Eu tive uma experiência, para não dizer uma prova, de segurança da informação. Sou correntista de um banco que já teve os dados vazados de seus correntistas duas vezes até a presente data. E uma vez já é demais.

Em uma noite qualquer, meu telefone toca e uma moça educada e bem articulada se apresentou como funcionária do banco alertando que minha conta corrente estava sofrendo tentativas de acesso com senhas incorretas e questionou se era eu. Neguei. Com o português perfeito e, como as atendentes desta empresa, também sorri pelo telefone. Ela só queria confirmar meus dados para desbloquear minha conta. Ela falou meu nome completo, data de nascimento, endereço completo, CPF, RG, conta corrente e até os quatro últimos números do cartão de crédito. Tudo corretíssimo! Mas ela pediu para confirmar o CVC, o popular três números da parte de trás do cartão. CVC é a sigla para Código de Verificação do Cartão. O nome varia para cada bandeira de cartão de crédito, mas o objetivo é o mesmo: em operações não presenciais fornecer a autenticidade do titular do cartão. Não é cabível um banco pedir isso para uma confirmação de dados. Na hora informei que poderia deixar a conta bloqueada (afinal PODERIA ser real), ela entendeu, me deu número de protocolo e desliguei o telefone.

Após isso, entrei em contato com a central do banco onde eles esclareceram que não fazem esse tipo de contato. Minha conta está bloqueada temporariamente para investigação.

Enquanto isso, eu divulgo a experiência e vou alinhar conhecimento com esse caso.

A Segurança da Informação (SI) é formada basicamente por três pilares:

• Confidencialidade: limitar a informação as entidades legítimas. Neste caso seria eu, o banco e instituições federais. O que não ocorreu. Minhas informações e de outros estão em mãos de criminosos!;
• Integridade: os dados com todas as características originais;
• Disponibilidade: dados disponíveis para uso legítimo para os autorizados. Por falha da Confidencialidade, nem preciso comentar sobre isso. Estes dados de correntistas devem estar à venda no mercado negro virtual.

Minha visão é que há negligencia por parte do banco. Quando o primeiro vazamento correu, coincidentemente, esta empresa mandou um novo cartão de crédito com o pretexto de uma nova identidade visual. Poderia ser a desculpa perfeita para mitigar uma falha gravíssima. Nesta segunda vez, nada ocorreu e possivelmente os golpistas possuem não somente os quatro últimos números e sim todos, por isso queriam o CVC. Eu consegui ter a percepção que a ligação seria um golpe, e era! Mas quantas outras pessoas vão conseguir se precaver?

Na maioria dos casos, a parte mais frágil de qualquer sistema de segurança é a humana. A Engenharia Social é uma das destas artes que fazem ruir os melhores sistemas com os melhores profissionais. Nas empresas sérias são necessários constantes treinamentos e conscientização de pessoas de seus colaboradores. Mas para quem não está nesse grupo?

Por isso: abram os olhos!

Leonardo Silva

Responsável Técnico da Tchebyte

Microsoft Certified Professional (MCP), Especialista em Segurança de Redes (CNSS) pela International Cybersecurity Institute (ICSI) e Cyber Security Foundation Professional Certificate - CSFPC™. Trabalha com Tecnologia da Informação com infraestrutura de servidores, segurança da informação, adequação a LGPD, gestão e controle de equipamentos, monitoramento de ativos, tratamento de dados, etc. Veja mais aqui.