É uma agulha no palheiro a recente tentativa de fraude envolvendo o Observatório de Imprensa e quatro jornalistas de renome. Felizmente, com competência e senso de apuração jornalística, o material forjado não foi publicado. Por muito pouco.
Fato é que a falta de segurança na troca de informações pela internet é sistêmica, por mais que a imprensa publique matérias e mais matérias sobre a importância da segurança digital nos dias de hoje. O traumático é constatar: jornalistas são os primeiros a acreditar que nunca vão ter problemas com tentativas de fraude ou de sofrer difamações pela internet. A premissa vale para todo tipo de usuário, seja qual for sua profissão.
A maior maravilha da internet é o e–mail. Rápido, eficiente, objetivo. No entanto, tecnicamente falando, o e–mail é frágil, incerto e extremamente inseguro.
Você precisa saber sua senha para checar suas mensagens pelo programa de correio eletrônico ou pelo webmail. Só que não precisa de senha para enviar mensagens. Ninguém precisa.
Aquele nome que aparece como “remetente” (sender) é criado de acordo com o gosto do freguês. É possível escrever qualquer coisa ali. Posso criar uma conta de e–mail gratuita assim:
Fato é que apenas essas brechas são suficientes para que qualquer pessoa use uma conta de e–mail aleatória, escreva o nome do remetente que bem entender e envie quantas mensagens quiser. Isso pode ser feito em três minutos e não exige o mínimo conhecimento técnico.
Para checar e–mail, os programas o fazem pelo POP3 (post office protocol), um protocolo padrão e ultrapassado. Para enviar e–mail, usam o SMTP (simple mail transfer protocol), outro protocolo antigo. Ambas as tecnologias são independentes. Não é à toa que muita gente usa o POP3 de uma conta gratuita, por exemplo, e o SMTP de outra conta, geralmente a do provedor de acesso.
POP3 e SMTP existem há anos, desde o tempo em que a internet (que nem se chamava internet) abrigava pouca gente e ninguém imaginava que se tornaria o Leviatã comercial de hoje. De lá para cá, é óbvio e ululante que muita coisa mudou, embora os protocolos de e–mail continuem os mesmos. Inseguros, falhos e facilmente contornáveis.
Tapando o sol com a peneira
A maioria dos provedores de acesso, hoje, exige uma autenticação para que você envie mensagens usando o SMTP do provedor. A autenticação pode ser por meio de um login e senha, configurados no programa de correio; ou de uma configuração do próprio provedor que identifica quando você está conectado por ele ou por outra empresa provedora de acesso.
Caso se esteja conectado por outro provedor que não o seu (por exemplo, em viagem) e se deseja usar o e–mail do seu provedor, em geral os provedores só permitem o envio mediante autenticação: você precisa digitar novamente seu login e senha ou salvar essas informações no programa de correio. Destarte, o programa fará a autenticação no POP3 para baixar mensagens e uma outra autenticação via SMTP para enviar mensagens. Já é um avanço, visto que até poucos anos atrás nem isso se fazia. E ainda hoje nem todos os provedores o fazem.
A autenticação dupla serve apenas para usuários leigos ou pouco interessados em conhecer mais sobre o ambiente em que trabalham ou se divertem. Até porque, mesmo que você não use programas de correio eletrônico e adote apenas o webmail, nada impede que outra pessoa continue a enviar e–mails se passando por você.
Com a crescente demanda pelo uso do correio eletrônico – milhares de pessoas usam a internet basicamente para enviar e receber mensagens – cresceu também a oferta de provedores gratuitos de e–mail. A grosso modo, as contas gratuitas são criadas rapidamente, não há rigidez suficiente na confirmação de dados pessoais e é muito fácil criar uma conta fantasma, com dados forjados.
Tornou–se mais fácil ainda fraudar a partir de e–mails gratuitos como Yahoo, Hotmail, BOL, GMX, Runbox, Bigfoot etc. Um problema que ocorre com bem menos freqüência em provedores pagos, embora estes nem sempre ofereçam a estabilidade e a privacidade que alguns gostariam de ter.
Para piorar a situação, é interessante realçar que a necessidade de autenticação via SMTP para enviar mensagens não é uma constante. Existe uma infinidade de serviços gratuitos que oferecem SMTP anônimos, sem necessidade de autenticação. É um recurso amplamente utilizado por pessoas que fazem spam e, claro, por eventuais fraudadores de e–mail. Uma rápida pesquisa no Google pode lhe entregar de bandeja uma série de informações sobre SMTP anônimos e gratuitos. Muitos não são confiáveis para uso corrente, mas funcionam.
Então, e–mails gratuitos são ruins? Pelo contrário. Veremos mais sobre isso na próxima parte. [Webinsider]
.
Paulo Rebêlo
Paulo Rebêlo é diretor da Paradox Zero e editor na Editora Paradoxum. Consultor em tecnologia, estratégias digitais, gestão e políticas públicas.
Uma resposta
Gostaria de saber se qdo acessamos os emails da empresa através da webmail em outro local que não seja a empresa, como por exemoplo: lan house, residencia, laptop etc.. é possível detectar o ID / IP do computador que acessou? Ou os ID/IP são rotativos nestes casos?
Grata
Suely