Este documento resume as principais formas de fraude na internet e dicas de segurança para os usuários. [1] Engenharia social é quando criminosos tentam enganar usuários para obter dados pessoais ou financeiros fingindo ser outra pessoa. [2] Fraudes comerciais incluem sites de leilão fraudulentos e golpes nigerianos, enquanto fraudes bancárias usam phishing para roubar senhas. [3] Usuários devem tomar cuidado ao acessar sites de compras ou bancos online e verificar a segurança das páginas e autenticidade dos
Fraudes na Internet: Engenharia Social, Scams e Phishing
1. Comitê Gestor da Internet no Brasil
Cartilha de Segurança
para Internet
Parte IV: Fraudes na Internet
Versão 3.1
2006
2. CERT.br – Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranca no Brasil
¸
Cartilha de Seguranca para Internet
¸
Parte IV: Fraudes na Internet
Esta parte da cartilha aborda quest˜ es relacionadas a fraudes na In-
o
¸˜
ternet. S˜ o apresentadas algumas maneiras de prevencao contra ata-
a
¸˜
ques de engenharia social, situacoes envolvendo fraudes comerciais e
banc´ rias via Internet, bem como medidas preventivas que um usu´ rio
a a
deve adotar ao acessar sites de com´ rcio eletrˆ nico ou Internet Banking.
e o
e ´
Tamb´ m e apresentado o conceito de boato (hoax) e s˜ o discutidas algu-
a
¸˜ ¸˜
mas implicacoes de seguranca e formas para se evitar sua distribuicao.
¸
˜
Versao 3.1 – Outubro de 2006
http://cartilha.cert.br/
3. Parte IV: Fraudes na Internet
Sum´ rio
a
1 Engenharia Social 3
1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . . . . . 3
2 Fraudes via Internet 3
´ ¸˜
2.1 O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . . . . . 4
2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” . . . . . . . . . .
o ¸ 4
2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . . . . . . .
e 4
´ ¸˜
2.2 O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? . . . . 5
2.2.1 Mensagens que contˆ m links para programas maliciosos . . . . . . . . . . .
e 5
2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas . . . . . . .
a e o 8
a ¸˜
2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes sens´veis . ı 9
¸ ¸˜
2.2.4 Comprometimento do servico de resolucao de nomes . . . . . . . . . . . . . 9
¸˜
2.2.5 Utilizacao de computadores de terceiros . . . . . . . . . . . . . . . . . . . . 10
2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico ou Internet
a e o
Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
a ´
2.4 Como verificar se a conex˜ o e segura (criptografada)? . . . . . . . . . . . . . . . . . 11
2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? . . . . . . . . .
a 13
´
2.6 Como posso saber se o certificado emitido para o site e leg´timo? . . . . . . . . . . .
ı 13
2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usados por
a
terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3 Boatos 14
3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? . . . . . . . . . . . .
a ¸ 15
¸˜
3.2 Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . . . . . . 15
´
3.3 Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . . . . . . 15
Como Obter este Documento 17
Licenca de Uso da Cartilha
¸ 17
Agradecimentos 17
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 2/17
4. Parte IV: Fraudes na Internet
1 Engenharia Social
Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza
¸˜ ¸˜
meios, como uma ligacao telefˆ nica ou e-mail, para persuadir o usu´ rio a fornecer informacoes ou
o a
¸˜ ¸˜
realizar determinadas acoes. Exemplos destas acoes s˜ o: executar um programa, acessar uma p´ gina
a a
falsa de com´ rcio eletrˆ nico ou Internet Banking atrav´ s de um link em um e-mail ou em uma p´ gina,
e o e a
etc.
O conceito de engenharia social, bem como alguns exemplos deste tipo de ataque, podem ser
encontrados na Parte I: Conceitos de Seguranca. Exemplos espec´ficos destes ataques, envolvendo
¸ ı
¸˜
diversos tipos de fraude, s˜ o abordados nas secoes 2.1 e 2.2.
a
1.1 Como me protejo deste tipo de abordagem?
´
Em casos de engenharia social o bom senso e essencial. Fique atento para qualquer abordagem,
seja via telefone, seja atrav´ s de um e-mail, onde uma pessoa (em muitos casos falando em nome de
e
¸˜ ¸˜
uma instituicao) solicita informacoes (principalmente confidenciais) a seu respeito.
Procure n˜ o fornecer muita informacao e n˜ o forneca, sob hip´ tese alguma, informacoes sen-
a ¸˜ a ¸ o ¸˜
s´veis, como senhas ou n´ meros de cart˜ es de cr´ dito.
ı u o e
Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas
a ´
ou clicar em um link contido em um e-mail ou p´ gina Web, e extremamente importante que vocˆ , e
antes de realizar qualquer aca¸ ˜ o, procure identificar e entrar em contato com a instituicao envolvida,
¸ ˜
para certificar-se sobre o caso.
2 Fraudes via Internet
a ´
Normalmente, n˜ o e uma tarefa simples atacar e fraudar dados em um servidor de uma instituicao ¸˜
a e ¸ ¸˜
banc´ ria ou comercial. Ent˜ o, atacantes tˆ m concentrado seus esforcos na exploracao de fragilidades
a
dos usu´ rios, para realizar fraudes comerciais e banc´ rias atrav´ s da Internet.
a a e
Para obter vantagens, os fraudadores tˆ m utilizado amplamente e-mails com discursos que, na
e
maioria dos casos, envolvem engenharia social e que tentam persuadir o usu´ rio a fornecer seus dados
a
a ´
pessoais e financeiros. Em muitos casos, o usu´ rio e induzido a instalar algum c´ digo malicioso
o
ou acessar uma p´ gina fraudulenta, para que dados pessoais e sens´veis, como senhas banc´ rias e
a ı a
o e ´
n´ meros de cart˜ es de cr´ dito, possam ser furtados. Desta forma, e muito importante que usu´ rios
u a
de Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem servicos de com´ rcio
¸ e
eletrˆ nico ou Internet Banking.
o
¸˜ ¸˜ ¸˜
A secoes 2.1 e 2.2 ilustram algumas situacoes envolvendo estes tipos de fraudes. A secao 2.3
descreve alguns cuidados a serem tomados pelos usu´ rios de Internet, ao acessarem sites de com´ rcio
a e
¸˜
eletrˆ nico ou Internet Banking. As secoes 2.4, 2.5 e 2.6 apresentam alguns procedimentos para veri-
o
¸˜
ficar a legitimidade de um site. E a secao 2.7 recomenda o que o usu´ rio deve fazer se perceber que
a
seus dados financeiros podem estar sendo usados por terceiros.
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 3/17
5. Parte IV: Fraudes na Internet
´ ¸˜
2.1 O que e scam e que situacoes podem ser citadas sobre este tipo de fraude?
´ ¸˜
O scam (ou “golpe”) e qualquer esquema ou acao enganosa e/ou fraudulenta que, normalmente,
tem como finalidade obter vantagens financeiras.
¸˜ ¸˜
As subsecoes 2.1.1 e 2.1.2 apresentam duas situacoes envolvendo este tipo de fraude, sendo que
¸˜
a primeira situacao se d´ atrav´ s de p´ ginas disponibilizadas na Internet e a segunda atrav´ s do re-
a e a e
¸˜
cebimento de e-mails. Observe que existem variantes para as situacoes apresentadas e outros tipos
e ´
de scam. Al´ m disso, novas formas de scam podem surgir, portanto e muito importante que vocˆ se e
mantenha informado sobre os tipos de scam que vˆ m sendo utilizados pelos fraudadores, atrav´ s dos
e e
¸˜
ve´culos de comunicacao, como jornais, revistas e sites especializados.
ı
2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos”
o ¸
Vocˆ acessa um site de leil˜ o ou de venda de produtos, onde os produtos ofertados tˆ m precos
e a e ¸
muito abaixo dos praticados pelo mercado.
Risco: ao efetivar uma compra, na melhor das hip´ teses, vocˆ receber´ um produto que n˜ o condiz
o e a a
com o que realmente foi solicitado. Na maioria dos casos, vocˆ n˜ o receber´ nenhum produto, perder´
e a a a
¸˜
o dinheiro e poder´ ter seus dados pessoais e financeiros furtados, caso a transacao tenha envolvido,
a
por exemplo, o n´ mero do seu cart˜ o de cr´ dito.
u a e
Como identificar: faca uma pesquisa de mercado sobre preco do produto desejado e compare com
¸ ¸
os precos oferecidos. Ent˜ o, vocˆ deve se perguntar por que est˜ o oferecendo um produto com preco
¸ a e a ¸
t˜ o abaixo do praticado pelo mercado.
a
´
E importante ressaltar que existem muitos sites confi´ veis de leil˜ es e de vendas de produtos, mas
a o
¸˜ ¸˜ ´
nesta situacao a intencao e ilustrar casos de sites especificamente projetados para realizar atividades
il´citas.
ı
2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam)
e
e ¸˜
Vocˆ recebe um e-mail em nome de uma instituicao governamental da Nig´ ria (por exemplo, o
e
Banco Central), onde e ´ solicitado que vocˆ atue como intermedi´ rio em uma transferˆ ncia internaci-
e a e
onal de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas
de milh˜ es de d´ lares.
o o
´
Como recompensa, vocˆ ter´ direito de ficar com uma porcentagem (que e normalmente alta) do
e a
¸˜ ´
valor mencionado na mensagem. Para completar a transacao e solicitado que vocˆ pague antecipa-
e
damente uma quantia, normalmente bem elevada, para arcar com taxas de transferˆ ncia de fundos,
e
custos com advogados, entre outros.
e ´ ¸˜
Este tipo de golpe tamb´ m e conhecido como Advance Fee Fraud, ou “a fraude de antecipacao de
´
pagamentos”, e j´ foram registrados casos originados ou que mencionavam a Africa do Sul, Angola,
a
Eti´ pia, Lib´ ria, Marrocos, Serra Leoa, Tanzˆ nia, Zaire, Zimb´ bue, Holanda, Iugosl´ via, Austr´ lia,
o e a a a a
Jap˜ o, Mal´ sia e Taiwan, entre outros.
a a
` ¸˜
No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam, o n´ mero “419” refere-se a secao do
u
o e ´ ´ equivalente ao artigo 171 do c´ digo penal
c´ digo penal da Nig´ ria que e violada por este golpe. E o
brasileiro, ou seja, estelionato.
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 4/17
6. Parte IV: Fraudes na Internet
Risco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, vocˆ n˜ o s´ perder´
e a o a
o dinheiro investido, mas tamb´ m nunca ver´ os milhares ou milh˜ es de d´ lares prometidos como
e a o o
recompensa.
Como identificar: normalmente, estas mensagens apresentam quantias astronˆ micas e abusam da
o
¸˜ ¸˜
utilizacao de palavras capitalizadas (todas as letras mai´ sculas) para chamar a atencao do usu´ rio.
u a
Palavras como “URGENT” (urgente) e “CONFIDENTIAL” (confidencial) tamb´ m s˜ o comumente
e a
¸˜
usadas no assunto da mensagem para chamar a atencao do usu´ rio.
a
Vocˆ deve se perguntar por que foi escolhido para receber estes “milhares ou milh˜ es” de d´ lares,
e o o
entre os in´ meros usu´ rios que utilizam a Internet.
u a
´ ¸˜
2.2 O que e phishing e que situacoes podem ser citadas sobre este tipo de
fraude?
Phishing, tamb´ m conhecido como phishing scam ou phishing/scam, foi um termo originalmente
e
criado para descrever o tipo de fraude que se d´ atrav´ s do envio de mensagem n˜ o solicitada, que se
a e a
¸˜ ¸˜
passa por comunicacao de uma instituicao conhecida, como um banco, empresa ou site popular, e que
procura induzir o acesso a p´ ginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e
a
financeiros de usu´ rios.
a
A palavra phishing (de “fishing”) vem de uma analogia criada pelos fraudadores, onde “iscas”
(e-mails) s˜ o usadas para “pescar” senhas e dados financeiros de usu´ rios da Internet.
a a
Atualmente, este termo vˆ m sendo utilizado tamb´ m para se referir aos seguintes casos:
e e
• mensagem que procura induzir o usu´ rio a instalacao de c´ digos maliciosos, projetados para
a ` ¸˜ o
furtar dados pessoais e financeiros;
• mensagem que, no pr´ prio conte´ do, apresenta formul´ rios para o preenchimento e envio de
o u a
dados pessoais e financeiros de usu´ rios.
a
¸˜ ¸˜
A subsecoes a seguir apresentam cinco situacoes envolvendo phishing, que vˆ m sendo utilizadas
e
¸˜
por fraudadores na Internet. Observe que existem variantes para as situacoes apresentadas. Al´ m e
´
disso, novas formas de phishing podem surgir, portanto e muito importante que vocˆ se mantenha
e
informado sobre os tipos de phishing que vˆ m sendo utilizados pelos fraudadores, atrav´ s dos ve´culos
e e ı
¸˜
de comunicacao, como jornais, revistas e sites especializados.
e ´
Tamb´ m e muito importante que vocˆ , ao identificar um caso de fraude via Internet, notifique a
e
instituicao envolvida, para que ela possa tomar as providˆ ncias cab´veis1 .
¸˜ e ı
2.2.1 Mensagens que contˆ m links para programas maliciosos
e
Vocˆ recebe uma mensagem por e-mail ou via servico de troca instantˆ nea de mensagens, onde o
e ¸ a
¸˜
texto procura atrair sua atencao, seja por curiosidade, por caridade, pela possibilidade de obter alguma
vantagem (normalmente financeira), entre outras. O texto da mensagem tamb´ m pode indicar que a
e
a ¸˜ a uˆ
n˜ o execucao dos procedimentos descritos acarretar˜ o conseq¨ encias mais s´ rias, como, por exemplo,
e
1 Veja ¸˜
detalhes sobre como realizar a notificacao na Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede.
¸
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 5/17
7. Parte IV: Fraudes na Internet
a inclus˜ o do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta banc´ ria ou
a a
do seu cart˜ o de cr´ dito, etc. A mensagem, ent˜ o, procura induz´-lo a clicar em um link, para baixar
a e a ı
e abrir/executar um arquivo.
¸˜
Alguns exemplos de temas e respectivas descricoes dos textos encontrados em mensagens deste
tipo s˜ o apresentados na tabela 1.
a
Tabela 1: Exemplos de temas de mensagens de phishing.
Tema Texto da mensagem
Cart˜ es virtuais
o UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Cri-
anca Esperanca, AACD/Teleton.
¸ ¸
SERASA e SPC ¸˜
d´ bitos, restricoes ou pendˆ ncias financeiras.
e e
Servicos de governo eletrˆ nico
¸ o CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova
¸˜ ¸˜
vers˜ o ou correcao para o programa de declaracao, consulta
a
¸˜
da restituicao, dados incorretos ou incompletos na declara-
¸˜ ¸˜ ¸˜
cao), eleicoes (t´tulo eleitoral cancelado, simulacao da urna
ı
eletrˆ nica).
o
´
Albuns de fotos pessoa supostamente conhecida, celebridades, relacionado a
¸˜
algum fato noticiado (em jornais, revistas, televis˜ o), traicao,
a
nudez ou pornografia, servico de acompanhantes.
¸
Servico de telefonia
¸ pendˆ ncias de d´ bito, aviso de bloqueio de servicos, detalha-
e e ¸
mento de fatura, cr´ ditos gratuitos para o celular.
e
Antiv´rus
ı ¸˜ ¸˜
a melhor opcao do mercado, nova vers˜ o, atualizacao de vaci-
a
¸˜
nas, novas funcionalidades, eliminacao de v´rus do seu com-
ı
putador.
Not´cias/boatos
ı fatos amplamente noticiados (ataques terroristas, tsunami, ter-
remotos, etc), boatos envolvendo pessoas conhecidas (morte,
¸˜
acidentes ou outras situacoes chocantes).
Reality shows BigBrother, Casa dos Artistas, etc – fotos ou v´deos envol-
ı
vendo cenas de nudez ou er´ ticas, discadores.
o
Programas ou arquivos diversos ¸˜
novas vers˜ es de softwares, correcoes para o sistema operaci-
o
onal Windows, m´ sicas, v´deos, jogos, acesso gratuito a ca-
u ı
¸˜
nais de TV a cabo no computador, cadastro ou atualizacao de
curr´culos, recorra das multas de trˆ nsito.
ı a
Pedidos ¸˜
orcamento, cotacao de precos, lista de produtos.
¸ ¸
Discadores para conex˜ o Internet gratuita, para acessar imagens ou v´deos
a ı
restritos.
Sites de com´ rcio eletrˆ nico
e o ¸˜ ¸˜
atualizacao de cadastro, devolucao de produtos, cobranca de ¸
¸˜
d´ bitos, confirmacao de compra.
e
Convites ¸˜
convites para participacao em sites de relacionamento (como o
orkut) e outros servicos gratuitos.
¸
Dinheiro f´ cil
a descubra como ganhar dinheiro na Internet.
¸˜
Promocoes diversos.
Prˆ mios
e ¸˜
loterias, instituicoes financeiras.
Propaganda produtos, cursos, treinamentos, concursos.
FEBRABAN cartilha de seguranca, avisos de fraude.
¸
IBGE censo.
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 6/17
8. Parte IV: Fraudes na Internet
a ´
Cabe ressaltar que a lista de temas na tabela 1 n˜ o e exaustiva, nem tampouco se aplica a todos os
casos. Existem outros temas e novos temas podem surgir.
Risco: ao clicar no link, ser´ apresentada uma janela, solicitando que vocˆ salve o arquivo. Depois
a e
de salvo, se vocˆ abr´-lo ou execut´ -lo, ser´ instalado um programa malicioso (malware) em seu
e ı a a
computador, por exemplo, um cavalo de tr´ ia ou outro tipo de spyware, projetado para furtar seus
o
dados pessoais e financeiros, como senhas banc´ rias ou n´ meros de cart˜ es de cr´ dito2 . Caso o seu
a u o e
programa leitor de e-mails esteja configurado para exibir mensagens em HTML, a janela solicitando
que vocˆ salve o arquivo poder´ aparecer automaticamente, sem que vocˆ clique no link.
e a e
Ainda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computa-
¸˜
dor automaticamente, ou seja, sem a sua intervencao, caso seu programa leitor de e-mails possua
vulnerabilidades.
Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usu´ rio, dentre
a
¸˜
elas: capturar teclas digitadas no teclado; capturar a posicao do cursor e a tela ou regi˜ es da tela, no
o
´
momento em que o mouse e clicado; sobrepor a janela do browser do usu´ rio com uma janela falsa,
a
onde os dados ser˜ o inseridos; ou espionar o teclado do usu´ rio atrav´ s da Webcam (caso o usu´ rio a
a a e a
possua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas t´ cnicas podem ser
e
¸˜
vistos na secao de keyloggers, na Parte VIII: C´ digos Maliciosos (Malware).
o
Depois de capturados, seus dados pessoais e financeiros ser˜ o enviados para os fraudadores. A partir
a
ı a ¸˜
da´, os fraudadores poder˜ o realizar diversas operacoes, incluindo a venda dos seus dados para tercei-
¸˜
ros, ou utilizacao dos seus dados financeiros para efetuar pagamentos, transferir valores para outras
contas, etc.
Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta:
• leia atentamente a mensagem. Normalmente, ela conter´ diversos erros gramaticais e de orto-
a
grafia;
• os fraudadores utilizam t´ cnicas para ofuscar o real link para o arquivo malicioso, apresentando
e
` ¸˜
o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor
do mouse sobre o link, ser´ poss´vel ver o real endereco do arquivo malicioso na barra de status
a ı ¸
do programa leitor de e-mails, ou browser, caso esteja atualizado e n˜ o possua vulnerabilidades.
a
Normalmente, este link ser´ diferente do apresentado na mensagem;
a
• qualquer extens˜ o pode ser utilizada nos nomes dos arquivos maliciosos, mas fique particular-
a
mente atento aos arquivos com extens˜ es “.exe”, “.zip” e “.scr”, pois estas s˜ o as mais utiliza-
o a
das. Outras extens˜ es freq¨ entemente utilizadas por fraudadores s˜ o “.com”, “.rar” e “.dll”;
o u a
• fique atento as mensagens que solicitam a instalacao/execucao de qualquer tipo de arquivo/pro-
` ¸˜ ¸˜
grama;
• acesse a p´ gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados
a ¸˜
¸˜ ¸˜
apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que vocˆ e
a ´ ¸˜
recebeu. Em muitos casos, vocˆ vai observar que n˜ o e pol´tica da instituicao enviar e-mails
e ı
para usu´ rios da Internet, de forma indiscriminada, principalmente contendo arquivos anexados.
a
2O conceito de malware pode ser encontrado na Parte I: Conceitos de Seguranca. Os conceitos de cavalo de tr´ ia e
¸ o
spyware est˜ o dispon´veis na Parte VIII: C´ digos Maliciosos (Malware).
a ı o
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 7/17
9. Parte IV: Fraudes na Internet
¸˜
Recomendacoes:
• no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como pa-
rˆ metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos
a
fraudadores;
• se vocˆ ainda tiver alguma d´ vida e acreditar que a mensagem pode ser verdadeira, entre em
e u
¸˜
contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, princi-
¸˜
palmente informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito.
ı u o e
2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas
a e o
Vocˆ recebe uma mensagem por e-mail ou via servico de troca instantˆ nea de mensagens, em
e ¸ a
e o ¸˜
nome de um site de com´ rcio eletrˆ nico ou de uma instituicao financeira, por exemplo, um banco.
¸˜
Textos comuns neste tipo de mensagem envolvem o recadastramento ou confirmacao dos dados do
a ¸˜ ¸˜
usu´ rio, a participacao em uma nova promocao, etc. A mensagem, ent˜ o, tenta persuad´-lo a clicar
a ı
em um link contido no texto, em uma imagem, ou em uma p´ gina de terceiros.
a
Risco: o link pode direcion´ -lo para uma p´ gina Web falsificada, semelhante ao site que vocˆ real-
a a e
mente deseja acessar. Nesta p´ gina ser˜ o solicitados dados pessoais e financeiros, como o n´ mero,
a a u
¸˜
data de expiracao e c´ digo de seguranca do seu cart˜ o de cr´ dito, ou os n´ meros da sua agˆ ncia e
o ¸ a e u e
conta banc´ ria, senha do cart˜ o do banco e senha de acesso ao Internet Banking.
a a
ı a a ¸˜
Ao preencher os campos dispon´veis na p´ gina falsificada e clicar no bot˜ o de confirmacao (em muitos
casos o bot˜ o apresentar´ o texto “Confirm”, “OK”, “Submit”, etc), os dados ser˜ o enviados para os
a a a
fraudadores.
ı a ¸˜
A partir da´, os fraudadores poder˜ o realizar diversas operacoes, incluindo a venda dos seus dados
¸˜
para terceiros, ou utilizacao dos seus dados financeiros para efetuar pagamentos, transferir valores
para outras contas, etc.
Como identificar: seguem algumas dicas para identificar este tipo de mensagem fraudulenta:
• os fraudadores utilizam t´ cnicas para ofuscar o real link para a p´ gina falsificada, apresentando
e a
` ¸˜
o que parece ser um link relacionado a instituicao mencionada na mensagem. Ao passar o cursor
do mouse sobre o link, ser´ poss´vel ver o real endereco da p´ gina falsificada na barra de status
a ı ¸ a
do programa leitor de e-mails, ou browser, caso esteja atualizado e n˜ o possua vulnerabilidades.
a
Normalmente, este link ser´ diferente do apresentado na mensagem;
a
• acesse a p´ gina da instituicao que supostamente enviou a mensagem, seguindo os cuidados
a ¸˜
¸˜ ¸˜
apresentados na secao 2.3, e procure por informacoes relacionadas com a mensagem que vocˆ
e
recebeu;
• sites de com´ rcio eletrˆ nico ou Internet Banking confi´ veis sempre utilizam conex˜ es seguras
e o a o
¸˜
(vide secao 2.4) quando dados pessoais e financeiros de usu´ rios s˜ o solicitados. Caso a p´ gina
a a a
n˜ o utilize conex˜ o segura, desconfie imediatamente. Caso a p´ gina falsificada utilize conex˜ o
a a a a
segura, um novo certificado (que n˜ o corresponde ao site verdadeiro) ser´ apresentado e, pos-
a a
sivelmente, o endereco mostrado no browser ser´ diferente do endereco correspondente ao site
¸ a ¸
verdadeiro.
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 8/17
10. Parte IV: Fraudes na Internet
¸˜
Recomendacoes:
• no caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como pa-
rˆ metro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos
a
fraudadores;
• se vocˆ ainda tiver alguma d´ vida e acreditar que a mensagem pode ser verdadeira, entre em
e u
¸˜
contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, princi-
¸˜
palmente informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito.
ı u o e
a ¸˜
2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes sens´veis
ı
e o ¸˜
Vocˆ recebe um e-mail em nome de um site de com´ rcio eletrˆ nico ou de uma instituicao banc´ ria.
e a
¸˜
O conte´ do da mensagem envolve o recadastramento ou confirmacao de seus dados, a participacao
u ¸˜
¸˜
em uma nova promocao, etc.
¸˜ ¸˜
A mensagem apresenta um formul´ rio, com campos para a digitacao de informacoes envolvendo
a
¸˜
dados pessoais e financeiros, como o n´ mero, data de expiracao e c´ digo de seguranca do seu cart˜ o
u o ¸ a
de cr´ dito, ou os n´ meros da sua agˆ ncia e conta banc´ ria, senha do cart˜ o do banco e senha de
e u e a a
acesso ao Internet Banking. A mensagem, ent˜ o, solicita que vocˆ preencha o formul´ rio e apresenta
a e a
¸˜
um bot˜ o para confirmar o envio das informacoes preenchidas.
a
Risco: ao preencher os dados e confirmar o envio, suas informacoes pessoais e financeiras ser˜ o
¸˜ a
ı a ¸˜
transmitidas para fraudadores, que, a partir da´, poder˜ o realizar diversas operacoes, incluindo a venda
¸˜
dos seus dados para terceiros, ou utilizacao dos seus dados financeiros para efetuar pagamentos,
transferir valores para outras contas, etc.
Como identificar: o servico de e-mail convencional n˜ o fornece qualquer mecanismo de criptografia,
¸ a
¸˜ ¸˜
ou seja, as informacoes, ao serem submetidas, trafegar˜ o em claro pela Internet. Qualquer instituicao
a
confi´ vel n˜ o utilizaria este meio para o envio de informacoes pessoais e sens´veis de seus usu´ rios.
a a ¸˜ ı a
2.2.4 ¸˜
Comprometimento do servico de resolucao de nomes
¸
Ao tentar acessar um site de com´ rcio eletrˆ nico ou Internet Banking, mesmo digitando o endere-
e o
¸ e´
co diretamente no seu browser, vocˆ e redirecionado para uma p´ gina falsificada, semelhante ao site
a
verdadeiro.
Duas poss´veis causas para este caso de phishing s˜ o:
ı a
• o atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os
acessos a determinados sites passaram a ser redirecionados para p´ ginas falsificadas;
a
• o atacante o induziu a instalar um malware, por exemplo, atrav´ s de uma mensagem recebida
e
¸˜
por e-mail (como mostrado na secao 2.2.1), e este malware foi especificamente projetado para
¸˜
alterar o comportamento do servico de resolucao de nomes do seu computador, redirecionando
¸
os acessos a determinados sites para p´ ginas falsificadas.
a
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 9/17
11. Parte IV: Fraudes na Internet
¸˜ ¸˜
Apesar de n˜ o ter uma definicao consolidada na data de publicacao desta Cartilha, os ve´culos
a ı
de comunicacao tˆ m utilizado o termo pharming para se referir a casos espec´ficos de phishing, que
¸˜ e ı
¸˜ ı e ¸˜
envolvem algum tipo de redirecao da v´tima para sites fraudulentos, atrav´ s de alteracoes nos servicos
¸
¸˜
de resolucao de nomes.
Risco: ao preencher os campos dispon´veis na p´ gina falsificada e confirmar o envio dos dados, suas
ı a
¸˜
informacoes pessoais e financeiras ser˜ o transmitidas para fraudadores, que, a partir da´, poder˜ o
a ı a
¸˜ ¸˜
realizar diversas operacoes, incluindo a venda dos seus dados para terceiros, ou utilizacao dos seus
dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.
Como identificar: neste caso, onde fraudadores alteram o comportamento do servico de resolucao
¸ ¸˜
de nomes, para redirecionar acessos para p´ ginas falsificadas, n˜ o s˜ o v´ lidas dicas como digitar
a a a a
o endereco diretamente no seu browser, ou observar o endereco apresentado na barra de status do
¸ ¸
browser.
´
Deste modo, a melhor forma de identificar este tipo de fraude e estar atento para o fato de que sites
de com´ rcio eletrˆ nico ou Internet Banking confi´ veis sempre utilizam conex˜ es seguras quando
e o a o
dados pessoais e financeiros de usu´ rios s˜ o solicitados. Caso a p´ gina n˜ o utilize conex˜ o segura,
a a a a a
desconfie imediatamente. Caso a p´ gina falsificada utilize conex˜ o segura, um novo certificado, que
a a
a a ¸˜
n˜ o corresponde ao site verdadeiro, ser´ apresentado (mais detalhes sobre verificacao de certificados
¸˜
na secao 2.6).
¸˜
Recomendacao: se vocˆ ainda tiver alguma d´ vida e acreditar que a p´ gina pode ser verdadeira,
e u a
mesmo n˜ o utilizando conex˜ o segura, ou apresentando um certificado n˜ o compat´vel, entre em
a a a ı
¸˜
contato com a instituicao para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente
¸˜
informacoes sens´veis, como senhas e n´ meros de cart˜ es de cr´ dito.
ı u o e
2.2.5 ¸˜
Utilizacao de computadores de terceiros
Vocˆ utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand
e
de um evento, para acessar um site de com´ rcio eletrˆ nico ou Internet Banking.
e o
Risco: como estes computadores s˜ o utilizados por muitas pessoas, vocˆ pode ter todas as suas acoes
a e ¸˜
¸˜
monitoradas (incluindo a digitacao de senhas ou n´ mero de cart˜ es de cr´ dito), atrav´ s de programas
u o e e
¸˜
especificamente projetados para este fim (como visto na secao 2.2.1) e que podem ter sido instalados
previamente.
¸˜
Recomendacao: n˜ o utilize computadores de terceiros em operacoes que necessitem de seus dados
a ¸˜
pessoais e financeiros, incluindo qualquer uma de suas senhas.
2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico
a e o
ou Internet Banking?
Existem diversos cuidados que um usu´ rio deve ter ao acessar sites de com´ rcio eletrˆ nico ou
a e o
Internet Banking. Dentre eles, podem-se citar:
• realizar transacoes somente em sites de instituicoes que vocˆ considere confi´ veis;
¸˜ ¸˜ e a
• procurar sempre digitar em seu browser o endereco desejado. N˜ o utilize links em p´ ginas de
¸ a a
terceiros ou recebidos por e-mail;
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 10/17
12. Parte IV: Fraudes na Internet
• certificar-se de que o endereco apresentado em seu browser corresponde ao site que vocˆ real-
¸ e
¸˜
mente quer acessar, antes de realizar qualquer acao;
• certificar-se que o site faz uso de conex˜ o segura (ou seja, que os dados transmitidos entre seu
a
browser e o site ser˜ o criptografados) e utiliza um tamanho de chave considerado seguro (vide
a
¸˜
secao 2.4);
• antes de aceitar um novo certificado, verificar junto a instituicao que mant´ m o site sobre sua
` ¸˜ e
emiss˜ o e quais s˜ o os dados nele contidos. Ent˜ o, verificar o certificado do site antes de iniciar
a a a
¸˜ ¸˜
qualquer transacao, para assegurar-se que ele foi emitido para a instituicao que se deseja acessar
¸˜
e est´ dentro do prazo de validade (vide secao 2.6);
a
• estar atento e prevenir-se dos ataques de engenharia social (como visto na secao 1.1);
¸˜
• n˜ o acessar sites de com´ rcio eletrˆ nico ou Internet Banking atrav´ s de computadores de ter-
a e o e
ceiros;
• desligar sua Webcam (caso vocˆ possua alguma), ao acessar um site de com´ rcio eletrˆ nico ou
e e o
Internet Banking.
e ´
Al´ m dos cuidados apresentados anteriormente e muito importante que vocˆ tenha alguns cuida-
e
dos adicionais, tais como:
• manter o seu browser sempre atualizado e com todas as correcoes (patches) aplicadas;
¸˜
• alterar a configuracao do seu browser para restringir a execucao de JavaScript e de programas
¸˜ ¸˜
Java ou ActiveX, exceto para casos espec´ficos;
ı
• configurar seu browser para bloquear pop-up windows e permit´-las apenas para sites conheci-
ı
dos e confi´ veis, onde forem realmente necess´ rias;
a a
• configurar seu programa leitor de e-mails para n˜ o abrir arquivos ou executar programas auto-
a
maticamente;
• n˜ o executar programas obtidos pela Internet, ou recebidos por e-mail.
a
Com estes cuidados adicionais vocˆ pode evitar que seu browser contenha alguma vulnerabili-
e
dade, e que programas maliciosos (como os cavalos de tr´ ia e outros tipos de malware) sejam instala-
o
dos em seu computador para, dentre outras finalidades, furtar dados sens´veis e fraudar seus acessos
ı
a sites de com´ rcio eletrˆ nico ou Internet Banking. Maiores detalhes sobre estes cuidados podem
e o
¸˜
ser obtidos na Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao e Parte VIII:
e
C´ digos Maliciosos (Malware).
o
a ´
2.4 Como verificar se a conex˜ o e segura (criptografada)?
Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que signi-
¸˜
ficam que as informacoes transmitidas entre o browser e o site visitado est˜ o sendo criptografadas.
a
¸ ´
O primeiro pode ser visualizado no local onde o endereco do site e digitado. O endereco deve
¸
comecar com https:// (diferente do http:// nas conex˜ es normais), onde o s antes do sinal de
¸ o
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 11/17
13. Parte IV: Fraudes na Internet
¸ a ´
dois-pontos indica que o endereco em quest˜ o e de um site com conex˜ o segura e, portanto, os dados
a
ser˜ o criptografados antes de serem enviados. A figura 1 apresenta o primeiro item, indicando uma
a
conex˜ o segura, observado nos browsers Firefox e Internet Explorer, respectivamente.
a
¸˜
Alguns browsers podem incluir outros sinais na barra de digitacao do endereco do site, que in-
¸
a ´ ´
dicam que a conex˜ o e segura. No Firefox, por exemplo, o local onde o endereco do site e digitado
¸
muda de cor, ficando amarelo, e apresenta um cadeado fechado do lado direito.
Figura 1: https - identificando site com conex˜ o segura.
a
O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conex˜ oa
e segura. Normalmente, o desenho mais adotado nos browsers recentes e de um “cadeado fechado”,
´ ´
apresentado na barra de status, na parte inferior da janela do browser (se o cadeado estiver aberto, a
a a ´
conex˜ o n˜ o e segura).
A figura 2 apresenta desenhos dos cadeados fechados, indicando conex˜ es seguras, observados
o
nas barras de status nos browsers Firefox e Internet Explorer, respectivamente.
Figura 2: Cadeado – identificando site com conex˜ o segura.
a
¸˜
Ao clicar sobre o cadeado, ser´ exibida uma tela que permite verificar as informacoes referentes
a
¸˜ ¸˜ ¸˜
ao certificado emitido para a instituicao que mant´ m o site (veja secao 2.6), bem como informacoes
e
sobre o tamanho da chave utilizada para criptografar os dados.
´ ¸˜
E muito importante que vocˆ verifique se a chave utilizada para criptografar as informacoes a
e
´
serem transmitidas entre seu browser e o site e de no m´nimo 128 bits. Chaves menores podem
ı
comprometer a seguranca dos dados a serem transmitidos. Maiores detalhes sobre criptografia e
¸
tamanho de chaves podem ser obtidos na Parte I: Conceitos de Seguranca.
¸
´ ¸˜ ¸˜
Outro fator muito importante e que a verificacao das informacoes do certificado deve ser feita
´
clicando unica e exclusivamente no cadeado exibido na barra status do browser. Atacantes podem
tentar forjar certificados, incluindo o desenho de um cadeado fechado no conte´ do da p´ gina. A
u a
¸˜
figura 3 ilustra esta situacao no browser Firefox.
Figura 3: Cadeado forjado.
Compare as barras de status do browser Firefox nas figuras 2 e 3. Observe que na figura 3 n˜ o e
a ´
apresentado um cadeado fechado dentro da barra de status, indicando que a conex˜ o n˜ o e segura.
a a ´
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 12/17
14. Parte IV: Fraudes na Internet
2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado?
a
Existem alguns cuidados que um usu´ rio deve ter para certificar-se que um site n˜ o foi falsificado.
a a
´
O primeiro cuidado e checar se o endereco digitado permanece inalterado no momento em que
¸
´ ¸˜
o conte´ do do site e apresentado no browser do usu´ rio. Existem algumas situacoes, como visto
u a
¸˜
na secao 2.2, onde o acesso a um site pode ser redirecionado para uma p´ gina falsificada, mas nor-
a
¸ ´
malmente nestes casos o endereco apresentado pelo browser e diferente daquele que o usu´ rio quer
a
realmente acessar.
´ ¸˜
E um outro cuidado muito importante e verificar as informacoes contidas no certificado emitido
¸˜ ¸˜ ´
para a instituicao que mant´ m o site. Estas informacoes podem dizer se o certificado e ou n˜ o leg´timo
e a ı
´ ¸˜
e, conseq¨ entemente, se o site e ou n˜ o falsificado (vide secao 2.6).
u a
´
2.6 Como posso saber se o certificado emitido para o site e leg´timo?
ı
´ ¸˜
E extremamente importante que o usu´ rio verifique algumas informacoes contidas no certificado.
a
¸˜ ´
Um exemplo de um certificado, emitido para um site de uma instituicao e mostrado abaixo.
This Certificate belongs to: This Certificate was issued by:
www.example.org www.examplesign.com/CPS Incorp.by Ref.
Terms of use at LIABILITY LTD.(c)97 ExampleSign
www.examplesign.com/dir (c)00 ExampleSign International Server CA -
UF Tecno Class 3
Example Associados, Inc. ExampleSign, Inc.
Cidade, Estado, BR
Serial Number:
70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A
This Certificate is valid from Sat Aug 20, 2005 to Sun
Aug 20, 2006
Certificate Fingerprint:
92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0
a a ¸˜
O usu´ rio deve, ent˜ o, verificar se o certificado foi emitido para o site da instituicao que ele deseja
¸˜
acessar. As seguintes informacoes devem ser checadas:
• o endereco do site;
¸
• o nome da instituicao (dona do certificado);
¸˜
• o prazo de validade do certificado.
Ao entrar pela primeira vez em um site que usa conex˜ o segura, seu browser apresentar´ uma
a a
janela pedindo para confirmar o recebimento de um novo certificado. Ent˜ o, verifique se os dados do
a
` ¸˜
certificado correspondem a instituicao que vocˆ realmente deseja acessar e se seu browser reconheceu
e
a Autoridade Certificadora que emitiu o certificado3 .
3 Os conceitos de Autoridade Certificadora e certificados digitais, bem como as principais informacoes encontradas em
¸˜
um certificado podem ser encontradas na Parte I: Conceitos de Seguranca.
¸
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 13/17
15. Parte IV: Fraudes na Internet
a e uˆ
Se ao entrar em um site com conex˜ o segura, que vocˆ utilize com freq¨ encia, seu browser apre-
sentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma
¸˜
situacao poss´vel seria que a validade do certificado do site tenha vencido, ou o certificado tenha
ı
sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto tamb´ m e
pode significar que vocˆ est´ recebendo um certificado ileg´timo e, portanto, estar´ acessando um site
e a ı a
falsificado.
¸˜ ´ ¸˜
Uma dica para reconhecer esta situacao e que as informacoes contidas no certificado normalmente
a a ` ¸˜
n˜ o corresponder˜ o as da instituicao que vocˆ realmente deseja acessar. Al´ m disso, seu browser
e e
possivelmente informar´ que a Autoridade Certificadora que emitiu o certificado para o site n˜ o pˆ de
a a o
ser reconhecida.
De qualquer modo, caso vocˆ receba um novo certificado ao acessar um site e tenha alguma
e
u ¸ a ¸˜
d´ vida ou desconfianca, n˜ o envie qualquer informacao para o site antes de entrar em contato com a
¸˜
instituicao que o mant´ m, para esclarecer o ocorrido.
e
2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usa-
a
dos por terceiros?
¸˜
Caso vocˆ acredite que terceiros possam estar usando suas informacoes pessoais e financeiras,
e
como o n´ mero do seu cart˜ o de cr´ dito ou seus dados banc´ rios (senha de acesso ao Internet Banking
u a e a
¸˜
e senha do cart˜ o de banco), entre em contato com a instituicao envolvida (por exemplo, seu banco ou
a
a e ¸˜
operadora do seu cart˜ o de cr´ dito), informe-os sobre o caso e siga as orientacoes que ser˜ o passadas
a
por eles.
¸˜
Monitore regularmente suas movimentacoes financeiras, por exemplo, atrav´ s de extratos banc´ -
e a
rios e/ou de cart˜ es de cr´ dito, e procure por d´ bitos, transferˆ ncias ou cobrancas inesperadas.
o e e e ¸
´
E recomendado que vocˆ procure uma delegacia de pol´cia, para registrar um boletim de ocorrˆ n-
e ı e
cia, caso tenha sido v´tima de uma fraude via Internet.
ı
3 Boatos
Boatos (hoaxes) s˜ o e-mails que possuem conte´ dos alarmantes ou falsos e que, geralmente, tˆ m
a u e
¸˜
como remetente ou apontam como autora da mensagem alguma instituicao, empresa importante ou
´ a ´
org˜ o governamental. Atrav´ s de uma leitura minuciosa deste tipo de e-mail, normalmente, e poss´vel
e ı
identificar em seu conte´ do mensagens absurdas e muitas vezes sem sentido.
u
` `
Dentre os diversos boatos t´picos, que chegam as caixas postais de usu´ rios conectados a Internet,
ı a
podem-se citar as correntes, pirˆ mides, mensagens sobre pessoas que est˜ o prestes a morrer de cˆ ncer,
a a a
entre outras.
a a o ¸˜
Hist´ rias deste tipo s˜ o criadas n˜ o s´ para espalhar desinformacao pela Internet, mas tamb´ m
o e
para outros fins maliciosos.
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 14/17
16. Parte IV: Fraudes na Internet
3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos?
a ¸
´
Normalmente, o objetivo do criador de um boato e verificar o quanto ele se propaga pela Internet
e por quanto tempo permanece se propagando. De modo geral, os boatos n˜ o s˜ o respons´ veis por
a a a
grandes problemas de seguranca, a n˜ o ser ocupar espaco nas caixa de e-mails de usu´ rios.
¸ a ¸ a
uˆ
Mas podem existir casos com conseq¨ encias mais s´ rias como, por exemplo, um boato que pro-
e
a ¸˜
cura induzir usu´ rios de Internet a fornecer informacoes importantes (como n´ meros de documentos,
u
o e e ¸˜
de contas-corrente em banco ou de cart˜ es de cr´ dito), ou um boato que indica uma s´ rie de acoes
a serem realizadas pelos usu´ rios e que, se forem realmente efetivadas, podem resultar em danos
a
e ¸˜
mais s´ rios (como instrucoes para apagar um arquivo que supostamente cont´ m um v´rus, mas que na
e ı
´
verdade e parte importante do sistema operacional instalado no computador).
Al´ m disso, e-mails de boatos podem conter v´rus, cavalos de tr´ ia ou outros tipos de malware
e ı o
anexados. Maiores detalhes podem ser encontrados na Parte VIII: C´ digos Maliciosos (Malware).
o
´ ¸˜
E importante ressaltar que um boato tamb´ m pode comprometer a credibilidade e a reputacao
e
tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o
repassam.
¸˜
3.2 Como evitar a distribuicao dos boatos?
Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto
ocorre, muitas vezes, porque aqueles que o recebem:
• confiam no remetente da mensagem;
• n˜ o verificam a procedˆ ncia da mensagem;
a e
• n˜ o checam a veracidade do conte´ do da mensagem.
a u
¸˜ ´
Para que vocˆ possa evitar a distribuicao de boatos e muito importante checar a procedˆ ncia
e e
´
dos e-mails, e mesmo que tenham como remetente algu´ m conhecido, e preciso certificar-se que a
e
a ´ ¸˜
mensagem n˜ o e um boato (veja secao 3.3).
´
E importante ressaltar que vocˆ nunca deve repassar este tipo de mensagem, pois estar´ endos-
e a
sando ou concordando com o seu conte´ do.
u
´
3.3 Como posso saber se um e-mail e um boato?
Um boato normalmente apresenta pelo menos uma das caracter´sticas listadas abaixo. Observe
ı
que estas caracter´sticas devem ser usadas apenas como guia. Nem todo boato apresenta uma destas
ı
caracter´sticas e mensagens leg´timas podem apresentar algumas delas.
ı ı
Muitas vezes, um boato:
• sugere conseq¨ encias tr´ gicas se uma determinada tarefa n˜ o for realizada;
uˆ a a
• promete ganhos financeiros ou prˆ mios mediante a realizacao de alguma acao;
e ¸˜ ¸˜
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 15/17
17. Parte IV: Fraudes na Internet
• fornece instrucoes ou arquivos anexados para, supostamente, proteger seu computador de um
¸˜
v´rus n˜ o detectado por programas antiv´rus;
ı a ı
• afirma n˜ o ser um boato;
a
• apresenta diversos erros gramaticais e de ortografia;
• apresenta uma mensagem contradit´ ria;
o
• cont´ m algum texto enfatizando que vocˆ deve repassar a mensagem para o maior n´ mero de
e e u
pessoas poss´vel;
ı
• j´ foi repassado diversas vezes (no corpo da mensagem normalmente e poss´vel observar cabe-
a ´ ı
calhos de e-mails repassados por outras pessoas).
¸
Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatos
que est˜ o circulando e seus respectivos conte´ dos.
a u
Alguns destes sites s˜ o:
a
• Hoaxbusters – http://hoaxbusters.ciac.org/
• QuatroCantos – http://www.quatrocantos.com/LENDAS/ (em portuguˆ s)
e
• Urban Legends and Folklore – http://urbanlegends.about.com/
• Urban Legends Reference Pages – http://www.snopes.com/
• TruthOrFiction.com – http://www.truthorfiction.com/
• Symantec Security Response Hoaxes – http://www.symantec.com/avcenter/hoax.html
• McAfee Security Virus Hoaxes – http://vil.mcafee.com/hoax.asp
e a ¸˜
Al´ m disso, os cadernos de inform´ tica dos jornais de grande circulacao, normalmente, trazem
mat´ rias ou avisos sobre os boatos mais recentes.
e
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 16/17
18. Parte IV: Fraudes na Internet
Como Obter este Documento
´
Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente
atualizado, certifique-se de ter sempre a vers˜ o mais recente.
a
Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato
e a
atrav´ s do endereco doc@cert.br.
e ¸
Licenca de Uso da Cartilha
¸
Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde
´ ı
¸˜
que sejam respeitadas as seguintes condicoes:
´
1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento,
o
¸ ¸˜
acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet.
e e
´
2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro
a a
deste site que contenham partes espec´ficas da Cartilha.
ı
¸˜
3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de
material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte
¸
forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br,
ı ¸
mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.”
´ ¸˜ ¸˜
4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu-
o
¸˜ ¸˜
mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a
¸˜
comercializacao no todo ou em parte de c´ pias do referido documento.
o
¸˜
Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora
¸
¸˜
todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a
a
¸˜ ¸˜ uˆ
correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias
que possam advir do seu uso.
Agradecimentos
¸˜
O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co-
ı
ment´ rios, cr´ticas, sugest˜ es ou revis˜ es.
a ı o o
Cartilha de Seguranca para Internet – c 2006 CERT.br
¸ 17/17