que gostamos de
viver na bleeding-edge tecnológico pode fazer diferença, mas nos
grandes números não faz.

Os grandes vetores ainda são o "chupa-cabra" (leitor de dados de
cartões magnéticos e senhas tecladas) e os computadores infectados por
malware, como você mesma pode perceber... vai ser difícil levantar
dados concretos sobre a frequência (eu gostava mais dessa palavra com
trema) com que isso acontece pois os bancos guardam a 777 chaves essa
informação. O que eu posso te dizer de experiência em 1 grande
provedor e em 3 grandes bancos é que o número não é tão pequeno quanto
dizem os bancos nem tão grande quanto às vezes aparece na imprensa. É
um risco administrado.

As regulamentações do BACEN a respeito tratam exatamente da
administração do risco; ele não precisa ser eliminado, precisa ser
conhecido e dinheiro reservado para cobrir as contingências. Como os
bancos querem ter que deixar o menos possível reservado para vender o
dinheiro no mercado (leia-se: empréstimo a juros), eles adotam
estratégias que não só mostrem como minimizem o risco. Procure por
termos como "acordos de Basiléia", Basiléia II, Basel (Basiléia em
Inglês) que norteiam as normas utilizadas para isso no mundo e no
Brasil. Note que elas não tem foco no risco percebido pelo cliente
individual, ou nos transtornos ou prejuízos de um cliente individual,
mas pelo sistema.

A responsabilidade dos provedores é bastante limitada, e a
possibilidade dela aumentar passa pelo que se discute hoje com a Lei
Azeredo. Tudo que consta das discussões sobre Lei Azeredo se aplica à
responsabilidade nos provedores nessa questão.

Um pilar importante dessa questão é a jurisprudência, onde se inverteu
o viés fortemente favorável aos clientes e as decisões judiciais mais
recentes tem responsabilizado os clientes pelos problemas na
administração de recursos de segurança como cartões e senhas. Isso
porém ainda não foi testado na questão de segurança de computadores
pessoais, pois devido ao grande interesse dos bancos em manter esse
canal como meio principal de interação com o cliente, os bancos tem
"entubado" os prejuízos ocasionados.

Apesar de ser de difícil a impossível conseguir informações empíricas
sobre esse tema que possam ser publicadas, você já notou uma das
tendências resultantes da regulamentação: como as transações entre um
mesmo banco ate R$500 são cobertas pelo banco e não por resseguros do
sistema financeiro, os bancos passaram a usar esse montante como guia
de valores permitidos, e os meliantes passaram a usar múltiplos
fraudes de valores baixos como meio de ação. Assim, a senha de uma
conta de quem ganha 2 salários mínimos é tão útil quanto a conta do
Maluf de 2 milhões de euros...

Rubens

Como a discussão continua em andamento, vamos seguí-la e continuar atualizando a página.