Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Usuários devem investigar cabeçalhos de e-mail

Share on linkedin
Share on twitter
Share on facebook

Os phishings consistem em e-mails ou mensagens instantâneas com links maliciosos criados para roubar dados ou convencer as pessoas a passar informações adicionais. São os golpes cibernéticos mais praticados hoje e podem ser evitados com maior cuidado dos usuários 

Os ataques cibernéticos menos complexos continuam representando a maior parte dos estragos para as empresas. De acordo com relatório da IBM deste ano, o phishing ainda é o método mais comum de os criminosos obterem acesso às redes das vítimas. E a previsão é que a identificação de um e-mail malicioso por meio de seu conteúdo seja cada vez mais complexa daqui em diante, com a sofisticação das ferramentas e dos ataques de phishing impulsionada pela evolução da Inteligência Artificial e do phishing as a Service.

“É por isso que saber detectar e-mails fraudulentos para além da mensagem é fundamental e as pessoas precisam entender como fazer isso para evitar fraudes de engenharia social a partir de uma análise do cabeçalho de e-mail para checar a autenticidade do remetente”, alerta Thiago Barbosa, consultor de segurança em nuvem da Redbelt Security.

Para isto, é preciso ficar atento às informações contidas no cabeçalho dos e-mails, que trazem a origem da mensagem, caminho que o e-mail percorre antes de chegar ao destinatário, endereço IP do remetente e provedor de serviços.

“A revisão dos dados do cabeçalho pode ajudar a identificar quaisquer modificações feitas na estrutura do e-mail, o que pode ser um forte indício de que o e-mail foi enviado com intenção maliciosa. Depois de uma análise, é possível extrair o IP do remetente e configurar uma regra de fluxo de mensagem que bloqueie e-mails vindos deste ip para evitar possíveis fraudes futuras”, explica Barbosa.

Para entender como analisar as informações dos campos do cabeçalho e identificar potenciais ameaças de segurança no e-mail, é interessante utilizar o Analisador de Mensagem da Microsoft para: compreender os campos do cabeçalho, porque cada provedor de e-mail tem um caminho diferente para que o usuário acesse o cabeçalho completo de uma mensagem.

No Gmail, por exemplo, devem ser seguidos os seguintes passos:

Abrir o e-mail onde está o cabeçalho que se quer ver; ao lado de responder ↩ clicar em Mais ⁝ › mostrar original. O próximo passo é fazer uma interpretação correta das informações e analisar sua estrutura cronologicamente, isto é, de cima para baixo.

No campo Delivered-To que são adicionados pelos servidores os e-mails que foram envolvidos no processo de entrega e mostrados os endereços dos destinatários finais para os quais a mensagem foi entregue. Com isto, é possível rastrear qual conta de e-mail recebeu a mensagem, principalmente em casos de encaminhamento ou redirecionamento.

  • No Received são incluídos pelos servidores os e-mails pelos quais a mensagem passa durante sua entrega e encontradas as informações relevantes de cada servidor, o que geralmente inclui seu endereço IP ou nome, data e hora em que a mensagem foi recebida. Neste campo são listados na ordem inversa, ou seja, o servidor mais recente é listado em primeiro lugar. A sequência de servidores permite rastrear o trajeto da mensagem desde o remetente até o destinatário final. Além disso, é possível identificar atrasos, problemas de entrega ou possíveis manipulações.
  •  O campo X-Received é semelhante ao campo Received, mas é usado para registros internos ou para especificar informações adicionais sobre o processo de entrega. Ele pode conter detalhes específicos do servidor, como informações sobre o protocolo utilizado para a entrega da mensagem ou outras informações internas de rastreamento. Já o Return-Path indica o endereço de e-mail para o qual as mensagens de resposta devem ser enviadas e é definido pelo servidor de envio, que geralmente corresponde ao endereço do remetente original. É importante observar que o campo From pode ser falsificado, mas o campo Return-Path é usado para fins de entrega e não pode ser facilmente alterado por intermediários. 
  • Received From fornece informações sobre o servidor de origem a partir do qual a mensagem foi recebida e contém o endereço IP ou o nome do servidor e é adicionado pelo servidor intermediário, que recebeu a mensagem da origem. Esse campo é útil para identificar a primeira etapa do percurso da mensagem e pode ajudar a rastrear sua origem. 
  • Received-SPF, por sua vez contém informações sobre a verificação SPF (SenderPolicy Framework) realizada na mensagem e é um mecanismo de autenticação, que possibilita aos administradores de domínio especificarem os servidores de e-mail que são autorizados a enviar mensagens em nome de seu domínio. Esse campo indica se a mensagem passou ou falhou na verificação SPF. Uma passagem bem-sucedida indica que o servidor de envio está autorizado a enviar e-mails em nome do domínio de origem, aumentando a confiança na autenticidade do remetente. 
  • O campo Authentication-Results traz dados sobre os resultados das verificações de autenticação realizadas na mensagem e inclui informações sobre a autenticidade do remetente, podendo abranger diferentes técnicas de autenticação, como SPF, DKIM e DMARC. Os resultados das verificações são relatados neste campo para informar o destinatário sobre a autenticidade e confiabilidade da mensagem. 
  • O DKIM-Signature contém a assinatura DKIM (DomainKeys Identified Mail) aplicada à mensagem e é um método de autenticação de e-mail que utiliza criptografia assimétrica para verificar a integridade e autenticidade da mensagem. O remetente adiciona uma assinatura criptográfica ao cabeçalho da mensagem usando uma chave privada, enquanto o servidor de recebimento verifica essa assinatura usando a chave pública armazenada no registro DNS do domínio. Este campo traz dados que incluem o domínio usado para assinar e o identificador da chave pública. A verificação do DKIM ajuda a garantir que a mensagem não tenha sido modificada durante a transmissão e que o remetente seja autêntico.

“A análise cuidadosa dos cabeçalhos e de seus campos ajudam a nos resguardar de informações referente ao histórico, a autenticidade e o trajeto das mensagens. Sabendo interpretar as informações fornecidas pelo cabeçalho, é possível confirmar o remetente, identificar ameaças de segurança e rastrear a mensagem até sua origem para evitar possíveis fraudes e ataques de Phishing. Com esse cuidado teremos ainda mais como proteger as informações sigilosas pessoais e empresariais”, conclui Barbosa.