julho 2011


Depois de uma ampla atualização em maio e de outra, mais leve, em junho, acrescentei agora em meu artigo PMBOK e o gerenciamento de projetos uma importante seção, sobre as Partes interessadas de um projeto.

Conforme citei em maio, esse era um tópico importante que faltava para cobrir os principais aspectos do gerenciamento de projetos.

Espero que o artigo agora esteja bastante completo para uma introdução abrangente, apresentando os conceitos e aspectos fundamentais de gerenciamento de projetos, voltado a iniciantes nesse tema. Ainda assim, o artigo buscou continuar didático, sintético e objetivo, cobrindo todo esse conteúdo em poucos tópicos e páginas de texto.

Dia 24, recebi mais uma fraude tipo phishing scam (pesacaria de otários), dessa vez fingindo ser do banco CitiBank. Vamos à análise e comentários das características de mais essa fraude.

A isca: o e-mail fraudulento

Como toda fraude, a isca básica é enviar uma mensagem fraudulenta de spam (envio em massa) para uma lista não autorizada de milhões de e-mails, com um tema de mentira chamativo, que possa ser inadvertidamente tomado como legítimo e verdadeiro por uma parcela de destinatários incautos.

O princípio de proliferação dessa isca é simples: tentativa em larga escala. Ao enviar uma fraude para, digamos, um milhão de endereços de e-mail, se apenas 0,1% destas mensagens chegarem a alguém desavisado e inocente que acredite na fraude, o fraudador já conseguirá pescar 1.000 (1 mil) otários!

— PERGUNTA: Onde o fraudador consegue essa lista de e-mails? — RESPOSTA: Na internet ou até mesmo em um camelô. Pessoas mal intencionadas podem construir mecanismos de busca especializados em varrer a internet em busca de endereços de e-mail válidos. Essas buscas podem até ter inteligência de categorizar cada e-mail encontrado por temas (através de expressões ou palavras chave existentes no local onde o endereço de e-mail foi encontrado), país ou idioma (do site ou serviço), e até buscar também o nome do indivíduo associado ao endereço de e-mail.

— PERGUNTA: Como posso me proteger, impedindo meu endereço de e-mail ser roubado? — RESPOSTA: Impedir completamente é difícil, mas alguns cuidados básicos podem reduzir imensamente as chances de seu e-mail ser obtido indevidamente. Cito dois:

  1. Antes de fornecer seu e-mail (e nome!) em sites e serviços interativos na internet, como fóruns, blogs, redes sociais, comércio eletrônico etc., procure se informar sobre a idoneidade, seriedade, segurança e proteção de privacidade deste. É um local confiável? O endereço de e-mail seu (ou de qualquer participante/usuário do serviço) fica visível publicamente ou para pessoas desconhecidas? A política de privacidade do serviço garante que seu e-mail não pode ser fornecido a terceiros? Ao se cadastrar, você concordou com a divulgação de seu e-mail a “parceiros” ou qualquer outro terceiro?
  2. Evite reenviar mensagens de e-mail a diversos contatos seus, e se o fizer, coloque o nome dos diversos destinatários no campo cópia-carbono-oculta (CCO ou BCC). Ao reenviar mensagens a outras pessoas, procure apagar do cabeçalho e texto da mensagem original transcrita endereços de e-mail de terceiros. Assim você zela em não revelar indevidamente e-mail dos outros. Oriente seus amigos igualmente a zelar pela privacidade dos outros, pois um dos “outros” pode ser você.

O tema, neste caso, foi o de “Informações financeiras e cadastrais”, um dos seis temas comuns que cito em meu artigo Phishing Scam – A fraude inunda o correio eletrônico.

A fraude finge ser uma “solicitação de atualização de segurança do banco CitiBank Online”. Veja uma imagem reproduzindo a aparência da mensagem fraudulenta:

Agora vamos avaliar os cinco Indícios de phishing scam que também cito no meu referido artigo:

Apresentação descuidada: NÃO. Essa fraude tem uma aparência visual verossímil e um texto sem erros grosseiros de português. Esse indício a fraude evitou.

Link destino não confiável: SIM, mas pode gerar dúvida. Há um link clicável no e-mail, prática que praticamente todos os bancos estão evitando, aponta para um endereço sem segurança (é http comum, e não https, o HTTP-Seguro) e o nome do domínio citibank.acessocliente.com não é no Brasil (não é .com.br, mas sim .com internacional) nem é, como se deveria esperar, o domínio principal do banco no país, como www.citibank.com.br. Contudo, a fraude ainda conseguiu usar um um domínio com um nome genérico que pode parecer com algo bancário — “acesso cliente” — e ainda precedido por um subdomínio com o nome do banco. Ou seja, nesse quesito a fraude pode gerar suspeita, mas também não é tão grosseira.

Informação improvável: SIM. Os mais inocentes e desavisados podem achar que um banco oferecer atualização de segurança por e-mail seja plausível, mas nenhum banco faz isso porque é algo muito inseguro e tema recorrente de fraudes. E se você tem dúvida, ligue para o banco antes de clicar em qualquer coisa.

Impessoalidade: SIM. O seu nome real aparece no cabeçalho ou no texto da mensagem? Não. Então provavelmente quem fraudou não sabia o seu nome, como o banco (se você for cliente) deveria saber. Como boa prática, mensagens desse tipo deveriam ser enviadas de forma personalizada, citando o seu nome completo. Infelizmente, essa boa prática nem sempre é seguida nas mensagens legítimas, e também as listas de spam mais “sofisticadas”, como já mencionei, podem obter e utilizar também o seu nome real, junto com seu endereço de e-mail. Veja meu artigo Cuidado – A fraude evoluiu.

Remetente suspeito: NÃO. Esse é o erro mais fácil de um fraudador evitar, porque o endereço do remetente, infelizmente, pode ser facilmente forjado.

Ou seja, vários indícios de fraude, mesmo que alguns deles sutis.

O golpe

Espero que, com tantos avisos, orientações e exemplos que posto, você meu leitor nunca seja um desses inocentes e desavisados incautos que clicam em um link duvidoso em uma mensagem de e-mail. Nunca clique!

Para analisar também o ataque, investiguei também o que havia no link destino, em um ambiente controlado e com cuidado e cautela extremos. Não faça isso em casa, nem muito menos no trabalho nem lugar nenhum.

O link leva diretamente ao download de um arquivo executável chamado Cadastro_CitiBank.exe para sistema operacional Windows. Trata-se de um programa espião roubador de senhas bancárias. Se executado, o programa silenciosamente se instala para ficar em execução contínua e reativado automaticamente toda vez que o sistema operacional for iniciado. Fica monitorando permanentemente o uso do computador e, se você digitar dados bancários, ele os captura e tenta enviar ao fraudador via internet.

Utilizando o serviço VirusTotal.com, enviei o arquivo para análise pelos 43 mecanismos antivírus disponíveis no serviço. No dia do envio, nenhum antivírus em VirusTotal detectou o executável como malicioso. Pelo menos três dias depois da fraude ativa, apenas o antivírus Kaspersky 9.0.0.837 (com atualização de 2011.07.26) passou a detectar como o malware Trojan-Banker.Win32.Banker.skab. E decorrido mais um dia, ainda eram apenas seis os antivírus que detectavam o perigo: AntiVir (TR/Banker.Banker.skab), Antiy-AVL (Trojan/Win32.Banker), eTrust-Vet (Win32/Banker.GPF), Kaspersky, TrendMicro-HouseCall (TROJ_BANKER.FGR) e ViRobot (Trojan.Win32.Banker.1064448.A).

O que quero mostrar com isso é que a proteção dos antivírus nem sempre é efetiva e imediata na detecção de novos códigos maliciosos, pois a notificação/descoberta e análise toma algum tempo. Dessa forma, os usuários ficam ainda mais vulneráveis nos primeiros dias de existência de toda nova fraude, pois provavelmente as ferramentas de antivírus/proteção ainda não a reconhecem e, portanto, não nos protegem de imediato.

É importante lembrar que os antivírus basicamente trabalham com o princípio de um “policial com uma lista de procurados e suspeitos”. Quando surge um novo “criminoso” (código malicioso), se ele não tiver um padrão previamente identificado como suspeito, precisará ser “denunciado” (detectado e analisado) pela empresa de antivírus até que entre na “lista de procurados”.

É uma guerra de “polícia e ladrão” onde as únicas armas realmente efetivas para todos sempre são a atenção, o cuidado e a precaução. Fique alerta, cuide-se! Evite as fraudes.

Assim como no trânsito existe a máxima de “Na dúvida, não ultrapasse.“, na internet você pode seguir a precaução “Na dúvida, não clique.

Para atualizar as referências sobre a Série de normas internacionais ISO/IEC 25000, Systems and software [product] Quality Requirements and Evaluation (SQuaRE), no grupo sobre Engenharia de Software e Sistemas, revisei tão amplamente a página que ficou melhor dividir em uma página à parte da de Engenharia de Software:

Produto de Software – Qualidade, Métricas e Teste

Também atualizei o texto e referências do artigo Modelo de Qualidade de Software de McCall, com mais informação sobre a Série ISO/IEC 25000.

Segundo a Wikipedia, em 1964 Victor H. Vroom — canadense com PhD pela Universidade de Michigan e atual professor de Organização e Gerenciamento na Escola de Administração da Universidadede Yale, EUA –, desenvolveu a teoria da Expectativa, através de seus estudos das motivações por trás das tomadas de decisão. Sua teoria é relevante para o estudo da motivação em administração e gerenciamento, em especial na gestão de pessoas e talentos.

A Teoria da Expectativa (Expectancy Theory) propõe que uma pessoa decidirá se comportar ou agir de determinada maneira porque é motivada a selecionar um comportamento específico em detrimento de outros, devido ao que ela espera que o resultado do comportamento selecionado seja.

— Oliver, R. Expectancy Theory Predictions of Salesmen’s Performance. Journal of Marketing Research volume 11, p. 243-253, agosto 1974.

Elizeu Araujo, em seu artigo Teorias da Motivação, cita que para Eward Lawler, o modelo de expectativa baseia-se em quatro pressupostos:

  • O Comportamento é determinado por uma combinação de fatores do individuo e do ambiente;
  • Os indivíduos tomam decisões conscientes sobre seu comportamento;
  • Indivíduos distintos têm necessidades, desejos e objetivos diferentes;
  • Os indivíduos decidem entre alternativas de comportamento, baseados em suas expectativas de que um determinado comportamento levará a um resultado desejado.

Segundo Vroom, a motivação do indivíduo para escolher uma das alternativas de comportamento depende de três fatores:

  • Expectativa de resultado do desempenho: Os indivíduos esperam certas consequências ou resultados de seus comportamentos, afetando decisões sobre como se comportam.
  • Instrumentalidade: a percepção de que a obtenção de cada resultado está ligada a uma compensação. Fazendo uma escolha, os indivíduos tendem a escolher o nível de desempenho que pareça ter a máxima probabilidade de obter resultado satisfatório.
  • Valência: o valor que cada indivíduo atribui ao resultado advindo de cada alternativa, o que se refere ao poder de motivar e varia de individuo para individuo. Ex.: para um indivíduo que valoriza o dinheiro e a realização, a transferência para um cargo com salário mais alto e em outra cidade pode ter uma Valência alta, enquanto que para um indivíduo que prioriza suas raízes e seu círculo de relacionamento na cidade atual, esse benefício terá sua Valência reduzida.

Araújo coloca didaticamente esses pressupostos na forma das seguintes reflexões, em que o indivíduo se questiona:

— Se eu fizer isso, qual será o resultado?
— O resultado vale o meu esforço?
— Quais as chances de alcançar o resultado que valha a pena para mim?

Esta teoria motivacional enfatiza a necessidade das organizações em relacionar as recompensas diretamente ao desempenho e em garantir que as recompensas providas são os benefícios merecidos e desejados por aqueles que recebem.

Os gestores de pessoas devem ter isso em mente ao estabelecer metas e recompensas e, desde o início, alinhar as expectativas junto aos talentos que integram e buscam motivar em suas equipes.

Para saber mais:

Cito dois artigos sobre gerenciamento de projetos, com especial enfoque em projetos de tecnologia da informação (TI). Um é mais antigo, mas ainda perfeitamente atual e válido, e o outro bem recente.

Os 7 passos do gerenciamento de projetos
Por Fernando C. Barbi, 2008, em Microsoft TechNet Brasil.

  1. Escolha e adote uma metodologia
  2. Comunique-se: não é só o peixe que morre pela boca !
  3. Defina o escopo do projeto e detalhe as atividades
  4. Conheça os envolvidos e monte seu time
  5. Desenvolva o cronograma junto com quem põe a mão na massa
  6. Monitore os riscos e seja pró-ativo
  7. Formalize o início e o encerramento do projeto

O artigo é aparentemente extenso, mas de leitura fácil e agradável. Barbi conclui assim:

Acima de tudo, gerenciar projetos é planejar e acompanhar a execução com “um olho no peixe e outro gato”. O gerente do projeto deve se manter alerta e flexível com os acontecimentos do dia-a-dia mas deve estar sempre se reportando ao plano inicial para não perder o controle. A principal qualidade do gerente de projeto é saber se comunicar bem com todos. Ele é o ponto focal das informações, nele convergem as informações que ele depois deverá processar e divulgar para todo o restante da equipe.

O segredo é envolver a equipe, cliente e fornecedores de tal forma que todos se sintam diretamente responsáveis pelo sucesso do projeto. Como diz aquele velho ditado caipira, “quando todos empurram na mesma direção, não há carroça que não saia do atoleiro”.

4 dicas para gerenciar o orçamento de projetos de TI
Revise sempre o bugdet e não seja pego de surpresa durante a execução de um projeto.
Por Jason Westland, da CIO/US, 01 de julho de 2011, em Computerworld Brasil.

  1. Preveja o orçamento de forma contínua.
  2. Revise a necessidade de pessoas envolvidas no projeto.
  3. Mantenha a equipe informada.
  4. Gerencie o escopo cuidadosamente.

Conclui o artigo:

O budget deve ser uma parte viva do projeto. Profissionais que observam cautelosamente os orçamentos durante todo o ciclo de vida dos projetos vão manter as partes interessadas e a gestão contentes e assim garantir o sucesso da implementação.

Veja a mensagem de e-mail spam que tenta “pescar” usuários otários para a fraude de formulário, caso ele clique no link contido na mensagem.

Indícios típicos de fraude: Além dos mesmos indícios que apontei no artigo de ontem — impessoalidade (não cita o nome do cliente), tema suspeito (atualização ou recadastramento de segurança feito pela internet), link destino suspeito (não aponta para o site principal do banco) — vou comentar uma prática de segurança que tem sido adodata pelos bancos. Como um link em uma mesagem de spam — como este — tem sido o gatilho mais comum para levar a fraudes, os bancos que enviam e-mails legítimos ao cliente tem evitado incluir links na mensagem. Às vezes informam o endereço que deve ser acessado, mas instruem o próprio usuário a digitar o endereço no navegador. Eliminam a praticidade do link em prol da segurança.

O endereço contido no link fraudulento da mensagem de e-mail — clcmaquinaria.es — não tem absolutamente nada a ver com a instituição bancária usada como tema da fraude. Este endereço apenas leva a um redirecionamento para outro endereço, onde a fraude está efetivamente hospedada.


Nota técnica: Eis o trecho de resposta HTTP de redirecionamento (código 302) para o endereço onde a fraude está hospedada.

GET /datos/folletos/Atualizacao-Unificacao.php?ID=6235 HTTP/1.1
Host: www.clcmaquinaria.es

HTTP/1.1 302 OK
Location: http://www.aparecida.go.gov.br/site/Uploads/Galeria/595/InternetBanking/
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/4.4.7, PleskWin, ASP.NET

Observe o endereço: Para hospedar a fraude, invadiram o portal da Prefeitura Municipal de Aparecida, em Goiás — www.aparecida.go.gov.br.

Dados confidenciais solicitados na primeira tela: Agência, conta e senha de internet.

A fraude se dá ao luxo de validações em JavaScript, para evitar que o usuário forneça informações inválidas ou incorretas ao fraudador. Na primeira tela, verifica se a senha de internet e sua confirmação digitadas são iguais, conforme mensagem de erro a seguir.

Dados confidenciais solicitados na segunda página: CPF, RG (identidade), nome do pai, senha de Disk Real, assinatura eletrônica.

Novamente, a página inclui diversas validações dos dados fornecidos, conforme duas ilustrações a seguir.

Na última tela da fraude, solicita todos os códigos do cartão e o número de série deste.

Indício claro de fraude: Os bancos possuem o número de série de todos os códigos dos cartões de segurança enviados aos clientes. O banco sempre solicita apenas o código de uma posição por vez (em uma tela ou transação bancária), para confirmar que o cliente possui o cartão e conhece o código na posição solicitada. Se uma página solicitar todos os códigos do cartão de segurança assim, é fraude!