O que é spoofing de e-mail e como se proteger desse ataque?

email-spoofing
08/05/2025 • ... • 1 visualizações
Leandro Ferreira
Escrito por Leandro Ferreira

Cartões clonados, perfis em mídias sociais roubados, e-mails com vírus e muitas outras ameaças cibernéticas permeiam o dia-a-dia de quem utiliza a Internet, seja para trabalho, estudo ou entretenimento. Em muitos desses casos, tais práticas trazem inconveniências e contratempos para a vítima, mas o potencial de dano pode ser maior se a conta afetada não for pessoal, e sim de sua empresa. Um ataque comum e cada vez mais perigoso nos tempos atuais é o Spoofing, que pode ser traduzido do Inglês como “falsificação”.

Trata-se de uma prática maliciosa onde um usuário desconhecido consegue se passar por outra pessoa ou empresa, falsificando sua identidade e enganando os destinatários. Assim, os clientes da sua empresa podem ser vítimas de fraude, vazamento de dados e outras ações prejudiciais causadas por um terceiro que está utilizando seu nome ilegalmente. Nesse post vamos explicar e exemplificar melhor como a prática funciona, além de trazer dicas para evitar prejuízos para você, sua empresa e seus clientes.

O que é spoofing de e-mail?

Uma captura de tela demonstrando um exemplo de spoofing. O remetente mal-intencionado se passa pela Receita Federal e a mensagem contém um link de pagamento, provavelmente contendo malware.
Cuidado para não clicar no link oferecido, é justamente isso que eles querem

O spoofing de e-mail nada mais é do que uma falsificação onde um agente malicioso envia mensagens de um endereço de remetente falso, assumindo uma outra identidade – no caso, a sua ou de sua empresa. A ideia do ataque é fingir ser um contato conhecido ou canal oficial de uma instituição, para depois se utilizar da confiança e obter dados pessoais ou acesso autorizado a plataformas, fazer cobranças indevidas ou cometer outros tipos de fraude.

Em linhas gerais, o usuário que executa o ataque consegue alterar os metadados de um e-mail (por exemplo, alterando o campo “De:”), se passando por outro remetente. Como os servidores de e-mail não são capazes de autenticar a origem de um e-mail por conta própria, os protocolos padrão de segurança acreditam que a origem do e-mail é real. Os ataques de spoofing utilizam o mesmo domínio de e-mail do remetente, e um servidor de e-mail irá, a princípio, apenas validar o endereço do qual o e-mail foi enviado. 

Os protocolos de segurança padrão não são capazes de dizer ao destinatário que o e-mail “[email protected]” não pertence à mesma pessoa que o endereço “[email protected]”. Um “r” a mais é quase imperceptível para quem não está prestando atenção, e como o endereço é real, o usuário que recebe a mensagem pode ser enganado ao pensar que realmente está falando com a pessoa correta.

Breve histórico da falsificação de e-mail

Os primeiros ataques de falsificação de e-mail foram registrados em 1996, quando hackers criaram endereços falsos se utilizando de números fraudulentos de cartões de crédito. Eles depois usariam as contas de e-mail falsas para manipular outros usuários a ceder informações pessoais e dados bancários. A forma de aplicar o golpe, porém, foi um pouco diferente – eles também se utilizaram do phishing, e é importante saber a diferença.

Qual é a diferença entre spoofing de e-mail e phishing?

No spoofing, a fraude está justamente na falsificação do endereço de e-mail. Ou seja, o usuário malicioso se passa por outra pessoa para depois tomar vantagem de um destinatário que imagina estar falando com alguém que confia. Já o phishing é uma forma de obter dados e informações pessoais através de engenharia social. A engenharia social é um método usado para enganar, manipular ou explorar a confiança das pessoas sem violência física, buscando fazer com que a vítima realize voluntariamente ações prejudiciais a si mesma, como divulgar informações sensíveis ou transferir dinheiro para desconhecidos. Quando alguém convence uma pessoa a divulgar sua senha, está realizando uma ação de engenharia social. Se alguém obriga uma pessoa a dar sua senha sob ameaça de violência, isso não é engenharia social. No phishing o golpista não assume, necessariamente, uma outra identidade.

O modus operandi do phishing é mais complexo: o primeiro passo é obter informações relevantes sobre o comportamento da vítima, para depois fazer contato, obter a confiança dela e aí extrair dados pessoais, como endereço, conta bancária, senhas, ou pedir dinheiro através de depósitos bancários. A principal diferença é que a relação de confiança no phishing se estabelece através do contato e da interação, enquanto que no spoofing, ela é pressuposta porque o destinatário acha que está falando com alguém que já conhece e confia.

O spoofing, portanto, pode ser um fator facilitador para o phishing. Porém, o phishing não é uma falsificação propriamente dita, e sim, uma mentira bem contada.

Como funciona o spoofing de e-mail?

Compare um e-mail à uma carta: ela tem um campo de remetente, outro de destinatário e a mensagem em si. A agência nacional de Correios de qualquer país não é capaz de autenticar ou provar que quem escreveu a mensagem é realmente a pessoa cujo nome está no campo “remetente”. O mesmo acontece com as mensagens eletrônicas, e o cabeçalho também oferece similaridades. Um spoofer pode personalizar os seguintes campos:

  • E-mail de:
  • Responder a:
  • De:
  • Assunto:
  • Data:
  • Para:

Assim, quando o e-mail chega na caixa do destinatário, é difícil saber a origem real da mensagem, já que as informações geradas pelo servidor de e-mail parecem estar corretas. Alguns criadores de spam utilizam software especializado para obter listas aleatórias de endereços de e-mail para serem utilizados em spoofing. Em um mundo onde tudo acontece muito rápido e somos constantemente bombardeados com informações, mensagens em mídias sociais e demandas, fica fácil só não perceber que há uma inconsistência, e é com isso que os fraudadores contam.

Exemplos de spoofing de e-mail

Uma captura de tela demonstrando uma tentativa de spoofing na qual o remetente acusa uma irregularidade fiscal grave e fornece um link com o texto “regularizar situação agora”.
O texto é convincente, a mensagem também provoca certa insegurança e pânico. É assim que os spoofers agem

O ataque de spoofing é feito utilizando o seu mesmo domínio de e-mail, mas se aproveitando de uma possível desatenção da vítima. Pode ser algo muito simples, como alguém se passando por outra pessoa que tem o endereço “[email protected]” e adicionando um novo “s”. Assim, obtemos “[email protected]” e fica fácil entender como nem sempre o destinatário irá perceber isso.

A partir da mensagem enviada, o fraudador busca então obter informações pessoais ou enviar links com malware, podendo inclusive invadir o computador pessoal de alguém. Um outro exemplo comum é realizar cobranças indevidas, pedir depósitos bancários urgentes ou dinheiro emprestado. A prática é extremamente prejudicial caso seja bem-sucedida, já que pode causar grandes transtornos às vítimas. Ao mesmo tempo, elas poderão responsabilizar você e a sua empresa por essa brecha de segurança.

Como se proteger contra o spoofing de e-mail

Adote medidas preventivas de segurança

Para se proteger do spoofing de e-mail, o primeiro passo é saber identificar comportamentos suspeitos. Se você receber avisos de e-mail não recebidos ou comunicando falha na entrega para endereços que você desconhece, esse é um sintoma de que seu endereço foi falsificado. Podemos considerar boas práticas, nesse caso:

  • Alterar a senha da conta imediatamente
  • Comunicar sua base de contatos sobre possíveis ataques
  • Utilizar um e-mail diferente para fins pessoais, preservando a sua privacidade.

Configure a autenticação de e-mail

Para proteger os usuários, os ISP (Internet Service Providers) tentam verificar a fonte do e-mail, buscando saber se o remetente é real e confiável. Caso não seja, o e-mail será diretamente enviado para a caixa de spam do destinatário. A autenticação de e-mail é um conjunto de protocolos e métodos e, se feita corretamente, poderá evitar a falsificação do seu endereço de e-mail. 

Assim como utilizamos a autenticação em dois fatores para aplicativos importantes como aplicativos bancários, a autenticação de e-mail pode ser feita de várias formas, e principalmente, em várias camadas. Você pode obter mais dicas sobre autenticação de e-mail em nosso blog. Uma outra vantagem da autenticação é que sua reputação de envio será preservada, evitando que seu endereço de remetente seja classificado como spam. A última coisa que você quer é que o destinatário deixe de acreditar que a sua conta é confiável.

Configure o SPF

O SPF (Sender Policy Framework, em Inglês), é um método de autenticação de e-mail que identifica quais servidores estão autorizados a enviar mensagens eletrônicas utilizando o nome do seu domínio. Através de sua configuração, é possível especificar quais IPs podem mandar mensagens usando o domínio do remetente, e os números ficam armazenados no servidor DNS (Domain Name System), que traduz nomes de domínio para números de IP.

É por causa do DNS que não precisamos digitar números de IP para acessar websites, por exemplo. Com a configuração do SPF, é possível ao menos validar a identidade do domínio e dificultar as ações maliciosas por parte de terceiros. Em nosso blog, temos um guia completo sobre como configurar o SPF.

Vale lembrar que o SPF apenas valida o domínio e não é capaz de verificar a identidade real do remetente. É importante utilizá-lo em conjunto com outras formas de autenticação, adicionando diversas barreiras de segurança e inibindo ataques no processo.

Configure o DKIM

Dentre as diversas formas de autenticação, sugerimos que você não deixe de configurar o DKIM (Domain Keys Identified E-mail), que gera um certificado de assinatura criptografada e invisível ao cabeçalho da mensagem. O servidor de e-mail do destinatário então valida essas informações, proporcionando mais segurança para sua conta. O DKIM é considerado mais seguro do que o SPF, pois ao adicionar a assinatura criptografada, assegura que a mensagem não poderá ser alterada durante o envio.

Confira mais em nosso guia completo sobre DKIM.

Configure o DMARC

O DMARC (Domain-based Message Authentication Reporting and Conformance ou Relatórios e conformidade de autenticação de mensagem baseada em domínio) utiliza o SPF e o DKIM para autenticar mensagens eletrônicas. Com as outras duas formas configuradas, o DMARC ativa um protocolo que define como mensagens não-autenticadas devem ser tratadas. Em suma, o SPF autentica o seu domínio de e-mail, o DKIM gera uma assinatura criptografada que previne a alteração do conteúdo de um e-mail, e o DMARC estabelece a forma como os e-mails que não foram autenticados pelo SPF e/ou DMARC serão tratados.

Ao utilizar as três técnicas de autenticação, você praticamente elimina a possibilidade de falsificação do seu e-mail e dificulta o phishing. Também temos um guia detalhado sobre DMARC em nosso blog.

Considerações finais

O spoofing de e-mail é uma prática cada vez mais constante e pode ser muito prejudicial para a reputação de sua empresa e seus clientes. Não existe uma receita pronta para evitá-lo, mas esperamos que nossas recomendações ajudem a evitar imprevistos e situações mais graves. Lembre-se de que uma ou outra medida pode até ajudar, mas não irá trazer imunidade a esses problemas. Portanto, adote as medidas preventivas, faça todo o processo de autenticação de e-mail, procure estar atento com relação à atividades suspeitas e mantenha sua empresa e staff sempre atualizados com relação à novas medidas de segurança. Prevenir é sempre melhor do que remediar, e nem sempre o dano causado é reversível.

Artigo escrito por
Leandro Ferreira
Natural de Campinas, sou criador de conteúdo, jornalista, professor de Inglês e faço música eletrônica nas horas vagas. Tutor de quatro pets e apaixonado por cinema e videogames.
Saiba mais Leandro
Artigos mais recentes

O que facilita seu começo

Agende um papo pra você compartilhar sua rotina de tarefas com nosso especialista.

É gratuito e sem compromisso 👉

Leia a Política de Privacidade e marque a caixa primeiro.
Precisamos do seu consentimento para dar o pontapé inicial :)
Jônatas | Selzy

Muito obrigado por preencher o formulário! 🤗

Logo entraremos em contato para discutir os detalhes do seu projeto e apresentar uma estimativa de custo.