Tópico: Segurança no Internet Banking

[HSette]

A Febraban divulgou uma cartilha sobre segurança no uso de Internet Banking.
As dicas de sempre.
Mas a última me chamou a atenção, pois para mim é novidade.

Alguém sabe esclarecer? 

20 - Na desconfiança do acesso à página de seu Internet Banking, clique na barra superior de seu browser e movimente a janela; caso algum conteúdo existente na página não acompanhe sua movimentação pode ser o indício de um programa espião em seu computador.

[Diego]

hã??

eu hein!
sinceramente não sei q tipo de coisa se evita com isso....

[Cereal Killer]

O que acontece é que alguns programas espiões mais modernos não clonam mais a página mas rodam um programa que interpoe os campo LOGIN e SENHA por cima da pagina do banco, pois a pagina clonada não é HTTPS ou não aparece o cadeado fechado no rodapé, e qdo vc digita seu login e senha estará digitando no programa espião e não na pagina do banco.
Muita atenção…

Mas a melhor maneira de se prevenir é sempre acessar o banco através do seu computador e nunca de um amigo ou de uma lanhouse. Dê CTRL+ALT+DEL e na guia PROCESSOS decore todos os programas que estão rodando na maquina, mas faça isto numa maquina "sadia" ou que acabou de ser formatada, e qdo for acessar seu internet bank Dê CTRL+ALT+DEL e compare. Isto ajuda muito mas tem como burlar e o programa não aparecer na relação mas é muito pouco conhecido este processo.

[HSette]

Valeu pela explicação e pela dica!

[Nigh†mare]

Esse é o tema da monografia que apresentei neste fim de ano.

O que acontece é que alguns programas espiões mais modernos não clonam mais a página mas rodam um programa que interpoe os campo LOGIN e SENHA por cima da pagina do banco, pois a pagina clonada não é HTTPS ou não aparece o cadeado fechado no rodapé, e qdo vc digita seu login e senha estará digitando no programa espião e não na pagina do banco.
Muita atenção…

Isso.

Mas a melhor maneira de se prevenir é sempre acessar o banco através do seu computador e nunca de um amigo ou de uma lanhouse. Dê CTRL+ALT+DEL e na guia PROCESSOS decore todos os programas que estão rodando na maquina, mas faça isto numa maquina "sadia" ou que acabou de ser formatada, e qdo for acessar seu internet bank Dê CTRL+ALT+DEL e compare. Isto ajuda muito mas tem como burlar e o programa não aparecer na relação mas é muito pouco conhecido este processo.

Outra dica é: antes de se conectar, abrir um documento bloco de notas, digitar nome de usuário e senha (e frase secreta, e o que mais seja necessário ao acesso). Depois, conectar-se, copiar e colar os dados.

A maioria dos programas espiões inicia a gravação das ações após detectada a conexão com a Internet. Outros, iniciam a gravação apenas quando o usuário acessa determinados sites.

[HSette]

Outra dica é: antes de se conectar, abrir um documento bloco de notas, digitar nome de usuário e senha (e frase secreta, e o que mais seja necessário ao acesso). Depois, conectar-se, copiar e colar os dados.

Boa essa!
Vou adotar.

[Buckaroo Banzai]

Outra dica é: antes de se conectar, abrir um documento bloco de notas, digitar nome de usuário e senha (e frase secreta, e o que mais seja necessário ao acesso). Depois, conectar-se, copiar e colar os dados.

A maioria dos programas espiões inicia a gravação das ações após detectada a conexão com a Internet. Outros, iniciam a gravação apenas quando o usuário acessa determinados sites.

boa dica, a menos enquanto eles não se tocarem que muitos fazem isso....

...... mas acho que em alguns sites e/ou browsers talvez não de para colar, não sei...

...... de qualquer forma ainda tem o resto todo de ficar de olho em processos estranhos e etc

[Buckaroo Banzai]

20 - Na desconfiança do acesso à página de seu Internet Banking, clique na barra superior de seu browser e movimente a janela; caso algum conteúdo existente na página não acompanhe sua movimentação pode ser o indício de um programa espião em seu computador.

Para isso ser válido, aquela opção "mostrar conteúdo da janela ao arrastar", ou algo que o valha, deve estar acionada, não?

[Cereal Killer]

20 - Na desconfiança do acesso à página de seu Internet Banking, clique na barra superior de seu browser e movimente a janela; caso algum conteúdo existente na página não acompanhe sua movimentação pode ser o indício de um programa espião em seu computador.

Para isso ser válido, aquela opção "mostrar conteúdo da janela ao arrastar", ou algo que o valha, deve estar acionada, não?

Acho que não é necessario.
A dica acima de escrever o login e a senha antes acessar a internet pode ser valida mas isto depende do programador que desenvolveu o software espião, mas é valida.

Instale um FIREWALL em seu computador. Ele te protegerá de ataques tanto internos como externos. Se seu pc foi infectado ele não permitirá que o vírus faça uma comunicação externa pois bloqueia as portas com a internet. O FIREWALL do Windows XP é muito limitado. Não economize neste ponto.

[rizk]

…. mas acho que em alguns sites e/ou browsers talvez não de para colar, não sei…

O meu tem um "teclado virtual": você tem que botar a senha usando 5 botões, cada um com um par de números. E os botões trocam de sequência (então, se em um dia o "4 e 7" está à esquerda, no outro dia pode estar no meio).

[Rodion]

…. mas acho que em alguns sites e/ou browsers talvez não de para colar, não sei…

O meu tem um "teclado virtual": você tem que botar a senha usando 5 botões, cada um com um par de números. E os botões trocam de sequência (então, se em um dia o "4 e 7" está à esquerda, no outro dia pode estar no meio).

itaú?

[Nigh†mare]

…. mas acho que em alguns sites e/ou browsers talvez não de para colar, não sei…

O meu tem um "teclado virtual":

Todos têm.

E NENHUM é seguro.

você tem que botar a senha usando 5 botões, cada um com um par de números. E os botões trocam de sequência (então, se em um dia o "4 e 7" está à esquerda, no outro dia pode estar no meio).

Itaú?

A premissa é: se você, usuária, pode ver, então, pode ser capturado.

[rizk]

Sim sim. E tem também o cartãozinho de "números de segurança" ou sei lá, a gente tem um cartão "físico" com vários numerozinhos. Aí o banco pede, exemplo, o número 16: e a gente digita os 4 dígitos que correspondem a 16 no cartãozinho e não sei mais o quê. Eu prefiro ir ao banco de uma vez, sabem.

Seria mais seguro então copiar e colar a senha?!?!?! Então por que eles cismam com isso?

[Cereal Killer]

Sim sim. E tem também o cartãozinho de "números de segurança" ou sei lá, a gente tem um cartão "físico" com vários numerozinhos. Aí o banco pede, exemplo, o número 16: e a gente digita os 4 dígitos que correspondem a 16 no cartãozinho e não sei mais o quê. Eu prefiro ir ao banco de uma vez, sabem.

Seria mais seguro então copiar e colar a senha?!?!?! Então por que eles cismam com isso?

Mimi, nâo adianta usar teclado virtual ou teclado comum ou copiar e colar. Tenho um soft na internet que desenvolvo, ta na minha assinatura, que captura nas maneiras acima, inclusive telas do Windows, programas executados, clipboard, e até telas da sua webcam.
Como programador e desenvolvedor destes tipos de programas, recomendo a instalação de um bom Firewall, não o do Windows XP, pois mesmo capturando dados em sua maquina o hacker não terá como enviar para fora.

Recomendo o firewall da ZoneLabs > http://download.zonelabs.com/bin/free/1038_zl/zaSuiteSetup_65_737_000_en.exe

[HSette]

Esse da ZoneLabs é gratuito?

[Buckaroo Banzai]

e os próprios bancos, tomam todas essas medidas de segurança? Porque um dia fui ao caixa, não vendo que tinha aqueles que a máquina não pega o cartão, usei uma outra que o engoliu.... tiveram que reiniciar, e para o meu horror, vi que usavam windows  .... nossas contas bancárias... nas mãos de windows...... pior deve ter sido na época pós 98, e antes de 2000/NT/ME (ME talvez não) com aquela maldita tela azul aparecendo no caixa.... aquilo deve ter deixado muita gente traumatizado e com tremores e tudo mais até hoje...

[Buckaroo Banzai]

Esse da ZoneLabs é gratuito?

tem um "free" no endereço... é sim.... ao menos ainda tem uma versão assim...

[HSette]

Esse da ZoneLabs é gratuito?

tem um "free" no endereço… é sim… ao menos ainda tem uma versão assim…

Já estou baixando.

Pelo papo aqui, o do Windows é uma furada. 

[Cereal Killer]

Esse da ZoneLabs é gratuito?

É gratuito por 15 dias mas a opção é FULL ou seja completo, tem opções free mas não são completas.

[Buckaroo Banzai]

não tem mais a versão básica grátis, por tempo indeterminado?

[Cereal Killer]

e os próprios bancos, tomam todas essas medidas de segurança? Porque um dia fui ao caixa, não vendo que tinha aqueles que a máquina não pega o cartão, usei uma outra que o engoliu… tiveram que reiniciar, e para o meu horror, vi que usavam windows  … nossas contas bancárias… nas mãos de windows…. pior deve ter sido na época pós 98, e antes de 2000/NT/ME (ME talvez não) com aquela maldita tela azul aparecendo no caixa… aquilo deve ter deixado muita gente traumatizado e com tremores e tudo mais até hoje…

Os sistemas usados em terminais bancarios tem implementações especiais, por exemplo só executam determinados softwares essenciais e barram quaisquer outros, senhas especiais codificadas e com cartões especiais, sem conexão com a internet ou cd ou drives não estão instalados e muitos são "vigiados" por servidores especiais.

[Cereal Killer]

não tem mais a versão básica grátis, por tempo indeterminado?

Aqui tem a versão free : http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?dc=12bms&ctry=BR&lang=pt

Mas não é completa.

[Nigh†mare]

Sim sim. E tem também o cartãozinho de "números de segurança" ou sei lá

Keyloggers gravam isso.

... a gente tem um cartão "físico" com vários numerozinhos.

Aí o banco pede, exemplo, o número 16: e a gente digita os 4 dígitos que correspondem a 16 no cartãozinho e não sei mais o quê. Eu prefiro ir ao banco de uma vez, sabem.

Sim, mas, se prestar atenção, o site do banco escolhe apenas um numerozinho desses por dia... O fraudador só tem que acessar no mesmo dia que você (o que costuma acontecer com a maioria das vítimas, já que os fraudadores não querem correr o risco de futuras mudanças de senhas).

Acessado uma vez, o fraudador poderá alterar seu endereço no banco e solicitar novo catão. Vai chegar bonitinho no endereço dele.

Seria mais seguro então copiar e colar a senha?!?!?! Então por que eles cismam com isso?

Ilusão de segurança... Os clientes leigos que desconfiarem que o sistema não é seguro, não acessarão...

Cada operações com Net Banking custa ao banco cerca de R$ 0,10 (dez centavos)... Já com agências físicas, o gasto é de cerca de R$ 1,10 (onze vezes mais).

Quanto mais gente utilizando, maiora economia, maior o lucro.


Fiz um programinha que captura senhas de teclados virtuais.

Demonstração com uma senha digitada no teclado virtual do Itaú:

<a href="http://www.youtube.com/v/Vyp35psskSk" target="_blank" class="new_win">http://www.youtube.com/v/Vyp35psskSk</a>

Ele grava em vídeo a ação do mouse. Para usar para fraudes, bastaria incluir uma rotina de envio de mensagens para um FTP ou coisa que o valha.

[Buckaroo Banzai]

baixem um cd de linux live para transações bancárias, se acham que sempre tem o risco de cavalos de tróia e coisas do tipo...

(suponho que seja uma boa sugestão)