Segurança

Conceitos De Segurança

A Segurança da Informação refere-se à protecção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as pessoais.

Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afectada por factores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objectivo de furtar, destruir ou modificar tal informação.

A tríade CIA (Confidentiality, Integrity and Availability) — Confidencialidade, Integridade e Disponibilidade — representa as principais propriedades que, actualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger.

Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes electrónicas (públicas ou privadas) se desenvolve.

Conceitos Básicos

Confidencialidade – propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

Integridade – propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).

Disponibilidade – propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma “política de segurança” que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.

Para a montagem desta política, deve-se levar em conta:

  • Riscos associados à falta de segurança;
  • Benefícios;
  •  Custos de implementação dos mecanismos.
Acções De Phishing

Os clientes do BCI poderão receber emails que não são enviados pelo BCI, simulando que o são, e que pretendem recolher dados pessoais e confidenciais para posterior utilização fraudulenta. Estes emails enquadram-se em acções criminosas designadas por Phishing que têm sido dirigidas a clientes de várias instituições financeiras em Moçambique e no estrangeiro.

Apesar de, até ao momento, as acções desencadeadas terem conseguido evitar qualquer prejuízo aos Clientes do BCI, alertamos todos os Clientes e em especial os utilizadores do serviço daki via internet (eBanking) para a necessidade de se manterem particularmente atentos à detecção e prevenção deste tipo de fraude

O Que É O Phishing

Phishingé um tipo de acção fraudulenta que recorre ao uso de mensagens de email que aparentam ter origem no banco, mas que efectivamente provêm de impostores.

O golpe de phishing (também conhecido como phishing scam, ou apenas scam) é realizado através da criação de um website falso e/ou do envio de uma mensagem electrónica falsa, geralmente um e-mail ou recado através de scrapbooks, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras).

Tipicamente estes emails induzem o receptor a utilizar um link para uma página web onde é levado a introduzir ou confirmar informação sensível, como por exemplo, códigos de acesso a serviços de eBanking, cartões de crédito e débito, dados sobre contas bancárias, números de cartões de crédito, etc. Apesar destes web sites terem uma aparência legítima (logos, páginas e navegação), efectivamente não o são. O cliente deve prestar sempre atenção ao link no qual se encontra, tendo em conta que os BCI são:“https://www.bci.co.mz”,“https://empresas.bci.co.mz” e “https://particulares.bci.co.mz”. Não são usados outros domínios ou endereços que não seja o acima indicado.

Tipos De Mensagens Electrónica Utilizadas

E-mail
Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais, etc.

Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente colectados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores web mal configurados e computadores com conexão banda larga infectados com cavalos de Tróia (trojans) propositadamente desenvolvidos para permitir o envio de e-mail em massa (spam).

Roubo de identidade
Uma técnica popular é o roubo de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras.

A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sítios falsos, normalmente muito parecidos com os sítios verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas. O conteúdo preenchido no formulário é enviado ao estelionatário.

Roubo de informações bancárias
A forma de persuasão é semelhante à do roubo de identidade, porém a mensagem recebida contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos factores, que raramente acontece (e que não vale a pena ser explicada aqui).

O phishing via e-mail não vem apenas com o nome de entidades famosas. São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de Tróia (trojan) bancário no computador do usuário.

Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail. Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.

Outro detalhe fundamental é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site sério de cartões requer que o usuário baixe qualquer arquivo!

Como Detectar Um Phishing

Existem alguns sinais de suspeita a que deverá estar atento:

Linguagem e tom da mensagem
Na maioria das vezes a mensagem fraudulenta apela a uma acção urgente, a pretexto de risco de inibição do acesso às contas. Poderá dizer que se não actualizar, introduzir ou confirmar os seus dados, o acesso ao serviço daki via internet (eBanking) será suspenso.

É também frequente encontrar
… erros grosseiros ou expressões pouco comuns na redacção destes emails, que facilmente excluem a hipótese de se estar perante uma comunicação autêntica do BCI.

Pedido de dados pessoais.
Tipicamente estes emails pretendem a recolha de dados pessoais e confidenciais, tais como números de contas, de cartões de débito e de crédito e códigos de acesso ao serviço daki via internet (eBanking).

Páginas não seguras.
Nos casos mais sofisticados o falso web site pode parecer muito semelhante ao autêntico, incluindo o endereço web (URL) que aparece na janela do browser. Deverá, no entanto, suspeitar do pedido de dados confidenciais através de páginas não seguras (as páginas seguras apresentam um símbolo «cadeado» na barra inferior da janela do browser).

Como Evitar Tornar-Se Vítima De Phishing?

SuOs clientes do BCI poderão receber emails que não são enviados pelo BCI, simulando que o são, e que pretendem recolher dados pessoais e confidenciais para posterior utilização fraudulenta. Estes emails enquadram-se em acções criminosas designadas por Phishing que têm sido dirigidas a clientes de várias instituições financeiras em Moçambique e no estrangeiro.

Apesar de, até ao momento, as acções desencadeadas terem conseguido evitar qualquer prejuízo aos Clientes do BCI, alertamos todos os Clientes e em especial os utilizadores do serviço daki via internet (eBanking) para a necessidade de se manterem particularmente atentos à detecção e prevenção deste tipo de fraude6>Atenção a Ofertas de Lucro Rápido e Fácil

Suspeite de e-mails com ofertas de qualquer actividade com pouca ocupação de tempo e lucros fáceis e rápidos.

Mesmo que não envolvam solicitações de dados de acesso ao eBanking o objectivo consiste em poder transferir dinheiro, através da sua conta, de modo fraudulento.

  • Nunca dê os seus números de conta a desconhecidos.
  • Se tiver créditos nas suas contas cuja proveniência desconheça, contacte qualquer agência do BCI.
  • Nunca transfira dinheiro, por qualquer meio, para um destinatáue não conheça.

 

Aprenda Como Detectar os e-Mail Phishing e as Páginas de e-Banking Fraudulentas

Veja aqui alguns exemplos recentes de Phishing

Que Fazer em Caso de Ser Vítima de Phishing?

Contacte-nos imediatamente através dos contactos:

800 224 224

Linha Gratuita

+258 21 224 224

Chamadas internacionais

Faladaki@bci.co.mz

Atendimento 24h todos os dias

O Pharming é uma variante mais sofisticada de Phishing que explora vulnerabilidades dos browsers, dos sistemas operativos e dos servidores de DNS (Domain Name Servers) para conseguir conduzir os utilizadores a sites fictícios com o objectivo de obter os códigos de acesso.

O termo “pharming” designa a actividade realizada por hackers com intenções criminosas, que redireccionam o tráfego da Internet de um Web site para outro, idêntico, de forma a enganá-lo e convencê-lo a introduzir o seu nome de utilizador e palavra-passe na base de dados do site falso.

Os criminosos tentam obter informações pessoais para acederem a contas bancárias, furtarem identidades, ou cometerem outro tipo de fraudes sem serem identificados, pelo que os sites bancários e financeiros são muitas vezes os alvos destes ataques.

O pharming pode parecer semelhante aos esquemas de phishing executados por correio electrónico, mas o pharming é mais insidioso, uma vez que o redirecciona para um site falso, sem qualquer participação ou conhecimento da sua parte.

Se se aperceber de algo suspeito num Web site fidedigno, denuncie-o, se possível telefonicamente, para a empresa ou particular que detém a propriedade do site. Pode ser uma falha normal ou uma actualização de um site, ou pode ser um erro cometido pelo criminoso quando tentou duplicar o Web site.

10 REGRAS BÁSICAS DE SEGURANÇA

  1. Instale um antivírus. Mantenha-o activo e actualizado em permanência. Regra geral, os fornecedores de antivírus disponibilizam actualizações diárias.
  2. Mantenha as aplicações instaladas no seu computador actualizadas. Em particular, é muito importante manter o seu sistema operativo e o seu browser actualizados em todos os momentos. No menu do programa “Internet Explorer” execute o comando Ferramentas – Windows Update.
  3. Utilize uma firewall para controlar e verificar a comunicação do seu computador com a Internet.
  4. Não abra nem execute ficheiros ou anexos constantes em e-mails, a não ser que esteja à espera deles e saiba do que tratam. Mesmo e-mails enviados por pessoas conhecidas podem conter ficheiros ou anexos perigosos (têm a certeza que o amigo do seu amigo é de confiança?).
  5. Nunca forneça dados pessoais e/ou financeiros como resposta a solicitações via e-mail ou páginas a que acedeu por aquela via.
  6. Nunca forneça dados pessoais e/ou financeiros sem ter a certeza que se encontra num site seguro. O endereço do site deve começar por “https://” e não por “http://” e deve poder fazer duplo clique sobre o cadeado no canto inferior direito da janela do explorador.
  7. Não utilize PIN’s, palavras-passe ou códigos de acesso de fácil dedução. Leia o artigo “Sugestões sobre palavras-passe para utilizadores”.
  8. Utilize palavras-passe diferentes para sítios diferentes.
  9. Consulte os extractos das suas contas bancárias regularmente. Se encontrar algum movimento estranho contacte imediatamente o seu banco.
  10. Se pretender realizar operações financeiras, através da Internet, aceda ao site escrevendo directamente o endereço no browser. Não siga hiperligações nem aceda através dos “Favoritos”.

Seria fácil assegurar que o seu computador estaria protegido contra todos e quaisquer ataques. Bastaria desligá-lo de qualquer rede externa, fechá-lo à chave numa sala e garantir que ninguém lá entrasse. Porém, o mundo global não permite tal isolamento.

Por isso, a melhor protecção é a prevenção. É claro que não se pretende que os utilizadores da Internet se tornem especialistas em segurança da rede World Wide Web mas que, acima de tudo, adquiram um conhecimento básico e adoptem um conjunto de regras que permitam atingir um nível de protecção adequado e exequível.

Alguns conselhos e procedimentos para a utilização segura da Internet

  1. Não abra mensagens de correio electrónico ou anexos de origem duvidosa;.
  2. Desactive a opção de pré-visualização correio electrónico;
  3. Actualize regularmente o sistema operativo e o browser.
  4. Instale um antivírus e mantenha-o sempre actualizado;
  5. Utilize um firewall pessoal actualizado.

Internet Banking

Recomendações Básicas de Segurança
Conheça os nossos conselhos para uma utilização segura dos serviços de Internet Banking do BCI.

  1. Não utilize computadores públicos para aceder;
  2. Memorize os seus dados e códigos pessoais; Não utilize PIN’s, palavras-passe ou códigos de acesso de fácil dedução. Leia o artigo “Sugestões sobre palavras-passe para utilizadores”; Utilize palavras-passe diferentes para sítios diferentes.
  3. Nunca forneça dados pessoais e/ou financeiros sem ter a certeza de que se encontra num site seguro. O endereço do site deve começar por “https://” e não por “http://”. Verifique sempre o certificado digital para se assegurar de que está a aceder aos serviços de Internet Banking do BCI; Verifique a existência de cadeado na denominação do site.
  4. Nunca forneça dados pessoais e/ou financeiros como resposta a solicitações via sms, telefone, e-mail ou páginas a que acedeu por e-mail;
  5. Aceda ao site escrevendo directamente o endereço no browser. Não siga hiperligações (links) nem aceda através dos “Favoritos”.
  6. Confira sempre os dados das operações efectuadas no BCI Directo eBanking, recebidos por OTP (one time password), antes de as confirmar;
  7. Consulte os extractos das suas contas bancárias regularmente. Se encontrar algum movimento estranho, contacte imediatamente o seu banco;
  8. Termine sempre a sessão BCI Directo eBanking ou App;
  9. Limpe a memória cache (ficheiros temporários) do seu computador, após aceder ao BCI Directo;
  10. Apague informação privada do disco do seu computador;
  11. Mantenha-se a par dos tipos de Phishing e outras tentativas de fraude comuns.

Caso detecte alguma anomalia, não prossiga a utilização do serviço. Deve:

  1. Ler todas as recomendações de segurança que estão disponíveis em www.bci.co.mz/seguranca;
  2. Suspeitar de e-mails, sms ou outras comunicações não solicitadas;
  3. Assegurar-se de que o número de telemóvel que está a activar está correcto e conferir sempre cautelosamente, nos sms que irá receber, que os dados relativos às operações estão correctos antes de as confirmar;
  4. Verificar as suas contas: consultar regularmente os saldos, as operações e os agendamentos, bem como a data e hora do último acesso;
  5. Suspeitar das instalações de aplicativos/software no seu dispositivo móvel e, sempre que possível, desativar a conectividade bluetooth;
  6. Em caso de perda ou roubo do seu dispositivo móvel, contactar de imediato o respectivo operador assegurando-se de que o número fica inactivo para impedir o seu uso fraudulento.
    Mecanismos de segurança

Os serviços de Internet Banking do BCI utilizam mecanismos de segurança através das tecnologias mais avançadas existentes no mercado.

Autenticação e identificação

  1. Nome de Utilizador e Código de Acesso: dados do conhecimento exclusivo do Cliente e que são solicitados no acesso ao Internet Banking;
  2. Código de confirmação: Código composto por sete caracteres alfanuméricos e que é a credencial de segurança no processo de autenticação e confirmação, em determinadas operações;
  3. OTP (one time password): código alfanumérico remetido ao Cliente por sms nos processos de autenticação e confirmação, em determinadas operações. Este código é valido apenas uma vez. Será gerado um novo código sempre que efectuada uma nova operação.

Glossário

Browser
Software que utiliza o protocolo http (Hiper Text Transfer Protocol) para ver páginas Web alojadas em servidores na Internet.

Cavalo de Tróia (Trojan)
Programa informático que tendo aparentemente uma função útil e inofensiva, contém código malicioso ou destrutivo que pode adquirir permissões ilegítimas e provocar danos ao sistema que o aloja ou aos seus dados.

Chave RSA
RSA é um algoritmo usado em criptografia assimétrica, tecnologia de segurança que utiliza um par de chaves (chave pública e chave privada), aplicando um componente diferente do par em diferentes fases do algoritmo.
Envolve a transformação criptográfica da informação a transmitir, via Internet ou outro canal considerado inseguro, num código complexo que apenas poderá ser decifrado através da aplicação da chave correcta.

Cookies
Pequena porção de informação que um Web site escreve no disco duro do computador do cliente e que pode recuperar posteriormente. Os cookies podem ter várias funções, podendo armazenar as preferências do utilizador para certos tipos de informação ou gravar informação relativa à sua visita ao Web site.
A utilização de cookies não representa necessariamente uma invasão de privacidade e pode ser usada para personalizar ou manter parâmetros de sessão com um Web site.
A maioria dos browsers aceita automaticamente cookies, mas podem ser configurados de forma a inibir essa função. No entanto, sem cookies, alguns Web sites podem não funcionar correctamente.

Encriptação
Codificação de dados a transmitir através de uma rede pública como a Internet, por forma a garantir a integridade e confidencialidade dos mesmos. A codificação é efectuada mediante a utilização de fórmulas matemáticas (algoritmos). Sem a posse da respectiva fórmula de descodificação, toda a transmissão consiste num conjunto de caracteres que não faz qualquer sentido e, como tal, é inutilizável.

Download
Termo usado para descrever o processo de descarregar um ficheiro da Internet para um computador.

Ficheiro de Spool
Ficheiro onde são guardados dados para processamento posterior. No caso de uma impressora, este ficheiro guarda os documentos que aguardam impressão.

Firewall
Descontinuidade lógica ou física numa rede para prevenir acessos não autorizados a dados ou recursos.
Um firewall pessoal é um firewall instalado e utilizado num computador pessoal por forma a restringir a comunicação a tipos específicos de dados. Protege o computador e os dados armazenados contra hackers e vírus.
Hacker
Termo usado para classificar alguém que tenta entrar, de forma ilegal, em sistemas informáticos.
Tipicamente é um programador proficiente, com conhecimentos técnicos avançados que lhe permitem identificar e explorar os pontos fracos de um sistema considerado seguro.

ISP
Um ISP (Internet Service Provider) é um fornecedor de acessos à Internet, através de uma linha telefónica ou outro meio ligado ao computador do cliente, dando ao cliente um pacote de software, um username, uma password e um número de acesso telefónico.

Keyloggers
É um programa ou um dispositivo físico desenvolvido para registar a sequência de teclas digitadas por um utilizador. Pode registar tudo o que se digita, incluindo passwords, emails, números de cartão de crédito, etc..

Memória Cache
É a área de armazenamento temporário do browser. Quando o utilizador visita uma página Web, é automaticamente armazenada uma cópia dessa página na cache do computador, ou seja numa directoria existente no disco duro.
Se o utilizador volta à página que visitou recentemente, o browser pode ir lê-la à cache em vez de ir ao servidor original na Internet, poupando tempo e recursos de rede.

Software
É um programa, geralmente armazenado e executado pelo computador, utilizado para o operar ou executar uma tarefa.

Volatr ao Topo