Notícia ATENÇÃO!!! Página do banco Montepio sugere FALSOS programas de segurança!

m00nbl00d

Power Member
NOTA: Há poucos momentos um utilizador alertou-me para o facto da situação já estar resolvida! Demorou, mas finalmente está resolvida. Certamente toda a afluência de visitas ao sítio Montepio deverá ter-lhes feito abrir a pestana!*

* Informação fornecida pelo utilizador qualquer321 em 15-03-2011 02:09


Boa tarde a todos!

No passado dia 24 de Fevereiro de 2011, após ter-me dirigido a esta página do banco Montepio (-http://www.montepio.pt/v10/PT/jsp/online/MGMulticanalSeguranca/SuasPreocupacoes.jsp), reparei que entre, aplicações de segurança perfeitamente legítimas, também são sugeridas FALSAS aplicações de segurança. Tal informação é mencionada na parte Utilize software Anti-Spyware.

Os programas em causa são:

NoAdware: -http://www.noadware.net FALSO PROGRAMA DE SEGURANÇA
Spyware Nuker: -http://www.nuker.com FALSO PROGRAMA DE SEGURANÇA
Swatit!: -http://swatit.org Julgo já não existir, embora o domínio ainda seja válido. Ainda tenho que investigar um pouco mais sobre este!
Spywarebot: -http://www.spywarebot.com FALSO PROGRAMA DE SEGURANÇA

O que me levou a pesquisar sobres os programas com texto a vermelho, foi o facto de nunca ter ouvido falar deles. Após alguma pesquisa deparei-me com a seguinte informação, relacionada com os seguintes: NoAdware, SpywareNuker e Spywarebot. (Como mencionado acima, ainda não consegui encontrar informação sobre o programa Swatit. Provavelmente, a falta de informação, também significará que seja um falso programa de segurança.)

Em baixo, algumas informações sobre os respectivos domínios e resultados das análises dos ficheiros que lá se encontram.

http://www.urlvoid.com/scan/noadware.net
http://hosts-file.net/?s=noadware.net
http://www.mywot.com/en/scorecard/noadware.net
http://amada.abuse.ch/?search=noadware.net

http://www.virustotal.com/file-scan...96a9f96d96a2bbfcb000a234ee88646b63-1299175273

http://www.virustotal.com/file-scan...96a9f96d96a2bbfcb000a234ee88646b63-1299175420


http://www.urlvoid.com/scan/nuker.com
http://safeweb.norton.com/report/show?url=nuker.com
http://www.mywot.com/en/scorecard/nuker.com
http://hosts-file.net/?s=nuker.com
http://amada.abuse.ch/?search=www.nuker.com

http://www.virustotal.com/file-scan...6d358cd07dc4ca87dc4195ee0c7ee0e57c-1299175708

http://www.urlvoid.com/scan/spywarebot.com
http://www.browserdefender.com/site/spywarebot.com/
http://www.websecurityguard.com/pt/detail.aspx?domain=spywarebot.com
http://safeweb.norton.com/report/show?url=spywarebot.com
http://www.mywot.com/en/scorecard/spywarebot.com
http://www.malwaredomainlist.com/mdl.php?search=spywarebot.com
http://hosts-file.net/?s=spywarebot.com
http://www.browserdefender.com/site/spywarebot.com/

http://www.virustotal.com/file-scan...6ad48c71337fea88c1f65807322827e3b6-1299176286

http://www.virustotal.com/file-scan...54d1a40e0c43d37ece7c52ea9223df6e6b-1299176323

http://www.virustotal.com/file-scan...506f5ec439c70a3a7b524a17a96828b84a-1299176405

Este links fazem parte do resultado da investigação que fiz, e que claramente mostram que estamos a lidar com FALSOS PROGRAMAS DE SEGURANÇA.

Ainda existe um outro nome para o Spywarebot, e que é o Spywarestop:

http://www.virustotal.com/file-scan...7186f60323ad98037dd2a7a8bcf710af3a-1299180446

http://wepawet.iseclab.org/view.php?hash=d9433a0c9d2b7cb4fd4bc9f42d1e6b95&t=1295665447&type=js

http://www.virustotal.com/file-scan...061a06cd380ed15c4eea05de45a293d0ae-1299180623

http://www.virustotal.com/file-scan...7186f60323ad98037dd2a7a8bcf710af3a-1299180711

http://www.urlvoid.com/scan/spywarestop.com
http://www.browserdefender.com/site/spywarestop.com/
http://hosts-file.net/?s=spywarestop.com
http://www.mywot.com/en/scorecard/spywarestop.com
http://www.websecurityguard.com/pt/detail.aspx?domain=spywarestop.com&url=spywarestop.com

O mais ridiculo de tudo isto, é o facto do banco Montepio não ter feito uma pesquisa sobre quaisquer dos programas que eles recomendam aos seus clientes, colocando estes em perigo, pois os programas para os quais eu aqui alerto têm como único objecto o de extorquir/infectar os sistema operativos, e não defendê-los.

No passado dia 24 de Fevereiro de 2011 entrei em contacto com o serviço de apoio do Montepio por sessão de web chat, alertando-os para esta situação, tendo igualmente fornecido esta informação. Foi-me dito que iriam resolver esta verdadeira trapalhada!

Hoje, dia 13 de Março de 2011, passadas mais de 2 semanas, ainda continua tudo na mesma! Isto é completamente inaceitável, pois ignoraram o meu alerta.

Gostaria de alertar para uma outra situação.

O acesso ao serviço on-line do Montepio é feito por protocolo http (http://www.montepio.pt). Este protocolo é, por natureza, um protocolo INSEGURO. O acesso ao serviço on-line do Montepio deveria e tem que ser, todo ele, feito através do protocolo https (https://www.montepio.pt), por forma a garantir que qualquer dado introduzido aquando do acesso à conta bancária não seja interceptado por "mãos alheias".

Reclamem sobre estes dois assuntos que vos menciono, pois é um direito vosso enquanto clientes do Montepio.

NOTA: Dei mais que tempo ao pessoal técnico do Montepio para resolverem esta trapalhada que nunca deveria ter ocorrido. Eu não faço ideia há quanto tempo é que tal informação lá se encontra, infelizmente. É um DIREITO nosso, enquantos clientes do Montepio e outros bancos, que estes nos assegurem a devida segurança na disponibilização do serviço que nos possibilita o acesso às nossas contas bancárias pela Internet, bem como fornecer informação FIDEDIGNA sobre quais os programas de segurança que devemos utilizar, caso forneçam tal informação.

O banco Montepio, com a informação fornecida, está a colocar em perigo os seus clientes! Isto tem que ser corregido! Eles foram alertados, mas não rectificaram o problema!

FAÇAM-SE OUVIR. É um DIREITO vosso!


Muito obrigado pelo vosso tempo! Um bem haja!

-edit-

A título de exemplo de uma parte que deveria estar em https, e se encontra em http, é este formulário em que se introduz informação confidencial tal como o número de contribuinte -http://www.montepio.pt/v10/PT/jsp/montepio/phone24/contacto.jsp

Simplesmente inaceitável! Esta foi a razão pela qual eu os contactei por sessão web chat, pois é feita através do protocolo seguro https.

-edição-

Esta informação já vem tardia, pois a situação já foi resolvida, no entanto tenho mais informações sobre o programa Swat-it, e programa este que ainda não me tinha pronunciado, precisamente por falta de informações. Pois bem, aqui fica.

O utilizador Fábio Falma (forum Pplware) deu uma ajuda e forneceu mais informações sobre este possível falso programa de segurança.

-http://anubis.iseclab.org/?action=result&task_id=14f67f78cef84dc5409828f8a0c022d22&format=html

Consegui encontrar mais alguma informação no sítio do Softpedia. Anteriormente tinha procurado por Swatit, mas não dava em nada. Decidi tentar a combinação Swat-it, e encontrei. A última actualização parece ser de 2004! E ao que parece era um programa gratuito.

-http://www.softpedia.com/get/Antivirus/Swat-It.shtml

-http://www.softpedia.com/progScreenshots/Swat-It-Screenshot-490.html

Claramente, não é um programa eficiente para os dias de hoje!

De qualquer das maneiras, em relação a este programa, o banco Montepio colocava os seus clientes em perigo de 2 formas:

1ª - O sítio, outrora oficial, desta aplicação já não existe. Ou melhor, existe, mas não tem qualquer relacionamento com a aplicação. Qualquer pessoa mal intencionada poderia muitíssimo bem adulterar este domínio com o intuito de conter exploits que aproveitam-se de vulnerabilidades dos navegadores para infectar os sistemas. Para não mencionar que não dá para saber mais pormenores sobre que tipo de motor de busca é o que se encontra no domínio -http://swatit.org ??? Quem está por detrás dele?

2ª - Caso os clientes, cientes que a página em questão não oferecesse o programa, poderiam procurar pelo mesmo noutro lado, e instalá-lo. Consequentemente, não estariam protegidos contra as mais recentes ameaças de malware.

No mínimo dos mínimos, isto foi mais um buraco a acumular na negligência dos responsáveis por esta situação toda.

Felizmente, esta situação lamentável, e que nunca deveria ter ocorrido, já está resolvida. Espero que, de futuro, qualquer aplicação sugerida seja alvo de uma investigação rigorosa.
 
Última edição:

m00nbl00d

Power Member
Muito boa informação!
Já consideraste repassar isso à DECO?

Num primeiro passo, ou melhor dizendo segundo passo, pois o primeiro foi reportar ao banco em causa que simplesmente decidiu ignorar tal aviso, pretendo dar a conhecer em forums e blogues de informação tal como KeroDicas, Pplware, etc. E depois, passarei a um outro nível. A razão deve-se simplesmente ao facto de não saber se a DECO o fará ou não off the record. Eu pretendo que o país inteiro, se possível, saiba de tal situação!
 

Portwolf

Banido
Cenas dessas é arranjar maneira de fazer o mais barulho possível!
A equipa técnica do banco provavelmente irá ignorar o teu email..

DECO com o assunto! Com uma cartazinha legal de certeza que o banco muda imediatamente aquilo!
 

m00nbl00d

Power Member
Cenas dessas é arranjar maneira de fazer o mais barulho possível!
A equipa técnica do banco provavelmente irá ignorar o teu email..

DECO com o assunto! Com uma cartazinha legal de certeza que o banco muda imediatamente aquilo!

Provavelmente, logo, após ter jantado, irei enviar um e-mail também à DECO. Eu até pensei em enviar um e-mail para os media. Demasiado radical?

-edit-

Já agora. O banco nem sequer tem um endereço de e-mail disponível! Daí eu ter decidido por uma sessão web chat, pois era em protocolo https. Imagine-se!

A única maneira, semelhante ao envio de e-mail, seria preencher um formulário com o meu nome e outra informação confidencial em protocolo http!!!! Algo para o qual eu também alertei, esta situação de não existir serviço https em toda a página!
 
Última edição:

m00nbl00d

Power Member
Penso que o Banco de Portugal tem uma secção que trata disso mesmo... Mas se não me engano existe uma Instituto que investiga essas questões do homebanking security!

Obrigado pelo feedback. Dei uma olhadela na página do Banco de Portugal, mas não consigo encontrar nada relacionado com tal assunto. Será que me poderias indicar a respectiva página?


Muito obrigado pelo feedback!
 

m00nbl00d

Power Member
No banco de Portugal encontri esta morada para reclamaçoes sobre instituições financeiras.

Apartado 2240 (1106-001 LISBOA)


..um Apartado, quem diria hem?

e estava la esta info tb..

http://www.bportugal.pt/pt-PT/Supervisao/SupervisaoComportamental/Paginas/Reclamacoes.aspx

fica bem

Muito obrigado pelo feedback! Também encontrei um endereço de correio electrónico para informações gerais; vou tentar esta avenida.

Já agora pessoal, caso tenham familiares e/ou amigos que sejam clientes deste banco, avisem-nos desta situação, mesmo que eles não usem tais programas, pois como clientes deste banco é um direito deles que tal situação não ocorra, e muito menos tenha ocorrido. Parece um pesadelo, sinceramente.
 

anjo2

Power Member
O nod32 bloqueia o site Noadware e o spywarebot, já o do nuker não bloqueia.

O acesso à conta bancária online é feita por https e não por http, e é mais seguro que outros bancos, dou por exemplo do banco popular que nem pin por rato tem, e sim tudo escrito, ou seja, se estiverem infectados com um keylogger, sabem logo os dados para entrar na conta.

Estive numa conferência da PJ sobre isto, e segundo eles, os bancos preferem pagar indemnizações aos clientes afectados por ataques do que apostar em segurança, porque este último ficaria mais caro, mas no caso dos links não gastam dinheiro nenhum, é só remover os links.
 

m00nbl00d

Power Member
O nod32 bloqueia o site Noadware e o spywarebot, já o do nuker não bloqueia.

O acesso à conta bancária online é feita por https e não por http, e é mais seguro que outros bancos, dou por exemplo do banco popular que nem pin por rato tem, e sim tudo escrito, ou seja, se estiverem infectados com um keylogger, sabem logo os dados para entrar na conta.

Estive numa conferência da PJ sobre isto, e segundo eles, os bancos preferem pagar indemnizações aos clientes afectados por ataques do que apostar em segurança, porque este último ficaria mais caro, mas no caso dos links não gastam dinheiro nenhum, é só remover os links.

Eu refiro-me a acesso https completo ao sítio do Montepio, incluindo esta página, como é óbvio:

--http://www.montepio.pt/v10/PT/jsp/montepio/phone24/contacto.jsp

É inaceitável que tal aconteça por parte de um banco que use o protocolo http nesse formulário onde é preciso o nome, número de contribuinte, morada, código postal, localidade, telefone e e-mail. Todos os campos são de preenchimento obrigatório.

Ou será que vais dizer que fornecer este tipo de dados em protocolo http não é nada de especial?

Todo o acesso ao serviço Montepio deveria, e tem que ser, todo ele feito pelo protocolo https. *

* O mesmo para todos os outros bancos e qualquer serviço que exija tal informação confidencial, mas cabe aos utilizadores dos respectivos serviços fazerem ouvir-se.
 
Última edição:

m00nbl00d

Power Member
Não sei em que montepio andas tu mas desde que uso (quase 2 anos) que o login sempre foi em https

E por que é que vocês ainda continuam a dar na tecla? Eu estou-me a referir a acesso completo ao serviço Montepio por protocolo https, incluindo isto --http://www.montepio.pt/v10/PT/jsp/montepio/phone24/contacto.jsp

Também aproveito e faço a mesma pergunta a ti. Vais dizer-me que um serviço que usa o protocolo HTTP para PEDIR INFORMAÇÃO CONFIDENCIAL, onde é preciso o nome, número de contribuinte, morada, código postal, localidade, telefone, não deva ser feito em protocolo HTTPS?

Todo o acesso ao sítio do Montepio deveria ser feito em HTTPS. Eu não estou a aceder a um simples blogue ou forum, onde posso muitíssimo bem submeter um e-mail temporário, nomes fictícios, etc. Não, estamos a falar de um banco, onde para entrar em contacto com eles tenho que disponibilizar, obrigatoriamente, informação confidencial em protocolo HTTP. Isto é inaceitável.

-edição-

A título de exemplo. Eu para expor esta situação ao banco tinha duas soluções viáveis: o tal formulário ou sessão web chat. Por telefone seria impossível tratar de tais assuntos, pois seria necessário fornecer provas em como o banco está, de facto, a fornecer informação sobre falsos programas de segurança.

Ora, visto que o formulário é em protocolo HTTP, restou-me a sessão web chat, esta sim, em protocolo HTTPS, o que sinceramente acho ridículo, tendo em conta que não tinha que colocar qualquer informação confidencial, a não ser um nome, que poderia muitíssimo bem ser Anacleto. Obviamente, identifiquei-me como sendo cliente do Banco, e com o nome verdadeiro.

Mas, podem ter a certeza que não teria entrado em contacto com eles, caso a sessão web chat fosse em protocolo HTTP e me pedisse informação confidencial. Primeiro está a minha privacidade e segurança, só depois vem os outros.

-edição-

Mais, eles queriam que eu lhes enviasse toda a informação que dispunha sobre os tais falsos programas de segurança pelo tal formulário! Eu recusei-me, alertando-os para o facto de tal formulário estar em protocolo HTTP, e que como tal não iria colocar informação privada e confidencial em tal protocolo, e simplesmente passei-lhes a informação na sessão web chat.

Eu mencionei-lhes que a minha preocupação em expor tal caso era evitar que clientes pudessem estar a usar tais programas. Eles disseram que também era preocupação deles a segurança dos seus clientes. Nota-se, não?

Mais, eu por várias vezes pedi por um endereço de correio electrónico para o qual pudesse enviar as minhas informações, e sempre me remetiam para o tal formulário.

-edição-

Se forem à página inicial do banco --http://www.montepio.pt/ePortal/v10/PT/jsp/index.jsp , no lado esquerdo (Particulares - Clientes) tem uma caixa para introdução, salvo erro, de um número identificativo qualquer, e que depois vos leva para uma página em protocolo https para dar inicio a uma sessão do Net24. Mas, lá está, inicialmente, é em protocolo http. Isto é inaceitável. O processo deveria ser todo ele efectuado em protocolo HTTPS.

Já para as Empresas, todo o processo é efectuado em https. Tal como deve ser.
 
Última edição:

m00nbl00d

Power Member
Já removeram os tais links do site, ou não estou a procurá-los onde estão?

SIM!!! Será que foi da exposição? Certamente eles estariam a ver demasiadas visitas ao seu sítio provenientes dos sítios onde eu dei a conhecer a situação!

Deve ter sido, não? Caso contrário teriam procedido à sua remoção na altura!

De qualquer das formas, está resolvido!!!!

Espero é que eles passem também a providenciar o seu serviço - TODO - em https, e não apenas http, especialmente em páginas em que é necessário introduzir dados confidenciais!

A todos vós, um MUITO OBRIGADO pelo vosso apoio!!!
 

anjo2

Power Member
O https torna o site mais lento e nenhum banco quer isso, todos os sitios onde não achem que seja preciso https, não o vão por, o que está errado é não dar a possibilidade do cliente escolher se quer http ou https, porque ao aceder por https não funciona. Mas sim, há falhas graves, no entanto não é preciso https em todo o site.

As empresas sempre vão ter mais protecção, e isso é normal, são elas que pagam mais aos bancos
 
Última edição:

m00nbl00d

Power Member
O https torna o site mais lento e nenhum banco quer isso, todos os sitios onde não achem que seja preciso https, não o vão por, o que está errado é não dar a possibilidade do cliente escolher se quer http ou https, porque ao aceder por https não funciona. Mas sim, há falhas graves, no entanto não é preciso https em todo o site.

As empresas sempre vão ter mais protecção, e isso é normal, são elas que pagam mais aos bancos

Não é essa a minha experiência com o uso de https. Mas, acredito que outras pessoas tenham uma outra experiência.

Quanto ao não ser necessário https para tudo, estou de acordo. Quando menciono que é necessário https para todo o serviço, significa para todas as páginas onde seja necessário a introdução de dados pessoais/privados/confidenciais.

-edit-

Consegues ver a ironia de o serviço web chat ser em https, e não ser necessária a introdução de qualquer dado pessoal? Para a sessão web chat ser em https, então todas as situações que o justifiquem, também terão que ser em https.
 
Última edição:
Topo