Embed Size (px)
Citation preview
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
SEGURANÇA DA INFORMAÇÃO PARA INSTITUIÇÕES
FINANCEIRAS
Por: Willian Villa de Oliveira
Orientador
Profª. Ana Claudia Morrissy
Rio de Janeiro 2011
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
SEGURANÇA DA INFORMAÇÃO PARA INSTITUIÇÕES
FINANCEIRAS
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Gestão em Instituições
Financeiras
Por: . Willian Villa de Oliveira
3
AGRADECIMENTOS
Agradeço a Deus, meus pais, amigos,
professores e todos que contribuíram
direta ou indiretamente com esse
trabalho.
4
DEDICATÓRIA
Dedico esse trabalho aos meus pais e
amigos.
5
RESUMO
O presente estudo visa entender melhor os principais tipos de fraudes
que bancos e clientes sofrem, bem como identificar o motivo e a
responsabilidade tanto das instituições financeiras quanto dos clientes no
processo de violação de informações sigilosas. Além de oferecer alternativas
para o combate destas ocorrências.
Identificando os principais meios de violação de segurança e oferecendo
opções que reduzam os prejuízos de instituições financeiras com fraudes.
6
METODOLOGIA
Os métodos utilizados consistem em pesquisa de artigos publicados em
jornais e revistas, bem como pesquisas realizadas para identificar o problema.
E na utilização de literaturas sobre o referido tema e pesquisa de campo com
funcionários do Banco do Brasil, na busca de alternativas que reduzam o risco
e prejuízo financeiro das instituições com fraudes eletrônicas.
7
SUMÁRIO
INTRODUÇÃO 09
CAPÍTULO I - Introdução a Segurança da
Informação 10
CAPÍTULO II - Legislação 13
CAPÍTULO III - Estudos de Casos 17
CAPÍTULO IV - Tecnologia no Combate a
Fraudes 24
CONCLUSÃO 37
ANEXOS 38
BIBLIOGRAFIA CONSULTADA 44
ÍNDICE 45
8
INTRODUÇÃO
Pesquisas recentes como a realizada pela Fecomercio-SP
demonstram o crescimento de crimes e fraudes eletrônicas no Brasil, e dentre
esses crimes o mais comum é o desvio de dinheiro de contas bancarias,
atingindo um quarto das vitimas que responderam a pesquisa.
As instituições financeiras de uma maneira geral tem investido em
segurança em seus sites, criando diversos mecanismos tentando dificultar
essas ações criminosas. Ainda assim elas continuam acontecendo.
Diante dos fatos expostos acima surgem diversos questionamento sobre
o que mais pode ser feito ou qual o caminho seguir na tentativa de minimizar
essas ocorrências.
CAPÍTULO I
9
INTRODUÇÃO À
SEGURANÇA DA INFORMAÇÃO
Atualmente a segurança da informação tem importância vital para a
sobrevivência de uma empresa. O valor que a informação tem muitas vezes
não pode ser mensurado, podendo causar desde pequenas indisponibilidades
nos sistemas da empresa a grandes prejuízos financeiros.
A informação está em toda parte e pode estar armazenada em relatórios
impressos, arquivos, bancos de dados entre outros. E todos esses dados estão
sujeitos ao risco de serem destruídos, perdidos ou roubados. A preservação
dessas informações requer medidas que visem garantir a integridade e
disponibilidade das mesmas. Essas medidas podem ser classificadas, de
acordo com a maneira que abordam as ameaças, em duas categorias:
prevenção e proteção.
Como prevenção podemos considerar o conjunto de medidas que visa
reduzir a probabilidade de concretização dessas ameaças. A partir do
momento que essas ameaças se transformam em incidentes extingue-se.
Já a proteção visa capacitar o sistema de informação a detectar e reagir,
reduzindo e limitando o impacto das ameaças quando estas de concretizam.
Alem disso é necessário levar em conta o custo beneficio na proteção
dessas informações. As instituições precisam tomar medidas adequadas as
ameaças existentes, bem como considerar o valor das informações
armazenadas em seus sistemas.
Principais Aspectos da Segurança da Informação
10
• Autenticidade:
O controle de autenticidade esta relacionado a identificação correta do
usuário. O mecanismo de autenticação em um sistema deve garantir
que a informação recebida realmente pertence ao remetente indicado.
Normalmente esse processo de identificação e feito através de chaves,
senhas ou assinatura digital. Esse é o meio mais comum para proteção
de um sistema de informação contra potenciais intrusos.
Em um ataque contra a autenticidade normalmente o invasor assume a
identidade de um usuário habilitado. O invasor de posse da chave de
um usuário habilitado tenta inúmeras combinações de senhas ate
conseguir acesso ao sistema. Esse tipo de ataque consome grande
tempo e esforço por parte do invasor, e pode ser detectado e bloqueado
facilmente se o sistema for dotado de um controle de login, após um
determinado numero de tentativas incorretas. Infelizmente muitos
sistemas não bloqueiam tais tentativas de login, e esse tipo de invasão
continua sendo utilizado ate hoje.
• Confidencialidade:
Confidencialidade significa proteger a informação de forma que a
mesma não seja revelada a alguém não autorizado. Consiste em
proteger a informação da leitura ou copia por alguém que não tenha
sido autorizado pelo proprietário da informação. A informação deve ser
protegida independente da mídia na qual esteja armazenada, inclusive
me caso de redes no momento em que a informação estiver em transito.
Quando a informação esta armazenada em meios físicos como
relatórios, a proteção é feita evitando-se o acesso de pessoas não
autorizadas a tais dados. No caso de arquivos digitais pode-se utilizar
processos de criptografia para proteger tais dados. Um dois meios de
ataque mais comum a confidencialidade é através da captura de
11
pacotes de dados que trafegam pelas redes. Essa captura de pacotes
pode ser feita através de programas que vasculham a rede ou através
de dispositivos físicos instalados em algum ponto dessa rede.
• Integridade:
A integridade consiste em proteger a informação de alterações em seu
conteúdo não autorizadas pelo seu proprietário. Estas alterações podem
ser por inclusão, exclusão ou modificação do conteúdo. Uma das
medidas de proteção é a utilização de backup.
• Disponibilidade:
A disponibilidade das informações muitas vezes é vital e critico para
varias empresas. Porem é muito comum ataques de negação de
serviços que deixam sistemas inoperantes, ou com sua capacidade
prejudicada, fazendo com que atividades criticas para as empresas
deixem de ser executadas ou tenham seu tempo de execução
aumentado.
Disponibilidade consiste na proteção dos serviços prestados pelo
sistema de forma a garantir que as informações estejam disponíveis
sempre que o usuário precisar. Um sistema indisponível quando o
usuário necessita dele pode causar perdas tão grandes quanto a perda
de informação daquele sistema.
CAPÍTULO II
LEGISLAÇÃO
12
Parte do texto do Projeto de Lei nº 84-D/99:
Art. 1º Esta lei dispões sobre os crimes de informática, e à outras providências.
Art. 2º O Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal,
passa a vigorar acrescido da seguinte Seção V do Capítulo VI do Título I:
“Seção V
Dos crimes contra a inviolabilidade
Dos sistemas informatizados Acesso indevido a meio eletrônico
Art. 154 A. Acessar, indevidamente ou sem autorização, meio eletrônico ou
sistema informatizado:
Pena - detenção, de três meses a um ano, e multa.
§ 1º Nas mesmas penas incorre quem fornece a terceiro meio indevido ou não
autorizado de acesso a meio eletrônico ou sistema informatizado.
§ 2º Somente se procede mediante representação, salvo se o crime é cometido
contra a União, Estado, Município, empresa concessionária de serviços públicos
ou sociedade de economia mista.
Manipulação indevida de informação eletrônica
Art. 154B. Manter ou fornecer, indevidamente ou sem autorização, dado ou
informação obtida em meio eletrônico ou sistema informatizado:
13
Pena - detenção, de seis meses a um ano, e multa.
§ 1º Nas mesmas penas incorre quem transporta, por qualquer meio,
indevidamente ou sem autorização, dado ou informação obtida em meio
eletrônico ou sistema informatizado.
§ 2º Somente se procede mediante representação, salvo se o crime é cometido
contra a União, Estado, Município, empresa concessionária de serviços públicos
ou sociedade de economia mista.
Meio eletrônico e sistema informatizado
Art. 154C. Para os efeitos penais, considera-se:
I - meio eletrônico: o computador, o processador de dados, o disquete, o CD-
ROM ou qualquer outro meio capaz de armazenar ou transmitir dados
magnética, óptica ou eletronicamente;
II - sistema informatizado: a rede de computadores, a base de dados, o
programa de computador ou qualquer outro sistema capaz de armazenar ou
transmitir dados eletronicamente.'
No Brasil ainda temos que lidar com a falta de uma legislação especifica
sobre crimes virtuais. O projeto de lei de 1999, citado acima, de autoria do
deputado Eduardo Azeredo, e que trata de crimes virtuais ainda não foi
aprovado. Segundo o deputado a responsabilidade pela demora na aprovação
do projeto é da indecisão do governo, porem o projeto recebe criticas também
da sociedade. Segundo a Abranet (Associação Brasileira de Provedores de
Internet) o texto do projeto transfere a responsabilidade da investigação do
Estado para a sociedade, e que esta transferência de responsabilidade pode
gerar um custo de aproximadamente R$ 15 milhões por ano aos provedores,
devido ao custo de armazenamento.
O projeto cria ao todo 13 novos crimes e com penas que variam de um a
três anos de prisão na maior parte dos casos. O texto considera crime
estelionato e falsificação de dados eletrônicos ou documentos; criação ou
divulgação de arquivos com material pornográfico envolvendo crianças e
adolescentes; roubo de senhas de usuários do comércio eletrônico; e
divulgação de imagens privadas.
14
O ponto do texto que tem gerado maior divergência é a obrigatoriedade
dos provedores de informar as autoridades as denuncias que tiverem indícios
de crimes. Segundo Ronaldo Lemos, professor da FGV, qualquer pessoa pode
começar a denunciar seus vizinhos, seus amigos, e o provedor é obrigado a
reportar esses fatos às autoridades, levando a criminalização de milhares de
pessoas.
Sigilo
Outro ponto de discórdia é o que determina que essas empresas
tenham de manter "em ambiente controlado e de segurança", por três anos, os
dados de acesso de internet dos clientes, com origem, data e horário. As
informações devem ser repassadas às autoridades, mediante pedido judicial.
Para a Abranet, o prazo é exagerado. "A própria Convenção de
Budapeste, documento internacional sobre crimes na rede, fala em 90 dias. Na
diretiva européia, o prazo máximo é de dois anos.” diz o presidente da Abranet.
Como o texto responsabiliza o "responsável pelo provimento de acesso
a rede de computadores mundial, comercial ou do setor público" por esse
armazenamento, a Abranet aponta que as empresas terão de criar
mecanismos para identificar os funcionários, gerando custos.
"No fim das contas, essa responsabilidade foi para a sociedade como
um todo. As empresas vão ter que se preparar para ter logs de acesso.
Qualquer empresa que tenha uma rede, que permita o uso do computador,
terá custos", diz Eduardo Parajo (presidente da Abranet).
Para o deputado Eduardo Azeredo (PSDB-MG), relator do processo no
Senado, os provedores oferecem um "serviço de interesse público" e por isso
devem ter certas responsabilidades.
15
CAPÍTULO III
ESTUDO DE CASOS
Após discorremos no capitulo anterior sobre aspectos gerais de
segurança da informação, iniciamos esse novo capitulo abordando aspectos
mais práticos, incluindo os métodos de pesquisa utilizados. Para esta nova
etapa elaboramos um questionário sobre os principais pontos a serem
16
abordados e selecionamos um grupo de dez funcionários para responderem
esse questionário, no qual trabalharemos a seguir.
O questionário é composto por cinco perguntas e esta disponível para
consulta no item anexos. Dentre essas perguntas estão o total de ocorrências
de fraude atendidos por cada funcionário, qual o tipo de fraude, o uso da
senha do cliente nestas ocorrências, a percepção dos funcionários a respeito
do grau de conhecimento do cliente e sugestões de medidas para minimizar
tais ocorrências.
OCORRENCIAS OBSERVADAS
Desses questionários retiramos os seguintes dados. Somados os relatos
dos dez funcionários obtivemos um total de 34 ocorrências durante o ultimo
ano. Dessas ocorrências 22 (vinte e duas) foram através de fraude com cartão,
9 (nove) através de clonagem de cheque e 3 (três) acessos através da internet,
conforme gráfico abaixo.
17
Muitas pessoas associam as fraudes bancarias ao uso da internet,
porem com uma analise rápida do gráfico acima observamos que estas
representaram um percentual pequeno dentro do grupo de estudos analisado.
Isso porque no questionário utilizado o item internet refere-se apenas ao
acesso indevido a conta corrente através da internet. Vale ressaltar que para
fraudes com cartões os dados podem ser obtidos através de meios físicos
através de dispositivos conhecidos como “chupa cabra” ou meios eletrônicos
através de programas instalados nos computadores dos usuários.
Já caso da clonagem de cheques a fraude normalmente ocorre com a copia de
um cheque original do próprio cliente.
Em uma reportagem para o site Linha de Defesa, Marcus Vinicius F.
Beltran fala sobre as formas mais comuns de golpes pela internet. Segundo ele
“uma das fraudes mais comuns atualmente na Internet é a prática conhecida
como Phishing Scam, que consiste basicamente no envio de e-mails
fraudulentos, onde o autor, através de Engenharia Social, convence o usuário
a baixar e executar um programa malicioso. Muitas vezes o email finge ser
uma mensagem autêntica, proveniente de uma grande empresa, trazendo uma
boa formatação, logotipos e outras características de cada empresa. Em outras
ocasiões, é apenas um assunto curioso que leva a vítima a efetuar o download
e executar o arquivo. Quase sempre estes arquivos ficam hospedados em
servidores gratuitos ou comprometidos fora do Brasil, o que dificulta o
rastreamento ou mesmo a remoção do arquivo para diminuir o número de
pessoas infectadas. Depois que o usuário executa o trojan, nada acontece. Em
alguns casos ocorre uma mensagem de erro, obviamente falsa, apenas para
que o usuário pense que o programa não funcionou e não suspeitar da
verdadeira origem do software executado. Agora este trojan vai ficar
monitorando o acesso aos sites da Internet e irá ‘acordar’ quando o usuário
estiver acessando a sua conta bancária. Como os bancos constantemente
estão aumentando a segurança em seus sites, os trojans têm que se adaptar à
essa situação. No passado, a técnica utilizada para adquirir os dados de
correntistas era baseada na gravação das teclas digitadas e posterior envio por
18
email. Com o advento dos teclados virtuais e outras técnicas desenvolvidas
pelos bancos, os keyloggers foram substituídos por programas que alteram ou
mesmo sobrepõe as telas originais dos bancos. Temos a falsa sensação de
segurança quando clicamos nossas senhas ao invés de digitarmos, pois os
trojans atuais imitam a tela do sistema de login do banco.”
Outro dado que deve ser destacado no gráfico anterior é o grande
percentual de fraudes com a utilização de cartão. Neste item estão
relacionadas as fraudes de clonagem de cartão para posterior saque, operação
esta que necessita de um cartão físico clone e do uso da senha do cliente, ou
utilização dos dados do cartão para compras, que muitas vezes pode ser feita
sem um cartão físico ou uso da senha, apenas utilizando os dados que vem
impressos no cartão.
Os fraudadores de cartões tem diversas técnicas para obtenção dos
dados que serão utilizados nas fraudes. A mais comum delas é a utilização de
leitores de cartão adulterados que capturam as informações dos cartões
utilizados nessas maquinas. Essas maquinas adulteradas são chamadas de
“chupa-cabras” e são instaladas em vários estabelecimentos, desde bancos
ate lojas. Normalmente junto com essas maquinas são instaladas também
câmeras para registrar as senhas digitadas pelos clientes. Embora os bancos
busquem soluções para esse tipo de crime, como a utilização de cartões com
chip que tem dificultado a ação desses criminosos, estes também dispõem de
outras técnicas como a Engenharia Social. Conforme descreveu Marcus
Vinicius F. Beltran na matéria acima, essa técnica consiste no envio de emails
contendo programas maliciosos com a função de capturar os dados dos
clientes que serão posteriormente utilizados na fraude.
Por ultimo vamos abordar a clonagem de cheques. Esse tipo de fraude
ocorreu com 26% dos casos analisados, e embora o uso de cheques esteja
sendo gradativamente substituído por meios eletrônicos de pagamento, ainda
é muito comum a clonagem de cheques. Isso ocorre porque com a melhoria na
19
tecnologia de fabricação de impressoras, e a redução do custo para aquisição
destas, se torna fácil a copia de um cheque por falsificadores.
As técnicas mais comuns consistem em apagar dados de um cheque original e
simplesmente trocar por outras informações, ou utilizar um cheque original
como modelo para emissão de outros cheques clonados, alterando-se
somente a numeração do cheque.
UTILIZAÇÃO DE SENHA NAS OCORRENCIAS OBSERVADAS
Com base no questionário realizado podemos montar também um outro
gráfico o qual demonstra o percentual das ocorrências onde foram utilizadas as
senhas dos cliente, conforme vemos abaixo:
É interessante notar que na maioria dos casos não foram utilizadas as
senhas dos clientes. Isso porque, alem das fraudes com cheque, as quais não
precisam da senha do cliente, as fraudes com cartões muitas vezes tambem
não precisam. Os dados capturados dos cartões podem ser utilizados para
compras na internet, sem a utilização de senha, inclusive em sites no exterior o
que dificulta o rastreamento dessas ocorrencias. Cabe ressaltar aqui que
20
mesmo possuindo diversas tecnicas para obtenção da senha dos clientes,
como engenharia social, programas espiões e cameras, podemos obsevar que
esses criminosos tem optado pelo caminho mais facil, fraudes que não
necessitem da utilização de senhas.
CONHECIMENTOS SOBRE ASPECTOS DE SEGURANÇA
No próximo gráfico iremos analisar a percepção dos funcionários do
banco em relação ao grau de conhecimento sobre aspectos de segurança
demonstrado pelos clientes vitimas de fraudes bancarias.
Aqui vemos que segundo a percepção dos funcionarios que atenderam
aos clientes vitimas de fraudes bancarias, quase metade desses clientes não
demonstraram possuir conhecimentos sobre aspectos de segurança bancaria.
Hoje grande parte das fraudes por internet ocorrem por falta de conhecimento
dos usuarios. Medidas simples como possuir um antivirus e mante-lo
atualizado, não utilizar computadores de locais publicos como lan-houses para
acesso a conta bancaria, e não fornecer informações solicitadas por email por
emails desconhecidos, muitas vezes não são seguidas pelos clientes.
21
MEDIDAS QUE PODERIAM REDUZIR ESSAS OCORRENCIAS
Na ultima pergunta do questionário pedimos aos entrevistados que
sugerissem medidas que pudessem reduzir essas ocorrências. O intuito desse
ultimo ponto do questionário é obter informações detalhadas de pessoas
diretamente ligadas aos casos, e que prestaram o primeiro atendimento as
vitimas dos golpes.
Dentre essas medidas sugeridas destacamos principalmente: incentivo
de meios de pagamento eletrônico em detrimento do cheque (medida que já
vem sendo adotada por diversos bancos); mudanças com relação a compras
na internet com uso de cartão de credito para que essas só pudessem ser
utilizadas com uso de senha; e uma melhor orientação aos clientes sobre
aspectos de segurança.
22
CAPÍTULO IV
TECNOLOGIA NO COMBATE A FRAUDES
Constantemente as instituições financeiras tem investido em tecnologia
no combate a fraudes financeiras. Algumas delas já popularizaram-se nos
últimos anos, outras ainda devem levar alguns anos para ganhar o mercado,
seja por questões de custo ou dificuldade de implementação. Neste capitulo
trataremos um pouco mais dessas tecnologias.
1. SMART CARDS
23
Os cartões com chip (Smart Cards) já são uma realidade no Brasil, e a
cada dia vem se tornando mais populares. A principal diferença em
comparação com um cartão comum esta na segurança. O cartão tradicional
não permite criptografia dos dados o que facilita o processo de clonagem.
Alem disso o Smart Card permite o armazenamento de informações que
permitem inclusive a verificação da senha off-line.
2. TECLADOS VIRTUAIS
24
Outra técnica utilizada pelos bancos é o uso teclados virtuais em suas
paginas na internet. Isso porque existem vários programas que capturam o que
esta sendo digitado através do teclado físico dos computadores. Essa técnica
aumenta bastante a segurança e reduz o risco dessas ameaças, porem não é
totalmente a prova de falhas. Fraudadores tem criado programas que imitam a
pagina dos bancos, e quando o usuário utiliza o teclado virtual pensando estar
acessando o site do banco, na verdade esta digitando a senha no teclado
virtual do programa espião. É importante notar que por mais semelhantes que
estes programas sejam a pagina do banco, normalmente é possível perceber a
diferença entre eles sem muita dificuldade. Alguns bancos alem do teclado
virtual, utilizam plugins de segurança que são instalados nos computadores
dos clientes, e atuam de forma automática assim que a pagina do banco é
acessada, protegendo o computador de ataques de programas maliciosos.
3. CAPTCHA
25
Atualmente uma outra tecnologia, bastante comum na internet, o
captcha, está começando a ser utilizado por instituições financeiras. O capcha
(Completely Automated Public Turing test to tell Computers and Humans
Apart), foi desenvolvido pela universidade de Carnegie-Mellon, e consiste em
um teste cognitivo que tem a função de diferenciar um computador de uma
pessoa, e são utilizados para impedir que softwares automatizados executem
ações que degradem um sistema. Um tipo comum de capcha requer que o
usuário identifique um conjunto de caracteres em meio a uma imagem
distorcida.
4. CERTIFICAÇÃO DIGITAL
Alem das tecnologias citadas anteriormente e que já vem sendo
amplamente utilizadas pelos bancos, temos outras tecnologias promissoras
que gradativamente vem ganhando mercado. Uma delas é o a utilização de
certificados digitais. Um certificado digital é um arquivo assinado digitalmente e
com a função de associar uma pessoa ou entidade a uma chave publica, esse
documento eletrônico contem nome, um numero exclusivo denominado chave
publica, alem de outros dados que confirmem a pessoas ou sistemas quem
somos.
26
Em uma infraestrutura de chaves publicas (IPC), o certificado é
assinado por uma autoridade certificadora (AC) que a emitiu. Para comprovar
uma assinatura digital é necessário inicialmente realizar duas operações:
calcular o resumo criptográfico do documento e decifrar a assinatura com a
chave pública do signatário. Se forem iguais, a assinatura está correta, o que
significa que foi gerada pela chave privada corresponde à chave pública
utilizada na verificação e que o documento está íntegro. Caso sejam
diferentes, a assinatura está incorreta, o que significa que pode ter havido
alterações no documento ou na assinatura pública.
No caso dos bancos, estes possuem certificado para autenticar-se
perante o cliente, assegurando que o acesso está realmente ocorrendo com o
27
servidor do banco. E o cliente, ao solicitar um serviço, como por exemplo,
acesso ao saldo da conta corrente, pode utilizar o seu certificado para
autenticar-se perante o banco.
5. BIOMETRIA
A biometria é uma das medidas mais promissoras na segurança bancaria, e
consiste no uso das características biológicas, como a íris, a retina, a
impressão digital, a voz, o formato do rosto e a geometria da mão, em
mecanismos de identificação. A utilização de medidas biológicas como
parâmetro para identificação se mostra viável porque cada pessoa possui
características únicas. Até mesmo entre gêmeos muito parecidos há
diferenças. Embora seja possível enganar os dispositivos de identificação
biométrica, copiar essas características biométricas é muito difícil, e
dependendo do tipo de identificação utilizado, a copia é praticamente
impossível.
5.1 Impressão digital
Dentre os diferentes tipos de identificação biométrica a mais utilizada é
a impressão digital. Consiste na captura da formação dos sulcos na
pele dos dedos e das palmas das mãos das pessoas. Esses sulcos
28
possuem terminações e divisões que são únicos em cada pessoa. Para
esse tipo de identificação existem basicamente três tipos de tecnologia:
óptica, que faz uso de um feixe de luz para ler a impressão digital;
capacitiva, que mede a temperatura que sai da mão; e ultra-sônica, que
faz o mapeamento da impressão digital através de sinais sonoros.
5.2 Retina
Esse tipo de identificação é um dos mais seguros, pois analisa a
formação dos vasos sanguíneos nos fundos dos olhos. Para isso, a
pessoa deve olhar através de um dispositivo, com um feixe de luz de
baixa intensidade, capaz de escanear sua retina. A confiabilidade desse
método deve-se ao fato da estrutura dos vasos sanguíneos estarem
ligados aos sinais vitais da pessoa, ou seja, não teriam sucesso
criminosos que tentassem arrancar os olhos de uma pessoa para
acessar sua conta bancaria por exemplo.
5.3 Íris
29
A identificação da íris é um métodos menos incomodo para o usuário,
pois baseia-se na leitura dos anéis coloridos existentes ao redor da
pupila. Pelo fato dessa combinação de cores gerar uma imagem muito
complexa, equivalente a impressão digital, porem mais difícil de ser
copiado por um molde. Por não precisar checar o fundo do olho é um
método mais rápido de identificação quando comparado a identificação
da retina.
5.4 Geometria da mão
Este também é um método bastante comum. Consiste na medição do
formato da mão da pessoa. Sua utilização é simples, o usuário
posiciona sua mão sobre o aparelho que fará a leitura dos dados. Esse
é um dos métodos mais antigos e também é um dos mais rápidos,
porem não é tão preciso.
30
5.5 Identificação da face
Esse método consiste na identificação dos traços do rosto de uma
pessoa. Assemelha-se muito a identificação da mão, porem é um pouco
mais complexo.
5.6 Voz
Nesse método, normalmente o individuo grava uma amostra de voz
como uma senha que será comparada sempre que for necessário sua
identificação. Porem essa tecnologia possui alguns problemas que
dificultam sua utilização. Por exemplo, ela não pode ser utilizada em
31
locais com muito ruído pois estes atrapalham a identificação, alem disso
se a pessoa estiver rouca ou gripada o sistema pode não conseguir
identificá-la corretamente.
5.7 Assinatura
Esse método consiste em compara a assinatura com um modelo
previamente registrado e gravado em um banco de dados. É feita a
comparação inclusive da velocidade e da pressão utilizada ao assinar.
Embora não seja um método totalmente biométrico, é bastante utilizado
em instituições financeiras.
6. CRIPTOGRAFIA
A criptografia também é uma tecnologia bastante difundida, e
consiste em codificar dados em informações aparentemente sem
sentido, para que usuários não autorizados não consigam acesso as
informações cifradas, e pode ser usada para proteger documentos ou
dados confidenciais transmitidos pela internet ou por redes locais.
32
O método de criptografaia mais comum consiste na utilização de
chave publica/chave privada. Através de uma formula matemática duas
chaves são geradas, uma publica e uma privada (secreta). A chave
publica, que qualquer pessoa pode saber, é usada para criptografar os
dados. Enquanto a chave privada, que só o destinatário conhece, é
utilizada para descriptografar os dados. Mesmo com a chave publica
podendo ser conhecida por qualquer usuário, é impossível através dela
descriptografar os dados ou descobrir a chave privada.
6.1 Criptografia Simétrica
A criptografia simétrica usa a mesma chave tanto para criptografar
como para descriptografar dados. Os algoritmos que são usados para a
criptografia simétrica são mais simples do que os algoritmos usados na
criptografia assimétrica. Em função desses algoritmos mais simples, e
porque a mesma chave é usada tanto para criptografar como para
descriptografar dados, a criptografia simétrica é muito mais rápida que a
criptografia assimétrica. Portanto, a criptografia simétrica é adequada à
criptografia e à descriptografia de uma grande quantidade de dados.
Uma das principais desvantagens da criptografia simétrica é o uso da
mesma chave tanto para criptografar como para descriptografar os
33
dados. Por isso, todas as partes que enviam e recebem os dados
devem conhecer ou ter acesso à chave de criptografia. Esse requisito
cria um problema de gerenciamento de segurança e problemas de
gerenciamento de chave que uma organização deve considerar em seu
ambiente. Um problema de gerenciamento de segurança existe porque
a organização deve enviar essa chave de criptografia a todos que
requisitarem acesso aos dados criptografados. Os problemas de
gerenciamento de chaves que uma organização deve considerar
incluem a geração, a distribuição, o backup, a nova geração e o ciclo de
vida da chave.
A criptografia simétrica fornece autorização para dados criptografados.
Por exemplo, ao usar a criptografia simétrica, uma organização pode
estar razoavelmente certa de que apenas as pessoas autorizadas a
acessar a chave de criptografia compartilhada podem descriptografar o
texto codificado. No entanto, a criptografia simétrica não fornece não-
repúdio. Por exemplo, em um cenário em que vários grupos têm acesso
à chave de criptografia compartilhada, a criptografia simétrica não pode
confirmar o grupo específico que envia os dados. Os algoritmos de
criptografia usados na criptografia simétrica incluem o seguinte:
• RC2 (128 bits)
• 3DES (Triple Data Encryption Standard, Padrão triplo de
criptografia de dados)
• AES (Padrão de criptografia avançada)
6.2 Criptografia Assimétrica
34
A criptografia assimétrica usa duas chaves diferentes, porém
matematicamente relacionadas, para criptografar e descriptografar
dados. Essas chaves são conhecidas como chaves privadas e chaves
públicas. Em conjunto, essas chaves são conhecidas como par de
chaves. A criptografia assimétrica é considerada mais segura do que a
criptografia simétrica, porque a chave usada para criptografar os dados
é diferente da que é usada para descriptografá-los. Contudo, como a
criptografia assimétrica usa algoritmos mais complexos do que a
simétrica, e como a criptografia assimétrica usa um par de chaves, o
processo de criptografia é muito mais lento quando uma organização
usa a criptografia assimétrica do que quando usa a simétrica.
Com a criptografia assimétrica, somente uma parte mantém a chave
privada. Essa parte é conhecida como o assunto. Todas as outras
partes podem acessar a chave pública. Os dados criptografadas por
meio da chave pública só podem ser descriptografados com o uso da
chave privada. Por outro lado, os dados criptografados por meio da
chave privada só podem ser descriptografados com o uso da chave
pública. Por conseguinte, esse tipo de criptografia fornece
confidencialidade e não-repúdio.
35
Uma organização pode usar esse tipo de criptografia para fornecer
autorização, usando a chave pública para criptografar dados. Essa
chave é disponibilizada publicamente. Desse modo, qualquer um pode
criptografar os dados. No entanto, como apenas o assunto mantém a
chave privada, a organização pode estar razoavelmente certa de que
apenas o destinatário pretendido pode descriptografar e exibir os dados
criptografados.
Uma organização pode usar esse tipo de criptografia para fornecer
autenticação, usando a chave privada para criptografar dados. Apenas
o assunto mantém essa chave. No entanto, todos podem
descriptografar os dados porque a chave pública que descriptografa
esses dados é disponibilizada publicamente. Conseqüentemente, se o
destinatário pode descriptografar esses dados por meio da chave
pública, pode estar razoavelmente certo de que apenas o assunto
criptografou os dados. Os algoritmos de criptografia usados na
criptografia assimétrica incluem o seguinte:
• Acordo de chaves de Diffie-Hellman
É um método para troca segura de chaves, inventado em 1976, por
Whitfield Diffie e Martin Hellman, com o objetivo é permitir a troca de
chaves entre duas entidades remotas através de um meio de
comunicação não segura, baseado na operação de logaritmos
discretos.
• RSA (Rivest-Shamir-Adleman)
O algoritmo RSA foi desenvolvido em 1977, por Ron Rivest, Adi Shamir
e Len Adleman, e é um algoritmo de chave pública baseado em
logaritmos discretos, onde as senhas são geradas com base em dois
números primos grandes (mais de 100 dígitos). A segurança é baseada
na dificuldade de fatoração de números inteiros.
• DSA (Algoritmo de assinatura digital)
36
CONCLUSÃO
Durante esse trabalho abordamos um problema que vem crescendo a
cada dia no Brasil, as fraudes bancarias, e os prejuízos que esse golpe tem
37
causado tanto para as instituições financeiras, quanto para as pessoas vitimas
dessas fraudes.
As instituições financeiras de uma maneira geral vem investindo muito
em segurança, e novas tecnologias para proteger a si mesmas e a seus
clientes, porem ainda assim esses golpes continuam ocorrendo. Segundo a
Febraban a perda com fraudes bancarias no primeiro semestre de 2011
chegou a 685 milhões de reais. Ainda segundo a Febraban não a registro de
ocorrência de fraudes eletrônicas através da invasão dos sistemas internos dos
bancos, e que na maioria das vezes a fraude ocorre com a captura de
informações da tarja magnética do cartão durante a compra, ou em
computadores cujos usuários não adotam medidas de segurança adequadas,
como utilização de antivírus e sistemas operacionais legítimos.
Diante de todas as tecnologias estudadas, das entrevistas e sugestões
de funcionários de bancos, e reportagens pesquisadas, concluímos que uma
grande quantidade das fraudes ainda ocorrem por falta de conhecimento dos
usuários. O investimento em informação apesar de ser pequeno ainda não é
muito explorado pelas instituições financeiras. Consideramos a partir dos
pontos estudados que a implementação de políticas voltadas a orientação
adequada dos clientes quanto a aspectos de segurança teriam um bom custo
benefícios e seriam de grande utilidade tanto para as instituições quanto para
os clientes.
ANEXOS
Índice de anexos
38
Anexo 1 >>Reportagem AE: Fraude em conta bancária é o crime eletrônico
mais comum;
Anexo 2 >> Reportagem Folha.com: Prejuízo com fraudes bancárias na
internet cresce 36%;
Anexo 3 >> Questionário modelo; Anexo 4 >> Questionário Resultado;
39
ANEXO 1
REPORTAGEM
Fraude em conta bancária é o crime eletrônico mais
comum
Pesquisa da Fecomercio mostra que 300 mil famílias paulistanas têm ao
menos um integrante que já foi vítima de crime eletrônico
AE | 10/10/2011 11:38 Pesquisa da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (Fecomercio-SP) revela que 300 mil famílias paulistanas têm ao menos um integrante que já foi vítima de crime eletrônico. A fraude mais comum é o desvio de dinheiro da conta bancária, atingindo quase um quarto, ou 24,71%, dessas vítimas. Em seguida, aparecem clonagem de páginas pessoais em sites de relacionamento e a não entrega de produtos comprados, ambas infrações com 15,29% das ocorrências. A Pesquisa sobre Hábitos dos Paulistanos na Internet, realizada em maio com 1.000 entrevistados, será divulgada hoje (10) durante o 3.º Congresso de Crimes Eletrônicos e Formas de Proteção, em São Paulo. Procon-SP denuncia fraudes em sites de comércio eletrônico De acordo com o levantamento, compras indevidas creditadas em cartões de crédito já prejudicaram 14,12% das vítimas de crimes eletrônicos, enquanto o uso indevido de dados pessoais atingiram 12,94%, a clonagem de cartão, 7,06%, e as compras em lojas que não existem, 2,35%. Na divisão por gênero, 9,72% da população masculina afirma ter sido vítima de infrações eletrônicas, enquanto 7,28% das mulheres já se viram na mesma situação. Apenas 37,65% das vítimas registraram queixa na polícia, informou a entidade. O crime eletrônico afasta o consumidor do e-commerce, mas em proporção menor do que a registrada no ano passado. De acordo com o levantamento, 29,41% das vítimas não voltam a realizar compras pela internet. Esse número é 5,01 pontos porcentuais menor que o da pesquisa de 2010. "O dado demonstra que os paulistanos estão aprendendo com os erros e procurando se proteger ao invés de simplesmente abandonar as vantagens oferecidas pela internet", interpreta a Fecomercio-SP. O total de pessoas que usa antivírus, no entanto, caiu de 79,45% para 76,85%.
40
O medo de fraudes é justamente o que mais afasta o consumidor do e-commerce: 52,69% o citam como razão para não aderir às compras pela web. Esse nível, porém, é menor que o registrado em 2010, quando 63,74% dos pesquisados apontaram o medo de fraudes como o principal motivo. A necessidade de ver pessoalmente o produto antes da compra é lembrada por 23,15% das pessoas e o preço final da compra (produto mais frete), por 17,66%. A pesquisa mostra que mais da metade dos paulistanos (51,5%) recorrem a compras pela internet, principalmente por conta da praticidade, motivo relacionado por 54,46% dos internautas - 8,84 pontos porcentuais acima do registrado em 2010. Preço é uma vantagem apontada por 27,52% (ante 30,28% em 2010) e confiança, por 16,47% (ante 23,31%). Os consumidores reclamam da falta de informações claras e precisas a respeito dos produtos e serviços oferecidos - 43,51% dos paulistanos consultados estão insatisfeitos com os dados fornecidos, número 8,35 pontos porcentuais maior que o registrado em 2010.
41
ANEXO 2
REPORTAGEM
Prejuízo com fraudes bancárias na internet cresce 36%
FOLHA.COM | 19/08/2011 15:31 As perdas com fraudes bancárias realizadas por meio eletrônico totalizaram R$ 685 milhões no primeiro semestre do ano, alta de 36% na comparação com o mesmo período do ano passado. Os dados foram divulgados nesta sexta-feira pela Febraban (Federação Brasileira dos Bancos). Segundo Wilson Gutierrez, diretor técnico da entidade, o aumento é consequência do uso crescente dos meios eletrônicos como forma de pagamento, da falta de uma legislação que iniba o avanço da ação dos criminosos com punições efetivas, e do descuido de alguns usuários em relação a procedimentos de segurança. De acordo com o diretor, não há registro de invasão ou fraude eletrônica a partir dos sistemas internos dos bancos. Gutierrez afirma que as fraudes quase sempre ocorrem externamente, como, por exemplo, "por captura de trilhas de cartões nas operações de compras". A Febraban informa que na internet é comum que a fraude só ocorra porque, ao ser iludido, o cliente informa os seus códigos e senhas para os estelionatários, além de não adotar as medidas recomendáveis de segurança nos seus equipamentos, como antivírus, sistemas operacionais legítimos e firewall. Para impedir a ação crescente dos criminosos, em especial nas fraudes pela internet, a federação defende que seja promulgada lei, pelo Congresso Nacional, com tipificação específica aos novos crimes, denominados "cibernéticos" ou de natureza eletrônica.
42
ANEXO 3
QUESTIONARIO MODELO
1) Quantos casos de fraudes bancarias já observaram no ultimo ano?
2) Dos casos observados informe a quantidade de cada tipo especifico de ocorrência: [ ] Fraude com Cartão [ ] Acesso a conta corrente através de internet [ ] Clonagem de cheque
3) De todas as ocorrências em quantas foram utilizadas as senhas do cliente?
4) Na maior parte dos casos os clientes demonstravam ter conhecimento sob aspectos de segurança?
5) Na sua opinião quais medidas poderiam ser adotadas para reduzir essas ocorrências?
43
ANEXO 4
RESULTADO QUESTIONARIO
Dados obtidos através da resposta dos questionário aplicado:
Quantidade de Fraudes
Quantidade por Tipo de Fraude
Casos com utilização de
Senha
Clientes que demonstraram
conhecimento de Segurança
Funcionario 1 3 2 Cartao; 1 Cheque 0 1 Funcionario 2 2 2 Cartão 0 1 Funcionario 3 6 4 Cartão; 1 Internet; 1 Cheque 3 4 Funcionario 4 5 3 Cartão; 2 Cheque 1 2 Funcionario 5 3 2 Cartão; 1 Cheque 0 2 Funcionario 6 5 3 Cartão; 1 Internet; 1 Cheque 2 4 Funcionario 7 2 2 Cartão 0 0 Funcionario 8 1 1 Cartão 0 0 Funcionario 9 4 1 Cartão; 1 Internet; 2 Cheque 1 2 Funcionario 10 3 2 Cartão; 1 Cheque; 1 2 Total 34 22 Cartão; 3 Internet; 9 Cheque 8 18
44
BIBLIOGRAFIA CONSULTADA
SILVA, Pedro Tavares. Segurança dos Sistemas de Informação. Portugal:
Centro Atlantico, 2003.
FONTES, Edison Luis Gonçalves, Segurança da Informação – O usuário faz a
diferença. Brasil: Saraiva, 2006
SANTOS, Alfredo Luis dos, Gerenciamento de Identidades – Segurança da
Informação. Brasil: Brasport, 2007.
FEBRABAN - Federação Brasileira de Bancos (www.febraban.org.br/)
BACEN - Banco Central do Brasil (www.bcb.gov.br)
ITI – Instituto Nacional de Tecnologia da Informação (www.iti.gov.br)
45
ÍNDICE
FOLHA DE ROSTO 02
AGRADECIMENTO 03
DEDICATÓRIA 04
RESUMO 05
METODOLOGIA 06
SUMÁRIO 07
INTRODUÇÃO 08
CAPÍTULO I – INTRODUÇÃO A SEGURANÇA
DA INFORMAÇÃO 09
Principais Aspectos da Segurança
da Informação 10
CAPÍTULO II – LEGISLAÇÃO 12
CAPÍTULO III – ESTUDO DE CASOS 16
Ocorrências Observadas 16
Utilização de Senha nas Ocorrências Observadas 19
Conhecimentos sobre aspectos de segurança 20
Medidas para Reduzir Ocorrências 21
CAPÍTULO III – TECNOLOGIA NO COMBATE
A FRAUDES 23
Smart Cards 23
Teclados Virtuais 24
Captcha e Certificação Digital 25
Biometria 27
Criptografia 32
CONCLUSÃO 37
ANEXOS 38
BIBLIOGRAFIA CONSULTADA 44
ÍNDICE 45
