Cartilha de Segurança para Internet - Fraudes
Upcoming SlideShare
Loading in...5
×
 

Cartilha de Segurança para Internet - Fraudes

on

  • 684 views

Parte IV: Fraudes na Internet

Parte IV: Fraudes na Internet
http://www.centralinfors.com.br

Statistics

Views

Total Views
684
Slideshare-icon Views on SlideShare
684
Embed Views
0

Actions

Likes
0
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Cartilha de Segurança para Internet - Fraudes Cartilha de Segurança para Internet - Fraudes Document Transcript

    • Comitê Gestor da Internet no Brasil Cartilha de Segurança para InternetParte IV: Fraudes na Internet Versão 3.1 2006
    • CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸Cartilha de Seguranca para Internet ¸ Parte IV: Fraudes na Internet Esta parte da cartilha aborda quest˜ es relacionadas a fraudes na In- o ¸˜ ternet. S˜ o apresentadas algumas maneiras de prevencao contra ata- a ¸˜ ques de engenharia social, situacoes envolvendo fraudes comerciais e banc´ rias via Internet, bem como medidas preventivas que um usu´ rio a a deve adotar ao acessar sites de com´ rcio eletrˆ nico ou Internet Banking. e o e ´ Tamb´ m e apresentado o conceito de boato (hoax) e s˜ o discutidas algu- a ¸˜ ¸˜ mas implicacoes de seguranca e formas para se evitar sua distribuicao. ¸ ˜ Versao 3.1 – Outubro de 2006 http://cartilha.cert.br/
    • Parte IV: Fraudes na InternetSum´ rio a1 Engenharia Social 3 1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . . . . . 32 Fraudes via Internet 3 ´ ¸˜ 2.1 O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . . . . . 4 2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” . . . . . . . . . . o ¸ 4 2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . . . . . . . e 4 ´ ¸˜ 2.2 O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? . . . . 5 2.2.1 Mensagens que contˆ m links para programas maliciosos . . . . . . . . . . . e 5 2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas . . . . . . . a e o 8 a ¸˜ 2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes sens´veis . ı 9 ¸ ¸˜ 2.2.4 Comprometimento do servico de resolucao de nomes . . . . . . . . . . . . . 9 ¸˜ 2.2.5 Utilizacao de computadores de terceiros . . . . . . . . . . . . . . . . . . . . 10 2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico ou Internet a e o Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 a ´ 2.4 Como verificar se a conex˜ o e segura (criptografada)? . . . . . . . . . . . . . . . . . 11 2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? . . . . . . . . . a 13 ´ 2.6 Como posso saber se o certificado emitido para o site e leg´timo? . . . . . . . . . . . ı 13 2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usados por a terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Boatos 14 3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? . . . . . . . . . . . . a ¸ 15 ¸˜ 3.2 Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . . . . . . 15 ´ 3.3 Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . . . . . . 15Como Obter este Documento 17Licenca de Uso da Cartilha ¸ 17Agradecimentos 17Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 2/17
    • Parte IV: Fraudes na Internet1 Engenharia Social Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza ¸˜ ¸˜meios, como uma ligacao telefˆ nica ou e-mail, para persuadir o usu´ rio a fornecer informacoes ou o a ¸˜ ¸˜realizar determinadas acoes. Exemplos destas acoes s˜ o: executar um programa, acessar uma p´ gina a afalsa de com´ rcio eletrˆ nico ou Internet Banking atrav´ s de um link em um e-mail ou em uma p´ gina, e o e aetc. O conceito de engenharia social, bem como alguns exemplos deste tipo de ataque, podem serencontrados na Parte I: Conceitos de Seguranca. Exemplos espec´ficos destes ataques, envolvendo ¸ ı ¸˜diversos tipos de fraude, s˜ o abordados nas secoes 2.1 e 2.2. a1.1 Como me protejo deste tipo de abordagem? ´ Em casos de engenharia social o bom senso e essencial. Fique atento para qualquer abordagem,seja via telefone, seja atrav´ s de um e-mail, onde uma pessoa (em muitos casos falando em nome de e ¸˜ ¸˜uma instituicao) solicita informacoes (principalmente confidenciais) a seu respeito. Procure n˜ o fornecer muita informacao e n˜ o forneca, sob hip´ tese alguma, informacoes sen- a ¸˜ a ¸ o ¸˜s´veis, como senhas ou n´ meros de cart˜ es de cr´ dito. ı u o e Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas a ´ou clicar em um link contido em um e-mail ou p´ gina Web, e extremamente importante que vocˆ , eantes de realizar qualquer aca¸ ˜ o, procure identificar e entrar em contato com a instituicao envolvida, ¸ ˜para certificar-se sobre o caso.2 Fraudes via Internet a ´ Normalmente, n˜ o e uma tarefa simples atacar e fraudar dados em um servidor de uma instituicao ¸˜ a e ¸ ¸˜banc´ ria ou comercial. Ent˜ o, atacantes tˆ m concentrado seus esforcos na exploracao de fragilidades ados usu´ rios, para realizar fraudes comerciais e banc´ rias atrav´ s da Internet. a a e Para obter vantagens, os fraudadores tˆ m utilizado amplamente e-mails com discursos que, na emaioria dos casos, envolvem engenharia social e que tentam persuadir o usu´ rio a fornecer seus dados a a ´pessoais e financeiros. Em muitos casos, o usu´ rio e induzido a instalar algum c´ digo malicioso oou acessar uma p´ gina fraudulenta, para que dados pessoais e sens´veis, como senhas banc´ rias e a ı a o e ´n´ meros de cart˜ es de cr´ dito, possam ser furtados. Desta forma, e muito importante que usu´ rios u ade Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem servicos de com´ rcio ¸ eeletrˆ nico ou Internet Banking. o ¸˜ ¸˜ ¸˜ A secoes 2.1 e 2.2 ilustram algumas situacoes envolvendo estes tipos de fraudes. A secao 2.3descreve alguns cuidados a serem tomados pelos usu´ rios de Internet, ao acessarem sites de com´ rcio a e ¸˜eletrˆ nico ou Internet Banking. As secoes 2.4, 2.5 e 2.6 apresentam alguns procedimentos para veri- o ¸˜ficar a legitimidade de um site. E a secao 2.7 recomenda o que o usu´ rio deve fazer se perceber que aseus dados financeiros podem estar sendo usados por terceiros.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3/17
    • Parte IV: Fraudes na Internet ´ ¸˜2.1 O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? ´ ¸˜ O scam (ou “golpe”) e qualquer esquema ou acao enganosa e/ou fraudulenta que, normalmente,tem como finalidade obter vantagens financeiras. ¸˜ ¸˜ As subsecoes 2.1.1 e 2.1.2 apresentam duas situacoes envolvendo este tipo de fraude, sendo que ¸˜a primeira situacao se d´ atrav´ s de p´ ginas disponibilizadas na Internet e a segunda atrav´ s do re- a e a e ¸˜cebimento de e-mails. Observe que existem variantes para as situacoes apresentadas e outros tipos e ´de scam. Al´ m disso, novas formas de scam podem surgir, portanto e muito importante que vocˆ se emantenha informado sobre os tipos de scam que vˆ m sendo utilizados pelos fraudadores, atrav´ s dos e e ¸˜ve´culos de comunicacao, como jornais, revistas e sites especializados. ı2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” o ¸ Vocˆ acessa um site de leil˜ o ou de venda de produtos, onde os produtos ofertados tˆ m precos e a e ¸muito abaixo dos praticados pelo mercado.Risco: ao efetivar uma compra, na melhor das hip´ teses, vocˆ receber´ um produto que n˜ o condiz o e a acom o que realmente foi solicitado. Na maioria dos casos, vocˆ n˜ o receber´ nenhum produto, perder´ e a a a ¸˜o dinheiro e poder´ ter seus dados pessoais e financeiros furtados, caso a transacao tenha envolvido, apor exemplo, o n´ mero do seu cart˜ o de cr´ dito. u a eComo identificar: faca uma pesquisa de mercado sobre preco do produto desejado e compare com ¸ ¸os precos oferecidos. Ent˜ o, vocˆ deve se perguntar por que est˜ o oferecendo um produto com preco ¸ a e a ¸t˜ o abaixo do praticado pelo mercado. a ´E importante ressaltar que existem muitos sites confi´ veis de leil˜ es e de vendas de produtos, mas a o ¸˜ ¸˜ ´nesta situacao a intencao e ilustrar casos de sites especificamente projetados para realizar atividadesil´citas. ı2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) e e ¸˜ Vocˆ recebe um e-mail em nome de uma instituicao governamental da Nig´ ria (por exemplo, o eBanco Central), onde e ´ solicitado que vocˆ atue como intermedi´ rio em uma transferˆ ncia internaci- e a eonal de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenasde milh˜ es de d´ lares. o o ´ Como recompensa, vocˆ ter´ direito de ficar com uma porcentagem (que e normalmente alta) do e a ¸˜ ´valor mencionado na mensagem. Para completar a transacao e solicitado que vocˆ pague antecipa- edamente uma quantia, normalmente bem elevada, para arcar com taxas de transferˆ ncia de fundos, ecustos com advogados, entre outros. e ´ ¸˜ Este tipo de golpe tamb´ m e conhecido como Advance Fee Fraud, ou “a fraude de antecipacao de ´pagamentos”, e j´ foram registrados casos originados ou que mencionavam a Africa do Sul, Angola, aEti´ pia, Lib´ ria, Marrocos, Serra Leoa, Tanzˆ nia, Zaire, Zimb´ bue, Holanda, Iugosl´ via, Austr´ lia, o e a a a aJap˜ o, Mal´ sia e Taiwan, entre outros. a a ` ¸˜ No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o n´ mero “419” refere-se a secao do u o e ´ ´ equivalente ao artigo 171 do c´ digo penalc´ digo penal da Nig´ ria que e violada por este golpe. E obrasileiro, ou seja, estelionato.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 4/17
    • Parte IV: Fraudes na InternetRisco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, vocˆ n˜ o s´ perder´ e a o ao dinheiro investido, mas tamb´ m nunca ver´ os milhares ou milh˜ es de d´ lares prometidos como e a o orecompensa.Como identificar: normalmente, estas mensagens apresentam quantias astronˆ micas e abusam da o ¸˜ ¸˜utilizacao de palavras capitalizadas (todas as letras mai´ sculas) para chamar a atencao do usu´ rio. u aPalavras como “URGENT” (urgente) e “CONFIDENTIAL” (confidencial) tamb´ m s˜ o comumente e a ¸˜usadas no assunto da mensagem para chamar a atencao do usu´ rio. aVocˆ deve se perguntar por que foi escolhido para receber estes “milhares ou milh˜ es” de d´ lares, e o oentre os in´ meros usu´ rios que utilizam a Internet. u a ´ ¸˜2.2 O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? Phishing, tamb´ m conhecido como phishing scam ou phishing/scam, foi um termo originalmente ecriado para descrever o tipo de fraude que se d´ atrav´ s do envio de mensagem n˜ o solicitada, que se a e a ¸˜ ¸˜passa por comunicacao de uma instituicao conhecida, como um banco, empresa ou site popular, e queprocura induzir o acesso a p´ ginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e afinanceiros de usu´ rios. a A palavra phishing (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas”(e-mails) s˜ o usadas para “pescar” senhas e dados financeiros de usu´ rios da Internet. a a Atualmente, este termo vˆ m sendo utilizado tamb´ m para se referir aos seguintes casos: e e • mensagem que procura induzir o usu´ rio a instalacao de c´ digos maliciosos, projetados para a ` ¸˜ o furtar dados pessoais e financeiros; • mensagem que, no pr´ prio conte´ do, apresenta formul´ rios para o preenchimento e envio de o u a dados pessoais e financeiros de usu´ rios. a ¸˜ ¸˜ A subsecoes a seguir apresentam cinco situacoes envolvendo phishing, que vˆ m sendo utilizadas e ¸˜por fraudadores na Internet. Observe que existem variantes para as situacoes apresentadas. Al´ m e ´disso, novas formas de phishing podem surgir, portanto e muito importante que vocˆ se mantenha einformado sobre os tipos de phishing que vˆ m sendo utilizados pelos fraudadores, atrav´ s dos ve´culos e e ı ¸˜de comunicacao, como jornais, revistas e sites especializados. e ´ Tamb´ m e muito importante que vocˆ , ao identificar um caso de fraude via Internet, notifique a einstituicao envolvida, para que ela possa tomar as providˆ ncias cab´veis1 . ¸˜ e ı2.2.1 Mensagens que contˆ m links para programas maliciosos e Vocˆ recebe uma mensagem por e-mail ou via servico de troca instantˆ nea de mensagens, onde o e ¸ a ¸˜texto procura atrair sua atencao, seja por curiosidade, por caridade, pela possibilidade de obter algumavantagem (normalmente financeira), entre outras. O texto da mensagem tamb´ m pode indicar que a e a ¸˜ a uˆn˜ o execucao dos procedimentos descritos acarretar˜ o conseq¨ encias mais s´ rias, como, por exemplo, e 1 Veja ¸˜ detalhes sobre como realizar a notificacao na Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede. ¸Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 5/17
    • Parte IV: Fraudes na Interneta inclus˜ o do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta banc´ ria ou a ado seu cart˜ o de cr´ dito, etc. A mensagem, ent˜ o, procura induz´-lo a clicar em um link, para baixar a e a ıe abrir/executar um arquivo. ¸˜ Alguns exemplos de temas e respectivas descricoes dos textos encontrados em mensagens destetipo s˜ o apresentados na tabela 1. a Tabela 1: Exemplos de temas de mensagens de phishing. Tema Texto da mensagem Cart˜ es virtuais o UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Cri- anca Esperanca, AACD/Teleton. ¸ ¸ SERASA e SPC ¸˜ d´ bitos, restricoes ou pendˆ ncias financeiras. e e Servicos de governo eletrˆ nico ¸ o CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova ¸˜ ¸˜ vers˜ o ou correcao para o programa de declaracao, consulta a ¸˜ da restituicao, dados incorretos ou incompletos na declara- ¸˜ ¸˜ ¸˜ cao), eleicoes (t´tulo eleitoral cancelado, simulacao da urna ı eletrˆ nica). o ´ Albuns de fotos pessoa supostamente conhecida, celebridades, relacionado a ¸˜ algum fato noticiado (em jornais, revistas, televis˜ o), traicao, a nudez ou pornografia, servico de acompanhantes. ¸ Servico de telefonia ¸ pendˆ ncias de d´ bito, aviso de bloqueio de servicos, detalha- e e ¸ mento de fatura, cr´ ditos gratuitos para o celular. e Antiv´rus ı ¸˜ ¸˜ a melhor opcao do mercado, nova vers˜ o, atualizacao de vaci- a ¸˜ nas, novas funcionalidades, eliminacao de v´rus do seu com- ı putador. Not´cias/boatos ı fatos amplamente noticiados (ataques terroristas, tsunami, ter- remotos, etc), boatos envolvendo pessoas conhecidas (morte, ¸˜ acidentes ou outras situacoes chocantes). Reality shows BigBrother, Casa dos Artistas, etc – fotos ou v´deos envol- ı vendo cenas de nudez ou er´ ticas, discadores. o Programas ou arquivos diversos ¸˜ novas vers˜ es de softwares, correcoes para o sistema operaci- o onal Windows, m´ sicas, v´deos, jogos, acesso gratuito a ca- u ı ¸˜ nais de TV a cabo no computador, cadastro ou atualizacao de curr´culos, recorra das multas de trˆ nsito. ı a Pedidos ¸˜ orcamento, cotacao de precos, lista de produtos. ¸ ¸ Discadores para conex˜ o Internet gratuita, para acessar imagens ou v´deos a ı restritos. Sites de com´ rcio eletrˆ nico e o ¸˜ ¸˜ atualizacao de cadastro, devolucao de produtos, cobranca de ¸ ¸˜ d´ bitos, confirmacao de compra. e Convites ¸˜ convites para participacao em sites de relacionamento (como o orkut) e outros servicos gratuitos. ¸ Dinheiro f´ cil a descubra como ganhar dinheiro na Internet. ¸˜ Promocoes diversos. Prˆ mios e ¸˜ loterias, instituicoes financeiras. Propaganda produtos, cursos, treinamentos, concursos. FEBRABAN cartilha de seguranca, avisos de fraude. ¸ IBGE censo.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 6/17
    • Parte IV: Fraudes na Internet a ´ Cabe ressaltar que a lista de temas na tabela 1 n˜ o e exaustiva, nem tampouco se aplica a todos oscasos. Existem outros temas e novos temas podem surgir.Risco: ao clicar no link, ser´ apresentada uma janela, solicitando que vocˆ salve o arquivo. Depois a ede salvo, se vocˆ abr´-lo ou execut´ -lo, ser´ instalado um programa malicioso (malware) em seu e ı a acomputador, por exemplo, um cavalo de tr´ ia ou outro tipo de spyware, projetado para furtar seus odados pessoais e financeiros, como senhas banc´ rias ou n´ meros de cart˜ es de cr´ dito2 . Caso o seu a u o eprograma leitor de e-mails esteja configurado para exibir mensagens em HTML, a janela solicitandoque vocˆ salve o arquivo poder´ aparecer automaticamente, sem que vocˆ clique no link. e a eAinda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computa- ¸˜dor automaticamente, ou seja, sem a sua intervencao, caso seu programa leitor de e-mails possuavulnerabilidades.Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usu´ rio, dentre a ¸˜elas: capturar teclas digitadas no teclado; capturar a posicao do cursor e a tela ou regi˜ es da tela, no o ´momento em que o mouse e clicado; sobrepor a janela do browser do usu´ rio com uma janela falsa, aonde os dados ser˜ o inseridos; ou espionar o teclado do usu´ rio atrav´ s da Webcam (caso o usu´ rio a a a e apossua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas t´ cnicas podem ser e ¸˜vistos na secao de keyloggers, na Parte VIII: C´ digos Maliciosos (Malware). oDepois de capturados, seus dados pessoais e financeiros ser˜ o enviados para os fraudadores. A partir a ı a ¸˜da´, os fraudadores poder˜ o realizar diversas operacoes, incluindo a venda dos seus dados para tercei- ¸˜ros, ou utilizacao dos seus dados financeiros para efetuar pagamentos, transferir valores para outrascontas, etc.Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta: • leia atentamente a mensagem. Normalmente, ela conter´ diversos erros gramaticais e de orto- a grafia; • os fraudadores utilizam t´ cnicas para ofuscar o real link para o arquivo malicioso, apresentando e ` ¸˜ o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser´ poss´vel ver o real endereco do arquivo malicioso na barra de status a ı ¸ do programa leitor de e-mails, ou browser, caso esteja atualizado e n˜ o possua vulnerabilidades. a Normalmente, este link ser´ diferente do apresentado na mensagem; a • qualquer extens˜ o pode ser utilizada nos nomes dos arquivos maliciosos, mas fique particular- a mente atento aos arquivos com extens˜ es “.exe”, “.zip” e “.scr”, pois estas s˜ o as mais utiliza- o a das. Outras extens˜ es freq¨ entemente utilizadas por fraudadores s˜ o “.com”, “.rar” e “.dll”; o u a • fique atento as mensagens que solicitam a instalacao/execucao de qualquer tipo de arquivo/pro- ` ¸˜ ¸˜ grama; • acesse a p´ gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados a ¸˜ ¸˜ ¸˜ apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que vocˆ e a ´ ¸˜ recebeu. Em muitos casos, vocˆ vai observar que n˜ o e pol´tica da instituicao enviar e-mails e ı para usu´ rios da Internet, de forma indiscriminada, principalmente contendo arquivos anexados. a 2O conceito de malware pode ser encontrado na Parte I: Conceitos de Seguranca. Os conceitos de cavalo de tr´ ia e ¸ ospyware est˜ o dispon´veis na Parte VIII: C´ digos Maliciosos (Malware). a ı oCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7/17
    • Parte IV: Fraudes na Internet ¸˜Recomendacoes: • no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como pa- rˆ metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos a fraudadores; • se vocˆ ainda tiver alguma d´ vida e acreditar que a mensagem pode ser verdadeira, entre em e u ¸˜ contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, princi- ¸˜ palmente informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito. ı u o e2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas a e o Vocˆ recebe uma mensagem por e-mail ou via servico de troca instantˆ nea de mensagens, em e ¸ a e o ¸˜nome de um site de com´ rcio eletrˆ nico ou de uma instituicao financeira, por exemplo, um banco. ¸˜Textos comuns neste tipo de mensagem envolvem o recadastramento ou confirmacao dos dados do a ¸˜ ¸˜usu´ rio, a participacao em uma nova promocao, etc. A mensagem, ent˜ o, tenta persuad´-lo a clicar a ıem um link contido no texto, em uma imagem, ou em uma p´ gina de terceiros. aRisco: o link pode direcion´ -lo para uma p´ gina Web falsificada, semelhante ao site que vocˆ real- a a emente deseja acessar. Nesta p´ gina ser˜ o solicitados dados pessoais e financeiros, como o n´ mero, a a u ¸˜data de expiracao e c´ digo de seguranca do seu cart˜ o de cr´ dito, ou os n´ meros da sua agˆ ncia e o ¸ a e u econta banc´ ria, senha do cart˜ o do banco e senha de acesso ao Internet Banking. a a ı a a ¸˜Ao preencher os campos dispon´veis na p´ gina falsificada e clicar no bot˜ o de confirmacao (em muitoscasos o bot˜ o apresentar´ o texto “Confirm”, “OK”, “Submit”, etc), os dados ser˜ o enviados para os a a afraudadores. ı a ¸˜A partir da´, os fraudadores poder˜ o realizar diversas operacoes, incluindo a venda dos seus dados ¸˜para terceiros, ou utilizacao dos seus dados financeiros para efetuar pagamentos, transferir valorespara outras contas, etc.Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta: • os fraudadores utilizam t´ cnicas para ofuscar o real link para a p´ gina falsificada, apresentando e a ` ¸˜ o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor do mouse sobre o link, ser´ poss´vel ver o real endereco da p´ gina falsificada na barra de status a ı ¸ a do programa leitor de e-mails, ou browser, caso esteja atualizado e n˜ o possua vulnerabilidades. a Normalmente, este link ser´ diferente do apresentado na mensagem; a • acesse a p´ gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados a ¸˜ ¸˜ ¸˜ apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que vocˆ e recebeu; • sites de com´ rcio eletrˆ nico ou Internet Banking confi´ veis sempre utilizam conex˜ es seguras e o a o ¸˜ (vide secao 2.4) quando dados pessoais e financeiros de usu´ rios s˜ o solicitados. Caso a p´ gina a a a n˜ o utilize conex˜ o segura, desconfie imediatamente. Caso a p´ gina falsificada utilize conex˜ o a a a a segura, um novo certificado (que n˜ o corresponde ao site verdadeiro) ser´ apresentado e, pos- a a sivelmente, o endereco mostrado no browser ser´ diferente do endereco correspondente ao site ¸ a ¸ verdadeiro.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8/17
    • Parte IV: Fraudes na Internet ¸˜Recomendacoes: • no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como pa- rˆ metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos a fraudadores; • se vocˆ ainda tiver alguma d´ vida e acreditar que a mensagem pode ser verdadeira, entre em e u ¸˜ contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, princi- ¸˜ palmente informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito. ı u o e a ¸˜2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes sens´veis ı e o ¸˜ Vocˆ recebe um e-mail em nome de um site de com´ rcio eletrˆ nico ou de uma instituicao banc´ ria. e a ¸˜O conte´ do da mensagem envolve o recadastramento ou confirmacao de seus dados, a participacao u ¸˜ ¸˜em uma nova promocao, etc. ¸˜ ¸˜ A mensagem apresenta um formul´ rio, com campos para a digitacao de informacoes envolvendo a ¸˜dados pessoais e financeiros, como o n´ mero, data de expiracao e c´ digo de seguranca do seu cart˜ o u o ¸ ade cr´ dito, ou os n´ meros da sua agˆ ncia e conta banc´ ria, senha do cart˜ o do banco e senha de e u e a aacesso ao Internet Banking. A mensagem, ent˜ o, solicita que vocˆ preencha o formul´ rio e apresenta a e a ¸˜um bot˜ o para confirmar o envio das informacoes preenchidas. aRisco: ao preencher os dados e confirmar o envio, suas informacoes pessoais e financeiras ser˜ o ¸˜ a ı a ¸˜transmitidas para fraudadores, que, a partir da´, poder˜ o realizar diversas operacoes, incluindo a venda ¸˜dos seus dados para terceiros, ou utilizacao dos seus dados financeiros para efetuar pagamentos,transferir valores para outras contas, etc.Como identificar: o servico de e-mail convencional n˜ o fornece qualquer mecanismo de criptografia, ¸ a ¸˜ ¸˜ou seja, as informacoes, ao serem submetidas, trafegar˜ o em claro pela Internet. Qualquer instituicao aconfi´ vel n˜ o utilizaria este meio para o envio de informacoes pessoais e sens´veis de seus usu´ rios. a a ¸˜ ı a2.2.4 ¸˜ Comprometimento do servico de resolucao de nomes ¸ Ao tentar acessar um site de com´ rcio eletrˆ nico ou Internet Banking, mesmo digitando o endere- e o¸ e´co diretamente no seu browser, vocˆ e redirecionado para uma p´ gina falsificada, semelhante ao site averdadeiro. Duas poss´veis causas para este caso de phishing s˜ o: ı a • o atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para p´ ginas falsificadas; a • o atacante o induziu a instalar um malware, por exemplo, atrav´ s de uma mensagem recebida e ¸˜ por e-mail (como mostrado na secao 2.2.1), e este malware foi especificamente projetado para ¸˜ alterar o comportamento do servico de resolucao de nomes do seu computador, redirecionando ¸ os acessos a determinados sites para p´ ginas falsificadas. aCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 9/17
    • Parte IV: Fraudes na Internet ¸˜ ¸˜ Apesar de n˜ o ter uma definicao consolidada na data de publicacao desta Cartilha, os ve´culos a ıde comunicacao tˆ m utilizado o termo pharming para se referir a casos espec´ficos de phishing, que ¸˜ e ı ¸˜ ı e ¸˜envolvem algum tipo de redirecao da v´tima para sites fraudulentos, atrav´ s de alteracoes nos servicos ¸ ¸˜de resolucao de nomes.Risco: ao preencher os campos dispon´veis na p´ gina falsificada e confirmar o envio dos dados, suas ı a ¸˜informacoes pessoais e financeiras ser˜ o transmitidas para fraudadores, que, a partir da´, poder˜ o a ı a ¸˜ ¸˜realizar diversas operacoes, incluindo a venda dos seus dados para terceiros, ou utilizacao dos seusdados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.Como identificar: neste caso, onde fraudadores alteram o comportamento do servico de resolucao ¸ ¸˜de nomes, para redirecionar acessos para p´ ginas falsificadas, n˜ o s˜ o v´ lidas dicas como digitar a a a ao endereco diretamente no seu browser, ou observar o endereco apresentado na barra de status do ¸ ¸browser. ´Deste modo, a melhor forma de identificar este tipo de fraude e estar atento para o fato de que sitesde com´ rcio eletrˆ nico ou Internet Banking confi´ veis sempre utilizam conex˜ es seguras quando e o a odados pessoais e financeiros de usu´ rios s˜ o solicitados. Caso a p´ gina n˜ o utilize conex˜ o segura, a a a a adesconfie imediatamente. Caso a p´ gina falsificada utilize conex˜ o segura, um novo certificado, que a a a a ¸˜n˜ o corresponde ao site verdadeiro, ser´ apresentado (mais detalhes sobre verificacao de certificados ¸˜na secao 2.6). ¸˜Recomendacao: se vocˆ ainda tiver alguma d´ vida e acreditar que a p´ gina pode ser verdadeira, e u amesmo n˜ o utilizando conex˜ o segura, ou apresentando um certificado n˜ o compat´vel, entre em a a a ı ¸˜contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente ¸˜informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito. ı u o e2.2.5 ¸˜ Utilizacao de computadores de terceiros Vocˆ utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand ede um evento, para acessar um site de com´ rcio eletrˆ nico ou Internet Banking. e oRisco: como estes computadores s˜ o utilizados por muitas pessoas, vocˆ pode ter todas as suas acoes a e ¸˜ ¸˜monitoradas (incluindo a digitacao de senhas ou n´ mero de cart˜ es de cr´ dito), atrav´ s de programas u o e e ¸˜especificamente projetados para este fim (como visto na secao 2.2.1) e que podem ter sido instaladospreviamente. ¸˜Recomendacao: n˜ o utilize computadores de terceiros em operacoes que necessitem de seus dados a ¸˜pessoais e financeiros, incluindo qualquer uma de suas senhas.2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico a e o ou Internet Banking? Existem diversos cuidados que um usu´ rio deve ter ao acessar sites de com´ rcio eletrˆ nico ou a e oInternet Banking. Dentre eles, podem-se citar: • realizar transacoes somente em sites de instituicoes que vocˆ considere confi´ veis; ¸˜ ¸˜ e a • procurar sempre digitar em seu browser o endereco desejado. N˜ o utilize links em p´ ginas de ¸ a a terceiros ou recebidos por e-mail;Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 10/17
    • Parte IV: Fraudes na Internet • certificar-se de que o endereco apresentado em seu browser corresponde ao site que vocˆ real- ¸ e ¸˜ mente quer acessar, antes de realizar qualquer acao; • certificar-se que o site faz uso de conex˜ o segura (ou seja, que os dados transmitidos entre seu a browser e o site ser˜ o criptografados) e utiliza um tamanho de chave considerado seguro (vide a ¸˜ secao 2.4); • antes de aceitar um novo certificado, verificar junto a instituicao que mant´ m o site sobre sua ` ¸˜ e emiss˜ o e quais s˜ o os dados nele contidos. Ent˜ o, verificar o certificado do site antes de iniciar a a a ¸˜ ¸˜ qualquer transacao, para assegurar-se que ele foi emitido para a instituicao que se deseja acessar ¸˜ e est´ dentro do prazo de validade (vide secao 2.6); a • estar atento e prevenir-se dos ataques de engenharia social (como visto na secao 1.1); ¸˜ • n˜ o acessar sites de com´ rcio eletrˆ nico ou Internet Banking atrav´ s de computadores de ter- a e o e ceiros; • desligar sua Webcam (caso vocˆ possua alguma), ao acessar um site de com´ rcio eletrˆ nico ou e e o Internet Banking. e ´ Al´ m dos cuidados apresentados anteriormente e muito importante que vocˆ tenha alguns cuida- edos adicionais, tais como: • manter o seu browser sempre atualizado e com todas as correcoes (patches) aplicadas; ¸˜ • alterar a configuracao do seu browser para restringir a execucao de JavaScript e de programas ¸˜ ¸˜ Java ou ActiveX, exceto para casos espec´ficos; ı • configurar seu browser para bloquear pop-up windows e permit´-las apenas para sites conheci- ı dos e confi´ veis, onde forem realmente necess´ rias; a a • configurar seu programa leitor de e-mails para n˜ o abrir arquivos ou executar programas auto- a maticamente; • n˜ o executar programas obtidos pela Internet, ou recebidos por e-mail. a Com estes cuidados adicionais vocˆ pode evitar que seu browser contenha alguma vulnerabili- edade, e que programas maliciosos (como os cavalos de tr´ ia e outros tipos de malware) sejam instala- odos em seu computador para, dentre outras finalidades, furtar dados sens´veis e fraudar seus acessos ıa sites de com´ rcio eletrˆ nico ou Internet Banking. Maiores detalhes sobre estes cuidados podem e o ¸˜ser obtidos na Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao e Parte VIII: eC´ digos Maliciosos (Malware). o a ´2.4 Como verificar se a conex˜ o e segura (criptografada)? Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que signi- ¸˜ficam que as informacoes transmitidas entre o browser e o site visitado est˜ o sendo criptografadas. a ¸ ´ O primeiro pode ser visualizado no local onde o endereco do site e digitado. O endereco deve ¸comecar com https:// (diferente do http:// nas conex˜ es normais), onde o s antes do sinal de ¸ oCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 11/17
    • Parte IV: Fraudes na Internet ¸ a ´dois-pontos indica que o endereco em quest˜ o e de um site com conex˜ o segura e, portanto, os dados aser˜ o criptografados antes de serem enviados. A figura 1 apresenta o primeiro item, indicando uma aconex˜ o segura, observado nos browsers Firefox e Internet Explorer, respectivamente. a ¸˜ Alguns browsers podem incluir outros sinais na barra de digitacao do endereco do site, que in- ¸ a ´ ´dicam que a conex˜ o e segura. No Firefox, por exemplo, o local onde o endereco do site e digitado ¸muda de cor, ficando amarelo, e apresenta um cadeado fechado do lado direito. Figura 1: https - identificando site com conex˜ o segura. a O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conex˜ oae segura. Normalmente, o desenho mais adotado nos browsers recentes e de um “cadeado fechado”,´ ´apresentado na barra de status, na parte inferior da janela do browser (se o cadeado estiver aberto, a a a ´conex˜ o n˜ o e segura). A figura 2 apresenta desenhos dos cadeados fechados, indicando conex˜ es seguras, observados onas barras de status nos browsers Firefox e Internet Explorer, respectivamente. Figura 2: Cadeado – identificando site com conex˜ o segura. a ¸˜ Ao clicar sobre o cadeado, ser´ exibida uma tela que permite verificar as informacoes referentes a ¸˜ ¸˜ ¸˜ao certificado emitido para a instituicao que mant´ m o site (veja secao 2.6), bem como informacoes esobre o tamanho da chave utilizada para criptografar os dados. ´ ¸˜ E muito importante que vocˆ verifique se a chave utilizada para criptografar as informacoes a e ´serem transmitidas entre seu browser e o site e de no m´nimo 128 bits. Chaves menores podem ıcomprometer a seguranca dos dados a serem transmitidos. Maiores detalhes sobre criptografia e ¸tamanho de chaves podem ser obtidos na Parte I: Conceitos de Seguranca. ¸ ´ ¸˜ ¸˜ Outro fator muito importante e que a verificacao das informacoes do certificado deve ser feita ´clicando unica e exclusivamente no cadeado exibido na barra status do browser. Atacantes podemtentar forjar certificados, incluindo o desenho de um cadeado fechado no conte´ do da p´ gina. A u a ¸˜figura 3 ilustra esta situacao no browser Firefox. Figura 3: Cadeado forjado. Compare as barras de status do browser Firefox nas figuras 2 e 3. Observe que na figura 3 n˜ o e a ´apresentado um cadeado fechado dentro da barra de status, indicando que a conex˜ o n˜ o e segura. a a ´Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 12/17
    • Parte IV: Fraudes na Internet2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? a Existem alguns cuidados que um usu´ rio deve ter para certificar-se que um site n˜ o foi falsificado. a a ´ O primeiro cuidado e checar se o endereco digitado permanece inalterado no momento em que ¸ ´ ¸˜o conte´ do do site e apresentado no browser do usu´ rio. Existem algumas situacoes, como visto u a ¸˜na secao 2.2, onde o acesso a um site pode ser redirecionado para uma p´ gina falsificada, mas nor- a ¸ ´malmente nestes casos o endereco apresentado pelo browser e diferente daquele que o usu´ rio quer arealmente acessar. ´ ¸˜ E um outro cuidado muito importante e verificar as informacoes contidas no certificado emitido ¸˜ ¸˜ ´para a instituicao que mant´ m o site. Estas informacoes podem dizer se o certificado e ou n˜ o leg´timo e a ı ´ ¸˜e, conseq¨ entemente, se o site e ou n˜ o falsificado (vide secao 2.6). u a ´2.6 Como posso saber se o certificado emitido para o site e leg´timo? ı ´ ¸˜ E extremamente importante que o usu´ rio verifique algumas informacoes contidas no certificado. a ¸˜ ´Um exemplo de um certificado, emitido para um site de uma instituicao e mostrado abaixo.This Certificate belongs to: This Certificate was issued by: www.example.org www.examplesign.com/CPS Incorp.by Ref. Terms of use at LIABILITY LTD.(c)97 ExampleSign www.examplesign.com/dir (c)00 ExampleSign International Server CA - UF Tecno Class 3 Example Associados, Inc. ExampleSign, Inc. Cidade, Estado, BRSerial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1AThis Certificate is valid from Sat Aug 20, 2005 to SunAug 20, 2006Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0 a a ¸˜ O usu´ rio deve, ent˜ o, verificar se o certificado foi emitido para o site da instituicao que ele deseja ¸˜acessar. As seguintes informacoes devem ser checadas: • o endereco do site; ¸ • o nome da instituicao (dona do certificado); ¸˜ • o prazo de validade do certificado. Ao entrar pela primeira vez em um site que usa conex˜ o segura, seu browser apresentar´ uma a ajanela pedindo para confirmar o recebimento de um novo certificado. Ent˜ o, verifique se os dados do a ` ¸˜certificado correspondem a instituicao que vocˆ realmente deseja acessar e se seu browser reconheceu ea Autoridade Certificadora que emitiu o certificado3 . 3 Os conceitos de Autoridade Certificadora e certificados digitais, bem como as principais informacoes encontradas em ¸˜um certificado podem ser encontradas na Parte I: Conceitos de Seguranca. ¸Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 13/17
    • Parte IV: Fraudes na Internet a e uˆ Se ao entrar em um site com conex˜ o segura, que vocˆ utilize com freq¨ encia, seu browser apre-sentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma ¸˜situacao poss´vel seria que a validade do certificado do site tenha vencido, ou o certificado tenha ısido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto tamb´ m epode significar que vocˆ est´ recebendo um certificado ileg´timo e, portanto, estar´ acessando um site e a ı afalsificado. ¸˜ ´ ¸˜ Uma dica para reconhecer esta situacao e que as informacoes contidas no certificado normalmente a a ` ¸˜n˜ o corresponder˜ o as da instituicao que vocˆ realmente deseja acessar. Al´ m disso, seu browser e epossivelmente informar´ que a Autoridade Certificadora que emitiu o certificado para o site n˜ o pˆ de a a oser reconhecida. De qualquer modo, caso vocˆ receba um novo certificado ao acessar um site e tenha alguma e u ¸ a ¸˜d´ vida ou desconfianca, n˜ o envie qualquer informacao para o site antes de entrar em contato com a ¸˜instituicao que o mant´ m, para esclarecer o ocorrido. e2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usa- a dos por terceiros? ¸˜ Caso vocˆ acredite que terceiros possam estar usando suas informacoes pessoais e financeiras, ecomo o n´ mero do seu cart˜ o de cr´ dito ou seus dados banc´ rios (senha de acesso ao Internet Banking u a e a ¸˜e senha do cart˜ o de banco), entre em contato com a instituicao envolvida (por exemplo, seu banco ou a a e ¸˜operadora do seu cart˜ o de cr´ dito), informe-os sobre o caso e siga as orientacoes que ser˜ o passadas apor eles. ¸˜ Monitore regularmente suas movimentacoes financeiras, por exemplo, atrav´ s de extratos banc´ - e arios e/ou de cart˜ es de cr´ dito, e procure por d´ bitos, transferˆ ncias ou cobrancas inesperadas. o e e e ¸ ´ E recomendado que vocˆ procure uma delegacia de pol´cia, para registrar um boletim de ocorrˆ n- e ı ecia, caso tenha sido v´tima de uma fraude via Internet. ı3 Boatos Boatos (hoaxes) s˜ o e-mails que possuem conte´ dos alarmantes ou falsos e que, geralmente, tˆ m a u e ¸˜como remetente ou apontam como autora da mensagem alguma instituicao, empresa importante ou´ a ´org˜ o governamental. Atrav´ s de uma leitura minuciosa deste tipo de e-mail, normalmente, e poss´vel e ıidentificar em seu conte´ do mensagens absurdas e muitas vezes sem sentido. u ` ` Dentre os diversos boatos t´picos, que chegam as caixas postais de usu´ rios conectados a Internet, ı apodem-se citar as correntes, pirˆ mides, mensagens sobre pessoas que est˜ o prestes a morrer de cˆ ncer, a a aentre outras. a a o ¸˜ Hist´ rias deste tipo s˜ o criadas n˜ o s´ para espalhar desinformacao pela Internet, mas tamb´ m o epara outros fins maliciosos.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 14/17
    • Parte IV: Fraudes na Internet3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? a ¸ ´ Normalmente, o objetivo do criador de um boato e verificar o quanto ele se propaga pela Internete por quanto tempo permanece se propagando. De modo geral, os boatos n˜ o s˜ o respons´ veis por a a agrandes problemas de seguranca, a n˜ o ser ocupar espaco nas caixa de e-mails de usu´ rios. ¸ a ¸ a uˆ Mas podem existir casos com conseq¨ encias mais s´ rias como, por exemplo, um boato que pro- e a ¸˜cura induzir usu´ rios de Internet a fornecer informacoes importantes (como n´ meros de documentos, u o e e ¸˜de contas-corrente em banco ou de cart˜ es de cr´ dito), ou um boato que indica uma s´ rie de acoesa serem realizadas pelos usu´ rios e que, se forem realmente efetivadas, podem resultar em danos a e ¸˜mais s´ rios (como instrucoes para apagar um arquivo que supostamente cont´ m um v´rus, mas que na e ı ´verdade e parte importante do sistema operacional instalado no computador). Al´ m disso, e-mails de boatos podem conter v´rus, cavalos de tr´ ia ou outros tipos de malware e ı oanexados. Maiores detalhes podem ser encontrados na Parte VIII: C´ digos Maliciosos (Malware). o ´ ¸˜ E importante ressaltar que um boato tamb´ m pode comprometer a credibilidade e a reputacao etanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que orepassam. ¸˜3.2 Como evitar a distribuicao dos boatos? Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Istoocorre, muitas vezes, porque aqueles que o recebem: • confiam no remetente da mensagem; • n˜ o verificam a procedˆ ncia da mensagem; a e • n˜ o checam a veracidade do conte´ do da mensagem. a u ¸˜ ´ Para que vocˆ possa evitar a distribuicao de boatos e muito importante checar a procedˆ ncia e e ´dos e-mails, e mesmo que tenham como remetente algu´ m conhecido, e preciso certificar-se que a e a ´ ¸˜mensagem n˜ o e um boato (veja secao 3.3). ´ E importante ressaltar que vocˆ nunca deve repassar este tipo de mensagem, pois estar´ endos- e asando ou concordando com o seu conte´ do. u ´3.3 Como posso saber se um e-mail e um boato? Um boato normalmente apresenta pelo menos uma das caracter´sticas listadas abaixo. Observe ıque estas caracter´sticas devem ser usadas apenas como guia. Nem todo boato apresenta uma destas ıcaracter´sticas e mensagens leg´timas podem apresentar algumas delas. ı ı Muitas vezes, um boato: • sugere conseq¨ encias tr´ gicas se uma determinada tarefa n˜ o for realizada; uˆ a a • promete ganhos financeiros ou prˆ mios mediante a realizacao de alguma acao; e ¸˜ ¸˜Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 15/17
    • Parte IV: Fraudes na Internet • fornece instrucoes ou arquivos anexados para, supostamente, proteger seu computador de um ¸˜ v´rus n˜ o detectado por programas antiv´rus; ı a ı • afirma n˜ o ser um boato; a • apresenta diversos erros gramaticais e de ortografia; • apresenta uma mensagem contradit´ ria; o • cont´ m algum texto enfatizando que vocˆ deve repassar a mensagem para o maior n´ mero de e e u pessoas poss´vel; ı • j´ foi repassado diversas vezes (no corpo da mensagem normalmente e poss´vel observar cabe- a ´ ı calhos de e-mails repassados por outras pessoas). ¸ Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatosque est˜ o circulando e seus respectivos conte´ dos. a u Alguns destes sites s˜ o: a • Hoaxbusters – http://hoaxbusters.ciac.org/ • QuatroCantos – http://www.quatrocantos.com/LENDAS/ (em portuguˆ s) e • Urban Legends and Folklore – http://urbanlegends.about.com/ • Urban Legends Reference Pages – http://www.snopes.com/ • TruthOrFiction.com – http://www.truthorfiction.com/ • Symantec Security Response Hoaxes – http://www.symantec.com/avcenter/hoax.html • McAfee Security Virus Hoaxes – http://vil.mcafee.com/hoax.asp e a ¸˜ Al´ m disso, os cadernos de inform´ tica dos jornais de grande circulacao, normalmente, trazemmat´ rias ou avisos sobre os boatos mais recentes. eCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 16/17
    • Parte IV: Fraudes na InternetComo Obter este Documento ´ Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamenteatualizado, certifique-se de ter sempre a vers˜ o mais recente. a Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato e aatrav´ s do endereco doc@cert.br. e ¸Licenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆcorrecao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ enciasque possam advir do seu uso.Agradecimentos ¸˜ O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co- ıment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o oCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 17/17