A despeito do amplo leque de aplicativos mensageiros disponíveis para uso quotidiano, o correio eletrônico (que em algum momento foi o serviço mais popular na Internet) continua sendo a plataforma mais visada por cibercriminosos. Segundo a empresa de segurança digital Kaspersky, apenas no terceiro trimestre de 2020 foram disparados mais de 50 milhões de emails com arquivos maliciosos em todo o mundo. Desses, 3,5% tiveram como alvo usuários tupiniquins, o que coloca o Brasil em oitavo lugar entre os países mais vitimados por ataques de phishing (mensagens fraudulentas). Mas não é só: a pesquisa revelou também que 30% dos internautas brasileiros têm dificuldade em reconhecer mensagens fraudulentas.
Algumas fraudes são de fáceis de identificar, pois as
mensagens apesentam erros ortográfico-gramaticais, imagens gráficas amadoras e
abordagens excessivamente genéricas, além de cobrar do destinatário “providências
urgentes” sob pena de multa pecuniária, cancelamento de documentos e assim
por diante. Mas há golpistas mais sofisticados, capazes de enganar até os
usuários mais cautelosos.
Tornar um email falso indistinguível de um
genuíno é perfeitamente possível. Se o cibercriminoso souber o caminho das pedras, a maioria dos destinatários não pensará duas vezes antes de clicar em um
link ou abrir um anexo mal-intencionado (e é difícil culpá-las por isso,
especialmente porque não há como dizer que o email foi falsificado).
Observação: Durante o 36º Chaos Communication
Congress, Andrew Konstantinov deu uma verdadeira aula sobre
autenticação de email para analistas de invasão, e incluiu
algumas pistas sobre a efetividade da proteção contra emails enganosos.
O principal protocolo de e-mail utilizado nas
comunicações “cliente-servidor” e “servidor-servidor” é o protocolo SMTP, que foi introduzido pela primeira vez em 1982 e atualizado pela última em
2008, o que faz dele — e de qualquer outro padrão antigo — um pesadelo em
termos de segurança.
O grande problema é que os provedores padrões não podem
fazer autenticações. A responsabilidade pelo campo de endereço do remetente —
tanto no envelope SMTP quanto no cabeçalho — é toda do servidor que
envia a mensagem. Para piorar, o endereço do remetente no envelope SMTP
não precisa ser o mesmo do que consta no cabeçalho (e o usuário vê apenas o
último). Além disso, embora o padrão especifique um cabeçalho por e-mail, o SMTP
na verdade não impõe um limite. Se uma mensagem contiver mais de um cabeçalho,
o cliente de email simplesmente escolherá um deles para exibir ao usuário.
Como toda comunicação por email envolve duas partes, a
falta de autenticação se desdobra em dois problemas secundários. O ideal seria, por um lado, ter a certeza de que qualquer email recebido seja
realmente enviado pelo endereço indicado, e por outro, impedir que alguém envie emails que pareçam vir do endereço de terceiros.
Infelizmente, o padrão não colabora, daí o protocolo SMTP ser explorado
com tanta frequência.
Pensou-se em alterar a Estrutura de Políticas do
Remetente (SPF, na sigla em inglês), de modo a fazer com que o
servidor que recebe a mensagem seja capaz de checar se o endereço do servidor
que a enviou confere com o do servidor de email verdadeiro associado ao domínio
em questão. Mas é mais fácil falar do que fazer. Como o padrão SMTP não
tem como realizar essa verificação, qualquer método de autenticação teria de
ser adicionado sobre o material existente. Demorou uma década para que essa
tecnologia se tornasse um “padrão proposto”, e apenas 55% dos principais servidores utilizam a SPF, a maioria com políticas bastante flexíveis.
A SPF também enfrenta muitos outros problemas,
como sua arquitetura bagunçada, que facilita a configuração incorreta. Também é
possível enganá-la usando outros servidores hospedados no mesmo endereço, e
assim por diante. Mas a falha fatal desse sistema é que ele verifica apenas o
endereço indicado no envelope SMTP e ignora completamente o campo “De”
no cabeçalho — que é justamente aquele que o usuário vê.
A Identificação por Chave de Domínio (DKIM,
na sigla em inglês) aborda o problema de maneira diferente: esse protocolo
assina por criptografia o cabeçalho e parte do corpo da mensagem usando uma
chave privada, mas a DKIM não criptografa a mensagem inteira, apenas
anexa um adendo assinado por criptografia, e isso é um problema. É difícil
modificar a parte criptografada, mas é fácil excluir a assinatura e criar uma
mensagem falsa — e os resultados são imperceptíveis.
Observação: A implementação do mecanismo DKIM é
difícil porque envolve a emissão e o gerenciamento de chaves criptografadas.
Além disso, uma DKIM desconfigurada pode permitir que um
invasor preserve a assinatura DKIM verdadeira numa mensagem
enquanto, ao mesmo tempo, modifica completamente o cabeçalho e o corpo da mensagem.
Apesar do nome bastante extenso, o protocolo de Mensagem
baseada em Domínio de Autenticação, Relatório e Conformidade é realmente
mais fácil de entender do que o SPF ou o DKIM, por combinar ambos os anteriores e corrigir suas omissões. O DMARC ajuda o administrador
do domínio a especificar qual mecanismo de proteção (SPF, DKIM ou
ambos) está sendo utilizado no servidor, o que realmente corrige o mecanismo DKIM, e também corrige o SPF, fornecendo uma verificação do endereço
especificado no campo “De” do cabeçalho (o que é realmente visível ao
usuário), além de verificar o endereço do remetente no envelope SMTP.
A desvantagem é que essa solução é relativamente nova (a RFC 7489 não a define
como padrão ou mesmo padrão proposto, mas apenas como “Informativa”), e não é
tão usada como deveria ser. De acordo com este
estudo de 20.000 domínios, apenas 20% haviam adotado o DMARC
até 2019 e apenas 8,4% tinham políticas rígidas.
Resumindo: ainda é possível falsificar emails porque o protocolo SMTP não foi pensado com vistas à segurança, tornando possível que um invasor insira o endereço de qualquer remetente em numa mensagem falsa. Face ao exposto, a prudência aconselha a não deixar a mão esquerda saber o que a direita está fazendo e desconfiar sempre, de tudo e de todos, sobretudo se a mensagem parecer ter sido enviada por uma empresa acima de qualquer suspeita ou um órgão governamental (receita federal, justiça eleitoral, etc.), ou se o texto induz o destinatário a aproveitar “promoções imperdíveis” ou participar de sorteios ou concursos cuja inscrição exige que o internauta siga um link.
Em casos assim, recomenda-se deletar a mensagem, mas sempre há quem não resista à curiosidade, e é aí que mora o perigo. Em sendo o seu caso, ao menos verifique no site da empresa/órgão a veracidade das informações contidas no email.
Desconfie de mensagens alarmistas. A maioria das
instituições financeiras, administradoras de cartões, seguradoras e que tais não
solicita dados pessoais ou informações de conta por email. Se você receber uma
mensagem dessa natureza, entre em contato com a empresa em questão, mas jamais o
faça a partir do link ou do número de telefone informado pelo remetente. Acesse
o site oficial e ou ligue para o número que consta na página da
empresa/instituição.
Alguns programas clientes de email permitem a execução
de scripts. Nesse caso, abrir a mensagem pode ser suficiente para a ação do
código malicioso. Configure seu programa de email para não exibir o painel
de visualização e jamais acesse anexos suspeitos, especialmente se forem
arquivos executáveis ou de aplicativos como Word, Excel, PowerPoint
e PDF, pois eles podem baixar programas maliciosos.
Use uma solução do tipo Internet Security. Essas
ferramentas não são infalíveis, mas continuarão sendo indispensáveis até que
surja algo melhor. O Windows 10 integra firewall e antivírus nativos
que pouco ou nada ficam devendo à maioria das soluções de varejo, aí incluídas
suas versões pagas. Mas o que muita gente não sabe é que os usuários do Windows
podem usar gratuitamente, por períodos que variam de 3 a 6 meses, versões trial
(de testes) de ferramentas de segurança produzidas por diversos fabricantes. Para
testar o BullGuard (por 90 dias), por exemplo, siga este
link. Caso queira experimentar o Max Total Security (por
30 dias), o link é Max
Total Security Antivirus 2020 | Best Antivirus For Windows | Max Secure
(maxpcsecure.com).
