Site pede a instalação do novo módulo de segurança para homebanking do Banco do Brasil – Será que é real ou é mais um phishing?

Quem usa homebanking sempre fica neurótico quando se fala em baixar arquivos executáveis, principalmente quando o arquivo vem junto com uma mensagem “teoricamente” vinda do próprio banco.

Pois bem. Depois de acabarem com a inserção das senhas em teclado virtual (o que tem muito cara de phishing), agora o Banco do Brasil me assustou novamente. Ao acessar o home banking do BB, o site pediu para baixar um arquivo chamado “DiagnosticoBB.exe“, que convenhamos, tem cara de ser extremamente suspeito…

O site que eles disponibilizam para o download é tão feio que realmente parece phishing – bordas toscas, fontes sem CSS e favico diferente (no caso, é o da Java)- mas como o dominio é do BB – https://seg.bb.com.br – resolvi tirar a prova e liguei para o SAC do Banco do Brasil (0800 729 0001).

Falei com a antendente Marciane (número de protocolo 3580493) que me garantiu a atuenticidade do arquivo. Me informou ainda que ele verifica se o computador possui todos os pré requisitos para acessar o homebanking , mas que não é nenhum “antivírus”, ou seja, a única verificação de segurança é ver se os aplicativos estão instalados corretamente.

Convenhamos! Tem muita cara de phishing, não?

Bom, espero que com isso o BB fique mais seguro. Para mim, essas instalações dão uma dor de cabeça, mas é como porta giratória na porta dos bancos – atualmente é um mal extremamente necessário.

Existem duas invenções feitas para aumentar a segurança dos bancos, mas que todo usuário odeia: porta giratória e teclado virtual.

Para quem não conhece, teclado virtual é um programinha feito normalmente em java e que serve para você digitar sua senha. A principal função é que programas chamados “key logs” não sejam capazes de capturar o que você está digitando no campo “senha”.

No início, a idéia funcionou bem, mas como o crime sempre anda na frente das pessoas honestas, já existem dezenas de métodos para burlar este tipo de segurança. Normalmente, os criminosos utilizam 2 métodos: Phishing, que é fazer uma cópia da página do banco só que em outro servidor, para que a senha digitada seja enviada para o ladrão, ou o envio de arquivos executáveis que fazem trabalhos como filmar os números digitados, alterar o download do teclado virtual para um “crackeado” para que a senha seja enviada para terceiros, etc…

Ontem descobri que o Banco do Brasil vai desabilitar o mecanismo de teclado virtual de seu site  (talvez por ser meio ultrapassado). Você pode ver um print abaixo ou diretamente no site http://www.bb.com.br/portalbb/page17,19078,19078,0,0,1,1.bb.

Mas isso irá tornar o site do Banco do Brasil menos seguro?

Acredito que não. O Banco do Brasil possui um sistema de cadastro de computadores que permite somente aos computadores cadastrados realizarem movimentos bancários como pagamentos, transferências ou liberação de cartão de crédito. Mesmo de posse da senha, teoricamente o ladrão não conseguiria fazer transações. O que não deixa de ser ruim, já que com a minha senha eu teria o sigilo da minha conta quebrada.

Mas… como disse no começo do texto, o crime sempre anda na frente dos honestos… Não dúvido que esse mecanismo de segurança seja quebrado em pouco tempo. O jeito é esperar para ver como o Banco do Brasil vai acabar com todas as falhas de segurança e eliminar de vez os crimes virtuais na home deles!

Que a dispersão de vírus iria acontecer em algum momento no twitter, ninguém duvidava, ainda mais com a popularização da ferramenta. Porém achei interessante como o método já começou avançado!

Aparentemente o vírus envia um direct para todas as pessoas que o usuário contaminado segue. A mensagem contém um link de um compactador de URLs. Até ai ainda é algo super comum.

O que é interessante é que o criador do vírus (provavelmente um brasileiro, já que a mensagem é em português) aproveitou da extensão .com (um executável do DOS) para nomear o arquivo como “www.twitter.com“. Esse artifício já tinha sido usado para dispersar vírus no arquivo orkut.com.

Portanto, agora você já sabe: As mesmas regras em emails agora vale para o twitter! Desconfie sempre que o link execute alguma ação estranha, como tentar baixar um arquivo! E ative a função “verificar destino da URL” nos encurtadores. O TinyURL tem o seu e o migre.me também. Já o Bit.ly possui um plugin para Firefox com função semelhante.

Ps: Se você reparar, a mensagem do direct não tem acento. É chato enviar acento via API para o Twitter! (na verdade é uma linha de comando, mas não é todo mundo que conhece como faz)

Que a segurança do Campus Party  nunca foi boa, todo campuseiro sabe.  Tanto ano passado como este ano aconteceram furtos de câmeras, celulares, etc e nada foi feito para tentar diminuir isso. Inclusive a Folha e a Comunidade “Campus Party” do Orkut já notificaram estes furtos e problemas!

Mas quem nunca veio para o evento não tem a menor noção de como a coisa aqui é RIDÍCULA de insegura! Todo mundo deixa seus gadgets na mesa, acreditando fielmente na boa fé dos outros participantes.

Notebooks em cima da mesa, sem seus donos por perto (foto: Jonny Ken)

Pensando em escancarar para o mundo, @jonnyken (eu), a @danitoste (Sapere Aude) e o @fugita (Techbits) resolvemos mostrar isso do melhor jeito possível – NA PRÁTICA! Tentei sair com 2 notebooks – o meu e o da Dani, e com uma câmera nem um pouco escondida (veja o making off do final) registramos como é fácil sair com qualquer gadget da área dos participantes.

Espero que para o ano que vem, a segurança seja um pouco mais rígida! Talvez algo como um raio x de aeroporto ou algo do tipo resolveria! Os detectores de metais deste ano serviram meramente de enfeite!

Não gosta de PCs? Se quiser tem Mac também! (foto: Jonny Ken)

PS1 – Eu, a Dani Toste e a Amanda Wanderley fizemos um episódio sobre responsabilidades sobre o furto de notebook no Decodificando. No próximo episódio abordaremos se neste caso, o problema seria do Campus Party ou do usuário?

PS2- Agradecimento ao Renê Fraga pelos links da folha e do Orkut!

Enquanto aqui no Brasil a Apple não libera a atualização de podcasts direto no iPod touch/ iPhone, os assinantes podem se virar com a versão mobile que eu o Podpods liberou nesta semana!

A utilização é simples: basta o ouvinte entrar no site do Podpods – http://www.podpods.com.br, fazer o cadastro, selecionar os podcasts que assina e, toda vez que se logar na versão mobile, poderá acompanhar se existe algum episódio novo disponível. Caso tenha transferencia ilimitada ou esteja conectado a uma rede wi-fi, o assinante inclusive poderá ouvir o podcast simplesmente clicando no link! (não se esqueça que baixar 1 podcast pode consumir 30% de sua banda mensal de transferência via internet)

Podpods nas 3 versões: Web, mobile e twitter (foto: Jonny Ken)

O endereço da versão mobile do Podpods é http://m.podpods.com.br . Lembrando que ele serve também para qualquer outro dispositivo móvel, e não somente para os da Apple.

Outra dica: Se você tem conta no twitter, pode acompanhar as atualizações dos podcasts no @podpods.

Podpods versão mobile – basta apenas ter um navegador e acesso a internet

Agradecimento ao Racum, que me ajudou a deixar o Podpods mobile 100% compativel com o iPhone!