Sítio do Piropo

B. Piropo

Jornal o Estado de Minas:
< Coluna Técnicas & Truques >
Volte
14/06/2007

< O Banco e a Internet >


Antigamente era fácil: fechava-se uma conexão com o servidor do banco, entrava-se com a identificação e senha e fazia-se a movimentação financeira. Simples assim.

Depois veio a Internet e o leque de serviços ampliou-se tanto que, como era de esperar, atraiu a atenção de todo tipo de mequetrefe especializado em furtar dados e identidades alheios para usá-los em seu próprio benefício, complicando nossa vida e a dos bancos.

Para dificultar os ladravazes que usavam programas do tipo “sniffer” (farejador) para interceptar as transações bancárias enquanto os dados trafegavam entre o micro e o servidor do banco, desenvolveu-se um sofisticado sistema de criptografia que os “embaralha” na origem e os põe novamente em ordem no destino. E tanto a Internet quanto os programas navegadores se adaptaram. A primeira criando um protocolo seguro (conjunto de regras para troca de arquivos baseado em criptografia denominado SSL, ou “Secure Socket Layers”), controlado por instituições sérias que emitem certificados garantindo que o sítio é confiável. E os segundos criando rotinas que verificam tudo isto e informam ao internauta que o sítio é seguro, geralmente exibindo um pequeno ícone em forma de cadeado (no IE7, logo à direita da barra de endereços, para chamar a atenção do usuário; veja figura). Portanto, se você fechou uma conexão com seu banco e aquele cadeado não apareceu, acautele-se. Provavelmente, por mais que se pareça com o do seu banco, sem o cadeado é provável que o sítio seja uma contrafação criada por um larápio interessado em furtar seus dados e sua senha. E, em aparecendo o cadeado, se quiser ter certeza que o sítio de fato é seguro, clique nele. Se tudo estiver nos conformes aparecerá uma pequena janela com a identificação do sítio e, em sua base, um atalho que exibirá as características do certificado e das instituições (a que o solicitou e a que o emitiu).

Resolvido o problema de furto de dados em trânsito, restou o pior, mais insidioso e perigoso: o furto de dados no próprio micro do usuário e seu envio ao pilantra que nele plantou um programa mal intencionado chamado “Keylogger” usando outro programa denominado “Cavalo de Tróia”. O Cavalo de Tróia é um programa aparentemente inocente, que geralmente vem anexado a uma mensagem de correio eletrônico sugerindo que você o execute para ver fotos, ganhar prêmios ou qualquer coisa do tipo e, em vez disso, instala “por baixo dos panos” seu fiel companheiro, o “Keylogger”. Este, por sua vez, anota metodicamente todas as teclas que você acionou e as coordenadas do ponteiro de seu mouse a cada clique e, periodicamente, via Internet, envia este registro para o safardana que o instalou. Basta examinar o arquivo para ver que teclas foram acionadas e onde o mouse foi clicado durante uma conexão com o banco para “chupar” seus dados.

Para resolver este problema os bancos usaram criatividade. Primeiro, criaram os “teclados virtuais” (na parte inferior da figura) usado para introduzir senhas e dados críticos com cliques de mouse em vez do teclado. E, para impedir que uma cuidadosa análise das posições dos cliques revele os dados, “embaralham” a ordem das letras e números do teclado, trocando as posições a cada acesso. Alguns, ainda mais engenhosos, agruparam números em certas posições (vejam a parte central da figura) tornando virtualmente impossível “adivinhar” a senha mesmo que se consiga detectar que grupos de números foram teclados e em que ordem. Mas isso é apenas o essencial. Há muito mais cuidados a tomar para proteger suas transações bancárias. Por isso a Febraban criou uma página inteiramente dedicada ao assunto. Vale a pena consultá-la em:< http://www.febraban.org.br/Arquivo/Servicos/Dicasclientes/dicas7.asp >. Boa sorte.

Figura 1

B. Piropo