Por Marcelo Tavares de Santana [1]

Alguns assuntos nos chamam tanto a atenção que de última hora resolvemos mudar a direção do que estamos fazendo, visando um bem maior. Nessa semana recebemos um e-mail de uma suposta agência de energia no Brasil que trouxe uma maior preocupação que a de costume e que nos levou a investigar como poderíamos passar uma prática que fosse de fácil aprendizado. Felizmente temos boas soluções, mas que demandam um pouco de consciência de Internet. A Figura 1 mostra uma mensagem recebida que foi editada para proteger dados pessoais e reduzir seu tamanho nesta matéria. E-mail do remetente, data e horário foram mantidos como recebidos; nome e endereço de destinatário foram alterados. A mensagem original continha uma foto de pessoa com seu animal de estimação numa sala, ambos felizes, num cena que traz a sensação de ambiente seguro, no entanto, percebemos que a mensagem veio de um endereço Web denominado <brasil.enel.com>, e por conhecimento prévio sabíamos que a empresa de energia usa com os usuários brasileiros o endereço <enel.com.br>, ou seja, tem o sufixo de país no final como sendo um endereço de Internet registrado no Brasil.

Figura 1: Recorte de e-mail recebido com anonimização de dados

Os endereços Web são tecnicamente chamados de Uniform Resource Locator (URL), uma forma de localizar recursos num padrão que sempre contém um domínio: por exemplo, no caso das páginas da Wikipedia em duas línguas distintas, como <pt.wikipedia.org> e <en.wikipedia.org>, contém uma parte comum <wikipedia.org> que é o domínio da enciclopédia online. Quando usamos o navegador Firefox atualizado, o domínio de um endereço fica destacado com uma cor diferente na barra de endereços. Esses domínios são registrados em organizações ou empresas autorizadas nos governos de diversos países, e a flexibilidade da Internet permite que o conteúdo de um endereço seja hospedado num equipamento em outro país. Portanto, é normal termos conteúdos espalhados pelo mundo independente de onde o domínio foi registrado.

Uma ferramenta prática para sabermos onde um determinado site está hospedado é a extensão Flagfox [2] para o navegador Firefox; existem outras extensões, mas essa é acompanhada pela comunidade Mozilla com mais frequência, e assim nos proporciona mais segurança. A Flagfox acrescenta um ícone de bandeira do local onde o site está hospedado, que às vezes pode ser um globo quando o conteúdo está numa Content Delivery Network (CDN), um sistema que replica conteúdos comuns muito acessados, largamente utilizado no mundo. Assim, ter conteúdos brasileiros em outros países ou em CDNs é algo normal. O mais interessante da extensão é que, ao se clicar com o botão direito do mouse na bandeira, é disponibilizada uma série de ferramentas que trazem informações relevantes sobre o endereço visitado, nas quais destacamos:

  • Whois: mostra qual e onde o domínio está registrados;
  • Geotool: mostra onde o endereço é hospedado com detalhes;
  • Traceroute: mostra os locais por onde os dados passam (rota) a partir do nosso local;
  • Minhas informações: mostra parte do que outros sabem de nós, só de visitarmos o site.

Ao utilizar a ferramenta Whois em <enel.com> descobrimos que o endereço de registro do domínio é em Roma, e <enel.com.br> é no Brasil. Ambos os sites estão hospedados nos Estados Unidos da América. Devido às CDNs, às vezes esses locais podem variar. Até aqui tudo aparentemente está normal, dentro do que esperamos das tecnologias na Internet. No entanto, o botão “responder pesquisa” da Figura 1 estava ligado ao endereço <imap://[email protected]@imap.gmail.com:993/fetch>UID>/INBOX>413182> (onde só ‘fulano’ foi editado), portanto, completamente diferente dos domínios com a palavra “enel”, tem um comando “fetch” que geralmente significa uma coleta de dados e alguma espécie de redirecionamento com o sinal “>” (maior). Esse endereço não funcionou no Firefox para Linux dentro de um contêiner [3], portanto num ambiente controlado, mas impressionou pela tentativa sofisticada de redirecionar uma conta de e-mail para outro lugar e por praticamente tudo na mensagem parecer da empresa de energia, por mais que usássemos ferramentas para avaliar ‘quem era’ e ‘onde estava’ o domínio do endereço que aparentemente estava interagindo conosco.

Avaliar se uma mensagem pode ser legítima ou não exige consciência de como a rede mundial de computadores pode funcionar, usar ferramentas para análise, conhecer URLs e onde os conteúdos podem estar, e também que nossas informações estão em diversas empresas onde apresentamos nossos dados, inclusive quando usamos nossa conta de energia elétrica como comprovante de endereço municipal no cadastro de qualquer loja.

Apesar de, nesse caso em especial, as ferramentas no Flagfox não serem determinísticas na possível tentativa de fraude e captura de dados, instalar a extensão e aprender a verificar domínios nos dá experiência para avaliarmos novas tentativas sem entrar em paranoia. Fica uma sugestão de uso:

  • Semana 1: instale a Flagfox e se acostume a ver as bandeiras;
  • Semana 2: use a ferramenta Whois e Geotool em alguns endereços Web;
  • Semana 3: use a ferramenta Traceroute em alguns endereços Web;
  • Semana 4: experimente as demais ferramentas.

Essas ferramentas também estão disponíveis em linha de comando e aplicações gráficas, procure em fóruns digitais como Stack Overflow [4] para perguntar o que utilizar. Boa diversão!

Notas

[1] Professor de Ensino Básico, Técnico e Tecnológico do Instituto Federal de São Paulo.

[2] https://addons.mozilla.org/pt-BR/firefox/addon/flagfox/.

[3] https://passapalavra.info/2021/11/140924/.

[4] https://pt.stackoverflow.com/.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here