Uma das técnicas mais utilizadas por criminosos virtuais, o Phishing Scam, consiste em redirecionar o usuário para uma página falsa de instituições financeiras, induzindo a vítima a acreditar que seja realmente a página original. Alguns cuidados podem ser tomados pelo usuário, como verificar o endereço que o link está apontando no e-mail. Muitos destes domínios estão registrados em outros países, e quando estão no Brasil são em servidores de hospedagem gratuitos. O problema começa quando o endereço utilizado pode levar a certa confusão por ser parecido com o endereço original, e piora quando está registrado como um domínio .com.br.
No Brasil, a entidade responsável pelo registro de domínios com determinados sufixos, como o .com.br, é o Registro.br, por sua vez controlado pelo Comitê Gestor de Internet no Brasil (CGI.br). Qualquer pessoa que queira ter um domínio registrado no Brasil deverá necessariamente utilizar o Registro.br, seja direta (quando o usuário se cadastra diretamente no site) ou indiretamente (quando o registro é feito por um servidor de hospedagem que o usuário contratou).
Outro lado
O domínio do site é o endereço URL que irá apontar para as páginas do mesmo. Não pode ser confundido com o servidor de hospedagem que é o computador que armazena as páginas do site. A hospedagem pode ser feita por qualquer servidor, esteja ele ou não no Brasil – o Registro.br apenas faz a “referência”. No entanto, se a referência é removida, o site malicioso acaba ficando inacessível.
Domínios do tipo www.banco-do-brasil.com.br poderiam facilmente induzir ao erro vítimas de serviços financeiros através da web, como o Internet Banking. A princípio, pode-se pensar que a criação de um domínio deste tipo seja algo difícil de ser realizado, o que não é necessariamente a realidade observando os critérios para registro de domínios no Brasil.
Segundo o Registro.br, bastam 30 minutos para o usuário poder utilizar o domínio registrado – ainda antes mesmo do pagamento ser confirmado. O domínio só é desativado por falta de pagamento depois de 14 dias. Com esse tempo de vida, um ataque virtual pode ser realizado, bastando o criminoso possuir as suas páginas hospedadas em um servidor preparado antes do registro.
E isso não é apenas uma hipótese. Uma busca por domínios que foram cancelados mostra a existência de endereços com nomes que fazem referências a instituições financeiras, como bancos e empresas de cartões de crédito.
Variações nos nomes de grandes bancos são registradas no Registro.br. No detalhe, alguns dos domínios maliciosos envolvendo o Bradesco. Note que praticamente todos os bancos são alvo de prática semelhante.
Basta a pessoa ter um CPF para criar um domínio .com.br. O nome do responsável também é exigido, mas essa informação pode ser obtida no site da Receita Federal desde que com o número em mãos. Tendo a facilidade de encontrar dados falsos e a agilidade na ativação (que dispensa pagamento), é possível perceber por que esses domínios são de interesse dos criminosos.
Não é de responsabilidade do Registro.br monitorar quais os nomes são ineptos para registro, e sim bloquear os que forem vistos infringindo as regras contratuais (que incluem “não induzir ao erro”). O monitoramento prévio é inviável, no entanto: tornaria o Registro.br responsável por algo extremamente complexo, porque são milhares de domínios registrados todos os meses. Mas será que a ativação de um domínio mesmo antes do pagamento é necessária?
Facilidade em obter informação
Dados pessoais que antes não pareciam ser de tanta importância, como o número do CPF, podem facilmente ser roubados ou até encontrados pela Internet. Grandes vazamentos de dados de instituições governamentais contribuíram para esse cenário, mas, mesmo sem essa “ajuda” ainda é possível encontrar informações com facilidade, inclusive em páginas do Poder Judiciário, como em um currículo de um ex-advogado geral da União.
A Advocacia Geral da União foi informada sobre o documento com dados pessoais do antigo Advogado-Geral da União no dia 4 de abril. Até a publicação não houve uma resposta..
De qualquer forma, está claro que as informações solicitadas não são suficientes para impedir um criminoso de registrar o domínio. Se forem solicitadas mais informações, por outro lado, o processo torna-se burocrático. Qual seria a melhor solução? De qualquer forma, para domínios internacionais como .com, o registro não ocorre antes do pagamento, segundo uma empresa registradora consultada.
FONTE:www.linhadefensiva.org/
0 comentários:
Postar um comentário