Falsificação de Email

A falsificação de email é a criação de um cabeçalho de email com o intuito de enganar o destinatário, fazendo-o acreditar que o email veio de uma fonte diferente. Como os protocolos principais de email não têm um método de autenticação embutido, emails de spam e phishing usam frequentemente a falsificação para enganar o destinatário a confiar no remetente.

O objetivo final da falsificação de emails é fazer com que os destinatários os abram e, possivelmente, respondam a uma solicitação. Embora as mensagens falsificadas sejam geralmente apenas um incómodo que requer pouca ação além da remoção, as variedades mais maliciosas podem causar problemas significativos e, por vezes, representar uma verdadeira ameaça à segurança.

Um exemplo de um e-mail falsificado seria uma mensagem que pretende ser de um conhecido negócio de retalho, pedindo ao destinatário que forneça informações pessoais, como uma palavra-passe ou número de cartão de crédito. O e-mail falso pode até pedir ao destinatário para clicar num link que oferece um negócio por tempo limitado, que na verdade é um link para descarregar e instalar malware no dispositivo do destinatário.

• A falsificação de email é o processo de personificar um endereço de remetente de email confiável com o objetivo de mascarar a identidade de um cibercriminoso.
• O Simple Mail Transfer Protocol (SMTP) não possui autenticação de email, facilitando para os cibercriminosos a falsificação de endereços de email do remetente.
• Spoofing não deve ser confundido com phishing. Spoofing foca em mascarar a identidade do remetente, enquanto phishing foca em obter informações privadas.
• A falsificação de e-mail é uma tática usada na maioria dos ataques de phishing.
• Existem muitos sinais que os utilizadores finais podem procurar para identificar e-mails de spoofing. Educar os funcionários sobre esses sinais de alerta é muitas vezes a melhor linha de defesa contra estes ataques.

Ao explorar a falta de autenticação embutida nos protocolos de email principais, os cibercriminosos conceberam uma forma eficiente de usar o spoofing para enganar os destinatários a confiarem na origem de um email. Esta prática remonta à década de 1970, quando hackers exploraram vulnerabilidades em protocolos de email que não possuíam autenticação.

No entanto, a falsificação de e-mails só começou a ganhar força na década de 1990, quando os spammers começaram a usá-la para contornar filtros. Nos anos 2000, tornou-se uma ameaça global à cibersegurança.

Hoje, protocolos de segurança como o Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-Based Message Authentication, Reporting, and Conformance (DMARC) ajudam a combater a falsificação de e-mails. Apesar destes esforços, a falsificação de e-mails continua a ser um problema significativo. Continua a ser um vetor principal para fraudes de comprometimento de e-mail empresarial (BEC) e ataques de phishing, com Google a bloquear quase 100 milhões de e-mails de phishing diariamente.

O phishing é um ataque de engenharia social em que cibercriminosos tentam enganar indivíduos para revelar informações sensíveis, fazendo-se passar por uma entidade legítima, normalmente através de e-mails ou sites fraudulentos. O spoofing é uma técnica utilizada para disfarçar a identidade ou origem do remetente. É uma tática comum em phishing e outros ataques.

Aqui está uma comparação lado a lado de como o phishing e o spoofing se comparam:

Ataques de phishing têm como objetivo enganar os utilizadores para que divulguem dados pessoais ou realizem ações que beneficiem o atacante. Emails falsificados, que imitam fontes confiáveis, são frequentemente usados para tornar as tentativas de phishing mais convincentes. Enquanto o phishing tem como alvo principal a psicologia humana, o spoofing explora vulnerabilidades técnicas para contornar medidas de segurança.

O spoofing de email é possível porque o Simple Mail Transfer Protocol (SMTP) não fornece um mecanismo para autenticação de endereços. Embora protocolos e mecanismos de autenticação de endereços de email tenham sido desenvolvidos para combater o spoofing de email, a adoção desses mecanismos tem sido lenta.

O processo de falsificação de e-mails envolve normalmente os seguintes passos:

1. O atacante cria um email com um endereço de remetente falsificado.
2. Eles utilizam um servidor SMTP que não requer autenticação ou o seu próprio servidor SMTP.
3. O email é enviado através deste servidor, que não verifica a autenticidade do endereço do remetente.
4. O servidor receptor processa o email com base nas informações nos cabeçalhos, que parecem legítimos.

Embora os protocolos de autenticação como SPF, DKIM e DMARC tenham sido desenvolvidos para impedir spoofing, a sua adoção tem sido gradual. Estes protocolos funcionam permitindo que os proprietários de domínios especifiquem quais servidores de correio estão autorizados a enviar e-mails em seu nome e proporcionando assinaturas criptográficas para verificar a identidade do remetente.

Exemplo: Vamos supor que um falsificador de e-mails queira assumir a identidade de um banco. Eles podem criar um e-mail com as seguintes informações de cabeçalho:

Texto

De: customerservice@legitbank.com
Para: victim@email.com
Assunto: Urgente: Atualização de Segurança da Conta

O atacante então envia este email através de um servidor SMTP que não autentica o remetente. Quando a vítima recebe o email, parece vir do departamento de atendimento ao cliente do seu banco. A mensagem pode conter um link de phishing ou solicitar informações sensíveis, explorando a confiança associada ao endereço falsificado.

Para se protegerem contra tais cenários, os fornecedores de email e as organizações estão a implementar cada vez mais protocolos de autenticação. No entanto, a eficácia destas medidas depende da adoção generalizada e de uma configuração adequada. Os utilizadores podem proteger-se ao serem cautelosos com emails inesperados, verificando os endereços dos remetentes e não clicando em links ou anexos suspeitos.

 

Embora seja mais frequentemente usado para fins de phishing, na verdade existem várias razões para falsificar endereços de remetentes. Incluem:

• Ocultar a verdadeira identidade do remetente. No entanto, se este for o único objetivo, pode ser alcançado mais facilmente registando endereços de e-mail anónimos.
• Evitar listas de bloqueio de spam. Se um remetente estiver a enviar spam, será bloqueado rapidamente. Uma solução simples para este problema é falsificar endereços de email.
• Fingindo ser alguém que o destinatário conhece. Um atacante pode fazer isso para explorar a confiança da vítima em um conhecido e pedir informações sensíveis ou acesso a bens pessoais.
• Fingindo ser de uma empresa com a qual o destinatário tem uma relação. O objetivo aqui é obter detalhes de login bancário ou outros dados pessoais.
• Manchar a imagem do remetente assumido. Isto pode envolver um ataque ao caráter que pinta o suposto remetente de forma negativa.
• Cometer roubo de identidade. Um exemplo pode ser um pedido de informações das contas financeiras ou de saúde da vítima.

Aqui está uma lista de características que podem indicar que recebeu um email de spoofing:

• Endereço de email do remetente suspeito que não corresponde à identidade alegada (por exemplo, um email que alega ser do Venmo com um endereço de venmo_security@outlook.com em vez de um domínio legítimo do Venmo)
• Nome de exibição que é inconsistente com o endereço de email real (por exemplo, um email de "Jonathan Simpson" vindo de um endereço de email como bill.smith@gmail.com)
• Linguagem urgente ou ameaçadora criando uma sensação de pressão
• Pedidos de informações sensíveis como palavras-passe ou detalhes financeiros
• Anexos ou links inesperados
• Gramática pobre, erros ortográficos ou frases incomuns
• Saudações genéricas em vez de personalizadas (por exemplo, "Caro Cliente Valorizado" ou "Caro Utilizador")
• Logótipos e marcas incorretos ou incompatíveis
• Horários de envio invulgares, especialmente fora do horário comercial
• Pedidos para contornar os procedimentos de segurança normais
• Inconsistências em relação a comunicações anteriores do suposto remetente
• Cabeçalhos de email mostrando informações de encaminhamento inesperadas (por exemplo, cabeçalhos que mostram que o email foi encaminhado através de vários países, embora o remetente supostamente seja local)
• Links que, quando sobrevoados, revelam URLs suspeitas (por exemplo, domínios mal escritos ou URLs longas e excessivamente complexas)
• O uso de domínios de email públicos (e.g., gmail.com) para comunicações oficiais de negócios

Desde que o protocolo de email SMTP não possui autenticação, historicamente tem sido fácil falsificar o endereço de um remetente. Como resultado, a maioria dos fornecedores de email tornaram-se especialistas em detectar e alertar os utilizadores sobre spam em vez de o rejeitar completamente.

Outras proteções incluem os quadros anteriormente mencionados que facilitam a autenticação de mensagens recebidas:

• SPF (Sender Policy Framework): Isto ajuda a combater spoofing de domínio verificando se um determinado IP pode enviar emails de um dado domínio. O SPF pode levar a falsos positivos, mas ainda assim requer que o servidor de receção verifique um registo SPF e valide o remetente do email.
• DKIM (Domain Key Identified Mail): Este método utiliza um par de chaves criptográficas para assinar mensagens de saída e validar mensagens recebidas. No entanto, como o DKIM é usado apenas para assinar partes específicas de uma mensagem, a mensagem pode ser encaminhada sem quebrar a validade da assinatura. Esta técnica é referida como um "ataque de repetição."
• DMARC (Autenticação, Relatório e Conformidade de Mensagens Baseadas em Domínio): Este método dá ao remetente a opção de informar ao destinatário se o seu email está protegido por SPF ou DKIM, e quais ações tomar ao lidar com emails que falham na autenticação. O DMARC ainda não é amplamente utilizado.

A falsificação de emails nem sempre é fácil de identificar. No entanto, com a formação adequada para identificar emails falsificados e compreender as nuances da segurança de emails, as organizações podem proteger a sua infraestrutura digital e dados valiosos deste vetor de ataque popular.

Não sabe por onde começar? Nunca é demais procurar os conselhos de especialistas em email security. Deixe que a equipa Barracuda ponha o nosso conhecimento aprofundado em cibersegurança a trabalhar para si. Agende hoje a sua demonstração de Email Protection demo today e deixe-nos guiá-lo para comunicações mais seguras.