[GTER] PhishingScams bancários

[Emiliano Martins]

Pessoal,
Não podemos exigir isso dos bancos. Eles não sabem o range de ips que tem, e
muito menos conhecem a própria rede...

Minha Noiva trabalha no Bradesco e essa semana mudaram o domínio dos emails
de uma divisão inteira do banco ( cerca de 1000 emails) e não avisaram
nenhum usuário. Se internamente eles não se entendem, como que irão
implementar alguma boa prática no que diz respeito a internet?


2009/10/21 Trober <trober at trober.com>

>
> Bom-dia a todos.
>
> Mesmo com todo o faturamento que o sistema bancário tem[1], não há
> vontade/interesse/conhecimento para implementar tecnologias básicas de
> coexistência mínimas na internet.
>
> O jeito é tocar na ferida. Algum órgão gestor/regulador (CGI.br?) poderia
> colocar em quarentena todos os domínios de banco que não tenham SPF. Seria
> muito feio para o banco (e desesperador para a equipe de marketing) ver
> que banco não é tão "TOP 1" (critério duvidoso de certas fundações) como
> se dizem ser. (curiosamente todos os bancos são para si "TOP 1", hehe).
>
> Outra forma é montar um ranking de bancos relapsos. Não sei quanto à
> legalidade disso, já que essa exposição pode dar problema jurídico. Mas
> considerando o risco social/tecnológico existente, acredito que é uma
> forma de forçar a corrigirem problemas básicos. Particularmente não vejo
> problema, principalmente considerando a relevância da situação. Se até
> quebrar patente[2][3] de medicamento foi moleza, quem dirar forçar
> instituições bancárias a fazerem o básico/mínimo.
>
> Agora vamos revirar o ego (inflado) dos bancos: Qual será o primeiro banco
> a se declarar 100% compliance?
>
> Enfim, meus poucos centavos para a resolução de um problema bilionário.
>
>
> [1] http://www.feebpr.org.br/lucroban.htm
> [2] http://www.sistemas.aids.gov.br/imprensa/Noticias.asp?NOTCod=65647
> [3] http://www1.folha.uol.com.br/folha/cotidiano/ult95u134976.shtml
>
>
> Saudações,
>
> Trober
> -
> -
> -
> -
> -
>
>
>
> > Senhores,
> >
> > tenho uma sugestão que parece relativamente simples, principalmente em
> > relação a bancos:
> >
> > - Bloquear anexos executáveis (bancos nao enviam executáveis);
> > - Permitir links no corpo do mail apenas para o dominio do mail (bancos
> > não
> > mandam links);
> > - Cartilha básica de segurança (funciona como um tipo de "a culpa é sua,
> > eu
> > avisei!")
> >
> > Senão acaba virando uma briga de gato e rato, o phishing é uma tecnica
> > baseada em engenharia social, podemos até minimizar com recursos
> > tecnologicos, mas se não mudarmos socialmente, os atacantes sempre vão
> > encontrar um segundo jeito.
> >
> >
> >
> >
> >
> > 2009/10/21 MARLON BORBA <MBORBA at trf3.jus.br>
> >
> >> A idéia seria excelente, mas há um problema: nem todos usam as mesmas
> >> tecnologias de "anti-spam"; aqui, por exemplo, rodamos o produto da
> >> Symantec.
> >>
> >>
> >>
> >> Abraços,
> >>
> >> Marlon Borba, CISSP, APC DataCenter Associate
> >> Técnico Judiciário · Segurança da Informação
> >> IPv6 Evangelist · Moreq-Jus Evangelist
> >> Comissão Local de Resposta a Incidentes - CLRI
> >> TRF 3 Região
> >> (11) 3012-1581
> >> --
> >> Follow me on Twitter!
> >> twitter.com/mborba
> >> --
> >>
> >> >>> Durval Menezes <durval at tmp.com.br> 21/10/09 10:06 >>>
> >> Prezados,
> >>
> >> [...]
> >> Ligeiramente OT: podiamos iniciar uma colaboracao para compartilhamento
> >> destas regras; inicialmente, quem escrevesse uma enviaria para os outros
> >> por email mesmo, depois poderiamos pensar em algo mais "automatico"
> >> (rsync, etc). Desta forma, iriamos evitar muita duplicacao de esforco e
> >> potencialmente comecar a barrar estes SPAMs *antes do que se nos
> >> mantivermos agindo individualmente. O que acham?
> >> [...]
> >>
> >>
> >>
> > --
> >
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Emiliano Martins
iK1 Tecnologia Ltda