Bancos e empresas na internet na luta contra o spam

Algumas das maiores empresas mundiais de internet e de finanças desenvolveram uma nova abordagem para combater o spam, com a esperança de reduzir as trapaças online e via e-mail. Facebook, Google e Microsoft se aliaram aos grupos financeiros Bank of America, Fidelity Investments e à divisão PayPal do eBay a fim de criar padrões setoriais que impeçam criminosos de enviar mensagens de spam que parecem ter por origem endereços de e-mail de empresas.

Criminosos muitas vezes assumem a identidade de bancos e outras empresas de confiança em seus esforços para persuadir destinatários de e-mail a revelar números de cartões de crédito, informações sobre contas bancárias e outros dados pessoais, ou clicar em links que infectariam seus computadores com software nocivo. A nova abordagem prevê que os serviços de e-mail e empresas ataquem os praticantes de spam por meio da coordenação do uso de duas tecnologias existentes de autenticação de e-mail, conhecidas pelas siglas SPF e DKIM, que ainda não foram adotadas em larga escala.

O PayPal é uma das empresas que já utilizam as tecnologias SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) para combater trapaças via e-mail, mas apenas por meio de parcerias com o Yahoo e Google, disse Brett McDowell, gerente de segurança do PayPal e presidente do grupo de trabalho que desenvolveu o novo padrão. O grupo é conhecido como DMARC.org, ou Domain-based Message Authentication, Reporting and Conformance.

Se o Yahoo ou o Google recebem um e-mail que alega o PayPal como origem mas não conta com a devida autenticação via SPF ou DKIM, a mensagem não é entregue. Mas, caso a mensagem tenha sido encaminhada a outros serviços de e-mail, pode ser aceita. “O que precisamos é de um padrão para toda a internet que permita esse nível de proteção em larga escala, sem necessidade de quaisquer discussões ou acordos de parceria”, disse McDowell. “Essa é a proposta de trabalho da DMARC”.  Outras empresas envolvidas no projeto são American Greetings, LinkedIn e Yahoo, além de Agari, Cloudmark, eCert, Return Path e Trusted Domain Project.

Michael Versace, analista de segurança da IDC, disse que a abordagem recomendada pelo grupo parece efetiva e de baixo custo. Mas ponderou que o setor precisa continuar desenvolvendo tecnologias de combate a spam, prevendo que os cibercriminosos desenvolvam formas de contornar as proteções da DMARC.