Cartilha de Segurança na Internet

1,663 views

Published on

Cartilha de Segurança na Internet

  • Be the first to comment

  • Be the first to like this

Cartilha de Segurança na Internet

  1. 1. Publicaçãohttp://cartilha.cert.br/
  2. 2. ¸˜ATRIBUICAO ˜ USO NAO COMERCIAL ¸˜ VEDADA A CRIACAO DE OBRAS DERIVADAS 3.0 BRASIL ˆVOCE PODE: ¸˜ copiar, distribuir e transmitir a obra sob as seguintes condicoes: ATRIBUICAO:¸˜ Vocˆ deve creditar a obra da forma especificada pelo autor ou licenciante e (mas n˜ o de maneira que sugira que estes concedem qualquer aval a vocˆ ou a e ao seu uso da obra). ˜ USO NAO COMERCIAL: Vocˆ n˜ o pode usar esta obra para fins comerciais. e a ¸˜ VEDADA A CRIACAO DE OBRAS DERIVADAS: Vocˆ n˜ o pode alterar, transformar ou criar em cima desta obra. e a
  3. 3. ¸˜ ¸˜Nucleo de Informacao e Coordenacao do Ponto BR ´ Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ Cartilha de Seguranca ¸ para Internet ˜ Versao 4.0 ˆ Comite Gestor da Internet no Brasil ˜ Sao Paulo 2012
  4. 4. Comitˆ Gestor da Internet no Brasil (CGI.br) e ¸˜ ¸˜N´ cleo de Informacao e Coordenacao do Ponto BR (NIC.br) uCentro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br) ¸ ¸˜Textos e Edicao: Equipe do CERT.br ¸˜Ilustracoes: H´ ctor G´ mez e Osnei e oCartilha de Seguranca para Internet, vers˜ o 4.0 / CERT.br – S˜ o Paulo: Comitˆ Gestor da Internet no ¸ a a eBrasil, 2012. ¸˜Primeira edicao: 2006ISBN: 978-85-60062-05-8ISBN: 85-60062-05-X ¸˜Segunda edicao: 2012ISBN: 978-85-60062-54-6 ´ ¸˜A “Cartilha de Seguranca para Internet” e uma publicacao independente, produzida pelo Centro de Estudos, Resposta e ¸ ¸˜ ¸˜Tratamento de Incidentes de Seguranca no Brasil (CERT.br), do N´ cleo de Informacao e Coordenacao do Ponto BR ¸ u ¸ e a ¸˜ ¸˜(NIC.br), braco executivo do Comitˆ Gestor da Internet no Brasil (CGI.br) e n˜ o possui qualquer relacao de afiliacao, ¸˜ ¸˜patroc´nio ou aprovacao de outras instituicoes ou empresas citadas em seu conte´ do. ı uOs nomes de empresas e produtos bem como logotipos mencionados nesta obra podem ser marcas registradas ou marcasregistradas comerciais, de produtos ou servicos, no Brasil ou em outros pa´ses, e s˜ o utilizados com prop´ sito de ¸ ı a o ¸˜ ¸˜exemplificacao, sem intencao de promover, denegrir ou infringir. ¸˜ ¸˜ ¸˜Embora todas as precaucoes tenham sido tomadas na elaboracao desta obra, autor e editor n˜ o garantem a correcao a ¸˜absoluta ou a completude das informacoes nela contidas e n˜ o se responsabilizam por eventuais danos ou perdas que apossam advir do seu uso.
  5. 5. Pref´ cio a ´ ¸˜ A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como ¸o usu´ rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de poss´veis a ¸ ıameacas. O documento apresenta o significado de diversos termos e conceitos utilizados na Internet, ¸aborda os riscos de uso desta tecnologia e fornece uma s´ rie de dicas e cuidados a serem tomados epelos usu´ rios para se protegerem destas ameacas. a ¸ ¸˜ A producao desta Cartilha foi feita pelo Centro de Estudos, Resposta e Tratamento de Incidentes ¸ ´de Seguranca no Brasil (CERT.br), que e um dos servicos prestados para a comunidade Internet do ¸ u ¸˜ ¸˜Brasil pelo N´ cleo de Informacao e Coordenacao do Ponto BR (NIC.br), o braco executivo do Comitˆ ¸ eGestor da Internet no Brasil (CGI.br). N´ s esperamos que esta Cartilha possa auxili´ -lo n˜ o s´ a compreender as ameacas do ambiente o a a o ¸Internet, mas tamb´ m a usufruir dos benef´cios de forma consciente e a manter a seguranca de seus e ı ¸ o ı ´dados, computadores e dispositivos m´ veis. Gostar´amos ainda de ressaltar que e muito importante e a ´ficar sempre atento ao usar a Internet, pois somente aliando medidas t´ cnicas a boas pr´ ticas e poss´vel ıatingir um n´vel de seguranca que permita o pleno uso deste ambiente. ı ¸ Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, por favor, entre e aem contato por meio do endereco doc@cert.br. ¸ Boa leitura!Equipe do CERT.brJunho de 2012Estrutura da Cartilha ı u ´ Este documento conta com quatorze cap´tulos, que dividem o conte´ do em diferentes areas rela-cionadas com a seguranca da Internet, al´ m de um gloss´ rio e um ´ndice remissivo. ¸ e a ı ı ¸˜ De forma geral, o Cap´tulo 1 apresenta uma introducao sobre a importˆ ncia de uso da Internet, os ariscos a que os usu´ rios est˜ o sujeitos e os cuidados a serem tomados. Do Cap´tulo 2 ao 6 os riscos a a ıs˜ o apresentados de forma mais detalhada, enquanto que do Cap´tulo 7 ao 14 o foco principal s˜ o os a ı acuidados a serem tomados e os mecanismos de seguranca existentes. ¸1. Seguranca na Internet: Trata dos benef´cios que a Internet pode trazer na realizacao de atividades ¸ ı ¸˜ cotidianas e descreve, de forma geral, os riscos relacionados ao seu uso. Procura tamb´ m e esclarecer que a Internet n˜ o tem nada de “virtual” e que os cuidados a serem tomados ao a us´ -la s˜ o semelhantes aos que se deve ter no dia a dia. a a iii
  6. 6. iv Cartilha de Seguranca para Internet ¸2. Golpes na Internet: Apresenta os principais golpes aplicados na Internet, os riscos que estes gol- pes representam e os cuidados que devem ser tomados para se proteger deles.3. Ataques na Internet: Aborda os ataques que costumam ser realizados por meio da Internet, as ¸˜ motivacoes que levam os atacantes a praticar atividades deste tipo e as t´ cnicas que costumam e ser utilizadas. Ressalta a importˆ ncia de cada um fazer a sua parte para que a seguranca geral a ¸ da Internet possa ser melhorada.4. C´ digos maliciosos (Malware): Aborda os diferentes tipos de c´ digos maliciosos, as diversas for- o o ¸˜ ¸˜ mas de infeccao e as principais acoes danosas e atividades maliciosas por eles executadas. ¸˜ Apresenta tamb´ m um resumo comparativo para facilitar a classificacao dos diferentes tipos. e5. Spam: Discute os problemas acarretados pelo spam, principalmente aqueles que possam ter im- ¸˜ ¸˜ plicacoes de seguranca, e m´ todos de prevencao. ¸ e6. Outros riscos: Aborda alguns dos servicos e recursos de navegacao incorporados a grande maioria ¸ ¸˜ dos navegadores Web e leitores de e-mails, os riscos que eles podem representar e os cuidados que devem ser tomados ao utiliz´ -los. Trata tamb´ m dos riscos apresentados e dos cuidados a a e serem tomados ao compartilhar recursos na Internet.7. Mecanismos de seguranca: Apresenta os principais mecanismos de seguranca existentes e os cui- ¸ ¸ a a ¸˜ dados que devem ser tomados ao utiliz´ -los. Ressalta a importˆ ncia de utilizacao de ferramentas de seguranca aliada a uma postura preventiva. ¸8. Contas e senhas: Aborda o principal mecanismo de autenticacao usado na Internet que s˜ o as ¸˜ a ¸˜ ¸˜ ¸˜ contas e as senhas. Inclui dicas de uso, elaboracao, gerenciamento, alteracao e recuperacao, entre outras.9. Criptografia: Apresenta alguns conceitos de criptografia, como funcoes de resumo, assinatura ¸˜ digital, certificado digital e as chaves sim´ tricas e assim´ tricas. Trata tamb´ m dos cuidados que e e e devem ser tomados ao utiliz´ -la. a10. Uso seguro da Internet: Apresenta, de forma geral, os principais usos que s˜ o feitos da Internet a e os cuidados que devem ser tomados ao utiliz´ -los. Aborda quest˜ es referentes a seguranca a o ¸ nas conex˜ es Web especialmente as envolvem o uso de certificados digitais. o11. Privacidade: Discute quest˜ es relacionadas a privacidade do usu´ rio ao utilizar a Internet e aos o ` a cuidados que ele deve ter com seus dados pessoais. Apresenta detalhadamente dicas referentes ¸˜ ¸˜ a disponibilizacao de informacoes pessoais nas redes sociais.12. Seguranca de computadores: Apresenta os principais cuidados que devem ser tomados ao usar ¸ computadores, tanto pessoais como de terceiros. Ressalta a importˆ ncia de manter os compu- a ¸˜ tadores atualizados e com mecanismos de protecao instalados.13. Seguranca de redes: Apresenta os riscos relacionados ao uso das principais tecnologias de aces- ¸ ` so a Internet, como banda larga (fixa e m´ vel), Wi-Fi e Bluetooth. o14. Seguranca em dispositivos m´ veis: Aborda os riscos relacionados ao uso de dispositivos m´ - ¸ o o veis e procura demonstrar que eles s˜ o similares aos computadores e que, por isto, necessitam a dos mesmos cuidados de seguranca. ¸
  7. 7. vLicenca de Uso da Cartilha ¸ ¸ ´ A Cartilha de Seguranca para Internet e disponibilizada sob a licenca “Creative Commons Atribui- ¸¸˜ ¸˜cao-Uso n˜ o-comercial-Vedada a criacao de obras derivadas 3.0 Brasil” (CC BY-NC-ND 3.0). a A licenca completa est´ dispon´vel em: http://cartilha.cert.br/cc/. ¸ a ıHist´ rico da Cartilha o No in´cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que ı` ´a epoca chamava-se NBSO – NIC BR Security Office), identificou a necessidade de um guia com ¸˜informacoes sobre seguranca que pudesse ser usado como referˆ ncia pelos diversos setores usu´ rios ¸ e a uˆde Internet. Como conseq¨ encia, a pedido do Comitˆ Gestor da Internet no Brasil e sob supervis˜ o e ado CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers˜ o 1.0. ¸ ¸ a Em 2003 foi verificada a necessidade de uma revis˜ o geral do documento, que n˜ o s´ inclu´sse a a o ı o e ¸˜novos t´ picos, mas que tamb´ m facilitasse sua leitura e a localizacao de assuntos espec´ficos. Neste ı a `processo de revis˜ o a Cartilha foi completamente reescrita, dando origem a vers˜ o 2.0. Esta vers˜ o, a a aprimeira totalmente sob responsabilidade do CERT.br, possu´a estrutura dividida em partes, al´ m de ı e a e a ¸˜contar com o checklist e o gloss´ rio. Tamb´ m nesta vers˜ o foram introduzidas as secoes relativas afraudes na Internet, banda larga, redes sem fio, spam e incidentes de seguranca. ¸ ` ¸˜ Na vers˜ o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da tec- anologia, novos assuntos foram inclu´dos. Foi criada uma parte espec´fica sobre c´ digos maliciosos, ı ı oexpandida a parte sobre seguranca de redes sem fio e inclu´dos t´ picos espec´ficos sobre seguranca ¸ ı o ı ¸em dispositivos m´ veis. Esta vers˜ o tamb´ m foi a primeira a disponibilizar um folheto com as dicas o a e a ¸˜b´ sicas para protecao contra as ameacas mais comuns. ¸ A vers˜ o 3.1 n˜ o introduziu partes novas, mas incorporou diversas sugest˜ es de melhoria recebi- a a o ¸˜ ¸´das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formatode livro, para facilitar a leitura e a impress˜ o do conte´ do completo. a u Em 2012 foi verificada novamente a necessidade de revis˜ o geral do documento, o que deu origem a`a vers˜ o 4.0. Com o uso crescente da Internet e das redes sociais, impulsionado principalmente a ¸˜pela popularizacao dos dispositivos m´ veis e facilidades de conex˜ o, constatou-se a necessidade de o aabordar novos conte´ dos e agrupar os assuntos de maneira diferente. Esta vers˜ o conta com um livro u a u a a ´com todo o conte´ do que, com o objetivo de facilitar a leitura e torn´ -la mais agrad´ vel, e totalmente ´ilustrado. Este livro, por sua vez, e complementado por fasc´culos com vers˜ es resumidas de alguns ı odos t´ picos, de forma a facilitar a difus˜ o de conte´ dos espec´ficos. o a u ı
  8. 8. Agradecimentos e ı ¸˜ Agradecemos a todos leitores da Cartilha, que tˆ m contribu´do para a elaboracao deste documento,enviando coment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o ¸˜ Agradecemos as contribuicoes de Rafael Rodrigues Obelheiro, na vers˜ o 3.0, e de Nelson Murilo, ana Parte V da vers˜ o 3.1 e no Cap´tulo 13 da atual vers˜ o. a ı a Agradecemos a toda equipe do CERT.br, especialmente a Luiz E. R. Cordeiro, pelo texto da ¸˜ ¸˜primeira vers˜ o; a Marcelo H. P. C. Chaves, pela producao das vers˜ es 2.0, 3.0 e 3.1 e pela criacao a o a a ¸˜das figuras da atual vers˜ o; a Lucimara Desider´ , pelas pesquisas realizadas, pela contribuicao nos ı e ¸˜Cap´tulos 9 e 13 e tamb´ m pela pela criacao das figuras da atual vers˜ o; e a Miriam von Zuben, pela a ¸˜producao da vers˜ o 4.0 e por ser a principal mantenedora da Cartilha. a vii
  9. 9. Sum´ rio aPref´ cio a iiiAgradecimentos viiLista de Figuras xiiiLista de Tabelas xiii1 Seguranca na Internet ¸ 12 Golpes na Internet 5 2.1 Furto de identidade (Identity theft) . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 ¸˜ Fraude de antecipacao de recursos (Advance fee fraud) . . . . . . . . . . . . . . . . 7 2.3 Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3.1 Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.4 Golpes de com´ rcio eletrˆ nico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e o 12 2.4.1 Golpe do site de com´ rcio eletrˆ nico fraudulento . . . . . . . . . . . . . . . e o 12 2.4.2 Golpe envolvendo sites de compras coletivas . . . . . . . . . . . . . . . . . 13 2.4.3 Golpe do site de leil˜ o e venda de produtos . . . . . . . . . . . . . . . . . . a 14 2.5 Boato (Hoax) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.6 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Ataques na Internet 17 3.1 ¸˜ Exploracao de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2 Varredura em redes (Scan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.3 ¸˜ Falsificacao de e-mail (E-mail spoofing) . . . . . . . . . . . . . . . . . . . . . . . . 18 3.4 ¸˜ Interceptacao de tr´ fego (Sniffing) . . . . . . . . . . . . . . . . . . . . . . . . . . . a 19 ix
  10. 10. x Cartilha de Seguranca para Internet ¸ 3.5 Forca bruta (Brute force) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 20 3.6 ¸˜ Desfiguracao de p´ gina (Defacement) . . . . . . . . . . . . . . . . . . . . . . . . . a 21 3.7 ¸˜ Negacao de servico (DoS e DDoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 21 3.8 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 C´ digos maliciosos (Malware) o 23 4.1 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 24 4.2 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.3 Bot e botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.4 Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.5 Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.6 Cavalo de troia (Trojan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.7 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.8 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.9 Resumo comparativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Spam 33 5.1 ¸˜ Prevencao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Outros riscos 39 6.1 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 6.2 C´ digos m´ veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 41 6.3 Janelas de pop-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 6.4 Plug-ins, complementos e extens˜ es . . . . . . . . . . . . . . . . . . . . . . . . . . o 42 6.5 Links patrocinados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.6 Banners de propaganda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 6.7 ¸˜ Programas de distribuicao de arquivos (P2P) . . . . . . . . . . . . . . . . . . . . . . 44 6.8 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Mecanismos de seguranca ¸ 47 7.1 Pol´tica de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı ¸ 48 7.2 ¸˜ Notificacao de incidentes e abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 7.3 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
  11. 11. ´Sumario xi 7.4 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 7.5 C´ pias de seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o ¸ 51 7.6 Registro de eventos (Logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 7.7 Ferramentas antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 7.8 Firewall pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 7.9 Filtro antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 7.10 Outros mecanismos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 Contas e senhas 59 8.1 Uso seguro de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 8.2 ¸˜ Elaboracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 8.3 ¸˜ Alteracao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 8.4 Gerenciamento de contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 8.5 ¸˜ Recuperacao de senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659 Criptografia 67 9.1 Criptografia de chave sim´ trica e de chaves assim´ tricas . . . . . . . . . . . . . . . e e 68 9.2 ¸˜ Funcao de resumo (Hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 9.3 Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 9.4 Certificado digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 9.5 Programas de criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 9.6 Cuidados a serem tomados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7310 Uso seguro da Internet 75 10.1 Seguranca em conex˜ es Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ o 78 10.1.1 Tipos de conex˜ o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 79 ´ 10.1.2 Como verificar se um certificado digital e confi´ vel . . . . . . . . . . . . . . a 8211 Privacidade 85 11.1 Redes sociais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8712 Seguranca de computadores ¸ 93 ¸˜ 12.1 Administracao de contas de usu´ rios . . . . . . . . . . . . . . . . . . . . . . . . . . a 98 12.2 O que fazer se seu computador for comprometido . . . . . . . . . . . . . . . . . . . 99
  12. 12. xii Cartilha de Seguranca para Internet ¸ 12.3 Cuidados ao usar computadores de terceiros . . . . . . . . . . . . . . . . . . . . . . 10013 Seguranca de redes ¸ 101 13.1 Cuidados gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 13.2 Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 13.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 13.4 Banda larga fixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 13.5 Banda Larga M´ vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 o14 Seguranca em dispositivos m´ veis ¸ o 107Gloss´ rio a 111´Indice Remissivo 123
  13. 13. Lista de Figuras 9.1 Exemplos de certificados digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 9.2 Cadeia de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 10.1 Conex˜ o n˜ o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . a a 79 10.2 Conex˜ o segura em diversos navegadores. . . . . . . . . . . . . . . . . . . . . . . . a 80 10.3 Conex˜ o segura usando EV SSL em diversos navegadores. . . . . . . . . . . . . . . a 80 a ¸˜ a 10.4 Conex˜ o HTTPS com cadeia de certificacao n˜ o reconhecida. . . . . . . . . . . . . 81 10.5 Uso combinado de conex˜ o segura e n˜ o segura. . . . . . . . . . . . . . . . . . . . . a a 81 10.6 Alerta de certificado n˜ o confi´ vel em diversos navegadores. . . . . . . . . . . . . . a a 82Lista de Tabelas 2.1 Exemplos de t´ picos e temas de mensagens de phishing. . . . . . . . . . . . . . . . o 10 4.1 Resumo comparativo entre os c´ digos maliciosos. . . . . . . . . . . . . . . . . . . . o 31 9.1 ¸˜ Termos empregados em criptografia e comunicacoes via Internet. . . . . . . . . . . . 68 xiii
  14. 14. 1. Seguranca na Internet ¸ ¸˜ A Internet j´ est´ presente no cotidiano de grande parte da populacao e, provavelmente para estas a apessoas, seria muito dif´cil imaginar como seria a vida sem poder usufruir das diversas facilidades e ıoportunidades trazidas por esta tecnologia. Por meio da Internet vocˆ pode: e • encontrar antigos amigos, fazer novas amizades, encontrar pessoas que compartilham seus gos- tos e manter contato com amigos e familiares distantes; • acessar sites de not´cias e de esportes, participar de cursos a distˆ ncia, pesquisar assuntos de ı ` a interesse e tirar d´ vidas em listas de discuss˜ o; u a • efetuar servicos banc´ rios, como transferˆ ncias, pagamentos de contas e verificacao de extratos; ¸ a e ¸˜ • fazer compras em supermercados e em lojas de com´ rcio eletrˆ nico, pesquisar precos e verificar e o ¸ a opini˜ o de outras pessoas sobre os produtos ou servicos ofertados por uma determinada loja; a ¸ • acessar sites dedicados a brincadeiras, passatempos e hist´ rias em quadrinhos, al´ m de grande o e variedade de jogos, para as mais diversas faixas et´ rias; a • enviar a sua declaracao de Imposto de Renda, emitir boletim de ocorrˆ ncia, consultar os pontos ¸˜ e ¸˜ em sua carteira de habilitacao e agendar a emiss˜ o de passaporte; a 1
  15. 15. 2 Cartilha de Seguranca para Internet ¸ • consultar a programacao das salas de cinema, verificar a agenda de espet´ culos teatrais, expo- ¸˜ a ¸˜ sicoes e shows e adquirir seus ingressos antecipadamente; • consultar acervos de museus e sites dedicados a obra de grandes artistas, onde e poss´vel co- ` ´ ı nhecer a biografia e as t´ cnicas empregadas por cada um. e Estes s˜ o apenas alguns exemplos de como vocˆ pode utilizar a Internet para facilitar e melhorar a a esua vida. Aproveitar esses benef´cios de forma segura, entretanto, requer que alguns cuidados sejam ı ´tomados e, para isto, e importante que vocˆ esteja informado dos riscos aos quais est´ exposto para e aque possa tomar as medidas preventivas necess´ rias. Alguns destes riscos s˜ o: a a ´Acesso a conteudos impr´ prios ou ofensivos: ao navegar vocˆ pode se deparar com p´ ginas que o e a ´ contenham pornografia, que atentem contra a honra ou que incitem o odio e o racismo.Contato com pessoas mal-intencionadas: existem pessoas que se aproveitam da falsa sensacao de ¸˜ anonimato da Internet para aplicar golpes, tentar se passar por outras pessoas e cometer crimes como, por exemplo, estelionato, pornografia infantil e sequestro.Furto de identidade: assim como vocˆ pode ter contato direto com impostores, tamb´ m pode ocor- e e e e ¸˜ rer de algu´ m tentar se passar por vocˆ e executar acoes em seu nome, levando outras pessoas a acreditarem que est˜ o se relacionando com vocˆ , e colocando em risco a sua imagem ou a e ¸˜ reputacao.Furto e perda de dados: os dados presentes em seus equipamentos conectados a Internet podem ser ` ¸˜ furtados e apagados, pela acao de ladr˜ es, atacantes e c´ digos maliciosos. o oInvas˜ o de privacidade: a divulgacao de informacoes pessoais pode comprometer a sua privacidade, a ¸˜ ¸˜ de seus amigos e familiares e, mesmo que vocˆ restrinja o acesso, n˜ o h´ como controlar que e a a elas n˜ o ser˜ o repassadas. Al´ m disto, os sites costumam ter pol´ticas pr´ prias de privacidade a a e ı o e podem alter´ -las sem aviso pr´ vio, tornando p´ blico aquilo que antes era privado. a e u ¸˜Divulgacao de boatos: as informacoes na Internet podem se propagar rapidamente e atingir um ¸˜ grande n´ mero de pessoas em curto per´odo de tempo. Enquanto isto pode ser desej´ vel em u ı a ¸˜ ¸˜ certos casos, tamb´ m pode ser usado para a divulgacao de informacoes falsas, que podem gerar e pˆ nico e prejudicar pessoas e empresas. aDificuldade de exclus˜ o: aquilo que e divulgado na Internet nem sempre pode ser totalmente ex- a ´ clu´do ou ter o acesso controlado. Uma opini˜ o dada em um momento de impulso pode ficar ı a acess´vel por tempo indeterminado e pode, de alguma forma, ser usada contra vocˆ e acessada ı e por diferentes pessoas, desde seus familiares at´ seus chefes. eDificuldade de detectar e expressar sentimentos: quando vocˆ se comunica via Internet n˜ o h´ e a a como observar as express˜ es faciais ou o tom da voz das outras pessoas, assim como elas o n˜ o podem observar vocˆ (a n˜ o ser que vocˆ s estejam utilizando webcams e microfones). Isto a e a e ¸˜ ¸˜ u pode dificultar a percepcao do risco, gerar mal-entendido e interpretacao d´ bia.Dificuldade de manter sigilo: no seu dia a dia e poss´vel ter uma conversa confidencial com algu´ m ´ ı e e tomar cuidados para que ningu´ m mais tenha acesso ao que est´ sendo dito. Na Internet, caso e a ¸˜ n˜ o sejam tomados os devidos cuidados, as informacoes podem trafegar ou ficar armazenadas a de forma que outras pessoas tenham acesso ao conte´ do. u
  16. 16. 1. Seguranca na Internet ¸ 3Uso excessivo: o uso desmedido da Internet, assim como de outras tecnologias, pode colocar em risco a sua sa´ de f´sica, diminuir a sua produtividade e afetar a sua vida social ou profissional. u ı ¸˜Pl´ gio e violacao de direitos autorais: a c´ pia, alteracao ou distribuicao n˜ o autorizada de conte´ - a o ¸˜ ¸˜ a u dos e materiais protegidos pode contrariar a lei de direitos autorais e resultar em problemas jur´dicos e em perdas financeiras. ı ´ Outro grande risco relacionado ao uso da Internet e o de vocˆ achar que n˜ o corre riscos, pois e asup˜ e que ningu´ m tem interesse em utilizar o seu computador o e 1 ou que, entre os diversos computa- ` ´dores conectados a Internet, o seu dificilmente ser´ localizado. E justamente este tipo de pensamento a ´que e explorado pelos atacantes, pois, ao se sentir seguro, vocˆ pode achar que n˜ o precisa se prevenir. e a Esta ilus˜ o, infelizmente, costuma terminar quando os primeiros problemas comecam a acontecer. a ¸Muitas vezes os atacantes est˜ o interessados em conseguir acesso a grandes quantidades de compu- atadores, independente de quais s˜ o, e para isto, podem efetuar varreduras na rede e localizar grande a `parte dos computadores conectados a Internet, inclusive o seu. Um problema de seguranca em seu computador pode torn´ -lo indispon´vel e colocar em risco a ¸ a ıconfidencialidade e a integridade dos dados nele armazenados. Al´ m disto, ao ser comprometido, eseu computador pode ser usado para a pr´ tica de atividades maliciosas como, por exemplo, servir de areposit´ rio para dados fraudulentos, lancar ataques contra outros computadores (e assim esconder a o ¸ ¸˜real identidade e localizacao do atacante), propagar c´ digos maliciosos e disseminar spam. o Os principais riscos relacionados ao uso da Internet s˜ o detalhados nos Cap´tulos: Golpes na a ıInternet, Ataques na Internet, C´ digos maliciosos (Malware), Spam e Outros riscos. o ´ O primeiro passo para se prevenir dos riscos relacionados ao uso da Internet e estar ciente de que ´ ´ela n˜ o tem nada de “virtual”. Tudo o que ocorre ou e realizado por meio da Internet e real: os dados as˜ o reais e as empresas e pessoas com quem vocˆ interage s˜ o as mesmas que est˜ o fora dela. Desta a e a aforma, os riscos aos quais vocˆ est´ exposto ao us´ -la s˜ o os mesmos presentes no seu dia a dia e os e a a a a a `golpes que s˜ o aplicados por meio dela s˜ o similares aqueles que ocorrem na rua ou por telefone. ´ E preciso, portanto, que vocˆ leve para a Internet os mesmos cuidados e as mesmas preocupacoes e ¸˜que vocˆ tem no seu dia a dia, como por exemplo: visitar apenas lojas confi´ veis, n˜ o deixar p´ blicos e a a udados sens´veis, ficar atento quando “for ao banco” ou “fizer compras”, n˜ o passar informacoes a ı a ¸˜estranhos, n˜ o deixar a porta da sua casa aberta, etc. a ´ Para tentar reduzir os riscos e se proteger e importante que vocˆ adote uma postura preventiva e e ¸˜ ¸ a `que a atencao com a seguranca seja um h´ bito incorporado a sua rotina, independente de quest˜ es ocomo local, tecnologia ou meio utilizado. Para ajud´ -lo nisto, h´ diversos mecanismos de seguranca a a ¸que vocˆ pode usar e que s˜ o detalhados nos Cap´tulos: Mecanismos de seguranca, Contas e senhas e e a ı ¸Criptografia. Outros cuidados, relativos ao uso da Internet, como aqueles que vocˆ deve tomar para manter a esua privacidade e ao utilizar redes e dispositivos m´ veis, s˜ o detalhados nos demais Cap´tulos: Uso o a ıseguro da Internet, Privacidade, Seguranca de computadores, Seguranca de redes e Seguranca em ¸ ¸ ¸dispositivos m´ veis. o 1 Nesta Cartilha a palavra “computador” ser´ usada para se referir a todos os dispositivos computacionais pass´veis de a ı a ¸˜invas˜ o e/ou de infeccao por c´ digos maliciosos, como computadores e dispositivos m´ veis. o o
  17. 17. 2. Golpes na Internet a ´ Normalmente, n˜ o e uma tarefa simples atacar e fraudar dados em um servidor de uma institui-¸˜ a e ¸ ¸˜cao banc´ ria ou comercial e, por este motivo, golpistas vˆ m concentrando esforcos na exploracao defragilidades dos usu´ rios. Utilizando t´ cnicas de engenharia social e por diferentes meios e discursos, a e ı ¸˜os golpistas procuram enganar e persuadir as potenciais v´timas a fornecerem informacoes sens´veis ı ¸˜ou a realizarem acoes, como executar c´ digos maliciosos e acessar p´ ginas falsas. o a ¸˜ De posse dos dados das v´timas, os golpistas costumam efetuar transacoes financeiras, acessar ısites, enviar mensagens eletrˆ nicas, abrir empresas fantasmas e criar contas banc´ rias ileg´timas, o a ıentre outras atividades maliciosas. Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrimˆ nio, otipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionat´ rio. a o ¸˜ Nas pr´ ximas secoes s˜ o apresentados alguns dos principais golpes aplicados na Internet e alguns acuidados que vocˆ deve tomar para se proteger deles. e 5
  18. 18. 6 Cartilha de Seguranca para Internet ¸2.1 Furto de identidade (Identity theft) ´ O furto de identidade, ou identity theft, e o ato pelo qual uma pessoa tenta se passar por outra,atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos defurto de identidade podem ser considerados como crime contra a f´ p´ blica, tipificados como falsa e uidentidade. No seu dia a dia, sua identidade pode ser furtada caso, por exemplo, algu´ m abra uma empresa ou euma conta banc´ ria usando seu nome e seus documentos. Na Internet isto tamb´ m pode ocorrer, caso a ealgu´ m crie um perfil em seu nome em uma rede social, acesse sua conta de e-mail e envie mensagens ese passando por vocˆ ou falsifique os campos de e-mail, fazendo parecer que ele foi enviado por vocˆ . e e ¸˜ Quanto mais informacoes vocˆ disponibiliza sobre a sua vida e rotina, mais f´ cil se torna para e aum golpista furtar a sua identidade, pois mais dados ele tem dispon´veis e mais convincente ele pode ı ¸˜ser. Al´ m disto, o golpista pode usar outros tipos de golpes e ataques para coletar informacoes sobre evocˆ , inclusive suas senhas, como c´ digos maliciosos (mais detalhes no Cap´tulo C´ digos maliciosos e o ı o ¸ ¸˜(Malware)), ataques de forca bruta e interceptacao de tr´ fego (mais detalhes no Cap´tulo Ataques na a ıInternet). Caso a sua identidade seja furtada, vocˆ poder´ arcar com consequˆ ncias como perdas financeiras, e a e ¸˜perda de reputacao e falta de cr´ dito. Al´ m disto, pode levar muito tempo e ser bastante desgastante e eat´ que vocˆ consiga reverter todos os problemas causados pelo impostor. e e ¸˜Prevencao: ´ A melhor forma de impedir que sua identidade seja furtada e evitar que o impostor tenha acesso `aos seus dados e as suas contas de usu´ rio (mais detalhes no Cap´tulo Privacidade). Al´ m disto, a ı e ´para evitar que suas senhas sejam obtidas e indevidamente usadas, e muito importante que vocˆ seja ecuidadoso, tanto ao us´ -las quanto ao elabor´ -las (mais detalhes no Cap´tulo Contas e senhas). a a ı ´ E necess´ rio tamb´ m que vocˆ fique atento a alguns ind´cios que podem demonstrar que sua a e e ıidentidade est´ sendo indevidamente usada por golpistas, tais como: a • vocˆ comeca a ter problemas com org˜ os de protecao de cr´ dito; e ¸ ´ a ¸˜ e • vocˆ recebe o retorno de e-mails que n˜ o foram enviados por vocˆ ; e a e • vocˆ verifica nas notificacoes de acesso que a sua conta de e-mail ou seu perfil na rede social e ¸˜ foi acessado em hor´ rios ou locais em que vocˆ pr´ prio n˜ o estava acessando; a e o a • ao analisar o extrato da sua conta banc´ ria ou do seu cart˜ o de cr´ dito vocˆ percebe transacoes a a e e ¸˜ que n˜ o foram realizadas por vocˆ ; a e • vocˆ recebe ligacoes telefˆ nicas, correspondˆ ncias e e-mails se referindo a assuntos sobre os e ¸˜ o e quais vocˆ n˜ o sabe nada a respeito, como uma conta banc´ ria que n˜ o lhe pertence e uma e a a a compra n˜ o realizada por vocˆ . a e
  19. 19. 2. Golpes na Internet 72.2 ¸˜ Fraude de antecipacao de recursos (Advance fee fraud) ¸˜ ´ A fraude de antecipacao de recursos, ou advance fee fraud, e aquela na qual um golpista procura ¸˜induzir uma pessoa a fornecer informacoes confidenciais ou a realizar um pagamento adiantado, coma promessa de futuramente receber algum tipo de benef´cio. ı Por meio do recebimento de mensagens eletrˆ nicas ou do acesso a sites fraudulentos, a pessoa o´ ¸˜e envolvida em alguma situacao ou hist´ ria mirabolante, que justifique a necessidade de envio de o ¸˜ ¸˜ ¸˜informacoes pessoais ou a realizacao de algum pagamento adiantado, para a obtencao de um benef´- ıcio futuro. Ap´ s fornecer os recursos solicitados a pessoa percebe que o tal benef´cio prometido n˜ o o ı aexiste, constata que foi v´tima de um golpe e que seus dados/dinheiro est˜ o em posse de golpistas. ı a O Golpe da Nig´ ria (Nigerian 4-1-9 Scam1 ) e um dos tipos de fraude de antecipacao de recursos e ´ ¸˜ ´mais conhecidos e e aplicado, geralmente, da seguinte forma: e o e ¸˜ a. Vocˆ recebe uma mensagem eletrˆ nica em nome de algu´ m ou de alguma instituicao dizendo- ´ se ser da Nig´ ria, na qual e solicitado que vocˆ atue como intermedi´ rio em uma transferˆ ncia e e a e internacional de fundos; ´ ¸˜ b. o valor citado na mensagem e absurdamente alto e, caso vocˆ aceite intermediar a transacao, e recebe a promessa de futuramente ser recompensado com uma porcentagem deste valor; ¸˜ c. o motivo, descrito na mensagem, pelo qual vocˆ foi selecionado para participar da transacao e ´ ¸˜ geralmente e a indicacao de algum funcion´ rio ou amigo que o apontou como sendo uma pessoa a honesta, confi´ vel e merecedora do tal benef´cio; a ı d. a mensagem deixa claro que se trata de uma transferˆ ncia ilegal e, por isto, solicita sigilo e absoluto e urgˆ ncia na resposta, caso contr´ rio, a pessoa procurar´ por outro parceiro e vocˆ e a a e perder´ a oportunidade; a e. ap´ s responder a mensagem e aceitar a proposta, os golpistas solicitam que vocˆ pague anteci- o e padamente uma quantia bem elevada (por´ m bem inferior ao total que lhe foi prometido) para e arcar com custos, como advogados e taxas de transferˆ ncia de fundos; e e´ f. ap´ s informar os dados e efetivar o pagamento solicitado, vocˆ e informado que necessita rea- o lizar novos pagamentos ou perde o contato com os golpistas; g. finalmente, vocˆ percebe que, al´ m de perder todo o dinheiro investido, nunca ver´ a quantia e e a prometida como recompensa e que seus dados podem estar sendo indevidamente usados. Apesar deste golpe ter ficado conhecido como sendo da Nig´ ria, j´ foram registrados diversos e acasos semelhantes, originados ou que mencionavam outros pa´ses, geralmente de regi˜ es pobres ou ı oque estejam passando por conflitos pol´ticos, econˆ micos ou raciais. ı o ¸˜ ¸˜ A fraude de antecipacao de recursos possui diversas variacoes que, apesar de apresentarem dife-rentes discursos, assemelham-se pela forma como s˜ o aplicadas e pelos danos causados. Algumas a ¸˜destas variacoes s˜ o: a 1O u ` ¸˜ n´ mero 419 refere-se a secao do C´ digo Penal da Nig´ ria equivalente ao artigo 171 do C´ digo Penal Brasileiro, o e oou seja, estelionato.
  20. 20. 8 Cartilha de Seguranca para Internet ¸Loteria internacional: vocˆ recebe um e-mail informando que foi sorteado em uma loteria interna- e cional, mas que para receber o prˆ mio a que tem direito, precisa fornecer seus dados pessoais e e ¸˜ informacoes sobre a sua conta banc´ ria. aCr´ dito f´ cil: vocˆ recebe um e-mail contendo uma oferta de empr´ stimo ou financiamento com e a e e ` taxas de juros muito inferiores as praticadas no mercado. Ap´ s o seu cr´ dito ser supostamente o e e´ aprovado vocˆ e informado que necessita efetuar um dep´ sito banc´ rio para o ressarcimento o a das despesas. ¸˜Doacao de animais: vocˆ deseja adquirir um animal de uma raca bastante cara e, ao pesquisar por e ¸ ı a ¸˜ poss´veis vendedores, descobre que h´ sites oferecendo estes animais para doacao. Ap´ s entrar o ´ em contato, e solicitado que vocˆ envie dinheiro para despesas de transporte. eOferta de emprego: vocˆ recebe uma mensagem em seu celular contendo uma proposta tentadora e ¸˜ ´ de emprego. Para efetivar a contratacao, no entanto, e necess´ rio que vocˆ informe detalhes de a e sua conta banc´ ria. aNoiva russa: algu´ m deixa um recado em sua rede social contendo insinuacoes sobre um poss´vel e ¸˜ ı relacionamento amoroso entre vocˆ s. Esta pessoa mora em outro pa´s, geralmente a R´ ssia, e e ı u ap´ s alguns contatos iniciais sugere que vocˆ s se encontrem pessoalmente, mas, para que ela o e possa vir at´ o seu pa´s, necessita ajuda financeira para as despesas de viagem. e ı ¸˜Prevencao: ´ A melhor forma de se prevenir e identificar as mensagens contendo tentativas de golpes. Umamensagem deste tipo, geralmente, possui caracter´sticas como: ı • oferece quantias astronˆ micas de dinheiro; o • solicita sigilo nas transacoes; ¸˜ • solicita que vocˆ a responda rapidamente; e • apresenta palavras como “urgente” e “confidencial” no campo de assunto; • apresenta erros gramaticais e de ortografia (muitas mensagens s˜ o escritas por meio do uso de a ¸˜ programas tradutores e podem apresentar erros de traducao e de concordˆ ncia). a Al´ m disto, adotar uma postura preventiva pode, muitas vezes, evitar que vocˆ seja v´tima de e e ı ´golpes. Por isto, e muito importante que vocˆ : e • questione-se por que justamente vocˆ , entre os in´ meros usu´ rios da Internet, foi escolhido para e u a receber o benef´cio proposto na mensagem e como chegaram at´ vocˆ ; ı e e • desconfie de situacoes onde e necess´ rio efetuar algum pagamento com a promessa de futura- ¸˜ ´ a mente receber um valor maior (pense que, em muitos casos, as despesas poderiam ser descon- tadas do valor total). ´ Aplicar a sabedoria popular de ditados como “Quando a esmola e demais, o santo desconfia” ou“Tudo que vem f´ cil, vai f´ cil”, tamb´ m pode ajud´ -lo nesses casos. a a e a Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para ´ a ¸˜confirmar que o seu endereco de e-mail e v´ lido. Esta informacao pode ser usada, por exemplo, para ¸inclu´-lo em listas de spam ou de poss´veis v´timas em outros tipos de golpes. ı ı ı
  21. 21. 2. Golpes na Internet 92.3 Phishing Phishing2 , phishing-scam ou phishing/scam, e o tipo de ´fraude por meio da qual um golpista tenta obter dados pessoais ¸˜e financeiros de um usu´ rio, pela utilizacao combinada de meios at´ cnicos e engenharia social. e O phishing ocorre por meio do envio de mensagens eletrˆ nicas que: o • tentam se passar pela comunicacao oficial de uma instituicao conhecida, como um banco, uma ¸˜ ¸˜ empresa ou um site popular; • procuram atrair a atencao do usu´ rio, seja por curiosidade, por caridade ou pela possibilidade ¸˜ a de obter alguma vantagem financeira; • informam que a n˜ o execucao dos procedimentos descritos pode acarretar s´ rias consequˆ ncias, a ¸˜ e e ¸˜ ¸˜ como a inscricao em servicos de protecao de cr´ dito e o cancelamento de um cadastro, de uma ¸ e conta banc´ ria ou de um cart˜ o de cr´ dito; a a e • tentam induzir o usu´ rio a fornecer dados pessoais e financeiros, por meio do acesso a p´ ginas a a ¸˜ ¸˜ falsas, que tentam se passar pela p´ gina oficial da instituicao; da instalacao de c´ digos malicio- a o ¸˜ sos, projetados para coletar informacoes sens´veis; e do preenchimento de formul´ rios contidos ı a na mensagem ou em p´ ginas Web. a ¸˜ Para atrair a atencao do usu´ rio as mensagens apresentam diferentes t´ picos e temas, normalmente a oexplorando campanhas de publicidade, servicos, a imagem de pessoas e assuntos em destaque no ¸momento, como exemplificado na Tabela 2.13 . Exemplos de situacoes envolvendo phishing s˜ o: ¸˜ aP´ ginas falsas de com´ rcio eletrˆ nico ou Internet Banking: vocˆ recebe um e-mail, em nome de a e o e e o ¸˜ um site de com´ rcio eletrˆ nico ou de uma instituicao financeira, que tenta induzi-lo a clicar em e´ um link. Ao fazer isto, vocˆ e direcionado para uma p´ gina Web falsa, semelhante ao site que a vocˆ realmente deseja acessar, onde s˜ o solicitados os seus dados pessoais e financeiros. e aP´ ginas falsas de redes sociais ou de companhias a´ reas: vocˆ recebe uma mensagem contendo a e e um link para o site da rede social ou da companhia a´ rea que vocˆ utiliza. Ao clicar, vocˆ e e e ´ ´ e direcionado para uma p´ gina Web falsa onde e solicitado o seu nome de usu´ rio e a sua se- a a nha que, ao serem fornecidos, ser˜ o enviados aos golpistas que passar˜ o a ter acesso ao site e a a a ¸˜ poder˜ o efetuar acoes em seu nome, como enviar mensagens ou emitir passagens a´ reas. eMensagens contendo formul´ rios: vocˆ recebe uma mensagem eletrˆ nica contendo um formul´ - a e o a ¸˜ rio com campos para a digitacao de dados pessoais e financeiros. A mensagem solicita que e a a ¸˜ vocˆ preencha o formul´ rio e apresenta um bot˜ o para confirmar o envio das informacoes. Ao preencher os campos e confirmar o envio, seus dados s˜ o transmitidos para os golpistas. aMensagens contendo links para c´ digos maliciosos: vocˆ recebe um e-mail que tenta induzi-lo a o e ´ clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, e apresentada uma men- sagem de erro ou uma janela pedindo que vocˆ salve o arquivo. Ap´ s salvo, quando vocˆ e o e abri-lo/execut´ -lo, ser´ instalado um c´ digo malicioso em seu computador. a a o 2A palavra phishing, do inglˆ s “fishing”, vem de uma analogia criada pelos fraudadores, onde “iscas” (mensagens eeletrˆ nicas) s˜ o usadas para “pescar” senhas e dados financeiros de usu´ rios da Internet. o a a 3 Esta lista n˜ o e exaustiva e nem se aplica a todos os casos, pois ela pode variar conforme o destaque do momento. a ´
  22. 22. 10 Cartilha de Seguranca para Internet ¸ ¸˜Solicitacao de recadastramento: vocˆ recebe uma mensagem, supostamente enviada pelo grupo de e ¸˜ suporte da instituicao de ensino que frequenta ou da empresa em que trabalha, informando que ¸ a ¸˜ ´ o servico de e-mail est´ passando por manutencao e que e necess´ rio o recadastramento. Para a ´ isto, e preciso que vocˆ forneca seus dados pessoais, como nome de usu´ rio e senha. e ¸ a T´ pico o Tema da mensagem ´ Albuns de fotos e v´deos ı pessoa supostamente conhecida, celebridades algum fato noticiado em jornais, revistas ou televis˜ o a ¸˜ traicao, nudez ou pornografia, servico de acompanhantes ¸ Antiv´rus ı ¸˜ ¸˜ atualizacao de vacinas, eliminacao de v´rus ı lancamento de nova vers˜ o ou de novas funcionalidades ¸ a ¸˜ Associacoes assistenciais AACD Teleton, Click Fome, Crianca Esperanca¸ ¸ Avisos judiciais intimaca¸ ˜ o para participacao em audiˆ ncia ¸ ˜ e comunicado de protesto, ordem de despejo Cart˜ es de cr´ dito o e programa de fidelidade, promocao ¸˜ Cart˜ es virtuais o UOL, Voxcards, Yahoo! Cart˜ es, O Carteiro, Emotioncard o Com´ rcio eletrˆ nico e o ¸˜ cobranca de d´ bitos, confirmacao de compra ¸ e ¸˜ ¸˜ atualizacao de cadastro, devolucao de produtos oferta em site de compras coletivas Companhias a´ reas e ¸˜ promocao, programa de milhagem ¸˜ Eleicoes ¸˜ t´tulo eleitoral cancelado, convocacao para mes´ rio ı a Empregos ¸˜ cadastro e atualizacao de curr´culos, processo seletivo em aberto ı Imposto de renda ¸˜ nova vers˜ o ou correcao de programa a ¸˜ consulta de restituicao, problema nos dados da declaracao ¸˜ Internet Banking ¸˜ unificacao de bancos e contas, suspens˜ o de acesso a ¸˜ atualizacao de cadastro e de cart˜ o de senhas a ¸ ¸˜ lancamento ou atualizacao de m´ dulo de seguranca o ¸ comprovante de transferˆ ncia e dep´ sito, cadastramento de computador e o ¸˜ Multas e infracoes de trˆ nsito a aviso de recebimento, recurso, transferˆ ncia de pontos e M´ sicas u ¸˜ cancao dedicada por amigos Not´cias e boatos ı fato amplamente noticiado, ataque terrorista, trag´ dia natural e Prˆ mios e ¸˜ loteria, instituicao financeira Programas em geral lancamento de nova vers˜ o ou de novas funcionalidades ¸ a Promocoes¸˜ vale-compra, assinatura de jornal e revista ¸˜ desconto elevado, preco muito reduzido, distribuicao gratuita ¸ Propagandas produto, curso, treinamento, concurso Reality shows Big Brother Brasil, A Fazenda, ´ Idolos Redes sociais ¸˜ notificacao pendente, convite para participacao ¸˜ aviso sobre foto marcada, permiss˜ o para divulgacao de foto a ¸˜ Servicos de Correios ¸ recebimento de telegrama online Servicos de e-mail ¸ ¸˜ recadastramento, caixa postal lotada, atualizacao de banco de dados ¸ ¸˜ e ¸˜ e ¸˜ Servicos de protecao de cr´ dito regularizacao de d´ bitos, restricao ou pendˆ ncia financeira e Servicos de telefonia ¸ recebimento de mensagem, pendˆ ncia de d´ bito e e bloqueio de servicos, detalhamento de fatura, cr´ ditos gratuitos ¸ e Sites com dicas de seguranca¸ aviso de conta de e-mail sendo usada para envio de spam (Antispam.br) cartilha de seguranca (CERT.br, FEBRABAN, Abranet, etc.) ¸ ¸˜ Solicitacoes ¸˜ orcamento, documento, relat´ rio, cotacao de precos, lista de produtos ¸ o ¸ Tabela 2.1: Exemplos de t´ picos e temas de mensagens de phishing. o
  23. 23. 2. Golpes na Internet 11 ¸˜Prevencao: • fique atento a mensagens, recebidas em nome de alguma instituicao, que tentem induzi-lo a ¸˜ ¸˜ fornecer informacoes, instalar/executar programas ou clicar em links; • questione-se por que instituicoes com as quais vocˆ n˜ o tem contato est˜ o lhe enviando men- ¸˜ e a a ¸˜ sagens, como se houvesse alguma relacao pr´ via entre vocˆ s (por exemplo, se vocˆ n˜ o tem e e e a conta em um determinado banco, n˜ o h´ porque recadastrar dados ou atualizar m´ dulos de a a o seguranca); ¸ • fique atento a mensagens que apelem demasiadamente pela sua atencao e que, de alguma forma, ¸˜ o ameacem caso vocˆ n˜ o execute os procedimentos descritos; e a • n˜ o considere que uma mensagem e confi´ vel com base na confianca que vocˆ deposita em seu a ´ a ¸ e remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido ¸˜ forjada (mais detalhes na Secao 3.3 do Cap´tulo Ataques na Internet); ı • seja cuidadoso ao acessar links. Procure digitar o endereco diretamente no navegador Web; ¸ • verifique o link apresentado na mensagem. Golpistas costumam usar t´ cnicas para ofuscar o e ´ link real para o phishing. Ao posicionar o mouse sobre o link, muitas vezes e poss´vel ver o ı endereco real da p´ gina falsa ou c´ digo malicioso; ¸ a o • utilize mecanismos de seguranca, como programas antimalware, firewall pessoal e filtros an- ¸ tiphishing (mais detalhes no Cap´tulo Mecanismos de seguranca); ı ¸ • verifique se a p´ gina utiliza conex˜ o segura. Sites de com´ rcio eletrˆ nico ou Internet Bank- a a e o ing confi´ veis sempre utilizam conex˜ es seguras quando dados sens´veis s˜ o solicitados (mais a o ı a ¸˜ detalhes na Secao 10.1.1 do Cap´tulo Uso seguro da Internet); ı • verifique as informacoes mostradas no certificado. Caso a p´ gina falsa utilize conex˜ o segura, ¸˜ a a um novo certificado ser´ apresentado e, possivelmente, o endereco mostrado no navegador Web a ¸ a ¸ ¸˜ ser´ diferente do endereco correspondente ao site verdadeiro (mais detalhes na Secao 10.1.2 do Cap´tulo Uso seguro da Internet); ı • acesse a p´ gina da instituicao que supostamente enviou a mensagem e procure por informacoes a ¸˜ ¸˜ (vocˆ vai observar que n˜ o faz parte da pol´tica da maioria das empresas o envio de mensagens, e a ı de forma indiscriminada, para os seus usu´ rios). a2.3.1 Pharming ´ ¸˜ ¸˜ Pharming e um tipo espec´fico de phishing que envolve a redirecao da navegacao do usu´ rio para ı asites falsos, por meio de alteracoes no servico de DNS (Domain Name System). Neste caso, quando ¸˜ ¸ e ı ´vocˆ tenta acessar um site leg´timo, o seu navegador Web e redirecionado, de forma transparente, para ¸˜uma p´ gina falsa. Esta redirecao pode ocorrer: a • por meio do comprometimento do servidor de DNS do provedor que vocˆ utiliza; e • pela acao de c´ digos maliciosos projetados para alterar o comportamento do servico de DNS ¸˜ o ¸ do seu computador;
  24. 24. 12 Cartilha de Seguranca para Internet ¸ • pela acao direta de um invasor, que venha a ter acesso as configuracoes do servico de DNS do ¸˜ ` ¸˜ ¸ seu computador ou modem de banda larga. ¸˜Prevencao: • desconfie se, ao digitar uma URL, for redirecionado para outro site, o qual tenta realizar alguma ¸˜ acao suspeita, como abrir um arquivo ou tentar instalar um programa; • desconfie imediatamente caso o site de com´ rcio eletrˆ nico ou Internet Banking que vocˆ est´ e o e a acessando n˜ o utilize conex˜ o segura. Sites confi´ veis de com´ rcio eletrˆ nico e Internet Bank- a a a e o ing sempre usam conex˜ es seguras quando dados pessoais e financeiros s˜ o solicitados (mais o a ¸˜ detalhes na Secao 10.1.1 do Cap´tulo Uso seguro da Internet); ı • observe se o certificado apresentado corresponde ao do site verdadeiro (mais detalhes na Se- ¸˜ cao 10.1.2 do Cap´tulo Uso seguro da Internet). ı2.4 Golpes de com´ rcio eletrˆ nico e o Golpes de com´ rcio eletrˆ nico s˜ o aqueles nos quais golpistas, com o objetivo de obter vantagens e o a ¸˜financeiras, exploram a relacao de confianca existente entre as partes envolvidas em uma transacao ¸ ¸˜ a o ¸˜comercial. Alguns destes golpes s˜ o apresentados nas pr´ ximas secoes.2.4.1 Golpe do site de com´ rcio eletrˆ nico fraudulento e o Neste golpe, o golpista cria um site fraudulento, com o objetivo espec´fico de enganar os poss´veis ı ıclientes que, ap´ s efetuarem os pagamentos, n˜ o recebem as mercadorias. o a Para aumentar as chances de sucesso, o golpista costuma utilizar artif´cios como: enviar spam, ıfazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertarprodutos muito procurados e com precos abaixo dos praticados pelo mercado. ¸ Al´ m do comprador, que paga mas n˜ o recebe a mercadoria, este tipo de golpe pode ter outras e av´timas, como: ı • uma empresa s´ ria, cujo nome tenha sido vinculado ao golpe; e • um site de compras coletivas, caso ele tenha intermediado a compra; • uma pessoa, cuja identidade tenha sido usada para a criacao do site ou para abertura de empresas ¸˜ fantasmas. ¸˜Prevencao: • faca uma pesquisa de mercado, comparando o preco do produto exposto no site com os valores ¸ ¸ obtidos na pesquisa e desconfie caso ele seja muito abaixo dos praticados pelo mercado;
  25. 25. 2. Golpes na Internet 13 • pesquise na Internet sobre o site, antes de efetuar a compra, para ver a opini˜ o de outros clientes; a • acesse sites especializados em tratar reclamacoes de consumidores insatisfeitos, para verificar ¸˜ ¸˜ se h´ reclamacoes referentes a esta empresa; a • fique atento a propagandas recebidas atrav´ s de spam (mais detalhes no Cap´tulo Spam); e ı • seja cuidadoso ao acessar links patrocinados (mais detalhes na Secao 6.5 do Cap´tulo Outros ¸˜ ı riscos); • procure validar os dados de cadastro da empresa no site da Receita Federal4 ; • n˜ o informe dados de pagamento caso o site n˜ o ofereca conex˜ o segura ou n˜ o apresente um a a ¸ a a a ¸˜ certificado confi´ vel (mais detalhes na Secao 10.1 do Cap´tulo Uso seguro da Internet). ı2.4.2 Golpe envolvendo sites de compras coletivas Sites de compras coletivas tˆ m sido muito usados em golpes de sites de com´ rcio eletrˆ nico frau- e e o ¸˜ ` ¸˜dulentos, como descrito na Secao 2.4.1. Al´ m dos riscos inerentes as relacoes comerciais cotidianas, eos sites de compras coletivas tamb´ m apresentam riscos pr´ prios, gerados principalmente pela press˜ o e o aimposta ao consumidor em tomar decis˜ es r´ pidas pois, caso contr´ rio, podem perder a oportunidade o a ade compra. Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras co-letivas e, assim, conseguir grande quantidade de v´timas em um curto intervalo de tempo. ı Al´ m disto, sites de compras coletivas tamb´ m podem ser usados como tema de mensagens de e ephishing. Golpistas costumam mandar mensagens como se tivessem sido enviadas pelo site verda-deiro e, desta forma, tentam induzir o usu´ rio a acessar uma p´ gina falsa e a fornecer dados pessoais, a acomo n´ mero de cart˜ o de cr´ dito e senhas. u a e ¸˜Prevencao: • procure n˜ o comprar por impulso apenas para garantir o produto ofertado; a • seja cauteloso e faca pesquisas pr´ vias, pois h´ casos de produtos anunciados com desconto, ¸ e a mas que na verdade, apresentam valores superiores aos de mercado; • pesquise na Internet sobre o site de compras coletivas, antes de efetuar a compra, para ver a opini˜ o de outros clientes e observar se foi satisfat´ ria a forma como os poss´veis problemas a o ı foram resolvidos; • siga as dicas apresentadas na Secao 2.3 para se prevenir de golpes envolvendo phishing; ¸˜ • siga as dicas apresentadas na Secao 2.4.1 para se prevenir de golpes envolvendo sites de com´ r- ¸˜ e cio eletrˆ nico fraudulento. o 4 http://www.receita.fazenda.gov.br/.

×