2017/05/23

Facturas electrónicas da EDP são um convite ao phishing


A EDP, tal como a maioria das empresas, tem incentivado os seus clientes a aderirem às facturas electrónicas para evitar a impressão e envio das mesmas; mas esquece-se de seguir uma das mais básicas regras: de tratar o cliente pelo seu nome, para facilitar a detecção de tentativas de phishing.

A maioria das pessoas já saberá que qualquer email que pareça ter sido enviado por uma empresa ou serviço da qual é cliente, e que o trate apenas por "caro cliente", deverá ser tratado imediatamente com dose acrescida de suspeição. Daí a minha surpresa quando, ao começar a receber facturas da EDP por via electrónica, ter visto logo na primeira linha um nada reconfortante "Estimado(s) Cliente".

Claro que o primeiro passo consistiu logo em ir verificar se o endereço de email de envio - FacturaElectronica@edp.pt - era realmente o que dizia ser; mas mesmo assim obrigou-me a ir comprovar manualmente se o código de identificação do local era realmente coincidente com o meu, antes de me arriscar a clicar nos PDFs em anexo. De qualquer forma... não me estou a imaginar a ir verificar esses dados manualmente de cada vez que receber um destes emails... o que torna o processo de abrir estes numa proposta potencialmente arriscada, caso um destes dias se trate de um email falsificado com PDFs que consigam tirar partido de uma qualquer vulnerabilidade 0-day.

Se a EDP se dá ao trabalho, e bem, de colocar elementos identificativos do contrato no email (nº de contrato e código de identificação do local), seria assim tão complicado fazê-lo naquilo que mais facilmente seria reconhecido pelos clientes: o seu próprio nome? É que dessa forma passaria a poder fazer-se aquilo que se faz na maioria dos outros emails... enviando imediatamente os emails que nos tratam de forma genérica para o spam ou reportando-os como sendo phishing.

A sugestão já foi enviada... resta esperar para saber se a aceitam ou não.


Actualização: não demorou muito, para que a EDP alertasse para uma campanha de phishing aos seus clientes.

8 comentários:

  1. Obrigado amigo Carlos pelo alerta. É que sou dos que vem e vai tudo pela net.
    Esperemos a boa resposta da EDP, de quem dou as melhores referências.
    Obrigado

    ResponderEliminar
    Respostas
    1. Sim, também estou convicto que não colocarão objecções à sugestão. :)

      Eliminar
  2. Mas "só" colocar o nome é garantia de segurança ?

    E assinar digitalmente os emails ? Parece-me bastante mais seguro.

    ResponderEliminar
    Respostas
    1. Não, não se está a falar de garantias de segurança ("email" e "segurança" raramente combinam! :) apenas de corrigir aquele que será m dos pontos principais de diferenciação de potenciais emails de phishing.

      Eliminar
    2. Carlos, deves ter vontade de escrever um artigo igual, mas em que em vez de phishing falas de spear-phishing (porque já lá está o nome)... assinem digitalmente o mail, a "identificação a olhometro" é um disparate, e ensinar as pessoas a basearem a sua "maior" segurança nisso não é de todo correcto.

      Eliminar
    3. Como referi, é apenas para identificar "no sentido negativo". Ou seja, para se poder descartar imediatamente qualquer email que não venha com o nome do cliente - não para garantir que por ter o nome seja automaticamente seguro.

      Os emails "seguros", como bem sabes, é outra guerra... E é tipo as alternativas modernas aos GIFs: infelizmente não é por estarem disponíveis que são adoptados por todos.

      Eliminar
  3. FFS, se vão falar de segurança nos e-mails não sejam tão superficiais... http://pls.mrnet.pt/tecnologia_e_poker/files/category-e-mail.php

    ResponderEliminar

[pub]