1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Como evitar a fraude bancária na Internet

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por DekkeR, 23 de Novembro de 2006. (Respostas: 33; Visualizações: 6078)

  1. DekkeR

    DekkeR Power Member

    [​IMG]

    Recebi isto por mail. Acho que pode ajudar bastante ;)
     
  2. Dialmedia

    Dialmedia Power Member

    Muito bom, por acaso não conhecia esses truques.

    Para além dessas, há a tradicional de ter um PC protegido e, claro está, não haver um nabo entre o teclado e a cadeira :D

    Cumps.
     
  3. The Zombie

    The Zombie Power Member

    E que tal meter isto em STICKY ;)
     
  4. bluei16_

    bluei16_ Banido

    concordo. sticky!
     
  5. JavaLL

    JavaLL Power Member

    sticky com todo o merito, ja conhecia os dois primeiros truques mas e sempre bom relembrar e indicar as pessoas e a mim tambem como nos portegermos da pirataria...
    principalmente quando se fala de acessos a contas via internet..

    cumpz
     
  6. xupetas

    xupetas Banido

    rapazes... não é truques é apenas senso comum.
    Especialmente a terceira... nunca mas NUNCA se utiliza dados de acesso privados (que sejam importantes) sem terem o browser a correr em SSL (o tal cadeadinho embaixo)
     
  7. DekkeR

    DekkeR Power Member

    Há sites que mostram o cadeado em baixo e não estão a correr em SSL, iludindo muitas pessoas.

    Olham para a barra e pensam que é seguro, até porque no URL aparece https.. mas esquecem-se de clicar mesmo no cadeado para confirmar. A intenção é chamar a atenção para esse pormenor ;)
     
  8. Triston

    Triston Aku Soku Zan SM

    Thread adicionada à lista de stickies
     
  9. guxo

    guxo Power Member

  10. xupetas

    xupetas Banido

    Pf mostra-me um :) com o cadeado fechado claro :)
     
  11. ShadeX

    ShadeX Power Member

    O ponto 2 do post é parvoeira completa. Não apanhei até hoje um unico site de phishing que aceitasse a password. Por defeito eles dizem sempre que a password está mal, estando ou não. Sinceramente é daquelas coisa básicas. Á segunda tentativa já sofreram um redirect para o site do banco/entidade a sério e a pass funciona. Nesse momento, das duas uma, ou a primeira pass estava realmente errada, ou já a ofereceram aos amigos do alheio. Obviamente, visto que os rapazes da "engenharia social" não são burros, se o povo começar a meter sempre uma pass errada á primeira, basta-lhe redireccionar apenas á 3ª tentativa. Problema resolvido.

    Quanto ao ponto 3...

    Mais um pensamento errado. O meu webserver de testes tem SSL. Não importa muito que o Certificado seja feito por mim pois não? O Cadeado aparece á mesma... Logo, estares com uma ligação SSL significa muito pouco se não puderes realmente confiar na CA. E quantos são os bowsers que te obrigam a ver o path de certificação completo antes de aceitar o certificado? Pois, tambem pensei o mesmo...

    Resumindo, enquanto o povo continuar a usar "receitas" e não quiser saber dos mecanismos em si, o phishing vai continuar de vento em popa. É só inventar coisas novas que não estejam na lista de receitas e os users embarcam todos outra vez.

    De qualquer modo, há um método mais eficaz. Leiam esta news. Querem mais simplicidade? Compromete-se a máquina, dropa-se lá um ficheirinho e pronto, os users alegremente vão largando a info.

    Na news a bronca é o FF/IE usarem as credenciais que têm guardadas sem checkarem o URL, mas isso é falho. Se o browser não o fizesse sozinho, fazia o user sem sequer pensar no assunto.

    Obviamente, comprometer o sistema não é trivial, mas dá resultados muito melhores que os sites de phishing normais.
     
  12. JPgod

    JPgod Moderador
    Staff Member

    Bem, mas depende dos bancos...

    O BCP tem um sistema de segurança quase a prova de bala, com validação via 2 nº do BI aleatório (que não é digitado) e quando se faz transferencias e pagamento, novamente tem que selecionar 2 nº aleatórios de uma chave que vem pelo correio...

    O phising que já vi do BCP, mostra 1 janela que pede para digitar TODOS os 4 dados inteiros de uma forma discarada! Só cai quem quer...

    Shadex, uma coisa, eu quando acedo ao banco, vou sempre pelo link que tenho guardados nos favoritos, em principio é seguro porque estou sempre a aceder ao site verdadeiro hum? O phising que conheço é os que vem via e-mail com um link fake que simula o site original e a url, mas no fundo está escondida...

    mas pronto, como a informática é baseada em 0's e 1's há sempre alguem a tentar driblar os sistemas de segurança... É tudo atráz do dinheiro fácil.
     
    Última edição: 24 de Novembro de 2006
  13. ShadeX

    ShadeX Power Member

    Si, concordo plenamente. Pelo menos até alguem "subverter" o DNS server que usas e te começar a mandar para páginas realmente bem esgalhadas e obviamente falsas. Não era a primeira ves, não vai ser a ultima. E antes que digas qualquer coisa, não reparaste num certo thread de um certo DNS server alternativo ao dos ISPs? Ninguem disse que tinham más intenções, mas de boas intenções está o Inferno cheio.

    Citando um certo jogo, "Trust is a weakness". E lamentavelmente toda a segurança online assenta numa cadeia de trust fundamentalmente falha. E é assim apenas e somente porque "dá jeito". Por cada fraude tens milhões de transações legitimas. Os lucros compensam as percas. Os cartões de crédito são o melhor exemplo disso. Se fosses implementar uma coisa "á séria", ficavas sem 70% dos clientes, porque eles não tinham paciência.

    Só gostava era que para os outros 30% houvesse essa alternativa séria de segurança. Há povo que não se importava de ter o trabalho extra se isso significasse que a eventual culpa ficasse estritamente entre o user e a entidade final.
     
  14. xupetas

    xupetas Banido

    EU leio SEMPRE os certificados que aceito... tu não?
     
  15. DekkeR

    DekkeR Power Member

    Eu lembro-me do scam que houve com o Paypal há uns tempos atrás, onde o site apresentado tinha lá o cadeado (só não me lembro se estava fechado ou não) e o https:// no url. Atenção que eu não entrei no site, apenas vi um screenshot da página.
     
  16. spastikman

    spastikman Banido

    o ponto nº 1 e 2 não servem de grande coisa ...

    O ponto nº 3 já é uma boa ajuda, mas mesmo assim...

    Sinceramente acho que esse é daqueles aviso que não devia circular na internet. É apenas uma forma de dar ideias a pessoas mal intencionadas.
     
  17. ShadeX

    ShadeX Power Member

    A questão não é se lês ou não, é se confias. E eu não confio.

    Apenas a titulo de exemplo lembro-te a ocasiao em que alguem na Verisign (IIRC) "deu" um certificado que servia para assinar software, e que, só por acaso, dizia que o soft era Microsoft... Um search rápido leva-nos a Verisign.

    Vá, diz lá que te sentes seguro quando dependes de uma 3rd party sob qual nem tu nem a end entity têm controle.
     
  18. xupetas

    xupetas Banido

    Sabes como funcionam os certificados emitidos para bancos?
    Sabes o conteudo de um certificado?

    Para um hack desses funcionar, tinham q me fazer um dns poisoning para que o ip novo batesse certo com o novo certificado que tinha q ser exactamente igual ao antigo...
    Mas espera se o ip mudasse em relação ao certificado já instalado... então até o IE apitava... para n falar do firefox...

    Suponho que estejas a perceber onde estou querer ir...

    Ps: e não... não uso sites bancários fora do meu pc de casa :) logo n tenho problemas de certificados...
     
  19. ShadeX

    ShadeX Power Member

    Por acaso não sabia que tambem continha o ip da box em causa.

    Sei. Estas a ir para o ponto onde não só tinha de subverter o teu DNS server como tambem o teu router. Como eu disse, não trivial e tambem não inédito :)

    Obviamente, isto é académico, pq uma operação destas dava nas vistas em segundos, assumindo um ISP com um minimo de administradores com A. E dai...
     
  20. JPgod

    JPgod Moderador
    Staff Member

    Não percebi, se o DNS é configurado a nível da minha maquina e do router como que poderei ser direcionado para sites falsos? Para isso tb outro sites tb deviram não funcionar se estaria a ser direcionado para um site do banco falso
     

Partilhar esta Página