2017/05/23

Facturas electrónicas da EDP são um convite ao phishing


A EDP, tal como a maioria das empresas, tem incentivado os seus clientes a aderirem às facturas electrónicas para evitar a impressão e envio das mesmas; mas esquece-se de seguir uma das mais básicas regras: de tratar o cliente pelo seu nome, para facilitar a detecção de tentativas de phishing.

A maioria das pessoas já saberá que qualquer email que pareça ter sido enviado por uma empresa ou serviço da qual é cliente, e que o trate apenas por "caro cliente", deverá ser tratado imediatamente com dose acrescida de suspeição. Daí a minha surpresa quando, ao começar a receber facturas da EDP por via electrónica, ter visto logo na primeira linha um nada reconfortante "Estimado(s) Cliente".

Claro que o primeiro passo consistiu logo em ir verificar se o endereço de email de envio - FacturaElectronica@edp.pt - era realmente o que dizia ser; mas mesmo assim obrigou-me a ir comprovar manualmente se o código de identificação do local era realmente coincidente com o meu, antes de me arriscar a clicar nos PDFs em anexo. De qualquer forma... não me estou a imaginar a ir verificar esses dados manualmente de cada vez que receber um destes emails... o que torna o processo de abrir estes numa proposta potencialmente arriscada, caso um destes dias se trate de um email falsificado com PDFs que consigam tirar partido de uma qualquer vulnerabilidade 0-day.

Se a EDP se dá ao trabalho, e bem, de colocar elementos identificativos do contrato no email (nº de contrato e código de identificação do local), seria assim tão complicado fazê-lo naquilo que mais facilmente seria reconhecido pelos clientes: o seu próprio nome? É que dessa forma passaria a poder fazer-se aquilo que se faz na maioria dos outros emails... enviando imediatamente os emails que nos tratam de forma genérica para o spam ou reportando-os como sendo phishing.

A sugestão já foi enviada... resta esperar para saber se a aceitam ou não.


Actualização: não demorou muito, para que a EDP alertasse para uma campanha de phishing aos seus clientes.

5 comentários:

  1. Obrigado amigo Carlos pelo alerta. É que sou dos que vem e vai tudo pela net.
    Esperemos a boa resposta da EDP, de quem dou as melhores referências.
    Obrigado

    ResponderEliminar
    Respostas
    1. Sim, também estou convicto que não colocarão objecções à sugestão. :)

      Eliminar
  2. Mas "só" colocar o nome é garantia de segurança ?

    E assinar digitalmente os emails ? Parece-me bastante mais seguro.

    ResponderEliminar
    Respostas
    1. Não, não se está a falar de garantias de segurança ("email" e "segurança" raramente combinam! :) apenas de corrigir aquele que será m dos pontos principais de diferenciação de potenciais emails de phishing.

      Eliminar
    2. Como referi, é apenas para identificar "no sentido negativo". Ou seja, para se poder descartar imediatamente qualquer email que não venha com o nome do cliente - não para garantir que por ter o nome seja automaticamente seguro.

      Os emails "seguros", como bem sabes, é outra guerra... E é tipo as alternativas modernas aos GIFs: infelizmente não é por estarem disponíveis que são adoptados por todos.

      Eliminar