2017/05/01

Emails do Governo facilitam ataques de phishing


Cerca de 150 domínios de email usados pelo Estado e entidades públicas não seguem as regras básicas de segurança, permitindo o envio de emails falsos com endereços supostamente oficiais.


Numa altura em que a segurança digital é um tema recorrente nas notícias, é com alguma estranheza que se vê que nos nosso serviços governamentais a preocupação com isso parece ser reduzida ou inexistente. Mais uma centena de domínios de email usados por organismos públicos permite que qualquer pessoa possa enviar emails em seu nome.

Quer isto dizer que qualquer pessoa poderá receber um email que parecerá ter sido enviado, por exemplo, por antonio.costa@gov.pt e que ultrapassa a detecção de emails falsos em serviços como o Gmail e Outlook. Se receber um email do primeiro ministro não potenciará nada de grave, o caso complica-se se forem emails de phishing que pareçam ter sido enviados por entidades com as Finanças ou outros.

A falha já tinha sido detectada há bastante tempo por João Pina, especialista em segurança, que se apressou a informar as entidades respectivas. Mas depois de muitos meses sem resposta nem alterações, decidiu trazer o assunto para a praça pública, para que os cidadãos estejam cientes dos riscos, e que se aumente a pressão sobre estas entidades para que se preocupem um pouco mais com estas questões e sigam as regras básicas de segurança.

2 comentários:

  1. Bonito serviço.
    Quando se ordenam os mails por fonte (de) pode-se ficar com mails verdadeiros e falsos provenientes de entidades públicas.
    É grave que o Estado facilite este tipo de phishing.

    ResponderEliminar
  2. O estado português deveria seguir o exemplo da Posteo.de cujo serviço passa bem em vários testes relevantes para a segurança como: https://www.ssllabs.com/ssltest/ ; https://securityheaders.io ; https://dane.sys4.de ; https://ssl-tools.net/mailservers/ ; https://poste.io/spf ou seja: ligação segura aos servidores web e de email; certificados marcados como confiáveis; utilização do protocolo DANE; política de segurança no web site; SPF está activado.
    Não consigo verificar o DKIM e o teste da política de utilização do SPF e DKIM "DMARK" não parece existir, por isso ainda terão de melhorar nesse aspecto.

    ResponderEliminar