O homebanking, apesar de amplamente difundido, dispõe de riscos aquando a sua utilização. Referimo-nos essencialmente a dois tipos de riscos. Acesso físico a dados de acesso ou aparelhos, assim como de intrusões do tipo lógico, como um ataque man-in-the-middle.
O acesso às contas bancárias via internet estão sujeitas a inúmeros riscos, os quais são ignorados pela maioria das pessoas por desconhecimento.
João Miguel Neves, um especialista em segurança informática, acabou de lançar esta semana um projecto em que identifica vários sites bancários vulneráveis a um tipo particular de ataque chamado Poodle.
Passando a citar o próprio autor, o Poddle define-se como:
Uma vulnerabilidade de segurança inerente ao protocolo SSLv3 que é usado para esconder (cifrar) ligações na web. Usando esta falha é possível a alguém com acesso à rede ver informação confidencial transmitida no acesso a contas bancárias, compras e pagamentos. O protocolo tem sido regularmente substituído pela família TLS que é suportada em praticamente todos os browsers.
Consultando a lista disponível no projecto, verificamos que bancos como o BIG, Banco Popular, BIC, Crédito Agrícola ou CGD estão em risco face a esta vulnerabilidade. Outros como o Millennium, Novo Banco, Activo Bank e Banco Best já resolveram a situação.
Além da banca, até o MB Net ou o Portal das finanças estão sujeitos à vulnerabilidade. No mesmo link são dadas mais informações sobre a forma em como nos podemos proteger face ao Poddle.
Já em 2011 tinha havido um ataque similar aqui relatado. Estes são apenas dois exemplos de falhas de segurança, mas posso dar outros.
Na abertura de uma conta já me aconteceu levar dados dentro de uma Pen, e um gestor de conta, sem problema nenhum, inseriu-a num computador do banco, no qual procedia à abertura da conta.
Imaginando que eu tinha algum programa mal intencionado, e que o conseguia instalar ou executar nos computadores do banco... Basicamente consegui ter acesso físico à máquina na maior das inocências...que obviamente podia não ter sido assim tão inocente.
Outra situação que já li num fórum referia-se a um utilizador que ao fazer login no homebanking teve acesso de forma pontual à conta de outra pessoa recorrendo a determinado tipo de autenticação.
Recomendações:
- Resumindo, o acesso online deve ser feito com cautela e em computadores pessoais com firewall e antivírus actualizado;
- A sessão deve ser encerrada assim que terminada a utilização;
- Deve ter o cuidado de aceder aos links seguros e evitar utilizar hiperligações de fontes desconhecidas que podem esconder ataques de Phishing recorrendo a sites que imitam os dos bancos;
- Ter a certeza da utilização do protocolo HTTPS;
- Ter atenção a emails dos bancos que sejam identificados como spam;
- Saber e conhecer que software tem instalado na máquina, e quem lhe tem acesso;
- Proteger o acesso fisico das credenciais para o homebanking e evitar dados de acesso demasiado óbvios;
- Preferir dados de acesso diferentes do que utiliza noutras aplicações de menor importância e que podem ser comprometidas;
- Estar ocorrente do que é engenharia social e como se pode ser vítima;
- Não fornecer dados de acesso a aplicações que não estejam validadas e certificados pelo próprio banco;
- Utilizar autenticação multi-factor;
- Nunca aceder a outro site quando estiver logado no site de um banco on-line e verificar a existência de outras janelas abertas;
- Nunca fornecer os dados de acesso através de emails ou telefone;
Quanto ao mobile, estudos recentes indicam que 90% das aplicações móveis dos maiores bancos têm vulnerabilidades de segurança graves.
Pessoalmente como autor de alguns artigos de segurança, recomendo evitar a utilização de aplicações mobile e usar com moderação o acesso via web seguindo os conselhos anteriormente referidos.
10/16/2014
