O que é segurança de e-mail?

Segurança de e-mail é a prática de evitar ataques cibernéticos baseados em e-mail, proteger contas de e-mail contra a invasão e proteger o conteúdo de e-mails. A segurança de e-mail é multifacetada e pode exigir várias camadas diferentes de proteção.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir segurança do e-mail
  • Descrever os ataques por e-mail mais comuns

Copiar o link do artigo

O que é segurança de e-mail?

É o processo de evitar ataques cibernéticos baseados em e-mail e comunicações indesejadas. Isso inclui proteger caixas de entrada contra invasões, defender domínios contra falsificação, parar ataques de phishing, evitar fraudes, bloquear a distribuição de malware, filtrar spam e usar criptografia para proteger o conteúdo de e-mails de pessoas não autorizadas.

Segurança e privacidade não eram serviços integrados ao e-mail quando ele foi inventado. E continua assim ainda hoje, apesar da importância desse tipo de comunicação. Por causa disso, o e-mail é um grande vetor de ataques para empresas de grande e pequeno porte, bem como para pessoas.

Quais tipos de ataques acontecem via e-mail?

Alguns dos tipos comuns de ataques de e-mail são:

  • Fraude: esse tipo de ataque pode assumir várias formas, desde os clássicos golpes de taxa antecipada direcionados a pessoas comuns até mensagens mais direcionadas que visam induzir os departamentos de contabilidade de grandes empresas a transferir dinheiro para contas ilegítimas. Muitas vezes, o invasor usará falsificação de domínio para fazer com que a solicitação de fundos pareça ter vindo de uma fonte legítima.
  • Phishing: esse tipo de ataque tenta fazer com que a vítima revele informações sensíveis ao invasor. Ataques de phishing via e-mail costumam direcionar os usuários a uma página web falsa que coleta credenciais ou simplesmente pressionam o usuário a enviar informações a um endereço de e-mail controlado secretamente pelo invasor. Também é comum haver falsificação de domínios nesses ataques.
  • Malware: os tipos de malware distribuídos por e-mail incluem spyware, scareware, adware e ransomware, entre outros. Há diversas formas de um invasor distribuir malware por e-mail. Uma das mais comuns é incluir um anexo com código malicioso.
  • Invasão de contas: os invasores invadem as caixas de entrada de usuários legítimos por uma variedade de motivos, como monitorar suas mensagens, roubar informações ou usar endereços de e-mail legítimos para encaminhar ataques de malware e spam para seus contatos.
  • Interceptação de e-mail: os invasores podem interceptar e-mails para roubar informações contidas neles ou realizar ataques de invasores intermediários, em que eles se passam por ambos os lados de uma conversa. A forma mais comum de realizar esse ataque é monitorar os pacotes de dados em redes locais (LANs) sem fio, já que interceptar um e-mail em trânsito pela internet é extremamente difícil.

Falsificação de domínios de e-mail

Essa prática é importante para diversos tipos de ataques via e-mail, pois permite que os invasores enviem mensagens de endereços que parecem legítimos. Essa técnica permite que os invasores enviem um e-mail com um endereço "de" forjado. Por exemplo, se o Chuck quiser enganar o Bob com um e-mail, o Chuck pode enviar ao Bob um e-mail do domínio "@trustworthy-bank.com", mesmo que o Chuck não seja realmente o proprietário do domínio "trustworthy-bank.com" ou represente essa organização.

O que é um ataque de phishing?

Phishing é a tentativa de roubar dados sensíveis, em geral, nomes de usuário, senhas ou outras informações importantes de conta. O phisher usa as informações roubadas, por exemplo, para controlar as contas do usuário com sua senha, ou as vende.

Os invasores de phishing se disfarçam como uma fonte respeitável. Com uma solicitação atraente ou aparentemente urgente, um invasor atrai a vítima para fornecer informações, assim como uma pessoa usa isca para pescar.

O phishing geralmente ocorre por e-mail. Os phishers tentam enganar as pessoas para que enviem informações diretamente por e-mail ou se direcionem a uma página web que eles controlam projetada para parecer legítima (por exemplo, uma página de login falsa na qual o usuário digita sua senha).

Existem vários tipos de phishing:

  • Spear phishing é altamente direcionado e personalizado para ser mais convincente.
  • Whaling visa pessoas importantes ou influentes dentro de uma empresa, como executivos. É um grande vetor de ameaças na segurança do e-mail corporativo.
  • Ataques de phishing que não são por e-mail, incluem vishing (phishing por ligação telefônica), smishing (phishing por mensagem de texto) e phishing via redes sociais.

Uma estratégia de segurança para e-mails pode incluir diversas abordagens para bloquear ataques de phishing. As soluções de segurança de e-mail podem filtrar e-mails de endereços de IP ruins conhecidos. Elas podem bloquear ou remover links incorporados em e-mails para impedir que os usuários naveguem em páginas web de phishing. Ou, elas podem usar a filtragem de DNS para bloquear essas páginas web. As soluções de prevenção de perda de dados (DLP) também podem bloquear ou redigir mensagens de saída contendo informações sensíveis.

Além disso, os funcionários da empresa devem receber treinamento sobre como reconhecer um e-mail com phishing.

Como os anexos de e-mail são usados em ataques?

Os anexos de e-mail são um recurso valioso, mas os invasores usam esse recurso de e-mail para enviar conteúdo malicioso a seus alvos, incluindo malware.

Uma maneira de fazer isso é simplesmente anexar o software malicioso como um arquivo .exe e enganar o destinatário para que abra o anexo. Uma abordagem muito mais comum é ocultar códigos maliciosos em um documento aparentemente inocente, como um PDF ou um arquivo do Word. Ambos os tipos de arquivo suportam a inclusão de código — como macros — que os invasores podem usar para realizar alguma ação maliciosa no computador do destinatário, como baixar e abrir malware.

Muitas infecções por ransomware nos últimos anos começaram com um anexo de e-mail. Por exemplo:

  • É comum o ransomware Ryuk entrar em uma rede por uma infecção TrickBot ou Emotet, ambas espalhadas por anexos de e-mail
  • O ransomware Maze usa anexos de e-mail com base dentro da rede da vítima
  • Ataques com o ransomware Petya também costumam começar com um anexo de e-mail

Parte da segurança de e-mail envolve bloquear ou neutralizar esses anexos de e-mail maliciosos; isso pode envolver a verificação de todos os e-mails com antimalware para identificar código malicioso. Além disso, os usuários devem ser treinados para ignorar anexos de e-mail inesperados ou inexplicados. Para clientes de e-mail baseados na web, o isolamento do navegador também pode ajudar a anular esses ataques, pois o anexo malicioso é baixado em uma sandbox separada do dispositivo do usuário.

O que é spam?

Spam é um termo para mensagens de e-mail indesejadas ou inadequadas, enviadas sem a permissão do destinatário. Quase todos os provedores de e-mail oferecem algum grau de filtragem de spam. Mas, inevitavelmente, algumas mensagens de spam ainda chegam às caixas de entrada dos usuários.

Com o passar do tempo, pessoas que enviam spam ganham uma "má reputação" e as mensagens delas são cada vez mais marcadas como spam. Por esse motivo, muitas vezes elas se sentem motivadas a invadir as caixas de entrada dos usuários, roubar o espaço do endereço de IP ou falsificar domínios para enviar spam de uma forma não detectável.

Pessoas e empresas podem adotar diversas abordagens para reduzir a quantidade de spam recebida. Elas podem reduzir ou eliminar listagens públicas de seus endereços de e-mail, implementar um filtro de spam de terceiros além da filtragem fornecida pelo serviço de e-mail e sempre marcar essas mensagens como spam para treinar melhor a filtragem já existente.

*Se um grande percentual de e-mails de um remetente não forem abertos ou forem marcados como spam pelos destinatários, ou devolvidos com frequência, os provedores e serviços de e-mail vão rebaixar a reputação do remetente.

Como os invasores roubam contas de e-mail?

Os invasores podem usar uma caixa de entrada roubada para uma grande variedade de finalidades, como enviar spam, iniciar ataques de phishing, distribuir malware, coletar listas de contato ou usar o endereço para roubar mais contas do usuário.

Eles podem usar vários métodos para invadir uma conta de e-mail:

  • Comprar listas de credenciais roubadas anteriormente: houve muitas violações de dados pessoais ao longo dos anos e listas de credenciais de nome de usuário/senha roubadas circulam amplamente na dark web. Um invasor pode comprar essas listas e usar as credenciais para invadir as contas dos usuários, geralmente por preenchimento de credenciais.
  • Ataques de força bruta: nesse caso, o invasor carrega uma página de login e usa um bot para adivinhar rapidamente as credenciais do usuário. Rate Limiting e limites para a inserção de senhas podem parar esse ataque com eficácia.
  • Ataques de phishing: o invasor pode já ter realizado um ataque de phishing antes para descobrir as credenciais de login na conta de e-mail do usuário.
  • Infecções no navegador web: semelhante a um ataque de invasores intermediários, uma parte maliciosa pode infectar o navegador web de um usuário para ver todas as informações inseridas em páginas web, incluindo nome de usuário e senha de e-mail.
  • Spyware: o invasor pode já ter infectado o dispositivo do usuário e instalado um spyware para acompanhar tudo que é digitado, incluindo nome de usuário e senha do e-mail.

Um jeito de proteger o comprometimento da caixa de entrada é usar a autenticação multifator (MFA) em vez da autenticação de senha de fator único. As empresas também podem exigir que os usuários usem um serviço de login único (SSO) em vez de fazer login diretamente no e-mail.

Como a criptografia protege o e-mail?

A criptografia é o processo de embaralhamento de dados para que apenas as partes autorizadas possam desembaralhá-los e lê-los. A criptografia é como colocar uma carta em um envelope lacrado para que apenas o destinatário possa ler o conteúdo da carta, mesmo que várias partes manipulem a carta no caminho entre o remetente e o destinatário.

A criptografia não é incorporada ao e-mail automaticamente; isso significa que enviar um e-mail é como enviar uma carta sem envelope protegendo seu conteúdo. Como os e-mails geralmente contêm dados pessoais e confidenciais, isso pode ser um grande problema.

Assim como uma carta não chega instantaneamente a outra pessoa, e-mails não vão direto do remetente para o destinatário. Em vez disso, eles atravessam várias redes conectadas e são encaminhados entre diversos servidores de e-mail até chegarem ao destinatário. Qualquer agente no meio desse processo pode interceptar e ler o e-mail se não estiver criptografado, incluindo o provedor do serviço. No entanto, o local com maior probabilidade de interceptação de e-mails é mais perto da origem, com uma técnica chamada analisador de pacotes (monitoramento de pacotes de dados em uma rede).

Criptografia é como colocar um e-mail em um envelope lacrado. Grande parte da criptografia do e-mail funciona com o uso de chaves públicas de criptografia (saiba mais). Alguns tipos de criptografia do e-mail são de ponta a ponta, ou seja, protegem o conteúdo do provedor do serviço e de partes externas.

Como os registros DNS ajudam a evitar ataques por e-mail?

O Domain Name System (DNS) armazena registros públicos de um domínio, incluindo o endereço de IP. O DNS é essencial para permitir que os usuários se conectem a sites e enviem e-mails sem precisar memorizar longos endereços de IP alfanuméricos.

Há tipos especializados de registros DNS que ajudam a garantir que os e-mails são de uma origem legítima, e não de um falsificador: registros SPF, registros DKIM e registros DMARC. Provedores de serviços e-mail verificam todos esses registros para ver se os e-mails realmente vieram do local em questão e se não foram alteradas em trânsito.

O assistente para segurança de DNS de e-mails da Cloudflare ajuda proprietários de domínios a configurar esses registros DNS essenciais com rapidez e correção. Para saber mais, leia o post no blog.

Como parar ataques de phishing?

Muitos provedores de e-mail têm proteção integrada contra phishing (e os registros de DNS listados acima geralmente são um dos sinais procurados ao bloquear tentativas de phishing). No entanto, e-mails com phishing ainda costumam chegar às caixas de entrada dos usuários. Várias empresas usam outras proteções contra phishing para defender melhor usuários e redes.

A segurança para e-mail da Area 1 da Cloudflare oferece proteção contra phishing baseada em nuvem. A Area 1 da Cloudflare descobre a infraestrutura de phishing com antecedência e analisa padrões de tráfego para correlacionar ataques e identificar campanhas de phishing. Leia em mais detalhes como funciona esse serviço antiphishing.