[GTER] PhishingScams bancários

[Trober]

Bom-dia a todos.

Mesmo com todo o faturamento que o sistema bancário tem[1], não há
vontade/interesse/conhecimento para implementar tecnologias básicas de
coexistência mínimas na internet.

O jeito é tocar na ferida. Algum órgão gestor/regulador (CGI.br?) poderia
colocar em quarentena todos os domínios de banco que não tenham SPF. Seria
muito feio para o banco (e desesperador para a equipe de marketing) ver
que banco não é tão "TOP 1" (critério duvidoso de certas fundações) como
se dizem ser. (curiosamente todos os bancos são para si "TOP 1", hehe).

Outra forma é montar um ranking de bancos relapsos. Não sei quanto à
legalidade disso, já que essa exposição pode dar problema jurídico. Mas
considerando o risco social/tecnológico existente, acredito que é uma
forma de forçar a corrigirem problemas básicos. Particularmente não vejo
problema, principalmente considerando a relevância da situação. Se até
quebrar patente[2][3] de medicamento foi moleza, quem dirar forçar
instituições bancárias a fazerem o básico/mínimo.

Agora vamos revirar o ego (inflado) dos bancos: Qual será o primeiro banco
a se declarar 100% compliance?

Enfim, meus poucos centavos para a resolução de um problema bilionário.


[1] http://www.feebpr.org.br/lucroban.htm
[2] http://www.sistemas.aids.gov.br/imprensa/Noticias.asp?NOTCod=65647
[3] http://www1.folha.uol.com.br/folha/cotidiano/ult95u134976.shtml


Saudações,

Trober
-
-
-
-
-



> Senhores,
>
> tenho uma sugestão que parece relativamente simples, principalmente em
> relação a bancos:
>
> - Bloquear anexos executáveis (bancos nao enviam executáveis);
> - Permitir links no corpo do mail apenas para o dominio do mail (bancos
> não
> mandam links);
> - Cartilha básica de segurança (funciona como um tipo de "a culpa é sua,
> eu
> avisei!")
>
> Senão acaba virando uma briga de gato e rato, o phishing é uma tecnica
> baseada em engenharia social, podemos até minimizar com recursos
> tecnologicos, mas se não mudarmos socialmente, os atacantes sempre vão
> encontrar um segundo jeito.
>
>
>
>
>
> 2009/10/21 MARLON BORBA <MBORBA at trf3.jus.br>
>
>> A idéia seria excelente, mas há um problema: nem todos usam as mesmas
>> tecnologias de "anti-spam"; aqui, por exemplo, rodamos o produto da
>> Symantec.
>>
>>
>>
>> Abraços,
>>
>> Marlon Borba, CISSP, APC DataCenter Associate
>> Técnico Judiciário · Segurança da Informação
>> IPv6 Evangelist · Moreq-Jus Evangelist
>> Comissão Local de Resposta a Incidentes - CLRI
>> TRF 3 Região
>> (11) 3012-1581
>> --
>> Follow me on Twitter!
>> twitter.com/mborba
>> --
>>
>> >>> Durval Menezes <durval at tmp.com.br> 21/10/09 10:06 >>>
>> Prezados,
>>
>> [...]
>> Ligeiramente OT: podiamos iniciar uma colaboracao para compartilhamento
>> destas regras; inicialmente, quem escrevesse uma enviaria para os outros
>> por email mesmo, depois poderiamos pensar em algo mais "automatico"
>> (rsync, etc). Desta forma, iriamos evitar muita duplicacao de esforco e
>> potencialmente comecar a barrar estes SPAMs *antes do que se nos
>> mantivermos agindo individualmente. O que acham?
>> [...]
>>
>>
>>
> --
>