Randall Stross
As agências policiais que cuidam da segurança na computação estão muito familiarizadas com as diversas modalidades de "phishing", a forma de fraude que envolve tentar atrair usuários a um site bancário falso, por exemplo, para obter seus nomes de usuário e senhas. Mas até mesmo as pessoas cautelosas por motivos profissionais podem ser enganadas, ou quase enganadas. Se duvida, pergunte a Robert Mueller, diretor do Serviço Federal de Investigações (FBI).
Mueller recentemente recebeu uma mensagem de e-mail que parecia vir de seu banco. Ele clicou no link e começou a seguir as instruções para "confirmar" as informações de sua conta. Antes de concluir o procedimento, porém, percebeu que o site era falso, e por isso fechou o navegador. Mas o que aconteceu depois foi o mais interessante. Quando Mueller contou à sua mulher sobre o incidente, ele diz que a conclusão extraída por ela do caso foi a de que acesso online a contas bancárias é inaceitavelmente arriscado. "Para você, nada de usar o banco na internet", ela decretou.
O diretor do FBI contou a história em um discurso no Commonwealth Club, na Califórnia, em outubro. No discurso, ele afirmou que "não estamos dedicando atenção suficiente à ameaça virtual e suas consequências". Mueller relatou aquela história pessoal como exemplo cautelar vindo de "alguém que passa boa parte de sua vida profissional alertando os outros quanto aos perigos dos crimes de computação", mas ainda assim quase caiu vítima de um deles, e se deteve "apenas no último instante". (A história termina assim, e um porta-voz de Mueller, no FBI, recusou meu pedido de entrevista.).
Uma audiência formada por civis naturalmente sairia imaginando ¿que chances temos nós de evitar que o nosso dinheiro seja roubado?" Não estou convencido, porém, de que usar serviços bancários online seja tão arriscado quanto Mueller dá a entender. Sei que, como usuários comuns de computadores, somos vítimas de muitas tentativas de fraude. Mas isso não me preocupa porque, caso as fraudes causem prejuízo, quem arca com ele não sou eu, e sim o meu banco. Não consegui encontrar qualquer empresa do setor financeiro, e investiguei corretoras, além de bancos, que não prometa ressarcir os eventuais prejuízos de uma vítima de fraude.
Mueller, ao encorajar sua audiência a investir em "segurança na computação", evocou uma ameaça terrível ao mencionar que é necessário que as pessoas se protejam contra "perder tudo". Mas de que maneira eu poderia "perder tudo" para criminosos da computação quando meu banco promete, em seu site, garantia de 100% de restituição no "improvável evento de que alguém não autorizado saque fundos por meio de nossos serviços online"?
"Prejuízo zero para os clientes se tornou uma norma setorial", disse Doug Johnson, vice-presidente de gestão de risco na Associação Americana de Bancos. A restituição é plena, e os clientes não têm nem mesmo a responsabilidade limitada de US$ 50 que as operadoras de cartões de crédito impõem aos seus clientes pelo uso indevido de cartões.
Os bancos, as corretoras online e sites de pagamentos como o PayPal, expostos como estão, gostariam que seus clientes adotassem segurança mais sofisticada que uma simples senha, para proteger as nossas contas. Uma forma de combater a ameaça de phishing é requerer que os clientes forneçam uma segunda sequência de dados quando se conectam, um número de uso único criado ou por um aparelhinho especialmente concebido para esse fim ou por um código enviado ao celular do cliente.
Uma senha pessoal é "algo que você sabe", como descrevem os especialistas em segurança, e o código temporário de segurança é "algo que você tem", e que um fraudador praticando phishing não teria. Requerer duas coisas dessemelhantes é a essência da "autenticação em dois fatores".
Um sistema como esse não é perfeito, mas se pode perceber por que instituições financeiras gostariam de ter fechaduras melhores em suas portas de entrada. No entanto, elas precisam proceder com cautela, porque de outra forma poderiam levar seus clientes a abrir mão do uso bancário da internet. No momento, os bancos parecem estar oferecendo esse sistema de segurança adicional apenas aos clientes empresariais.
Teddy De Rivera, vice-presidente executivo de serviços de internet no banco Wells Fargo, disse que sua empresa passaria a empregar de maneira mais ampla o serviço de chave dupla de autenticação, nos próximos dois anos. O Wells Fargo planeja requerer um código não só quando o cliente se conecta mas quando o software detectar uma transação suspeita, "de alto risco". O departamento dele obteve informações junto a clientes que deixam clara a rejeição a "usar o sistema para todas as transações", disse.
Eu assinei para testar o sistema de chave de segurança do PayPal, disponível para os usuários interessados. A cada vez que me conecto, recebo um código de segurança de seis dígitos em uma mensagem de texto enviada ao meu celular -é fácil copiá-lo, mas o procedimento acrescenta um estágio extra à transação.
Quando perguntei a Michael Vergara, diretor de gestão de risco na PayPal, se ele recomendava que todos os usuários empregassem o sistema de segurança reforçada, ele respondeu que "se a pessoa passa muito tempo usando as áreas mais obscuras da internet, sim". "Mas se estivermos falando de alguém que visita três sites, ter segurança adicional quando usa o PayPal não vai melhorar sua experiência", ele acrescentou.
Não sei se Mueller, do FBI, convenceu a mulher a suspender a proibição quanto ao uso de bancos online pela família. Se não conseguiu, deveria usar as duas palavras que têm o poder mágico de acalmar os temores do mais ansioso cliente bancário: prejuízo zero.
Randall Stross é jornalista, no Vale do Silício, e professor de administração de empresas na Universidade Estadual de San Jose.
Tradução: Paulo Migliacci ME
The New York Times (Fonte: Terra Tecnologia)
Comentários