O que é falsificação de e-mail?

Falsificação de e-mail é a criação de e-mails com um endereço de remetente falsificado. Como os principais protocolos de e-mail não têm autenticação, ataques de phishing e e-mails de spam podem falsificar o cabeçalho do e-mail para enganar o destinatário sobre o remetente do e-mail.

O objetivo da falsificação de e-mail é fazer com que os destinatários abram, respondam e interajam com a mensagem de e-mail. A falsificação de e-mail pode aumentar muito a eficácia do phishing e de outros ataques cibernéticos baseados em e-mail, induzindo o destinatário a confiar no e-mail e em seu remetente. Embora os e-mails falsificados exijam pouca ação além da remoção, eles são um risco de segurança cibernética que precisa ser abordado.

Por exemplo, ataques de phishing usados em comprometimentos de e-mail comercial (BEC) podem fingir ser do CEO ou CFO de sua organização e solicitar que uma transferência eletrônica seja enviada a um fornecedor em um país estrangeiro. E-mails falsos ou ataques de falsificação de identidade também podem ser usados por cibercriminosos para coletar informações confidenciais, como números de cartão de crédito e informações pessoais para roubo de identidade.

Por que o spoofing de e-mail é possível?

A falsificação de e-mail é possível porque o SMTP não fornece um método de autenticação. Hoje, existem protocolos de autenticação de endereço de e-mail para combater a falsificação de e-mail. No entanto, sua adoção tem sido lenta.

Quais são os motivos para falsificação de e-mail?

Existem vários motivos pelos quais os cibercriminosos podem falsificar um endereço de remetente, incluindo:

• Para ocultar a verdadeira identidade do remetente do e-mail: Isso também pode ser feito registrando um endereço de e-mail anônimo, mas geralmente é usado como parte de outro ataque cibernético ou golpe.
• Evite listas negras de spam: os spammers usarão endereços de e-mail falsos para evitar filtros de spam. Esse risco é mitigado pelo fato de você poder colocar endereços IP ou ISPs específicos na lista negra.
• Finja ser uma pessoa confiável: os golpistas usam o spoofing de e-mail para fingir ser um amigo ou colega pedindo que você empreste dinheiro a eles.
• Finja ser uma organização confiável: e-mails falsificados de instituições financeiras podem levar a páginas de phishing projetadas para obter acesso a contas bancárias e números de cartão de crédito.
• Para manchar a reputação do remetente: A falsificação de e-mail pode ser usada para manchar a reputação de uma organização ou pessoa.
• Para cometer roubo de identidade: o invasor pode solicitar acesso a informações de identificação pessoal (PII) fingindo estar usando a conta de e-mail da vítima.
• Para espalhar malware: Ao falsificar o endereço de e-mail, é mais provável que o destinatário abra o e-mail e qualquer anexo que possa conter um tipo de malware como ransomware, como o WannaCry. É por isso que o software antimalware e a segurança de rede são uma parte importante de qualquer estratégia de segurança cibernética.
• Como parte de um ataque man-in-the-middle: os criminosos cibernéticos podem usar a falsificação de e-mail como parte de um ataque man-in-the-middle sofisticado projetado para capturar informações confidenciais ou segredos comerciais de sua organização como parte da espionagem corporativa.
• Para obter acesso às suas informações confidenciais de fornecedores terceirizados: A segurança de e-mail deve fazer parte da estrutura de gerenciamento de riscos do fornecedor e de terceiros. Se seus fornecedores tiverem acesso aos dados do cliente, é tão importante para eles evitar a falsificação de e-mail quanto para você. A falsificação de e-mail é um risco de terceiros e um risco de terceiros.

Como parar a falsificação de e-mail

Embora o Simple Mail Transfer Protocol (SMTP) não tenha autenticação, agora existem várias estruturas projetadas para autenticar e-mails recebidos:

• Sender Policy Framework (SPF): o SPF verifica se um determinado endereço IP está autorizado a enviar e-mails de um determinado nome de domínio. O SPF pode levar a falsos positivos e exige que o servidor receptor verifique um registro SPF e valide o remetente. A implementação do SPF requer a publicação de novos registros DNS.
• Domain Key Identified Mail (DKIM): O DKIM usa um par de chaves criptográficas que assinam mensagens enviadas e validam as mensagens recebidas. No entanto, o DKIM é usado apenas para assinar partes específicas de uma mensagem, permitindo que as mensagens sejam encaminhadas sem quebrar a validade da assinatura. Isso é conhecido como ataque de repetição. Assim como o SPF, o DKIM requer a publicação de novos registros DNS.
• Autenticação, relatório e conformidade de mensagens baseadas em domínio (DMARC): o DMARC oferece ao remetente a opção de informar ao destinatário que está protegido por SPF ou DKIM e o que fazer quando o e-mail falha na autenticação. Assim como acontece com o SPF e o DKIM, o DMARC depende de registros DNS.
• ID do remetente: o ID do remetente é uma proposta anti-spoofing do grupo de trabalho MARID IETF que tentou unir o SPF e o identificador de chamadas. Ele é fortemente baseado no SPF com algumas melhorias, ou seja, verificando os cabeçalhos das mensagens que indicam o remetente reivindicado, em vez de apenas o endereço MAIL FROM:.
• SSL/TLS: Na prática, o sistema SSL/TLS pode ser usado para criptografar o tráfego de e-mail de servidor para servidor e impor a autenticação, mas na prática raramente é usado.

Além disso, provedores de e-mail e clientes de e-mail como o Gmail do Google e o Outlook da Microsoft têm segurança de e-mail integrada que detecta e alerta os usuários sobre possíveis falsificações de spam e e-mail. Se o seu serviço de e-mail sinalizar algo como spam ou uma tentativa de phishing, há uma boa chance de que esteja correto.

Dito isso, esteja ciente de que e-mails legítimos podem falhar em uma ou mais dessas verificações. Isso pode ocorrer porque alguém não conseguiu configurar algo corretamente ou seu e-mail foi manipulado incorretamente.

O principal risco para essas estruturas é sua dependência do DNS. Um invasor pode obter acesso ao DNS de um remetente e enviar e-mails falsificados que parecem legítimos até mesmo para verificações SPF, DKIM e DMARC. É por isso que o DNSSEC, a prevenção do sequestro de domínio e o treinamento de conscientização sobre segurança cibernética são importantes.

Como usar o SPF (Sender Policy Framework)

Os remetentes habilitam o SPF para seu domínio criando pelo menos um registro TXT DNS. Ao criar o registro SPF, você precisa ter quais servidores de e-mail deseja usar e seus endereços IP públicos.

Um registro SPF pode ter esta aparência:

com. NO TXT "v=spf1 -all"

com. IN TXT "v=spf1 a ip4: 192.168.1.1. -tudo"

Como usar o DKIM (Domain Key Identified Mail)

O DKIM é mais difícil de configurar do que o SPF. Requer uma modificação no servidor de e-mail do remetente. O remetente cria um par de chaves criptográficas pública/privada, instala-o em seu servidor de e-mail e, em seguida, cria um registro TXT DNS que contém sua chave pública.

Cada e-mail enviado é assinado pela chave privada, permitindo que os destinatários verifiquem a autenticidade do e-mail usando a chave pública.

Um registro TXT DNS DKIM pode ter esta aparência:

Como usar a autenticação, o relatório e a conformidade de mensagens baseadas em domínio (DMARC)

O DMARC pode mostrar se o remetente usa SPF e DKIM e como o remetente recomenda que o destinatário trate e-mails com falha/falsificados que afirmam ser do domínio do remetente. Assim como o SPF e o DKIM, o DMARC é configurado no DNS como um registro TXT pelo remetente.

Um registro TXT DNS DMARC pode ter esta aparência:

TXT IN "v=DMARC1; p=rejeitar; pct=100; rua=mailto:dmarccheck@example.com; "

O campo p indica como o remetente deseja que os destinatários tratem e-mails falsificados. P pode ser um dos três valores:

1. Nenhum: nenhum tratamento especial para e-mails com falha
2. Quarentena: tratar como suspeito, por exemplo, enviar para spam
3. Rejeitar: Rejeite e-mails no servidor antes que eles cheguem ao cliente de e-mail.

Embora a rejeição possa parecer a mais lógica, é recomendável usar a quarentena, pois os e-mails legítimos podem falhar nas verificações do DMARC por vários motivos.

Como funciona o spoofing de e-mail?

Quando um e-mail SMTP é enviado, a conexão inicial fornece duas informações de endereço:

1. MAIL FROM: Apresentado ao destinatário como o cabeçalho Return-path:, mas normalmente não visível para o usuário final. Por padrão, nenhuma verificação é executada para autorizar a autenticidade do endereço.
2. RCPT TO: Especifica para qual endereço de e-mail o e-mail é entregue e normalmente não é visível para o usuário final, mas pode estar presente nos cabeçalhos como parte do cabeçalho Received:.

Juntos, eles são chamados de endereçamento de envelope, uma analogia aos envelopes de papel tradicionais. Cabe ao servidor de e-mail receptor (e não ao remetente) sinalizar que há um problema com o endereçamento do envelope.

A menos que o servidor de e-mail de recebimento sinalize que há um problema, o sistema de envio enviará o comando DATA com vários itens de cabeçalho, incluindo:

• DE: Jane Doe <janedoe@example.com>, os programas de e-mail mostram isso ao destinatário, mas nenhuma verificação padrão é feita de que o sistema de envio está autorizado a enviar do endereço.
• RESPONDER PARA: Jane Doe <janedoe@example.net>, também não tem verificações padrão.

O resultado é que o destinatário do e-mail vê o e-mail proveniente do endereço no cabeçalho FROM: e, se responder ao e-mail, ele irá para o endereço no cabeçalho FROM ou REPLY-TO:. O problema é que nenhum desses endereços é autenticado e pode ser falsificado.

O endereço IP do remetente é uma maneira de identificar um e-mail como uma ameaça cibernética se o endereço IP for conhecido por ser malicioso, pois pode ser acessado no cabeçalho RECEIVED:. No entanto, terceiros infectados por malware geralmente podem enviar o e-mail sem o conhecimento do proprietário.