As empresas que fazem comércio electrónico e entregam bens por e-mail (recibos, bilhetes electrónicos, boarding passes, números de série de produtos ou links para download de bens digitais) devem verificar os endereços de e-mail dos clientes ANTES da emissão de e-mails contendo informação confidencial.

O processo é simples: quando alguém inscreve um e-mail, no qual vai ser transmitida informação confidencial, VERIFIQUEM o dito cujo, pedindo à pessoa para seguir um link presente em um e-mail de teste, de forma a assegurar que quando entregarem algo de valioso ou confidencial o fazem no endereço correcto.

As mensagens da empresa, incluindo a mensagem de teste do e-mail, devem ser autenticadas digitalmente, assinando o servidor de envio a proveniência da mensagem dos servidores correctos (DKIM e/ou SPF) e o respectivo conteúdo (S/MIME). O nível de irresponsabilidade e inconsciência da maior parte das empresas é chocante. Eu sei que a Internet é uma coisa “nova” para muitas empresas, mas se querem jogar este jogo precisam de rapidamente adquirir conhecimento sobre como o fazer de forma correcta, sem colocar em risco os clientes.

De vez em quando recebo e-mails por engano (não são phishing, são mesmo endereços de e-mail dos destinatários trocados com o meu)…

Na ultima semana chegou-me o e-mail com o link para o “boarding pass” do Patrick Laureano que viajava de Toronto para Ottawa na Air Canada (que bem pode esperar por ele chegar ao seu telemóvel/computador)… A mensagem da Air Canada não vinha nem assinada digitalmente, nem conteúdo do e-mail, nem o servidor emissor, mas verifiquei os mesmos.

Calculo que o Patrick Laureano esteja às seis e picos da manhã (hora local) de hoje anda no aeroporto de Toronto com um ar intrigado…

Mais preocupante é quando me enviam, por engano, muito mais dados… desde dados de compras (moradas, números parciais de cartões de crédito, telefones de contacto, etc). O que dependendo da quantidade de homónimos que tiverem, e do vosso endereço de e-mail ser confundido com o dos titulares, pode acontecer mais ou menos vezes. Tudo porque as empresas se esquecem de verificar os e-mails introduzidos ANTES de emitirem informação confidencial para os mesmos.

O caso do Pedro Luis Laureano, que viajou no passado 5 de Maio de San Juan (Porto Rico) para New York (EUA)…



Tive oportunidade de verificar que a Jet Blue também não assina digitalmente as mensagens, nem o servidor que as envia, nem os conteúdos das mesmas. O que significa que ataques de Phishing com estas duas companhias são viáveis, simples de executar, e colocam todos os seus clientes em risco.

Não é complicado (pelo contrário) configurar sistemas de e-mail. Mas para o fazer devidamente empresas e particulares precisam de perceber minimamente que acções devem tomar e porque são importantes. Assinar mail digitalmente, em servidores e nos conteúdos é imperativo para evitar problemas. O e-mail sem estas assinaturas é inerentemente inseguro. Se uma empresa lhe envia mail por assinar contacte a mesma e explique que isso é irresponsável e uma conduta pouco apropriada que coloca toda a gente em risco.

Tags: Mail