Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

D2th3

Vírus do Boleto

Recommended Posts

D2th3, tivemos o mesmo problema na nossa empresa (eu trabalho numa rede de ensino com um número significativo de alunos). Como não é uma falha de segurança do sistema e sim do cliente, não foi tomada nenhuma atitude nesse caso.

 

Não há o que fazer quanto ao boleto, pois ele é alterado no navegador, após o boleto ser gerado. O interessante seria compreender a forma que o vírus funciona (como ele altera, exatamente quando ele altera, como ele encontra o que busca) o que não se encontrou ainda.

 

A nossa orientação foi manter o sistema e anti-vírus atualizado, não somos responsáveis pelas irresponsabilidades dos clientes.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Gabriel,

 

Obrigado pela participação do debate.

Eu, em particular, discordo desse posicionamento. Entendo a imprudência do cliente em não ser precavido, mas o antivírus não pega essa praga e por mais que não seja um problema do sistema você abala a credibilidade da marca junto ao cliente.

 

Observe os comentários desse artigo: http://www.linhadefensiva.org/2013/04/virus-altera-boletos-na-web-e-pagamento-cai-em-conta-indevida/

 

Outra coisa que tenho em mente é que a maiorias dos usuários são leigos (não programadores como nós), então eles não observam lógicas que são fáceis para nós, por isso muito não entendem que a culpa é deles por serem imprudentes no uso da internet. Mas eu sempre ando com uma frase na mente: "para o mal triunfar basta o bem não fazer nada".

 

Vou continuar trabalhando para encontrar uma solução e conto com a ajuda de qualquer informação que possa acrescentar esse debate.

 

Obrigado.


Osmar,

 

Obrigado por enriquecer nosso debate com informações relevantes.

Acrescento que o vírus já evoluiu e hoje ele é capaz de gerar um código de barras real. Sobre o boleto em PDF não observei relato de problema, mas sobre o boleto em forma de imagem sim, já houve casos que o boleto era falso.

 

Contudo,

 

Também você pode incorporar em seu serviço um validador de boleto, assim como ocorre com nota fiscal eletrônica, gera um chave criptografada e orienta o usuário a validar o boleto.

É uma ideia muito boa. Validar o boleto com certeza é uma coisa interessante e simples de implantar.

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

[...]mas o antivírus não pega essa praga[...]

Por mais que o artigo possa parecer recente, os anti vírus evoluem bastante, e isso não reflete mais a realidade do artigo.

 

O primeiro caso que tivemos aqui foi no final do ano passado. O vírus foi descoberto em abril do ano passado, e em suma, a maioria dos antivirus detectam o vírus. Para falar a verdade, não houve ninguém, hoje, que disse: "meu anti-vírus não o detectou".

Compartilhar este post


Link para o post
Compartilhar em outros sites

Gabriel,

 

Eu relato os comentários desse artigo. As pessoas informam que estão com antivirus atualizados e mesmo assim não detectou a praga.

 

Como eu não possuo o exe desse virus, não tenho como testar. Juro pra você, eu clico em todos os SPANS de Nota Fiscal, Atualização de Banco, Intimação, Fotos do Final de Semana, etc... faço os downloads e executo os programas e até o momento nenhum dos virus que baixei alterou boleto. Quando o PC para de funcionar eu formato o HD e restauro a imagem e começo novamente.

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Talvez seja porque a "quadrilha" foi localizada. Há algumas notícias a respeito, não sei o quão verídico é.

 

Mas um fato é que o vírus não realizava nenhuma alteração no boleto em si. Ele enviava para um server, que então alterava o boleto, retornava ao browser e então substituia o original.

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Mas um fato é que o vírus não realizava nenhuma alteração no boleto em si. Ele enviava para um server, que então alterava o boleto, retornava ao browser e então substituia o original.

 

Essa é a principal informação que eu detenho, por isso estou trabalhando em verificar como o virus identifica o boleto, pois o mesmo não enviaria tudo ao server e sim somente boleto, se souber essa informação já ajuda muito a gerar o boleto de forma a não dar pistas ao virus.

 

O PDF é uma peça importante nesse contexto pois iremos gerar o boleto todo dentro do servidor e disponibilizar o download ao cliente, dessa forma não há tempo do Virus identificar. Mas isso é um pensamento lógico, na prática não sei se funcionaria.

 

O contra dessa solução é que até o momento não encontrei um PDF e PHP que renderiza bem os boletos. Muitos descaracterizam.

 

Att

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mas hoje teve um incidente que o tal virus (exe), instalado no PC do cliente (imprudente) trocou a linha digitável e o código de barras estava igual a linha digitável... e validade pelo leitor do caixa eletrônico do banco.

Muda seu mindset, você está se baseando em cima de um só cliente, e criando um mundo de ilusão a sua volta, este artigo que você postou eu li ele o ano passado os comentários já cessaram.

 

Como mencionado, dezenas de antivírus já fizeram o seu trabalho e faz todos os dias.

 

Já utilizo os boletos do phpboleto a um bom tempo e nunca tivemos problemas.

 

Só que utilizo ele de forma correta, "mais uma dica" carrego por iframe e gero uma chave mostro para carregá-lo no navegador.

 

 

E na url https:// aos invés de http://, isso sim gera confiança =D

 

para carregar

<iframe src="https://boleto.seusite.com.br/online/impressao.php?DC=B183R175C211I8H237G109T156O173Z235V61H165C217D103F205F5G140N92G103F208I14T7M146R42E101R243M245I61O108C1Q255I49W149O48W219Y82G52X70S13N109X51M160S29J79D17G127B239T144D114O252D90D60H232O49N93Z184O253S5Y23Q120I217J46R105D220J62D114C124T27Y49H110F102J140A190J213Z22K5Q177C172R165J144W75S91G151O90G216V46L2A140R155B54E71U194T73C81C55V88Y238A138J236I152O39J167W237H28fdifsd8J55F239T157Y87F7Q89O211D66P224N71E11B88Z88I109Q208E206W29W146Q52P37D253Q102M244U80L115Q45U227Q239Y150J21Z48V168Y103R53R62N74B203P177R12R89P98B67Z167W45Y9Z18K198N17C197J34A222G254N167C52U17B233I7M196E57V6B255O116R86B229H88D48H119T103O57I0V125W32E2V96S80C216E75Z138V22X188R109J94K185H7S219E126F96Q98G85U110P206U164W186N210E83H255N226P39E36D95X84Q217T80B102I106S116J249K228T179T174Z79S129F236D233I54J155H134T67F22K3V97O193F113R118S249X62H163Z229W52O124O108A149A176C216Q133R84Z24dsI49C47R71V123X6W25F183A49U222G139I13J173E237W91L116J91P194X105Y48Y210F220Q171W244O214F59K222Q117A75V176F220Q200X193R66D125Q11I147C84S9D211L253M135P207J21S6V221I53J193Z131S21U161S10M205C158A151I40J195K238Z26U101X34R56K0O147Q57X189X245E105W212P94W197J17S242T128G30S207L191O4H234G206X187S122C172K192T197Y67K148T172B100F243O97W210Y122W37Y88D80I105F210T123X182W220T255J52R55C31N239U156E250D94H57H83J22Y73P210S211H148E146K220E70W122J27C28J4U78V106D130Y227Y245I174R30E122D101M255F82N143E25M14Z46J212S121U181R145I199C49O101T252K210A163G125D6T254M184E169K130I143E88A176M222F83H195Y30N78C7X107E5O97D211K140M224K201X103S145F165S16Z67H173R138E146N68J172V219Q127D149I98D54G147S109B255N69N14M52Y246E160L104B207W35I3O27U253K96E12R127X68M79J162M112H239T180O59C193Y2V10C93M53Y" frameborder="0" width="100%" height="900px" style="border: 4px solid #EEE; padding: 20px; width: 830px;"></iframe>

iframe neste caso não atrapalha na UX

 

 

E minha frase é o seguinte:

Enquanto os pobres vivem procurando por problemas, os ricos por soluções.

 

Sem mais!

Compartilhar este post


Link para o post
Compartilhar em outros sites

A validação do boleto se mostrou eficiente para combater o virus.

Colocando um campo para a pessoa copiar a linha digitável e mandar validar é uma garantia interessante para o usuário.

 

Att

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sobre o problema do boleto.

 

Como já dito, PDF é uma das melhores alternativas. Mesmo que dê trabalho, aconselho a desenhar o PDF utilizando uma biblioteca disponível. Gosto muito da TCPDF. Não aconselho em nenhuma delas utilizar o maldito WriteHTML. Nunca fica perfeito. Desenhando o boleto linha a linha, você vai ter um produto perfeito que poderá ser reutilizado posteriormente. Munindo-se da programação orientada a objetos, poderá criar as ferramentas necessárias para portar para qualquer banco com poucas modificações no seu código.

 

Sobre o vírus.

 

Entendo que você queira minimizar o problema com seus usuário e tentar fazer com que sua marca não sofra os danos colaterais de uma cagada de um usuário, mas acho que esta é uma batalha perdida. Neste caso, você nunca vai ter o controle do ambiente do usuário, e mesmo que você coloque o verificador de codigo de barras indicado, ele poderá simplesmente não checar, e o problema persistirá. A validação não combate o vírus. Ele continua lá, firme e forte. Só evita que, naquele momento, um boleto a menos seja pago erroneamente. Se um outro usuário usar o mesmo PC para pagar outro boleto (o que é normal, o marido paga um a mulher outro), que seja de outro sistema, vai se um boleto pago errado também.

 

Fazendo uma comparação: eu por exemplo, adoro andar de moto. Imagina que eu vi um pai dar de presente para o filho de 18 anos, que acabou de tirar a carteira, uma Kawasaki ZX10R. 3 semanas depois o filho estava internado em estado grave no hospital porque caiu de moto num track-day. O pai vai poder culpar a marca porque o filho caiu de moto porque não sabia usar a moto? Andar de moto requer atenção, cuidado, os pneus corretos, suspensão correta, vestuário correto, etc. Mesma coisa para usar um PC. Se não souber usar, vai dar problemas mesmo. Um boleto pago errado, pode ser até o menor dos problemas. Se o usuário tiver a sorte de pegar um vírus que acesse seu bankline, aí sim vai ter um estrago.

 

Em síntese: como falei anteriormente, acho louvável você querer minimizar o problema. Se realmente quer que este vírus não "zoe" seus boletos, faça uma alternativa do HTML. Em PDF ou uma imagem completa do boleto podem ser a solução.

 

[]'s

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pois bem...

Com certeza não é um problema meu o usuário não tomar conta corretamente do seu PC, mas vale a ajuda. O PDF é uma alternativa muito boa e vale a pena trabalhar nessa alternativa.

 

Estou colocando em produção o sistema carregando uma página com um cabeçalho com orientações sobre o Virus um campo para validar a linha digitável e o boleto carregado em Iframe logo abaixo. Assim se o virus modificar o boleto dentro do Iframe ainda poderá validar. Caso a validação falhe há outra orientação relatando o usuário que o PC possivelmente está com virus e o mesmo corre atrás da limpeza.

 

Att

Compartilhar este post


Link para o post
Compartilhar em outros sites

Aproveitando o tópico

willan, eu tenho uma empresa de internet via rádio e imitimos os boleto via internet aos nosso clientes e utilizamos o phpboleto, você citou ajax para carregar os dados, voce poderia postar um exemplo de como fazer isso.

 

visto que é como hurserfil disse, usuário não vai testar boleto para ver se é válido.

 

Obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Aproveitando o tópico

willan, eu tenho uma empresa de internet via rádio e imitimos os boleto via internet aos nosso clientes e utilizamos o phpboleto, você citou ajax para carregar os dados, voce poderia postar um exemplo de como fazer isso.

 

visto que é como hurserfil disse, usuário não vai testar boleto para ver se é válido.

 

Obrigado!

Conforme MP recebida, sugiro que abra novo tópico e evite ceticismo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, conversa paralela que não ajudava na solução do tópico foram removidas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O tópico é antigo mas passei por isso essa semana. Um cliente infectado pagou o boleto adulterado. Porém, o boleto é baixado em PDF, então o Bolware já está nesse nível... Vocês conseguiram mais informações nesses últimos anos? Pelo que pesquisei, o vírus atua no navegador, e não no arquivo já baixado. Sendo assim, haveria algo a ser feito por nós programadores? Ter Certificado de Segurança (SSL) ajudaria em algo nessa questão do boleto?

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.