Os bancos já perderam a guerra contra os cibervândalos3

Hoje recebí uma cartinha do Itaú. É uma cópia escrita de alguns termos apresentados através da Internet, os quais eu aceitei simplesmente clicando no botão para poder ir adiante e pagar minhas contas. Todos os ítens pareciam bastante óbvios, coisas do tipo “você não vai contar sua senha pra ninguém, né?”. Então passei a desconfiar…se é tão óbvio, para que me pediram pra aceitar via Internet e ainda me enviaram uma carta que lhes custou tempo para redigir, papel, impressão e envio? Percebí então do que se tratava: cada ítem traz um pedaço, um detalhe, daquilo que eles não tiveram coragem de colocar em uma frase só porque ninguém ia topar.

O resumo da carta é o seguinte: “não nos responsabilizamos por cibercrimes contra sua conta, confira seu extrato todo día porque fraudes são responsabilidade sua, não nossa”. Fiquei surpreso com isso. De bancos que só atendem ao público de 11 às 16 eu esperava que fossem, no mínimo, responsáveis pela integridade de minha conta.

Voltei para o trabalho e, como o Itaú não aceita borderôs de multas de trânsito nem Seguro(?) Obrigatório(!!!) eu precisava pagar tudo via Banco do Brasil.

Abro o bb.com.br, vou pagando algumas contas e, para minha surpresa, descubro que “estourei” o limite de R$ 100,00(ou R$ 200,00, não tenho certeza) para pagamentos sem cadastro do computador.

O “cadastro de computadores” do BB é uma tentativa de identificar que a máquina de onde o cliente está operando é deveras sua máquina. Para isso o BB gera uma assinatura de várias características de sua máquina e a armazena em seu servidor central. Se alguma coisa mudar na sua máquina, se ela não “aparentar” mais ser aquela que gerou o Digest original, o Home Banking deixa de funcionar para valores acima de R$ 100,00(ou algo próximo disso). É mais uma tentativa do BB de dificultar as fraudes que vemos pela imprensa praticamente todo ano. São vândalos que roubam dezenas de milhões de Reais pela porta da frente do banco, sem armas, sem assaltos cinematográficos. Apenas roubam as senhas de clientes, entram, sacam e saem felizes da vida. Para combater isso, o BB implanta essa quantidade de gambiarras tecnológicas. E não é injustiça chamar de gambiarras….é um fato.

Tecladinho virtual em Java, cadastro de computadores, 3 letrinhas que temos que decorar, senha diferente para o acesso eletrônico e para o cartão. Enfim, num mundo dinâmico onde todo mundo vive com 200 coisas para cuidar ainda temos que decorar um monte de códigos porque o BB simplesmente não consegue vencer os vândalos.

Essa quantidade de medidas de segurança é uma admissão de que o processo de segurança dos bancos falhou, e de que nossas autoridades não deram conta do recado. O processo está falho e eles estão remendando com “teclados virtuais”, 2 ou 3 senhas diferentes, e por aí vai. Eu bloqueei meu cartão Itaú sem querer porque tenho 3 contas e cada uma tem 2 ou 3 senhas. E eu não sei mais o que tenho que digitar aonde – já virou uma salada na minha cabeça. Hoje perdí 40 minutos indo ao banco desbloquear meu cartão – lembrei que eu estava digitando a senha do BB no cartão do Itaú. Imagino se eu ainda estivesse no sul da Bahía onde o Itaú mais próximo era a 70 quilômetros…

Realmente, se o Banco do Brasil continuar exigindo 400 senhas para qualquer coisa eles vão conseguir evitar o crime cibernético, porque ninguém mais vai conseguir usar, nem mesmo os vândalos.

Pela lógica, se eu efetuei 2 ou 3 pagamentos abaixo de R$ 100,00, e ele me negou os outros acima disso, então significa que ele desconfia que esses primeiros podem ter sido fraude. Ou seja, o BB não tem um sistema que pode, ou não, ser seguro – há um meio termo aí, e isso, no mundo da segurança digital, é chamado de “derrota completa”. Eles admitem que tem furos e apenas limitam a quantía para ganhar tempo e minimizar os danos. É um tanto desconfortante saber disso, não acham?

Agora, depois de 2 horas pagando contas e dirigindo atrás de bancos, chego ao trabalho e tento efetuar alguns pagamentos pelo BB. O resultado : nada feito. Confira:

Tentei pagar o IPVA, mas o banco diz que já estourei o limite de R$ 100,00 diário para pagamentos.

Me apresentam uma cartinha pedindo para cadastrar o computador.

Tudo isto para apenas pagar meu IPVA…mais uma telinha cheia de lero.

No fim dos anos 90 a Sun e desenvolvedores de todo o mundo enxergaram que o Java seria uma excelente linguagem para aplicações de todo tipo, mas que aquela velha idéia de “applets por toda parte”, rodando em navegadores, era furada. Primeiro porque diversos applets só funcionam em alguns navegadores(quebrando o principio do Java de funcionar em toda parte) e segundo porque o runtime do Java SE é um elefante de 60 megabytes que pesa muito no navegador. O runtime Java é maior que o navegador inteiro…é um elefante na caçamba da Ford Courier. Todo mundo viu que o modelo não funcionaria. Hoje as pessoas usam o Adobe Flash em vez do Java por isso. O BB insiste no Java dentro do navegador….e o resultado é:

Pane! Clico no link fornecido para detalhar o problema e…voilà!!!!! O applet “descobriu” que ele não pode vasculhar meu computador à vontade devido à restrições de segurança do Java. Quando Jim Gosling, Bill Joy e outros 4 gigantes da informática criaram o Java, a primeira coisa que determinaram era que aplicativos Java distribuidos pela rede não poderiam acessar tudo nas máquinas dos clientes ou seria uma farra de cibervandalismo. Isso foi em 1992 ou 1993. Ou seja, desde que a linguagem Java nasceu, ela tem esse tipo de restrição – não é a linguagem correta para essa finalidade. Mas o BB insiste no Java dentro do navegador. Esse applet só funciona no Firefox se eu abrir toda a proteção que ele nos dá justamente contra essa invasão de privacidade. Por que eu daria permissão ao BB de vasculhar minha máquina via internet? É gambiarra….e não é assim que se faz segurança na Internet. E um banco que lucra bilhões de Reais às nossas custas deveria saber disso.

OK, deve haver uma saída. Há um botão oferecendo ajuda e eu clico nele.

Conclusão: os cibervândalos venceram…. E a ironía disso tudo é que eu estava apenas tentando pagar os mesmos impostos que ajudam a sustentar a estrutura faraônica do Banco do Brasil.

O Itaú, diga-se de passagem, tem um sistema tão mais inteligente, baseado em senhas de único uso(aqueles números nos cartões de segurança). Os bancos europeus adotam algo semelhante, porém o cartão virtual é um gerador de senhas únicas da RSA. É a mesma idéia, e é praticamente inquebrável. Mas o BB é estatal… Então tá explicado. Com nosso dinheiro eles se dão o luxo da ineficiência.

Ferrados estamos nós, afinal a responsabilidade pela nossa conta é nossa e se quisermos ser atendidos que seja entre 11 da manhã e 4 da tarde.