Algumas das maiores empresas mundiais de internet e de finanças desenvolveram uma nova abordagem para combater o spam, com a esperança de reduzir as trapaças on-line e via e-mail.
Facebook, Google e Microsoft se aliaram aos grupos financeiros Bank of America, Fidelity Investments e à divisão PayPal do eBay a fim de criar padrões setoriais que impeçam criminosos de enviar mensagens de spam que parecem ter por origem endereços de e-mail de empresas.
Trapaceiros muitas vezes assumem a identidade de bancos e outras empresas de confiança em seus esforços para persuadir destinatários de e-mail a revelar números de cartões de crédito, informações sobre contas bancárias e outros dados pessoais, ou clicar em links que infectariam seus computadores com software nocivo.
A nova abordagem prevê que os serviços de e-mail e empresas ataquem os praticantes de spam por meio da coordenação do uso de duas tecnologias existentes de autenticação de e-mail, conhecidas pelas siglas SPF e DKIM, que ainda não foram adotadas em larga escala.
O PayPal é uma das empresas que já utilizam as tecnologias SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) para combater trapaças via e-mail, mas apenas por meio de parcerias com o Yahoo! e Google, disse Brett McDowell, gerente de segurança do PayPal e presidente do grupo de trabalho que desenvolveu o novo padrão.
O grupo é conhecido como DMARC.org, ou Domain-based Message Authentication, Reporting and Conformance.
Se o Yahoo ou o Google recebem um e-mail que alega o PayPal como origem mas não conta com a devida autenticação via SPF ou DKIM, a mensagem não é entregue. Mas, caso a mensagem tenha sido encaminhada a outros serviços de e-mail, pode ser aceita.
O que precisamos é de um padrão para toda a Internet que permita esse nível de proteção em larga escala, sem necessidade de quaisquer discussões ou acordos de parceria.
Essa é a proposta de trabalho da DMARC.
Outras empresas envolvidas no projeto são American Greetings, LinkedIn e Yahoo, além de Agari, Cloudmark, eCert, Return Path e Trusted Domain Project.
Michael Versace, analista de segurança da IDC, disse que a abordagem recomendada pelo grupo parece efetiva e de baixo custo.
Mas ponderou que o setor precisa continuar desenvolvendo tecnologias de combate a spam, prevendo que os cibercriminosos desenvolvam formas de contornar as proteções da DMARC.