Parece que, só porque eu comentei ontem, hoje aparece a matéria.
Bancos poderão exigir confirmação do cliente via celular para efetuar transações online:
Os bancos deverão investir pesado em sistemas para confirmação das transações online inibir fraudes por meio de dois canais: a internet e outro meio, que pode ser o celular . A afirmação é do CSO (Chief Security Officer) do Banco ABN Real, Marcio Reis.
[...]
Reis afirmou que logo os bancos terão de entrar na terceira fase de adoção de novas tecnologias de segurança para proteger os clientes dos pescadores de senha. É a etapa que ele chama de main-in-the middle em que os criminosos tentarão interceptar os dados no momento das operações.
O verbo deveria estar no passado. Eles “tentam” isto, há muito tempo. No Brasil, aliás, phishing virou sinônimo de um e-mail que aplica uma tática de engenharia social qualquer para convencer o usuário a instalar um trojan. O que é diferente da definição clássica, que se refere a um e-mail que tenta se passar por uma instituição financeira para roubar diretamente os dados do internauta.
Existem várias vantagens para os ataques serem feitos desta forma. Diferente do phishing comum, um mesmo e-mail pode acabar roubando senhas de vários bancos. A mensagem também é menos suspeita e pode tratar de qualquer assunto. A quantidade de e-mails usando cartões de amor é tal que acredito ser este o tipo de mensagem que mais dá retorno para os criminosos. Uma mensagem com este tema não poderia ser um phishing clássico.
Nem todos os trojans são obras de arte. Mas a maioria faz modificações convincentes o suficiente no site do banco para que as pessoas acabem digitando sua senha em um campo falso. Aqueles que interceptam dados — gravando até vídeos das ações do internauta — são os mais avançados. Mas eles não estão no futuro. Estão aqui.
É bom ver que pelo menos o CSO do Real está com esta idéia na cabeça. E espero que ele faça ela funcionar, apesar que tentar autenticar só as transferências acima de um certo valor coloca uma brecha no sistema. Vai depender do valor configurado.
No final da matéria, Jorge Krug, do Banrisul, fala sobre a padronização dos sistemas de segurança. Tenho minhas dúvidas sobre isso. Por que isto é necessário? Será que muitas pessoas acessam com freqüência dois ou mais bancos pela internet? Padronização pode ser uma vulnerabilidade. Se há apenas um sistema de segurança para proteger, há apenas um para ser burlado.