Anatomia de fraude: MasterCard

Vou exibir e analisar em detalhes mais uma fraude que permanece ativa até o momento em que escrevi este artigo. É uma fraude do tipo phishing scam (pesca-otários) que leva o usuário a relevar dados sigilosos. Previna-se!

Spam prolifera a fraude

Primeiro, você recebe uma mensagem de e-mail fraudulenta, enviada a uma lista de spam para milhares de potenciais destinatários. Veja a seguir uma imagem de reprodução da mensagem de correio eletrônico:

[photopress:fraude_mc_email.png,full,centered]

Primeiro indício de fraude: Impessoalidade. A mensagem, nem no campo de destinatário nem no corpo da mensagem, citou o seu nome completo, apenas seu e-mail. Empresas sérias, em suas comunicações, das quais você é cliente e que, portanto, possuem cadastro com seu nome, em geral referenciam o nome do cliente.

Esta comunicação personalizada, além de ser mais atrativa em termos de marketing, ainda agregaria mais segurança e confiabilidade para quem recebe. Nem todas as empresas legítimas seguem a boa prática de citar o nome do cliente nas comunicações por e-mail, mas um spam não costuma citar seu nome, ou porque o fraudador em geral utiliza apenas uma lista de e-mails de spam que não possui o nome associado a cada e-mail, ou porque sequer se dá ao trabalho de personalizar as mensagens enviada em massa.

Mas cuidado: fraudes mais sofisticadas já utilizam listas de spam “completas” que contém o nome do destinatário dententor do e-mail! Neste caso, podem burlar o indício da impessoalidade e conter o seu nome! Abordei esse problema em meu artigo Cuidado – A fraude evoluiu, em 2009.

Segundo indício de fraude: O tema da mensagem é altamente suspeito, típico de fraudes. Alega recadastramento de segurança de alguma instituição financeira popular. Nenhuma empresa séria utiliza e-mail para recadastramento seguro e, no mínimo, sem prévia orientação por carta ou outro meio confiável de divulgação.

A fraude ficará mais óbvia se você sequer for cliente da instituição em questão. Esse tipo de fraude tira proveito da estatística. Manda milhares ou milhões de mensagens de spam usando como tema de fraude alguma instituição popular, na esperança de que provavelmente um percentual razoável dos destinatários tenha relacionamento (seja cliente) ou conheça a instituição em questão.

Remetente: [email protected]
Endereço web de destino do link: http://www.colegiosaopaulobh.com.br/site/imagens/red.html

Terceiro indício de fraude: Link de destino suspeito. O endereço de e-mail do remetente parece ser relacionado à empresa tema da fraude, mas isso não é nenhum indício de confiabilidade, porque infelizmente este campo pode ser facilmente forjado. Mas o domínio do link de destino deve levantar suspeita imediata: ColegioSaoPauloBh certamente é um domínio que não tem nada a ver com o tema ou a empresa citada na fraude.

Só por estes indícios, a pessoa que recebeu a mensagem já deveria suspeitar prontamente de fraude e tomar a medida mais segura: jamais clicar no link e excluir a mensagem imediatamente.

Caminho do mal: Formulários web solicitam e roubam dados sigilosos

Se o usuário apesar de tudo é ingênuo e inconsequente, não reconhece se tratar de uma fraude, pode correr o enorme risco de clicar no link.

Para exemplificar em detalhes esta fraude, tomamos precauções de segurança em um ambiente muito bem controlado e monitorado e seguimos o link, com o único propósito de mostrar a você os perigos que esperam neste caminho do mal.

Em geral, os links de mensagens de fraude tem um dos destinos igualmente perigosos: ou levam a um endereço web de download de um programa malicioso — em geral um programa espião que visa roubar dados pessoais/sigilosos mantidos ou digitados em seu computador, e posteriormente enviar pela internet ao fraudador — ou levam a uma página falsa de formulário que solicita dados pessoais/sigilosos. Esta fraude é o segundo caso.

O endereço web destino leva a uma página que apenas leva a uma página em outro site, onde está hospedada a fraude efetiva. utilizando o código HTML seguinte:

<META http-equiv="refresh" content="0;URL=http://www.locaville.ind.br/admin/_notes/Promocao2011/">

Quarto indício de fraude: O novo domínio de destino (locaville.ind.br) não tem, igualmente, nada a ver com a instituição financeira utilizada como tema da fraude.

Quinto indício de fraude: Páginas de formulário solicitando dados de segurança, pessoais e/ou sigilosos, devem sempre utilizar uma conexão segura HTTPS (aquela em que o navegador exibe um cadeado e o endereço é precedido por https://). Esta é uma conexão HTTP comum sem segurança (endereço precedido por http://, sem S). Nunca digite dados sigilosos em páginas sem conexão HTTP segura, nem em conexões HTTPS em que o navegador informe que o certificado de segurança não é confiável ou não é válido!

Sexto indício de fraude: O utilitário WOT, extensão gratuita e livre que instalei no navegador web, avisou que a página em questão não era confiável e pdoe ser perigosa para a segurança e privacidade do usuário. Para saber mais sobre esse tipo de ferramenta simples e extremamente útil, leia o artigo Quem avisa amigo é – Classificação de sites.

Veja a seguir as telas (páginas) de formulário e os dados solicitados:

[photopress:fraude_mc_web_01.png,full,centered]
[photopress:fraude_mc_web_02.png,full,centered]
[photopress:fraude_mc_web_03.png,full,centered]
[photopress:fraude_mc_web_04.png,full,centered]

Número, data de validade e código de segurança de seu cartão de crédito.
Nome, CPF, data de nascimento e data de vencimento da fatura do titular do cartão.

De posse de todos estes dados, um fraudador consegue facilmente fazer compras pela internet ou telefone utilizando este cartão como meio de pagamento. Com o nome, CPF e data de nascimento de uma pessoa, consegue ainda fraudar cadastros diversos e obter informações dessa pessoa nas mais diversas situações e finalidades, não só no comércio, mas também junto a órgãos e serviços públicos!

A fraude de phishing scam baseada em formulários, como esta aqui mostrada, é uma das mais revoltantes. Ao invés de levar o usuário a instalar um programa espião que rouba às escondidas dados pessoais/sigilosos gravados ou digitados no computador, leva o próprio usuário ingênuo e discplicente a fornecer voluntariamente seus dados. É muito grave e perigoso!

Espero que este artigo, mostrando e explicando os perigos em detalhe, tenha sido instrutivo; e tenha alertado e orientado você sobre os riscos, indícios e cuidados para que você se previna de fraudes como esta na internet.

Para saber mais:

IBM centenária

Quantas pessoas você conhece com cem anos de idade? Se essa meta de longevidade já é um desafio para o homem, mais ainda o é para empresas. Os números revelam o quanto isso é raro. Segundo análise da Standard & Poor’s Capital IQ para o noticiário USA TODAY, de um universo de mais de 5 mil empresas de capital aberto dos Estados Unidos, apenas 488 completaram 100 anos de idade, e somente 23 firmas americanas privadas (com declaração financeira auditada) tem 100 anos ou mais.

IBM 100 anos E é nesse raro universo que a IBM — International Business Machine — completou 100 anos de existência em 16 de junho de 2011.

Mais impressionante ainda é chegar ao centenário inteiríssima, com um valor de mercado de US$197 bi, o que faz da IBM atualmente a quinta empresa mais valiosa dos EUA — pouco atrás de Microsoft e bem à frente da Google (Financial Times US 500) –, e a 18ª no ranking anual Fortune 500 das maiores corporações da América para 2011 — a primeira no ramo de Tecnologia da Informação.

Quando se fala em tecnologia, a invenção do computador pessoal — ou Personal Computer, o famoso PC — pela IBM em 1981 já parece um passado remoto. Ter em 1913 sua máquina de tabulação Holerith em aplicação industrial, então, isso sim é história da tecnologia. E em 1917 a IBM chega ao Brasil, sendo a primeira filial fora dos Estados Unidos!

O senhor Thomas J. Watson assumiu a presidência da empresa em 1915. Em 1924, renomeou a empresa, de Computing Tabulating Recording Corporation (CTR) para International Business Machines (IBM). Seu lema sempre foi “THINK” (pense). A crença do senhor Watson é simples e profunda:

“Todos os problemas do mundo podem ser facilmente resolvidos, se as pessoas estiverem dispostas a PENSAR”.

Isso e muito mais está no vídeo IBM 100 × 100 (13 minutos), que pode ser visto legendado em português, em que 100 IBMers — com idades em ordem decrescente — contam fatos marcantes da empresa ocorridos no ano em que nasceram:


Fonte: IBM 100:100 x 100 — Um centenário de conquistas que mudaram o mundo (legendado em português), IBM Brasil em Youtube.

Em 100 anos de existência, a IBM soube evoluir não apenas a tecnologia mundial, mas o perfil da própria empresa, que passou pelas máquinas automáticas, grandes computadores, computadores pessoais e software, e hoje continua com produtos líderes de mercado, em famílias de software como Rational, WebSphere, Cognos, Tivoli, Lotus e FileNet, além de sistemas, servidores e storages de grande porte.

Parabéns IBM!

Para saber mais:

Sucesso de projetos atualizado

Lendo o artigo CHAOS Report: Métodos Ágeis Aumentam Taxa de Sucesso de Projetos, postado no Blog ScrumHalf em 11/02/2011, obtive os dados do mais recente relatório do Standish Group CHAOS Manifesto 2011, atualizado para dados sobre o sucesso e falha de projetos de TI da pesquisa realizada em 2010.

Em comparação com o relatório CHAOS Manifesto 2010, relatando a pesquisa realizada em 2008, a taxa de projetos rotulados como Sucesso aumentou de 32% para 37% enquanto a taxa de projetos rotulados como Fracasso diminuiu de 24% para 21%. A taxa de projetos com o rótulo de Deficit também reduziu de 44% para 42%.

A taxa de sucesso de 37% é a maior encontrada pelas pesquisas do Standish Group desde 1994.

Segundo o artigo, o Standish Group aponta quatro razões para a melhoria significativa encontrada em 2010 em relação a 2008:

  1. Processos Ágeis: A utilização desses processos cresce a uma taxa de 22% CAGR (Compound annual growth rate). Hoje representam 9% de todos os projetos de TI e são adotados em 29% do desenvolvimento de novas aplicações. O instituto conclui que o crescimento da taxa de sucesso está diretamente relacionado ao aumento da adoção de metodologias ágeis.
  2. Modernização: Esses projetos, que entre outros focam na conversão de código/banco de dados, tem taxa de crescimento anual menor do que a dos processo ágeis. Entretanto tem taxa de projetos rotulados como sucesso maior. O instituto conclui que isso acontece devido ao mecanicismo desses processos e de um ambiente relativamente mais homogêneo de perfil de profissionais.
  3. Pacotes Empresariais: O número de novos projetos de implantação de ERP e CRM diminuiu. Como, segundo o instituto, consistem em projetos de grande risco com resultados questionados, a diminuição de novas implantações contribuiu para aumentar a taxa de projetos rotulados como sucesso.
  4. Processos em Cascata: Consistem nos métodos tradicionais e já representaram quase 50% do número de novas implementações. Como crescem a 1% CAGR, sua utilização relativa diminuiu, contribuindo, assim, positivamente para a taxa de sucesso.

Estes dados me permitem atualizar o gráfico do artigo Sucessos e falhas em projetos de TI, postado exatamente um ano atrás. Agora ele fica assim:

Chaos Report 1994 a 2010, por Standish Group

No campo da Modernização, o Standish Group disponibiliza, na área de Amostra de Pesquisas (requer registro gratuito), o relatório NonStop Modernization (abril 2011) em que lista as prioridades de investimento em TI para 2011, The Standish Group’s annual Top 10 Areas of IT Investiments:

  1. Modernização de aplicações (SOA, BPM, etc.)
  2. Upgrade de infraestrutura (hardware, software)
  3. Melhoria da segurança
  4. Computação em nuvem (SaaS, Utility Computing)
  5. Desenvolvimento de novas aplicações
  6. Capacitação da equipe
  7. Disponibilidade de aplicações e sistemas
  8. Conformidade e governança
  9. Consolidação e otimização
  10. Presença web e comércio eletrônico

E destaca os Três Conceitos e Seis Passos para a Modernização Contínua:

Conceitos:

  1. Compreender seu projeto de modernização e o ambiente deste: a organização deve dominar o projeto de evolução que vai executar, compreender seus custos, riscos e benefícios, as diferentes opções e suas implicações, e deve ter um plano claro para seguir e guiar sua condução.
  2. Refatorar: Standish Group estima que cerca de 80% dos recursos e funcionalidades de uma típica aplicação missão-crítica não são usados; deve-se, portanto, remover as partes não utilizadas antes de se migrar programas, evitando esforço inútil.
  3. Modernizar a infraestrutura: atualizar hardware defasado e proprietário para sistemas blade comuns, aumentando a consolidação e trazendo mais simplicidade e flexibilidade.

Passos:

  1. Modernize o banco de dados
  2. Modernize a experiência do usuário
  3. Modernize a aplicação
  4. Modernize a disponibilidade
  5. Modernize a segurança
  6. Modernize a operação

Quanto aos processos ágeis, é interessante citar que o Manifesto Ágil completou 10 anos em 2011. Para abordar os desafios encarados por desenvolvedores de software, um grupo inicial de 17 metodologistas formou a Agile Alliance, em fevereiro de 2001. Este grupo formulou um manifesto para encorajar melhores maneiras de se desenvolver software, e baseado nesse manifesto definiu quatro valores e doze princípios que formam os fundamentos do movimento ágil.

Os quatro Valores do Manifesto Ágil:

  • Indivíduos e interações acima de processos e ferramentas;
  • Software funcionando acima de documentação abrangente;
  • Colaboração com o cliente acima de negociação de contrato;
  • Responder a mudanças acima de seguir um plano.

Dentre as metodologias ágeis, o Scrum é um processo de desenvolvimento iterativo e incremental para gerenciamento de projetos e desenvolvimento ágil de software.

Para saber mais sobre o manifesto ágil e scrum:

Aproveitando o assunto de projetos, também atualizei meu artigo introdutório PMBOK e Gerenciamento de Projetos, um dos mais acessados e citados do meu site, refinando as seções sobre o gerente de projetos e suas habilidades interpessoais, e também aquela sobre a instituição IPMA com sua filosofia e certificações.

Para saber mais:

Atualização 2015:

Em 2015, o Statndish Group disponibilizou o CHAOS Report 2015. Até então, a definição Tradicional de resolução e sucesso de projetos era medida pela composição de três atributos: OnTime (prazo), OnBudget (custo) e OnTarget (escopo). Por esses parâmetros, o resultado atualizado ficava assim:

Chaos Report Tradicional, 1994 a 2015, por Standish Group

Contudo, medindo atributos adicionais OnGoal, Value e Satisfaction, o Sandish Group observou que em muitos projetos a tripla restrição de prazo, custo e escopo era atendida, mas ainda assim o cliente não ficava satisfeito com o resultado. Assim, a definição Moderna passou a ser OnTime, OnBudget, com um resultado Satisfactory. Isto significa que um projeto com Sucesso foi concluído dentro de um prazo estimado razoável, dentro do orçamento e entregando satisfação aos clientes e usuários, independente do escopo original. Pelos novos critérios adotados a partir de 2011, parte dos projetos que eram considerados como Sucesso passaram a ser classificados como Ameaçados. O gráfico com a definição de resolução Moderna a partir de 2011 fica assim:

Chaos Report Moderno, 1994 a 2015, por Standish Group

O Relatório CHAOS 2015 completo ainda apresenta resultados segmentados por tamanho dos projetos e por tipo de segmento/mercado.

Impressoras PDF: problemas com Firefox 4 e Ghostscript 64 bits

Enquanto eu atualizava as versões de software no artigo PDF Livre com (ou sem) o Ghostscript (revisão 21), descobri dois problemas de compatibilidade.

Por sorte, ambos são contornáveis, conforme explico a seguir.

Aceleração por hardware no Firefox 4

Um comentário sobre o anúncio do PDFCreator 1.2.1, no Blog da PDFForge, explica um problema na aceleração por hardware do navegador web Mozilla Firefox 4 que afeta as impressoras virtuais PDF.

Sintomas facilmente perceptíveis são que o arquivo PDF gerado fica bem maior e o texto não fica editável.

De fato, este problema está confirmado no site de suporte do Mozilla Firefox. Eu também o constatei, no Firefox 4.0.1 com as impressoras virtuais PDF (doPDF, PDFCreator, FreePDF etc.).

Para solucionar o problema, desative a aceleração por hardware no Firefox 4, que vem ativada por padrão:

  1. Menu Firefox > Opções.
  2. Painel “Avançado”.
  3. Aba “Geral”.
  4. No grupo “Navegação”, desmarque a opção “Quando disponível, usar aceleração por hardware”.
  5. Dê “OK”.
  6. Reinicie o Firefox.

Este problema foi documentado em um novo tópico 4.1 do artigo.

Detecção do Ghostscript 64 bits no FreePDF

Esta revisão 21 do artigo também foi atualizada com um novo tópico 3.1 sobre a detecção e configuração do executável coreto do Ghostscript 64 bits no FreePDF.

Em meu computador com apenas o Ghostscript 9.02 64-bits instalado, o FreePDF detectou incorretamente a DLL C:\Program Files\gs\gs9.02\bin\gsdll64c.dll, ao invés do executável C:\Program Files\gs\gs9.02\bin\gswin64c.exe. Tive que configurar manualmente o executável correto, nas opções do programa.

Para verificar e corrigir o caminho do Ghostscript, siga os seguintes passos:

  1. Execute o programa FreePDF, pelo menu iniciar do Windows.
  2. Escolha o menu Editar & Opções.
  3. Escolha a opção (em forma de link) “Run Admin Config”.
  4. Em “Localização das pastas”, verifique o que está preenchido em “Caminho do Ghostscript”.
  5. Para Ghostscript 64 bits versão 9.02, o caminho do executável correto deve ser
    C:\Program Files\gs\gs9.02\bin\gswin64c.exe. Para o Ghostscript
    32 bits, o executável deve ser gswin32c.exe.
  6. Acione o botão “Salvar” e, em seguida, feche a janela de opções e o programa.

Este problema de detecção não ocorreu com o Ghostscript 32 bits, com o qual o FreePDF detecta corretamente o executável gswin32c.exe.

Por fim, a revisão do artigo contempla o lançamento do Ghostscript 9.02, doPDF 7.2.367 e PDFCreator 1.2.1, atualizando os links de download do Ghostscript e numeração, datas de lançamento e tamanhos das novas versões de impressora PDF.

Universo de desenvolvimento Google

Recentemente recebi divulgação do novo ambiente de desenvolvimento MyEclipse G, uma lançamento da Genuitec (produtora do MyEclipse) e Skyway Software que reúne ferramentas de desenvolvimento essenciais para as plataformas, frameworks e serviços de aplicações da Google.

MyEclipse G - Recursos

Fonte: MyEclipse G.

Observando a descrição do produto, pude refletir sobre a imensidão da abrangência de tecnologias que o Google tem disponibilizado, em pelo menos três grandes frentes:

  • Desenvolvimento de aplicações web: Frameworks como o Google Web Toolkit (GWT) (a home-page em português parece desatualizada, falando do GWT 1.7, enquanto a em inglês já destaca o GWT 2.3 mais recente) e Google Guice. O projeto GWT, além de ampla documentação, oferece para download: GWT SDK, com as bibliotecas essenciais e compilador que você precisa para escrever aplicações web; o Google Plugin for Eclipse que inclui no IDE Eclipse suporte para projetos GWT e GAE, além de uma versão simplificada do GWT Designer; Speed Tracer, uma extensão para o navegador Google Chrome que permite pontuar problemas de desempenho em aplicações web; e o GWT Designer standalone (full), um ambiente de desenho de Java GUI poderoso e bidirecional para criação visual de interfaces de usuário, assisência de layout e geração automática de código GWT.
     
  • Infraestrutura para execução de aplicações web: Google App Engine (GAE) permite que você execute seus aplicativos da web na infraestrutura do Google.
     
  • Plataforma para dispositivos móveis: Android: camada de software para celulares e tablets que inclui um sistema operacional, middleware e aplicações. O Android SDK, disponível no portal Android Developers, provê ferramentas e APIs necessárias para se iniciar o desenvolvimento de aplicações para a plataforma Android usando a linguagem de programação Java. Há também o Android Development Tools (ADT) Plugin for Eclipse IDE. As muitas milhares de aplicações disponíveis para Android, boa parte delas gratuitas, ficam disponíveis no Android Market (assim como o iPhone tem o Apple Store).

Isso fora o navegador web Google Chrome (dica: para obter o instaldor offline standalone, acrescente o parâmetro &standalone=1 na página de download) e o sistema operacional Google Chrome OS, baseado no sistema operacional Linux e totalmente voltado para Internet (Já ouviu falar no Chromebook?). Ambos são desenvolvidos através do projeto de software livre Chromium.

Todas as ferramentas oferecem ampla documentação. O Google ainda aproveita seus canais de mídia para divulgar informação, como os blogs no Blogger — GWT blog, GAE blog, Google Mobile blog, Official Google Blog, blog oficial Google Brasil — e o canal Google Developers de vídeos no Youtube. E ainda realiza o grande evento anual Google I/O.

Mesmo com a Microsoft tendo comprando a Skype em seu maior acordo de aquisição, por US$ 8,5 bi em maio último, estou achando que agora é a vez da Google “dominar o mundo” do software na era da Internet.

Roteadores sem-fio Linksys nos EUA

Enquanto aqui no Brasil o design arredondado e sem antena dos roteadores Linksys (by Cisco) ainda me parece o máximo…

[photopress:linksys_brasil.png,full,centered]
Fonte: Linksys by Cisco – Roteadores sem fio, LATAM/Brasil.

… Lá nos EUA, a nova linha E-Series da Linksys deixa o nosso topo de linha WRT160N no chinelo.

Linksys E2500 Linksys E3200 Linksys E4200
Fonte: Cisco Linksys E-Series Specs, USA.

Com design ultra liso e arrojado, os modelos topo de linha contam com dual band simultânea atingindo velocidades até 300+300 Mbps (E2500 e E3200) e 300+450 Mbps (E4200), compatibilidade com o padrão “a” (dispositivos Wireless-n/b/g/a), portos ethernet Gigabit (ao invés dos tradicionais 10/100) para cabos de rede, entrada para disco (storage) USB, e facilidades super legais como Parental Control (Controle dos Pais) — bloqueio de acesso para domínios e horários do dia direto no roteador — e Guest Access (Acesso de Visitantes) — uma rede sem fio separada para visitantes, evitando que você tenha que fornecer a senha da sua rede sem fio principal.

Nos EUA, a linha de entrada Valet ainda tem o design dos nossos, só que ao invés de preto são nas cores azul e prata. Mas já incluem os recursos de Parental Control e Guest Access. E o Valet Plus (M20) tem inclusive Gigabit ethernet. O “charme” da linha Valet é o utilitário configurador que vem em um dispositivo USB, ao invés de um CD.

Quando é que isso chega ao Brasil, hein?

Informação sobre segurança digital

Já falei aqui no blog dezeneas de vezes que as ameaças e a preocupação com segurança digital na internet são tão importantes quanto quando se vive em qualquer grande cidade do Brasil ou do mundo — e em maior escala. A internet apresenta riscos para inocentes, ingênuos e desinformados: tanto crianças quanto adultos despreparados.

Na internet, como na vida, existem perigos: boatos, trotes, mentiras, engodos, fraudes, ataques, crimes.

Mas não é por isso que devemos deixar de lado todo o potencial de benefícios do mundo de informações e serviços que a internet também nos propicia na comodidade do computador.

A chave de tudo é informação sobre segurança digital. E, felizmente, isso também é o que não falta, livremente disponível na própria internet, inclusive em bom português.

A maior parte desses recursos tem linguagem acessível a qualquer pessoa, em geral na forma de cartilhas didáticas. Outros são relatórios e informativos mais técnicos, como pesquisas sobre segurança que servem para pautar as diretrizes e ações de profissionais e equipes de tecnologia. Faço aqui uma coletânea de algumas das principais fontes de informação disponíveis.

Cartilhas

Relatórios e Pesquisas

Para saber mais:

Pronto. Agora você não tem desculpa que tem medo da internet por falta de informação. Boas leituras!