Apesar de irritar usuários ao deixar serviços indisponíveis por algumas horas, ataques de ativistas não representam risco de vazamento de dados.
Nos últimos dois dias, uma série de ataques tem retirado do ar os sites de alguns dos maiores bancos brasileiros. Na segunda (30), a página do banco Itau ficou indisponível por alguns minutos. Nesta terça (31) foi a vez do Bradesco. Em ambos os casos, as instituições negaram os ataques, e atribuíram a indisponibilidade à "intermitências".
Apesar de toda a publicidade obtida, os protestos online contra os bancos, empresas e páginas de governos produzem mais barulho do que dano. O que os grupos de "ciberativistas" fazem é tornar o acesso indisponível por meio de um ataque chamado de Negação de Serviço Distribuída, ou DDoS, na sigla em inglês.
Leia também: Seis dicas para usar o home banking com segurança
"No entanto, não é um ataque de invasão", explica José Antunes, gerente de Engenharia de Sistemas da McAfee. "Os dados dos usuários não foram acessados", aponta. Ele explica que as ações têm como motivo apenas "mostrar força".
Antunes explica que os bancos possuem ferramentas sofisticadas para monitoramento desses ataques. Inclusive, elas são capazes de desviar o tráfego em momentos de pico. No entanto, por questões de desempenho dos serviços, ficam em modo de vigilância. Até serem acionadas, o site fica fora do ar por alguns minutos. "Se o banco coloca várias camadas de segurança sobrepostas, pode afetar a disponibilidade do site – algo essencial para os clientes", aponta.
Em termos de segurança, no entanto, nada muda. O elo mais fraco sempre foi – e continua sendo – o usuário. "O esforço para invadir o servidor de um banco seria colossal", explica. Por isso, é mais fácil atacar o internauta. A comparação seria entre atacar a caixa forte ou o correntista que acabou de sacar o dinheiro e está na rua.
Portanto, é errado dizer que "o banco foi invadido". Na verdade, quem foi atacada é a conta do internauta, que permitiu a entrada de um vírus em seu computador do trabalho ou de casa. Usando os dados roubados, o cracker se faz passar por ele e acessa a conta normalmente, tal como acontece na clonagem de cartão de crédito.
Ataques DDoS
O ataque DDoS, usado contra os bancos esta semana, consiste no envio de milhares de requisições, em um curto espaço de tempo, contra um mesmo endereço – seja um banco, site de governo ou de empresa. Tal como em um pedágio em véspera de feriado, o congestionamento leva o sistema a beira do colapso. Mesmo companhias habituadas a receber milhões de requisições por hora, como a Amazon, podem apresentar instabilidade devido ao excesso de demanda – embora seja quase impossível derrubá-las.
No entanto, tal como num congestionamento, uma hora o volume diminui e tudo volta ao normal. Além disso, grandes empresas possuem ferramentas que detectam de onde estão partindo os ataques e os bloqueiam ou desviam.
Os recentes ataques usam várias ferramentas. A mais famosa é o LOIC, um acrônimo nerd que significa Canhão de Íons de Baixa Órbita – o que não quer dizer nada. Esse programinha dispara milhares de requisições por minuto contra um determinado endereço, e pode ser configurado pelo atacante ou remotamente.
No entanto, muitos internautas sequer sabem que estão participando. É o caso de quem o computador contaminado por um Cavalo de Tróia (Trojan). Esse programinha roda de modo invisível no sistema, e pode ser usado para disparar requisições contra um site, sem que o usuário note nada de diferente.
Sistemas infectados com esses Trojans podem fazer parte de uma rede de micros-zumbis (botnet). Essas redes agregam milhões de computadores, controlados remotamente, e podem servir para atacar empresas, disparar "toneladas" de spam ou mensagens com vírus.
Como se defender?
Para o usuário comum de internet banking, as dicas são a de sempre: mantenha o sistema sempre atualizado. Isso vale para todos os componentes: Windows, plugins (Java, Flash, Adobe Reader), browser (geralmente esquecido) e, claro, antivírus.
"Essa coisa de não atualizar o browser por estar acostumado com a versão antiga é um risco de segurança", aponta o expert.
Além disso, lembrar da velha regra: bancos e Receita Federal não mandam e-mails. Portanto, qualquer mensagem que peça novo cadastro ou atualização de segurança é golpe.
No caso específico dos bancos, outra dica é trocar o .com pelo .b no endereço. Exemplo: banco.b.br (no lugar de banco.com.br). Esses domínios só podem ser usados por bancos, e garantem que a página não é clonada.
Os principais bancos já utilizam esse domínio, embora alguns ainda redirecionem o b.br para o com.br.
Segundo Antunes, no futuro o ideal seria a extinção dos endereços banco.com.br. "O domínio .b.br permite um controle muito maior do tráfego", explica.
