A INFECÇÃO DO SISTEMA DNS - a nova modalidade de \"phishing\" e a responsabilidade do provedor
Autor: Demócrito Reinaldo Filho - Fonte: IBDI - Instituto Brasileiro de Política e Direito da Informática
A prática delituosa na Internet que se tornou mais comum nos últimos anos foi, sem dúvida, o phishing. A palavra, uma corruptela do verbo inglês fishing (pescar, em português), é utilizada para designar alguns tipos de condutas fraudulentas que são cometidas na rede. São muito comuns as mensagens eletrônicas (e-mail) onde são feitas propagandas de pechinchas comerciais, são solicitadas renovações de cadastro, são feitos convites para visitação a sites pornográficos, são ofertadas gratuitamente soluções técnicas para vírus, entre outras. Não sabe a pessoa que recebe tais tipos de e-mail que as mensagens são falsas, enviadas por alguém disposto a aplicar um golpe(1). Geralmente, o destinatário é convidado a clicar sobre um link que aparece no corpo da mensagem e, ao fazê-lo, aciona o download de um programa malicioso que vai penetrar no seu computador e capturar informações sensíveis. Também ocorre de, ao clicar no link sugerido, ser enviado a um site falso, com as mesmas características de apresentação gráfica de um site popularmente conhecido (a exemplo do site um grande banco ou um site de comércio eletrônico)(2). Ao chegar no site falseado, a pessoa é instada a inserir informações pessoais (número de cartão de crédito ou de conta bancária) e, uma vez de posse dessas informações, o fraudador as utiliza para fazer saques e movimentações bancárias ou outras operações (em nome da vítima).
A categoria delituosa em questão consiste exatamente nisso: em "pescar" ou "fisgar" qualquer incauto ou pessoa desavisada, não acostumada com esse tipo de fraude, servindo a mensagem de e-mail como uma isca, uma forma de atrair a vítima para o site falso (onde será perpetrado o golpe, de furto de suas informações pessoais). O phishing, portanto, é uma modalidade de spam, em que a mensagem além de indesejada é também fraudulenta (scam)(3).
Muito dificilmente se pode invocar a responsabilidade do provedor de serviços de e-mail(4) pelos prejuízos sofridos por um usuário vítima desse tipo de golpe. Não só aqui como em outros países, a tendência tem sido a de isentar o provedor pelo conteúdo das informações que trafegam em seus sistemas, sobretudo quando postadas por terceiros com os quais não mantém vínculo contratual. Em relação aos serviços de e-mail, não se pode exigir que o provedor tenha uma obrigação de triagem das mensagens. Ainda que no caso de simples spams, o provedor não pode ser obrigado a indenizar por perdas e danos, mesmo quando as mensagens indesejadas conduzam vírus (em arquivos atachados), a menos que o contrato com o usuário contenha cláusula expressa nesse sentido, com a promessa de uso de sistemas especiais e infalíveis de filtragem (firewalls e outros sistemas de bloqueio)(5). Algumas mensagens de phishing sequer vêm acompanhadas de arquivos infectados (programas maliciosos ou vírus), daí que a idéia de imputação ao provedor de responsabilidade por falha de segurança fica ainda mais insustentável. Sem conter anexos, fica difícil para o provedor detectar a natureza delas (se fraudulentas ou não).
A única medida que parece razoável exigir por parte dos provedores (de serviços de e-mail), em matéria de phishing (e de um modo geral em relação a qualquer prática fraudulenta via spam), é que prestem informações aos seus usuários sobre essa prática, deixando bem claro até onde se responsabiliza e como configura seu servidor de e-mail, indicando as medidas e a tecnologia de que se vale para (se não evitá-las) minimizar suas conseqüências. A informação do usuário sobre as características fundamentais do funcionamento do serviço é de suma importância. Ele deve ser esclarecido sobre os aspectos técnicos dos serviços, tais como suas limitações e riscos a que pode ficar sujeito, a fim de que possa formar sua convicção e melhor exercer sua opção quanto à escolha da prestadora. Deve também o usuário ser devidamente orientado sobre cuidados imprescindíveis, visando à sua própria conduta, como as cautelas que deve ter com a utilização do serviço de e-mail.
O Gmail(6), serviço de webmail do Google(7), divulgou recentemente que está testando uma ferramenta desenhada para alertar seus usuários contra mensagens que aparentem ser ataques de phishing. Quando o usuário abre uma mensagem suspeita, a tela exibe um alerta. Trata-se de uma ferramenta que funciona com a mesma lógica dos instrumentos técnicos que operam contra o spam. Quando o time de técnicos do Gmail toma conhecimento de um determinado ataque de phishing, configura o sistema para que automaticamente identifique futuras mensagens semelhantes. Um tipo de filtro similar ao que automaticamente desvia as mensagens de spam para uma pasta específica - a mensagem não entra na "caixa de entrada" (ou "inbox"), faz com que o sistema mostre um aviso, alertando para a possibilidade de ataque phishing, de modo a que o usuário tome cuidados antes de clicar em um link e fornecer informações pessoais.
As políticas de combate à atuação de fraudadores, no sentido de criar barreiras ou algum tipo de proteção contra o phishing, não diferem muito das políticas que já são empregadas em relação ao spam em geral. E não poderia ser diferente, já que, como se disse, o phishing é uma modalidade mais letal de spam. As tecnologias disponíveis permitem um grau limitado de impedimento de chegada das mensagens fraudulentas à caixa postal dos usuários. Em geral, os prestadores de webmail divulgam um compromisso de combater o spam, através da utilização de filtros e outras ferramentas que se utilizam de inteligência artificial para apagar ou bloquear automaticamente mensagens não solicitadas(8). Outra técnica também bastante difundida é a de possibilitar que os próprios usuários bloqueiem certos endereços de e-mail. Ao receber múltiplas mensagens da mesma fonte, e desejando bloquear o endereço de envio, o usuário pode ativar um bloqueador para não receber e-mails daquele endereço ou domínio(9). Mas são sempre recursos limitados, que não garantem uma eficácia absoluta. A mesma dificuldade de natureza técnica se observa em relação ao phishing. As informações no site do Gmail deixam bem claro que o sistema anti-phishing não é infalível, tanto que possibilita ao usuário validar uma mensagem indicada como tal ou relatar uma tentativa de ataque não detectada.
Realmente, tendo em vista a natureza do serviço de e-mail e o atual estado da técnica referente às comunicações e transmissões eletrônicas de dados via Internet, não é razoável exigir que os provedores sejam responsabilizados pelos danos que mensagens de phishing (ou qualquer modalidade de spam) possam acarretar aos computadores dos usuários. O que é aceitável se esperar, em termos de conduta do provedor nessa matéria, é que empregue seus melhores esforços para assegurar que os serviços de e-mail funcionem da melhor forma e com o melhor padrão de segurança possível(10). Colocar a responsabilidade do controle das mensagens indesejadas e fraudulentas nos ombros do provedor pode, por outro lado, provocar conseqüências socialmente prejudiciais. Tal solução levaria os provedores a regular de forma mais rígida o controle dos filtros, aumentando as probabilidades de bloqueio de uma quantidade maior de mensagens lícitas(11), com o risco de liquidar ou prejudicar o valor real do e-mail como ferramenta de comunicação, comprometendo o desenvolvimento da Internet. Portanto, a política mais acertada é a da responsabilização penal e civil do phisher (ou spammer), e não do provedor(12).
Recentemente tem sido registrada, todavia, uma nova modalidade de ataque phishing que não é perpetrada através do envio de mensagens de e-mail, e em relação a qual se pode sustentar a responsabilidade do provedor. Trata-se de um tipo de golpe que redireciona os programas de navegação (browsers) dos internautas para sites falsos. A essa nova categoria de crime tem sido dado o nome de pharming.
O pharming opera pelo mesmo princípio do phishing, ou seja, fazendo os internautas pensarem que estão acessando um site legítimo, quando na verdade não estão. Mas ao contrário do phishing, o qual uma pessoa mais atenta pode evitar simplesmente não respondendo ao e-mail fraudulento, o pharming é praticamente impossível de ser detectado por um usuário comum da Internet, que não tenha maiores conhecimentos técnicos. Nesse novo tipo de fraude, os agentes criminosos se valem da disseminação de softwares maliciosos que alteram o funcionamento do programa de navegação (browser) da vítima. Quando esta tenta acessar um site de um banco, por exemplo, o navegador infectado a redireciona para o spoof site (o site falso com as mesmas características gráficas do site verdadeiro). No site falseado, então, ocorre a coleta das informações privadas e sensíveis da vítima, tais como números de cartões de crédito, contas bancárias e senhas.
No crime de pharming, como se nota, a vítima não recebe um e-mail fraudulento como passo inicial da execução, nem precisa clicar num link para ser levada ao site "clonado". Uma vez que seu computador esteja infectado pelo vírus, mesmo teclando o endereço (URL) correto do site que pretende acessar, o navegador a leva diretamente para site falseado. O pharming, portanto, é a nova geração do ataque de phishing, apenas sem o uso da "isca" (o e-mail com a mensagem enganosa). O vírus reescreve arquivos do PC que são utilizados para converter os endereços de Internet (URL´s) em números que formam os endereços IP (números decifráveis pelo computador). Assim, um computador com esses arquivos comprometidos, leva o internauta para o site falso, mesmo que este digite corretamente o endereço do site intencionado.
A mais preocupante forma de pharming, no entanto, é conhecida como "DNS poisoning" (traduzindo para o português, seria algo como "envenenamento do DNS"), por possibilitar um ataque em larga escala. Nessa modalidade, o ataque é dirigido a um servidor DNS(13), e não a um computador de um internauta isoladamente.
Como se sabe, o sistema DNS (Domain Name System) funciona como uma espécie de diretório de endereços da Internet. Toda navegação na Internet (no seu canal gráfico, a World Wide Web) tem que passar por um servidor DNS. Quando um internauta digita um determinado endereço web na barra de seu navegador (www.ibdi.org.br, por exemplo), o seu computador pessoal se comunica com o servidor do seu provedor local de acesso à Internet, em busca do número IP que corresponde àquele determinado endereço. Se o endereço procurado estiver armazenado no cache do servidor do provedor local, então ele mesmo direciona o programa de navegação para o endereço almejado ou, caso contrário, transfere a requisição para servidor de um provedor maior, e assim por diante, até encontrar aquele que reconheça o endereço procurado e faça a correspondência(14).
Um hacker pode invadir o servidor DNS de um provedor de acesso à Internet e alterar endereços arquivados na memória cache. Se o servidor é "envenenado", alteradas as configurações relativas a um determinado endereço web, internautas podem ser direcionados para um site falso mesmo teclando o endereço (URL)(15) correto. O ataque, assim praticado, produz resultados em muito maior escala do que a outra forma de pharming, em que os "pharmers" vitimam uma pessoa de cada vez, infectando os seus PC´s com vírus. O ataque ao servidor DNS de um provedor de Internet pode atingir inúmeros usuários de uma única vez.
O fato é que, se de um ataque a um servidor DNS resultar prejuízo efetivo ao usuário do provedor, este responde pela reparação completa. Se o usuário tiver suas informações colhidas no site falso, a que foi levado em função da alteração nas configurações do servidor DNS do seu provedor de acesso à Internet, pode pedir reparação dos danos que venham a resultar do uso indevido dessas informações. Se o "phisher" fizer uso do número de sua conta bancária e senha e sacar valores depositados em sua conta, é o provedor que teve o sistema invadido que deve reparar os prejuízos. A situação aqui é diferente da modalidade simples de ataque de phishing, onde a segurança dos serviços do provedor não é comprometida.
Como vimos acima, o estágio atual da técnica ainda não permitiu o desenvolvimento de uma ferramenta perfeita para identificar a natureza de uma mensagem de e-mail (se indesejada ou fraudulenta), daí porque não se concebe a responsabilização do provedor por mensagens de phishing que alcancem a caixa postal dos seus usuários. No entanto, a execução da fraude que se desenvolve sem o envio de mensagem fraudulenta à vítima (usuário do serviço de comunicação de e-mail), através de um ataque direto ao sistema informático (servidor DNS) do provedor, constitui evidente caso de falha de segurança, gerando a respectiva indenização por perdas e danos, se for o caso. Se a omissão na detecção de mensagem de spam ou phishing não pode ser enxergada como falha de segurança, o mesmo não se pode dizer quando a empresa prestadora de serviços de comunicação sofre um ataque em seu próprio sistema. Nesse último caso ocorre, sim, uma falha de segurança, uma invasão hacker ao sistema do provedor, com sua conseqüente responsabilização pelos danos resultantes para os usuários dos seus serviços.
O dano por falha de segurança, evidenciada na omissão ou negligência técnica do prestador de serviços na Internet em proteger seu sistema informático contra invasão hacker, configura hipótese de inadimplemento por culpa contratual do provedor. A segurança contratada pelo usuário, no que concerne à proteção do sistema contra invasões, deve ser eficaz e vista como absoluta, sendo indesculpável a quebra desse dever. É de se considerar que o prestador de serviços na Internet tem uma obrigação intrínseca quanto à segurança do sistema informático sob seu controle. Em caso de falha na preservação da segurança do sistema, concebe-se haver um descumprimento dessa obrigação contratual imanente, devendo responder pelas perdas e danos decorrentes (nos termos do art. 389 do C.C.). Configura hipótese de culpa contratual, respondendo o prestador de serviços de acesso à Internet pela reparação dos prejuízos causados em razão da falha de segurança, culpa que não admite atenuação sob argumento de ser a invasão hacker um evento imprevisível ou inevitável. Nessa matéria, não se pode pretender aplicar a teoria do caso fortuito ou força maior para justificar uma exclusão de responsabilidade. O provedor de serviços na Internet não pode alegar esse tipo de excludente pela razão de que uma invasão hacker a sistema informático não se enquadra no conceito de "fato necessário" impossível de ser evitado ou impedido (art. 393, par. únic., do C.C.). Os ataques hackers são freqüentes, daí porque não pode uma invasão realizada por meios eletrônicos ser vista como fato imprevisível ou imprevisto(16).
Do ponto de vista da relação de consumo, o serviço considera-se defeituoso sob a ótica do vício de funcionalidade, devendo o fornecedor (controlador do sistema informático) responder pelos danos decorrentes do vício. A falha na manutenção da segurança, caracterizada na invasão do sistema informático por terceiro, evidencia um vício de qualidade que torna o serviço (de acesso à Internet) impróprio ao consumo, respondendo o fornecedor pela reparação das perdas e danos (art. 20, II, do CDC). O consumidor dos serviços de acesso à Internet tem uma legítima expectativa de segurança, sendo impróprio para o consumo o serviço que frustre essa expectativa. A impropriedade do serviço por vício de inadequação ocorre sempre que se mostrar inadequado para atender "os fins que razoavelmente dele se espera" (art. 20, par. 2o., do CDC). O consumidor de serviço de comunicação informática tem uma garantia de adequação aos fins (aí incluída a expectativa de segurança) que dele (do serviço informático) razoavelmente se espera, garantia essa que independe de termo contratual expresso e da qual o fornecedor não pode se exonerar (arts. 24 e 25 do CDC). O vício de inadequação do serviço existirá sempre que a equipe de segurança do provedor não conseguir evitar que o autor da invasão produza danos ao seu consumidor.
O sistema DNS tem vulnerabilidades inerentes; por causa do seu desenho inicial, as falhas são utilizadas para o cometimento de uma extensa variedade de ataques. Alguns especialistas em segurança duvidam do grau de crescimento desses tipos de ataques, pois requerem um maior grau de conhecimentos técnicos para ser praticados, diferentemente da modalidade mais simples do phishing. Acreditam que os ataques ao sistema DNS não irão se tornar um problema massificado na rede, porque investidas desse tipo só podem ser feitas por criminosos com sofisticado nível de especialização e conhecimentos de telemática. Mas, como se sabe, o grau de dificuldade de um determinado tipo de invasão é o que estimula os hackers a tentarem realizá-la. Isso é o que preocupa.
As instituições bancárias é que estão mais preocupadas com esse tipo de crime. Cada vez mais questões de segurança ameaçam a confiança dos internautas no comércio on line. Se os riscos de segurança pesarem mais do que a conveniência de se fazer transações por meios eletrônicos, as pessoas podem se decidir por outros meios menos inseguros(17). Os sites de homebanking e sistemas de pagamento on line seriam os primeiros da lista a sofrer com a debandada(18).
Os provedores de Internet, mais do que os bancos, é que deveriam estar realmente preocupados. Pelo menos, em termos de indenização pelo pagamento dos prejuízos causados às vítimas, eles é que deverão ser responsabilizados.
Recife, 06.06.05.
Notas:
(1) As mensagens de phishing scam geralmente aparentam provenientes de uma fonte confiável. Os fraudadores manipulam o campo do cabeçalho da mensagem (campo "de:" ou "from:") com o nome do remetente, de forma a que o destinatário pense ser de fonte legítima.
(2) Esse tipo de atividade fraudulenta, em que se usam clones de websites com a aparência de sites respeitáveis, é também chamada de spoofing.
(3) Esse tipo penal, no projeto de crimes tecnológicos em tramitação no Congresso Nacional (PLC 89-2003 no Senado, PL 84/99 na Câmara), corresponde no substitutivo do Sen. Marcelo Crivella (ainda não apresentado formalmente na CCJ do Senado) ao crime de "falsidade informática" - o substitutivo acrescenta o art. 154-C ao CP. Já no voto (em forma de substitutivo) do Sen. Hélio Costa, na Comissão de Educação, a mesma conduta recebe o nome de "fraude eletrônica". Embora com redações diferentes, ambas as propostas pretendem tipificar as condutas de fraudes na Internet, tais como "phishing" ou "scam".
(4) Que pode ser o seu próprio provedor de acesso à Internet, cujo servidor armazena em espaço em disco uma "caixa postal", onde ficam transitoriamente as mensagens até serem baixadas para o computador do usuário, que tem seu próprio programa gerenciador de e-mails (o Outlook Express, por exemplo), ou um provedor de serviços de webmail, onde as mensagens são armazenadas exclusivamente em seu servidor - o destinatário lê as mensagens na tela do programa que usa para navegar na Web. O Yahoo!, o Hotmail e o GMail são exemplos de provedores desses serviços de webmail. O internauta se conecta à rede Internet através de seu provedor de acesso e adentra nesses sites de serviços webmail pelo seu programa de navegação (browser). As mensagens que os usuários recebem ficam armazenadas de forma definitiva nos servidores desses prestadores de serviços.
(5) Nesse sentido é a posição defendida pelo Min. Castro Filho, do STJ, no artigo "Da Responsabilidade do Provedor de Internet nas relações de consumo", apoiando-se na opinião de Erica Barbagalo (Aspectos da Responsabilidade civil dos provedores de serviços de Internet, in LEMOS, Ronaldo (Org.). Conflitos sobre nomes de domínio: e outras questões jurídicas da Internet. São Paulo: Revista dos Tribunais, 2003, p. 345.
(6) http://gmail.google.com/
(7) O Google é uma das mais populares ferramentas de busca na Internet.
(8) O Yahoo! Mail utiliza a tecnologia patenteada como SpamGuard, que direciona automaticamente todas as mensagens de spam para uma pasta de "e-mails em massa".
(9) Enquanto o endereço de envio for o mesmo (assim como o domínio), o bloqueador baseado na informação do campo "De" é bastante efetivo.
(10) O Projeto de Lei n. 6.210/2002 apresentado na Câmara dos Deputados em 05.03.02, de autoria do Dep. Ivan Paixão (PPS-SE), trazia a seguinte disposição:
"§ 3º Não será responsabilizado pelo recebimento indevido de mensagem eletrônica não solicitada o provedor de acesso ou de serviço de correio eletrônico que tenha se utilizado, de boa fé, de todos os meios a seu alcance para bloquear a transmissão ou recepção da mensagem."
O projeto, no entanto, foi arquivado em 31 de janeiro de 2003. Ver informações a respeito no site da Câmara dos Deputados.
(11) As soluções técnicas, os filtros de spam, são soluções paliativas. Os programas de filtragem são constituídos de uma série de regras que visam a determinar a semelhança de uma mensagem analisada com um spam. Os programas são regulados para bloquear mensagens segundo alguns critérios pré-definidos, levando em conta, p. ex., se a mensagem é proveniente de alguns servidores listados como sendo de spammers, ou se é enviada para um número alto de destinatários, ou se contém certa palavra, entre outros padrões. Esses programas, contudo, são sempre limitados, e geralmente terminam filtrando mais mensagens do que o desejado.
(12) É nessa linha que se situam as leis alienígenas que regulam a atividade de envio de mensagens eletrônicas não solicitadas, a exemplo do CAN-Spam Act, a lei americana editada com a finalidade de combater o spam.
(13) Notícia publicada na eWeek.com (www.eweek.com), no dia 29.04.05, reporta provável ataque ao servidor da Network Solutions Inc., conhecido registrador de nome de domínios, através do qual hackers podem ter alterado as informações do endereço na Web da empresa Hushmail Communications Corp, de modo a redirecionar os visitantes da URL dessa empresa - hushmail.com - para um site falso.
(14) O sistema DNS é formado por uma rede global de servidores, compreendida de 13 servidores raiz espalhados pelo mundo. O original sistema de endereços usava apenas números, de difícil utilização portanto. A partir de 1984 foi introduzido o sistema DNS, permitindo aos usuários utilizar palavras (mais fácil de memorizar) e as organizando em forma de "nomes de domínio". Assim, todo endereço na web passou a ser formado por um nome de domínio (domain name), que tem que ser registrado num sistema central, de maneira a que corresponda a um número IP (Internet Protocol) - que é o endereço que realmente os computadores se utilizam para a troca de "pacotes" de informação entre eles. Portanto, a comunicação entre computadores ainda continua a se utilizar de números. Todo website tem um número de identificação único (número IP), através do qual o sistema o reconhece e direciona para ele a informação. Mas os internautas procuram endereços na web inserindo "nomes de domínio" na barra de seus programas navegadores. O servidor DNS faz a correspondência entre o nome de domínio e o respectivo IP, repassando a informação para o computador do internauta.
(15) Uniform Resource Locator, sigla que designa o endereço de um site na Web.
(16) Essa é também a opinião de Adalberto Simão Filho, para quem, após dissertar sobre a questão de invasão a sistema informático, conclui ser inaplicável a teoria do caso fortuito ou força maior. Para ele, em casos que tais, "...não se adapta nem à natureza jurídica específica do instituto e nem tampouco à visão compartimentada desenvolvida pela doutrina sobre os elementos que compõem as excludentes" (SIMÃO FILHO, Adalberto. Dano ao consumidor por invasão do site ou da rede: inaplicabilidade das excludentes de caso fortuito ou força maior. In: LUCCA, Newton de (Coord.). Direito e Internet: aspectos jurídicos relevantes. Bauru, SP: Edipro, 2000, p. 109.
(17) Por enquanto, a reação aos ataques tem sido a de desenvolver ferramentas de proteção. Existem no mercado uns plug-ins para programas de navegação (browsers) que alertam o internauta para spoof sites (tais como o "Netcraft", um tipo de plug-in para o Internet Explorer, e o "SpoofStick", plug-in para o Mozilla\'s Firefox).Também é recomendado que os internautas passem a usar browsers com sistemas de autenticação da identidade dos websites.
(18) Reportagem no site Securityinfowatch (www.securityinfowatch.com), de 08.04.05, relata que um tipo de trojan foi especialmente desenhado para aplicar golpes de pharming nos usuários do sistema eletrônico de pagamentos e-gold.com.
A categoria delituosa em questão consiste exatamente nisso: em "pescar" ou "fisgar" qualquer incauto ou pessoa desavisada, não acostumada com esse tipo de fraude, servindo a mensagem de e-mail como uma isca, uma forma de atrair a vítima para o site falso (onde será perpetrado o golpe, de furto de suas informações pessoais). O phishing, portanto, é uma modalidade de spam, em que a mensagem além de indesejada é também fraudulenta (scam)(3).
Muito dificilmente se pode invocar a responsabilidade do provedor de serviços de e-mail(4) pelos prejuízos sofridos por um usuário vítima desse tipo de golpe. Não só aqui como em outros países, a tendência tem sido a de isentar o provedor pelo conteúdo das informações que trafegam em seus sistemas, sobretudo quando postadas por terceiros com os quais não mantém vínculo contratual. Em relação aos serviços de e-mail, não se pode exigir que o provedor tenha uma obrigação de triagem das mensagens. Ainda que no caso de simples spams, o provedor não pode ser obrigado a indenizar por perdas e danos, mesmo quando as mensagens indesejadas conduzam vírus (em arquivos atachados), a menos que o contrato com o usuário contenha cláusula expressa nesse sentido, com a promessa de uso de sistemas especiais e infalíveis de filtragem (firewalls e outros sistemas de bloqueio)(5). Algumas mensagens de phishing sequer vêm acompanhadas de arquivos infectados (programas maliciosos ou vírus), daí que a idéia de imputação ao provedor de responsabilidade por falha de segurança fica ainda mais insustentável. Sem conter anexos, fica difícil para o provedor detectar a natureza delas (se fraudulentas ou não).
A única medida que parece razoável exigir por parte dos provedores (de serviços de e-mail), em matéria de phishing (e de um modo geral em relação a qualquer prática fraudulenta via spam), é que prestem informações aos seus usuários sobre essa prática, deixando bem claro até onde se responsabiliza e como configura seu servidor de e-mail, indicando as medidas e a tecnologia de que se vale para (se não evitá-las) minimizar suas conseqüências. A informação do usuário sobre as características fundamentais do funcionamento do serviço é de suma importância. Ele deve ser esclarecido sobre os aspectos técnicos dos serviços, tais como suas limitações e riscos a que pode ficar sujeito, a fim de que possa formar sua convicção e melhor exercer sua opção quanto à escolha da prestadora. Deve também o usuário ser devidamente orientado sobre cuidados imprescindíveis, visando à sua própria conduta, como as cautelas que deve ter com a utilização do serviço de e-mail.
O Gmail(6), serviço de webmail do Google(7), divulgou recentemente que está testando uma ferramenta desenhada para alertar seus usuários contra mensagens que aparentem ser ataques de phishing. Quando o usuário abre uma mensagem suspeita, a tela exibe um alerta. Trata-se de uma ferramenta que funciona com a mesma lógica dos instrumentos técnicos que operam contra o spam. Quando o time de técnicos do Gmail toma conhecimento de um determinado ataque de phishing, configura o sistema para que automaticamente identifique futuras mensagens semelhantes. Um tipo de filtro similar ao que automaticamente desvia as mensagens de spam para uma pasta específica - a mensagem não entra na "caixa de entrada" (ou "inbox"), faz com que o sistema mostre um aviso, alertando para a possibilidade de ataque phishing, de modo a que o usuário tome cuidados antes de clicar em um link e fornecer informações pessoais.
As políticas de combate à atuação de fraudadores, no sentido de criar barreiras ou algum tipo de proteção contra o phishing, não diferem muito das políticas que já são empregadas em relação ao spam em geral. E não poderia ser diferente, já que, como se disse, o phishing é uma modalidade mais letal de spam. As tecnologias disponíveis permitem um grau limitado de impedimento de chegada das mensagens fraudulentas à caixa postal dos usuários. Em geral, os prestadores de webmail divulgam um compromisso de combater o spam, através da utilização de filtros e outras ferramentas que se utilizam de inteligência artificial para apagar ou bloquear automaticamente mensagens não solicitadas(8). Outra técnica também bastante difundida é a de possibilitar que os próprios usuários bloqueiem certos endereços de e-mail. Ao receber múltiplas mensagens da mesma fonte, e desejando bloquear o endereço de envio, o usuário pode ativar um bloqueador para não receber e-mails daquele endereço ou domínio(9). Mas são sempre recursos limitados, que não garantem uma eficácia absoluta. A mesma dificuldade de natureza técnica se observa em relação ao phishing. As informações no site do Gmail deixam bem claro que o sistema anti-phishing não é infalível, tanto que possibilita ao usuário validar uma mensagem indicada como tal ou relatar uma tentativa de ataque não detectada.
Realmente, tendo em vista a natureza do serviço de e-mail e o atual estado da técnica referente às comunicações e transmissões eletrônicas de dados via Internet, não é razoável exigir que os provedores sejam responsabilizados pelos danos que mensagens de phishing (ou qualquer modalidade de spam) possam acarretar aos computadores dos usuários. O que é aceitável se esperar, em termos de conduta do provedor nessa matéria, é que empregue seus melhores esforços para assegurar que os serviços de e-mail funcionem da melhor forma e com o melhor padrão de segurança possível(10). Colocar a responsabilidade do controle das mensagens indesejadas e fraudulentas nos ombros do provedor pode, por outro lado, provocar conseqüências socialmente prejudiciais. Tal solução levaria os provedores a regular de forma mais rígida o controle dos filtros, aumentando as probabilidades de bloqueio de uma quantidade maior de mensagens lícitas(11), com o risco de liquidar ou prejudicar o valor real do e-mail como ferramenta de comunicação, comprometendo o desenvolvimento da Internet. Portanto, a política mais acertada é a da responsabilização penal e civil do phisher (ou spammer), e não do provedor(12).
Recentemente tem sido registrada, todavia, uma nova modalidade de ataque phishing que não é perpetrada através do envio de mensagens de e-mail, e em relação a qual se pode sustentar a responsabilidade do provedor. Trata-se de um tipo de golpe que redireciona os programas de navegação (browsers) dos internautas para sites falsos. A essa nova categoria de crime tem sido dado o nome de pharming.
O pharming opera pelo mesmo princípio do phishing, ou seja, fazendo os internautas pensarem que estão acessando um site legítimo, quando na verdade não estão. Mas ao contrário do phishing, o qual uma pessoa mais atenta pode evitar simplesmente não respondendo ao e-mail fraudulento, o pharming é praticamente impossível de ser detectado por um usuário comum da Internet, que não tenha maiores conhecimentos técnicos. Nesse novo tipo de fraude, os agentes criminosos se valem da disseminação de softwares maliciosos que alteram o funcionamento do programa de navegação (browser) da vítima. Quando esta tenta acessar um site de um banco, por exemplo, o navegador infectado a redireciona para o spoof site (o site falso com as mesmas características gráficas do site verdadeiro). No site falseado, então, ocorre a coleta das informações privadas e sensíveis da vítima, tais como números de cartões de crédito, contas bancárias e senhas.
No crime de pharming, como se nota, a vítima não recebe um e-mail fraudulento como passo inicial da execução, nem precisa clicar num link para ser levada ao site "clonado". Uma vez que seu computador esteja infectado pelo vírus, mesmo teclando o endereço (URL) correto do site que pretende acessar, o navegador a leva diretamente para site falseado. O pharming, portanto, é a nova geração do ataque de phishing, apenas sem o uso da "isca" (o e-mail com a mensagem enganosa). O vírus reescreve arquivos do PC que são utilizados para converter os endereços de Internet (URL´s) em números que formam os endereços IP (números decifráveis pelo computador). Assim, um computador com esses arquivos comprometidos, leva o internauta para o site falso, mesmo que este digite corretamente o endereço do site intencionado.
A mais preocupante forma de pharming, no entanto, é conhecida como "DNS poisoning" (traduzindo para o português, seria algo como "envenenamento do DNS"), por possibilitar um ataque em larga escala. Nessa modalidade, o ataque é dirigido a um servidor DNS(13), e não a um computador de um internauta isoladamente.
Como se sabe, o sistema DNS (Domain Name System) funciona como uma espécie de diretório de endereços da Internet. Toda navegação na Internet (no seu canal gráfico, a World Wide Web) tem que passar por um servidor DNS. Quando um internauta digita um determinado endereço web na barra de seu navegador (www.ibdi.org.br, por exemplo), o seu computador pessoal se comunica com o servidor do seu provedor local de acesso à Internet, em busca do número IP que corresponde àquele determinado endereço. Se o endereço procurado estiver armazenado no cache do servidor do provedor local, então ele mesmo direciona o programa de navegação para o endereço almejado ou, caso contrário, transfere a requisição para servidor de um provedor maior, e assim por diante, até encontrar aquele que reconheça o endereço procurado e faça a correspondência(14).
Um hacker pode invadir o servidor DNS de um provedor de acesso à Internet e alterar endereços arquivados na memória cache. Se o servidor é "envenenado", alteradas as configurações relativas a um determinado endereço web, internautas podem ser direcionados para um site falso mesmo teclando o endereço (URL)(15) correto. O ataque, assim praticado, produz resultados em muito maior escala do que a outra forma de pharming, em que os "pharmers" vitimam uma pessoa de cada vez, infectando os seus PC´s com vírus. O ataque ao servidor DNS de um provedor de Internet pode atingir inúmeros usuários de uma única vez.
O fato é que, se de um ataque a um servidor DNS resultar prejuízo efetivo ao usuário do provedor, este responde pela reparação completa. Se o usuário tiver suas informações colhidas no site falso, a que foi levado em função da alteração nas configurações do servidor DNS do seu provedor de acesso à Internet, pode pedir reparação dos danos que venham a resultar do uso indevido dessas informações. Se o "phisher" fizer uso do número de sua conta bancária e senha e sacar valores depositados em sua conta, é o provedor que teve o sistema invadido que deve reparar os prejuízos. A situação aqui é diferente da modalidade simples de ataque de phishing, onde a segurança dos serviços do provedor não é comprometida.
Como vimos acima, o estágio atual da técnica ainda não permitiu o desenvolvimento de uma ferramenta perfeita para identificar a natureza de uma mensagem de e-mail (se indesejada ou fraudulenta), daí porque não se concebe a responsabilização do provedor por mensagens de phishing que alcancem a caixa postal dos seus usuários. No entanto, a execução da fraude que se desenvolve sem o envio de mensagem fraudulenta à vítima (usuário do serviço de comunicação de e-mail), através de um ataque direto ao sistema informático (servidor DNS) do provedor, constitui evidente caso de falha de segurança, gerando a respectiva indenização por perdas e danos, se for o caso. Se a omissão na detecção de mensagem de spam ou phishing não pode ser enxergada como falha de segurança, o mesmo não se pode dizer quando a empresa prestadora de serviços de comunicação sofre um ataque em seu próprio sistema. Nesse último caso ocorre, sim, uma falha de segurança, uma invasão hacker ao sistema do provedor, com sua conseqüente responsabilização pelos danos resultantes para os usuários dos seus serviços.
O dano por falha de segurança, evidenciada na omissão ou negligência técnica do prestador de serviços na Internet em proteger seu sistema informático contra invasão hacker, configura hipótese de inadimplemento por culpa contratual do provedor. A segurança contratada pelo usuário, no que concerne à proteção do sistema contra invasões, deve ser eficaz e vista como absoluta, sendo indesculpável a quebra desse dever. É de se considerar que o prestador de serviços na Internet tem uma obrigação intrínseca quanto à segurança do sistema informático sob seu controle. Em caso de falha na preservação da segurança do sistema, concebe-se haver um descumprimento dessa obrigação contratual imanente, devendo responder pelas perdas e danos decorrentes (nos termos do art. 389 do C.C.). Configura hipótese de culpa contratual, respondendo o prestador de serviços de acesso à Internet pela reparação dos prejuízos causados em razão da falha de segurança, culpa que não admite atenuação sob argumento de ser a invasão hacker um evento imprevisível ou inevitável. Nessa matéria, não se pode pretender aplicar a teoria do caso fortuito ou força maior para justificar uma exclusão de responsabilidade. O provedor de serviços na Internet não pode alegar esse tipo de excludente pela razão de que uma invasão hacker a sistema informático não se enquadra no conceito de "fato necessário" impossível de ser evitado ou impedido (art. 393, par. únic., do C.C.). Os ataques hackers são freqüentes, daí porque não pode uma invasão realizada por meios eletrônicos ser vista como fato imprevisível ou imprevisto(16).
Do ponto de vista da relação de consumo, o serviço considera-se defeituoso sob a ótica do vício de funcionalidade, devendo o fornecedor (controlador do sistema informático) responder pelos danos decorrentes do vício. A falha na manutenção da segurança, caracterizada na invasão do sistema informático por terceiro, evidencia um vício de qualidade que torna o serviço (de acesso à Internet) impróprio ao consumo, respondendo o fornecedor pela reparação das perdas e danos (art. 20, II, do CDC). O consumidor dos serviços de acesso à Internet tem uma legítima expectativa de segurança, sendo impróprio para o consumo o serviço que frustre essa expectativa. A impropriedade do serviço por vício de inadequação ocorre sempre que se mostrar inadequado para atender "os fins que razoavelmente dele se espera" (art. 20, par. 2o., do CDC). O consumidor de serviço de comunicação informática tem uma garantia de adequação aos fins (aí incluída a expectativa de segurança) que dele (do serviço informático) razoavelmente se espera, garantia essa que independe de termo contratual expresso e da qual o fornecedor não pode se exonerar (arts. 24 e 25 do CDC). O vício de inadequação do serviço existirá sempre que a equipe de segurança do provedor não conseguir evitar que o autor da invasão produza danos ao seu consumidor.
O sistema DNS tem vulnerabilidades inerentes; por causa do seu desenho inicial, as falhas são utilizadas para o cometimento de uma extensa variedade de ataques. Alguns especialistas em segurança duvidam do grau de crescimento desses tipos de ataques, pois requerem um maior grau de conhecimentos técnicos para ser praticados, diferentemente da modalidade mais simples do phishing. Acreditam que os ataques ao sistema DNS não irão se tornar um problema massificado na rede, porque investidas desse tipo só podem ser feitas por criminosos com sofisticado nível de especialização e conhecimentos de telemática. Mas, como se sabe, o grau de dificuldade de um determinado tipo de invasão é o que estimula os hackers a tentarem realizá-la. Isso é o que preocupa.
As instituições bancárias é que estão mais preocupadas com esse tipo de crime. Cada vez mais questões de segurança ameaçam a confiança dos internautas no comércio on line. Se os riscos de segurança pesarem mais do que a conveniência de se fazer transações por meios eletrônicos, as pessoas podem se decidir por outros meios menos inseguros(17). Os sites de homebanking e sistemas de pagamento on line seriam os primeiros da lista a sofrer com a debandada(18).
Os provedores de Internet, mais do que os bancos, é que deveriam estar realmente preocupados. Pelo menos, em termos de indenização pelo pagamento dos prejuízos causados às vítimas, eles é que deverão ser responsabilizados.
Recife, 06.06.05.
Notas:
(1) As mensagens de phishing scam geralmente aparentam provenientes de uma fonte confiável. Os fraudadores manipulam o campo do cabeçalho da mensagem (campo "de:" ou "from:") com o nome do remetente, de forma a que o destinatário pense ser de fonte legítima.
(2) Esse tipo de atividade fraudulenta, em que se usam clones de websites com a aparência de sites respeitáveis, é também chamada de spoofing.
(3) Esse tipo penal, no projeto de crimes tecnológicos em tramitação no Congresso Nacional (PLC 89-2003 no Senado, PL 84/99 na Câmara), corresponde no substitutivo do Sen. Marcelo Crivella (ainda não apresentado formalmente na CCJ do Senado) ao crime de "falsidade informática" - o substitutivo acrescenta o art. 154-C ao CP. Já no voto (em forma de substitutivo) do Sen. Hélio Costa, na Comissão de Educação, a mesma conduta recebe o nome de "fraude eletrônica". Embora com redações diferentes, ambas as propostas pretendem tipificar as condutas de fraudes na Internet, tais como "phishing" ou "scam".
(4) Que pode ser o seu próprio provedor de acesso à Internet, cujo servidor armazena em espaço em disco uma "caixa postal", onde ficam transitoriamente as mensagens até serem baixadas para o computador do usuário, que tem seu próprio programa gerenciador de e-mails (o Outlook Express, por exemplo), ou um provedor de serviços de webmail, onde as mensagens são armazenadas exclusivamente em seu servidor - o destinatário lê as mensagens na tela do programa que usa para navegar na Web. O Yahoo!, o Hotmail e o GMail são exemplos de provedores desses serviços de webmail. O internauta se conecta à rede Internet através de seu provedor de acesso e adentra nesses sites de serviços webmail pelo seu programa de navegação (browser). As mensagens que os usuários recebem ficam armazenadas de forma definitiva nos servidores desses prestadores de serviços.
(5) Nesse sentido é a posição defendida pelo Min. Castro Filho, do STJ, no artigo "Da Responsabilidade do Provedor de Internet nas relações de consumo", apoiando-se na opinião de Erica Barbagalo (Aspectos da Responsabilidade civil dos provedores de serviços de Internet, in LEMOS, Ronaldo (Org.). Conflitos sobre nomes de domínio: e outras questões jurídicas da Internet. São Paulo: Revista dos Tribunais, 2003, p. 345.
(6) http://gmail.google.com/
(7) O Google é uma das mais populares ferramentas de busca na Internet.
(8) O Yahoo! Mail utiliza a tecnologia patenteada como SpamGuard, que direciona automaticamente todas as mensagens de spam para uma pasta de "e-mails em massa".
(9) Enquanto o endereço de envio for o mesmo (assim como o domínio), o bloqueador baseado na informação do campo "De" é bastante efetivo.
(10) O Projeto de Lei n. 6.210/2002 apresentado na Câmara dos Deputados em 05.03.02, de autoria do Dep. Ivan Paixão (PPS-SE), trazia a seguinte disposição:
"§ 3º Não será responsabilizado pelo recebimento indevido de mensagem eletrônica não solicitada o provedor de acesso ou de serviço de correio eletrônico que tenha se utilizado, de boa fé, de todos os meios a seu alcance para bloquear a transmissão ou recepção da mensagem."
O projeto, no entanto, foi arquivado em 31 de janeiro de 2003. Ver informações a respeito no site da Câmara dos Deputados.
(11) As soluções técnicas, os filtros de spam, são soluções paliativas. Os programas de filtragem são constituídos de uma série de regras que visam a determinar a semelhança de uma mensagem analisada com um spam. Os programas são regulados para bloquear mensagens segundo alguns critérios pré-definidos, levando em conta, p. ex., se a mensagem é proveniente de alguns servidores listados como sendo de spammers, ou se é enviada para um número alto de destinatários, ou se contém certa palavra, entre outros padrões. Esses programas, contudo, são sempre limitados, e geralmente terminam filtrando mais mensagens do que o desejado.
(12) É nessa linha que se situam as leis alienígenas que regulam a atividade de envio de mensagens eletrônicas não solicitadas, a exemplo do CAN-Spam Act, a lei americana editada com a finalidade de combater o spam.
(13) Notícia publicada na eWeek.com (www.eweek.com), no dia 29.04.05, reporta provável ataque ao servidor da Network Solutions Inc., conhecido registrador de nome de domínios, através do qual hackers podem ter alterado as informações do endereço na Web da empresa Hushmail Communications Corp, de modo a redirecionar os visitantes da URL dessa empresa - hushmail.com - para um site falso.
(14) O sistema DNS é formado por uma rede global de servidores, compreendida de 13 servidores raiz espalhados pelo mundo. O original sistema de endereços usava apenas números, de difícil utilização portanto. A partir de 1984 foi introduzido o sistema DNS, permitindo aos usuários utilizar palavras (mais fácil de memorizar) e as organizando em forma de "nomes de domínio". Assim, todo endereço na web passou a ser formado por um nome de domínio (domain name), que tem que ser registrado num sistema central, de maneira a que corresponda a um número IP (Internet Protocol) - que é o endereço que realmente os computadores se utilizam para a troca de "pacotes" de informação entre eles. Portanto, a comunicação entre computadores ainda continua a se utilizar de números. Todo website tem um número de identificação único (número IP), através do qual o sistema o reconhece e direciona para ele a informação. Mas os internautas procuram endereços na web inserindo "nomes de domínio" na barra de seus programas navegadores. O servidor DNS faz a correspondência entre o nome de domínio e o respectivo IP, repassando a informação para o computador do internauta.
(15) Uniform Resource Locator, sigla que designa o endereço de um site na Web.
(16) Essa é também a opinião de Adalberto Simão Filho, para quem, após dissertar sobre a questão de invasão a sistema informático, conclui ser inaplicável a teoria do caso fortuito ou força maior. Para ele, em casos que tais, "...não se adapta nem à natureza jurídica específica do instituto e nem tampouco à visão compartimentada desenvolvida pela doutrina sobre os elementos que compõem as excludentes" (SIMÃO FILHO, Adalberto. Dano ao consumidor por invasão do site ou da rede: inaplicabilidade das excludentes de caso fortuito ou força maior. In: LUCCA, Newton de (Coord.). Direito e Internet: aspectos jurídicos relevantes. Bauru, SP: Edipro, 2000, p. 109.
(17) Por enquanto, a reação aos ataques tem sido a de desenvolver ferramentas de proteção. Existem no mercado uns plug-ins para programas de navegação (browsers) que alertam o internauta para spoof sites (tais como o "Netcraft", um tipo de plug-in para o Internet Explorer, e o "SpoofStick", plug-in para o Mozilla\'s Firefox).Também é recomendado que os internautas passem a usar browsers com sistemas de autenticação da identidade dos websites.
(18) Reportagem no site Securityinfowatch (www.securityinfowatch.com), de 08.04.05, relata que um tipo de trojan foi especialmente desenhado para aplicar golpes de pharming nos usuários do sistema eletrônico de pagamentos e-gold.com.