Presidente do IMP fala sobre responsabilidade dos bancos por phishing, durante o 2o. Telecon 15/11/2007
Jornal do Commercio - 14/11/2007
Autor: Renato Mota
Medo de ter dados pessoais fraudados é maior em páginas de instituições financeiras. Criação do domínio b.br pretende atenuar o problema
Se o medo de ter a identidade roubada na rede não sai da cabeça dos usuários, essa preocupação recai principalmente sobre os sites de bancos. “Antigamente, quando um ladrão assaltava um banco, ele levava o dinheiro da agência, sem nenhum dano aos clientes. Hoje é diferente. Os hackers tiram o dinheiro direto da conta dos usuários, através das falhas de segurança da rede”, compara o diretor do Instituto Brasileiro de Direito de Informática (IBDI), Demócrito Reinaldo Filho.
Os bancos são os maiores investidores em segurança na rede, já que precisam convencer seus clientes a usar os serviços online. “Há uma tendência de responsabilizar o banco nos casos de roubo pela web, pois eles são os únicos que têm a capacidade econômica para desenvolver uma tecnologia eficiente de combate ao phising (técnica usada por hackers para roubar senhas), e não o usuário”, explica Demócrito. Segundo o juiz, isso mudou desde quando as instituições financeiras passaram a adotar o sistema de dupla verificação de senha.
O dispositivo confere ao cliente duas identificações: a senha normal, que já era usada antes, e uma contra-senha criada pelo banco. Mesmo que a transação esteja sendo monitorada e o phisher capture a senha, ela só servirá para aquele momento, sendo descartada depois.
A maioria dos grandes bancos nacionais e internacionais já trabalham dessa forma, e existe um consenso técnico de que essa medida descarta qualquer possibilidade de roubo por phising. “Dessa forma, só pode ocorrer fraude se houver contato direto do hacker com a vítima, já que pela internet o criminoso só pode capturar parte das informações”, destaca Demócrito.
Outro sistema engenhoso para combate às fraudes na internet foi criado pelo Núcleo de Informação e Coordenação (NIC.br) do Comitê Gestor de Internet (CGI.br). A solução é simples e resolve qualquer problema de identidade de páginas sem precisar recorrer a grandes revoluções tecnológicas. O que o NIC.br fez foi criar um novo domínio de primeiro nível exclusivo para os bancos, o b.br. “Realizamos essa ação em parceria com a Federação Brasileira de Bancos (Fenabran), que patrocinou os domínios, ou seja, qualquer site que termine com .b.br é uma página de uma instituição financeira com certeza, sem margem para ataques de phishers”, explica o diretor-presidente do NIC.br, Demi Getschko.
Funciona da seguinte forma: quando o internauta acessa um site (ex: www.jc.com.br), o browser se conecta a um sistema de nomes de domínio, mais conhecido como Domain Name System (DNS). Para traduzir o nome do site para um endereço de IP, o computador acessa um servidor que direciona o usuário para a página correta. Para evitar que um phisher acesse o servidor e direcione a vítima para um site falso, foi criado o DNSSEC, sistema de segurança do DNS. A vantagem dos domínios exclusivos para bancos é que todos os sites criados já terão esse dispositivo desde o nascimento.
“Vamos criar domínios que nascem assinados e patrocinados por alguém. Isso cria uma área segura, onde qualquer endereço terá que passar pelo crivo do patrocinador”, diz Getschko. O mesmo sistema está sendo adotado para sites com final .jus.br, que, segundo o diretor-presidente, apesar de ter sido criado depois, entrou no ar antes das páginas dos bancos. “Colocamos assinaturas de segurança também em todos os sites brasileiros com final .br, com exceção dos .com.br e .org.br, que são inúmeros”, completa Getschko.
Porém, para que o DNSSEC funcione, é preciso colaboração de todos os participantes. “Não adianta nós assinarmos todos os sites, se as páginas hospedadas abaixo deles não assinarem também. Outro detalhe é que nem todos os provedores estão preparados para checar esse dispositivo de segurança e garantir a origem do endereço, e eles são parte fundamental para que o DNSSEC dê certo”, explica Demi Getschko.
Para o juiz Demócrito Filho, finalmente os bancos “fizeram o dever-de-casa”. “Recentemente o Superior Tribunal de Justiça trouxe uma nova jurisprudência em favor das empresas, no sentido de que a tecnologia atual não permite a ação dos phishers. E se o usuário passou a senha para o criminoso, o banco não está obrigado a indenizá-lo”, finaliza.