comparatilhe

Até a PEC está sob ataque de hackers. Veja como proteger nosso Domicílio Digital

O correio electrónico certificado torna-se "europeu" também graças aos novos sistemas de segurança. Que fecham muitas lacunas, mas infelizmente abrem outras. Desistir? Não pode. Mantenha-se seguro? Com um pouco de atenção é possível.

Até a PEC está sob ataque de hackers. Veja como proteger nosso Domicílio Digital

Ai de confiar. Até mesmo o PEC, o Correio Eletrônico Certificado, teoricamente superblindado, pode ser violado. E se pensarmos que a PEC é o fulcro da nossa identidade digital, precisamos nos preocupar. Devemos e podemos agir. Implementando uma estratégia de defesa que, no entanto, deve levar em conta todos os meios eletrônicos que giram em torno da nossa PEC.

O cenário é preocupante e os ataques se multiplicam

SPID, Carteira de Identidade Eletrônica (CIE) e PEC deveriam ser a combinação vencedora do nosso futuro digital. Ou melhor, nosso casa digital, dado que o SPID e o CIE (no futuro apenas este último, nos planos do Governo em exercício) servem para nos reconhecer e validar oficialmente o nosso acesso aos portais da administração pública e não só, enquanto o PEC é o contentor telemático onde podemos trocar informações e documentos de maneira teoricamente seguro e blindado.

Tudo no seu PC (ou telemóvel, ou tablet), sem deslocações, sem filas, segurança máxima e tudo imediatamente disponível. É verdade, é o futuro. Mas o presente obriga-nos a uma rodagem problemática. Nossos hábitos devem se adaptar, mudar, modernizar. Mas as tecnologias e a Web têm os seus fantasmas. E o caminho às vezes descarrila. Hackers, espiões, ladrões de dados, identidades e – se quiserem – nossos pertences. As notícias estão cheias deles. O fato é que nossa casa digital é em risco.

Chegou a notícia recente da imprensa e da web de que nos últimos dias muitos usuários italianos do Spid foram violados por hackers, que felizmente só conseguiram roubar dados (por mais sensíveis que fossem) dos proprietários e não as credenciais de acesso. No entanto, as credenciais são obrigatoriamente protegidas para todos por um sistema validação de dois fatores através do nosso agora inseparável smartphone. E só nisso, especialmente validado para estas operações.

Para a PEC o assunto é diferente, mais delicado, ainda mais insidioso. Por duas razões. A primeira: os utilizadores normais do PEC em vigor há muitos anos ainda estão confiados, na maioria dos casos, a um sistema de validação com uma única etapa, que deve agora ser considerado rudimentarou simplesmente digitando o nome de usuário e a senha. Segunda razão: o PEC está exposto, apesar de mais algumas barreiras, a muitos dos males do email comum.

O que enviamos do nosso PEC ativado regularmente é estritamente certificado como “equivalente” ao conteúdo de uma carta registrada? Sim. O que recebemos é tão bom? Sim, mas apenas se soubermos verificar cuidadosamente a regularidade das certificações relacionadas com a mensagem e a documentação recebida relacionada. Parece contra-intuitivo, mas é verdade.

Por que e como o e-mail certificado pode conter fraude

Phishing (tentativas fraudulentas de roubar dados sensíveis ou, pior, de sequestrar práticas comerciais fraudulentas), vírus informáticos (muitas vezes para obter o que se tenta roubar com phishing), tudo para talvez implementar roubo de identidade para outras fraudes ainda mais graves. O PEC não pode ser considerado ileso. Na verdade, ele pode sofrer dos mesmos males que afetam o e-mail comum. Porque talvez seja um email normal disfarçado de PEC que nos é apresentado como tal no nosso endereço PEC, ou porque na verdade é um PEC que, no entanto, foi activado de forma fraudulenta: isto também acontece.

No primeiro caso, o engano explora a possibilidade de o nosso PEC não se limitar apenas à recepção de outros PEC, mas também estar aberto à recepção de mensagens de correio electrónico normais: opção que existe em praticamente todos os serviços do PEC, com a possibilidade de escolher um ou outro modo. No segundo caso o obrigações fornecer os dados essenciais do titular do PEC no momento da ativação do serviço pode não ser tão rigoroso como seria obrigatório apesar dos procedimentos de certificação dos prestadores. Também aqui, um ladrão de identidade qualificado consegue activar uma caixa de correio PEC aparentemente normal, talvez em nome de um cidadão inocente, utilizando-a para fins fraudulentos.

Para dar apenas um exemplo, as mensagens disfarçadas de e-mails certificados são agora cíclicas em nome da Agência de Receita pedem para pagar numa conta fraudulenta, talvez descartável localizada no estrangeiro (cuidado neste caso com o IBAN não italiano) na maioria dos casos quantias relativamente pequenas, de modo a induzir-nos a pagar imediatamente "para não pensar em isso mais".

Não é por acaso que os novos procedimentos para fazer o PEC “Europeia”, ou seja, compatíveis com as regras comunitárias e interoperáveis, permitindo assim a troca de mensagens de correio eletrónico certificadas em toda a Europa, proporcionam medidas de segurança muito mais rigorosas e adicionais do que as do correio eletrónico certificado normal.

Para tornar o nosso PEC europeu, torna-se obrigatória a autenticação de dois fatores com um novo reconhecimento rigoroso da identidade do titular, com procedimento a ativar através do SPID ou do CIE. O mesmo em outros países. Está tudo resolvido? De jeito nenhum. A transformação da PEC em “europeia” será uma realidade obrigatório apenas nos próximos meses e se os procedimentos italianos para a "europeização" do PEC parecem suficientemente rigorosos, temos a certeza de que será assim na multidão de outros países? Resta ainda o problema de receber e-mails normais talvez disfarçados de e-mails certificados no cabeçalho, com falsificações que podem ser óbvias para um olhar experiente, mas que podem passar despercebidas aos menos atentos.

Como aumentar as barreiras do nosso Correio Certificado

Uma boa estratégia de defesa da PEC envolve uma série de ações combinadas, para somar às agora estranhas precauções para proteger nossa navegação na Internet e nossos e-mails aparecem piratas Cientistas da computação.

Primeiro nós desativamos na configuração da nossa caixa de correio PEC a recepção de mensagens de e-mail comuns. É verdade que todos os serviços PEC italianos fornecem uma mensagem de alerta específica se o correio recebido não vier de um PEC, mas na confusão das mensagens recebidas o problema pode ser ignorado. Optar por não receber e-mails regulares é a melhor solução. Por outro lado, de que adianta receber um e-mail comum no PEC quando temos um ou mais endereços de e-mail “normais” que fornecemos a todos os nossos interlocutores? A PEC é usada para mensagens um tanto “oficiais” e é melhor limitar seu uso apenas a elas.

Em primeiro lugar, reconhecer a possível fraude de uma PEC aparentemente autêntica vamos examinar com atenção o endereço de origem. Se tivermos a menor suspeita de irregularidade, verificamos primeiro se se trata de um endereço real, que realmente corresponde ao remetente. Para isso, por sua vez, enviamos um PEC com o pedido de confirmação para o mesmo endereço e aguardamos a resposta. Nesse ponto, fazemos uma verificação adicional inserindo o endereço PEC do remetente em um mecanismo de busca para verificar o correspondência real a um proprietário real (particular, empresa, instituição, administração pública) que exerça a atividade com que se apresenta. Se sim, fazemos uma verificação cruzada por telefone.

É claro que a nossa verificação providencial às vezes é fácil, às vezes nem tanto. Uma chamada multa de trânsito pode não ser fácil de investigar, uma suspeita de falsificação do pedido de pagamento em nome da Agência Fiscal pode ser revelado facilmente: esta é uma boa oportunidade para ativar o nosso convenientemente no seu PC Gaveta fiscal, se ainda não o fizemos, seguindo um dos tutoriais proposto pela FIRSTonline.

Comente