Os phishings consistem em e-mails ou mensagens instantâneas com links maliciosos criados para roubar dados ou convencer as pessoas a passar informações adicionais. São os golpes cibernéticos mais praticados hoje e podem ser evitados com maior cuidado dos usuários
Os ataques cibernéticos menos complexos continuam representando a maior parte dos estragos para as empresas. De acordo com relatório da IBM deste ano, o phishing ainda é o método mais comum de os criminosos obterem acesso às redes das vítimas. E a previsão é que a identificação de um e-mail malicioso por meio de seu conteúdo seja cada vez mais complexa daqui em diante, com a sofisticação das ferramentas e dos ataques de phishing impulsionada pela evolução da Inteligência Artificial e do phishing as a Service.
“É por isso que saber detectar e-mails fraudulentos para além da mensagem é fundamental e as pessoas precisam entender como fazer isso para evitar fraudes de engenharia social a partir de uma análise do cabeçalho de e-mail para checar a autenticidade do remetente”, alerta Thiago Barbosa, consultor de segurança em nuvem da Redbelt Security.
Para isto, é preciso ficar atento às informações contidas no cabeçalho dos e-mails, que trazem a origem da mensagem, caminho que o e-mail percorre antes de chegar ao destinatário, endereço IP do remetente e provedor de serviços.
“A revisão dos dados do cabeçalho pode ajudar a identificar quaisquer modificações feitas na estrutura do e-mail, o que pode ser um forte indício de que o e-mail foi enviado com intenção maliciosa. Depois de uma análise, é possível extrair o IP do remetente e configurar uma regra de fluxo de mensagem que bloqueie e-mails vindos deste ip para evitar possíveis fraudes futuras”, explica Barbosa.
Para entender como analisar as informações dos campos do cabeçalho e identificar potenciais ameaças de segurança no e-mail, é interessante utilizar o Analisador de Mensagem da Microsoft para: compreender os campos do cabeçalho, porque cada provedor de e-mail tem um caminho diferente para que o usuário acesse o cabeçalho completo de uma mensagem.
No Gmail, por exemplo, devem ser seguidos os seguintes passos:
- Abrir o e-mail onde está o cabeçalho que se quer ver; ao lado de responder ↩ clicar em Mais ⁝ › mostrar original. O próximo passo é fazer uma interpretação correta das informações e analisar sua estrutura cronologicamente, isto é, de cima para baixo.
- No campo Delivered-To que são adicionados pelos servidores os e-mails que foram envolvidos no processo de entrega e mostrados os endereços dos destinatários finais para os quais a mensagem foi entregue. Com isto, é possível rastrear qual conta de e-mail recebeu a mensagem, principalmente em casos de encaminhamento ou redirecionamento.
- No Received são incluídos pelos servidores os e-mails pelos quais a mensagem passa durante sua entrega e encontradas as informações relevantes de cada servidor, o que geralmente inclui seu endereço IP ou nome, data e hora em que a mensagem foi recebida. Neste campo são listados na ordem inversa, ou seja, o servidor mais recente é listado em primeiro lugar. A sequência de servidores permite rastrear o trajeto da mensagem desde o remetente até o destinatário final. Além disso, é possível identificar atrasos, problemas de entrega ou possíveis manipulações.
- O campo X-Received é semelhante ao campo Received, mas é usado para registros internos ou para especificar informações adicionais sobre o processo de entrega. Ele pode conter detalhes específicos do servidor, como informações sobre o protocolo utilizado para a entrega da mensagem ou outras informações internas de rastreamento. Já o Return-Path indica o endereço de e-mail para o qual as mensagens de resposta devem ser enviadas e é definido pelo servidor de envio, que geralmente corresponde ao endereço do remetente original. É importante observar que o campo From pode ser falsificado, mas o campo Return-Path é usado para fins de entrega e não pode ser facilmente alterado por intermediários.
- O Received From fornece informações sobre o servidor de origem a partir do qual a mensagem foi recebida e contém o endereço IP ou o nome do servidor e é adicionado pelo servidor intermediário, que recebeu a mensagem da origem. Esse campo é útil para identificar a primeira etapa do percurso da mensagem e pode ajudar a rastrear sua origem.
- O Received-SPF, por sua vez contém informações sobre a verificação SPF (SenderPolicy Framework) realizada na mensagem e é um mecanismo de autenticação, que possibilita aos administradores de domínio especificarem os servidores de e-mail que são autorizados a enviar mensagens em nome de seu domínio. Esse campo indica se a mensagem passou ou falhou na verificação SPF. Uma passagem bem-sucedida indica que o servidor de envio está autorizado a enviar e-mails em nome do domínio de origem, aumentando a confiança na autenticidade do remetente.
- O campo Authentication-Results traz dados sobre os resultados das verificações de autenticação realizadas na mensagem e inclui informações sobre a autenticidade do remetente, podendo abranger diferentes técnicas de autenticação, como SPF, DKIM e DMARC. Os resultados das verificações são relatados neste campo para informar o destinatário sobre a autenticidade e confiabilidade da mensagem.
- O DKIM-Signature contém a assinatura DKIM (DomainKeys Identified Mail) aplicada à mensagem e é um método de autenticação de e-mail que utiliza criptografia assimétrica para verificar a integridade e autenticidade da mensagem. O remetente adiciona uma assinatura criptográfica ao cabeçalho da mensagem usando uma chave privada, enquanto o servidor de recebimento verifica essa assinatura usando a chave pública armazenada no registro DNS do domínio. Este campo traz dados que incluem o domínio usado para assinar e o identificador da chave pública. A verificação do DKIM ajuda a garantir que a mensagem não tenha sido modificada durante a transmissão e que o remetente seja autêntico.
“A análise cuidadosa dos cabeçalhos e de seus campos ajudam a nos resguardar de informações referente ao histórico, a autenticidade e o trajeto das mensagens. Sabendo interpretar as informações fornecidas pelo cabeçalho, é possível confirmar o remetente, identificar ameaças de segurança e rastrear a mensagem até sua origem para evitar possíveis fraudes e ataques de Phishing. Com esse cuidado teremos ainda mais como proteger as informações sigilosas pessoais e empresariais”, conclui Barbosa.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação, que atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado na gestão de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe de mais de 100 profissionais altamente especializados e certificados.
A Redbelt Security oferece também ao mercado uma plataforma própria para gerir riscos cibernéticos: a RIS (Risk Information and Security), plataforma SaaS que integra os mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecer dados e orquestração na tomada de decisões. Para mais informações sobre a consultoria, acesse: Link