Sobre o 'phishing' e o Ministério das Finanças

(Nota: a ilustração com as Armas Portuguesas serve exclusivamente o propósito de ilustrar este apontamento. Não é – nem pretende ser – uma forma de oficializar o texto que se segue e cujo conteúdo, como sabem, expressa exclusivamente uma opinião: a minha, dissociada de qualquer organismo oficial Português)

Foi emitido um comunicado do Ministério das Finanças e já foi veiculado por vários canais. Em traços largos, e citando directamente o documento oficial:

Um número significativo de contribuintes recebeu recentemente uma mensagem de e-mail intitulada Tem uma divida por liquidar...Saiba mais que pretensamente os chama à atenção para uma suposta dívida por liquidar perante a Administração Fiscal e que os solicita a conhecer os detalhes do respectivo processo através da utilização de um link disponibilizado na própria mensagem.

Trata-se de uma mensagem falsa e fraudulenta – um caso de phishing, mediante a qual os respectivos autores, de forma criminosa, tentam aceder a elementos de informação relativos aos contribuintes visados – que se encontra já a ser alvo de investigação pelas entidades competentes.

A Leste, nada de novo: já conhecemos esta táctica. A novidade, se houver uma novidade, é o ataque visar as credenciais que dão acesso à DGCI. Só isso. Mas há alguns aspectos no comunicado que, na minha opinião, merecem alguns comentários. O documento refere que:

  1. Todas as mensagens mail que a DGCI envia aos contribuintes identificam sempre o nome completo e o Número de Contribuinte dos destinatários. Ninguém sabe isto. Ou, melhor, ninguém sabía isto. Mas este controlo não é muito forte porque, como é óbvio, estes dados são semi-públicos e encontram-se espalhados por inúmeras bases de dados;
  2. A DGCI só envia mensagens mail aos contribuintes que tenham senha de acesso ao Portal das Finanças e que tenham autorizado a DCGI a enviar-lhe essas mensagens. Sim, mas num ataque de phishing em massa isso é irrelevante: os phishers não se importam nada com isso, e quem recebe a mensagem, se não tiver acesso ao serviço, não fica em risco, nem tem nada para oferecer aos atacantes. Novamente, é irrelevante da perspectiva de quem ataca – não é um travão;
  3. Todas as caixas de correio da DGCI têm o formato xxx@dgci.min-financas.pt Ok. Mas qualquer pessoa pode enviar uma mensagem com esse formato e com esse domínio. Não vou entrar em detalhes técnicos mas a verdade é mesmo esta. E sendo assim, não podemos confiar nesta característica para autenticarmos uma mensagem; Finalmente,
  4. Quando a DGCI envia mensagens a contribuintes com dívidas, estes podem sempre conferir no Portal das Finanças, na opção Consultar/Dívidas Fiscais, as suas dívidas, mediante autenticação com o seu número de contribuinte e a sua senha individual de acesso. Este é um bom controlo (!) e o conselho mais importante seria, na minha opinião, Independentemente do conteúdo de quaisquer mensagens recebidas, dirija-se directamente ao sítio da DGCI, introduzindo manualmente o endereço no navegador de Internet, e verifique directamente a sua situação fiscal. É isto que as pessoas devem fazer.

No que concerne o comunicado, nada mais a acrescentar. Mas não resisto a deixar por aqui mais um tópico: Assinatura digital das mensagens.

Se a infra-estrutura de chaves públicas do Estado Português já está disponível, se até já temos certificados digitais no Cartão de Cidadão, porque razão os Ministérios e organismos do Estado não utilizam assinaturas digitais no correio electrónico? Porque razão não promovem a utilização deste mecanismo para autenticar os documentos e comunicações oficiais?

Já há empresas que assinam digitalmente as facturas que enviam aos clientes. Aliás, assinam as facturas e as mensagem que as transportam. O Estado não podia aproveitar o que já construiu para reforçar essa componente da segurança?

Mais (e antes que os profissionais que lêem estas notas apontem os webmails como factores de inviabilização), o Estado pode sugerir (leia-se, recomendar) a utilização específica de programas para correio electrónico, programas que permitam usar e validar essas assinaturas digitais. Isto, claro, em alternativa à utilização de interfaces na web com as quais, infelizmente, por enquanto, não é possível assinar e autenticar as mensagens1.

(É importante referir, en passant, que a maioria dos serviços de correio electrónico pela web também permitem o acesso através de um programa.)

É fácil encontrar argumentos que vão em oposição a esta sugestão, nomeadamente, o facto de as pessoas não estarem familiarizadas com esta tecnologia, por um lado, e, por outro lado, porque podem sempre ignorar a autenticação das mensagens.

Sim, os argumentos são válidos; isso é possível. No entanto, isso só é verdade porque há factores culturais que condicionam este comportamento. Ou, melhor, a inexistência de uma cultura de segurança e a utilização confiante da Internet são, em abono da verdade, os padrões dominantes.

Mas... sabendo que a mudança cultural que se impõe para reforçarmos a segurança de todos, sabendo que essa mudança irá levar muito tempo, não devíamos começar já?

1 É possível assinar as mensagem num webmail utilizando, por exemplo, PGP. No entanto, a infra-estrutura oficial que está disponível, tanto quanto conhecemos, está preparada para S/MIME, dificilmente utilizável numa interface web.