Uma das técnicas mais utilizadas por criminosos virtuais, o Phishing Scam, consiste em redirecionar o usuário para uma página falsa de instituições financeiras, induzindo a vítima a acreditar que seja realmente a página original. Alguns cuidados podem ser tomados pelo usuário, como verificar o endereço que o link está apontando no e-mail. Muitos destes domínios estão registrados em outros países, e quando estão no Brasil são em servidores de hospedagem gratuitos. O problema começa quando o endereço utilizado pode levar a certa confusão por ser parecido com o endereço original, e piora quando está registrado como um domínio .com.br.

No Brasil, a entidade responsável pelo registro de domínios com determinados sufixos, como o .com.br, é o Registro.br, por sua vez controlado pelo Comitê Gestor de Internet no Brasil (CGI.br). Qualquer pessoa que queira ter um domínio registrado no Brasil deverá necessariamente utilizar o Registro.br, seja direta (quando o usuário se cadastra diretamente no site) ou indiretamente (quando o registro é feito por um servidor de hospedagem que o usuário contratou).

O domínio do site é o endereço URL que irá apontar para as páginas do mesmo. Não pode ser confundido com o servidor de hospedagem que é o computador que armazena as páginas do site. A hospedagem pode ser feita por qualquer servidor, esteja ele ou não no Brasil – o Registro.br apenas faz a “referência”. No entanto, se a referência é removida, o site malicioso acaba ficando inacessível.

Domínios do tipo http://www.banco-do-brasil.com.br poderiam facilmente induzir ao erro vítimas de serviços financeiros através da web, como o Internet Banking. A princípio, pode-se pensar que a criação de um domínio deste tipo seja algo difícil de ser realizado, o que não é necessariamente a realidade observando os critérios para registro de domínios no Brasil.

Segundo o Registro.br, bastam 30 minutos para o usuário poder utilizar o domínio registrado – ainda antes mesmo do pagamento ser confirmado. O domínio só é desativado por falta de pagamento depois de 14 dias. Com esse tempo de vida, um ataque virtual pode ser realizado, bastando o criminoso possuir as suas páginas hospedadas em um servidor preparado antes do registro.

E isso não é apenas uma hipótese. Uma busca por domínios que foram cancelados mostra a existência de endereços com nomes que fazem referências a instituições financeiras, como bancos e empresas de cartões de crédito. O Registro.br possui uma página que lista os domínios em processo de liberação. A lista é pública e pode ser vista no site do Registro.br, mas a Linha Defensiva também tem uma cópia local. O Registro.br informou à Linha Defensiva que alguns domínios são reservados e não voltam a ser liberados, mas a lista de liberação mostra diversos domínios ligados à bancos — que provavelmente foram usados em crimes.

Variações nos nomes de grandes bancos são registradas no Registro.br. No detalhe, alguns dos domínios maliciosos envolvendo o Bradesco. Note que praticamente todos os bancos são alvo de prática semelhante.

Basta a pessoa ter um CPF para criar um domínio .com.br. O nome do responsável também é exigido, mas essa  informação pode ser obtida no site da Receita Federal desde que com o número em mãos. Tendo a facilidade de encontrar dados falsos e a agilidade na ativação (que dispensa pagamento), é possível perceber por que esses domínios são de interesse dos criminosos.

Não é de responsabilidade do Registro.br monitorar quais os nomes são ineptos para registro, e sim bloquear os que forem vistos infringindo as regras contratuais (que incluem “não induzir ao erro”). O monitoramento prévio é inviável, no entanto: tornaria o Registro.br responsável por algo extremamente complexo, porque são milhares de domínios registrados todos os meses. Mas será que a ativação de um domínio mesmo antes do pagamento é necessária?

Facilidade em obter informação

Dados pessoais que antes não pareciam ser de tanta importância, como o número do CPF, podem facilmente ser roubados ou até encontrados pela Internet. Grandes vazamentos de dados de instituições governamentais contribuíram para esse cenário, mas, mesmo sem essa “ajuda” ainda é possível encontrar informações com facilidade, inclusive em páginas do Poder Judiciário, como em um currículo de um ex-advogado geral da União.

A Advocacia Geral da União foi informada sobre o documento com dados pessoais do antigo Advogado-Geral da União no dia 4 de abril. Até a publicação não houve uma resposta. Como o link está disponível no próprio site e pode ser encontrado, o Linha Defensiva apenas fornece a referência.

De qualquer forma, está claro que as informações solicitadas não são suficientes para impedir um criminoso de registrar o domínio. Se forem solicitadas mais informações, por outro lado, o processo torna-se burocrático. Qual seria a melhor solução? De qualquer forma, para domínios internacionais como .com, o registro não ocorre antes do pagamento, segundo uma empresa registradora consultada pela Linha Defensiva.

Anúncios

Escrito por Diogo Baptista

4 Comments

  1. Marcio nejaim 28/04/2011 às 00:00

    Muito lamentavel sua posicao. Sua sugestao e punir os inocentes com mais burocracia ao inves de capturar os criminosos ? Lembre-se que os inocentes sao maioria e francamente duvido que os criminosos deixem de aplicar um golpe por causa de 30 reais…

    Parabens ao registro.br por um servico eficiente e exemplar.

    Curtir

    Responder

    1. Jura que pagar na hora de contratar o serviço é “burocracia”? Essa é nova para mim.

      Curtir

      Responder

    2. Prezado Márcio, vocẽ está equivocado. Exigir o pagamento antes de disponibilizar o serviço é natural. Dificultaria um pouco o registro destes dominios espúrios e principalmente com o pagamento efetuado teríamos mais uma informação para chegar nestes bandidos.O serviço do registro.br está longe de ser eficiente e exemplar. Denmoram muito a retirar estes dominios espúrios do ar. Existem casos que até CPFs inexistentes foram aceitos no registro ou então os dados cadastrais do CPF não batem com os contantes no site da Receita federal. Outra coisa simples seria rodar um script bem simples verificando pelo menos os nomes mais óbvios para restringir o registro dos nomes parecidos. O registro.br deveria respeitar os direitos de marca dessas empresas e impedir que se registrem dominios usando suas marcas registradas!

      Curtir

      Responder

  2. Há muito o que melhorar no serviço de registro de domínios no Brasil. Há começar pela privacidade. Lá, você também pode obter CPF de usuários. Em sites do poder judiciário brasileiro você também é possível obter informações de CPF, ou mesmo no site da dívida ativa das prefeituras. O CPF, há muito tempo, deixou de ser um dado privado.
    Se eu registro um domínio no site Registro.br, eu sou OBRIGADO a informar o meu CPF ou CNPJ e estes dados ficam disponíveis para TODOS os internautas que acessarem os dados do domínio. Com isso, fica fácil abrir contas, crediários, comprar pela Internet. O governo é um dos agentes facilitadores. Nas instituições internacionais que registram os domínios .COM, você pode optar pela privacidade e manter seus dados sigilosos.
    Você será favor da burocracia assim que for vítima de uma ação como esta, e então irá pensar: “Se houvesse mais controle destas informações….” .
    Além disso, eu sou a favor do cadastro do IP FIXO ao CPF. Cada CPF deveria ter um endereço IP atribuído. O usuário então informaria o CPF e alguns dados pessoais para se conectar pelo Celular ou Internet.
    Certamente os crimes virtuais seriam menores. Mas como não há o menor controle para uma dado tão particular como o CPF.
    Hoje em dia, até o cupom de uma transação bancária que muitos jogam no lixo ao lado do caixa eletrônico, serve de produto para criminosos. Certa vez, um amigo acessou o seu extrato e viu que havia mais de 40 mil reais em assinaturas de revistas e acessos à internet programadas para débito automático em sua conta.
    Em qualquer site de assinatura de revista e acesso à internet, você pode incluir qualquer informação (nome do titular da conta deve conferir) e optar por débito bancário. O endereço de entrega não importa, pode ser Rua das Casas, n. 171. Quando chegar a data programada para débito, o banco apenas confere se o nome do titular confere com o número da conta e voilá: Mais um débito na conta.
    Isto sem contar com o que se pode fazer em sites de leilão virtual.
    Tudo isso poderia ser evitado se a Burocracia (ou melhor chamar de Segurança) fosse melhor aplicada.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s