Os ataques cibernéticos menos complexos continuam representando a maior parte dos estragos para as empresas. De acordo com relatório da IBM deste ano, o phishing ainda é o método mais comum de os criminosos obterem acesso às redes das vítimas.
E a previsão é que a identificação de um e-mail malicioso por meio de seu conteúdo seja cada vez mais complexa daqui em diante, com a sofisticação das ferramentas e dos ataques de phishing impulsionada pela evolução da Inteligência Artificial e do phishing as a Service.
“É por isso que saber detectar e-mails fraudulentos para além da mensagem é fundamental e as pessoas precisam entender como fazer isso para evitar fraudes de engenharia social a partir de uma análise do cabeçalho de e-mail para checar a autenticidade do remetente”, alerta Thiago Barbosa, consultor de segurança em nuvem da Redbelt Security.
Para isto, é preciso ficar atento às informações contidas no cabeçalho dos e-mails, que trazem a origem da mensagem, caminho que o e-mail percorre antes de chegar ao destinatário, endereço IP do remetente e provedor de serviços.
“A revisão dos dados do cabeçalho pode ajudar a identificar quaisquer modificações feitas na estrutura do e-mail, o que pode ser um forte indício de que o e-mail foi enviado com intenção maliciosa. Depois de uma análise, é possível extrair o IP do remetente e configurar uma regra de fluxo de mensagem que bloqueie e-mails vindos deste ip para evitar possíveis fraudes futuras”, explica Barbosa.
Para entender como analisar as informações dos campos do cabeçalho e identificar potenciais ameaças de segurança no e-mail, é interessante utilizar o Analisador de Mensagem da Microsoft para compreender os campos do cabeçalho, porque cada provedor de e-mail tem um caminho diferente para que o usuário acesse o cabeçalho completo de uma mensagem.
No Gmail, por exemplo, devem ser seguidos passos como abrir o e-mail onde está o cabeçalho que se quer ver; ao lado de responder clicar em “Mais” e “mostrar original”. O próximo passo é fazer uma interpretação correta das informações e analisar sua estrutura cronologicamente, isto é, de cima para baixo.
No campo “Delivered To” que são adicionados pelos servidores os e-mails que foram envolvidos no processo de entrega e mostrados os endereços dos destinatários finais para os quais a mensagem foi entregue. Com isto, é possível rastrear qual conta de e-mail recebeu a mensagem, principalmente em casos de encaminhamento ou redirecionamento.
No Received são incluídos pelos servidores os e-mails pelos quais a mensagem passa durante sua entrega e encontradas as informações relevantes de cada servidor, o que geralmente inclui seu endereço IP ou nome, data e hora em que a mensagem foi recebida.
Neste campo são listados na ordem inversa, ou seja, o servidor mais recente é listado em primeiro lugar. A sequência de servidores permite rastrear o trajeto da mensagem desde o remetente até o destinatário final. Além disso, é possível identificar atrasos, problemas de entrega ou possíveis manipulações.
O campo “X-Received” é semelhante ao campo “Received”, mas é usado para registros internos ou para especificar informações adicionais sobre o processo de entrega. Ele pode conter detalhes específicos do servidor, como informações sobre o protocolo utilizado para a entrega da mensagem ou outras informações internas de rastreamento.
Já o “Return-Path” indica o endereço de e-mail para o qual as mensagens de resposta devem ser enviadas e é definido pelo servidor de envio, que geralmente corresponde ao endereço do remetente original. É importante observar que o campo From pode ser falsificado, mas o campo “Return-Path” é usado para fins de entrega e não pode ser facilmente alterado por intermediários.
O “Received From” fornece informações sobre o servidor de origem a partir do qual a mensagem foi recebida e contém o endereço IP ou o nome do servidor e é adicionado pelo servidor intermediário, que recebeu a mensagem da origem. Esse campo é útil para identificar a primeira etapa do percurso da mensagem e pode ajudar a rastrear sua origem.
O “Received-SPF”, por sua vez contém informações sobre a verificação SPF (SenderPolicy Framework) realizada na mensagem e é um mecanismo de autenticação, que possibilita aos administradores de domínio especificarem os servidores de e-mail que são autorizados a enviar mensagens em nome de seu domínio.
Esse campo indica se a mensagem passou ou falhou na verificação SPF. Uma passagem bem-sucedida indica que o servidor de envio está autorizado a enviar e-mails em nome do domínio de origem, aumentando a confiança na autenticidade do remetente.
O campo “Authentication-Results” traz dados sobre os resultados das verificações de autenticação realizadas na mensagem e inclui informações sobre a autenticidade do remetente, podendo abranger diferentes técnicas de autenticação, como SPF, DKIM e DMARC. Os resultados das verificações são relatados neste campo para informar o destinatário sobre a autenticidade e confiabilidade da mensagem.
O DKIM-Signature contém a assinatura DKIM (DomainKeys Identified Mail) aplicada à mensagem e é um método de autenticação de e-mail que utiliza criptografia assimétrica para verificar a integridade e autenticidade da mensagem.
O remetente adiciona uma assinatura criptográfica ao cabeçalho da mensagem usando uma chave privada, enquanto o servidor de recebimento verifica essa assinatura usando a chave pública armazenada no registro DNS do domínio. Este campo traz dados que incluem o domínio usado para assinar e o identificador da chave pública. A verificação do DKIM ajuda a garantir que a mensagem não tenha sido modificada durante a transmissão e que o remetente seja autêntico.
“A análise cuidadosa dos cabeçalhos e de seus campos ajudam a nos resguardar de informações referente ao histórico, a autenticidade e o trajeto das mensagens. Sabendo interpretar as informações fornecidas pelo cabeçalho, é possível confirmar o remetente, identificar ameaças de segurança e rastrear a mensagem até sua origem para evitar possíveis fraudes e ataques de Phishing. Com esse cuidado teremos ainda mais como proteger as informações sigilosas pessoais e empresariais”, conclui Barbosa.
