O título do tópico foi mais ou menos o que disse o Superior Tribunal de Justiça, ao dar ganho de causa à Caixa Econômica Federal, em um processo onde um dos seus correntistas teve seu dinheiro (R$6.100,00) sacado em caixa-eletrônico.

A notícia pode ser lida aqui:
Cabe ao correntista a prova da culpa do banco em caso de saques irregulares

Ou seja, se você foi roubado porque:

1. Seu cartão foi clonado no posto de gasolina.
2. Seu computador foi contaminado com um keylogger.
3. O servidor DNS do seu provedor foi invadido e você digitou seus dados em um site clonado.
4. Etc, etc, etc...

Dane-se! Se vira pra provar que o sistema de autenticação do banco é falho. Porque para eles, e agora para a justiça também, tudo está funcionando as mil maravilhas, nós é que somos estúpidos demais para ter dinheiro guardado.

[]s, MM

---

O assunto é polêmico mesmo, e devemos analisar os dois lados dessa moeda.
Pela ordem :

1. Seu cartão foi clonado no posto de gasolina.
Em primeiro lugar, o cartão pertence ao banco. O cliente, de acordo com o contrato acordado e assinado no ato da abertura da conta ou da solicitação do cartão, é o fiel depositário, ou seja, é responsável pela guarda, conservação e uso adequado do cartão em troca do benefício de uso. Em relação a clonagem especificamente, a responsabilidade recai sobre o banco se a mesma foi efetuada a partir dos equipamentos deste último (ATMs, caixas das agências, terminais de auto-atendimento). No caso de estabelecimentos comerciais, a responsabilidade recai sobre o estabelecimento e a administradora dos terminais de venda.

2. Seu computador foi contaminado com um keylogger.
O computador do cliente não é de responsabilidade do banco, uma vez que não está sob a ação das políticas e normas deste último. O banco não pode definir o comportamento do cliente, apenas fazer recomendações (todos os sites de bancos tem uma seção sobre segurança).

3. O servidor DNS do seu provedor foi invadido e você digitou seus dados em um site clonado.
A responsabilidade pelo DNS do provedor é dele mesmo, pelo mesmo motivo do item 2.

Olhando deste ponto de vista, de fato o problema não é do banco, mas consideremos o seguinte : hoje, quando cliente comunica ter sido vítima de fraude, a maioria dos bancos ressarcem o prejuízo, com maior ou menor demora no processo.
Ocorre que, com a "popularização" dos golpes via internet ou a partir de clonagem, fica fácil para um cliente não idôneo alegar que saques, transferências ou pagamentos diversos não foram feitos por ele, e assim ganhar um dinheiro fácil. Hoje, o ônus da prova recai sobre os bancos, que também são vítimas nesses golpes.
Existem soluções mais seguras de autenticação (tokens, smart cards, etc.), mas existe um problema logístico muito grande para a implantaçào dos mesmos : hardware e softwares obsoletos dos clientes, falta de conhecimento, etc. .

Esta decisão do STJ vai acabar gerando uma dor de cabeça aos bancos talvez até maior do que o ressarcimento. Um exemplo :

a) o cliente alega ter sido vítima de fraude.
b) o banco alega que não foi problema no sistema, e que cabe ao cliente provar o contrário.
c) o cliente exige que o banco forneça a documentação sobre o sistema para análise de auditores independentes, e exige que o banco faça a análise forense de seu computador (se a fraude foi via internet).
d) o banco diz NÃO.
e) o cliente alega que, se o banco tem algo a esconder, então ;é porque tem culpa no cartório.

É claro que a coisa não vai ser "beeeeem" assim, mas que vai ser complicado, ah, isso vai ...

Dirty Vader

Algumas coisas eu não concordo, e vou comentar:

2 - Muitos keyloggers não detetam no mouse nem logam ele. O exemplo é o do www.cgd.pt (Caixa Geral de Depositos de Portugal) onde o sistema de autenticação são numeros digitados com o mouse e não no teclado. Cabe aos bancos fazerem seus sistema de segurança, e não ao cliente ficar seguro.

Alguns usuários mal intencionados se encarregam de fazer isso, fazendo defaces ao site do banco.


PS: mude de banco...

Infelizmente isso enfatiza ainda mais o despreparo e as falhas da legislação brasileira em relação aos meios digitais de comunicação. Principalmente quando isso atinge a prestação de serviços via web, que cada vez mais se tornam necessários e até então confiantes, mas que por "descuido"( ai vale saber de qual parte ) se tornam estranhos à realidade da população. Sobre este fato acho que a questão de clonagem de cartão deve ser responsabilidade da prestadora, que deve utilizar de seus recursos para minimizar este problema, se assim acontecer. Já a questão de senhas roubadas, na minha opinião, dependendo em que meio foi roubada seriam características individuais do processo e não automaticamente caberia o ônus da prova ao lesado..

amplexos!

Rui, não sei com está o problema de worms keyloggers na Europa, mas aqui no Brasil já tem keylogger (na verdade um screen logger) que captura clicks e movimentos do mouse. O exemplo que voce deu é facilmente "logado" por estes software. Alguns bancos aqui "escondem" os dígitos quando voce move o mouse para a caixa de "digitação" para evitar os screen loggers.
Eu tinha um exemplo de um screen logger aqui mas o antivirus corporativo apagou (...) . vou dar uma procurada em casa e se achar coloco aqui.

Não conheço o processo em questão, mas para haver a inversão do ônus da prova seria preciso provas que o sistema de banco é falho. Só "falar" realmente não dá para acreditar.

ESPECIFICAMENTE neste banco mencionado, creio que a simples solicitação dos esquemas de produção, segregação de funções internas poderia (eventulamente) ser suficiente para demonstrar a Corte que a segurança não é lá estas coisas....
Quer ver que fácil inverter o ônus se voce tiver que processar um banco? Peça a lista de usuários que tem acesso ao cadastro de senhas. Verifique como está armazenado o backup do cadastro.

Você (com um BOOOM advogado) consegue provar que a segurança é uma porcaria...

---

Só sei que nada sei.
"For the Horde"

Olá,

Eu tenho dois amigos que trabalham no Unibanco na area de Segurança da Informação e pelo que nos conversamos parece que os bancos nos ultimos anos tem se imporatado bastante com os clientes que foram fraudados (pela internet ou não) e tem se restituido os mesmos com uma boa agilidade. Afinal, é de interesse do banco que o cliente fique satisfeito e continue no banco e ao mesmo tempo eles atraves de pericias possam começar a buscar novas soluções para os problemas existentes.

ps.: A tecnica descrita acima de ofuscação em screenshots tmb é facilmente passada. Expliquei detalhadamente o funcionamento a uns 5 meses atras na lista do Clube Dos Mercenarios.

T+

[ ]'s

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

Pessoal,

Mandei um post hoje a tarde comentando cada item do post do Machado, mas não sei porque não foi publicado.
Enfim, lá vai outro dando continuidade a discussão.

Esta discussão está ficando excelente!

Dirty Vader

Lima, apenas uma correção : os loggers vem embutidos em trojans, e não em worms, pelo menos por enquanto. A simples idéia de um WOJAN (worm + trojan) já é de dar arrepios.
Um bom exemplo de logger é o Blazing Tools Perfect Keylogger, conhecido como BPK. Faz keylogging, screenlogging, URL logging e outros bichos mais. Serve de base para um monte de trojans utilizados em fraudes.

Acredito ser esta a maior dificuldade nessa história toda. Antes de mais nada, é necessário que a legislação defina exatamente quais são os elementos do dito sistema. O computador do cliente pode ser considerado como parte do sistema ? E se assim o for, pode (ou deve) o banco determinar regras para o cliente quanto ao uso, manutenção, políticas, dispositivos de entrada obrigatórios ?
Lembrem-se que os bancos já disponibilizam em seus sites as tais "dicas de segurança" para orientar os clientes, mas infelizmente poucos são os que dedicam algum tempo para ler.
Além disso, a mídia vem ostensivamente abordando o tema (semana passada uma quadrilha foi presa no norte do país e no embalo da notícia várias recomendações de segurança foram fornecidas).
Em meu post enviado a tarde eu comentei justamente sobre esse aspecto. Banco nenhum vai abrir essas informações, nem sob mira de revolver. Em último caso, sai mais barato pagar logo a indenização ao cliente do que correr o risco de ter esse tipo de informação vazando por aí.
Não, não consegue. É mais fácil o banco provar que a fraude ocorreu por negligência do cliente, com um simples exame do registry do computador (HK_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run), dos processos ativos (já que os trojans permanecem, na grande maioria dos casos, ativos no computador mesmo depois de capturar as senhas) e dos logs dos trojans (arquivos de texto e de imagem).

Nem eu sei como está.. aqui de Portugal até França ninguém ouve falar em usuários domesticos correndo riscos de segurança.
Se ai no Brasil tem, aqui deve ter. O usuário comum (aquele que acessa a Internet para ler e-mail, entrar no IRC, chat do terra, sites p0rno, e afins) não vai ser afetado. Esses keyloggers de "elite" são para empresas, e onde o "dono" do keylogger pode ganhar algum dinheiro.


---

Achei essas materias interessantes:
http://www.waresight.com/
http://www.sharewareorder.com/PC-Pol...load-37300.htm

No primeiro site, ele é um DOMINIO REGISTRADO; pergunta: o keylogger é legal? Se não é, porque o website não está já fechado, e proibida a reprodução?

eu sempre faço confusão com essa nomenclatura. Melhor sempre é usar o genérico - malware
se foi esse o caso (senha roubada por keylogger), então na minha modesta opinião, o cliente está errado.

Mas muitas vezes, os clientes perdem sua "senhas" nas próprias utilidades dos bancos (atm com "chupa-cabras" por exemplo) ou processos "porcos" de segurança internos (mais comum do que voces imaginam). Aí é realmente o que foi dito: Não creio que algum banco irá permitir uma perícia forense em seus sistemas internos. Nem que a indenização fosse 500.000,00, seria melhor pagar do que ser exposta ao pública sua (in) segurança interna.

é de dar medo.

---

Só sei que nada sei.
"For the Horde"

Olá Vader,
Veja bem, os bancos estão economizando milhões e milhões de reais todos os meses com a diminuição de pessoal nas suas agências e na simplificação e automatização dos processos executados via internet banking e caixas eletrônicos.

Isto posto, pergunto: porque basear todo esse sistema em um método de autenticação tão falho quanto número de conta e senha? Se existem métodos mais seguros de autenticação, métodos que impedem que um keylogger roube a senha do banco e que cartões sejam clonados por garçons, porque não usar o dinheiro economizado na utilização desse sistema para promover estas alterações?

Se meu cartão é clonado, o fato d'eu ser fiel depositário do cartão não significa nada, pois eu simplesmente NÃO POSSO executar toda a operação de pagamento através de métodos sob meu controle. Não sou o dono da máquina onde o cartão é usado. E o mesmo vale para a senha.

Os bancos oferecem o serviço de Internet Banking sob uma plataforma onde a segurança É TRISTE, e eu também não tenho controle dos DNS do meu provedor. Eu acesso o site do banco seguindo exatamente as recomendações do banco e, mesmo assim, entro em um site que não é do banco.

O fato é que os bancos não possuem uma segurança satisfatória para impedir que seus clientes sejam enganados, nem para identificar quando isso acontece para poderem tomar as providências necessárias. E o STJ está dando o aval a este descaso.

[]s, MM

---

Bom, antes de mais nada gostaria de esclarecer uma coisa que, acredito eu, alguns de vocês já devem ter percebido pelos meus posts: eu tenho experiência em segurança bancária. Infelizmente, por questões de N.D.A., não posso dizer nem onde e nem quando adquirí esta experiência aqui no fórum, e muito menos revelar detalhes sobre os processos de segurança inerentes aos bancos.
Mas acho que, na medida do possível, estou contribuindo com informações que não ferem o N.D.A.
Isto posto, vamos em frente :
Não é bem uma economia, e sim um remanejamento de recursos. Ao invés de gastar com funcionários, gasta com tecnologia. Ok, sei que não é justo, mas é a realidade.
Como eu disse em outro post, soluções existem, mas a logistica de implementação é algo absurdamente complicado. Veja, estamos falando de dezenas de milhões de clientes. Há que se considerar a capacidade dos fabricantes em atender a demanda dos bancos. Qual fabricante consegue produzir e entregar, digamos, 10 milhões de tokens em 1 mês ? E qual será o impacto na mudança de sistema de autenticação para o cliente? Lembra do que eu disse com relação a hardware e software obsoletos? Como convencer um cliente a fazer upgrade de seu Windows 95 (e por tabela, de seu hardware) ? E esse custo, quem arcará com ele?
Os crimes ditos "cibernéticos" são um fenômeno recente, quase tanto quanto os serviços de internet banking. No Brasil especificamente, essa modalidade de crime surgiu há 2 anos, baseado no uso de keyloggers para a captura de senhas. Até então, o sistema de autenticação por senhas era mais do que suficiente para garantir a segurança. A maior preocupação era quanto a um ataque de eavesdropping entre o computador do cliente e o CPD do banco, daí a utilização de SSL a partir da entrada das senhas. Quando o primeiro keylogger foi identificado (embutido em trojans como o Troj_Spider, PWSteal, etc.), os bancos usaram o recurso do "teclado virtual" para burlar a captura de teclas. Foi aí então que surgiram os screenloggers e, pior ainda, os trojans que abrem pop ups imitando as páginas dos bancos.
A realidade é a seguinte: a maior vulnerabilidade dos sistemas de internet banking reside no cliente, onde os bancos não podem (ou devem) ditar regras e políticas. Você aceitaria que seu banco determinasse o que você pode ou não fazer com seu computador, quais softwares você pode ou não ter instalados ? Vou além : a grande sacada do internet banking é a facilidade de você poder fazer suas transações de qualquer lugar do planeta. Os bancos devem pesar esse fato ao decidir por qual solução de segurança irão optar, sob pena de restringir demais o acesso.
Um outro detalhe que acho conveniente ser citado: e a responsabilidade dos fabricantes de anti-vírus, como fica nessa história? Uma vez que os loggers vem embutidos em trojans, se estes últimos foram inadvertidamente instalados e ativos pelo usuário, houve falha do produto anti-vírus em detectá-los e removê-los, certo?
Machado, a questão da senha varia de banco para banco. Alguns fornecem a senha pelo correio. Outros, é você quem a cadastra. Neste último caso, o dono da senha é você, e não o banco.
O caso de clonagem de cartões é diferente comparando-se a fraudes via internet, pois implica em vários fatores, a começar com a origem da clonagem, que pode ser uma ATM ou mesmo um PDV, e também o fator humano (aliciamento de funcionários dos estabelecimentos, por exemplo).
Machado, deixe-me ver se eu entendi corretamente: por plataforma você se refere ao Windows? Se for isso mesmo, não há como não ser essa a opção, já que 99% dos clientes utilizam essa plataforma. Alguns bancos oferecem compatibilidade com algumas versões de Linux e Mac.
Com relação ao DNS, volto a dizer que a responsabilidade de manter a segurança contra ataques de poisoning é do provedor. A menos que os provedores permitam que os bancos interfiram em seus processos internos, não há o que se fazer. Ou melhor, na verdade há. A diferença entre as páginas clonadas e as páginas verdadeiras dos bancos reside basicamente no estágio de entrada de senhas. As páginas clonadas sempre pedem a senha de validação de transações, normalmente diferente da senha de acesso ao serviço, sem que haja transação. Talvez os bancos deveriam enfatizar essa informação junto aos clientes.
Podemos então colocar nesse mesmo balaio as administradoras de cartão de crédito, as lojas de comércio eletrônico (Americanas.com, Submarino, etc.), instituições que possuam serviços online onde você tem que preencher cadastros, certo? Afinal, os keyloggers estão capturando essas informações também!

No final das contas, a questão de responsabilidades deve ser definida em alguma futura lei que defina quais elementos fazem parte de um sistema de eletrônico onde informações sigilosas ou públicas são fornecidas, a decisão do STF poderá perder a validade.
Algum advogado membro do fórum poderia dar seus 2 cents sobre essa minha afirmação?
Dum_dum, possivelmente conheço pelo menos uma das duas pessoas do Unibanco mencionadas por você. "Dedo no olho e tapa na cara do bandido" é uma frase que ele usou recentemente em uma entrevista, certo?

Pessoal, esta discussão está realmente excelente !!! Não vamos deixar morrer, Ok ?

Dirty Vader

Pessoal,

essa decisão é realmente lastimável, porém a única maneira de reverter isso são as pessoas lesadas entrarem na justiça sobrecarregando os jugamentos e fazendo com que a imagem dos bancos e os custos de um processo pesem no orçamento.

duvido que o banco queira pagar esse preço (imagem e processo) se alguém for lesado em poucos $$ e com o tempo e a união do crime organizado tradicional com esses novos "célebros" vão fazer aumentar os números de casos e isso irá forçar uma mudança de atitude.

o pior é que neste fim de semana uma amiga teve sua conta zerada... é cruel.

Padawan, você está a um passo do lado negro da Força!

O que você está propondo equivale a um "ataque DDoS" no sistema jurídico do país, o qual já está pra lá de sobrecarregado. E, na verdade, sua "solução" é favorável aos bancos, já que um processo desses irá demorar uma eternidade para ser julgado graças a sobrecarga nos fóruns, dando tempo para que jurisprudências ou mesmo leis apareçam para sacramentar a decisão do STF. No final das contas, além de ter o dinheiro roubado, o cliente ainda terá que arcar com as custas do processo. Pode acontecer de o panorama se reverter e no final de tudo a balança pender para o lado do cliente, e mesmo assim as eventuais indenizações serão "dinheiro de pinga" para os bancos. Aliás, os bancos já estão acostumados com processos contra eles em várias frentes (reclamações trabalhista, defesa do consumidor, etc.)

Dirty Vader

Ok, está perdoado...

Quer dizer não existe diferença de investimentos entre aumentar a capacidade de um servidor, um link e adicionar um HD ao RAID e entre montar uma agência bancária inteirinha, com espaço físico, material de construção, mobília e alocação de pessoal? Se não houvesse a Internet, estaríamos todos usando phonebanking ou coisas assim, porque simplesmente não há como suprir todas as demandas com instalações físicas.

Esta equação é simples:

Cliente: Mas porque eu tenho que comprar esse hardware de identificação biométrica?
Banco: Para usar o Internet Banking, senhor.
Cliente: Sem isso, não posso usar o banco de vocês?
Banco: Sim, mas apenas nas nossas agências bancárias, senhor.
Cliente: Mas no banco XYZ eu não preciso dessa porcaria!
Banco: Oops!

E assim vamos empurrando com a barriga...

É isso que estamos discutindo, não é? Qual é o próximo passo dos bancos para trazer novamente nossa segurança para um nível aceitável? (aceitável, para mim, é não ter meu dinheiro roubado do meu banco, afinal ele está no banco justamente para ficar guardado, a salvo, seguro!)

SIM! (retumbante)

Ele não pode me proibir de ter o que quiser no meu computador, mas deveria me fornecer um sistema que impedisse que eu fosse roubado ou que deixasse de funcionar caso meu computador não oferecesse a segurança adequada.

Eles não fizeram isso quando optaram por usar certificados de 128 bits enquanto muita gente ainda usava o Explorer 5 com certificado de 40 bits? É uma opção do banco não funcionar com baixa seguança, e acho que isso devera ser levado ao extremo necessário para guardar meu dinheiro a todo o custo.

Meu acesso já é bastante restrito. Não posso tirar mais do que cem ou duzentos reais da minha conta a partir de deteminado horário, mesmo que eu precise do meu dinheiro para salvar a vida da minha mãe. Por que existe uma restrição como essa e ao mesmo tempo o Internet Banking funciona em qualquer queijo suíço?

Que tal se os bancos exigissem a instalação de um anti-vírus certificado pela instituição, e só funcionassem se o AV estivesse ativo e atualizado? Melhor ainda: e se os bancos fornecessem um aplicativo semelhante ao anti-vírus que monitorasse atividades como a do PWSTEAL?

Não, estou falando da plataforma IPv4. O Windows é um dos maiores problemas, mas existem outros mais fundamentais.

Completamente de acordo!

Certamente! Só que, por enquanto, se chegar uma compra na fatura do meu cartão de crédito que eu não realizei, a administradora vai removê-la. Se isso voltar a ocorrer, vou cancelar meu cartão e pedir outro. A partir do momento que o STJ decidir que eu devo pagar pelas compras que não fiz, a história vai mudar, vamos abrir outro (excelente!) tópico como este e discutir, discutir, discutir...

Não vejo a hora de termos alguma coisa relacionada a isso! Tão importante quanto a proteção do cliente é a proteção do banco. Existem muitos salafrários nesse mundo que podem se aproveitar das falhas no sistema de autenticação para impedir que o banco prove sua identidade, e isso pode ser usado para negar uma transação legítima. Rastreabilidade...

[]s, MM

---

Se voce contar, vai ter que matar todos aqui do forum
Alias, eu trabalho em segurança bancária (tambem). Será que temos os mesmos clientes?

Seu exemplo é perfeito. Exemplo: um cliente meu está implantando certificados digitais para a autenticação de transação (internet) para PJ. Voce tem que ver a chiadeira dos clientes
"... que dificil! não dá para manter só aquela senha de 4 números?"
".. não pode deixar o certificado no hd? que saco! toda hora vou ter que colocar o disquete?"
e por aí vai...

É tudo custo x benefício MM. A fraude custa bem menos que perder os clientes. Alias o custo da fraude já está embutido no custo do serviços (voce já paga pela fraude )

A respeito de dispositivos mais seguros, todo o problema reside na COMPATIBILIDADE.

Um banco poderia adotar um cartão, inteligente, cheio de "james bond". O problema é que os clientes iam reclamar:
"Pô, não posso mais sacar no banco 24 horas?"
"2 cartões? débito e crédito sepadarados? não dá para ser um não?

Essa (do cartão múltiplo) foi a última batalha que perdemos. Nós não queriamos de jeito nenhum o método de implantação (n.d.a. sem detalhes) mas perdemos para o pessoal de marketing.
a decisão (da diretoria) foi:
"se fizermos do jeito que a equipe de segurança quer, vamos perder clientes/dinheiro . Façam como o marketing sugeriu"

Apesar de todo mundo falar de fraudes, eles são pequenas em relação ao número total de transações.
O problema é quando ela ocorre no seu, no meu cartão...

---

Só sei que nada sei.
"For the Horde"