Em maio deste ano, o vereador de Curitiba Renato Freitas (PT) recebeu um e-mail com conteúdo racista. A mensagem foi endereçada a ele, mas mencionava também os vereadores Carol Dartora (PT) e Herivelto Oliveira (Cidadania). O remente, conforme endereço e cabeçalho, era o também vereador Sidnei Toaldo (PSD), que negou a autoria e registrou um boletim de ocorrência.
A Corregedoria da Câmara Municipal abriu então uma sindicância para apurar o crime. A conclusão foi que o email havia sido forjado e não tinha partido de nenhum endereço eletrônico oficial da Casa. De acordo com relatório, a mensagem havia sido enviada a partir de um domínio da República Tcheca.
A prática cometida contra os vereadores é feita por meio de uma técnica chamada spoofing (falsificação), na qual o criminoso falsifica o endereço e o remetente do email, fazendo se passar por uma pessoa, entidade ou empresa.
Diariamente, mais de 300 bilhões de emails são enviados em todo o mundo e cerca de 50% deles são identificados como spam. Neles, estão muitas mensagens de spoofing.
Essa prática é usada para cometer diversos crimes, como o roubo de dados de usuários, que preenchem cadastros acreditando estar respondendo a órgãos oficiais, por exemplo. E também, como aconteceu na Câmara de Curitiba, disseminar crimes de ódio como o racismo.
Porém, a técnica não se resume a um simples furto de e-mail e senha. Trata-se de crime de falsificação de identidade. É o que explica Altair Olivo Santin, professor de pós-graduação em informática da (PUCPR) Pontifícia Universidade Católica do Paraná.
"O email sempre permitiu que o remetente fosse alterado. Às vezes, uma pessoa manda uma mensagem em nome de uma entidade, por exemplo, e não deseja que a resposta venha para ele (pessoa física), mas para o email da entidade. Assim, não é preciso usar nenhum ataque, nenhuma técnica sofisticada para alterar o remetente, basta que os servidores, tanto o que o envia, quanto o que recebe, considerem aquela mensagem e remetente como verdadeiros."
Foi o que aconteceu no caso do servidor que administra os emails da Câmara de Vereadores. Quem gerencia as mensagens é o Serpro (Serviço de Processamento de Dados), do governo federal.
Santin diz que cabe aos servidores fazer valer alguns protocolos de segurança que impedem que mensagens falsas como o spoofing sejam encaminhadas e/ou recebidas.
É um conjunto de ferramentas chamado de DKIM (domain key), entre elas, por exemplo, está o SPF (sender policy framework), que permite ao detentor de um domínio especificar qual servidor tem permissão para o envio de mensagens e a subsequente verificação pelo servidor que a recebe.
O SPF identifica para o provedor de email se quem está enviando aquela mensagem é mesmo o real remetente.
A Câmara de Curitiba informou que a equipe do Serpro identificou uma falha no sistema de filtros, que não classificou o email enviado a Freitas como spam.
A mensagem acabou sendo entregue, pois não chegou a atingir critérios mínimos de bloqueio. A interrupção acontece quando um email não consegue passar por alguns filtros que leem as mensagens e procuram identificar algum padrão e pela lista negra, onde estão incluídos IPs (protocolo da internet) de servidores que enviam muitos spams.
A falha ocorreu porque a mensagem com conteúdo racista não foi bloqueada de acordo com as regras que haviam sido estabelecidas para os domínios que o Serpro atende. Segundo a assessoria da Câmara, já foram realizados ajustes para evitar novas ocorrências.
Aumento de ocorrências
O caso de Curitiba é investigado pelo Nuciber (Núcleo de Combate aos Cibercrimes), da Polícia Civil do Paraná, que aponta um crescimento desse tipo de crime no estado.
Segundo o delegado titular, José Barreto, ameaças e crimes de ódio são os delitos mais comuns ligados ao spoofing.
"Vemos muitos crimes de ameaça e ódio sendo cometidos por meio dessa prática, inclusive no meio político", diz.
Não há, no entanto, um número fechado de ocorrências, porque esse tipo de crime não tem tipificação penal específica, ou seja, quando acontece uma prática de spoofing, fica registrada a infração cometida por meio dela (ameaça, roubo, falsidade ideológica).
Além disso, diz o delegado, o spoofing é usado também para o roubo de dados pessoais e acontece, por exemplo, quando um usuário clica em um link enviado por um remetente que ele considere de confiança.
Santin, da PUCPR, afirma que para se proteger é importante que o usuário use servidores que ofereçam serviços de autenticação. É o que se chama de "criptografia de ponta a ponta".
Trata-se de um método de transmissão de dados que permite que somente o remetente e o destinatário leiam as mensagens.
Por meio dela, os dados são criptografados no sistema do remetente. Somente o destinatário pretendido poderá quebrar o código. Ninguém além dos dois correspondentes poderá ler a mensagem ou alterá-la.
Entenda o spoofing
O que é? Consiste na alteração de endereço e remetente de um email, permitindo ao criminoso se passar por uma pessoa, empresa, entidade ou órgão do governo
Como acontece a falsificação? A alteração de um remetente de email não é algo complexo. No webmail, por exemplo, não é possível renomear o remetente, mas em serviços como Outlook, sim. Em muitos casos, o remetente é alterado com o objetivo de facilitar a organização de respostas de emails, como quando alguém manda uma mensagem em nome de uma entidade, por exemplo, e não deseja que a resposta venha para ele (pessoa física), mas para o endereço da entidade. No entanto, a prática pode ser usada com fins criminosos
Que tipo de ferramentas um criminoso usa na prática? Um servidor que não realiza protocolos de autenticação. Os servidores anônimos aceitam e enviam emails que não são autenticados. São redes de servidores que não usam protocolos de autenticação.
Além disso, o criminoso usa uma VPN, uma rede privada virtual que possibilita estabelecer uma conexão de rede protegida ao usar redes públicas. Elas criptografam o tráfego de internet e disfarçam a identidade online
Qual o principal objetivo de quem usa essa prática? É se passar por uma pessoa ou entidade. Por meio dessa prática é possível camuflar o verdadeiro remetente e cometer diversos tipos de crimes, entre eles o roubo de dados, que acontece, por exemplo, quando o usuário clica em um link encaminhado por um email que ele julgou ser seguro. Também é usado para a propagação de ameaças e crimes de ódio
Spoofing é considerado crime? Quais? Sim, podem ser cometidos crimes como falsidade ideológica, previsto no artigo 299 do Código Penal; roubo de dados, previsto no artigo 155; crime de ameaça, previsto no artigo 147, entre outros
É possível identificar um criminoso que envie um email spoofing? Existe a possibilidade de identificar o criminoso, mas trata-se de um processo complexo. Quando alguém usa uma VPN, sempre deixa um rastro, mas a identificação depende do acesso aos registros do servidor que enviou o email
Como é feita uma investigação de um crime de spoofing? A polícia não revela o passo a passo de uma investigação, mas explica que o primeiro é analisar o código-fonte da mensagem de email para verificar se o remetente é mesmo quem diz ser. Depois procura-se identificar o verdadeiro remetente
Como se proteger de emails spoofing? Usando servidores que realizem protocolos de autenticação. Serviços de email maiores como Gmail, Outlook, ProtonMail, AOL, Zoho Mail, iCloud Mail e Yahoo! Mail, por exemplo, oferecem essa rede de proteção. Caso um spoofing seja enviado e esses servidores não reconheçam o servidor de origem como seguro, enviam a mensagem para a caixa de spam
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.