Publico a cópia de um e-mail que enviei como resposta a algo que, graças à Web Social federada, tem me deixado encafifado em outros contextos. Talvez possa vir a ser útil como inspiração ou cópia em situações similares. Foi reação a uma mensagem recebida pela lista geral de servidores do órgão para o qual trabalho, com apenas uma imagem contendo texto:

Caros(as) colegas da Comissão de Ética da [universidade],

Desde logo, muito obrigado pelo texto inspirador.

Escrevo esta mensagem na esperança de gerar reflexão a respeito de qual seria a necessidade de converter um texto para imagem antes de transmiti-lo, tanto do ponto de vista da eficiência computacional quanto da acessibilidade universal.

Quantos caracteres teria o texto de uma lauda? Talvez, cerca de dois mil? Supondo essa quantidade, o arquivo em questão, no formato JPEG, resultado de compressão com perdas, com cerca de 800kB, ocupa, em tese, quatrocentas vezes mais que o texto original, potencialmente em cada caixa destinatária de correio eletrônico e outros locais. Ao ser aberta e carregada na memória do computador cliente, na realidade essa imagem possui cerca de 20MB de dados, dez mil vezes mais do que o texto. Antes mesmo disso, para gerar a imagem e comprimi-la, houve um considerável processamento, leia-se energia/água, que não seria necessário caso o texto tivesse sido diretamente transmitido, assim como também há para abri-la em cada destino.

A principal questão aqui, todavia, da forma como está, é a dificuldade ou impossibilidade de acesso ao conteúdo por quem não puder ver a imagem, por qualquer razão. Um texto puro tem condições de ser lido de diversas maneiras em dispositivos bem mais simples e, também, por intermédio de mecanismos de “texto para voz” (TTS). Não sou especialista em acessibilidade e nem necessito seu uso no momento, felizmente, além de também estar diante de um equipamento capaz de exibir imagens. Mesmo assim, solidário às necessidades de outras pessoas, tenho aderido à ideia de contribuirmos com a universalização do acesso ao conhecimento com algo tão simples como isto: transmitir texto e descrever imagens.

Caso entendam a matéria relevante, além de adotarem a ideia, fica ainda como sugestão de pauta para alguma publicação futura.

At.te,

#acessibilidadade #ética #universidade #email

🇧🇷🇵🇹 Este blogue © 2023-25 por Daltux é publicado sob a licença CC BY-SA 4.0.
🇨🇦🇬🇧 This blog © 2023-25 by Daltux is licensed under CC BY-SA 4.0.  🅭 🅯 🄎

As corporações, financeiras em especial, acabam mais confundindo os usuários do que ajudando sua conscientização sobre phishing em correio eletrônico. Eis uma tentativa de explicar como foi chegar a essa conclusão:

É sabido que, ao ler uma mensagem, não convém abrir um link para domínio suspeito, ou seja, diverso daquele já conhecido do remetente. Contudo, fica consideravelente mais complicado para leigos lidarem com isso enquanto praticamente todas as mensagens reais remetidas por grandes empresas contêm rastreadores diversos. Esses rastreadores geralmente são usados no intuito de registrar, no mínimo, quem, quando, em que condições e de que origem abriu qual ligação. Pior ainda, algumas vezes essas mensagens chegam a utilizar a mesmíssima ardilosa técnica do phishing: deixam visível no texto da ligação um endereço que claramente seria institucional, quando, no fundo, ela faz referência a outro — de rastreamento. O endereço real normalmente fica oculto. Quando você aciona a ligação e acaba parando na página de destino, mesmo que esta seja correta, pode sequer ter ciência de que passou pelo rastreador intermediário, exceto se prestar atenção ao canto da tela antes de clicar. Isso, pelo menos, é mais fácil perceber em cliente de e-mail ou navegador da Web no computador, digamos, tradicional. Já quando a mensagem é lida em tornozeleira eletrônica de bolso 📱, a pessoa incauta dificilmente nota isso, a não ser que tome precauções ligeiramente mais trabalhosas.

Exemplo de trecho visível de mensagem sobre onde baixar relatórios de rendimentos:

Acesse nosso portal: https://dominioCorretoDaCorporacao.exemplo

Porém, na realidade, tecnicamente falando, a mensagem que aparece poderia ser o resultado da formatação do seguinte trecho de HTML:

Acesse nosso portal: <a href="https://track.qqcoisa.exemplo/BlaBlaBla">https://dominioCorretoDaCorporacao.exemplo</a>

Ao clicar em https://dominioCorretoDaCorporacao.exemplo e possivelmente achando que vai abri-lo diretameente, na prática saria aberto primeiro o endereço https://track.qqcoisa.com/BlaBlaBla que, sendo um rastreador “legítimo”, poderia fazer, além do registro do acesso, o redirecionamento para o tal portal.

Algumas organizações não terceirizam o rastreamento, porém, mesmo assim, realizam o embuste de exibir um endereço que vai dar em outro, ainda que em domínio da própria instituição.

Como fica a cabeça de uma pessoa sem experiência? “Devo clicar ali mesmo senão vou ficar sem a informação” ou “corre que é cilada, Bino”? É fácil dizer que deve procurar pela informação diretamente na página oficial previamente conhecida das instituições. Será que vai mesmo? E como? A probabilidade de deslizes ao consultar notórios mecanismos de busca na Web também não deve ser menosprezada.

A maneira mais segura para identificar o conteúdo ardiloso seria, provavelmente, abrir as mensagens sempre em formato de texto simples. Por que quase todos os leitores de e-mail, sejam eles dedicados ou na Web, formatam as mensagens HTML por padrão? Você sabe como configurar isso no seu? E não vai voltar atrás quando constatar que a maioria das mensagens dessas empresas fica ilegível? Elas realmente não facilitam.

O pessoal acaba ficando cada vez mais receoso com o correio eletrônico — ferramenta que, concebida e em uso há tanto tempo, embora não seja perfeita, serve bem a seus propósitos de forma descentralizada — e acha que deve se comunicar apenas por algum mensageiro instantâneo ou plataforma de publicidade direcionada privativos de liberdade na moda.

Enfim, sem as organizações que mais enviam mensagens supostamente legítimas colaborarem, o oceano de incautos para pescaria por mensagens mal intencionadas permanecerá vasto mesmo.

#phishing #infoSec #engenhariaSocial #segurança #email #golpes

🇧🇷🇵🇹 Este blogue © 2023-25 por Daltux é publicado sob a licença CC BY-SA 4.0.
🇨🇦🇬🇧 This blog © 2023-25 by Daltux is licensed under CC BY-SA 4.0.  🅭 🅯 🄎