Um grupo de cibercriminosos ainda não identificados usou o domínio de Internet que suporta o Portal das Finanças para enviar e-mails forjados, em que se faziam passar pela Autoridade Tributária com o objetivo de levar os contribuintes a ativar um link que permitia infetar computadores e intercetar dados pessoais. O método de ataque, que começou a disseminar-se em plena fase de entrega do IRS, terá resultado do facto de a Autoridade Tributária não ter configurado devidamente os servidores do Portal das Finanças para impedir que qualquer internauta usasse o domínio @portaldasfinancas.gov.pt como remetente de mensagens enviadas a terceiros.
A Autoridade Tributária emitiu um alerta para a disseminação destes e-mails fraudulentos na quarta-feira, mas estas mensagens de phishing têm sido enviadas para os contribuintes portugueses desde, pelo menos, 25 de março. As mensagens foram enviadas a partir do endereço info.wKK@portaldasfinancas.gov.pt – que é um endereço controlado por cibercriminosos.
Nesses e-mails, os cibercriminosos apresentam-se em nome da Autoridade Tributária e dão a conhecer a existência de um alegado serviço automático para alerta de prazos dos diferentes compromissos fiscais. Para ativar o suposto serviço, os internautas são convidados a clicar num link que encaminha os internautas para sites que infetam os computadores com códigos maliciosos de phishing, que permitem obter credenciais de acesso de contas bancárias ou de diferentes serviços disponibilizados na Internet. Ao contrário do que vinha sendo comum nos últimos anos, a mensagem está redigida num português europeu correto, sem gralhas, erros ortográficos ou termos obtidos através de tradutores automáticos.
Ao usarem o domínio @portaldasfinancas.gov.pt, os hackers tentam reverter em seu favor a aparência de legitimidade fomentada pelo facto de usarem o mesmo domínio do endereço do Portal das Finanças (portaldasfinanancas.gov.pt). Segundo o que Exame Informática apurou, este abuso do domínio do Portal das Finanças deveu-se à má configuração das regras do sistema conhecido por Sender Policy Framework (SPF; Políticas de Trabalho Para o Envio de Mensagens é uma das traduções possíveis para português), que permitem definir que servidores podem ser usados para enviar mensagens em nome do Portal das Finanaças.
O SPF é um sistema que pretende mitigar a falta de segurança que distingue os protocolos de e-mail desde os primórdios da Internet, com uma base de dados que indica à comunidade (e de forma automática aos diferentes servidores dispersos pelo mundo) quais os dispositivos ou números de IP que estão autorizados a enviar mensagens em nome de um determinado servidor de e-mail.
Contactado pela Exame Informática, o gabinete do ministro das Finanças Mário Centeno recorda que “o domínio de email da Autoridade Tributária e Aduaneira é o @at.gov.pt e não o @portaldasfinancas.gov.pt, pelo que não haviam sido implementadas politicas de SPF sobre este último domínio, do qual a AT não envia e-mails aos contribuintes”.
Apesar de não usar o domínio @portaldasfinancas.gov.pt, a Autoridade Tributária não deixou de tomar medidas com vista à configuração SPF deste domínio: “Entendendo que a utilização desse domínio de e-mail, por terceiros e de forma abusiva, pode criar uma falsa perceção nas mensagens recebidas, estamos já a implementar medidas de segurança, que permitam evitar essa utilização”, informa o Ministério das Finanças.
Phishing disponível em poucos minutos
Segundo especialistas contactados pela Exame Informática, o uso do domínio do Portal das Finanças para o envio mensagens fraudulentas só é possível mediante três hipóteses meramente teóricas: 1) ou os hackers conseguiram fazer uma intrusão nos servidores que suportam o Portal das Finanças; 2) ou um profissional ou alguém com acesso aos servidores do Portal das Finanças usou o domínio para o envio de e-mails fraudulentos; 3) ou alguém estaria a tirar partido do facto de os servidores do Portal das Finanças não terem sido configurados para impedir que qualquer internauta enviasse e-mails a quem quisesse a partir daquele domínio.
As hipóteses de intrusão de hackers ou de agente infiltrado nas Finanças são as mais assustadoras e só podem ser averiguadas pelas autoridades competentes ou pela própria Autoridade Tributária – e não há nenhuma razão ou notícia para acreditar que tenham acontecido. Em contrapartida, bastaram alguns minutos para confirmar a má configuração do SPF, que permitia que qualquer internauta enviasse e-mails em nome do Portal das Finanças.
Na quarta-feira, ao final da tarde, a Exame Informática confirmou, através de ferramentas de diagnóstico que estão disponíveis na Internet, que o endereço portaldasfinancas.gov.pt não tinha medidas de SPF implementadas. Poucos minutos depois, foi possível confirmar que era possível enviar e-mails para qualquer internauta, fazendo-se passar como legítimo detentor do Portal das Finanças.
Nuno Loureiro, CEO da Probely, conhece bem os casos de aproveitamento gerados pela má configuração do SPF. O responsável da startup especializada em segurança eletrónica recorda que, há alguns anos, havia quem pregasse partidas na comunidade de especialistas de cibersegurança com o endereço que era usado pelo domínio da presidência americana. O que ajuda a confirmar que o problema que, eventualmente, afeta muitos outros endereços não é um exclusivo do Portal das Finanças, e deve-se aos próprios protocolos de e-mail usados em todo o mundo. Mas esta justificação, ainda que plausível, de nada vale aos contribuintes que não sabem das fragilidades crónicas do sistema de correio eletrónico mundial e que recebem uma mensagem de um endereço que lhes é familiar.
“Uma vez que se trata de um portal mediático, a configuração do SPF teria sido uma boa prática”, explica o responsável da Probely. “No limite, teria sido possível indicar nas bases de dados do SPF que não é possível enviar e-mails a partir do domínio do Portal das Finanças”, acrescenta Nuno Loureiro.
À semelhança de outros especialistas consultados pela Exame Informática, Sérgio Silva, especialista em cibersegurança e líder da Cybers3c, confirma que a configuração do SPF é uma medida simples que, salvo imprevistos ou imponderáveis, não exige tempo ou grandes conhecimentos para ser executada. “O domínio do Portal das Finanças deveria ter sido protegido, uma vez que é de uso obrigatório para os contribuintes”, refere.
“Os responsáveis pelo servidor deveriam ter acautelado tudo isso. Os contribuintes não têm de ser peritos em segurança informática. Quando recebem um e-mail vindo de um domínio igual ao do Portal das Finanças, acreditam que é legítimo”, acrescenta ainda o especialista em Cybers3c.
Ainda que num plano diferente, Sérgio Silva aponta ainda mais uma fragilidade ao Portal das Finanças: o endereço não dispõe da camada segurança que é fornecida pelo protocolo HTTPS, e opera ainda com versão do protocolo anterior (o HTTP, que é menos seguro).
As boas práticas apontem para a necessidade de definir quais os servidores que podem enviar e-mails, mas a realidade também confirma que é quase impossível travar todos os estratagemas que costumam ser usados pelos cibercriminosos quando querem usar um endereço alheio. Até poderá ser relativamente fácil para a Autoridade Tributária impedir o envio de quaisquer e-mails a partir Portal das Finanças, mas essa medida não impede que hackers criem domínios com termos similares (abreviaturas, inserção de um ou mais carateres; etc.) a partir de servidores que eles controlam.
“Podemos decidir quais os servidores autorizados a enviar e-mails a partir de um determinado domínio, mas é impossível impedir que os cibercriminosos usem servidores que permitem criar variações desses domínios”, explica Nuno Loureiro.
Perante tamanha facilidade em forjar endereços de e-mail, mais não resta que manter o princípio da precaução para todos os internautas: tente certificar-se sempre que um e-mail é legítimo; e se não tiver forma de garantir a legitimidade de um endereço, não responda, nem clique nas mensagens ou links que ele dissemina.
