Falsificação de e-mail é quando invasores adulteram e-mails para se disfarçar como remetentes legítimos. É uma tática comum em ataques de phishing.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
O que é SMTP?
Como evitar phishing
Como parar e-mails com spam
O que é e-mail?
O que é segurança de e-mail?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Na falsificação de e-mail, o invasor usa o cabeçalho do e-mail para mascarar a própria identidade e se passar por um remetente legítimo. (O cabeçalho do e-mail é um snippet de código que contém informações importantes sobre a mensagem, como o remetente, o destinatário e os dados de rastreamento.)
Enquanto a falsificação de e-mails é uma tática específica que envolve a falsificação de informações de cabeçalho de e-mail, os invasores podem usar outras táticas para obter resultados semelhantes. Por exemplo, os invasores podem criar um domínio de e-mail que se pareça muito com o domínio do remetente legítimo, na esperança de que os destinatários não percebam o erro. Um exemplo seria usar o domínio "@1egitimatecompany.com" em vez de "@legitimatecompany.com". Os invasores também podem mudar o nome de exibição para imitar um remetente: por exemplo, enviando e-mails maliciosos de "LegitimateCEOName@gmail.com" em vez de "LegitimateCEOName@legitimatecompany.com".
A principal diferença entre essas técnicas é que tentativas de falsificação de e-mail bem-sucedidas serão apresentadas como domínios legítimos — como cloudflare.com — e não um domínio com erro de digitação (janeexecutive@jan3scompany.com) ou um endereço sem qualquer associação ao domínio (janetherealceo@gmail.com). Este artigo vai focar especificamente em e-mails com cabeçalhos falsificados.
A falsificação de e-mails está sob um guarda-chuva maior de falsificação de domínios. Na falsificação de e-mails, os invasores tentam simular um nome de site (ou endereço de e-mail), em geral como parte de ataques de phishing. A falsificação de domínios vai além dos e-mails e pode ser usada para criar sites falsos ou publicidade fraudulenta.
Os invasores usam scripts para falsificar os campos que o destinatário pode ver. Esses campos ficam no cabeçalho do e-mail e incluem os endereços de "de" e "responder". Veja um exemplo de como os campos podem aparecer em um e-mail falsificado:
É possível falsificar esses campos porque o Protocolo de Transferência de Correio Simples (SMTP) não tem um método integrado para autenticar endereços de e-mail. Na verdade, os endereços de e-mail do remetente e do destinatário existem em dois locais: no cabeçalho e no envelope SMTP do e-mail. O cabeçalho inclui os campos que o destinatário vê. O envelope SMTP, no entanto, contém as informações que os servidores usam para entregar um e-mail ao endereço correto. Mas esses campos não precisam ser iguais para o e-mail ser enviado com êxito. Como o envelope SMTP nunca verifica o cabeçalho e o destinatário não vê as informações no envelope, é relativamente fácil falsificar o e-mail.
Como um e-mail falsificado parece vir de um remetente legítimo, os destinatários podem ser induzidos a divulgar informações confidenciais, clicar em links maliciosos ou realizar outras ações que não fariam normalmente. Por esse motivo, a falsificação de e-mails é muito usada em ataques de phishing.
Em alguns casos, os invasores usam outras táticas para aumentar a credibilidade de um domínio de e-mail falsificado. Por exemplo, copiar o logotipo da empresa, a arte da marca e outros elementos de design, ou usar mensagens e uma linguagem que pareça relevante para a empresa imitada.
Os destinatários podem seguir estas etapas para não cair nos golpes de e-mails falsificados:
Os proprietários de domínios também podem tomar medidas para evitar que os invasores enviem mensagens de seu domínio. Para fazer isso, as empresas podem criar registros do Domain Name System (DNS) especificamente para autenticação. Isso inclui:
No nível organizacional, líderes de segurança também podem tomar medidas para proteger funcionários contra a falsificação de e-mails com a implementação de proteção contra phishing e malware.
A autenticação de e-mail pode ajudar a proteger contra a falsificação de e-mail, mas não é uma solução de segurança de e-mail completa. Por exemplo, a autenticação de e-mail não leva em conta outras técnicas comuns de phishing, como domínios semelhantes ou e-mails enviados de domínios legítimos que foram comprometidos.
O Cloudflare Area 1 Email Security oferece uma abordagem mais holística. Preventivamente, a ferramenta rastreia a internet para identificar a infraestrutura do invasor e, assim, evita ataques de phishing e protege as caixas de entrada.