Coincidência ou não, nesta semana do ataque de ransomware ao grupo Impresa vi-me na necessidade de criar conta nos CTT. Como boa informação contribui para prevenção, vejamos alguns exemplos de comunicação pobre da entidade para o utilizador no âmbito da fraude online.
Infelizmente, o nome e marca dos CTT são frequentemente utilizados por cibercriminosos para campanhas fraudulentas (sobretudo phishing), pelo que se torna necessário informar os utilizadores, sempre que possível, de novas campanhas fraudulentas. Os CTT têm uma uma página para esse efeito:
Na mesma página, na pestana ao lado, têm também uma secção sobre “Como detetar e proceder” e que inclui dicas de prevenção e protecção no caso de nos depararmos com alguma iniciativa suspeita (ou já termos sido vítimas):
Em primeiro lugar, é de aplaudir qualquer iniciativa de prevenção e reconhecimento deste tipo de crime. No entanto, é no conteúdo e na forma de comunicação dos CTT que encontramos um ou outro ponto a melhorar.
Logótipos: Um email que contenha logótipos de tamanho irregular ou alterado;
Primeiro, como é que o utilizador sabe se o logótipo tem o formato correcto? O que constitui um “tamanho irregular ou alterado”? Segundo, porque é que tem de saber? Os utilizadores não trabalham na equipa de branding dos CTT.
Erros Gramaticais: Erros gramaticais e o uso excessivo de pontos de exclamação; Erros Ortográficos: Palavras escritas de forma incorrecta;
Regra geral, são boas dicas: cibercriminosos parecem optar por quantidade e não qualidade, sendo comum não haver uma revisão do texto da campanha fraudulenta (se é que falam a mesma língua). Consequentemente, o mesmo poderá apresentar erros. Notem que sublinhei poderá. Tal como um site com HTTPS pode ser seguro, também um cibercriminoso pode saber escrever bem.
Isto para dizer que as dicas dos CTT são um pouco ambíguas ou específicas, o que pode vir a criar falsos alertas na mente do utilizador. E se um dia os CTT enviam uma comunicação onde escreve “Bom Ano!!!”, esse email é suspeito? Três pontos de exclamação são uso excessivo? E porquê apenas pontos de exclamação?
Estão a deixar a responsabilidade do controlo qualitativo de uma comunicação ao critério dos destinatários.
Falhas de comunicação: Um email que não fornece um método alternativo para comunicar a informação solicitada (ou seja, telefone, correio ou locais físicos);
Pode ser só de mim mas esta regra não é muito perceptível. Da forma como interpreto, um email pode respeitar esta regra e ser na mesma fraudulento. A comunicação para educar sobre fraude tem de ser explícita, objectiva e simples, pelo que esta regra não me ajuda muito.
Link Fraudulento: Links que aparentam direcioná-lo para um site conhecido e seguro, mas na realidade, encaminha-o para outro local, potencialmente, fraudulento. Todos os links CTT começam por www.ctt.pt.
Esta é também uma boa dica, embora delicada.
Primeiro, há que entender o que é um link fraudulento. É um fraudulento porque parece fraudulento, ou porque leva a conteúdo fraudulento? Que critério objectivo posso utilizar para saber chegar à conclusão se um link é ou não fraudulento? Para este efeito, os CTT ajudam-nos com a definição que pode resumir-se da seguinte maneira: “links que aparentam ser seguros mas na realidade não o são”. Vago?
Estamos a assumir que os utilizadores sabem identificar links maliciosos. Contudo, os CTT partilham a seguinte regra: “Todos os links CTT começam por www.ctt.pt”. Embora a primeira frase seja vaga, com a segunda já tenho uma ferramenta útil: se não contém ‘www.ctt.pt’ é porque é fraude.
Por conseguinte, os sites portagens.ctt.pt ou appserver.ctt.pt são fraudulentos. Ou qualquer um dos seguintes:
- talks.ctt.pt
- enviosecommerce.ctt.pt
- comerciolocal.ctt.pt
- cttnow.ctt.pt
- autodiscover.ctt.pt
- relatoriointegrado.ctt.pt
- relatoriointegrado2019.ctt.pt
- stico.ctt.pt
- sticoesuc.ctt.pt
- sticoesuc2.ctt.pt
- developer.ctt.pt
- developer.qa.ctt.pt
Estes sites só podem ser fraudulentos porque não “começam com www.ctt.pt”. Só que não são fraudulentos: são subdomínios legítimos da empresa.
Ou seja, a regra é boa mas está mal escrita. Poderia ser, por exemplo: “todos os links CTT pertencem exclusivamente ao domínio ctt.pt”. Em seguida, poderiam informar que existem vários subdomínios CTT e partilhar aqueles que os utilizadores encontram nas suas interacções com a empresa (como portagens.ctt.pt ou appserver.ctt.pt, por exemplo).
Vejamos por outra perspectiva: nem toda a gente sabe ou está atenta a subdomínios, ao domínio ou ao TLD de um website.
Embora a regra dos CTT seja objectiva, pode criar confusão na mente dos utilizadores porque ao pagar portagens vão ver portagens.ctt.pt (legítimo), e quando acedem à sua área de cliente vão estar em appserver.ctt.pt.
Com isto arriscamos descredibilizar a própria regra na mente do utilizador, o que pode ser aproveitado por cibercriminosos. Estes podem adquirir alguns domínios parecidos de modo a aproveitarem-se dos mais distraídos:
1 Euro aqui… 
…1 Euro ali
Se um cibercriminoso criar uma réplica exacta do site dos CTT em www.ctt-pt.pt, por exemplo, os mais distraídos poderão ser vítimas de uma campanha de phishing.
Do lado da empresa, assegurar que se adquire estes domínios e/ou se investe numa ferramenta de monitorização de domínios (para verificar novos domínios com a nossa marca) são custos justificáveis, sobretudo no caso de empresas grandes.
Alguns deveres da organização
A entidade tem, obviamente, vários deveres que vão muito além do dever de prestar informação de qualidade aos seus utilizadores. Um deles é comunicar em segurança.
Eis o email que actualmente é enviado a quem se regista na plataforma online dos CTT:
Ou seja, por um lado, os utilizadores têm de possuir conhecimentos suficientes para reconhecer logótipos com formato irregular ou links fraudulentos. Por outro, os CTT “podem” enviar emails de forma insegura.
Mesmo que seja um problema temporário e amanhã o email já seja enviado de forma segura, as organizações têm o dever de assegurar que todos os processos que envolvam contacto com os utilizadores são realizados de forma segura e estão operacionais.
Ninguém gosta muito deste tipo de tarefas robóticas mas é muito importante testar todos os processos que envolvem comunicação e/ou interacção com utilizadores finais (clientes ou não) regularmente, de modo a identificar lapsos ou erros e corrigi-los rapidamente.
E é tudo… Se me escapou algum detalhe, viu alguma informação inconsistente ou incorrecta, quiser partilhar dicas úteis ou apenas deixar feedback, por favor utilize os comentários abaixo.
Obrigado por ler e desde já um feliz 2022, dentro do possível.