Arquivo da tag: Segurança

PagSeguro não envia links por e-mail para usuários cadastrados

Atenção: A mensagem de ativação por e-mail para usuários PagSeguro é falsa

Fique atento: tem gente querendo pegar tua conta e senha, seja em bancos, no PagSeguro, em qualquer lugar. O esquema é o mesmo usado pelos espertinhos em todo o mundo: enviar um e-mail pedindo para clicar num link. Quem enviou o alerta à nossa equipe foi um de nossos clientes (Obrigada, Gelceu!)

Olhem só o e-mail que recebemos aqui, que teria sido enviado para usuários em geral:

Prezado Cliente,
Estamos enviando este e-mail seguro, para todos nossos clientes cadastrados em nosso banco de dados, para avisar sobre o (sic)ativamento de sua conta. Este ativamento trata-se de um método seguro para que sua conta permaneça em pleno funcionamento, este novo recurso não irá afetar em sua conta, apenas iremos notificar em nosso banco de dados que sua conta ainda esta sendo utilizada.
O motivo desse novo recurso de ativamento foi dado ao acumulo de muitas contas inutilizadas, causando sobrecarga em nosso banco de dados.

Mensalmente a partir desse e-mail, estaremos enviando este e-mail de ativamento. Caso não queira receber este e-mail, favor acessar o Menu Ativar conta.

Acesse aqui para Ativar sua conta.

PagSeguro Agradece sua (sic)compreenção..
Por uma questão de segurança, o PagSeguro não envia emails com Anexos. –

Correções básicas: O PagSeguro nunca envia e-mails com links para usuários cadastrados. Jamais solicitamos que você faça ativações desta forma. E buscamos usar o português de forma correta, erros de ortografia são indicadores de malfeitores.

Já falamos de phishing aqui no blog. E você tem que estar alerta. Empresas idôneas são as maiores vítimas dos malfeitores digitais, que se aproveitam da popularidade das marcas e serviços na hora de priorizar suas ações. Para fugir das arapucas, um guia rápido:

  1. Preste atenção aos erros de português. Nossos e-mails não falam em “ativamento” (ativação é o correto) e jamais chegaram com erros ortográficos graves (sic: compreenção)
  2. Nossos e-mails NUNCA têm links quando são enviados para usuários cadastrados. A regra geral para links é a seguinte: não clique. Apague.
  3. Procure itens personalizados, como por exemplo seu nome no corpo do e-mail, pois isso caracteriza que a origem sabe quem você é. E-mails para  “Caro cliente” demonstram que o larápio não sabe com quem está falando, ele está “pescando” qualquer um que acreditar no conteúdo da mensagem.
  4. Alerta máximo: Você nunca sabe se a extensão do arquivo é realmente o que parece ser. Mesmo sabendo que as extensões .exe, .bat, .scr são nocivas, o e-mail fajuto vai tentar te enganar tentando instalar pragas na sua máquina.

Sim, a Internet é legal, nos traz negócios e é um meio muito ágil. Entretanto, a segurança também depende dos usuários. Evite cliques e avalie cada e-mail em sua caixa com todo cuidado. Anexos também são suspeitos. Mais que isso: mantenha os antivírus e antispywares atualizados. Segurança é coisa séria.

Transações on-line: Internautas buscam confiança, segundo a Verisign

Antes da Internet, as empresas ganhavam a confiança dos consumidores por meio de referências pessoais e indicadores off-line, como um aperto de mão, serviços excepcionais ou uma boa vitrine. No mundo digital, a confiança ainda é valiosa, mas para conquistá-la é preciso manter a segurança, com a criptografia e a validação do site.

Semana passada a Verisign divulgou a pesquisa que patrocinou, feita pela Sunovate, onde se descobre que a maioria dos consumidores chegam a dispensar descontos e promoções e gastar mais quando têm certeza que suas identidades – e dados – estão protegidos.

Feita com 919 americanos com mais de 18 anos de idade, que despendem no mínimo três horas por semana conectados fora do seu expediente a pesquisa mostra a conscientização dos consumidores em relação à segurança on-line e mede o interesse e a familiaridade dos consumidores sobre os serviços de autenticação no mercado atual, entre outros serviços. Embora a realidade brasileira não seja idêntica, a pesquisa revela uma tendência – já que a educação e uso da internet só faz crescer por aqui.

Está lá no release: “Os resultados da pesquisa revelam que 85% dos consumidores afirmaram que a confiança no site é o item mais importante ao interagirem com um site e compartilharem informações confidenciais. Apenas 9% dos consumidores afirmaram que os preços eram mais importantes e 5% afirmaram que a facilidade de uso era mais importante. Além disso, 93% dos entrevistados afirmaram que não fariam mais transações em um site que não se mostrasse seguro.”

A pesquisa revelou informações importantes sobre como os consumidores protegem suas identidades atualmente ao realizarem transações on-line:

– 86% utilizam um nome de usuário e uma senha simples para acessarem as contas.

– 62% procuram o ícone do cadeado na barra de endereços.

– 55% procuram uma logomarca ou um selo da empresa que forneça segurança na Internet.

– 52% procuram https:// na barra de endereços.

– 26% procuram uma barra de endereços no browser na cor verde.

Vale a pena cuidar dos dados dos clientes, manter sistemas atualizados e investir em segurança, sempre. E, claro, nossos parceiros e clientes contam com toda a infra-estrutura do PagSeguro.

Melhoria no sistema: upload de documentos

Acabamos de implementar uma nova ferramenta no cadastro de vendedores: o upload de documentos. Com ela, o usuário poderá enviar imagens e outros documentos digitais para que a verificação da sua conta seja mais rápida e eficiente.

Experimentem e, por favor, contem como está a experiência. Mais uma ferramenta para que você enfrente menos burocracia e tenha mais lucros.

Alerta: sofisticação nos crimes virtuais

Saiu ontem o Relatório Cisco de crimes virtuais. Divulgado em San Jose, California, o balanço de 2008 da empresa identifica as principais ameaças de segurança do ano e oferece recomendações para proteger redes contra ataques que se espalham mais rapidamente e tornam-se cada vez mais difíceis de detectar, explorando vulnerabilidades tecnológicas e humanas.

“Este ano, as tendências revelam quão importante é observar todos os elementos básicos de políticas e tecnologias de segurança”, diz Ghassan Dreibi Jr, gerente de desenvolvimento de negócios da Cisco do Brasil. Dreibi Jr recomenda ajuste fino de controles de acesso e a correção de vulnerabilidades conhecidas para eliminar a capacidade de criminosos em explorar falhas nas infra-estruturas.
A solução é simples e sensível: atualizar o sistema operacional e os aplicativos (principalmente antivirus e firewall) tanto nos terminais como na rede. E cada vez mais investir em conscientização e informação para os funcionários.

As principais tendências do relatorio:

  • O número geral de vulnerabilidades anunciadas cresceu em 11,5% em relação a 2007.
  • Vulnerabilidades em tecnologia de virtualização quase triplicaram de 35 para 103.
  • Os ataques estão se tornando cada vez mais mistos e direcionados, incluindo múltiplos vetores.
  • Os pesquisadores da Cisco observaram um crescimento de 90% de ameaças com origem em domínios legítimos, quase o dobro do visto em 2007.
  • O volume de malware disseminado com sucesso via anexos de e-mail está em queda. Ao longo dos últimos dois anos (2007-2008) o número de ataques baseados em anexos caiu em 50% em relação aos dois anos anteriores (2005-2006).

Ameaças na internet

  • Spam: De acordo com a Cisco, Spam é responsável por quase 200 bilhões de mensagens por dia, aproximadamente 90% dos e-mails no mundo. Os Estados Unidos são a principal fonte com 17,2%. Outros países que contribuem para o Spam são Turquia (9,2%), Rússia (8%), Canadá (4,7%), Brasil (4,1%), Índia (3,5%), Polônia (3,4%), Coréia do Sul (3,3%), Alemanha e Reino Unido (2,9% cada).
  • Phishing: pouco conhecido pelos usuários e muito usado pelos malfeitores, phishing é a tentativa de pescar dados e informações de terceiros. Segundo a Cisco, enquanto ‘spear-phishing’ direcionado representa aproximadamente 1% de todos os ataques de phishing, acredita-se que se tornará mais comum conforme criminosos personalizem Spam para tornar as mensagens mais críveis.
  • Botnets: Botnets se tornaram um nicho de atividade criminosa na Internet. Este ano diversos websites legítimos foram infectados com Iframes, código nocivo injetado por botnets que redirecionam visitantes para sites que fazem download de malware.
  • Engenharia social: O uso de engenharia social para induzir vítimas a abrir um arquivo ou clicar em links continua a crescer. A Cisco acredita que em 2009, técnicas de engenharia social aumentarão em número, vetores e sofisticação.
  • Seqüestro de reputação: Mais criminosos on-line estão usando contas verdadeiras de e-mail em grandes provedores legítimos para enviar Spam. Esse ‘seqüestro de reputação’ amplia a capacidade de distribuição e torna mais difícil de detectar e bloquear o spam. A Cisco estima que, em 2008, o Spam resultante desta prática representou menos de 1% de todo o spam global, mas 7,6% do tráfego de e-mail dos fornecedores.

As previsões para 2009:
Em 2009, pesquisadores dessas equipes de segurança observarão de perto as seguintes tendências:

  • Ameaças internas: Funcionários descontentes ou negligentes podem ameaçar a segurança corporativa. A crise econômica global pode levar a mais incidentes de segurança envolvendo funcionários, tornando crucial que TI, RH e outras áreas corporativas colaborem para reduzir as ameaças.
  • Perda de dados: Quer seja por falta de cuidado, violação de hackers ou internamente, a perda de dados é um problema crescente que pode levar a graves conseqüências financeiras. Tecnologia, educação e políticas claras e bem aplicadas de segurança de dados podem tornar o cumprimento mais fácil e reduzir incidentes.
  • Mobilidade, trabalho remoto e novas ferramentas como fatores de risco: A tendência relativa a trabalho remoto e ao uso relacionado de ferramentas baseadas em Web, dispositivos móveis, virtualização, computação “cloud” e tecnologias similares para aprimorar a produtividade continuará em 2009. Será um desafio para profissionais da segurança. Os limites da rede estão se ampliando rapidamente, e o número crescente de dispositivos e aplicativos em uso podem tornar a rede em expansão mais suscetível a novas ameaças.

Para evitar fraudes e o phishing, o PagSeguro não envia links e não usa o HTML nos e-mails de contato com seus usuários. Além disso, protegemos todas as transações com servidores criptografados e seguros. Fiquem atentos em suas empresas às atualizações dos sistemas e softwares e ao treinamento, para evitar invasões, vírus e perda de dados.

Tutorial: Retorno Automático

Nosso leitor Paulo Santana pediu mais informações sobre o Retorno Automático PagSeguro. Lá no Fórum do i-Masters, temos uma categoria só para ajudar os nossos clientes e parceiros.

Vamos transcrever aqui o tutorial:

A URL de retorno tem duas funções distintas. Uma é redirecionar o usuário após terminar a transação no PagSeguro para o site da loja, apenas redirecionando à página, sem nenhum dado de POST. A outra é enviar os dados da transação e alteração de status da transação via POST.

O POST é automático, enviado ao final da transação e quando ocorre alteração do status, ambos em background, abrindo uma nova sessão no seu web site. Não é possível a exibição imediata no seu web site dos dados do post (echo, print, Response.Write, etc).

Alguns desenvolvedores enfrentam situações em que não conseguem receber o POST. Seguem abaixo os principais motivos e dicas para resolução do problema:

– É necessário que o website e a URL de retorno estejam hospedados em um domínio válido.

– Não poderá ser uma aplicação local (você nunca conseguirá receber os dados em um ambiente local, como “localhost” por exemplo).

– O código de NPI (Notificação de Pagamento Instantâneo) não conseguirá ler valores de Sessions ou Cookies, porque assim que o PagSeguro envia o POST para o seu web site, é aberta uma nova sessão (conforme mencionado acima).

– Não há restrições de saída no PagSeguro, mas caso você não esteja recebendo nenhum dado do PagSeguro, verifique no seu firewall a liberação do IP de POST do NPI: 200.221.19.20 e IP de Redirecionamento simples: 200.221.19.4.

– Servidor configurado em uma porta da 80 (HTTP) ou 443 (HTTPS).

– Não é possível imprimir nenhum campo do post no momento do recebimento do mesmo (echo, print, Response.Write, etc).

– As informações deverão ser salvas em seu banco de dados, arquivo texto ou XML no momento do recebimento.

– A programação do retorno automático deve enviar de volta para o PagSeguro todos os campos recebidos no POST, mais o comando=validar e o token=”Seu Token”.

– Use o token de segurança para validação da transação.

– Retorne os dados para validação sem nenhuma conversão, exatamente da maneira como recebeu (verifique se a sua string está sendo enviada com Encode, por exemplo: “%20” ou o sinal de adição “+” substituindo o espaço, etc).

– É muito importante sempre colocar um debug em seu código, salvando o erro do debug no seu banco de dados para analisar onde e porque ocorreu o erro no momento do retorno.

– O script em nossa página é apenas ilustrativo, cada desenvolvedor altera de acordo com o próprio sistema.

– Observe todos esses itens, e se ainda você não conseguir receber o POST, entre em contato com nosso suporte técnico, clicando em Atendimento após logar em conta PagSeguro.

Bons negócios!

(e venha para o fórum, saber mais sobre o sistema do PagSeguro)

p.s. tem mais dicas no site da Visie:

Como funciona:http://visie.com.br/pagseguro/retorno-automatico.php

Capturar o retorno automático do PagSeguro, usando a biblioteca: http://visie.com.br/pagseguro/retorno-automatico-php.php