Banco não exige instalação de software em alguns casos.
Praga tenta disfarçar Internet Explorer de Chrome no OS X.
Nem todos os
usuários de Mac estão desobrigados de instalar o Guardião, informou o
Itaú. (Foto: Marcelo Terraza/SXC)
O Itaú está usando o Guardião 30 Horas desde 2011, mas a partir de 2012 passou a ser de uso obrigatório para qualquer transação, transferência ou pagamento on-line. Há poucas informações sobre o funcionamento do software, mas o Itaú não é o único a exigir um programa para autorizar as transferências on-line.
A praga digital identificada pela Linha Defensiva troca o “user agent” – a frase que identifica um navegador web – do Internet Explorer para que ela fique idêntica a do Chrome em um Mac OS X. Com isso, a praga espera que o banco não tente realizar a instalação do “Guardião”.
Inconsistência é resultado de transição, explica Itaú
A Linha Defensiva conversou com Pedro Donati e Natacha Litvinov, representantes da área de segurança do Itaú. Eles afirmaram que o banco está ciente do que está acontecendo e que, em breve, não haverá mais esse problema.Segundo eles, o Itaú está adotando o Guardião 30 Horas de forma gradual e, portanto, nem todos os correntistas são obrigados a instalá-lo em todas as configurações. Quando o Guardião for obrigatório para todas as plataformas e para todos os correntistas, a técnica usada pelo vírus vai parar de funcionar completamente — e ela já não funciona em correntistas que tiveram seu acesso condicionado à instalação do Guardião no Mac.
O banco adotou esta postura para minimizar problemas aos correntistas e poder atender todas as solicitações que seriam geradas. “A cada vez que a gente faz alguma alteração na maneira de se usar o banco, é muito grande a preocupação de fazer isso sem impactar a comodidade do cliente de utilizar os canais eletrônicos”, afirmou Donati.
“Estamos tentando fazer isso de uma forma que seja gradual, para que a cada vez que tivermos um grupo novo [que está adotando o Guardião], para o volume de clientes que liga com alguma dificuldade, a gente consiga atender bem e tratar aqueles clientes para que terminem a instalação e continuem utilizando o canal”, explicou.
Já Litvinov reforçou que o banco tem outros recursos para detectar tentativas de fraude em sua rede e que, mesmo quando o Guardião não é instalado, isso não significa que os clientes estão desprotegidos. ”O Guardião é uma das peças do nosso quebra-cabeça para manter o canal seguro. Temos uma estrutura montada que é maior do que a instalação do Guardião”, revelou.
Histórico
A Linha Defensiva divulgou publicamente a inconsistência do sistema do banco no dia 5 de abril, observando que havia a possibilidade do abuso do recurso por uma praga digital. A praga encontrada está em circulação pelo menos desde o dia 27 de março, o que significa que os criminosos já conheciam o suposto comportamento permissivo do banco em relação a máquinas com sistema operacional da Apple antes mesmo da publicação da Linha.A Linha Defensiva comunicou o banco sobre a questão antes de divulgar, mas não foi respondida. Segundo as novas afirmações do banco, o que aconteceu foi devido ao período de transição para a obrigatoriedade do Guardião. Os criminosos rapidamente buscaram tirar proveito para facilitar a criação das pragas digitais.
De acordo com o banco, não eram todos os clientes que estavam liberados de instalar o Guardião no Mac OS X. A obrigação dependia da implementação do requerimento e do uso específico da conta. Por exemplo, uma conta poderia estar obrigando a instalação do Guardião no Linux e não no Mac – como a Linha Defensiva observou -, mas o oposto também era possível.
A transição agora está sendo finalizada e a inconsistência deve deixar de ocorrer, segundo o Itaú. Ou seja, todos os clientes serão obrigados a instalar o Guardião, seja no Mac OS X, no Windows ou no Linux, e pragas digitais não poderão usar user agents desses sistemas para burlar a instalação do programa.
linha
retirado de: http://www.linhadefensiva.com.br
0 comentários:
Postar um comentário