http://www.pedro.jmrezende.com.br/sd.htm > riscos :e-Comércio

Segurança no comércio eletrônico

Entrevista a Maíra Guedes,
Para matéria na Revista Plano Brasília

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
30 de Julho de 2006


Maíra Guedes: 1. Utilizar a Internet para fazer compras é seguro?

Pedro Rezende: Depende do que se compra, onde e como.

Tanto vendedores quanto compradores correm riscos de caírem em golpes dos quais é muito difícil recuperar o prejuízo. O vendedor pode ter seu sistema invadido por quadrilhas especializadas em achacar ou negociar dados corporativos, com concorrentes das vítimas ou outras quadrilhas. Pode também ter o pagamento recusado após a mercadoria ter sido entregue, em cujo caso ele fica em princípio com o prejuízo.

Clientes correm o risco inverso, de estarem transacionando com um site clonado ou com uma empresa de fachada, ou de receberem algo que não corresponde à descrição do que escolheram ou às suas expectativas. Também correm o risco de estarem com o computador grampeado enquanto digitam os dados do pagamento, caso em que a criptografia do site da loja virtual não os protege.

Alguns bens não podem ser negociados sem o devido rito contratual, que envolve papel, como imóveis e automóveis por exemplo, mas a etapa inicial, de conhecimento, escolha e negociação de preço, pode ser virtualizada. Nesses casos, é necessário ao comprador ter cautela com eventuais demandas de pagamento adiantado, por exemplo a título de sinal, pois o pseudonimato proporcionado pelo meio virtual facilita a armação de golpes.

MG: 2. Como se dá o processo compra-venda na Internet?
PR: O método mais comum é aquele popularizado pela livraria Amazon, em que o cliente escolhe mercadorias em vitrines virtuais, exibidas em páginas web, paga através de uma fatura eletrônica na qual o número de seu cartão de crédito é incluído, essa fatura é enviada pela internet ao site da loja virtual,que procede o envio da mercadoria após a cobrança. Variantes desse método usam outras formas de pagamento, como boleto bancário impresso pelo cliente, ou depósito ou crédito on-line.

Há também o método popularizado pelo site eBay, de leilão eletrônico e de leilão reverso, onde, em determinadas passos, os preços negociados tem origem e validade variadas.

MG: 3. Em que casos é aconselhável fazer compras pela Internet?
PR: É aconselhável comprar pela internet apenas bens razoavelmente conhecidos do comprador, de empresas conhecidas também por meios outros que o site de vendas, para que os riscos da transação se equiparem aos de uma compra normal, e as vantagens de conveniência, agilidade e preço se destaquem.

Os segmentos que mais tem mostrado vantagens são os de bens imateriais (licenças proprietárias para a exibição de música, vídeo ou livro eletrônico, para a instalação ou execução ou de softwares, etc.), para os quais a "entrega" ocorre via de regra através do mesmo meio, e o chamado comércio B2B, (Business to Business)

O B2B virtualiza processos de licitação entre empresas ou órgãos públicos e fornecedores previamente cadastrados, para compra de itens já conhecidos e catalogados, sob condições gerais pré-acordadas.
MG: 4. O que impulsionou as pessoas a fazer compras pela Internet?
PR: Certamente a agilidade e a conveniência. Em alguns casos, dependendo da escala da operação, também do custo do serviço e, conseqüentemente, da competitividade dos preços oferecidos.

MG: 5. Há a possibilidade de que o número de compras pela Internet cresça?
PR: Até onde tenho acompanhado, se contabilizarmos o segmento B2B eles vem crescido cerca de 20 a 30 % ao ano, mesmo depois do estouro da bolha da internet em 2000.

MG: 6. Dê algumas dicas para quem quer fazer compras pela Internet.
PR: Além dos conselhos anteriores, e sendo minha especialidade a segurança na informática, podemos sugerir algumas cautelas básicas.

Primeiro, não use navegador vulnerável demais. O Internet Explorer é o programa mais atacado e difícil de proteger em uso hoje, e a próxima versão só poderá ser instalada se o usuário estiver sendo monitorado pelo WGA, o que traz suas próprias vulnerabilidades e riscos, que incluem o de "fogo amigo" de programas anti-virus e de segurança dentre comerciais (ver http://observatorio.ultimosegundo.ig.com.br/artigos.asp?cod=389ENO003).

Mesmo que aceite as condições para manter o Explorer atualizado, o leitor deve saber que mais de 90% dos vírus hoje circulando e atacando o Windows são feitos em linguagem adaptada para conteúdo ativo que só roda no navegador Explorer (VBScript).

Em condições normais, o uso de navegadores com licença livre e atualização automática, como o Mozilla Firefox, apresentam risco mais controlável, por exemplo, com a instalação de extensões de segurança específicas do navegador. Ademais, para quem quiser resolver seus problemas de pirataria e autonomia migrando para software livre, a escolha é óbvia.

Segundo, mantenha hábitos de navegação sadios no computador usado para compras ou transações financeiras. Não faça compra em computador cujos outros usos você não conhece. Digite os dados da compra em uma sessão do navegador na qual outros sites não foram visitados ainda.

Terceiro, não visite o site de compras clicando em links de documentos ou mensagens de email. Na primeira vez em que visitar o site, digite manualmente o nome de domínio do site no campo de endereço do navegador conforme o conheceu por outra via. Depois, repita a digitação ou, caso o tenha salvado nos favoritos, use o item correspondente.

Quarto, não visite o site de compras enquanto estiver com outras janelas ou abas do seu navegador abertas. Isso diminui o risco de ataques através de uma poderosa técnica, que se tende a tornar cada vez mais perigosa na medida em que o uso das chamadas aplicações web se dissemina, conhecida por "cross-site scripting" (ou por seu acrônimo XSS), pela qual instruções maliciosas enviadas a quem visita uma página aparentemente inócua são conduzidas a atuar em uma outra página que o mesmo usuário esteja visitando.

Quinto, não despreze as mensagens e alertas a respeito da comunicação com o site de compras, principalmente as que fazem referência a certificados digitais. Procure entender o que significa as mensagens ou alertas, os riscos e as opções decorrentes. No mais, a avaliação do perigo desagua numa ponderação entre custo e benefício, entre uma mudança no perfil dos riscos de fraude em troca de conveniência.
 
revisada em 19.09.06 - (quarto risco acrescentado)