2014/01/20

Supremo condena BPI em caso de phishing avançado


Hoje em dia os riscos para quem utiliza a internet para realizar operações bancárias são mais que muitos, com scammers e hackers a usarem todos os truques possíveis para se apoderarem dos dados pessoais dos utilizadores e conseguirem o acesso às contas. Agora, uma decisão do Supremo Tribunal poderá vir a dar algum descanso aos utilizadores... e causar enormes complicações aos bancos.

O Supremo condenou o BPI num caso de uma pequena empresa que viu 13 mil euros voarem da sua conta depois de ter sido alvo de pharming. Se a maioria das pessoas já está familiarizada com o termo "phishing" - os emails que se fazem passar por empresas legítimas e que tentam direccionar as pessoas para sites falsos com aspecto idêntico à do serviço original, e pedindo para que façam coisas como verificar os seus dados para efeitos de segurança, etc. - no caso deste pharming o que se passa é que o computador (ou router), por acção de malware ou outra vulnerabilidade, passa a redireccionar as visitas a um site legítimo para um site "aldabrado".

Ou seja, quando escrevem manualmente um endereço no vosso browser, isso não irá fazer com que visitem o site correcto - mas sim o site falsificado sob controlo dos atacantes, e onde os vossos dados serão captados, e que em muitos casos pode estar a servir de intermediário para o site real, servindo de "man-in-the middle", e permitindo que a pessoa faça as operações habituais sem se dar conta de algo anormal.

Só que depois, ao pensar que já saiu do site, os hackers continuarão a ter acesso e a poder fazer operações no mesmo - como aqui terá acontecido.


A decisão do Supremo não deixará de levantar polémica, uma vez que não se tratou de nenhuma vulnerabilidade no sistema de banca online, mas sim de uma falha que ocorreu no computador do cliente - mas os juízes entenderam que "os riscos da falha do sistema informático, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, pelo menos nos casos em que não se provou ter havido qualquer culpa por parte do cliente, como aqui".

É uma decisão que - mesmo não querendo fazer o papel de advogado do diabo - me faz interrogar se os juízes terão realmente noção do que se terá passado. Se os bancos passarem a ser responsabilizados pelas falhas dos seus utilizadores no acesso aos seus serviços... suspeito que muitos deles simplesmente optem por deixar de os fornecer. De certo modo, acabará por ser como se imputasse a responsabilidade de um furto ao fabricante da fechadura da porta, pelo legítimo dono ter permitido que um ladrão fizesse uma réplica da chave.

Por outro lado, será da forma que os bancos serão pressionados a encontrar formas mais seguras e que evitam este tipo de possibilidades: se bem que... não estou bem a ver como é que será possível evitarem algo deste tipo.

Sabendo que aqui estamos num ambiente com leitores mais tecnológicos e informados sobre estes temas: que vos parece? Será que o Supremo esteve bem ao condenar o BPI por um caso de "pharming" de um dos seus cliente?

22 comentários:

  1. Está (mais do que) na hora de acabar com as passwords. Os esforços tem sido tímidos mas já começa a haver indicações nesse sentido (google, apple, ...). Acho que enquanto não ocorrerem mais algumas destas situações mas a "ferir" os principais actores ($€$€$) a coisa não avança.

    ResponderEliminar
  2. Nesse caso específico creio que o banco foi injustiçado, pelas razões já citadas pelo Carlos, não houve falhas no sistema de segurança do banco e sim no sistema de segurança do utilizador. Em último caso deveria ser condenada a empresa que fornecia segurança ao computador do cliente (anti-vírus, anti-malware, etc.), pois foi esta que falhou ao permitir a intrusão. Caso o cliente não possuísse nenhuma protecção o culpado em última instância é o próprio.

    ResponderEliminar
  3. Na maior parte dos casos a responsabilidade deve ser repartida entre o utilizador e o sistema operativo que o permite... e o utilizador duplamente por estar a usar um sistema que está mais que comprovado ser reincidentemente problematico, e.. as entidades reguladoras por não facilitar a utilização de mais opções e alternativas ao sistema instalado de origem nos PC's.
    Ainda deve existir responsabilidade do banco por saber e não alertar o utilizador que está a aceder de um sistema que estatisticamente é o mais problematico.

    ResponderEliminar
  4. Sou "freguês" dos serviços bancários online do BPI e o que notei foi:

    - renovaram o cartão de coordenadas
    - a partir de determina importância (€ 400 ?) a operação só se faz introduzindo um código recebido por SMS (antes não havia código por SMS, só o código das coordenadas, que continua também a ser pedido)
    - a partir de certa importância (€5000) só por telefone, respondendo a perguntas de segurança, e não abrange todas as operações.
    - para certas operações/importâncias, só ao balcão.

    Qu'é q'eu posso dizer ?

    Primeiro, adivinhar. Além do utilizador e password, terão conseguido que a empresa, estupidamente, desse as coordenadas do cartão (daí o aviso que aparece agora - vd. imagem do post - "o BPI não pede mais do que uma coordenada" ?). Com os três elementos sacaram os €13.000 à empresa.

    Segundo, confiar nos juízes/tribunais. Chamar-lhes estúpidos, só porque sim, não me parece acertado. Quero crer que examinaram o sistema que o BPI tinha (na altura, e entretanto melhorou ?) e concluíram que não protegia suficientemente os clientes normais (da adivinha). E, por isso mandaram o banco restituir o dinheiro - a meu ver bem.

    É que não sei se estão a ver - desresponsabilizar o banco por não prever que entre a cadeira e o ecrã se senta uma pessoa normal e estúpida (como eu) que pode ser objecto de pharming/phishing, e sacarem-lhe €13000 é perigoso.




    ResponderEliminar
    Respostas
    1. Engraçado que a capa d' "O Púbico" diz que são 13000 contos (+/- € 65000) e que a empresa foi à falência:
      http://noticias.sapo.pt/banca/nacional/4090

      Na edição online, diz que são € 13000 e que a empresa apenas teve os incómodos que resultaram de ter passado para a lista negra do Banco de Portugal
      http://www.publico.pt/sociedade/noticia/supremo-condena-bpi-num-caso-em-que-empresa-foi-vitima-de-ataque-informatico-1620285

      Não são só os blogues que são pouco rigorosos na notícias :)

      Eliminar
  5. Sistema operativo? Se o ataque for feito ao nível do router o sistema operativo é completamente transparente a este facto.

    ResponderEliminar
  6. Na minha opinião os bancos têm o dever de zelar pelo nosso dinheiro, incluindo, controlar o seu acesso. Se o homebanking ainda não é suficientemente seguro, cabe ao bancos arranjarem alternativas. Nem todas as pessoas têm know-how tecnológico para saber se estão a sofrer algum ataque informático. Se bem que o homebanking seja muito cómodo para os clientes, permitiu também que os bancos tenham poupado milhões com o encerramento dos balcões e redução de pessoal nos mesmos.

    ResponderEliminar
  7. Os bancos portugueses deviam aplicar as mesmas medidas de segurança usadas nos bancos alemães, como é o exemplo do chipTAN (http://en.wikipedia.org/wiki/Transaction_authentication_number#ciTAN_or_ChipTAN) que obriga a utilização do próprio cartão MB e leitura óptica do dispositivo no ecrã do utilizador... não conheço nenhum banco alemão que use apenas uma matriz de códigos de segurança como medida segura!

    ResponderEliminar
    Respostas
    1. Exactamente!
      Se bem que muitos utilizadores queixam-se do leitor ser complicado de alinhar no monitor, mas sempre é melhor que ficar sem 13.000Eur...
      Comprei um na Conrad e não achei assim tão complicado.

      Eliminar
  8. Uma grande medida de segurança, e a confirmação da operação por SMS. Isso ajuda em muito a impossibilidade de transferir ou efectuar pagamentos involuntários.
    Desta feita, o banco acaba por ser responsavel por tal acontecimento. Em primeiro porque permitiu uma saída avultada de dinheiro da conta do cliente sem aviso, em segundo porque desta forma não asseguram a devida segurança dos clientes.
    Todos sabemos que a internet nunca é, nem será, segura. Mas é preciso adequar os serviços a realidade atual. Se os clientes não trem sequer conhecimentos mínimos de informática, os bancos devem adoptar medidas pra assegurar essa falta de conhecimento.

    ResponderEliminar
  9. Este comentário foi removido pelo autor.

    ResponderEliminar
  10. Muito simples, decisão estúpida, a CGD num caso exactamente igual ganhou. Ora se eu for para a rua fizer uma agência do BPI falso, vou culpar o BPI????

    ResponderEliminar
  11. Deves estar-te a referir a esta notícia
    http://www.acorianooriental.pt/noticia/caixa-ilibada-de-indemnizar-clientes-alvo-de-phishing

    Não foi publicado se no caso do BPI os ludibriados também deram os números que estão no cartão de coordenadas. Mas mesmo que, estupidamente, os tenham dado, era obrigação do banco instituir procedimentos de segurança que impedissem "palmadas" tão avultadas - €20000 na CGD e 13000 contos (ou €13000 ?) no caso do BPI. Por que é que o BPI, recentemente, exige a introdução de um código enviado por SMS para transferências acima de €400 (penso que seja este valor) e antes bastava o código do cartão de coordenadas ? Não ter intituído, ainda, esse procedimento de segurança não o torna co-responsável no roubo dos 13000 contos ?

    A sentença da CGD é do Tribunal da Relação de Guimarães e a do BPI do Supremo Tribunal de Justiça. Se os casos forem os mesmos, o que vale, em futuros julgamentos, é a sentença do STJ.

    P.S. Os bancos sabem que o phishing e similares existem e sabem que grande parte dos utilizadores podem ser enganados. Têm que conseguir prevenir, pelo menos, os roubos de montante elevado, ou então fecham o homebanking. Não tomam medidas, não lhes acontece nada, e os clientes é que ficam sem o dinheiro - é um incentivo a que continuem sem tomar medidas.

    ResponderEliminar
    Respostas
    1. Concordaria contigo se houvesse uma lei que obrigasse os leis a ter essas medidas de segurança, ou os construtores de automóveis eram responsáveis pelas mortes quando não eram obrigados a colocar cintos de segurança?

      Eliminar
    2. queria dizer "obrigasse os bancos a ter"

      Eliminar
    3. São responsáveis se instalarem cintos (sistemas) defeituosos. Tal como os bancos que usam apenas o cartão de coordenadas como sistema de segurança, sobretudo quando permitem fazer transferências avultadas.

      Eliminar
    4. Não, dar as coordenadas do cartão é como tirar cinto, a culpa foi do cliente nem tenho dúvidas, os bancos optaram e bem, exagerar na segurança devido ao erros dos clientes.

      Eliminar
    5. Ora se tu fosses ao balcão do banco e te pedissem para fotocopiar o cartão de coordenadas tu davas?

      Eliminar
    6. Eu não. Se fosse o meu pai provavelmente sim (e não vale a pena chamar-lhe estúpido).

      P.S. Faz parte de um certa mentalidade geek que os sistemas informáticos (e os gestores dos sistemas e os programadores) estão sempre certos e que o problema está entre a cadeira e o ecrã - no estúpido que lá se senta.

      Os sistemas informáticos, em especial tratando-se de dinheiro têm que ser seguros também para os mal informados. Neste caso em concreto, aceito perfeitamente que uma pessoa normal, que não tenha ouvido falar de pishing, pense que está perante a página da internet legítima do banco e se deixe enganar, indicando as coordenadas que estão no cartão. Cabe aos bancos prevenir essas situações, que vão permitir roubos por transferências bancárias, por exemplo:
      - envio de códigos por SMS, como passou a fazer o BPI a partir de €400
      - limitar o montante (numa operação ou em sucessivas operações) que pode ser transferido sem a intervenção do gestor de conta/operador

      O aperto ao BPI parece ter-lhe feito bem, porque a segurança melhorou, como escrevi no primeiro comentário acima.

      Eliminar
  12. Pelo que me parece, estes ataques de pharming são muito mais sofisticados do que os de phishing.
    Ora, com este tipo de ataque, uma pessoa, mesmo que minimamente esclarecida em termos informáticos, poderá cair nessa "armadilha".
    Assim, além de ter o antivirus actualizado, a firewall ligada, não seguir links suspeitos e escrever sempre a morada do Banco no browser (pelos vistos esta pode ser contornada através do pharming), gostaria de saber se existe algum cuidado extra que se deva ter para tentar evitar este tipo de situação extremamente desagradável????

    ResponderEliminar
  13. Pelo que me parece, estes ataques de pharming são muito mais sofisticados do que os de phishing.
    Ora, com este tipo de ataque, uma pessoa, mesmo que minimamente esclarecida em termos informáticos, poderá cair nessa "armadilha".
    Assim, além de ter o antivirus actualizado, a firewall ligada, não seguir links suspeitos e escrever sempre a morada do Banco no browser (pelos vistos esta pode ser contornada através do pharming), gostaria de saber se existe algum cuidado extra que se deva ter para tentar evitar este tipo de situação extremamente desagradável????

    ResponderEliminar
  14. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar