O que é falsificação de e-mail?

Falsificação de e-mail é quando invasores adulteram e-mails para se disfarçar como remetentes legítimos. É uma tática comum em ataques de phishing.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entender o que é falsificação de e-mail
  • Aprender como funciona a falsificação de e-mail
  • Receber dicas de como se proteger contra a falsificação de e-mail

Copiar o link do artigo

O que é falsificação de e-mail?

Na falsificação de e-mail, o invasor usa o cabeçalho do e-mail para mascarar a própria identidade e se passar por um remetente legítimo. (O cabeçalho do e-mail é um snippet de código que contém informações importantes sobre a mensagem, como o remetente, o destinatário e os dados de rastreamento.)

Enquanto a falsificação de e-mails é uma tática específica que envolve a falsificação de informações de cabeçalho de e-mail, os invasores podem usar outras táticas para obter resultados semelhantes. Por exemplo, os invasores podem criar um domínio de e-mail que se pareça muito com o domínio do remetente legítimo, na esperança de que os destinatários não percebam o erro. Um exemplo seria usar o domínio "@1egitimatecompany.com" em vez de "@legitimatecompany.com". Os invasores também podem mudar o nome de exibição para imitar um remetente: por exemplo, enviando e-mails maliciosos de "LegitimateCEOName@gmail.com" em vez de "LegitimateCEOName@legitimatecompany.com".

A principal diferença entre essas técnicas é que tentativas de falsificação de e-mail bem-sucedidas serão apresentadas como domínios legítimos — como cloudflare.com — e não um domínio com erro de digitação (janeexecutive@jan3scompany.com) ou um endereço sem qualquer associação ao domínio (janetherealceo@gmail.com). Este artigo vai focar especificamente em e-mails com cabeçalhos falsificados.

A falsificação de e-mails está sob um guarda-chuva maior de falsificação de domínios. Na falsificação de e-mails, os invasores tentam simular um nome de site (ou endereço de e-mail), em geral como parte de ataques de phishing. A falsificação de domínios vai além dos e-mails e pode ser usada para criar sites falsos ou publicidade fraudulenta.

Como funciona a falsificação de e-mails?

Os invasores usam scripts para falsificar os campos que o destinatário pode ver. Esses campos ficam no cabeçalho do e-mail e incluem os endereços de "de" e "responder". Veja um exemplo de como os campos podem aparecer em um e-mail falsificado:

  • De: "Remetente legítimo" email@legitimatecompany.com
  • Responder: email@legitimatecompany.com

É possível falsificar esses campos porque o Protocolo de Transferência de Correio Simples (SMTP) não tem um método integrado para autenticar endereços de e-mail. Na verdade, os endereços de e-mail do remetente e do destinatário existem em dois locais: no cabeçalho e no envelope SMTP do e-mail. O cabeçalho inclui os campos que o destinatário vê. O envelope SMTP, no entanto, contém as informações que os servidores usam para entregar um e-mail ao endereço correto. Mas esses campos não precisam ser iguais para o e-mail ser enviado com êxito. Como o envelope SMTP nunca verifica o cabeçalho e o destinatário não vê as informações no envelope, é relativamente fácil falsificar o e-mail.

Como um e-mail falsificado parece vir de um remetente legítimo, os destinatários podem ser induzidos a divulgar informações sensíveis, clicar em links maliciosos ou realizar outras ações que não fariam normalmente. Por esse motivo, a falsificação de e-mails é muito usada em ataques de phishing.

Em alguns casos, os invasores usam outras táticas para aumentar a credibilidade de um domínio de e-mail falsificado. Por exemplo, copiar o logotipo da empresa, a arte da marca e outros elementos de design, ou usar mensagens e uma linguagem que pareça relevante para a empresa imitada.

Como se proteger contra a falsificação de e-mails

Os destinatários podem seguir estas etapas para não cair nos golpes de e-mails falsificados:

  • Desconfie de mensagens que incentivam a realização de uma ação rápida ou urgente: suspeite de e-mails inesperados ou não solicitados que pedem informações pessoais, pagamentos ou alguma ação imediata. Por exemplo, uma solicitação repentina para alterar as informações de login de um aplicativo deve ser considerada suspeita.
  • Inspecione os cabeçalhos do e-mail: muitos clientes de e-mail permitem ver o cabeçalho do e-mail. Por exemplo, <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'> no Gmail, clique em "Mostrar original" em uma mensagem para ver o cabeçalho do e-mail. Depois de visualizar o cabeçalho, procure a seção "Recebidos". Se um domínio diferente do mostrado em "De" for exibido, é provável que o e-mail tenha sido falsificado.
  • Use software que filtra mensagens falsificadas: o software antispam pode exigir autenticação dos e-mails recebidos e, assim, bloquear tentativas de falsificação.

Os proprietários de domínios também podem tomar medidas para evitar que os invasores enviem mensagens de seu domínio. Para fazer isso, as empresas podem criar registros do Domain Name System (DNS) especificamente para autenticação. Isso inclui:

  • Registros SPF: um registro Sender Policy Framework (SPF) lista os servidores autorizados a enviar e-mails de um determinado domínio. Dessa maneira, se uma pessoa criar um endereço de e-mail associado a um domínio, ele não seria listado no registro SPF e não passaria pela autenticação.
  • Registros DKIM: registros Correio identificado por chaves de domínio (DKIM) usam um par de chaves de criptografia para autenticação: uma pública; outra privada. A chave pública é armazenada no registro DKIM e a chave privada assina automaticamente o cabeçalho DKIM. E-mails falsificados de um domínio com registro DKIM não serão assinados com as chaves de criptografia corretas e, portanto, falharão na autenticação.
  • Registros DMARC: registros Domain-based Message Authentication Reporting and Conformance (DMARC) contêm as políticas DMARC, que dizem aos servidores de e-mails o que fazer após verificar os registros SPF e DKIM. Proprietários de domínios podem definir regras para bloquear, permitir ou entregar mensagens com base nessas verificações. Como as políticas DMARC são comparadas com outras políticas de autenticação e permitem que os proprietários de domínios definam regras mais específicas, esses registros acrescentam uma camada de proteção a mais contra a falsificação de e-mails.

No nível organizacional, líderes de segurança também podem tomar medidas para proteger funcionários contra a falsificação de e-mails com a implementação de proteção contra phishing e malware.

Como a autenticação de e-mail contribui para a segurança do e-mail?

A autenticação de e-mail pode ajudar a proteger contra a falsificação de e-mail, mas não é uma solução de segurança completa. Por exemplo, a autenticação de e-mail não leva em conta outras técnicas comuns de phishing, como domínios semelhantes ou e-mails enviados de domínios legítimos que foram comprometidos.

A segurança de e-mail da Area 1 da Cloudflare oferece uma abordagem mais holística. Preventivamente, a ferramenta rastreia a internet para identificar a infraestrutura do invasor e, assim, evita ataques de phishing e protege as caixas de entrada.