Suporte 24 hrs
(47) 9131 0258
MSN / E-mail:
Este endereço de e-mail está protegido contra spam bots, pelo que o Javascript terá de estar activado para poder visualizar o endereço de email
SKYPE
mibdata
Dúvidas?
|
|
Online Banking é seguro ? |
|
|
|
|
15-Set-2004 |
|
Segundo um artigo da PCWorld que referencia a opinião de um analista da Gartner, "Internet banking is terribly secure" e ainda "unscrupulous people using phishing, keystroke collection, or similar activities to steal your passwords or account numbers are a growing problem".
O "phishing" é uma recente actividade que atinge os utilizadores menos informados e que normalmente confiam na informação vinda do seu banco, sem questionar a origem verdadeira da comunicação ou do destino que apresentam. Normalmente acontece sobre a forma de email - caso dos emails do citibank que pediam para aceder a um site semelhante e que se autenticasse.
Casos mais simples que o "phishing" são por exemplo o de gravar as passwords de entrada nos sistemas de online banking. De inicio as passwords eram inseridas no teclado fisico, o que permitia aos "key loggers" gravar as mesmas, desde que o computador do utilizador esteja comprometido. Os bancos então, numa mudança global e rápida - seguindo alguns outros bancos mundiais que já tinham pensado nisso, caso do Banco do Brasil ou Citibank - colocaram os "famosos" teclados virtuais, baseados em javascript, onde os algarismos mudam constantemente e onde o mesmo pode até mudar de lugar. Assim, o problema desaparecia, mas surgia o problema dos "screen loggers", que permitem a gravação do desktop do utilizador. Contudo, uma gravação constante, ao segundo é inviável e detectável por parte do utilizador.
Segue-se então os ataques de "phishing", a última moda.
Contra estes, as instituições financeiras não conseguem evitar, mas conseguem prevenir se alertarem os seus clientes para tal facto.
Contudo, entramos num problema geral das instituições, a mensagem que devem e podem dar aos seus clientes relativamente à segurança dos seus sistemas de online banking, ou seja, estes sistemas são considerados seguros por parte do cliente, onde as instituições investem bastante, ora para remover os postos de trabalho excedentes nas "caixas", ora para promover os novos meios da banca electrónica - telefone, internet, wap, sms, etc.
Na minha opinião o proximo passo será o ataque aos sistemas de callcenter - apesar de ser necessário na maior parte deles autenticação - o factor humano ainda é o elo mais vulnerável. Nos callcenters recentes das instituições financeiras, um cliente autenticado dá permissões ao operador que o atende, para efectuar consultas, movimentos e operações diversas de acordo com a sua ordem. Como sempre estes sistemas também possuem os seus próprios mecanismos de segurança, seja gravação das chamadas do cliente, das instrucções dadas, do controlo e monitorização constante do operador, mas é um ser humano que está do outro lado, não um sistema.
Á medida que se vão descobrindo novas formas de iludir os sistemas de segurança financeiros, as instituições tentam estar um passo à frente. Existem ainda outros mecanismos implementados, matrizes de acesso, códigos secundários - nº BI, NIF - para certas transaccções, confirmação por SMS ou ainda - o meu mecanismo favorito - os tokens.
Este é utilizado - pelo que tenho conhecimento - por um banco na Suiça, onde aquando adesão ao sistema, o cliente fica na sua posse um token que usa para entrar no sistema, a par com o seu código pessoal. Este permite uma segurança adicional, algo fisico que não é atingivel por hackers.
Mas possui o problema de ser caro e burocraticamente complicado. Distribuir um token por milhões de clientes demora e custa à instituição, mas por outro lado garante e dá ao cliente a segurança de um sistema seguro.
Actualmente os sistemas de online banking são alvo de uma auditoria constante, monitorização e preocupação. Presumo que seja um dos sistemas que durante o seu periodo de vida curto, já levou com vários sistemas de autenticação e que tem evoluido de acordo com as necessidades e ataques encontrados. Em muitos existe informação relativa a segurança, onde se aconselha o não uso do IE, onde é necessário um browser que possua encriptação 128bits, onde se usa matrizes de acesso, onde é necessário confirmar transacções, enfim uma panóplia de sistemas de segurança.
Pessoalmente a melhor segurança para o online banking é a verificação constante do saldo e dos movimentos, a par é claro, com os mecanismos da instituição, assim garante-se que a conta bancária está sempre "normal", não apresentado grandes alterações.
O novo paradigma do online banking será, sem dúvida, a forma de autenticação e a forma de como protegem os seus clientes e dos ataques. |
|
