Por José Borges Ferreira (*) 

Spam, phishing e malware são termos conhecidos para a grande maioria de nós. É algo com que muitos já se habituaram a lidar no seu dia a dia. No entanto, a evolução no combate ao email indesejado na última década tem sido frenética e, neste momento, a maturidade é bastante elevada. Por estranho que possa parecer, a elevada eficácia de um sistema anti-spam acaba por funcionar como seu inimigo e faz esquecer o problema do utilizador final. Não estando habituados a receber emails indesejados, há uma tendência para não desconfiar de nada do que nos é enviado por email.

De forma análoga podemos dar o exemplo de alguém que compra um alarme super sofisticado, ligado a uma central e passados uns anos como não é assaltado, substitui por um cão para assim economizar alguns euros. Em relação à segurança de email, podemos observar que há muitas soluções no mercado que conseguem bloquear a grande maioria do spam, deixando apenas passar uma ou duas mensagens por dia.

Do ponto de vista financeiro até pode parecer um bom negócio poupar uns euros pelo trabalho de apagar umas mensagens que, entretanto, chegam à nossa caixa de entrada. No entanto, o paradigma mudou. Nos últimos anos fomos inundados por anúncios a diferentes produtos e recebê-los era apenas incómodo. Hoje somos bombardeados por emails que instalam vírus e malware, para tentar roubar dados, infetar outros PC’s, etc., que vão um pouco para além do "incómodo".

Os spammers estão a adaptar-se de uma forma bastante criativa e usam muitas técnicas diferentes para conseguir passar as várias barreiras de defesa. Se analisarmos uma campanha de phishing, parece que estamos a ver um filme da ação.

Há filmes, a partir dos quais observamos planos de assaltos supercomplexos. Cada barreira de segurança é desmontada passo a passo, recorrendo a várias técnicas para poder chegar ao objetivo final. Decompondo os passos desta campanha de email podemos observar o seguinte:

 

Origem do email

- A mensagem originada de um endereço IP, com algum tráfego de email anterior conferindo alguma reputação positiva.

- A configuração de DNS (Domain Name System) associada ao endereço do mesmo estava correta e de acordo com as boas práticas.

- O registo de SPF (Sender Policy Framework) referente à identificação do servidor está correta.

  

Relação com o domínio do banco

- A política SPF publicada pelo banco é neutra, o que permite o envio de toda a internet.

- O banco em questão não publica nenhuma política de DMARC (Domain-based Message Authentication, Reporting and Conformance).

- Não há forma clara de saber se a instituição usa DKIM (DomainKeys Identified Mail)

como assinatura digital.

 

 

Formato da mensagem

- A mensagem não apresenta nenhum cabeçalho inválido e cumpre todos os requisitos mínimos.

- A ordem dos headers é coerente com algumas aplicações que enviam email.

 

Conteúdo da mensagem

- A mensagem está escrita em português correto.

- Usa uma aparência em conformidade com a do banco.

- Usa um botão de "clique aqui" que mostra uma página do Google com o resultado da pesquisa por uma palavra longa e estranha.

- Não usa um site com má reputação, referencia apenas o Google.

 

Resultado do "clique aqui"

- Usa técnicas de promoção de conteúdos, igualmente usadas em Marketing, para direcionar para um site com uma página falsa. O truque consiste em promover uma determinada palavra em vários sites, de forma a que o resultado da pesquisa por essa mesma palavra redirecione para um determinado site.

 

Conteúdo do “determinado site”

- Usa um truque relativamente desconhecido para esconder o conteúdo da página, fazendo uso de URI, do género data: text/html;http://www.banco.pt/particulares/;base64,77SDADAD...

Esta última técnica dá a ideia ao utilizador que estava no site do www.banco.pt quando na realidade não está. Usa o que está referenciado em “77SDADAD…” codificado em base64.

 

Resumindo, foram eliminadas grande parte das pistas que normalmente usamos para identificar estas campanhas e que resultam com 99% dos restantes casos. Fica claro também que o combate à fraude deve partir do lado das instituições, principalmente as financeiras. Quem recebe uma mensagem deve ter o máximo de garantias sobre a origem da mesma. O uso de técnicas como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance) permitem tornar todo este processo mais transparente, eficaz e seguro.

 

(*) Senior Solutions Architect da AnubisNetworks

 

Nota da Redação: Foi feita uma pequena correção no texto