O spoofing de e-mail nada mais é do que uma falsificação onde um agente malicioso envia mensagens de um endereço de remetente falso, assumindo uma outra identidade – no caso, a sua ou de sua empresa. A ideia do ataque é fingir ser um contato conhecido ou canal oficial de uma instituição, para depois se utilizar da confiança e obter dados pessoais ou acesso autorizado a plataformas, fazer cobranças indevidas ou cometer outros tipos de fraude.
Em linhas gerais, o usuário que executa o ataque consegue alterar os metadados de um e-mail (por exemplo, alterando o campo “De:”), se passando por outro remetente. Como os servidores de e-mail não são capazes de autenticar a origem de um e-mail por conta própria, os protocolos padrão de segurança acreditam que a origem do e-mail é real. Os ataques de spoofing utilizam o mesmo domínio de e-mail do remetente, e um servidor de e-mail irá, a princípio, apenas validar o endereço do qual o e-mail foi enviado.
Os protocolos de segurança padrão não são capazes de dizer ao destinatário que o e-mail “[email protected]” não pertence à mesma pessoa que o endereço “[email protected]”. Um “r” a mais é quase imperceptível para quem não está prestando atenção, e como o endereço é real, o usuário que recebe a mensagem pode ser enganado ao pensar que realmente está falando com a pessoa correta.
Os primeiros ataques de falsificação de e-mail foram registrados em 1996, quando hackers criaram endereços falsos se utilizando de números fraudulentos de cartões de crédito. Eles depois usariam as contas de e-mail falsas para manipular outros usuários a ceder informações pessoais e dados bancários. A forma de aplicar o golpe, porém, foi um pouco diferente – eles também se utilizaram do phishing, e é importante saber a diferença.
No spoofing, a fraude está justamente na falsificação do endereço de e-mail. Ou seja, o usuário malicioso se passa por outra pessoa para depois tomar vantagem de um destinatário que imagina estar falando com alguém que confia. Já o phishing é uma forma de obter dados e informações pessoais através de engenharia social. A engenharia social é um método usado para enganar, manipular ou explorar a confiança das pessoas sem violência física, buscando fazer com que a vítima realize voluntariamente ações prejudiciais a si mesma, como divulgar informações sensíveis ou transferir dinheiro para desconhecidos. Quando alguém convence uma pessoa a divulgar sua senha, está realizando uma ação de engenharia social. Se alguém obriga uma pessoa a dar sua senha sob ameaça de violência, isso não é engenharia social. No phishing o golpista não assume, necessariamente, uma outra identidade.
O modus operandi do phishing é mais complexo: o primeiro passo é obter informações relevantes sobre o comportamento da vítima, para depois fazer contato, obter a confiança dela e aí extrair dados pessoais, como endereço, conta bancária, senhas, ou pedir dinheiro através de depósitos bancários. A principal diferença é que a relação de confiança no phishing se estabelece através do contato e da interação, enquanto que no spoofing, ela é pressuposta porque o destinatário acha que está falando com alguém que já conhece e confia.
O spoofing, portanto, pode ser um fator facilitador para o phishing. Porém, o phishing não é uma falsificação propriamente dita, e sim, uma mentira bem contada.
Compare um e-mail à uma carta: ela tem um campo de remetente, outro de destinatário e a mensagem em si. A agência nacional de Correios de qualquer país não é capaz de autenticar ou provar que quem escreveu a mensagem é realmente a pessoa cujo nome está no campo “remetente”. O mesmo acontece com as mensagens eletrônicas, e o cabeçalho também oferece similaridades. Um spoofer pode personalizar os seguintes campos:
Assim, quando o e-mail chega na caixa do destinatário, é difícil saber a origem real da mensagem, já que as informações geradas pelo servidor de e-mail parecem estar corretas. Alguns criadores de spam utilizam software especializado para obter listas aleatórias de endereços de e-mail para serem utilizados em spoofing. Em um mundo onde tudo acontece muito rápido e somos constantemente bombardeados com informações, mensagens em mídias sociais e demandas, fica fácil só não perceber que há uma inconsistência, e é com isso que os fraudadores contam.
O ataque de spoofing é feito utilizando o seu mesmo domínio de e-mail, mas se aproveitando de uma possível desatenção da vítima. Pode ser algo muito simples, como alguém se passando por outra pessoa que tem o endereço “[email protected]” e adicionando um novo “s”. Assim, obtemos “[email protected]” e fica fácil entender como nem sempre o destinatário irá perceber isso.
A partir da mensagem enviada, o fraudador busca então obter informações pessoais ou enviar links com malware, podendo inclusive invadir o computador pessoal de alguém. Um outro exemplo comum é realizar cobranças indevidas, pedir depósitos bancários urgentes ou dinheiro emprestado. A prática é extremamente prejudicial caso seja bem-sucedida, já que pode causar grandes transtornos às vítimas. Ao mesmo tempo, elas poderão responsabilizar você e a sua empresa por essa brecha de segurança.
Para se proteger do spoofing de e-mail, o primeiro passo é saber identificar comportamentos suspeitos. Se você receber avisos de e-mail não recebidos ou comunicando falha na entrega para endereços que você desconhece, esse é um sintoma de que seu endereço foi falsificado. Podemos considerar boas práticas, nesse caso:
Para proteger os usuários, os ISP (Internet Service Providers) tentam verificar a fonte do e-mail, buscando saber se o remetente é real e confiável. Caso não seja, o e-mail será diretamente enviado para a caixa de spam do destinatário. A autenticação de e-mail é um conjunto de protocolos e métodos e, se feita corretamente, poderá evitar a falsificação do seu endereço de e-mail.
Assim como utilizamos a autenticação em dois fatores para aplicativos importantes como aplicativos bancários, a autenticação de e-mail pode ser feita de várias formas, e principalmente, em várias camadas. Você pode obter mais dicas sobre autenticação de e-mail em nosso blog. Uma outra vantagem da autenticação é que sua reputação de envio será preservada, evitando que seu endereço de remetente seja classificado como spam. A última coisa que você quer é que o destinatário deixe de acreditar que a sua conta é confiável.
O SPF (Sender Policy Framework, em Inglês), é um método de autenticação de e-mail que identifica quais servidores estão autorizados a enviar mensagens eletrônicas utilizando o nome do seu domínio. Através de sua configuração, é possível especificar quais IPs podem mandar mensagens usando o domínio do remetente, e os números ficam armazenados no servidor DNS (Domain Name System), que traduz nomes de domínio para números de IP.
É por causa do DNS que não precisamos digitar números de IP para acessar websites, por exemplo. Com a configuração do SPF, é possível ao menos validar a identidade do domínio e dificultar as ações maliciosas por parte de terceiros. Em nosso blog, temos um guia completo sobre como configurar o SPF.
Vale lembrar que o SPF apenas valida o domínio e não é capaz de verificar a identidade real do remetente. É importante utilizá-lo em conjunto com outras formas de autenticação, adicionando diversas barreiras de segurança e inibindo ataques no processo.
Dentre as diversas formas de autenticação, sugerimos que você não deixe de configurar o DKIM (Domain Keys Identified E-mail), que gera um certificado de assinatura criptografada e invisível ao cabeçalho da mensagem. O servidor de e-mail do destinatário então valida essas informações, proporcionando mais segurança para sua conta. O DKIM é considerado mais seguro do que o SPF, pois ao adicionar a assinatura criptografada, assegura que a mensagem não poderá ser alterada durante o envio.
Confira mais em nosso guia completo sobre DKIM.
O DMARC (Domain-based Message Authentication Reporting and Conformance ou Relatórios e conformidade de autenticação de mensagem baseada em domínio) utiliza o SPF e o DKIM para autenticar mensagens eletrônicas. Com as outras duas formas configuradas, o DMARC ativa um protocolo que define como mensagens não-autenticadas devem ser tratadas. Em suma, o SPF autentica o seu domínio de e-mail, o DKIM gera uma assinatura criptografada que previne a alteração do conteúdo de um e-mail, e o DMARC estabelece a forma como os e-mails que não foram autenticados pelo SPF e/ou DMARC serão tratados.
Ao utilizar as três técnicas de autenticação, você praticamente elimina a possibilidade de falsificação do seu e-mail e dificulta o phishing. Também temos um guia detalhado sobre DMARC em nosso blog.
O spoofing de e-mail é uma prática cada vez mais constante e pode ser muito prejudicial para a reputação de sua empresa e seus clientes. Não existe uma receita pronta para evitá-lo, mas esperamos que nossas recomendações ajudem a evitar imprevistos e situações mais graves. Lembre-se de que uma ou outra medida pode até ajudar, mas não irá trazer imunidade a esses problemas. Portanto, adote as medidas preventivas, faça todo o processo de autenticação de e-mail, procure estar atento com relação à atividades suspeitas e mantenha sua empresa e staff sempre atualizados com relação à novas medidas de segurança. Prevenir é sempre melhor do que remediar, e nem sempre o dano causado é reversível.
Guia de acessibilidade: como criar e-mails acessíveis
Como criar um email com domínio próprio
E-mail de apresentação de empresa: modelos e dicas
Funil de Vendas para WhatsApp: Dicas para criar
30 formas de usar o WhatsApp para criar mensagens de saudação e aprimorar o seu negócio
O que é spoofing de e-mail e como se proteger desse ataque?
Check your email — the guide is on it’s way to your inbox.
Agende um papo pra você compartilhar sua rotina de tarefas com nosso especialista.
É gratuito e sem compromisso 👉
Muito obrigado por preencher o formulário! 🤗
Logo entraremos em contato para discutir os detalhes do seu projeto e apresentar uma estimativa de custo.
