Agora que a maioria das pessoas está familiarizada com os ataques de phishing padrão e, portanto, é capaz de evitá-los, os agentes mal-intencionados mudaram para algo mais insidioso. O spoofing de e-mail, que é uma forma de spear phishing, um ataque no qual os invasores se fazem passar por alguém que o alvo conhece, é uma maneira muito mais sutil de comprometer as credenciais ou o dispositivo de um usuário. No entanto, assim como no caso do phishing, uma vez que você conheça os sinais de um e-mail falsificado e treine outros usuários sobre como identificá-los, a solução do problema geralmente é simples.
assista a What is Email Spoofing? para obter um guia visual deste blog.
O que é falsificação de e-mail?
O spoofing de e-mail é quando um invasor envia um e-mail a um usuário que se faz passar por outra pessoa, geralmente alguém que o usuário conhece. Geralmente, essa pessoa é um supervisor, gerente ou executivo da mesma empresa. Por causa dos cabeçalhos de e-mail, o software de e-mail do usuário exibe um endereço de e-mail que parece legítimo para o usuário comum, que provavelmente não examinará o endereço com atenção se o nome for familiar.
Como os usuários confiam nas pessoas de suas organizações, é muito provável que eles concluam uma ação conforme as instruções do e-mail. Isso pode ser simplesmente clicar em um link malicioso que instala malware ou pode ser comprar centenas de dólares em cartões-presente e enviá-los para um endereço fornecido. Embora isso seja semelhante ao phishing, os dois ataques são distintos. Embora os e-mails de phishing também tenham como objetivo espalhar malware ou comprometer os usuários, seu objetivo principal é o roubo. Os e-mails de falsificação, por outro lado, são apenas imitações que podem levar a ataques de phishing. Os ataques de falsificação de e-mail também podem solicitar credenciais de usuário e, se essas credenciais forem compartilhadas, a segurança e os dados da organização estarão em risco.
Confira outro tipo de spoofing em TI, o geo-spoofing.
Como funciona o spoofing de e-mail?
Os invasores conseguem forjar endereços de e-mail devido à falta de segurança do SMTP (Simple Mail Transfer Protocol), que não oferece suporte a criptografia, autenticação ou outras medidas de segurança semelhantes. Se você estiver usando o Gmail ou o Outlook, por exemplo, estará usando SMTP, portanto, não é difícil para um invasor encontrar e comprometer um servidor SMTP. Quando tiver um servidor, o invasor começará a ajustar o cabeçalho de um e-mail.
No cabeçalho, há um espaço designado para a identidade do remetente (Mail From). Como o SMTP não tem protocolos de autenticação, um invasor pode alterar facilmente o endereço de e-mail listado na linha Mail From. Há alguns detalhes que um invasor deve considerar, como, por exemplo, se o domínio que está sendo usado é legítimo, se há alguma quarentena ou outra proteção em torno desse domínio e se o servidor SMTP foi configurado corretamente. Se isso não for levado em consideração, o e-mail será enviado para a pasta de spam da vítima.
No entanto, supondo que um invasor tenha um servidor configurado corretamente e escolha um domínio utilizável, o processo é simples. Altere o endereço do remetente, escreva um e-mail que pareça ter vindo de uma pessoa confiável, certifique-se de que todos os comandos ou prompts no código tenham sido ajustados para o novo endereço do remetente (ou simplesmente use uma ferramenta on-line, se ele realmente quiser facilitar as coisas para si mesmo) e a falsificação de e-mail começa.
Como identificar e-mails falsos
Como esses esquemas de falsificação de e-mail são tão simples, não é de surpreender que sua frequência esteja aumentando. Para combater esses ataques, uma das melhores coisas que você pode fazer é aprender a identificá-los e treinar os usuários nos ambientes que você gerencia. Aqui estão alguns aspectos que você deve observar ao abrir e-mails.
- Precisão da assinatura de e-mail: Se for política da empresa ter uma assinatura de e-mail específica, um e-mail de outro funcionário ou supervisor deverá ter uma. Primeiro, verifique se há uma assinatura e, em seguida, confirme os detalhes. Por exemplo, verifique se o endereço de e-mail na assinatura corresponde ao endereço de e-mail na linha Mail From e verifique o código de área do número de telefone. Se seus escritórios estiverem todos em um estado, mas o número de telefone for originário de outro, isso pode ser um sinal de alerta.
- Endereço de e-mail com erro de digitação: Antes de clicar em anexos ou responder ao e-mail, dê uma olhada rápida na linha Mail From. Se um domínio conhecido, como bestbuy.com, for digitado como betsbuy.com, trata-se de um e-mail de falsificação.
- Endereço de e-mail genérico: Embora muitos ataques de falsificação de e-mail tenham domínios legítimos em seus endereços de e-mail, às vezes o remetente não dedica tempo ou esforço. Em vez disso, você pode receber um e-mail de um Gmail, Outlook ou outro domínio genérico que claramente não corresponde ao domínio ou às convenções da sua organização.
- Conteúdo do e-mail: Embora nem todo e-mail urgente seja falsificado, um e-mail que tenta alarmá-lo ou o incentiva a agir imediatamente deve ser considerado suspeito.
Implicações e riscos do spoofing de e-mail
O problema com a falsificação de e-mail é que ela é muito fácil de ser usada pelos invasores e muito convincente para o usuário comum. Se você não resolver o problema, sua organização sofrerá rapidamente um incidente de segurança que pode ser muito caro.
Sua organização pode acabar pagando grandes quantias de dinheiro aos invasores, supondo que todas as solicitações feitas por eles sejam legítimas. Se um funcionário fornecer credenciais, os dados privados da organização estarão em risco. Os usuários, sejam eles seus clientes ou seus funcionários, correm um risco maior de roubo de identidade e perdas financeiras após qualquer violação por um malfeitor.
Técnicas de prevenção para falsificação de e-mail
É importante treinar os usuários para evitar e-mails falsos, mas isso geralmente não é suficiente para proteger sua organização. O erro humano é responsável pela grande maioria dos incidentes de segurança relatados, portanto, as medidas preventivas a seguir podem ser necessárias para limitar o risco de um ataque bem-sucedido.
- SPF (Sender Policy Framework): O SPF não é a solução mais sofisticada, mas é um bom começo para filtrar e-mails ilegítimos. Ele funciona usando um registro anexado aos e-mails que identifica os servidores autorizados do seu domínio. O servidor de recebimento deve então determinar, com base nesse registro, se o e-mail deve ser autorizado a ser enviado.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Mais abrangente que o SPF, o DMARC fornece o registro que o servidor de recebimento pode analisar e instruções sobre o que fazer se o e-mail não for aprovado por esse servidor de recebimento. Ele também solicita relatórios, um recurso útil se você quiser saber mais informações sobre os e-mails que passam pelos seus servidores.
- DKIM (DomainKeys Identified Mail): O DKIM se concentra na autenticação. A boa notícia sobre isso é que é mais seguro do que algumas outras opções; a má notícia é que você pode quebrar seu e-mail se configurar o DKIM incorretamente. Esse método de prevenção também exige registros, mas também publica assinaturas para verificar a legitimidade.
- Filtragem de e-mail e proteção avançada contra ameaças: A implementação de soluções de filtragem de e-mail para detectar e bloquear e-mails falsos é outra boa medida preventiva. Os filtros detectam coisas como links suspeitos, palavras ou frases específicas comuns ao spam e a reputação do endereço IP do remetente. Uma vez detectado, o filtro moverá o e-mail para uma pasta separada para indicar que ele pode não ser legítimo. Além disso, a implementação da proteção avançada contra ameaças, que é um aplicativo baseado em nuvem mais sensível do que um filtro tradicional, pode reduzir ainda mais o número de e-mails ilegítimos que você e outros funcionários recebem.
Evitando os perigos do spoofing
Como acontece com a maioria das coisas em TI, um grama de prevenção vale um quilo de cura. Tudo o que você puder fazer para reduzir o risco de falsificação de e-mail e os prováveis ataques de phishing resultantes economizará tempo e dinheiro a longo prazo. Não coloque em risco a saúde financeira de sua organização ou as informações privadas de seus clientes. Use métodos de prevenção como filtragem, proteção avançada, SPF, DKIM e DMARC para oferecer segurança robusta de e-mail e proteger contra e-mails falsos.
Em última análise, a melhor maneira de evitar a falsificação de e-mail é por meio da conscientização. Embora os métodos de prevenção sejam úteis, alguns e-mails falsos ainda podem chegar aos seus usuários. Desde que as equipes de sua organização estejam cientes da ameaça e saibam o que procurar, elas podem tomar medidas para evitar e prevenir ativamente os riscos de segurança, garantindo assim que sua organização e seus dados permaneçam seguros.
A falsificação de e-mail é apenas uma tática. Saiba como proteger seus servidores de e-mail contra uma gama mais ampla de ameaças em nosso vídeo: Práticas recomendadas de segurança do servidor de e-mail.
