blog.dennyroger.com.br

By Jonathan Fildes
Technology reporter, BBC News

A German computer scientist has published details of the secret code used to protect the conversations of more than 4bn mobile phone users.

Karsten Nohl, working with other experts, has spent the past five months cracking the algorithm used to encrypt calls using GSM technology.

GSM is the most popular standard for mobile networks around the world.

The work could allow anyone - including criminals - to eavesdrop on private phone conversations.

Mr Nohl told the Chaos Communication Congress in Berlin that the work showed that GSM security was “inadequate”.

“We are trying to inform people about this widespread vulnerability,” he told BBC News.

“We hope to create some additional pressure and demand from customers for better encryption.”

The GSM Association (GSMA), which devised the algorithm and oversees development of the standard, said Mr Nohl’s work would be “highly illegal” in the UK and many other countries.

“This isn’t something that we take lightly at all,” a spokeswoman said.

Mr Nohl told the BBC that he had consulted with lawyers before publication and believed the work was “legal”.

‘Secret key’

Mr Nohl, working with a “few dozen” other people, claims to have published material that would crack the A5/1 algorithm, a 22-year-old code used by many carriers.

The code is designed to prevent phone calls from being intercepted by forcing mobile phones and base stations to rapidly change radio frequencies over a spectrum of 80 channels.

It is known to have a series of weaknesses with the first serious flaw exposed in 1994.

Mr Nohl, who describes himself as an “offensive security researcher”, announced his intention to crack the code at the Hacking at Random (HAR) conference in The Netherlands in August this year.

“Any cryptographic function is a one way street,” he told BBC News. “You should not be able to decrypt without the secret key”.

To get around this problem, Mr Nohl, working with other members of the encryption community, used networks of computers to crunch through “every possible combination” of inputs and outputs for the encryption code. Mr Nohl said there were “trillions” of possibilities.

All of the outputs are now detailed in a vast table, which can be used to determine the encryption key used to secure the conversation or text message.

“It’s like a telephone book - if someone tells you a name you can look up their number,” he said.

Using the codebook, a “beefy gaming computer and $3,000 worth of radio equipment” would allow anyone to decrypt signals from the billions of GSM users around the world, he said.

Signals could be decrypted in “real time” with $30,000 worth of equipment, Mr Nohl added.

‘Not practical’

It has previously been possible to decrypt GSM signals to listen in on conversations, but the equipment cost “hundreds of thousands of dollars,” experts said.

According to Ian Meakin, of mobile encryption firm Cellcrypt, only government agencies and “well funded” criminals had access to the necessary technology.

He described Mr Nohl’s work as a “massive worry”.

“It lowers the bar for people and organisations to crack GSM calls,” he told BBC News.

“It inadvertently puts these tools and techniques in the hands of criminals.”

However, the GSMA dismissed the worries, saying that “reports of an imminent GSM eavesdropping capability” were “common”.
It said that there had been “a number” of academic papers outlining how A5/1 could be compromised but “none to date have led to a practical attack”.

The association said that it had already outlined a proposal to upgrade A5/1 to a new standard known as A5/3 which was currently being “phased in”.

“All in all, we consider this research, which appears to be motivated in part by commercial considerations, to be a long way from being a practical attack on GSM,” the spokeswoman said.

Fonte: http://news.bbc.co.uk/2/hi/technology/8429233.stm

Sem comentários »

Neste ano foram computados mais de 84 mil denúncias sobre racismo, maus-tratos pedofilia e apologia a crimes contra a vida na rede mundial de computadores no País.

Leandro Dilon
Da reportagem local

Mais de 84 mil denúncias sobre racismo, pornografia infantil, maus-tratos contra animais, apologia a crimes contra a vida e outros delitos divulgados na Internet foram registrados em 2009 no País. Na região do Alto Tietê, os primeiros casos de crimes cibernéticos começam a aparecer. No dia 25 de novembro deste ano, a Polícia Federal prendeu no Parque Maria Helena, em Suzano, o técnico de informática C.J.F., de 48 anos, acusado de participar de uma quadrilha internacional de pedofilia.

“O criminoso está atuando cada vez mais na Internet porque o dinheiro está no computador. O Internet banking é um dos principais recursos utilizados para pagamento de contas e transferências, tanto por pessoas físicas como por empresas”, comentou o especialista em análise e gerenciamento de risco na Internet, Denny Roger.

O especialista informou que, como não existe uma lei específica para os crimes praticados via Internet, as pessoas só conseguem abrir processos sobre difamação, calúnia e injúria. “Por isso é muito importante seguir as etiquetas de bom uso destas ferramentas e evitar falar mal das pessoas ou realizar uma denúncia sem ter provas”.

Apesar dos perigos na Internet, a polícia tem aumentado suas investigações sobre os crimes cibernéticos. Segundo o site SaferNet, que trabalha na proteção aos direitos humanos na sociedade da informação, o número de denúncias tem aumentado a cada ano, o que facilita o trabalho da Polícia Federal, que investiga páginas e realiza as prisões com determinação da Justiça.
Para fazer uma denúncia, basta o internauta acessar o site www.safernet.org.br/site/denunciar.

Fonte: http://www.moginews.com.br/matpesquisa.aspx?idMat=51325

Sem comentários »

Especialistas afirmam que os bandidos estão migrando para o mundo cibernético porque é lá onde o dinheiro está atualmente

Não existe legislação específica sobre crimes na Internet, por isso usuários devem ter cuidado

Leandro Dilon
Da Redação

O mundo virtual pode ser tão perigoso quanto a vida real. Essa é a opinião dos especialistas em segurança na internet ouvidos pelo DAT sobre um dos temas mais discutidos atualmente: os crimes cibernéticos. Só em 2009 foram mais de 84 mil denúncias sobre crimes de racismo, pornografia infantil, maus tratos contra animais, apologia a crimes contra a vida, entre outros delitos, registrados em todo o Brasil.

Na região, os primeiros casos começam a surgir. “Todos os problemas do mundo real migraram para o mundo virtual. O criminoso está atuando cada vez mais na internet porque o dinheiro está no computador. Por exemplo, o internet banking é um dos principais recursos utilizados para pagamento de contas, transferências, tanto por pessoas físicas como pelas empresas”, comenta o especialista em análise e gerenciamento de risco na internet, Denny Roger. Segundo ele, como não existe uma lei específica para a internet, as pessoas conseguem abrir processos sobre difamação, calúnia, injúria.

Apesar dos perigos, a polícia tem aumentado suas investigações sobre os crimes cibernéticos. No dia 25 de novembro deste ano, a Polícia Federal foi até o Parque Maria Helena, em Suzano, prender o técnico de informática C.J.F., de 48 anos, acusado de participar de uma quadrilha internacional de pedofilia. De acordo com o Ministério Público, as investigações ocorriam há três meses e contaram com interceptação telemática (na qual é possível ter acesso ao tráfego de informações de um computador).

Outro caso, novamente envolvendo pornografia infantil, foi investigado pela Policia Civil em julho. Na época, a Delegacia de Repressão a Crimes Cometidos por Meios Eletrônicos da Deic investigou supostas ações de pedofilia nos arredores do Jardim Dona Benta, em Suzano. Eles estiveram na cidade e descobriram que fotos de cunho sexual, envolvendo crianças e adolescentes, partiam de um sistema clandestino de distribuição de sinal de internet.

Fonte: http://www.diariodoaltotiete.com.br/matpesquisa.aspx?idmat=26691&pchave=internet

Sem comentários »

Denny Roger sucede Fabio Leto Biolo no cargo de presidente da Abrasinfo (Associação Brasileira de Segurança da Informação). Biolo atuou desde a fundação da Abrasinfo e que agora assume o cargo de Secretário Executivo.

Roger é sócio-fundador da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), Membro do International Association of Emergency Managers (IAEM), responsável por mais de 100 projetos de segurança da informação e pesquisador ativo no campo, com publicações em diversos países.

Atuou como consultor sênior em segurança da informação, instrutor de cursos sobre firewall e design de rede segura. É palestrante internacional e constantemente colabora com o meio acadêmico.

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5717&sid=34

Sem comentários »

No ambiente corporativo, o acesso remoto seguro, que pode ser feito a qualquer hora e de qualquer lugar, por funcionários, clientes, parceiros e fornecedores, precisa de uma infraestrutura segura a partir de qualquer PC, desktop ou dispositivo móvel.

O que você pode fazer para garantir essa segurança no acesso remoto? Esse é o desafio das empresas, garantir uma rede sem fio segura, políticas e controle de acesso de rede.

O debate foi mediado por Graça Sermoud, jornalista e diretora editorial da revista Decision Report e contou com a presença de Denny Roger (diretor da EPSEC e presidente da Abrasinfo), Patricia Peck, Marlon Borba (TRF), Claudio Martins (CIO da GM), e executivos de TI, Segurança da Informação e Risco.

Confira o vídeo deste debate, acesse:
http://www.decisionreport.com.br/acesso_remoto

Equipe EPSEC
info@epsec.com.br

Sem comentários »

A Associação Brasileira de Segurança da Informação (Abrasinfo) anunciou nesta segunda-feira (21/12) a eleição de Denny Roger para o cargo de presidente. Roger era diretor técnico da Abrasinfo. Ele sucede Fabio Leto Biolo, que atuou desde a fundação da Abrasinfo e que agora assume o cargo de Secretário Executivo.

O executivo é sócio-fundador da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), Membro do International Association of Emergency Managers (IAEM), responsável por mais de 100 projetos de segurança da informação e pesquisador ativo no campo, com publicações em diversos países. Atuou como consultor sênior em segurança da informação, instrutor de cursos sobre firewall e design de rede segura. É palestrante internacional e constantemente colabora com o meio acadêmico.

Segundo Denny Roger, “A minha missão na Abrasinfo será implementar o Modelo de Maturidade de Segurança da Informação (MMSI) para avaliarmos o nível de maturidade do Sistema de Gestão da Segurança da Informação (SGSI) das empresas brasileiras”.

O MMSI, desenvolvido pela EPSEC, foi estruturado para efetuar uma ligação entre o planejamento estratégico da organização e seus processos de segurança da informação. O MMSI também identifica quais Melhores Práticas e Capacitações a organização possui e quais não possui. “Depois disso, conseguimos identificar quais devem ser implementadas para que as estratégias das organizações sejam atingidas.”, comenta o executivo.

A Abrasinfo irá publicar todos os anos, a partir de 2010, o estudo chamando de “Avaliação do Nível de Maturidade do SGSI”. O objetivo deste estudo é apresentar um perfil do mercado brasileiro no que diz respeito à Segurança da Informação. Os resultados do estudo serão segmentados em setores da economia (Petróleo, Telecomunicações, Energia, TI, Construção, entre outros), Estado e Região.

“Apesar da Abrasinfo conduzir este estudo inédito, mundialmente falando, também estaremos buscando alianças com associações internacionais que são semelhantes a Abrasinfo. Sendo assim, podemos trocar experiências com profissionais de outros países e comparar o nível de maturidade das empresas brasileiras com organizações de outros países.”, explica Roger.

Sobre a Abrasinfo

A Associação Brasileira de Segurança da Informação (ABRASINFO) é uma organização civil sem fins lucrativos que tem por objetivo a educação e capacitação da sociedade sobre a importância e a operacionalização dos sistemas de segurança da informação e da segurança digital no uso de meios de comunicação e informação.

A ABRASINFO desenvolve publicações e promove eventos educacionais, proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados.

Sem comentários »

Por Denny Roger

De acordo com um estudo realizado pelo Gartner, que ouviu 190 líderes de grandes organizações nos Estados Unidos e na Inglaterra, 43% dos executivos planejam aumentar o orçamento da área de Tecnologia da Informação em 2010.

É importante observarmos que na maioria das empresas a área de segurança da informação funciona “dentro” da área de Tecnologia da Informação. Conversando com alguns profissionais que vivem essa realidade, a principal discussão neste final de 2009 foi sobre quanto deste orçamento será disponibilizado para a área de segurança da informação.

Investimentos para segurança da informação

Os assuntos relacionados à segurança da informação trazem um nível superior de Governança Corporativa pós-crise. Isso ocorre porque houve uma evolução na adoção das Melhores Práticas durante a crise financeira global. Houve uma pressão maior por parte da alta administração para alinhar o Sistema de Gestão da Segurança da Informação ao planejamento estratégico da organização, objetivando a melhoria dos processos, redução de custos e o aumento da capacidade para assumir projetos de maior risco em 2010.

A gestão e controle de riscos ajudou a apontar mudanças em determinados processos, identificando e priorizando os investimentos necessários para que a organização possa assumir projetos mais complexos e de alto risco.

Durante o evento sobre a “Lei de Crimes Cibernéticos”, realizado no dia 14 de dezembro de 2009, onde fui um dos especialistas convidados para o debate, tive a oportunidade de conversar com gestores de grandes organizações de diferentes setores no Brasil. As novidades eram que a alta administração disponibilizou um orçamento proporcional as necessidades relacionadas a segurança. Ou seja, a área de segurança da informação está com um orçamento para 2010 superior aos anos anteriores.

Eu acredito que a pressão pela Melhoria Continua dos processos relacionados a segurança da informação ocorrem com mais freqüência nos períodos de crise. Quando tudo está indo bem, as discussões sobre o assunto diminuem na organização. Um dos comentários realizados durante o debate sobre a Lei de Crimes Cibernéticos, por um executivo da área de segurança, foi que “algumas empresas aprendem pela dor e outras pelo amor”.

A recente crise financeira global colocou a prova as competências das equipes de segurança da informação. Ocorreu a famosa “dança das cadeiras” em algumas organizações. Porém, as demissões que tive conhecimento não estavam relacionadas às dificuldades financeiras da organização. O problema detectado pela alta administração estava relacionado às competências técnicas e comportamentais de alguns profissionais. Essas competências foram colocadas a prova exatamente quando a empresa começou a aprender pela “dor”. A alta administração cobrou resultados da área de segurança da informação e a resposta de alguns profissionais não atendeu as expectativas dos executivos. Estou falando de ações isoladas de alguns profissionais (esforço individual), planejamento e controle deficiente, procedimentos não padronizados, nível de conhecimento não uniforme entre os principais envolvidos com os processos de segurança da informação, existência de conflitos internos e o pior de tudo foi o não alinhamento com os negócios da empresa.

Controles internos

Aproveitando a SETEC09, realizada em Angola entre os dias 04 à 06/12/2009, onde fui um dos palestrantes, pude observar alguns comentários sobre os relatórios de auditorias externas. A boa notícia é que as organizações apresentaram melhorias relevantes nos controles internos.

Conversando com executivos no Brasil, os indicadores relacionados aos controles internos também foram positivos em 2009.

Eu acredito que estas melhorias foram originadas pela necessidade dos processos de segurança da informação estarem alinhados ao planejamento estratégico. A crise pode ter sido positiva em alguns aspectos. O pós-crise, com um aumento do orçamento para segurança da informação, irá provar em um curto espaço de tempo que a Governança da Segurança da Informação está ganhando cada vez mais espaço nas organizações.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Sem comentários »

O Deputado Federal, Julio Semeghini (PSDB-SP), estima que a Lei de Crimes Digitais seja aprovada no primeiro semestre de 2010, depois de o texto que está na Câmara dos Deputados sofrer alguns ajustes. “Hoje, do jeito que o Projeto de Lei está é impossível aprová-lo”, reforça Semeghini, em debate transmitido pela TV Decision sobre “Crimes Digitais – Aprovação da Lei”. O programa de debates Decision Report Meeting reuniu políticos, especialistas, usuários e fornecedores no estúdio da Conteúdo Editorial e mais de 1.500 participantes pela internet.

Há 10 anos o Brasil tenta aprovar uma Lei sobre Crimes Cibernéticos. O Projeto de Lei nº 89 de 2003, que recebeu a denominação de “Projeto Azeredo”, foi aprovado pelo Senado Federal e está em tramitação na Câmara sob análise da Comissão de Ciência e Tecnologia. Por isso, qualquer alteração no texto, realizadas pelos relatores da casa, também refletem no Senado, uma vez que os senadores já o aprovaram. A ideia é realizar ajustes para acelerar a aprovação, principalmente em pontos considerados polêmicos tanto do ponto de vista técnico quanto jurídico.

“Não acredito que nos próximos quatro ou cinco meses um novo PL seja apresentado em 2010 porque é um ano de eleições. De novo, passaremos 2010 e vamos para 2011 sem ter uma legislação que iniba o crime digital, fortalecendo as quadrilhas de criminosos”, opina Sérgio Ricupero, CSO da Editora Abril.

O principal motivo da não aprovação do PL é que há diversos pontos polêmicos na interpretação do texto e, ainda, discussões entre técnicos e o legislativo em questões que tratam, por exemplo, do acesso indevido e sobre a responsabilidade pela disseminação de códigos maliciosos na internet. Semeghini concorda. E, por isso, o PL deve esclarecer as principais questões polêmicas. “Primeiro, sobre a tipificação do crime. Isso abrange o acesso não autorizado e a inserção de código malicioso. Esses dois pontos são fundamentais para combater o crime na sua origem”.

Ainda segundo o Deputado, precisamos avançar em outras esferas, em leis que permitam os acordos internacionais ou convenções que o Brasil deveria participar como o caso do Acordo de Budapeste. Hoje, grande parte dos criminosos está no Brasil, mas usa a rede em outros territórios. “Ou aguardemos até que a ONU discuta isso sem que o assunto fique restrito às convenções internacionais”.

Semeghini ressalta dois outros pontos: a territoriedade dentro do Brasil, ou seja, agilizar, criar integração, permitir ação conjunta entre as polícias. E, por último, o provedor de acesso, um dos atores mais sensíveis no PL, gerador de uma ampla discussão no mercado.

“Veja, não estamos falando de conteúdo, mas de identificar o horário do tráfego de acesso, dia em que a informação foi trocada entre ambas as partes. Mais da metade dessas informações não são armazenadas pelos provedores. Aqueles que as guardam entregam em baixa qualidade quando solicitadas pela polícia. Por isso, precisa haver uma regulamentação, uma legislação coesa. Portanto, não é uma questão de invasão de privacidade. A informação só será aberta caso haja ordem judicial”, completa Semeghini.

Cristine Hoepers, gerente geral do CERT.br, critica: “é preciso evitar a aprovação de uma lei que, no futuro, crie opções de defesa por parte do criminoso. Precisa ficar claro de quem é a culpa, do usuário ou da empresa? Quem dissemina e quem autoriza o acesso e/ou a disseminação de malwares? E a privacidade? Qual o papel do provedor de acesso? Na linguagem técnica, o texto do PL não é claro quando se refere ao tráfego. Esse termo, na linguagem técnica, significa conteúdo. Então, o provedor terá que guardar o conteúdo de seus usuários? E terá que abrir essas informações sob ordem judicial? Não seria invasão de privacidade?”. De acordo com Semeghini, essas dúvidas podem ser melhor esclarecidas por meio do acompanhamento da evolução do PL.

Normas técnicas globais

Diante de um cenário de avanços tecnológicos tanto para o bem quanto para o aumento de crimes digitais, há uma urgência de criar mecanismos que inibam o cybercrime. Tanto que, segundo Denny Roger, diretor técnico da Abrasinfo (Associação Brasileira de Segurança da Informação), a ABNT criou um comitê para constituir normativas, dentro do padrão ISO, para haver uma norma internacional de segurança. “Esse Comitê de Estudos Especiais já realizou uma primeira reunião nos Estados Unidos e até o primeiro trimestre de 2010 haverá outro encontro no País. O objetivo é criar esse padrão internacional para fazer a troca de informações entre os profissionais forenses de outros países”, comenta.

A padronização e normas para condutas entre os países sobre a territorialidade é hoje uma questão que trará um novo modelo de relações internacionais. “Temos hoje uma diretiva europeia que protege a privacidade e confidencialidade. O Brasil não pode receber informações da União Européia, por exemplo”, ilustra o advogado especialista em crimes digitais, Renato Opice Blum.

“Toda a lei se torna polêmica, como a Lei de Propriedade Intelectual. Sempre haverá dúvidas. Portanto, não vejo que devemos nos preocupar tanto com os detalhes do texto e a sua interpretação técnica e/ou legal. Se isso acontecer, não teremos uma legislação”, acrescenta Ronaldo Atílio Rigon, assessor de Auditoria da PROCERGS.

Compasso de espera

Enquanto não há uma normativa nem lei, as organizações reagem conforme as suas políticas internas para proteger as suas informações. “A não existência de uma legislação gera incertezas e muita polêmica. Nesse mundo cybernético, um tanto vulnerável, sem fronteiras, em que as pessoas atuam como anônimas, fica mais fácil para o criminoso praticar atos sem que a justiça o encontre. Por isso, a lei não deve ser punitiva, mas escrita para desestimular o crime. Não basta ter uma punição, mas meios da autoridade policial investigar e montar um processo”, declara César Augusto Faustino, gerente de Prevenção a Fraudes do banco Itaú-Unibanco.

Com uma participação remota durante o debate, o delegado José Mariano de Araújo Filho, da Polícia Civil do Estado de São Paulo, professor da Academia da Polícia Civil de São Paulo e especialista na investigação de Crimes por Meios Eletrônicos, estava na Argentina e criticou o modelo atual de investigação de crimes digitais.

“A morosidade na aprovação da Lei impacta num retrocesso para o País. A questão discutida é aperfeiçoamento daquilo que já existe e não refazer um novo projeto de lei. Isso gera um acúmulo de casos e os recursos da polícia têm se mostrado insuficientes. Não temos tido condições de avançar e o Estado tem se mostrado, até certo ponto, desinteressado, o que causa a sensação na sociedade que estamos à deriva. Para se ter uma idéia, as informações chegam com 90 a 120 dias em nossas mãos. O crime eletrônico não é somente volátil, mas tem uma característica peculiar e cada um dos envolvidos troca de experiência com muita agilidade. Os órgãos não mostram capacidade de que as informações circulem pelos órgãos de segurança”, diz Mariano.

Nesse sentido, Ricupero também questiona não só a morosidade da lei, mas a maturidade das organizações. “Até que ponto a área de Segurança da Informação está bem posicionada? Somente do ponto de vista de infra-estrutura tecnológica ou é considerada estratégica, como deveria ser? Normalmente, as empresas estão sendo reativas em 80% dos casos”.

De quem é a culpa?

E o crime vai além de classe social. Mas é um jogo de interesses. A falta de uma legislação permite que altos executivos pratiquem o roubo de informações que geram diversos prejuízos para as organizações. E como puni-los? “Alguém que divulga a informação da fórmula de um medicamento, ela vai responder pela Lei de Propriedade Industrial. No máximo, prestará serviço social. O mesmo ocorre quando alguém envia um código malicioso, ocasionando a paralisação nos sistemas de missão crítica. A pena não passaria de seis meses. Posso destruir a vida de sistemas financeiros e a penalização é pequena comparada com o rombo”, observa o doutor Renato Opice Blum.

Opice Blum esclarece que hoje há mais de 200 Projetos de Lei sobre crimes de internet. A maior parte deles altera ou acrescenta artigos no código penal e quem possui mais de 350 artigos na parte geral (o que é dolo e o que é culpa). “Qualquer análise precisa ser realizada em conjunto com o código penal. Porém, como existem questões técnicas envolvendo sistemas, precisamos conjugar os dois profissionais”.

A questão jurídica começa quando é preciso ter clareza entre o que é dolo e o que é culpa. Dolo é quando a pessoa pratica um ato de forma voluntária e proposital. No caso da culpa, o fato ocorreu e não necessariamente do fato deliberado da pessoa, ela foi displicente. A regra é a punição pelo dolo, as exceções são pela culpa e quando ocorre é uma pena reduzida.

“Mas se alguém invade ou usa meu sistema? Num primeiro momento não tenho responsabilidade nenhuma, mas como saberei quem fez (uma perícia técnica é necessária) e o efeito culpa teria reflexo no nosso código penal, mas temos só a conduta dolosa. Por isso, legalmente é preciso analisar a situação como um todo”, explica Opice Blum quando lembra que a legislação não é uma ciência exata porque o juiz é quem formará a acusação.

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5687&sid=42

Sem comentários »

Dois e-mails que circulam na internet fazem ofertas falsas para roubar informações pessoais de clientes das companhias aéreas TAM e Gol.

E-mails falsos em nome das companhias aéreas TAM e Gol estão circulando na internet com o objetivo de aplicar golpes online e roubar informações de contas bancárias de clientes.

No caso da TAM, o golpe se aproveita do banco de dados do programa de fidelidade da empresa para obter o cartão e do nome do cliente, alerta o consultor de segurança, Denny Roger, da empresa EPSEC.

A partir daí, um e-mail é enviado com essas informações e oferece um bônus de fidelidade para o cliente, pedindo para clicar em um link que um arquivo mal intencionado.

Com o nome de “Detalhes Plano TAM.doc.exe”, o arquivo se disfarça como um documento de texto do Microsoft Word e baixa outros softwares que roubam informações da vítima. “O código malicioso foi testado em 40 diferentes programas de antivírus e apenas 14 deles detectaram a ameaça”, informa Roger.

Em um comunicado no site da TAM, a companhia informa que o e-mail fraudulento usa o domínio www.tamviagensweb.com.br, que não pertence à TAM. “A companhia orienta a não acessar qualquer link apresentado e a apagar a mensagem imediatamente”, afirma a empresa.

“A TAM esclarece que nunca envia a seus clientes e-mails dessa natureza, não utiliza o remetente contato@tam.com.br, bonusfidelidade@tam.com.br ou tamfidelidade@tam.com.br e pede que os usuários fiquem atentos às propriedades de quem enviou a mensagem”, comunica a companhia.

Em seu alerta, a TAM não esclarece como as informações do banco de dados de seu programa de fidelidade foram usadas para o envio dos e-mails falsos.

Promoção falsa da Gol
Outro tipo de golpe por e-mail traz uma oferta falsa da Gol: “a promoção VoeGol a 39 reais está de volta, compre passagens de ida ou volta para todo Brasil à somente 39 reais”.

A mensagem pede ao usuário que acesse o site da empresa e oferece o endereço original, mas, ao clicar, o arquivo “Voegol.com.exe” é baixado e instala um software ilícito no computador da vítima.

Especialistas de segurança recomendam que esse tipo de mensagem seja apagada imediatamente, sem nem mesmo exibir o conteúdo.

Fonte: http://idgnow.uol.com.br/seguranca/2009/12/15/e-mails-falsos-usam-promocoes-de-companhias-aereas-para-aplicar-golpes/

Sem comentários »

O debate sobre a Lei de Crimes Cibernéticos, que foi transmitido ao vivo por meio da TV Decision no dia 14/12, com a participação de mais de 1.600 internautas, teve como objetivo discutir a demora na aprovação da Lei.

Participaram deste debate o diretor da EPSEC e da Associação Brasileira de Segurança da Informação, Denny Roger, a Cristine Hoepers, gerente geral do CERT.br, o Deputado Federal Julio Semeghini, e o presidente do Conselho de TI da Fecomercio e advogado especializado em direto eletrônico, Renato Opiceblum; entre outros executivos especialmente convidados para este evento.

Confira algumas fotos do debate. Em breve estaremos divulgando os vídeos sobre o evento “Crimes Digitais III”.

Sem comentários »