Por Felipe Waltrick, diretor de tecnologia da iFractal
Nos últimos meses, tanto a mídia especializada quanto os portais de notícias têm divulgado amplamente um assunto que antes tinha pouco destaque, a segurança de boletos bancários. Precisamente no mês de julho deste ano foi quando o problema veio à tona, embora já estivesse acontecendo meses antes, gerando muita dor de cabeça para empresas de cobrança e seus clientes, especialmente no Brasil.
Apenas para relembrar o caso, a então chamada “gangue do boleto” teria em seus servidores nos EUA quase 496 mil boletos, que no total valiam em torno de U$ 3,75 bilhões (cerca de R$ 8,57 bilhões). Segundo Marcos Nehme, diretor da RSA, empresa de segurança na internet que descobriu a “gangue do boleto”, esses valores representam a fraude potencial, não o que de fato teria sido embolsado pela quadrilha. Veja mais detalhes na tabela a seguir.
O tema desde então se tornou motivo de propagação de mitos, mas também de verdades. Uma das verdades sobre o assunto é a de que não existe qualquer software que possa se proclamar absoluto e livre de golpes virtuais, em resumo, muito se fala, pouco se entende e nada se conclui.
A melhor pergunta que se pode fazer então é: Como se prevenir de ataques virtuais? Alguém muito sensato um dia disse que quase sempre a resposta está na própria pergunta, neste caso, a ‘prevenção’. Mas não entenda como prevenção o simples ato de instalar um antivírus, a prevenção que me refiro é comportamental.
Assim como qualquer criminoso, os autores de ataques virtuais também se valem basicamente das mesmas características de suas vítimas, embora no caso dos ataques virtuais, a maior parte dos disparos seja no escuro. Mas normalmente os atingidos reúnem as mesmas características, seja pelo despreparo do usuário, que envolve a falta de conhecimento das ferramentas que usa no dia-a-dia, a distração que o leva a clicar em links sem antes ler ou ao menos entender os motivos de certas solicitações e, não menos importante, o próprio temor da vítima frente a um ataque, que levaria o usuário a buscar por ferramentas de proteção ilusórias.
Neste cenário, o boleto tornou-se o foco de ataques justamente porque a segurança envolvida em seu sistema recai diretamente sobre o comportamento do usuário e passa despercebido por programas de antivírus e módulos de segurança das instituições financeiras.
É importante entender que há vários tipos de ataques que usuários e servidores recebem diariamente. No caso dos boletos, o alvo principal é o usuário final, que usa aplicativos comuns como navegadores ou gerenciadores de e-mail para abrir seus arquivos ou links, sejam em formato PDF ou HTML. Os ataques mais frequentes são as Solicitações Falsas (Phishing), que se utilizam de pretextos como: pedido direto de senhas, recadastramento de dados bancários, instalação de atualizações de segurança, entre outros.
De um lado, os antivírus ou módulos de segurança dos bancos são bastante limitados na proteção contra novas ameaças, pois trabalham com análise de arquivos por banco de dados de assinaturas (lista negra). De outro lado, os formatos de arquivos mais usados para envio de boletos, PDF e HTML, estão sujeitos a adulteração com relativa facilidade, pois têm o seu conteúdo em formato de texto (texto compactado no caso dos PDF’s). Mesmo quando protegidos por senha, ambos os formatos ainda podem ser adulterados quando são apresentados na tela ou até mesmo no momento da impressão.
A tabela abaixo ilustra melhor a comparação entre os formatos, considerando em níveis baixo, médio e alto:
Ainda vale ressaltar que, a dificuldade de adulteração no PDF não significa que esteja livre de novos ataques direcionados. Neste cenário, é possível diminuir o risco para um nível muito baixo, substituindo os textos por imagens, principalmente a linha digitável dos boletos. A adoção desta estratégia em sistemas como o ifClick, que já possuía o recurso de conversão de texto para imagem bem antes do caso divulgado em Julho, impediu que seus clientes fossem prejudicados.
Afinal, a segurança dos boletos está nas mãos do cliente, da empresa, dos órgãos governamentais responsáveis ou do criminoso? Como a prevenção através do comportamento é sempre a melhor opção, vale pontuar em qual esfera cada envolvido pode atuar. No caso do usuário, não se pode exigir conhecimentos apurados sobre o assunto, contudo, esta é justamente a oportunidade que as empresas têm para estabelecer uma abordagem que não gere dúvidas, evitando o comportamento similar ao dos golpistas quando enviam links, arquivos em ZIP e outros anexos. Essa postura mais informativa, além de ajudar o cliente, permite fortalecer o relacionamento e criar um laço de confiança entre as partes.
CADASTRE-SE no Blog Televendas & Cobrança e receba semanalmente por e-mail nosso Newsletter com os principais artigos, vagas, notícias do mercado, além de concorrer a prêmios mensais.