A prática delituosa na Internet que se tornou mais comum nos últimos anos foi, sem dúvida, o phishing. A palavra, uma corruptela do verbo inglês fishing (pescar, em português), é utilizada para designar alguns tipos de condutas fraudulentas que são cometidas na rede.São muito comuns as mensagens eletrônicas (e-mail) onde são feitas propagandas de pechinchas comerciais, são solicitadas renovações de cadastro, são feitos convites para visitação a sites pornográficos, são ofertadas gratuitamente soluções técnicas para vírus, entre outras. Não sabe a pessoa que recebe tais tipos de e-mail que as mensagens são falsas, enviadas por alguém disposto a aplicar um golpe. Geralmente, o destinatário é convidado a clicar sobre um link que aparece no corpo da mensagem e, ao fazê-lo, aciona o download de um programa malicioso que vai penetrar no seu computador e capturar informações sensíveis. Também ocorre de, ao clicar no link sugerido, ser enviado a um site falso, com as mesmas características de apresentação gráfica de um site popularmente conhecido (a exemplo do site de um grande banco ou de um site de comércio eletrônico). Ao chegar no site falseado, a pessoa é instada a inserir informações pessoais (número de cartão de crédito ou de conta bancária) e, uma vez de posse dessas informações, o fraudador as utiliza para fazer saques e movimentações bancárias ou outras operações (em nome da vítima).
Fonte: Site jus2.uol.com.br
Autor: Dr. Demócrito Reinaldo Filho
Juiz de Direito em Pernambuco, diretor do Instituto Brasileiro de Direito e Política da Informática (IBDI)
Artigo elaborado em 06.2005
A categoria delituosa em questão consiste exatamente nisso: em “pescar” ou “fisgar” qualquer incauto ou pessoa desavisada, não acostumada com esse tipo de fraude, servindo a mensagem de e-mail como uma isca, uma forma de atrair a vítima para o site falso (onde será perpetrado o golpe, de furto de suas informações pessoais). O phishing, portanto, é uma modalidade de spam, em que a mensagem além de indesejada é também fraudulenta (scam).
Muito dificilmente se pode invocar a responsabilidade do provedor de serviços de e-mail pelos prejuízos sofridos por um usuário vítima desse tipo de golpe. Não só aqui como em outros países, a tendência tem sido a de isentar o provedor pelo conteúdo das informações que trafegam em seus sistemas, sobretudo quando postadas por terceiros com os quais não mantém vínculo contratual. Em relação aos serviços de e-mail, não se pode exigir que o provedor tenha uma obrigação de triagem das mensagens. Ainda que no caso de simples spams, o provedor não pode ser obrigado a indenizar por perdas e danos, mesmo quando as mensagens indesejadas conduzam vírus (em arquivos atachados), a menos que o contrato com o usuário contenha cláusula expressa nesse sentido, com a promessa de uso de sistemas especiais e infalíveis de filtragem (firewalls e outros sistemas de bloqueio). Algumas mensagens de phishing sequer vêm acompanhadas de arquivos infectados (programas maliciosos ou vírus), daí que a idéia de imputação ao provedor de responsabilidade por falha de segurança fica ainda mais insustentável.
Sem conter anexos, fica difícil para o provedor detectar a natureza delas (se fraudulentas ou não).
A única medida que parece razoável exigir por parte dos provedores (de serviços de e-mail), em matéria de phishing (e de um modo geral em relação a qualquer prática fraudulenta via spam), é que prestem informações aos seus usuários sobre essa prática, deixando bem claro até onde se responsabiliza e como configura seu servidor de e-mail, indicando as medidas e a tecnologia de que se vale para (se não evitá-las) minimizar suas conseqüências. A informação do usuário sobre as características fundamentais do funcionamento do serviço é de suma importância. Ele deve ser esclarecido sobre os aspectos técnicos dos serviços, tais como suas limitações e riscos a que pode ficar sujeito, a fim de que possa formar sua convicção e melhor exercer sua opção quanto à escolha da prestadora. Deve também o usuário ser devidamente orientado sobre cuidados imprescindíveis, visando à sua própria conduta, como as cautelas que deve ter com a utilização do serviço de e-mail.
O Gmail, serviço de webmail do Google, divulgou recentemente que está testando uma ferramenta desenhada para alertar seus usuários contra mensagens que aparentem ser ataques de phishing. Quando o usuário abre uma mensagem suspeita, a tela exibe um alerta. Trata-se de uma ferramenta que funciona com a mesma lógica dos instrumentos técnicos que operam contra o spam. Quando o time de técnicos do Gmail toma conhecimento de um determinado ataque de phishing, configura o sistema para que automaticamente identifique futuras mensagens semelhantes. Um tipo de filtro similar ao que automaticamente desvia as mensagens de spam para uma pasta específica – a mensagem não entra na “caixa de entrada” (ou “inbox”), faz com que o sistema mostre um aviso, alertando para a possibilidade de ataque phishing, de modo a que o usuário tome cuidados antes de clicar em um link e fornecer informações pessoais.
As políticas de combate à atuação de fraudadores, no sentido de criar barreiras ou algum tipo de proteção contra o phishing, não diferem muito das políticas que já são empregadas em relação ao spam em geral. E não poderia ser diferente, já que, como se disse, o phishing é uma modalidade mais letal de spam. As tecnologias disponíveis permitem um grau limitado de impedimento de chegada das mensagens fraudulentas à caixa postal dos usuários. Em geral, os prestadores de webmail divulgam um compromisso de combater o spam, através da utilização de filtros e outras ferramentas que se utilizam de inteligência artificial para apagar ou bloquear automaticamente mensagens não solicitadas. Outra técnica também bastante difundida é a de possibilitar que os próprios usuários bloqueiem certos endereços de e-mail. Ao receber múltiplas mensagens da mesma fonte, e desejando bloquear o endereço de envio, o usuário pode ativar um bloqueador para não receber e-mails daquele endereço ou domínio. Mas são sempre recursos limitados, que não garantem uma eficácia absoluta. A mesma dificuldade de natureza técnica se observa em relação ao phishing. As informações no site do Gmail deixam bem claro que o sistema anti-phishing não é infalível, tanto que possibilita ao usuário validar uma mensagem indicada como tal ou relatar uma tentativa de ataque não detectada.
Realmente, tendo em vista a natureza do serviço de e-mail e o atual estado da técnica referente às comunicações e transmissões eletrônicas de dados via Internet, não é razoável exigir que os provedores sejam responsabilizados pelos danos que mensagens de phishing (ou qualquer modalidade de spam) possam acarretar aos computadores dos usuários. O que é aceitável se esperar, em termos de conduta do provedor nessa matéria, é que empregue seus melhores esforços para assegurar que os serviços de e-mail funcionem da melhor forma e com o melhor padrão de segurança possível. Colocar a responsabilidade do controle das mensagens indesejadas e fraudulentas nos ombros do provedor pode, por outro lado, provocar conseqüências socialmente prejudiciais. Tal solução levaria os provedores a regular de forma mais rígida o controle dos filtros, aumentando as probabilidades de bloqueio de uma quantidade maior de mensagens lícitas, com o risco de liquidar ou prejudicar o valor real do e-mail como ferramenta de comunicação, comprometendo o desenvolvimento da Internet. Portanto, a política mais acertada é a da responsabilização penal e civil do phisher (ou spammer), e não do provedor.
Recentemente tem sido registrada, todavia, uma nova modalidade de ataque phishing que não é perpetrada através do envio de mensagens de e-mail, e em relação a qual se pode sustentar a responsabilidade do provedor. Trata-se de um tipo de golpe que redireciona os programas de navegação (browsers) dos internautas para sites falsos. A essa nova categoria de crime tem sido dado o nome de pharming.
O pharming opera pelo mesmo princípio do phishing, ou seja, fazendo os internautas pensarem que estão acessando um site legítimo, quando na verdade não estão. Mas ao contrário do phishing, o qual uma pessoa mais atenta pode evitar simplesmente não respondendo ao e-mail fraudulento, o pharming é praticamente impossível de ser detectado por um usuário comum da Internet, que não tenha maiores conhecimentos técnicos. Nesse novo tipo de fraude, os agentes criminosos se valem da disseminação de softwares maliciosos que alteram o funcionamento do programa de navegação (browser) da vítima. Quando esta tenta acessar um site de um banco, por exemplo, o navegador infectado a redireciona para o spoof site (o site falso com as mesmas características gráficas do site verdadeiro). No site falseado, então, ocorre a coleta das informações privadas e sensíveis da vítima, tais como números de cartões de crédito, contas bancárias e senhas.
No crime de pharming, como se nota, a vítima não recebe um e-mail fraudulento como passo inicial da execução, nem precisa clicar num link para ser levada ao site “clonado”. Uma vez que seu computador esteja infectado pelo vírus, mesmo teclando o endereço (URL) correto do site que pretende acessar, o navegador a leva diretamente para o site falseado. O pharming, portanto, é a nova geração do ataque de phishing, apenas sem o uso da “isca” (o e-mail com a mensagem enganosa). O vírus reescreve arquivos do PC que são utilizados para converter os endereços de Internet (URL’s) em números que formam os endereços IP (números decifráveis pelo computador). Assim, um computador com esses arquivos comprometidos, leva o internauta para o site falso, mesmo que este digite corretamente o endereço do site intencionado.
A mais preocupante forma de pharming, no entanto, é conhecida como “DNS poisoning” (traduzindo para o português, seria algo como “envenenamento do DNS”), por possibilitar um ataque em larga escala. Nessa modalidade, o ataque é dirigido a um servidor DNS, e não a um computador de um internauta isoladamente.
Como se sabe, o sistema DNS (Domain Name System) funciona como uma espécie de diretório de endereços da Internet. Toda navegação na Internet (no seu canal gráfico, a World Wide Web) tem que passar por um servidor DNS. Quando um internauta digita um determinado endereço web na barra de seu navegador (www.ibdi.org.br, por exemplo), o seu computador pessoal se comunica com o servidor do seu provedor local de acesso à Internet, em busca do número IP que corresponde àquele determinado endereço. Se o endereço procurado estiver armazenado no cache do servidor do provedor local, então ele mesmo direciona o programa de navegação para o endereço almejado ou, caso contrário, transfere a requisição para o servidor de um provedor maior, e assim por diante, até encontrar aquele que reconheça o endereço procurado e faça a correspondência.
Um hacker pode invadir o servidor DNS de um provedor de acesso à Internet e alterar endereços arquivados na memória cache. Se o servidor é “envenenado”, alteradas as configurações relativas a um determinado endereço web, internautas podem ser direcionados para um site falso mesmo teclando o endereço (URL) correto. O ataque, assim praticado, produz resultados em muito maior escala do que a outra forma de pharming, em que os “pharmers” vitimam uma pessoa de cada vez, infectando os seus PC’s com vírus. O ataque ao servidor DNS de um provedor de Internet pode atingir inúmeros usuários de uma única vez.
O fato é que, se de um ataque a um servidor DNS resultar prejuízo efetivo ao usuário do provedor, este responde pela reparação completa. Se o usuário tiver suas informações colhidas no site falso, a que foi levado em função da alteração nas configurações do servidor DNS do seu provedor de acesso à Internet, pode pedir reparação dos danos que venham a resultar do uso indevido dessas informações. Se o “phisher” fizer uso do número de sua conta bancária e senha e sacar valores depositados em sua conta, é o provedor que teve o sistema invadido que deve reparar os prejuízos. A situação aqui é diferente da modalidade simples de ataque de phishing, onde a segurança dos serviços do provedor não é comprometida.
Como vimos acima, o estágio atual da técnica ainda não permitiu o desenvolvimento de uma ferramenta perfeita para identificar a natureza de uma mensagem de e-mail (se indesejada ou fraudulenta), daí porque não se concebe a responsabilização do provedor por mensagens de phishing que alcancem a caixa postal dos seus usuários. No entanto, a execução da fraude que se desenvolve sem o envio de mensagem fraudulenta à vítima (usuário do serviço de comunicação de e-mail), através de um ataque direto ao sistema informático (servidor DNS) do provedor, constitui evidente caso de falha de segurança, gerando a respectiva indenização por perdas e danos, se for o caso. Se a omissão na detecção de mensagem de spam ou phishing não pode ser enxergada como falha de segurança, o mesmo não se pode dizer quando a empresa prestadora de serviços de comunicação sofre um ataque em seu próprio sistema. Nesse último caso ocorre, sim, uma falha de segurança, uma invasão hacker ao sistema do provedor, com sua conseqüente responsabilização pelos danos resultantes para os usuários dos seus serviços.
O dano por falha de segurança, evidenciada na omissão ou negligência técnica do prestador de serviços na Internet em proteger seu sistema informático contra invasão hacker, configura hipótese de inadimplemento por culpa contratual do provedor. A segurança contratada pelo usuário, no que concerne à proteção do sistema contra invasões, deve ser eficaz e vista como absoluta, sendo indesculpável a quebra desse dever. É de se considerar que o prestador de serviços na Internet tem uma obrigação intrínseca quanto à segurança do sistema informático sob seu controle. Em caso de falha na preservação da segurança do sistema, concebe-se haver um descumprimento dessa obrigação contratual imanente, devendo responder pelas perdas e danos decorrentes (nos termos do art. 389 do C.C.). Configura hipótese de culpa contratual, respondendo o prestador de serviços de acesso à Internet pela reparação dos prejuízos causados em razão da falha de segurança, culpa que não admite atenuação sob argumento de ser a invasão hacker um evento imprevisível ou inevitável. Nessa matéria, não se pode pretender aplicar a teoria do caso fortuito ou força maior para justificar uma exclusão de responsabilidade. O provedor de serviços na Internet não pode alegar esse tipo de excludente pela razão de que uma invasão hacker a sistema informático não se enquadra no conceito de “fato necessário” impossível de ser evitado ou impedido (art. 393, par. únic., do C.C.). Os ataques hackers são freqüentes, daí porque não pode uma invasão realizada por meios eletrônicos ser vista como fato imprevisível ou imprevisto.
Do ponto de vista da relação de consumo, o serviço considera-se defeituoso sob a ótica do vício de funcionalidade, devendo o fornecedor (controlador do sistema informático) responder pelos danos decorrentes do vício. A falha na manutenção da segurança, caracterizada na invasão do sistema informático por terceiro, evidencia um vício de qualidade que torna o serviço (de acesso à Internet) impróprio ao consumo, respondendo o fornecedor pela reparação das perdas e danos (art. 20, II, do CDC). O consumidor dos serviços de acesso à Internet tem uma legítima expectativa de segurança, sendo impróprio para o consumo o serviço que frustre essa expectativa. A impropriedade do serviço por vício de inadequação ocorre sempre que se mostrar inadequado para atender “os fins que razoavelmente dele se espera” (art. 20, par. 2°, do CDC). O consumidor de serviço de comunicação informática tem uma garantia de adequação aos fins (aí incluída a expectativa de segurança) que dele (do serviço informático) razoavelmente se espera, garantia essa que independe de termo contratual expresso e da qual o fornecedor não pode se exonerar (arts. 24 e 25 do CDC). O vício de inadequação do serviço existirá sempre que a equipe de segurança do provedor não conseguir evitar que o autor da invasão produza danos ao seu consumidor.
O sistema DNS tem vulnerabilidades inerentes; por causa do seu desenho inicial, as falhas são utilizadas para o cometimento de uma extensa variedade de ataques. Alguns especialistas em segurança duvidam do grau de crescimento desses tipos de ataques, pois requerem um maior grau de conhecimentos técnicos para ser praticados, diferentemente da modalidade mais simples do phishing. Acreditam que os ataques ao sistema DNS não irão se tornar um problema massificado na rede, porque investidas desse tipo só podem ser feitas por criminosos com sofisticado nível de especialização e conhecimentos de telemática. Mas, como se sabe, o grau de dificuldade de um determinado tipo de invasão é o que estimula os hackers a tentarem realizá-la.
Isso é o que preocupa.
As instituições bancárias é que estão mais preocupadas com esse tipo de crime. Cada vez mais questões de segurança ameaçam a confiança dos internautas no comércio on line. Se os riscos de segurança pesarem mais do que a conveniência de se fazer transações por meios eletrônicos, as pessoas podem se decidir por outros meios menos inseguros. Os sites de homebanking e sistemas de pagamento on line seriam os primeiros da lista a sofrer com a debandada.
Os provedores de Internet, mais do que os bancos, é que deveriam estar realmente preocupados. Pelo menos, em termos de indenização pelo pagamento dos prejuízos causados às vítimas, eles é que deverão ser responsabilizados