Política de Segurança

A Cartilha de Segurança para Internet contém recomendações e dicas sobre como o usuário deve se comportar para aumentar a sua segurança e se proteger de ameaças na Internet. Além disso, apresenta o significado de diversos termos e conceitos utilizados na Internet e fornece uma série de procedimentos que visam melhorar a segurança de um computador.

Conceitos de Segurança

Esta parte da Cartilha apresenta conceitos de segurança de computadores, onde são abordados temas relacionados às senhas, engenharia social, malware , vulnerabilidade, ataques de negação de serviço, criptografia e certificados digitais. Os conceitos aqui apresentados são importantes para o entendimento de partes subsequentes desta Cartilha.

Cookies

Cookies são pequenas informações que os sites visitados por você podem armazenar em seu browser. Estes são utilizados pelos sites de diversas formas, tais como:

  • guardar a sua identificação e senha quando você vai de uma página para outra;
  • manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico;
  • personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas;
  • manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links.

Certificado Digital

O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card. Exemplos semelhantes a um certificado digital são o CNPJ, RG, CPF e carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de informações que identificam a instituição ou pessoa e a autoridade (para estes exemplos, órgãos públicos) que garante sua validade. Algumas das principais informações encontradas em um certificado digital são:

  • Dados que identificam o dono (nome, número de identificação, estado, etc);
  • Nome da Autoridade Certificadora (AC) que emitiu o certificado;
  • O número de série e o período de validade do certificado;
  • A assinatura digital da AC.

O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas.

O que é Autoridade Certificadora (AC)?

Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, instituição, etc. Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de "Cartório Eletrônico".

Que exemplos podem ser citados sobre o uso de certificados?

Alguns exemplos típicos do uso de certificados digitais são:

  • quando você acessa um site com conexão segura, como por exemplo o acesso a sua conta bancária pela Internet, é possível checar se o site apresentado é realmente da instituição que diz ser, através da verificação de seu certificado digital;
  • quando você consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes de fornecer informações sobre a conta;
  • quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado para assinar "digitalmente" a mensagem, de modo a assegurar ao destinatário que o e-mail é seu e que não foi adulterado entre o envio e o recebimento.

Riscos Envolvidos no Uso da Internet e Métodos de Prevenção

Esta parte da Cartilha aborda diversos riscos envolvidos no uso da Internet e seus métodos de prevenção. São discutidos os programas que possibilitam aumentar a segurança de um computador, como antivírus e firewalls , e apresentados riscos e medidas preventivas no uso de programas leitores de e-mails , browsers , programas de troca de mensagens, de distribuição de arquivos e recursos de compartilhamento de arquivos. Também é discutida a importância da realização de cópias de segurança.

Programas Leitores de E-mails

Quais são os riscos associados ao uso de um programa leitor de e-mails?

Grande parte dos problemas de segurança envolvendo e-mails estão relacionados aos conteúdos das mensagens, que normalmente abusam das técnicas de engenharia social (vide partes I: Conceitos de Segurança e IV: Fraudes na Internet) ou de características de determinados programas leitores de e-mails, que permitem abrir arquivos ou executar programas anexados às mensagens automaticamente.

É possível configurar um programa leitor de e-mails de forma mais segura?

Sim. Algumas dicas de configuração para melhorar a segurança do seu programa leitor de e-mails são:

  • Desligar as opções que permitem abrir ou executar automaticamente arquivos ou programas anexados às mensagens;
  • Desligar as opções de execução de JavaScript e de programas Java;
  • Desligar, se possível, o modo de visualização de e-mails no formato HTML.

Estas configurações podem evitar que o seu programa leitor de e-mails propague automaticamente vírus e cavalos de tróia, entre outros. Existem programas leitores de e-mails que não implementam tais funções e, portanto, não possuem estas opções.

É importante ressaltar que se o usuário seguir as recomendações dos itens 1 e 2, mas ainda assim abrir os arquivos ou executar manualmente os programas que vêm anexados aos e-mails , poderá ter algum problema que resulte na violação da segurança do seu computador.

Que medidas preventivas devo adotar no uso dos programas leitores de e-mails?

Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails são:

  • Manter sempre a versão mais atualizada do seu programa leitor de e-mails;
  • Não clicar em links que, por ventura, possam aparecer no conteúdo do e-mail. - Se você realmente quiser acessar a página do link , digite o endereço diretamente no seu browser;
  • Evitar abrir arquivos ou executar programas anexados aos e-mails, sem antes verificá-los com um antivírus;
  • Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas. O endereço do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vírus ou um cavalo de tróia;
  • Fazer o download de programas diretamente do site do fabricante;
  • Evitar utilizar o seu programa leitor de e-mails como um browser , desligando o modo de visualização de e-mails no formato HTML.

Atualmente, usuários da Internet têm sido bombardeados com e-mails indesejáveis e, principalmente, com mensagens fraudulentas cuja finalidade é a obtenção de vantagens financeiras. Alguns exemplos são:

  • Mensagens oferecendo grandes quantias em dinheiro, mediante uma transferência eletrônica de fundos;
  • Mensagens com ofertas de produtos com preços muito abaixo dos preços praticados pelo mercado;
  • Mensagens que procuram induzir o usuário a acessar uma determinada página na Internet ou a instalar um programa, abrir um álbum de fotos, ver cartões virtuais, etc, mas cujo verdadeiro intuito é fazer com que o usuário forneça dados pessoais e sensíveis, como contas bancárias, senhas e números de cartões de crédito.

Browsers

Quais são os riscos associados ao uso de um browser?

Existem diversos riscos envolvidos na utilização de um browser. Dentre eles, podem-se citar:

  • Execução de JavaScript ou de programas Java hostis;
  • Execução de programas ou controles ActiveX hostis;
  • Obtenção e execução de programas hostis em sites não confiáveis ou falsos;
  • Acesso a sites falsos, se fazendo passar por instituições bancárias ou de comércio eletrônico;
  • Realização de transações comerciais ou bancárias via Web , sem qualquer mecanismo de segurança.

Nos dois primeiros casos o browser executa os programas automaticamente, ou seja, sem a interferência do usuário.

Quais os riscos associados à execução de JavaScripts e de programas Java?

Normalmente os browsers contêm módulos específicos para processar programas Java. Apesar destes módulos fornecerem mecanismos de segurança, podem conter falhas de implementação e, neste caso, permitir que um programa Java hostil cause alguma violação de segurança em um computador.

JavaScripts, entre outros scripts Web disponíveis, são muito utilizados atualmente para incorporar maior funcionalidade e melhorar a aparência de páginas Web. Apesar de nem sempre apresentarem riscos, vêm sendo utilizados por atacantes para causar violações de segurança em computadores. Um tipo de ataque envolvendo JavaScript consiste em redirecionar usuários de um site legítimo para um site falso, para que o usuário instale programas maliciosos ou forneça informações pessoais.

Quais são os riscos associados à execução de programas ActiveX?

Antes de receber um programa ActiveX, o seu browser verifica sua procedência através de um esquema de certificados digitais. Se você optar por aceitar o certificado, o programa é executado em seu computador.

Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela Internet, até instalar programa sem seu computador.

Quais são os riscos associados ao uso de cookies?

Muitos sites utilizam cookies para obter informações, como por exemplo, as preferências de um usuário. Estas informações, muitas vezes, são compartilhadas entre diversas entidades na Internet e podem afetar a privacidade do usuário.

Antivírus

Os antivírus são programas que procuram detectar e, então, anular ou remover os vírus de computador. Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns procuram detectar e remover cavalos de tróia e outros tipos de código malicioso, barrar programas hostis e verificar e-mails.

Que funcionalidades um bom antivírus deve possuir?

Um bom antivírus deve:

  • Identificar e eliminar a maior quantidade possível de vírus e outros tipos de malware;
  • Analisar os arquivos que estão sendo obtidos pela Internet;
  • Verificar continuamente os discos rígidos (HDs), flexíveis (disquetes) e unidades removíveis, como CDs, DVDs e pen drives , de forma transparente ao usuário;
  • Procurar vírus, cavalos de tróia e outros tipos de malware em arquivos anexados aos e-mails;
  • Criar, sempre que possível, uma mídia de verificação (disquete ou CD de boot ) que possa ser utilizado caso um vírus desative o antivírus que está instalado no computador;
  • Atualizar as assinaturas de vírus e malwares conhecidos, pela rede, de preferência diariamente.

Alguns antivírus, além das funcionalidades acima, permitem verificar e-mails enviados, podendo detectar e barrar a propagação por e-mail de vírus, worms , e outros tipos de malware.

Como faço bom uso do meu antivírus?

As dicas para o bom uso do antivírus são simples:

  • Mantenha o antivírus e suas assinaturas sempre atualizados;
  • Configure-o para verificar automaticamente arquivos anexados aos e-mails e arquivos obtidos pela Internet;
  • Configure-o para verificar automaticamente mídias removíveis (CDs, DVDs, pen drives, disquetes, discos para Zip, etc);
  • Configure-o para verificar todo e qualquer formato de arquivo (qualquer tipo de extensão de arquivo);
  • Se for possível, crie o disquete de verificação e utilize-o esporadicamente, ou quando seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rígido fora de hora, etc);

Algumas versões de antivírus são gratuitas para uso pessoal e podem ser obtidas pela Internet. Mas antes de obter um antivírus pela Internet, verifique sua procedência e certifique-se que o fabricante é confiável.

O que um antivírus não pode fazer?

Um antivírus não é capaz de impedir que um atacante tente explorar alguma vulnerabilidade existente em um computador. Também não é capaz de evitar o acesso não autorizado a um backdoor instalado em um computador.

Existem também outros mecanismos de defesa, conhecidos como firewalls, que podem prevenir contra tais ameaças;

Programas de Troca de Mensagens

Quais são os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC?

Os maiores riscos associados ao uso destes programas estão no conteúdo dos próprios diálogos. Alguém pode utilizar técnicas de engenharia social para obter informações dos usuários destes programas.

Você pode ser persuadido a fornecer em uma conversa "amigável" seu e-mail, telefone, endereço, senhas, número do seu cartão de crédito, etc. As consequências podem ser desde o recebimento de mensagens com conteúdo falso/alarmante ou mensagens não solicitadas contendo propagandas, até a utilização da conta no seu provedor para realizar atividades ilícitas ou a utilização de seu número de cartão de crédito para fazer compras em seu nome.

Além disso, estes programas podem fornecer o seu endereço na Internet. Pode-se usar esta informação para, por exemplo, tentar explorar uma possível vulnerabilidade em seu computador.

Existem problemas de segurança específicos nos programas de troca instantânea de mensagens?

Programas, tais como o ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN Messenger, Google Talk, por se comunicarem constantemente com um servidor (senão não teriam como saber quem está no ar), ficam mais expostos e sujeitos a ataques, caso possuam alguma vulnerabilidade.

Que medidas preventivas devo adotar no uso de programas de troca de mensagens?

Algumas medidas preventivas para o uso de programas de troca de mensagens são:

  • Manter seu programa de troca de mensagens sempre atualizado, para evitar que possua alguma vulnerabilidade;
  • Não aceitar arquivos de pessoas desconhecidas, principalmente programas de computadores;
  • Utilizar um bom antivírus, sempre atualizado, para verificar todo e qualquer arquivo ou software obtido através do programa de troca de mensagens, mesmo que venha de pessoas conhecidas;
  • Evitar fornecer muita informação, principalmente a pessoas que você acabou de conhecer;
  • Não fornecer, em hipótese alguma, informações sensíveis, tais como senhas ou números de cartões de crédito;
  • Configurar o programa para ocultar o seu endereço IP.

Programas de Distribuição de Arquivos

Quais são os riscos associados ao uso de programas de distribuição de arquivos?

Existem diversos riscos envolvidos na utilização de programas de distribuição de arquivos, tais como o Kazaa, Morpheus, Edonkey, Gnutella e BitTorrent. Dentre estes riscos, podem-se citar:

  • Acesso não autorizado: o programa de distribuição de arquivos pode permitir o acesso não autorizado ao seu computador, caso esteja mal configurado ou possua alguma vulnerabilidade;
  • Softwares ou arquivos maliciosos: os softwares ou arquivos distribuídos podem ter finalidades maliciosas. Podem, por exemplo, conter vírus, ser um bot ou cavalo de tróia, ou instalar backdoors em um computador;
  • Violação de direitos autorais (Copyright): a distribuição não autorizada de arquivos de música, filmes, textos ou programas protegidos pela lei de direitos autorais constitui a violação desta lei.

Que medidas preventivas devo adotar no uso de programas de distribuição de arquivos?

Algumas medidas preventivas para o uso de programas de distribuição de arquivos são:

  • Manter seu programa de distribuição de arquivos sempre atualizado e bem configurado;
  • Ter um bom antivírus instalado em seu computador, mantê-lo atualizado e utilizá-lo para verificar qualquer arquivo obtido, pois eles podem conter vírus, cavalos de tróia, entre outros tipos de malware;
  • Certificar-se que os arquivos obtidos ou distribuídos são livres , ou seja, não violam as leis de direitos autorais.

Compartilhamento de Recursos do Windows

Quais são os riscos associados ao uso do compartilhamento de recursos?

Um recurso compartilhado aparece no Explorer do Windows como uma "mãozinha" segurando a parte de baixo do ícone (pasta, impressora ou disco), como mostra a figura.

Compartilhamento Windows

Figura 1: Exemplos de ícones para recursos compartilhados.

Alguns dos riscos envolvidos na utilização de recursos compartilhados por terceiros são:

  • Abrir arquivos ou executar programas que contenham vírus;
  • Executar programas que sejam cavalos de tróia ou outros tipos de malware.

Já alguns dos riscos envolvidos em compartilhar recursos do seu computador são:

  • Permitir o acesso não autorizado a recursos ou informações sensíveis;
  • Permitir que um atacante possa utilizar tais recursos, sem quaisquer restrições, para fins maliciosos. Isto pode ocorrer se não forem definidas senhas para os compartilhamentos.

Que medidas preventivas devo adotar no uso do compartilhamento de recursos?

Algumas medidas preventivas para o uso do compartilhamento de recursos do Windows são:

  • Ter um bom antivírus instalado em seu computador, mantê-lo atualizado e utilizá-lo para verificar qualquer arquivo ou programa compartilhado, pois eles podem conter vírus ou cavalos de tróia, entre outros tipos de malware;
  • Estabelecer senhas para os compartilhamentos, caso seja estritamente necessário compartilhar recursos do seu computador. Procure elaborar senhas fáceis de lembrar e difíceis de serem descobertas.

É importante ressaltar que você deve sempre utilizar senhas para os recursos que deseje compartilhar, principalmente os que estão habilitados para leitura e escrita. E, quando possível, não compartilhe recursos ou não deixe-os compartilhados por muito tempo.

Privacidade

Esta parte da Cartilha discute questões relacionadas à privacidade do usuário ao utilizar a Internet. São abordados temas relacionados à privacidade dos e-mails, à privacidade no acesso e disponibilização de páginas Web, bem como alguns cuidados que o usuário deve ter com seus dados pessoais e ao armazenar dados em um disco rígido.

Privacidade dos E-mails

O serviço de e-mails foi projetado para ter como uma de suas principais características a simplicidade. O problema deste serviço é que foi comparado com o correio convencional, dando a falsa idéia de que os e-mails são cartas fechadas. Mas eles são, na verdade, como cartões postais, cujo conteúdo pode ser lido por quem tiver acesso a eles.

É possível alguém ler e-mails de outro usuário?

As mensagens que chegam à caixa postal do usuário ficam normalmente armazenadas em um arquivo no servidor de e-mails do provedor, até o usuário se conectar na Internet e obter os e-mails através do seu programa leitor de e-mails. Portanto, enquanto os e-mails estiverem no servidor, poderão ser lidos por pessoas que tenham acesso a este servidor. E enquanto estiverem em trânsito, existe a possibilidade de serem lidos por alguma pessoa conectada à Internet.

Como é possível assegurar a privacidade dos e-mails?

Se a informação que se deseja enviar por e-mail for confidencial, a solução é utilizar programas que permitam criptografar o e-mail através de chaves (senhas ou frases), de modo que ele possa ser lido apenas por quem possuir a chave certa para decodificar a mensagem.

Alguns softwares de criptografia podem estar embutidos nos programas leitores de e-mails , outros podem ser adquiridos separadamente e integrados aos programas leitores de e-mails.

Devem ser usados, preferencialmente, programas de criptografia que trabalhem com pares de chaves, como o GnuPG, que pode ser obtido no site http://www.gnupg.org/.

Estes programas, apesar de serem muito utilizados na criptografia de mensagens de e-mail , também podem ser utilizados na criptografia de qualquer tipo de informação, como por exemplo, um arquivo sigiloso a ser armazenado em uma cópia de segurança.

A utilização de programas de criptografia é suficiente para assegurar a privacidade dos e-mails?

Os programas de criptografia são utilizados, dentre outras finalidades, para decodificar mensagens criptografadas, recebidas por um usuário, no momento em que este desejar lê-las.

Ao utilizar um programa de criptografia para decodificar uma mensagem, é possível que o programa leitor de e-mails permita salvar a mensagem no formato decodificado, ou seja, em texto claro. No caso da utilização de programas leitores de e-mails com esta característica, a privacidade do conteúdo da mensagem é garantida durante a transmissão da mensagem, mas não necessariamente no seu armazenamento.

Portanto, é extremamente importante o usuário estar atento para este fato, e também certificar-se sobre o modo como suas mensagens estão sendo armazenadas. Como uma mensagem pode ser decodificada sempre que o usuário desejar lê-la, é aconselhável que ela seja armazenada de forma criptografada e não em texto claro.

Privacidade no Acesso e Disponibilização de Páginas Web

Existem cuidados que devem ser tomados por um usuário ao acessar ou disponibilizar páginas na Internet. Muitas vezes o usuário pode expor informações pessoais e permitir que seu browser receba ou envie dados sobre suas preferências e sobre o seu computador. Isto pode afetar a privacidade de um usuário, a segurança de seu computador e até mesmo sua própria segurança.

Que cuidados devo ter ao acessar páginas Web e ao receber cookies?

Cookies são muito utilizados para rastrear e manter as preferências de um usuário ao navegar pela Internet. Estas preferências podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usuário. Não é incomum acessar pela primeira vez um site de música, por exemplo, e observar que todas as ofertas de CDs para o seu gênero musical preferido já estão disponíveis, sem que você tenha feito qualquer tipo de escolha.

Além disso, ao acessar uma página na Internet, o seu browser disponibiliza uma série de informações, de modo que os cookies podem ser utilizados para manter referências contendo informações de seu computador, como o hardware , o sistema operacional, softwares instalados e, em alguns casos, até o seu endereço de e-mail.

Estas informações podem ser utilizadas por alguém mal intencionado, por exemplo, para tentar explorar uma possível vulnerabilidade em seu computador.

Portanto, é aconselhável que você desabilite o recebimento de cookies , exceto para sites confiáveis, onde sejam realmente necessários.

As versões recentes dos browsers normalmente permitem que o usuário desabilite o recebimento, confirme se quer ou não receber e até mesmo visualize o conteúdo dos cookies.

Também existem softwares que permitem controlar o recebimento e envio de informações entre um browser e os sites visitados. Dentre outras funções, estes podem permitir que cookies sejam recebidos apenas de sites específicos.

Uma outra forma de manter sua privacidade ao acessar páginas na Internet é utilizar sites que permitem que você fique anônimo. Estes são conhecidos como anonymizers e intermediam o envio e recebimento de informações entre o seu browser e o site que se deseja visitar. Desta forma, o seu browser não receberá cookies e as informações por ele fornecidas não serão repassadas para o site visitado.

Neste caso, é importante ressaltar que você deve certificar-se que o anonymizer é confiável. Além disso, você não deve utilizar este serviço para realizar transações via Web.

Que cuidados devo ter ao disponibilizar um página na Internet, como por exemplo um blog?

Um usuário, ao disponibilizar uma página na Internet, precisa ter alguns cuidados, visando proteger os dados contidos em sua página.

Um tipo específico de página Web que vem sendo muito utilizado por usuários de Internet é o blog. Este serviço é usado para manter um registro frequente de informações, e tem como principal vantagem permitir que o usuário publique seu conteúdo sem necessitar de conhecimento técnico sobre a construção de páginas na Internet.

Apesar de terem diversas finalidades, os blogs têm sido muito utilizados como diários pessoais. Em seu blog, um usuário poderia disponibilizar informações, tais como:

  • Seus dados pessoais (e-mail, telefone, endereço, etc);
  • Informações sobre seus familiares e amigos (como árvores genealógicas, datas de aniversário, telefones, etc);
  • Dados sobre o seu computador (dizendo, por exemplo, "...comprei um computador da marca X e instalei o sistema operacional Y...");
  • Dados sobre os softwares que utiliza (dizendo, por exemplo, "...instalei o programa Z, que acabei de obter do site W...");
  • Informações sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou para casa, data de uma viagem programada, horário que foi ao caixa eletrônico, etc);

É extremamente importante estar atento e avaliar com cuidado que informações serão disponibilizadas em uma página Web. Estas informações podem não só ser utilizadas por alguém mal-intencionado, por exemplo, em um ataque de engenharia social, mas também para atentar contra a segurança de um computador, ou até mesmo contra a segurança física do próprio usuário.

Fraudes na Internet

Esta parte da cartilha aborda questões relacionadas a fraudes na Internet. São apresentadas algumas maneiras de prevenção contra ataques de engenharia social, situações envolvendo fraudes comerciais e bancárias via Internet, bem como medidas preventivas que um usuário deve adotar ao acessar sites de comércio eletrônico ou Internet Banking. Também é apresentado o conceito de boato (hoax) e são discutidas algumas implicações de segurança e formas para se evitar sua distribuição.

Engenharia Social

Nos ataques de engenharia social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como uma ligação telefônica ou e-mail , para persuadir o usuário a fornecer informações ou realizar determinadas ações. Exemplos destas ações são: executar um programa, acessar uma página falsa de comércio eletrônico ou Internet Banking através de um link em um e-mail ou em uma página, etc.

Como me protejo deste tipo de abordagem?

Em casos de engenharia social o bom senso é essencial. Fique atento para qualquer abordagem, seja via telefone, seja através de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituição) solicita informações (principalmente confidenciais) a seu respeito.

Procure não fornecer muita informação e não forneça, sob hipótese alguma, informações sensíveis, como senhas ou números de cartões de crédito.

Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou página Web , é extremamente importante que você, antes de realizar qualquer ação , procure identificar e entrar em contato com a instituição envolvida, para certificar-se sobre o caso.

Fraudes via Internet

Normalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial. Então, hackers têm concentrado seus esforços na exploração de fragilidades dos usuários, para realizar fraudes comerciais e bancárias através da Internet.

Para obter vantagens, os fraudadores têm utilizado amplamente e-mails com discursos que, na maioria dos casos, envolvem engenharia social e que tentam persuadir o usuário a fornecer seus dados pessoais e financeiros. Em muitos casos, o usuário é induzido a instalar algum código malicioso ou acessar uma página fraudulenta, para que dados pessoais e sensíveis, como senhas bancárias e números de cartões de crédito, possam ser furtados. Desta forma, é muito importante que usuários de Internet tenham certos cuidados com os e-mails que recebem e ao utilizarem serviços de comércio eletrônico ou Internet Banking.

O que é scam e que situações podem ser citadas sobre este tipo de fraude?

O scam (ou "golpe") é qualquer esquema ou ação enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras.

A primeira situação se dá através de páginas disponibilizadas na Internet e a segunda através do recebimento de e-mails. Observe que existem variantes para as situações apresentadas e outros tipos de scam. Além disso, novas formas de scam podem surgir, portanto é muito importante que você se mantenha informado sobre os tipos de scam que vêm sendo utilizados pelos fraudadores, através dos veículos de comunicação, como jornais, revistas e sites especializados.

Sites de leilões e de produtos com preços "muito atrativos"

Você acessa um site de leilão ou de venda de produtos, onde os produtos ofertados têm preços muito abaixo dos praticados pelo mercado.

Risco: ao efetivar uma compra, na melhor das hipóteses, você receberá um produto que não condiz com o que realmente foi solicitado. Na maioria dos casos, você não receberá nenhum produto, perderá o dinheiro e poderá ter seus dados pessoais e financeiros furtados, caso a transação tenha envolvido, por exemplo, o número do seu cartão de crédito.

Como identificar: faça uma pesquisa de mercado sobre preço do produto desejado e compare com os preços oferecidos. Então, você deve se perguntar por que estão oferecendo um produto com preço tão abaixo do praticado pelo mercado.

É importante ressaltar que existem muitos sites confiáveis de leilões e de vendas de produtos, mas nesta situação a intenção é ilustrar casos de sites especificamente projetados para realizar atividades ilícitas.

O golpe da Nigéria ( Nigerian 4-1-9 Scam )

Você recebe um e-mail em nome de uma instituição governamental da Nigéria (por exemplo, o Banco Central), onde é solicitado que você atue como intermediário em uma transferência internacional de fundos. O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milhões de dólares.

Como recompensa, você terá direito de ficar com uma porcentagem (que é normalmente alta) do valor mencionado na mensagem. Para completar a transação é solicitado que você pague antecipadamente uma quantia, normalmente bem elevada, para arcar com taxas de transferência de fundos, custos com advogados, entre outros.

Este tipo de golpe também é conhecido como Advance Fee Fraud , ou "a fraude de antecipação de pagamentos", e já foram registrados casos originados ou que mencionavam a África do Sul, Angola, Etiópia, Libéria, Marrocos, Serra Leoa, Tanzânia, Zaire, Zimbábue, Holanda, Iugoslávia, Austrália, Japão, Malásia e Taiwan, entre outros.

No nome dado a este tipo de fraude, Nigerian 4-1-9 Scam , o número "419" refere-se à seção do código penal da Nigéria que é violada por este golpe. É equivalente ao artigo 171 do código penal brasileiro, ou seja, estelionato.

Risco: ao responder a este tipo de mensagem e efetivar o pagamento antecipado, você não só perderá o dinheiro investido, mas também nunca verá os milhares ou milhões de dólares prometidos como recompensa.

Como identificar: normalmente, estas mensagens apresentam quantias astronômicas e abusam da utilização de palavras capitalizadas (todas as letras maiúsculas) para chamar a atenção do usuário. Palavras como "URGENT" (urgente) e "CONFIDENTIAL" (confidencial) também são comumente usadas no assunto da mensagem para chamar a atenção do usuário.

Você deve se perguntar por que foi escolhido para receber estes "milhares ou milhões" de dólares, entre os inúmeros usuários que utilizam a Internet.

O que é phishing e que situações podem ser citadas sobre este tipo de fraude?

Phishing, também conhecido como phishing scam ou phishing/scam , foi um termo originalmente criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários.

A palavra phishing (de "fishing") vem de uma analogia criada pelos fraudadores, onde "iscas" ( e-mails ) são usadas para "pescar" senhas e dados financeiros de usuários da Internet.

Atualmente, este termo vêm sendo utilizado também para se referir aos seguintes casos:

  • Mensagem que procura induzir o usuário à instalação de códigos maliciosos, projetados para furtar dados pessoais e financeiros;
  • Mensagem que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários.

A subseções a seguir apresentam cinco situações envolvendo phishing , que vêm sendo utilizadas por fraudadores na Internet. Observe que existem variantes para as situações apresentadas. Além disso, novas formas de phishing podem surgir, portanto é muito importante que você se mantenha informado sobre os tipos de phishing que vêm sendo utilizados pelos fraudadores, através dos veículos de comunicação, como jornais, revistas e sites especializados.

Também é muito importante que você, ao identificar um caso de fraude via Internet, notifique a instituição envolvida, para que ela possa tomar as providências cabíveis.

Mensagens que contêm links para programas maliciosos

Você recebe uma mensagem por e-mail ou via serviço de troca instantânea de mensagens, onde o texto procura atrair sua atenção, seja por curiosidade, por caridade, pela possibilidade de obter alguma vantagem (normalmente financeira), entre outras. O texto da mensagem também pode indicar que a não execução dos procedimentos descritos acarretarão consequências mais sérias, como, por exemplo, a inclusão do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta bancária ou do seu cartão de crédito, etc. A mensagem, então, procura induzí-lo a clicar em um link , para baixar e abrir/executar um arquivo.

Alguns exemplos de temas e respectivas descrições dos textos encontrados em mensagens deste tipo são apresentados na tabela 1.

Tabela 1: Exemplos de temas de mensagens de phishing

Tema Texto da mensagem
Cartões virtuais UOL, Voxcards , Humor Tadela, O Carteiro, Emotioncard , Criança Esperança, AACD/Teleton.
SERASA e SPC Débitos, restrições ou pendências financeiras.
Serviços de governo eletrônico CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições (título eleitoral cancelado, simulação da urna eletrônica).
Álbuns de fotos pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas, televisão), traição, nudez ou pornografia, serviço de acompanhantes.
Serviço de telefonia pendências de débito, aviso de bloqueio de serviços, detalhamento de fatura, créditos gratuitos para o celular. a melhor opção do mercado, nova versão, atualização de vacinas, novas funcionalidades, eliminação de vírus do seu computador.
Notícias/boatos fatos amplamente noticiados (ataques terroristas, tsunami , terremotos, etc), boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situações chocantes).
Reality shows BigBrother, Casa dos Artistas, etc -- fotos ou vídeos envolvendo cenas de nudez ou eróticas, discadores.
Programas ou arquivos diversos novas versões de softwares , correções para o sistema operacional Windows, músicas, vídeos, jogos, acesso gratuito a canais de TV a cabo no computador, cadastro ou atualização de currículos, recorra das multas de trânsito.
Pedidos orçamento, cotação de preços, lista de produtos.
Discadores para conexão Internet gratuita, para acessar imagens ou vídeos restritos.
Sites de comércio eletrônico atualização de cadastro, devolução de produtos, cobrança de débitos, confirmação de compra.
Convites convites para participação em sites de relacionamento (como o Orkut ou Facebook) e outros serviços gratuitos.
Dinheiro fácil descubra como ganhar dinheiro na Internet.
Promoções diversos.
Prêmios loterias, instituições financeiras.
Propaganda produtos, cursos, treinamentos, concursos.
FEBRABAN cartilha de segurança, avisos de fraude.
IBGE censo

Cabe ressaltar que a lista de temas na tabela não é exaustiva, nem tampouco se aplica a todos os casos. Existem outros temas e novos temas podem surgir. Risco: ao clicar no link, será apresentada uma janela, solicitando que você salve o arquivo. Depois de salvo, se você abrí-lo ou executá-lo, será instalado um programa malicioso (malware) em seu computador, por exemplo, um cavalo de tróia ou outro tipo de spyware, projetado para furtar seus dados pessoais e financeiros, como senhas bancárias ou números de cartões de crédito. Caso o seu programa leitor de e-mails esteja configurado para exibir mensagens em HTML, a janela solicitando que você salve o arquivo poderá aparecer automaticamente, sem que você clique no link.

Ainda existe a possibilidade do arquivo/programa malicioso ser baixado e executado no computador automaticamente, ou seja, sem a sua intervenção, caso seu programa leitor de e-mails possua vulnerabilidades.

Esse tipo de programa malicioso pode utilizar diversas formas para furtar dados de um usuário, dentre elas: capturar teclas digitadas no teclado; capturar a posição do cursor e a tela ou regiões da tela, no momento em que o mouse é clicado; sobrepor a janela do browser do usuário com uma janela falsa, onde os dados serão inseridos; ou espionar o teclado do usuário através da Webcam (caso o usuário a possua e ela esteja apontada para o teclado). Mais detalhes sobre algumas destas técnicas podem ser vistos na seção de keyloggers.

Depois de capturados, seus dados pessoais e financeiros serão enviados para os fraudadores. A partir daí, os fraudadores poderão realizar diversas operações, incluindo a venda dos seus dados para terceiros, ou utilização dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.

Como identificar

Seguem algumas dicas para identificar este tipo de mensagem fraudulenta:

  • Leia atentamente a mensagem. Normalmente, ela conterá diversos erros gramaticais e de ortografia;
  • Os fraudadores utilizam técnicas para ofuscar o real link para o arquivo malicioso, apresentando o que parece ser um link relacionado à instituição mencionada na mensagem. Ao passar o cursor do mouse sobre o link , será possível ver o real endereço do arquivo malicioso na barra de status do programa leitor de e-mails , ou browser , caso esteja atualizado e não possua vulnerabilidades. Normalmente, este link será diferente do apresentado na mensagem;
  • Qualquer extensão pode ser utilizada nos nomes dos arquivos maliciosos, mas fique particularmente atento aos arquivos com extensões ".exe", ".zip" e ".scr", pois estas são as mais utilizadas. Outras extensões freqüentemente utilizadas por fraudadores são ".com", ".rar" e ".dll";
  • Fique atento às mensagens que solicitam a instalação/execução de qualquer tipo de arquivo/programa;
  • Acesse a página da instituição que supostamente enviou a mensagem, e procure por informações relacionadas com a mensagem que você recebeu. Em muitos casos, você vai observar que não é política da instituição enviar e-mails para usuários da Internet, de forma indiscriminada, principalmente contendo arquivos anexados.

Recomendações:

  • No caso de mensagem recebida por e-mail , o remetente nunca deve ser utilizado como parâmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores;
  • Se você ainda tiver alguma dúvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituição para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informações sensíveis, como senhas e números de cartões de crédito.

Páginas de comércio eletrônico ou Internet Banking falsificadas

Você recebe uma mensagem por e-mail ou via serviço de troca instantânea de mensagens, em nome de um site de comércio eletrônico ou de uma instituição financeira, por exemplo, um banco. Textos comuns neste tipo de mensagem envolvem o recadastramento ou confirmação dos dados do usuário, a participação em uma nova promoção, etc. A mensagem, então, tenta persuadí-lo a clicar em um link contido no texto, em uma imagem, ou em uma página de terceiros.

Risco: o link pode direcioná-lo para uma página Web falsificada, semelhante ao site que você realmente deseja acessar. Nesta página serão solicitados dados pessoais e financeiros, como o número, data de expiração e código de segurança do seu cartão de crédito, ou os números da sua agência e conta bancária, senha do cartão do banco e senha de acesso ao Internet Banking.

Ao preencher os campos disponíveis na página falsificada e clicar no botão de confirmação (em muitos casos o botão apresentará o texto "Confirm", "OK", "Submit", etc), os dados serão enviados para os fraudadores.

A partir daí, os fraudadores poderão realizar diversas operações, incluindo a venda dos seus dados para terceiros, ou utilização dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.

Como identificar

Seguem algumas dicas para identificar este tipo de mensagem fraudulenta:

  • Os fraudadores utilizam técnicas para ofuscar o real link para a página falsificada, apresentando o que parece ser um link relacionado à instituição mencionada na mensagem. Ao passar o cursor do mouse sobre o link , será possível ver o real endereço da página falsificada na barra de status do programa leitor de e-mails , ou browser , caso esteja atualizado e não possua vulnerabilidades. Normalmente, este link será diferente do apresentado na mensagem;
  • Acesse a página da instituição que supostamente enviou a mensagem e procure por informações relacionadas com a mensagem que você recebeu;
  • Sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados pessoais e financeiros de usuários são solicitados. Caso a página não utilize conexão segura, desconfie imediatamente. Caso a página falsificada utilize conexão segura, um novo certificado (que não corresponde ao site verdadeiro) será apresentado e, possivelmente, o endereço mostrado no browser será diferente do endereço correspondente ao site verdadeiro.

Recomendações:

  • No caso de mensagem recebida por e-mail , o remetente nunca deve ser utilizado como parâmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores;
  • Se você ainda tiver alguma dúvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituição para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informações sensíveis, como senhas e números de cartões de crédito.

E-mails contendo formulários para o fornecimento de informações sensíveis

Você recebe um e-mail em nome de um site de comércio eletrônico ou de uma instituição bancária. O conteúdo da mensagem envolve o recadastramento ou confirmação de seus dados, a participação em uma nova promoção, etc. A mensagem apresenta um formulário, com campos para a digitação de informações envolvendo dados pessoais e financeiros, como o número, data de expiração e código de segurança do seu cartão de crédito, ou os números da sua agência e conta bancária, senha do cartão do banco e senha de acesso ao Internet Banking. A mensagem, então, solicita que você preencha o formulário e apresenta um botão para confirmar o envio das informações preenchidas.

Risco: ao preencher os dados e confirmar o envio, suas informações pessoais e financeiras serão transmitidas para fraudadores, que, a partir daí, poderão realizar diversas operações, incluindo a venda dos seus dados para terceiros, ou utilização dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.

Como identificar: o serviço de e-mail convencional não fornece qualquer mecanismo de criptografia, ou seja, as informações, ao serem submetidas, trafegarão em claro pela Internet. Qualquer instituição confiável não utilizaria este meio para o envio de informações pessoais e sensíveis de seus usuários.

Comprometimento do serviço de resolução de nom

Ao tentar acessar um site de comércio eletrônico ou Internet Banking , mesmo digitando o endereço diretamente no seu browser , você é redirecionado para uma página falsificada, semelhante ao site verdadeiro.

Duas possíveis causas para este caso de phishing são:

  • O atacante comprometeu o servidor de nomes do seu provedor (DNS), de modo que todos os acessos a determinados sites passaram a ser redirecionados para páginas falsificadas;
  • O atacante o induziu a instalar um malware , por exemplo, através de uma mensagem recebida por e-mail , e este malware foi especificamente projetado para alterar o comportamento do serviço de resolução de nomes do seu computador, redirecionando os acessos a determinados sites para páginas falsificadas.

Apesar de não ter uma definição consolidada na data de publicação desta Cartilha, os veículos de comunicação têm utilizado o termo pharming para se referir a casos específicos de phishing , que envolvem algum tipo de redireção da vítima para sites fraudulentos, através de alterações nos serviços de resolução de nomes.

Risco: ao preencher os campos disponíveis na página falsificada e confirmar o envio dos dados, suas informações pessoais e financeiras serão transmitidas para fraudadores, que, a partir daí, poderão realizar diversas operações, incluindo a venda dos seus dados para terceiros, ou utilização dos seus dados financeiros para efetuar pagamentos, transferir valores para outras contas, etc.

Como identificar: neste caso, onde fraudadores alteram o comportamento do serviço de resolução de nomes, para redirecionar acessos para páginas falsificadas, não são válidas dicas como digitar o endereço diretamente no seu browser , ou observar o endereço apresentado na barra de status do browser.

Deste modo, a melhor forma de identificar este tipo de fraude é estar atento para o fato de que sites de comércio eletrônico ou Internet Banking confiáveis sempre utilizam conexões seguras quando dados pessoais e financeiros de usuários são solicitados. Caso a página não utilize conexão segura, desconfie imediatamente. Caso a página falsificada utilize conexão segura, um novo certificado, que não corresponde ao site verdadeiro, será apresentado.

Recomendação: se você ainda tiver alguma dúvida e acreditar que a página pode ser verdadeira, mesmo não utilizando conexão segura, ou apresentando um certificado não compatível, entre em contato com a instituição para certificar-se sobre o caso, antes de enviar qualquer dado, principalmente informações sensíveis, como senhas e números de cartões de crédito.

Utilização de computadores de terceiro

Você utiliza um computador de terceiros, por exemplo, em uma LAN house, cybercafe ou stand de um evento, para acessar um site de comércio eletrônico ou Internet Banking.

Risco: como estes computadores são utilizados por muitas pessoas, você pode ter todas as suas ações monitoradas (incluindo a digitação de senhas ou número de cartões de crédito), através de programas especificamente projetados para este fim e que podem ter sido instalados previamente.

Recomendação: não utilize computadores de terceiros em operações que necessitem de seus dados pessoais e financeiros, incluindo qualquer uma de suas senhas.

Quais são os cuidados que devo ter ao acessar sites de comércio eletrônico ou Internet Banking?

Existem diversos cuidados que um usuário deve ter ao acessar sites de comércio eletrônico ou Internet Banking. Dentre eles, podem-se citar:

  • Realizar transações somente em sites de instituições que você considere confiáveis;
  • Procurar sempre digitar em seu browser o endereço desejado. Não utilize links em páginas de terceiros ou recebidos por e-mail;
  • Certificar-se de que o endereço apresentado em seu browser corresponde ao site que você realmente quer acessar, antes de realizar qualquer ação;
  • Certificar-se que o site faz uso de conexão segura (ou seja, que os dados transmitidos entre seu browser e o site serão criptografados) e utiliza um tamanho de chave considerado seguro;
  • Antes de aceitar um novo certificado, verificar junto à instituição que mantém o site sobre sua emissão e quais são os dados nele contidos. Então, verificar o certificado do site antes de iniciar qualquer transação, para assegurar-se que ele foi emitido para a instituição que se deseja acessar e está dentro do prazo de validade;
  • Estar atento e prevenir-se dos ataques de engenharia social;
  • Não acessar sites de comércio eletrônico ou Internet Banking através de computadores de terceiros;
  • Desligar sua Webcam (caso você possua alguma), ao acessar um site de comércio eletrônico ou Internet Banking.

Além dos cuidados apresentados anteriormente é muito importante que você tenha alguns cuidados adicionais, tais como:

  • Manter o seu browser sempre atualizado e com todas as correções ( patches ) aplicadas;
  • Alterar a configuração do seu browser para restringir a execução de JavaScript e de programas Java ou ActiveX , exceto para casos específicos;
  • Configurar seu browser para bloquear pop-up windows e permití-las apenas para sites conhecidos e confiáveis, onde forem realmente necessárias;
  • Configurar seu programa leitor de e-mails para não abrir arquivos ou executar programas automaticamente;
  • Não executar programas obtidos pela Internet, ou recebidos por e-mail.
  • Com estes cuidados adicionais você pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tróia e outros tipos de malware) sejam instalados em seu computador para, dentre outras finalidades, furtar dados sensíveis e fraudar seus acessos a sites de comércio eletrônico ou Internet Banking.

Como verificar se a conexão é segura (criptografada)

Existem pelo menos dois itens que podem ser visualizados na janela do seu browser, e que significam que as informações transmitidas entre o browser e o site visitado estão sendo criptografadas. O primeiro pode ser visualizado no local onde o endereço do site é digitado. O endereço deve começar com https:// (diferente do http:// nas conexões normais), onde o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e, portanto, os dados serão criptografados antes de serem enviados.

Alguns browsers podem incluir outros sinais na barra de digitação do endereço do site , que indicam que a conexão é segura. No Firefox , por exemplo, o local onde o endereço do site é digitado muda de cor, ficando amarelo, e apresenta um cadeado fechado do lado direito.

O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conexão é segura. Normalmente, o desenho mais adotado nos browsers recentes é de um " cadeado fechado ", apresentado na barra de status , na parte inferior da janela do browser (se o cadeado estiver aberto, a conexão não é segura).

Ao clicar sobre o cadeado, será exibida uma tela que permite verificar as informações referentes ao certificado emitido para a instituição que mantém o site, bem como informações sobre o tamanho da chave utilizada para criptografar os dados.

É muito importante que você verifique se a chave utilizada para criptografar as informações a serem transmitidas entre seu browser e o site é de no mínimo 128 bits. Chaves menores podem comprometer a segurança dos dados a serem transmitidos.

Outro fator muito importante é que a verificação das informações do certificado deve ser feita clicando única e exclusivamente no cadeado exibido na barra status do browser. Atacantes podem tentar forjar certificados, incluindo o desenho de um cadeado fechado no conteúdo da página.

Como posso saber se o site que estou acessando não foi falsificado?

Existem alguns cuidados que um usuário deve ter para certificar-se que um site não foi falsificado.

O primeiro cuidado é checar se o endereço digitado permanece inalterado no momento em que o conteúdo do site é apresentado no browser do usuário.

Existem algumas situações onde o acesso a um site pode ser redirecionado para uma página falsificada, mas normalmente nestes casos o endereço apresentado pelo browser é diferente daquele que o usuário quer realmente acessar.

E um outro cuidado muito importante é verificar as informações contidas no certificado emitido para a instituição que mantém o site. Estas informações podem dizer se o certificado é ou não legítimo e, conseqüentemente, se o site é ou não falsificado.

Como posso saber se o certificado emitido para o site é legítimo?

É extremamente importante que o usuário verifique algumas informações contidas no certificado. Um exemplo de um certificado, emitido para um site de uma instituição é mostrado abaixo.

Certificado

O usuário deve, então, verificar se o certificado foi emitido para o site da instituição que ele deseja acessar. As seguintes informações devem ser checadas:

  • o endereço do site;
  • o nome da instituição (dona do certificado);
  • o prazo de validade do certificado.

Ao entrar pela primeira vez em um site que usa conexão segura, seu browser apresentará uma janela pedindo para confirmar o recebimento de um novo certificado. Então, verifique se os dados do certificado correspondem à instituição que você realmente deseja acessar e se seu browser reconheceu a Autoridade Certificadora que emitiu o certificado.

Se ao entrar em um site com conexão segura, que você utilize com frequência, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma situação possível seria que a validade do certificado do site tenha vencido, ou o certificado tenha sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto também pode significar que você está recebendo um certificado ilegítimo e, portanto, estará acessando um site falsificado.

Uma dica para reconhecer esta situação é que as informações contidas no certificado normalmente não corresponderão às da instituição que você realmente deseja acessar. Além disso, seu browser possivelmente informará que a Autoridade Certificadora que emitiu o certificado para o site não pôde ser reconhecida.

De qualquer modo, caso você receba um novo certificado ao acessar um site e tenha alguma dúvida ou desconfiança, não envie qualquer informação para o site antes de entrar em contato com a instituição que o mantém, para esclarecer o ocorrido.

O que devo fazer se perceber que meus dados financeiros estão sendo usados por terceiros?

Caso você acredite que terceiros possam estar usando suas informações pessoais e financeiras, como o número do seu cartão de crédito ou seus dados bancários (senha de acesso ao Internet Banking e senha do cartão de banco), entre em contato com a instituição envolvida (por exemplo, seu banco ou operadora do seu cartão de crédito), informe-os sobre o caso e siga as orientações que serão passadas por eles.

Monitore regularmente suas movimentações financeiras, por exemplo, através de extratos bancários e/ou de cartões de crédito, e procure por débitos, transferências ou cobranças inesperadas.

É recomendado que você procure uma delegacia de polícia, para registrar um boletim de ocorrência, caso tenha sido vítima de uma fraude via Internet.

Boatos

Boatos (hoaxes) são e-mails que possuem conteúdos alarmantes ou falsos e que, geralmente, têm como remetente ou apontam como autora da mensagem alguma instituição, empresa importante ou órgão governamental. Através de uma leitura minuciosa deste tipo de e-mail, normalmente, é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido.

Dentre os diversos boatos típicos, que chegam às caixas postais de usuários conectados à Internet, podem-se citar as correntes, pirâmides, mensagens sobre pessoas que estão prestes a morrer de câncer, entre outras.

Histórias deste tipo são criadas não só para espalhar desinformação pela Internet, mas também para outros fins maliciosos.

Quais são os problemas de segurança relacionados aos boatos?

Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança, a não ser ocupar espaço nas caixas de e-mails de usuários.

Mas podem existir casos com consequências mais sérias como, por exemplo, um boato que procura induzir usuários de Internet a fornecer informações importantes (como números de documentos, de contas-corrente em banco ou de cartões de crédito), ou um boato que indica uma série de ações a serem realizadas pelos usuários e que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante do sistema operacional instalado no computador).

Além disso, e-mails de boatos podem conter vírus, cavalos de tróia ou outros tipos de malware anexados.

É importante ressaltar que um boato também pode comprometer a credibilidade e a reputação tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.

Como evitar a distribuição dos boatos?

Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:

  • Confiam no remetente da mensagem;
  • Não verificam a procedência da mensagem;
  • Não checam a veracidade do conteúdo da mensagem.

Para que você possa evitar a distribuição de boatos é muito importante checar a procedência dos e-mails , e mesmo que tenham como remetente alguém conhecido, é preciso certificar-se que a mensagem não é um boato. É importante ressaltar que você nunca deve repassar este tipo de mensagem, pois estará endossando ou concordando com o seu conteúdo.

Como posso saber se um e-mail é um boato?

Um boato normalmente apresenta pelo menos uma das características listadas abaixo. Observe que estas características devem ser usadas apenas como guia. Nem todo boato apresenta uma destas características e mensagens legítimas podem apresentar algumas delas. Muitas vezes, um boato:

  • Sugere conseqüências trágicas se uma determinada tarefa não for realizada;
  • Promete ganhos financeiros ou prêmios mediante a realização de alguma ação;
  • Fornece instruções ou arquivos anexados para, supostamente, proteger seu computador de um vírus não detectado por programas antivírus;
  • Afirma não ser um boato;
  • Apresenta diversos erros gramaticais e de ortografia;
  • Apresenta uma mensagem contraditória;
  • Contém algum texto enfatizando que você deve repassar a mensagem para o maior número de pessoas possível;
  • Já foi repassado diversas vezes (no corpo da mensagem normalmente é possível observar cabeçalhos de e-mails repassados por outras pessoas).

Existem sites especializados na Internet onde podem ser encontradas listas contendo os boatos que estão circulando e seus respectivos conteúdos.

Alguns destes sites são:

Além disso, os cadernos de informática dos jornais de grande circulação, normalmente, trazem matérias ou avisos sobre os boatos mais recentes.

Redes de Banda Larga e Redes Sem Fio (Wireless)

Esta parte da Cartilha discute implicações de segurança peculiares aos serviços de banda larga e de redes sem fio ( wireless ). Também apresenta algumas recomendações para que usuários destes serviços possam utilizá-los de forma mais segura.

Serviços de Banda Larga

Serviços de banda larga são aqueles que permitem ao usuário conectar seus computadores à Internet com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de serviço são ADSL, cable modem e acesso via satélite. Além da maior velocidade, outra característica desse tipo de serviço é a possibilidade do usuário deixar seu computador conectado à Internet por longos períodos de tempo, normalmente sem limite de uso ou custos adicionais.

Por que um atacante teria maior interesse por um computador com banda larga e quais são os riscos associados?

Geralmente um computador conectado através de banda larga possui boa velocidade de conexão, muda o endereço IP com pouca frequência e fica por longos períodos ligado à Internet, mas não possui os mesmos mecanismos de segurança que servidores. Isto os torna alvos mais fáceis para os atacantes.

Por estas características, estes computadores podem ser usados pelos atacantes para diversos propósitos, como por exemplo:

  • realizar ataques de negação de serviço, aproveitando-se da maior velocidade disponível. Diversas máquinas comprometidas podem também ser combinadas de modo a criar um ataque de negação de serviço distribuído.
  • usar a máquina comprometida como ponto de partida para atacar outras redes, dificultando o rastreio da real origem do ataque;
  • furtar informações, tais como números de cartões de crédito, senhas, etc;
  • usar recursos do computador. Por exemplo, o invasor pode usar o espaço disponível em seu disco rígido para armazenar programas copiados ilegalmente, música, imagens, etc. O invasor também pode usar a CPU disponível para, por exemplo, quebrar senhas de sistemas comprometidos;
  • enviar spam ou navegar na Internet de maneira anônima, a partir de certos programas que podem estar instalados no seu computador, tais como AnalogX e WinGate, e que podem estar mal configurados.

Vale ressaltar que todas essas atividades podem ser realizadas de maneira automatizada, caso o computador seja infectado por um bot.

O que fazer para proteger um computador conectado por banda larga?

Os usuários de serviços de banda larga devem tomar os seguintes cuidados com o seu computador:

  • instalar um firewall pessoal e ficar atento aos registros de eventos (logs) gerados por este programa.
  • instalar e manter atualizado um bom programa antivírus;
  • atualizar as assinaturas do antivírus diariamente;
  • manter os seus softwares (sistema operacional, programas que utiliza, etc) sempre atualizados e com as últimas correções de segurança aplicadas (patches);
  • desligar o compartilhamento de disco, impressora, etc;
  • mudar a senha padrão do seu equipamento de banda larga ( modem ADSL, por exemplo) pois as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato é de conhecimento dos atacantes e bastante abusado.

O que fazer para proteger uma rede conectada por banda larga

Muitos usuários de banda larga optam por montar uma pequena rede (doméstica ou mesmo em pequenas empresas), com vários computadores usando o mesmo acesso a Internet. Nesses casos, alguns cuidados importantes, além dos citados anteriormente, são:

  • instalar um firewall separando a rede interna da Internet;
  • caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc), configurá-lo para que apenas aceite requisições partindo da rede interna;
  • caso seja necessário compartilhar recursos como disco ou impressora entre máquinas da rede interna, devem-se tomar os devidos cuidados para que o firewall não permita que este compartilhamento seja visível pela Internet.

Muitos equipamentos de banda larga, como roteadores ADSL, estão incluindo outras funcionalidades, como por exemplo concentradores de acesso ( Access Points ) para redes wireless.

Redes Sem Fio (Wireless)

As redes sem fio (wireless), também conhecidas como IEEE 802.11, Wi-Fi ou WLANs, são redes que utilizam sinais de rádio para a sua comunicação.

Este tipo de rede define duas formas de comunicação:

  • Modo infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP);
  • Modo ponto a ponto ( ad-hoc ): permite que um pequeno grupo de máquinas se comunique diretamente, sem a necessidade de um AP.

Estas redes ganharam grande popularidade pela mobilidade que provêem aos seus usuários e pela facilidade de instalação e uso em ambientes domésticos e empresariais, hotéis, conferências, aeroportos, etc.

Quais são os riscos do uso de redes sem fio?

Embora esse tipo de rede seja muito conveniente, existem alguns problemas de segurança que devem ser levados em consideração pelos seus usuários:

  • estas redes utilizam sinais de rádio para a comunicação e qualquer pessoa com um mínimo de equipamento poderá interceptar os dados transmitidos por um cliente da rede sem fio (como notebooks , PDAs, estações de trabalho, etc);
  • por serem bastante simples de instalar, muitas pessoas estão utilizando redes desse tipo em casa, sem nenhum cuidado adicional, e até mesmo em empresas, sem o conhecimento dos administradores de rede.

Que cuidados devo ter com um cliente de uma rede sem fio?

Vários cuidados devem ser observados quando se pretende conectar à uma rede sem fio como cliente, seja com notebooks , PDAs, estações de trabalho, etc. Dentre eles, podem-se citar:

  • considerar que, ao conectar a uma WLAN, você estará conectando-se a uma rede pública e, portanto, seu computador estará exposto a ameaças. É muito importante que você tome os seguintes cuidados com o seu computador:
    • instalar um firewall pessoal;
    • instalar e manter atualizado um bom programa antivírus;
    • atualizar as assinaturas do antivírus diariamente;
    • aplicar as últimas correções em seus softwares (sistema operacional, programas que utiliza, etc);
    • desligar compartilhamento de disco, impressora, etc.
  • desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necessário e desligue-o assim que não precisar mais;
  • sempre que possível usar WEP ( Wired Equivalent Privacy ), que permite criptografar o tráfego entre o cliente e o AP. Fale com o seu administrador de rede para verificar se o WEP está habilitado e se a chave é diferente daquelas que acompanham a configuração padrão do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta não autorizada;
  • verificar com seu provedor de rede sem fio sobre a possibilidade de usar WPA (Wi-Fi Protected Access ) em substituição ao WEP, uma vez que este padrão pode aumentar significativamente a segurança da rede. Esta tecnologia inclui duas melhorias em relação ao protocolo WEP que envolvem melhor criptografia para transmissão de dados e autenticação de usuário. Mesmo que seu equipamento seja mais antigo, é possível que exista uma atualização para permitir o uso de WPA;
  • considerar o uso de criptografia nas aplicações, como por exemplo, o uso de PGP para o envio de e-mails , SSH para conexões remotas ou ainda o uso de VPNs;
  • evitar o acesso a serviços que não utilizem conexão segura, ao usar uma rede sem fio em local público. Por exemplo, se for necessário ler e-mails ou acessar a Intranet da sua empresa, dê preferência a serviços que usem criptografia;
  • habilitar a rede sem fio somente quando for usá-la e desabilitá-la após o uso. Algumas estações de trabalho e notebooks permitem habilitar e desabilitar o uso de redes sem fio através de comandos ou botões específicos. No caso de notebooks com cartões PCMCIA, insira o cartão apenas quando for usar a rede e retire-o ao terminar de usar.

Que cuidados devo ter ao montar uma rede sem fio doméstica?

Pela conveniência e facilidade de configuração das redes sem fio, muitas pessoas têm instalado estas redes em suas casas. Nestes casos, além das preocupações com os clientes da rede, também são necessários alguns cuidados na configuração do AP. Algumas recomendações são:

  • ter em mente que, dependendo da potência da antena de seu AP, sua rede doméstica pode abranger uma área muito maior que apenas a da sua casa. Com isto sua rede pode ser utilizada sem o seu conhecimento ou ter seu tráfego capturado por vizinhos ou pessoas que estejam nas proximidades da sua casa;
  • mudar configurações padrão que acompanham o seu AP. Alguns exemplos são:
    • alterar as senhas.
    • alterar o SSID ( Server Set ID );
    • desabilitar o broadcast de SSID;
    • permitir que um computador se conecte ao AP para alterar as configurações apenas através da rede cabeada, se esta opção estiver disponível. Desta maneira um possível atacante externo (via rede sem fio) não poderá acessar o AP diretamente para promover mudanças na configuração.Verifique a documentação do seu AP sobre como efetuar estas mudanças, caso estejam disponíveis;
  • verificar se seus equipamentos já suportam WPA (Wi-Fi Protected Access ) e utilizá-lo sempre que possível. Esta tecnologia é mais recente e inclui melhorias em relação ao protocolo WEP para prover uma segurança adicional contra acesso e escuta de tráfego não autorizada. Lembre-se que atualizações para WPA estão disponíveis para a maior parte dos equipamentos mais antigos;
  • caso o WPA não esteja disponível, usar sempre que possível WEP ( Wired Equivalent Privacy ), para criptografar o tráfego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta não autorizada;
  • se for utilizar WEP, trocar as chaves que acompanham a configuração padrão do equipamento. Procure usar o maior tamanho de chave possível (128 bits);
  • desligar seu AP quando não estiver usando sua rede.

Existem configurações de segurança mais avançadas para redes sem fio, que requerem conhecimentos de administração de redes. Estes conhecimentos não são abordados neste documento.

Spam

Esta parte da Cartilha apresenta conceitos de segurança de computadores, onde são abordados temas relacionados às senhas, engenharia social, malware , vulnerabilidade, ataques de negação de serviço, criptografia e certificados digitais. Os conceitos aqui apresentados são importantes para o entendimento de partes subsequentes desta Cartilha.

Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do inglês Unsolicited Commercial E-mail ).

Quais são os problemas que o spam pode causar para um usuário da Internet?

Os usuários do serviço de correio eletrônico podem ser afetados de diversas formas. Alguns exemplos são:

Não recebimento de e-mails. Boa parte dos provedores de Internet limita o tamanho da caixa postal do usuário no seu servidor. Caso o número de spams recebidos seja muito grande o usuário corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, o usuário não conseguirá mais receber e-mails e, até que possa liberar espaço em sua caixa postal, todas as mensagens recebidas serão devolvidas ao remetente. O usuário também pode deixar de receber e-mails em casos onde estejam sendo utilizadas regras anti- spam ineficientes, por exemplo, classificando como spam mensagens legítimas.

Gasto desnecessário de tempo. Para cada spam recebido, o usuário necessita gastar um determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal.

Aumento de custos. Independentemente do tipo de acesso a Internet utilizado, quem paga a conta pelo envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado a Internet, cada spam representa alguns segundos a mais de ligação que ele estará pagando.

Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa de leitura de e-mails , além de existir a chance de mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano.

Conteúdo impróprio ou ofensivo. Como a maior parte dos spams são enviados para conjuntos aleatórios de endereços de e-mail , é bem provável que o usuário receba mensagens com conteúdo que julgue impróprio ou ofensivo.

Prejuízos financeiros causados por fraude. O spam tem sido amplamente utilizado como veículo para disseminar esquemas fraudulentos, que tentam induzir o usuário a acessar páginas clonadas de instituições financeiras ou a instalar programas maliciosos projetados para furtar dados pessoais e financeiros. Este tipo de spam é conhecido como phishing/scam. O usuário pode sofrer grandes prejuízos financeiros, caso forneça as informações ou execute as instruções solicitadas neste tipo de mensagem fraudulenta.

Quais são os problemas que o spam pode causar para os provedores de acesso, backbones e empresas?

Para as empresas e provedores os problemas são inúmeros e, muitas vezes, o custo adicional causado pelo spam é transferido para a conta a ser paga pelos usuários. Alguns dos problemas sentidos pelos provedores e empresas são:

Impacto na banda. Para as empresas e provedores o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a Internet. Como o custo dos links é alto, isto diminui os lucros do provedor e muitas vezes pode refletir no aumento dos custos para o usuário.

Má utilização dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado por mensagens não solicitadas enviadas para um grande número de usuários é considerável.

Inclusão em listas de bloqueio. O provedor que tenha usuários envolvidos em casos de spam pode ter sua rede incluída em listas de bloqueio. Esta inclusão pode prejudicar o recebimento de e-mails por parte de seus usuários e ocasionar a perda de clientes.

Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo spam , os provedores necessitam contratar mais técnicos especializados, comprar equipamentos e acrescentar sistemas de filtragem de spam. Como consequência os custos do provedor aumentam.

Como os spammers conseguem endereços de e-mail?

Os spammers utilizam diversas formas para obter endereços de e-mail , desde a compra de bancos de dados com e-mails variados, até a produção de suas próprias listas de e-mails obtidos via programas maliciosos, harvesting e ataques de dicionário. A obtenção através de programas maliciosos é possível devido à grande ligação entre os spammers e aqueles que desenvolvem estes programas. Um programa malicioso, muitas vezes, é projetado também para varrer o computador onde foi instalado em busca de endereços de e-mail , por exemplo, na lista de endereços ( address book ) do usuário. Os endereços de e-mail coletados são, então, repassados para os spammers.

Já o harvesting é uma técnica utilizada por spammers que consiste em varrer páginas Web , arquivos de listas de discussão, entre outros, em busca de endereços de e-mail.

Muitas vezes, os endereços de e-mail aparecem de forma ofuscada. Exemplos são as páginas Web ou listas de discussão que apresentam os endereços de e-mail com o " @ " substituído por " (at) " e os pontos substituídos pela palavra " dot ". Vale lembrar, entretanto, que os programas que implementam as técnicas de harvesting utilizadas pelos spammers podem prever estas substituições.

Nos ataques de dicionário, por sua vez, o spammer forma endereços de e-mail a partir de listas de nomes de pessoas, de palavras presentes em dicionários e/ou da combinação de caracteres alfanuméricos.

Como os spammers confirmam que um endereço de e-mail existe?

Os spammers utilizam vários artifícios para confirmar a existência de endereços de e-mail . Um destes artifícios consiste em enviar mensagens para os endereços formados em ataques de dicionários e, com base nas respostas enviadas pelo servidores de e-mail que receberam as mensagens, identificar quais endereços são válidos e quais não são. Outro artifício largamente utilizado é a inclusão no spam de um suposto mecanismo para a remoção da lista de e-mails , que pode ser um link ou endereço de e-mail . Ao receberem uma solicitação de remoção, os spammers confirmam que o endereço de e-mail é válido e realmente alguém o utiliza.

Uma outra forma para verificar endereços é o Web bug . Web bug é uma imagem, normalmente muito pequena e invisível, que faz parte de uma página Web ou de uma mensagem de e-mail , e que é projetada para monitorar quem está acessando esta página Web ou mensagem de e-mail .

Quando o Web bug é visualizado, diversas informações são armazenadas no servidor onde está hospedado, tais como: o endereço IP do computador que o acessou, a URL completa da imagem que corresponde ao Web bug , o horário em que foi visualizado, etc. Por exemplo, um spammer poderia utilizar Web bugs para a validação de endereços de e-mail da seguinte forma:

  • criando a imagem do Web bug com o nome do endereço de e-mail que quer validar; Exemplo: fulano.png
  • hospedando o Web bug em um servidor onde tenha acesso a informações que serão geradas quando o Web bug for visualizado;
  • criando uma mensagem de e-mail no formato HTML, que tenha em seu conteúdo a URL completa da imagem correspondente ao Web bug; Exemplo: http://www.dominio-do-spammer.example.org/fulano.png
  • enviando a mensagem criada para o endereço de e-mail a ser validado. Exemplo: fulano@dominio-do-fulano.example.org

Quando o usuário "fulano" abre a mensagem enviada pelo spammer em seu programa leitor de e-mails , o Web bug é acessado e o spammer tem a confirmação de que o endereço de e-mail do "fulano" é válido.

Para impedir que este artifício tenha sucesso e evitar que um endereço de e-mail seja validado por um spammer , é possível desabilitar no programa leitor de e-mails o modo de visualização no formato HTML.

Como fazer para filtrar os e-mails de modo a barrar o recebimento de spams?

Existem basicamente dois tipos de software que podem ser utilizados para barrar spams : aqueles que são colocados nos servidores, e que filtram os e-mails antes que cheguem até o usuário, e aqueles que são instalados nos computadores dos usuários, que filtram os e-mails com base em regras individuais de cada usuário.

Podem ser encontradas referências para diversas ferramentas de filtragem de e-mails nas páginas abaixo:

Também é interessante consultar seu provedor de acesso, ou o administrador de sua rede, para verificar se existe algum recurso anti- spam disponível e como utilizá-lo.

Para quem devo reclamar quando receber um spam?

Deve-se reclamar de spams para os responsáveis pela rede de onde partiu a mensagem. Se esta rede possuir uma política de uso aceitável, a pessoa que enviou o spam pode receber as penalidades que nela estão previstas.

Muitas vezes, porém, é difícil conhecer a real origem do spam . Os spammers costumam enviar suas mensagens através de máquinas mal configuradas, que permitem que terceiros as utilizem para enviar os e-mails . Se isto ocorrer, a reclamação para a rede de origem do spam servirá para alertar os seus responsáveis dos problemas com suas máquinas.

Além de enviar a reclamação para os responsáveis pela rede de onde saiu a mensagem, procure manter o e-mail mail-abuse@cert.br na cópia de reclamações de spam . Deste modo, o CERT.br pode manter dados estatísticos sobre a incidência e origem de spams no Brasil e, também, identificar máquinas mal configuradas que estejam sendo abusadas por spammers.

Vale comentar que recomenda-se não responder a um spam ou enviar uma mensagem solicitando a remoção da lista de e-mails . Geralmente, este é um dos métodos que os spammers utilizam para confirmar que um endereço de e-mail é válido e realmente alguém o utiliza.

Que informações devo incluir numa reclamação de spam?

Para que os responsáveis por uma rede possam identificar a origem de um spam é necessário que seja enviada a mensagem recebida acompanhada do seu cabeçalho completo ( header ). É no cabeçalho de uma mensagem que estão as informações sobre o endereço IP de origem da mensagem, por quais servidores de e-mail a mensagem passou, entre outras.

Informações sobre como obter os cabeçalhos de mensagens podem ser encontradas em http://www.antispam.org.br/header.cfml.

Informações sobre como entender os diversos campos normalmente encontrados nos cabeçalhos de e-mails estão disponíveis nas páginas abaixo (em inglês):

O que devo fazer ao identificar em um spam um caso de phishing/scam?

Ao identificar um spam como sendo um caso de phishing/scam , você deve enviar uma reclamação para os responsáveis pela rede de onde partiu a mensagem e para os responsáveis pelo site onde o esquema fraudulento está sendo hospedado 1 . A reclamação deve conter não só o cabeçalho, mas também o conteúdo completo da mensagem recebida. Dicas sobre como obter o conteúdo completo de mensagens em diversos programas leitores de e-mails estão disponíveis em http://www.spamcop.net/fom-serve/cache/19.cfml (em inglês).

Além de enviar a reclamação para os responsáveis pela rede de onde saiu a mensagem e pelo site onde o esquema fraudulento está sendo hospedado, procure manter o e-mail cert@cert.br na cópia da reclamação. Deste modo, o CERT.br pode manter dados estatísticos sobre a incidência e origem de fraudes no Brasil e, também, repassar a reclamação para os contatos dos responsáveis que, por ventura, não tenham sido identificados.

É muito importante incluir o conteúdo completo da mensagem na reclamação, pois só assim será possível identificar o site utilizado para hospedar o esquema fraudulento, que pode ser uma página clonada de uma instituição financeira, um arquivo malicioso para furtar dados pessoais e financeiros de usuários, entre outros.