7. Soluções tecnológicas empregadas pelos bancos para evitar fraudes eletrônicas
Como a definição da responsabilidade passa necessariamente pela análise da adequação do serviço, ou seja, se não padece de vício que comprometa sua funcionalidade, o dever de reparação dos danos de cliente bancário sofrido em decorrência de phishing vai exigir, em cada caso, a investigação das ferramentas tecnológicas que o banco emprega, em seu sistema informático, para proteger o usuário desse tipo de cilada eletrônica. Se verificado que a tecnologia empregada é capaz de eliminar completamente os efeitos do golpe de phishing, impedindo que o fraudador acesse os dados pessoais do cliente e realize (em nome deste) transferências de valores, o serviço de Internetbanking deve ser considerado como isento de vício, não gerando a responsabilidade do banco prestador do serviço. Se, ao contrário, ficar constatado que o sistema bancário é ineficiente, contendo furos que permitam o phisherman, por qualquer meio, coletar as informações pessoais suficientes à concretização do golpe, o serviço deve ser encarado como "impróprio ao consumo", portador de vício de qualidade, apto a desencadear a responsabilidade do banco (de acordo com o art. 20 do CDC).
Em assim sendo, é imprescindível um estudo dos variados tipos de mecanismos de segurança tecnológica que os bancos empregam em seus sistemas para transações e pagamentos on line. Ao longo dos anos, as instituições bancárias e sites de pagamentos têm implementado rigorosas medidas de proteção e tecnologias para garantir um nível superior de segurança, na tentativa de evitar a apropriação ilícita de dados dos seus clientes. A maioria delas não é capaz de garantir que a pessoa que acessa o banco virtual é mesmo o cliente, como veremos abaixo:
a) Firewall
É o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra [58]. O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores à parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação [59].
Os bancos possuem uma complexa estrutura de segurança composta por sistemas de firewalls que filtram o acesso externo, protegendo assim os aplicativos e os dados internos. Por isso, apenas a identificação e senha possibilitam uma transação financeira na conta do cliente. Mas a utilização de dispositivo de firewall não elimina os efeitos do phishing, já que pressupõe que o cliente mantenha sigilo absoluto sobre sua identificação e senha, sem nunca cedê-la a outros. O firewall tem a função de impedir acessos nocivos ou não autorizados, mas o phisher, que se apossa previamente das senhas e dados bancário, acessa o sistema bancário virtual como se fosse o cliente legítimo.
Os sites dos bancos adotam protocolo de segurança SSL (do inglês Secure Sockets Layer), tecnologia considerada padrão de segurança na transmissão de dados pela Internet, de maneira que todos os dados que trafegam na rede durante o período da transação eletrônica são criptografados (embaralhados), possibilitando que tais informações sejam acessadas somente pelo cliente e pelo banco [60].
Esse tipo de dispositivo ou protocolo de encriptação é capaz de combater um programa malicioso específico, chamado de sniffer (na tradução para o inglês, seria algo como "farejador"), que é utilizado para capturar e armazenar dados trafegando em uma rede de computadores. O sniffer é usado por um invasor para capturar informações sensíveis (como senhas de usuários), em casos onde estejam sendo utilizadas conexões inseguras, ou seja, sem criptografia.
Se é certo que o protocolo SSL pode fornecer confidencialidade na comunicação entre um cliente e um servidor, através do uso da criptografia, não se conforma em medida capaz de suprimir o phishing, pela simples razão de que o phisher não é uma terceira pessoa estranha à transação (comunicação com o banco), mas é admitido pelo sistema como se fosse o próprio cliente, já que dispõe das senhas de acesso deste, adquiridas em fase anterior da execução da fraude. O tráfego de toda a informação - incluindo a senha - é encriptado, tornando quase impossível uma terceira pessoa obter ou modificar a informação depois de enviada. Entretanto, a criptografia por si sõ não elimina a possibilidade de hackers conseguirem previamente acesso ao computador doméstico vulnerável do cliente e interceptarem suas senhas.
c) Teclado Virtual
Os bancos disponibilizaram ainda um teclado virtual para aumentar a segurança no tratamento de senhas no navegador, dificultando o armazenamento em disco ou memória e também impedindo que programas ilícitos (trojans ou spywares) visualizem a digitação (das senhas). Portanto, o Teclado Virtual é uma fórmula implementada para aumentar a segurança no tratamento de senhas no programa navegador, dificultando que programas maliciosos possam "capturar" a senha do usuário, por meio do registro de teclas acionadas ou do posicionamento do mouse.
Alguns tipos de vírus (keyloggers) são capazes de gravar tudo o que é digitado pelo teclado convencional, inclusive senhas. Estes vírus entram no computador do cliente através de arquivos anexados em e-mails ou quando navega em um site suspeito. Uma vez instalados no computador do cliente, são capazes de capturar e armazenar (transferindo depois para o hacker) as teclas digitadas no teclado. A utilização do teclado virtual impede que esse tipo de vírus capte as informações, pois o registro das teclas acionadas não é armazenado no computador do cliente. Contudo, o teclado virtual não tem a capacidade de evitar que uma outra modalidade de vírus (screenlogger) permita que o fraudador capture as senhas da conta do cliente. O screenlogger é uma forma avançada capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição onde o mouse é clicado (ver figura abaixo).
Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes à entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador). A geração, distribuição e gerenciamento dos certificados digitais é feito por meio de entidades conhecidas como autoridades certificadoras (AC´´s). São essas autoridades certificadoras que vão garantir, por exemplo, que um certificado digital pertence realmente a uma determinada empresa ou pessoa. São elas que formam a cadeia de confiança que dá segurança ao sistema. Fazem o papel desempenhado pelos notários no sistema de certificação tradicional [61].
Nas relações em um website é possível a garantia de autenticidade por meio desse sistema. O internauta que acessa um site pode se assegurar que ele pertence realmente a uma determinada empresa através do certificado digital exibido. Esse certificado contém os dados de identificação da pessoa responsável pelo site (ver figura abaixo). Na prática, o gerenciamento da relação de confiança funciona através de aplicativo de software incorporado ao computador do usuário. Normalmente, o software que faz a verificação de um certificado digital tem algum mecanismo ou função para confiar em AC´s. Por exemplo, o programa utilizado para navegar na Internet (conhecido como browser) contém uma lista das AC´´s em que confia. Quando o usuário visita um determinado site (por exemplo, de um shopping on line ou de um banco) e é apresentado ao navegador um Certificado Digital, ele verifica a AC que emitiu o certificado. Se a AC estiver na lista de autoridades confiáveis, o navegador aceita a identidade do site e exibe a página da Web. Em não sendo o caso, o navegador exibe uma mensagem de aviso, perguntando ao usuário se deseja confiar na nova AC. Geralmente o programa navegador dá opções para confiar permanente ou temporariamente na AC ou não confiar em absoluto. O usuário, portanto, tem controle sobre quais AC(s) deseja confiar, porém o gerenciamento da confiança é feito pelo aplicativo de software (neste exemplo, pelo navegador).
Esse tipo de tecnologia empregada em sites bancários não elimina o phishing. O cliente pode não ter a educação necessária para evitar transações em sites com certificados emitidos por AC´s não confiáveis ou o seu programa de navegação pode não ser de uma versão atualizada, falhando na apresentação de páginas ou na indicação de sites confiáveis. Além disso, nem sempre a coleta de informações (senhas bancárias) é realizada por meio do preenchimento de formulários em sites falsos. O phisher pode conseguir acesso aos dados pessoais do cliente bancário através da infecção de seu computador com um vírus que lhe transmita os arquivos contendo as informações.
Uma falha de segurança que se tornou óbvia, diante dos diversos ataques de phishing, é o uso de uma senha única para acesso ao sistema de pagamento e transações on line. Nos sites de Internetbanking que funcionam mediante senha única, os fraudadores (phishers) necessitam de um único pedaço de informação para quebrar o sistema de segurança do banco. Requerer um pedaço adicional de informação (duplo fator de identificação) constitui uma inteligente forma de dificultar a ação dos criminosos. Além do código de utilizador (nome do usuário) e da password (senha) de acesso, pode-se exigir uma segunda password (de negociação), que constitui o código de segurança de 2º. nível. Ainda mais seguro é implantar um sistema em que a segunda senha seja aleatória, utilizável uma única vez. Assim, mesmo que o phisher consiga coletar ambas as senhas, não terá como acessar o sistema do banco posteriormente, pois a segunda senha só valeu para aquela transação já realizada pelo próprio usuário. A segunda senha é sempre variável, valendo apenas uma única vez.
Vários bancos brasileiros já se utilizam de sistemas de dupla autenticação, com a segunda senha variável. Um dos métodos utilizados para se viabilizar a segunda identificação de forma aleatória é o da "Tabela de Senhas" (ver figura abaixo). Consiste em um cartão com uma lista de 50 ou 70 códigos numéricos exclusivos que o cliente digita ao fazer transações de pagamento (DOC, TED, transferências, resgates etc.) [62]. Cada código é formado por quatro dígitos (senha) e quando o usuário faz uma transação de pagamento, visualiza, na tela do site, um número que terá uma senha correspondente na "Tabela de Senhas", bastando digitá-la e dar seqüência à operação. Outra ferramenta utilizada como mais um nível de segurança, nos sistemas de Internetbanking, é o "token" ou cartão com display que emite senhas (ver figura abaixo). Esses dispositivos possuem um display embutido para emissão de senhas numéricas dinâmicas. Para reforçar a segurança nas transações de pagamento, o usuário tem que pressionar uma determinada área do "token" ou "displaycard", para receber uma combinação numérica que será utilizada uma única vez.
 |
 |
| Fig. 1. Representação de uma "Tabela de Senhas" | Fig. 2. Token com display que emite senhas. |
Os especialistas são concordes em afirmar que esse sistema da dupla autenticação (com segunda senha aleatória) é capaz de eliminar a atual ameaça do phishing [63]. O sistema "two-factor" de autenticação, que já tem sido implementado por alguns bancos, é suficiente para estancar os ataques de phishing atualmente conhecidos.
O sistema de dupla autenticação, todavia, não é bastante para as formas de phishing que combinem alguma forma de "engenharia social" (social engeneering) [64]. De fato, os phishers já começam a usar, além das mensagens de e-mail, outras táticas para iludir o usuário a fornecer os seus dados. Já há registros de novas versões para este tipo de ataque onde é utilizado contato telefônico. O ataque é similar só que a maneira primária do ataque não é o envio do e-mail mas sim o contato direto por telefone [65]. O fraudador liga para o cliente, fazendo-se passar por algum funcionário do banco, e, alegando que está havendo algum defeito no sistema bancário, pede a senha para corrigi-lo. Caso o cliente entregue a senha, o suposto técnico pode realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso à Internet e, portanto, relacionando tais atividades ao seu nome. Esses casos mostram ataques típicos de engenharia social, pois o discurso apresentado no exemplo procura induzir o usuário a realizar uma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis [66]. A "Tabela de Senhas" ou o dispositivo eletrônico de emissão de senhas (token ou displaycard) pode não ser suficiente para deter essa nova forma de fraude, pois o fraudador pode solicitar à vítima (cliente) que forneça a senha (de 2º. nível), no momento em que está (do outro lado da linha) acessando o sistema.
