+ Direito da Informática

(continuação deste post)
As técnicas usadas pelos phishers variam muito, como variam também as entidades por que se fazem passar. As entidades bancárias de todos os países, o e-Bay e o PayPal são dos casos mais comuns, atendendo ao tipo de informação com que lidam.

Ainda há poucos dias nos chegava via BoingBoing notícia de um novo esquema: alegando ser uma idosa de 82 anos, alguém enviava mensagens idênticas às que os utentes do eBay usam para comunicar entre si. Dizia ter licitado num leilão por uma cadeira de rodas (item que aliás fora, efectivamente, objecto de um leilão), cujos dados não conseguia agora voltar a encontrar, solicitando ao destinatário que a informasse se era, porventura, o vendedor do dito objecto. Mas, quando a vítima clicasse no botão de resposta, para responder à senhora e negar a titularidade daquele concreto leilão, o browser carregaria não o site oficial do eBay, mas um seu clone desenvolvido por um phisher.

Embora haja software anti-phishing disponível, a melhor aposta continua a ser na informação; por exemplo em Portugal,o Millennium BCP - cujos clientes ciclicamente têm sido alvo de tentativas deste género - vem publicando uma Newsletter de segurança cuja leitura, claro está, será de grande valia mesmo para clientes de outros bancos.

Ao mesmo tempo, procura-se desenvolver sistemas cada vez mais seguros - como o SyteKey, um sistema de uso gratuito que o Bank of America deverá ter implementado em todo o território norte-americano pelo Outono (Via Slashdot). Para além de fazer acrescer à palavra-chave tradicional três perguntas pessoais de que só o cliente saiba a resposta, o SiteKey introduz um botão que permite ao utente verificar se se encontra efectivamente no website do Banco. Caso, ao clicar nesse botão, não visualize uma imagem e frase confidenciais previamente escolhidas por si, estará provavelmente num clone do site e deverá concluir que foi vítima de um esquema de fraude informática.