Fascículo Internet Banking - CERT.br...códigos maliciosos e acessar páginas falsas (phishing). Phishing é o

EstaobrafoioriginalmentedesenvolvidapeloCERT.br,doNIC.br,comopropósitodepromoveraconscien<zaçãosobreousosegurodaInternetebaseia-senaCar<lhadeSegurançaparaInternet(hEps://car<lha.cert.br/).

Esta obra foi licenciada sob a licença Crea<ve CommonsAtribuição-Uso não-comercial-Compar<lhamento pelamesmalicença3.0Brasil(CCBY-NC-SA3.0).

OCERT.br/NIC.brconcedeaVocêumalicençadeabrangênciamundial,semroyal<es,não-exclusiva,sujeitaaostermosecondiçõesdestaLicença,paraexercerosdireitossobreaObradefinidosabaixo

a. ReproduziraObra,incorporaraObraemumaoumaisObrasCole<vaseReproduziraObraquandoincorporadaemObrasCole<vas;

b. Criar e Reproduzir Obras Derivadas, desde que qualquer Obra Derivada, inclusive qualquer tradução, emqualquermeio,adote razoáveismedidasparaclaramente indicar,demarcaroudequalquermaneira iden<ficarquemudançasforamfeitasàObraoriginal.Umatradução,porexemplo,poderiaassinalarque“AObraoriginalfoitraduzidadoInglêsparaoPortuguês,”ouumamodificaçãopoderiaindicarque“AObraoriginalfoimodificada”;

c. DistribuireExecutarPublicamenteaObra,incluindoasObrasincorporadasemObrasCole<vas;e,d. DistribuireExecutarPublicamenteObrasDerivadas.Desdequerespeitadasasseguintescondições:• Atribuição— Você deve fazer a atribuição do trabalho, da maneira estabelecida pelo <tular originário oulicenciante(massemsugerirqueesteoapoia,ouquesubscreveoseuusodotrabalho).Nocasodestetrabalho,deveincluiraURLparaotrabalhooriginal(Fonte–hEps://car<lha.cert.br/)emtodososslides.• Usonãocomercial—Vocênãopodeusarestaobraparafinscomerciais.• Compar;lhamento pela mesma licença — Se você alterar, transformar ou criar em cima desta obra, vocêpoderádistribuiraobraresultanteapenassobamesmalicença,ousobumalicençasimilaràpresente.

Aviso—Emtodasasreu<lizaçõesoudistribuições,vocêdevedeixarclaroquaissãoostermosdalicençadestetrabalho.Amelhorformadefazê-lo,écolocandoumlinkparaaseguintepágina

hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/Adescriçãocompletadostermosecondiçõesdestalicençaestádisponívelem:hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode

1 https://cartilha.cert.br/fasciculos/

Segurança em Internet Banking

Agenda:•  Internet Banking:apresenta alguns dos golpes envolvendo transações bancárias

quepodemseraplicadospormeiodaInternet.•  Riscos principais: apresenta alguns dos riscos a que usuários estão expostos ao

usaroInternetBankingsemosdevidoscuidados.•  Cuidadosaseremtomados:apresentaoscuidadosquedevemsertomadospara

seprotegerdosriscosrelacionadosaousodoInternetBanking.•  Créditos



InternetBanking:Via Internet Banking você̂ pode realizar asmesmas ações disponíveis nas agênciasbancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento.Infelizmente realizar transações bancárias via Internet pode apresentar riscos casovocê̂nãotomealgunscuidados.



InternetBanking(cont.):Comonão é uma tarefa simples fraudar dados emum servidor de uma ins<tuiçãobancária ou comercial, os golpistas procuram enganar e persuadir as potenciaisví<mas a fornecerem informações sensíveis ou a realizarem ações, como executarcódigosmaliciososeacessarpáginasfalsas(phishing).

Phishingéo<podefraudepormeiodaqualumgolpistatentaobterdadospessoaise financeiros de um usuário, pela u<lização combinada de meios técnicos eengenhariasocial.Ocorrepormeiodoenviodemensagenseletrônicasque:•  tentamsepassarpelacomunicaçãooficialdeumains<tuiçãoconhecida,comoum

banco,umaempresaouumsitepopular;•  procuramatrairaatençãodousuário,sejaporcuriosidade,porcaridadeoupela

possibilidadedeobteralgumavantagemfinanceira;

•  informamqueanãoexecuçãodosprocedimentosdescritospodeacarretarsériasconsequências, como a inscrição em serviços de proteção de crédito e ocancelamentodeumcadastro,deumacontabancáriaoudeumcartãodecrédito;

•  tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio doacessoapáginasfalsas,quetentamsepassarpelapáginaoficialdains<tuição;dainstalaçãodecódigosmaliciosos,projetadosparacoletarinformaçõessensíveis;edopreenchimentodeformulárioscon<dosnamensagemouempáginasWeb.



InternetBanking(cont.):Para atrair a atenção do usuário as mensagens maliciosas apresentam diferentestemas, explorando campanhas de publicidade, serviços, a imagem de pessoas eassuntosemdestaquenomomento.UmexemplodephishingexplorandoInternetBankingé:vocêrecebeume-mail,emnomedeumains<tuiçãofinanceira,quetentainduzi-loaclicaremumlink.Aofazeristo, você é direcionado para uma páginaWeb falsa, semelhante ao site que vocêrealmentedesejaacessar,ondesãosolicitadososseusdadospessoaisefinanceiros.Spywareéum<podecódigomaliciosoprojetadoparamonitorarasa<vidadesdeumsistemaeenviarasinformaçõescoletadasparaterceiros.Algunsexemplossão:•  Keylogger capaz de capturar e armazenar as teclas digitadas pelo usuário no

teclado do computador. Sua a<vação, em muitos casos, é condicionada a umaaçãopréviadousuário,comooacessoaumsiteespecíficodeInternetBanking;

•  Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e atela apresentada no monitor, nos momentos em que omouse é clicado, ou aregiãoquecircundaaposiçãoondeomouseéclicado.Éusadoporatacantesparacapturarasteclasdigitadasemtecladosvirtuais,usadosemInternetBanking.

Trojan Banker (Bancos) é um de trojan que coleta dados bancários através dainstalação de spywares que são a<vados quando sites de Internet Banking sãoacessados.



InternetBanking(cont.):Outrasformasdegolpesusadassão:

•  disponibilizaraplica<vosmaliciososque,seinstalados,podemcoletarseusdados;•  efetuarligaçõestelefônicastentandosepassar,porexemplo,pelogerentedoseu

bancoesolicitarseusdados;•  explorarpossíveisvulnerabilidadesemseucomputadoroudisposi<vomóvelpara

instalarcódigosmaliciosos;

•  explorarpossíveisvulnerabilidadesemequipamentosderede,comosenhasfracasoupadrão;

•  coletarinformaçõessensíveisquees<veremtrafegandonaredesemcriptografia.



Riscosprincipais:Nos próximos slides são apresentados alguns dos principais riscos relacionados aousodeInternetBanking.



Riscosprincipais:Casonãotomeosdevidoscuidadosaousarseucomputadoroudisposi<vomóvel,osprincipais riscos aos quais você̂ está exposto ao realizar transações bancárias viaInternetsão:•  perdasfinanceiras:suacontabancáriapodeserusadaparaaçõesmaliciosas,como

transferênciasindevidasdedinheiroepagamentosdecontasdeoutraspessoas;

•  invasãodeprivacidade:alguémquetenhaacessoindevidoasuacontapodeobterinformações pessoais sobre suas transações bancárias e assim expor suaprivacidade;

•  violaçãodesigilobancário:osigilobancárioéumdireitoseu,quepodeservioladocasoalguémacesseindevidamentesuaconta;

•  par<cipação em esquemas de fraude: sua conta bancária pode ser usada comointermediáriaparaaplicargolpesecometerfraudes.



Cuidadosaseremtomados:NospróximosslidessãoapresentadosalgunsdosprincipaiscuidadosquedevemsertomadosrelacionadosaousodoInternetBanking.



Aoacessarositebancário:Disposi<vosmóveis, como tablets, smartphones, celulares e PDAs, têm se tornadocadavezmaispopularesecapazesdeexecutargrandepartedasaçõesrealizadasemcomputadorespessoais,comonavegaçãoWeb,InternetBankingeacessoae-mailseredes sociais. Infelizmente, as semelhanças não se restringem apenas àsfuncionalidades apresentadas, elas também incluem os riscos de uso que podemrepresentar.

Assimcomoseucomputador,oseudisposi<vomóveltambémpodeserusadoparaaprá<cadea<vidadesmaliciosas,comofurtodedados,enviodespameapropagaçãode códigos maliciosos, além de poder fazer parte de botnets e ser usado paradispararataquesnaInternet.



Aoacessarositebancário(cont.):•  evite usar disposi<vosmóveis e computadores de terceiros (como lan houses, e

Internetcafés)poisnãohágaran<asdequeestesequipamentosestejamseguros;•  eviteusarredesWi-Fipúblicas;

•  u<lize um endereço terminado em “b.br”, caso seu banco ofereça essa opção.Domínios terminadosem“b.br”, alémde seremdeusoexclusivode ins<tuiçõesbancárias,tambémoferecemrecursosadicionaisdesegurança.



Aoacessarositebancário(cont.):Conexãoseguraéaquedeveseru<lizadaquandodadossensíveissãotransmi<dos,geralmenteusadaparaacessoasitesde InternetBankingedecomércioeletrônico.Provêauten<cação,integridadeeconfidencialidade,comorequisitosdesegurança.SitesdeInternetBankingconfiáveissempreu<lizamconexõessegurasquandodadossensíveissãosolicitados.

AlgunsindíciosdeconexãoseguraapresentadospelanavegadorWebsão:•  oendereçocomeçacomhEps://

•  odesenhodeumcadeadofechadoémostradonabarradeendereços.Aoclicarsobre ele, detalhes sobre a conexão e sobre o cer<ficado digital em uso sãoexibidos;

•  umrecortecolorido(brancoouazul)comonomedodomíniodositeémostradoao lado da barra de endereço (à esquerda ou à direita). Ao passar omouse ouclicar sobreo recorte sãoexibidosdetalhes sobrea conexãoecer<ficadodigitalemuso;

•  a barra de endereço e/ou recorte são apresentados em verde e no recorte écolocadoonomedains<tuiçãodonadosite.



Aoacessarositebancário(cont.):Esteslideapresentaexemplosde:

•  conexãoseguraemdiversosnavegadores;•  conexãosegurausandoEVSSLemdiversosnavegadores.



Aoacessarositebancário(cont.):Certossitesfazemusocombinado,namesmapáginaWeb,deconexãoseguraenãosegura.Nestecasopodeserqueocadeadodesapareça,quesejaexibidoum íconemodificado (por exemplo, um cadeado com triângulo amarelo), que o recortecontendo informações sobreosite deixede serexibidoouaindahajamudançadecornabarradeendereço.Casoseubancou<lizeumaconexãomista,verifiquecomeleseo<podeconexãoérealmentemistaousepoderiaserumsitefalso.



Outroscuidados:•  forneçaapenasumaposiçãodoseucartãodesegurança.Desconfiecaso,emum

mesmoacesso,sejasolicitadamaisdeumaposição;•  mantenha o número do seu celular atualizado, caso o tenha cadastrado. Ele é

u<lizado para o envio demensagens de confirmação e códigos de liberação detransações;

•  usesempreaopçãode“sair”quandodeixardeu<lizarseuInternetBanking.



Outroscuidados(cont.):•  sejacuidadosocommensagenssobrepromoções;

•  evite acessar a central de atendimento do seu banco pormeio de celulares deterceiros.Osdadosdigitados, comonúmeroda sua contabancáriae sua senha,podemficararmazenados;

•  a maioria dos bancos não envia e-mails sem autorização prévia. Desconsideremensagens que receber, caso não tenha autorizado previamente o envio eprincipalmentedeins<tuiçõescomasquaisvocê̂nãotenharelação;

•  verifique periodicamente o extrato da sua conta bancária e do seu cartão decrédito. Verifique se há transações indevidas ou que você não reconheça comotendosidorealizadasouautorizadasporvocê.



Emcasodedúvidasouproblemas:•  casodetectetransaçãobancáriasduvidosasouenfrentealgum<podeproblemas

procure entrar imediatamente em contato com a central de relacionamento doseubanco,diretamentecomoseugerenteoucomaoperadoradoseucartãodecrédito.Elespoderãoauxiliá-losobreosprocedimentosaseremtomados.



Protejasuassenhas:Sejacuidadosoaoelaborarassuassenhas;

•  procureusarsenhascomamaiorquan<dadedecaracterespossível;•  procureusardiferentes<posdecaracteresparacomporsuassenhas;

•  nãou<lizedadospessoais,comonome,sobrenomeedatas;

•  nãou<lizedadosquepossamserfacilmenteob<dossobrevocê̂;

•  jamaisreu<lizesenhasqueenvolvamoacessoadadossensíveis,comoasusadasem Internet Banking ou e-mail. Usar a mesma senha para acessar diferentescontaspodeserbastantearriscado.Bastaaoatacanteconseguirasenhadeumacontaparaconseguiracessarasdemaiscontasondeestamesmasenhafoiusada;

•  procurenãousaramesmasenhaparaassuntospessoaiseprofissionais.NãouseamesmasenhadeacessoaoseuInternetBankingparaacessaroutrossites;

•  altereassuassenhassemprequejulgarnecessário;•  nãoforneçasuassenhasparaoutrapessoa,emhipótesealguma;

•  não forneça informaçõesbancárias, especialmente senhas, pormeiode ligaçõestelefônicasoue-mails.



Protejaseusequipamentos:Seja cuidadoso ao instalar aplica<vos desenvolvidos por terceiros (plug-ins,complementos e extensões). Esses programas, na maioria das vezes, sãodisponibilizados em repositórios, onde podem ser baixados livremente oucomprados.Algunsrepositóriosefetuamcontrolerígidosobreosprogramasantesdedisponibilizá-los, outros u<lizam classificações referentes ao <po de revisão,enquanto outros não efetuam nenhum <po de controle. Apesar de grande partedestes programas serem confiáveis, há a chance de exis<r programasespecificamentecriadosparaexecutara<vidadesmaliciosasouque,devidoaerrosde implementação, possam executar ações danosas em seu computador. Algunscuidadosaseremtomadossão:•  procureobterarquivosapenasdefontesconfiáveis;•  u<lizeprogramascomgrandequan<dadedeusuáriosebemavaliados;

•  vejacomentáriosdeoutrosusuáriossobreoprograma,antesdeinstalá-lo(muitossitesdisponibilizamlistasdeprogramasmaisusadosemaisrecomendados);

•  verifiqueseaspermissõesnecessáriasparaainstalaçãoeexecuçãosãocoerentes;•  sejacuidadosoaoinstalarprogramasqueaindaestejamemprocessoderevisão;

•  denuncieaosresponsáveispelorepositóriocasoiden<fiqueprogramasmaliciosos.



Mantenha-seinformado:Materialdereferênciapodeserencontradona“Car<lhadeSegurançaparaInternet”.

Novidadesedicaspodemserob<daspormeiodoRSSedoTwiEerdoCERT.br.



Mantenha-seinformado(cont.):Outrasfontesdeinformaçãodisponíveissão:

•  PortalInternetSegura,quereúneasprincipaisinicia<vasdesegurançanaInternetno Brasil, auxiliando os internautas a localizarem informações de interesse eincen<vandoousosegurodarede;

•  OsitedaCampanhaAn<spam.br,ondesãodescritasváriasinicia<vasnocombateao spam tanto para conscien<zação de usuários como de boas prá<cas paraadministradoresderedesesistemas.



ESTESLIDENÃOPODESERREMOVIDO.DEVESEREXIBIDOEMTODASASREPRODUÇÕES, INCLUSIVENASOBRASDERIVADAS

EstaobrafoioriginalmentedesenvolvidapeloCERT.br,doNIC.br,eépromovidapeloComitêGestordaInternetnoBrasil(CGI.br).Elafazpartedeumconjuntodemateriaiseduca<voscomopropósitodepromoveraconscien<zaçãosobreousosegurodaInternetebaseia-senaCar<lhadeSegurançaparaInternet(hEps://car<lha.cert.br/).

Esta obra foi licenciada sob a licença Crea<ve Commons Atribuição-Uso não-comercial-Compar<lhamento pelamesmalicença3.0Brasil(CCBY-NC-SA3.0).

O CERT.br /NIC.br concede a Você uma licença de abrangência mundial, sem royal<es, não-exclusiva, sujeita aostermosecondiçõesdestaLicença,paraexercerosdireitossobreaObradefinidosabaixoa. ReproduziraObra,incorporaraObraemumaoumaisObrasCole<vaseReproduziraObraquandoincorporadaemObrasCole<vas;b. CriareReproduzirObrasDerivadas,desdequequalquerObraDerivada,inclusivequalquertradução,emqualquermeio,adoterazoáveismedidasparaclaramenteindicar,demarcaroudequalquermaneiraiden<ficarquemudançasforam feitas à Obra original. Uma tradução, por exemplo, poderia assinalar que “AObra original foi traduzida doInglêsparaoPortuguês,”ouumamodificaçãopoderiaindicarque“AObraoriginalfoimodificada”;c. DistribuireExecutarPublicamenteaObra,incluindoasObrasincorporadasemObrasCole<vas;e,d. DistribuireExecutarPublicamenteObrasDerivadas.Desdequerespeitadasasseguintescondições:• Atribuição—Vocêdevefazeraatribuiçãodotrabalho,damaneiraestabelecidapelo<tularorigináriooulicenciante(massemsugerirqueesteoapoia,ouquesubscreveoseuusodotrabalho).Nocasodestetrabalho,deveincluiraURLparaotrabalhooriginal(Fonte–hEps://car<lha.cert.br/)emtodososslides.• Usonãocomercial—Vocênãopodeusarestaobraparafinscomerciais.• Compar;lhamentopelamesmalicença—Sevocêalterar, transformaroucriaremcimadestaobra,vocêpoderádistribuiraobraresultanteapenassobamesmalicença,ousobumalicençasimilaràpresente.

Aviso— Em todas as reu<lizações ou distribuições, você deve deixar claro quais são os termos da licença destetrabalho.Amelhorformadefazê-lo,écolocandoumlinkparaaseguintepáginahEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/Adescriçãocompletadostermosecondiçõesdestalicençaestádisponívelem:hEp://crea<vecommons.org/licenses/by-nc-sa/3.0/br/legalcode



Documents

Fascículo Internet Banking - CERT.br...códigos maliciosos e acessar páginas falsas (phishing). Phishing é o