Por Márcio Ramirez
Marcio Roberto Ramirez | Consultor em PKI e Desenvolvimento de Sistemas de Segurança
Podemos observar que a cada dia que passa temos mais e mais casos de fraude envolvendo e-mails,
Principalmente fraudes no contexto de roubo de informações por intermédio de links que remetem a sites falsos para a coleta de informações do usuário, principalmente no acesso à alguma conta bancária ou simplesmente na coleta de informações como CPF, endereço, telefone, entre outros, para a construção de uma engenharia social com o intuito de envolver o usuário em algum tipo de golpe, virtual ou mesmo físico.
Assim como uma carta que nos chega em nossa caixa de correspondência; temos que observar do que se trata, e principalmente de onde ela vem, indícios da veracidade daquela correspondência, seu remetente, se conhecemos, se podemos confiar de fato naquela pessoa, na legitimidade da carta, na legitimidade do canal de informação, entregador, empresa que transportou a correspondência, origem; temos que realizar as mesmas indagações e verificações com nossas correspondências eletrônicas (e-mail).
Pelo simples fato que independente do canal, os mecanismos, garantias e possibilidades de fraude são as mesmas, e com as mesmas finalidades. Assim, podemos partir para algumas comparações entre uma carta real e uma eletrônica como: remetente, canal de comunicação, transportador, entregador, origem, assunto e veracidade daquela informação.
No caso dos e-mails, alguns desses elementos não conhecemos como: o canal de comunicação (o canal é eletrônico neste caso, mas me refiro onde exatamente a informação transita, qual servidor e manipulado por quem), quem transporta (qual a empresa responsável em transportar aquele e-mail), e quem entrega (o servidor de entrega é manipulado por quem).
Nos e-mails ainda temos o acréscimo que ele é entregue primeiramente em uma caixa postal, para posteriormente, quando nos conectarmos, recebermos em nossa caixa de entrada.
Assunto e veracidade podem ser verificados por uma contra prova do envio daquela correspondência, como uma consulta à origem por um canal confiável.
Mas no meio eletrônico essa verificação tem que ser adicionada a verificação das propriedades de integridade do conteúdo, pois podemos receber uma informação verídica mas no meio dela, ter uma informação falsa, embutida propositalmente.
Os e-mails, como arquivos eletrônicos, são transportados entre a origem e o destino, por diversos programas que se comunicam através de protocolos como o SMTP (Simple Mail Transport Protocol, de 1982), POP3 (Post Office Protocol versão 3, de 1988) e IMAP4 (Internet Message Access Protocol versão 4, de 1994) entre outros; geralmente por Servidores de SMTP e Servidores POP3.
Acontece que estes protocolos, principalmente o de envio de e-mails (SMTP) são protocolos simples, e que pela sua própria essência de transporte apenas, não propiciam muitas garantias da unicidade de domínios dos remetentes na internet, o que permite que qualquer pessoa com um Servidor de SMTP próprio crie uma conta de um domínio verdadeiro e envie um e-mail se passando por oura pessoa.
Há muito tempo, e com esta motivação de propiciar segurança em um canal onde não sabemos por onde a mensagem está trafegando, temos tecnologia para aumentar a garantia da veracidade do e-mail, da proteção do conteúdo, e principalmente, da autenticidade do remetente.
Similarmente a validação de um website; onde podemos verificar se o cadeado está fechado, qual o Certificado Digital daquele site e se corresponde ao domínio de fato, e qual o emissor daquele certificado para que possamos provar a origem; temos com o e-mail. Assim, podemos ter um Certificado Digital provando a autenticidade do remetente do e-mail e propiciando também a integridade daquela informação.
Já para os quesitos de transporte temos serviços específicos ofertados por empresas de confiança, que propiciam a autenticidade do transportador e do entregador da mensagem. Esses serviços podem ir além, ofertando também prova de data e hora (oficial do Brasil) do envio, recepção, entrega, e até leitura do e-mail pelo destinatário, agindo como uma carta registrada.
Se aplicarmos a criptografia no e-mail a partir da chave do receptor, aumentamos ainda mais a garantia da integridade e sigilo da informação durante toda a transmissão da mensagem, desde a origem até o destino.
Se temos tudo isso por que não utilizamos?
Porque temos diversos programas visualizadores de e-mail, onde alguns não são compatíveis com esta tecnologia (exemplo: webmail), porque esses elementos, mesmo vindos na mensagem e verificados pelo programa de forma automática carecem que o usuário faça uma verificação visual a exemplo do que ocorre com a experiência do usuário na verificação de websites, o que para algumas empresas diminui o efeito da praticidade. Contudo em alguns serviços ofertados por empresas de confiança, os e-mails podem ser envelopados minimizando esse efeito e realizando a posterior a verificação da integridade e autenticidade da mensagem.
O aumento de fraudes por e-mail, atingem a marca das empresas mesmo que indiretamente, assim quem tem um diferencial de credibilidade neste canal de comunicação extensamente utilizado e prático, aumenta a confiança de seus clientes em sua marca.
Mesmo porque, a visualização do selo de confiança no e-mail é direta e presente em toda a correspondência, causando maior impacto na visibilidade da marca.
Consultor Senior em PKI e Desenvolvimento de Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, desenvolvendo produtos e soluções de PKI, Autoridade Certificadora e protocolos de segurança desde 1996.
