Com o aumento de ataques cibernéticos, a internet hoje tem sido uma rede sem lei, onde criminosos tentam exploram falhas nos sistemas ou roubar dados dos usuários, através de vírus e programas maliciosos, tanto em e-mails como em sites infectados. Com as empresas bancárias expandido cada vez mais sua atuação sobre o meio digital, tal preocupação deve ser redobrada, principalmente por este ser, na maioria das vezes, o principal alvo dos crimes na internet.
Este movimento em torno da segurança da informação tem levado às empresas bancárias a buscarem o equilíbrio entre a segurança, facilidade de uso pelo usuário final e eficiência na prestação de serviço. Entretanto, este equilíbrio parece não ter sido levado em conta pelo Banco do Brasil.
Recentemente o Banco do Brasil retirou de seu sistema o teclado virtual, usado pela maioria da rede bancária como forma preventiva contra aplicativos que registram os dados digitado pelo teclado (os chamados keylogger). O objetivo da nova forma de acesso ao internet banking é facilitar a utilização por seus clientes. Porém, tal medida põe em risco os dados dos usuários que acessam sua conta pela internet.
Diante da mudança, fiz um teste básico e simples: instalei o primeiro keylogger que encontrei e constei que todos os dados de agência, conta corrente e senha de 8 e 6 dígitos foram gravados. Como o BB adota a medida de cadastramento de computadores, aparentemente nenhum problema seria constado, mas aí entra um outro problema: a segurança da informação. O atacante pode não conseguir nenhuma transação por sua máquina não estar cadastrada, mas terá acesso a todas as suas informações bancárias, tais como saldo, extrato de poupança, quanto entra, quanto sai, etc. Ninguém quer ter o sigilo bancário violado tão facilmente, não é?
Com a nova medida de eliminar o teclado virtual, o BB cria uma metodologia de segurança vista com suspeita por muitos. Segundo informações que constam no site do Banco do Brasil (veja aqui), foi criada uma central de monitoramento, que basicamente detecta operações anormais do cliente. As transações suspeitas ficam sobre análise, e caso não seja aprovada, deve ter a autorização pelo cliente via telefone, para que seja concluida. Em caso de perca ou roubos dados, realmente esta medida evita utilização indevida de seu dinheiro. Mas, esta medida cria um gargalo nas transações online e imediata. Por duas vezes, necessitei efetuar uma transferência entre contas do BB, e o mesmo só foi processado depois de algumas horas. Ou seja, não dependa do banco se você precisar de algo realmente urgente.
Juntando a isto tudo, o BB adota um módulo de segurança que é instalado em seu computador, mas que as informações sobre o que ele realmente faz não fica muito claro. Uma coisa é fato: o BB rastreia todos os seus movimentos para identificar o que é e o que não é transação anormal. Só quero acreditar que o rastreio do módulo se limite às operações do sistema do banco.
Vinicius Cruz é formado em Ciências da Computação (2008) e desenvolvedor desde 2004. Atualmente cursa pós-graduação em Arquitetura de Software e Convergência de Mídia.
É isso mesmo, esses dias usei meu cartão de credito e me ligaram da central pra saber se eu mesma havia feito a compra.
Hoje fui fazer uma transferencia e qual não foi minha surpresa quando li a mensagem no final do comprovante dizendo que a transação passaria por análise antes de ser liberaba. Tirar o teclado virtual tb foi uma péssima idéia. Não consigo nem fazer recarga no celular mais, segundo uma atendente do 0800 meu computador provavelmente tem conteudo malicioso, mas a verdade é que a central não pode instalar esse modulo de segurança aqui, porque uso Linux e agora fico sem poder fazer varias operaçoes on line. Na boa….decepção total.
A propósito, ótimo post!!
Realmente, o problema da recarga de celular não se limita ao linux. Agora que li o comentário, observei que depois da mudança esta operação nunca está disponível.
Horrível o novo sistema do BB. As transações “sujeitas a confirmação” são um grande passo para trás. Estou, inclusive, pesquisando outros bancos para mudar .
olá, vi seu link no site http://www.torpedosonline.com
se vc tem algo a ver com ele por favor me informe quem é o responsável por ele, quero cancelar os sms que recebo e não sei como fazer isso, não acho nada que diga como fazer o mesmo. diáriamente recebo vários que ainda “comem” meus créditos. teve uma madrugda que cheguei a receber 14 só entre as 3h e as 7h.
se tiver como me responder [por e-mail ou orkut] ou solucionar o meu problema ficarei grata.
não aguento mais receber isso.
att k.hemmel
Muito bom o post. Ainda há dois outros detalhes não mencionados pelo autor: Sem o teclado virtual, o BB pode se eximir da responsabilidade, em casos de ações na justiça, alegando que a responsabilidade pelo roubo das informações foi do cliente, ao não prover ambiente seguro para digitação das informações (clara transferência de responsabilidade). Em segundo lugar, o cadastramento automático só pode ocorrer pelo endereço IP (creio eu). E se o acesso for feito de LAN HOUSE ou do trabalho, o sistema do banco não irá permitir porque o IP da conexão é diferente da anterior (acesso de casa)? Ou ainda, como ter certeza de que quem está fazendo o primeiro acesso é o proprietário da conta e não a pessoa que usou o Keylogger, para obter as informações de login?
Saudações,
Luiz Claudio
É verdade, Luiz. O BB acaba transferindo a responsabilidade para o cliente. Sobre o cadastramento de computadores, o mesmo é feito pela identificação do PC (acredito que pelo endereço físico da placa de rede), ao invés do IP, que a maioria das vezes é dinâmico. E no caso de realizar o primeiro cadastramento, pelo que me lembro, tive que ir no terminal para informar o código que ele retorna para identificar o computador cadastrado. Neste caso, é necessário digitar as letras de segurança.
Acredito que este modo funcione bem, porém, ao tomar tal medida, acaba diminuindo consideravelmente a flexibilidade para que o usuário usufrua dos serviços independente de onde ele estiver. Por exemplo: tenho o pc de casa cadastrado, e caso esteja no trabalho e necessite realizar alguma operação (como transferência, por exemplo), teria que ir no terminal, acessar via celular ou em um outro computador cadastrado. Ou seja, acaba sendo o preço que se paga.
Por mais que tentem fazer uma segurança, é dificil mantê-la por muito tempo. No caso do BB, é possível fazer uma transferência em dinheiro mesmo o cracker estando em outro computador. Como? você pode dizer, bem o sistema do BB deve pegar algum dado do cliente(provavelmente o número serial) e cria uma chave de aceso para o computador em questão que é cadastrado no terminal, então no momento do acesso a conta corrente esses dados são enviados pelo o módulo de segurança que verifica a sua validade junto com o Banco de Dados do BB. Teoricamente somente o terminal cadastrado pode acessar e fazer transações.
Porém se um cracker fizer um trojan que cria um terminal virtual remoto, já era, ou seja com um terminal remoto, a transferência será feita pelo o terminal cadastrado(o do cliente) e não pelo terminal do Cracker, dando acesso total aos dados do correntista. Eu particulamente desenvolvi um aplicativo assim(apenas para estudo meu) e funcionou normalmente, fiz uma transação de minha conta em outro computador(pagamento de água) normalmente.
Claro que existe também meios para impedir isso, eu também fiz um estudo de caso e conseguia impedir que a realização fosse feita remotamente. Outro dado que pode empedir isso é o uso de certificados digitais em tokens ou em e-cards, porém o custo ainda não(eu acho) vale para as instituições financeiras.
Um abraço a todos!
Privatiza esta @#$@#$@#$
Só para comentar quando alguém chinga(mesmo usando caracteres) o BB não é estatal, tal como a Caixa Econômica, que é empresa pública do governo. O BB é uma sociedade de economia mista, ou seja, é regida por ações. O governo não tem nem 50% delas. Falar em privatizar uma empresa dessa é falar muita merda.