Fraudes em sistemas de pagamento online: sua informação pessoal  vale muito mais do que você acredita

Fraudes em sistemas de pagamento online: sua informação pessoal vale muito mais do que você acredita

"O roubo de identidade é um dos golpes mais antigos que existem, é o mais famoso conto do vigário versão 3.0", explica o especialista em segurança da informação Cristóbal del Pino. Os riscos em compras virtuais, a clonagem de cartões e os pontos negativos desse tipo de método de pagamento, é o que veremos nesta entrevista.

"Todo serviço gratuito é pago com suas informações pessoais e isso vale muito mais do que você acredita". Quem coloca esta frase como introdução para falar sobre a vulnerabilidade nos sistemas de pagamento na Internet é Cristóbal del Pino, especialista sênior em segurança da Mkit, uma empresa global renomada em serviços de segurança informática.

Procuramos por ele para conhecermos melhor o mundo no qual caminhamos, diariamente, dando o nosso "OK, entendido"; "Eu aceito"; "Eu confirmo"; "Eu li todas as condições", confiando nossa identidade, números de conta bancária ou dados pessoais, sem saber o que acontecerá com eles quando clicarmos nesses botões em conformidade com as letras minúsculas. Vamos encarar a realidade: quase ninguém lê esses termos.

"Ao usar novas aplicações, é importante ter isso em conta: os serviços que usamos terão o gerenciamento absoluto dos dados que fornecemos", observa Del Pino.

Para entender melhor o assunto, conversamos com o especialista que soube como esclarecer nossas dúvidas, uma a uma.

Que tipo de riscos uma pessoa está exposta quando fornece seus dados financeiros e/ou bancários ao fazer uma compra virtual?

O principal risco é a forma como eles manipulam e armazenam essas informações neste tipo de entidades ou plataformas. Como usuários, não temos conhecimento do que acontece atrás da página Web, tampouco a forma como as informações do cartão de crédito ou os dados bancários fornecidos são armazenados no banco de dados. Por outro lado, se o site não mantém sua política de segurança atualizada, pode acontecer de manter vulnerabilidades que ponham em perigo as informações do usuário.

O roubo de dados financeiros e/ou bancários existe em todas as áreas. Trata-se de um risco contemplado pelas instituições financeiras porque é um problema real. Pode acontecer que clonem seu cartão de crédito ou débito quando você vai pagar em um lugar físico. Ou também, como aconteceu, há algum tempo, com o aplicativo Todo Pago na Argentina, que permitiu criar uma conta e associá-la a um cartão de débito apenas validando o número do RG correspondente do proprietário do cartão. O erro é que, ao contrário de um cartão de crédito, quando você se registra, gera uma sobretaxa com um código de verificação, no cartão de débito, esta sobretaxa inicial não é feita. Desta forma, o atacante pode fazer extrações da conta da vítima.

Em geral, as plataformas de comércio eletrônico e/ou o sistema financeiro estão cientes das possíveis fraudes que podem afetar seus clientes?

Sim, eles são conscientes, pois consiste em uma ameaça constante. No entanto, os golpistas melhoram suas ferramentas e técnicas de ataque continuamente. Por esse motivo, se clonaram o seu cartão e você informá-lo ao banco, ele tem seus métodos de pesquisa e devolve o dinheiro, porque é algo que planejou dentro dos possíveis riscos. Isto também acontece no caso dos seus dados serem roubados através de um skimmer (um clone de cartão, que costuma ser colocado em caixas eletrônicos). É um risco latente que, normalmente, é coberto. No entanto, o prestígio de cada uma dessas empresas e a sua atenção estão em jogo, o recomendado e esperado é minimizar o número de fraudes feito aos seus clientes.

Que conselho você daria a uma loja ou loja online ao escolher qual método de pagamento usar para suas compras?

Eu não acredito que haja uma grande diferença entre os métodos de pagamento, tudo depende do que a loja ou a loja virtual quer para os seus clientes. O que eu sugiro é uma manipulação correta de informações. Aconselhe-se melhor sobre segurança de dados e tenha metodologias de verificação de identidade. Afinal, o roubo de identidade é um dos golpes mais antigos que existe, o famoso conto do vigário versão 3.0.

Por sua vez, que tipo de segurança deve ter uma empresa de sistemas de pagamento para não perder sua credibilidade?

Em minha opinião, ela tem de ter fortes políticas de segurança e ser certificada com os padrões ISO 27001 em conformidade. Além disso, deve fazer uma manipulação correta dos dados do usuário, como mencionado antes. É algo que nem sempre é mantido seguro, seja por falha do sistema, seja porque não é verificado corretamente. Por sua vez, ela deve ter uma equipe de segurança ou contratar empresas especializadas para manter seus sistemas atualizados o máximo possível.

Por outro lado, ela deve receber uma boa ajuda do usuário quando os golpes acontecem. Não é segurança da informação em si, mas é segurança para o cliente. Existem empresas, como o Mercado Pago, que têm o serviço de solicitação de dinheiro, cujo objetivo é enviá-lo entre os usuários como se fosse uma carteira eletrônica. O problema com isso é quando um vendedor usa essa opção para adicionar dinheiro na transação, uma vez que o valor é transferido, o usuário que o recebe pode extraí-lo no momento. Desta forma, cria-se uma possibilidade de fraude, em que um vendedor solicita dinheiro a um comprador e, uma vez recebido e extraído, o dinheiro desaparece.

O que podemos encontrar de mais avançado em termos de segurança informática e mercados de pagamento?

Em termos de mercados de pagamentos tradicionais, não vejo um avanço importante em termos de segurança, mas com a introdução do reconhecimento facial em telefones celulares e computadores, podemos ter uma mudança relevante.

Outro avanço importante é a introdução do bitcoin. Muitos vendedores optam pela criptomoeda graças ao crescimento que está tendo e pelo fato de que nenhuma comissão é cobrada pelo seu uso e pelo anonimato que oferece. Além da descentralização oferecida em relação às entidades financeiras.

Finalmente, existem espaços físicos onde as pessoas interessadas neste tipo de tópicos podem aprender mais e conhecer mais sobre a segurança da informação? Estou falando de encontros presenciais, não de fóruns ou de comunidades virtuais.

Sim, claro. É muito bom divulgar isso, já que todos acreditam que os especialistas em segurança da informação são apenas entidades virtuais. Ou associam a palavra hacker a uma figura anônima destinada a fazer ataques cibernéticos, quando, de fato, estamos fazendo o contrário. Eu poderia mencionar muitos espaços de reunião. Um deles, muito importante, será realizado em Buenos Aires é o Andsec 2018; enquanto na cidade de São Paulo recomendo a H2Hc e a Bsides. São excelentes oportunidades para os interessados nestes tipos de questões, que são as mais diversas como você pode imaginar. Em conferências como essas, você encontrará perspectivas defensivas e ofensivas em torno de hackers, nos quais esses tópicos são abordados a partir de perspectivas técnicas, mas também filosóficos e teóricos. São espaços abertos ao público, realmente interessantes.

Software de armazenamento de dados: Como aproveitar ao máximo o potencial de Redis?

Software de armazenamento de dados: Como aproveitar ao máximo o potencial de Redis?