Os ataques cibernéticos menos complexos continuam representando a maior parte dos estragos para as empresas. De acordo com o relatório da IBM deste ano, o phishing ainda é o método mais comum de os criminosos obterem acesso às redes das vítimas.
E o cenário não deve ficar mais fácil: a previsão é que a identificação de um e-mail malicioso através de seu conteúdo seja cada vez mais complexa daqui em diante, com a sofisticação das ferramentas e dos ataques de phishing impulsionada pela evolução da Inteligência Artificial e do phishing as a Service (PaaS).
É por isso que saber detectar e-mails fraudulentos para além da mensagem é fundamental. Neste artigo, você vai entender como fazer isso, evitando fraudes de engenharia social a partir de uma análise do cabeçalho de e-mail para checar a autenticidade do remetente.
Mas afinal, quais informações estão contidas no cabeçalho de e-mail?
O cabeçalho de e-mail, também conhecido por Header, é uma parte fundamental da mensagem. Ele é um registro de informações que contém todo o histórico do e-mail. Entre essas informações, estão:
· A origem da mensagem;
· O caminho que o e-mail fez antes de chegar ao destinatário;
· O endereço IP do remetente;
· O provedor de serviços.
A revisão dos dados do cabeçalho pode ajudar a identificar uma “modificação de cabeçalho”, que é um forte indício de que o e-mail foi enviado com intenção maliciosa. Após uma análise, é possível extrair o IP do cabeçalho e configurar uma regra de fluxo de mensagem que bloqueie e-mails com esse IP para evitar possíveis fraudes futuras.
A seguir, você entenderá como analisar as informações dos campos do cabeçalho para identificar potenciais ameaças de segurança no e-mail. Você pode fazer essa análise através do Analisador de Mensagem da Microsoft.
Compreendendo os campos do cabeçalho
Cada provedor de e-mail tem um caminho diferente para ousuário acessar o cabeçalho completo de uma mensagem. No Gmail, por exemplo,siga esses passos:
- Abra o e-mail onde está o cabeçalho que você quer ver.
- Ao lado de Responder ↩ clique em Mais ⁝ › Mostrar original.
A imagem acima é um exemplo de cabeçalho. Para fazer uma interpretação correta das informações, é importante analisar sua estrutura cronologicamente, isto é, de cima para baixo.
1. Delivered-To:
Este campo é adicionado pelos servidores de e-mail que foram envolvidos no processo de entrega e mostra o endereço de e-mail do destinatário final para o qual a mensagem foi entregue. Com ele, você consegue rastrear qual conta de e-mail recebeu a mensagem, principalmente em casos de encaminhamento ou redirecionamento de e-mails.
2. Received:
Esse campo é adicionado por cada um dos servidores de e-mail pelos quais a mensagem passa durante sua entrega. Nele se encontram informações relevantes de cada servidor, o que geralmente inclui seu endereço IP ou o nome, a data e a hora em que a mensagem foi recebida.
Os campos Received são listados na ordem inversa, ou seja, o servidor mais recente é listado em primeiro lugar. A sequência de servidores permite rastrear o trajeto da mensagem desde o remetente até o destinatário final. Além disso, também pode ajudar a identificar atrasos, problemas de entrega ou possíveis manipulações.
3. X-Received:
O campo X-Received é semelhante ao campo Received, mas é usado para registros internos ou para especificar informações adicionais sobre o processo de entrega. Ele pode conter detalhes específicos do servidor, como informações sobre o protocolo utilizado para a entrega da mensagem ou outras informações internas de rastreamento.
4. Return-Path:
Este campo indica o endereço de e-mail para o qual as mensagens de resposta devem ser enviadas. Ele é definido pelo servidor de envio e geralmente corresponde ao endereço do remetente original. É importante observar que o campo From pode ser falsificado, mas o campo Return-Path é usado para fins de entrega e não pode ser facilmente alterado por intermediários.
5. Received From:
O campo Received From fornece informações sobre o servidor de origem a partir do qual a mensagem foi recebida. Ele pode conter o endereço IP ou o nome do servidor e é adicionado pelo servidor intermediário que recebeu a mensagem da origem. Esse campo é útil para identificar a primeira etapa do percurso da mensagem e pode ajudar a rastrear sua origem.
6. Received-SPF:
O campo Received-SPF contém informações sobre a verificação SPF (SenderPolicy Framework) realizada na mensagem. O SPF é um mecanismo de autenticação que permite que os administradores de domínio especifiquem os servidores de e-mail que são autorizados a enviar mensagens em nome de seu domínio. Esse campo indica se a mensagem passou ou falhou na verificação SPF. Uma passagem bem-sucedida indica que o servidor de envio está autorizado a enviar e-mails em nome do domínio de origem, aumentando a confiança na autenticidade do remetente.
– Pass: a fonte é válida
– Softfail: fonte falsa possível
– Fail: a fonte é inválida
– Neutral: validade da fonte difícil de determinar
– None: registro SPF não encontrado
– Unknown: a verificação do SPF não pode ser executada
– Error: um erro que ocorre durante a verificação do SPF
7. Authentication-Results:
O campo Authentication-Results fornece informações sobre os resultados das verificações de autenticação realizadas na mensagem. Ele inclui informações sobre a autenticidade do remetente e pode abranger diferentes técnicas de autenticação, como SPF, DKIM e DMARC. Os resultados das verificações são relatados neste campo para informar o destinatário sobre a autenticidade e aconfiabilidade da mensagem.
8. DKIM-Signature:
O campo DKIM-Signature contém a assinatura DKIM (DomainKeys Identified Mail)aplicada à mensagem. O DKIM é um método de autenticação de e-mail que utiliza criptografia assimétrica para verificar a integridade e autenticidade da mensagem. O remetente adiciona uma assinatura criptográfica ao cabeçalho da mensagem usando uma chave privada, enquanto o servidor de recebimento verifica essa assinatura usando a chave pública armazenada no registro DNS do domínio. O campo DKIM-Signature no cabeçalho do e-mail contém informações sobre a assinatura DKIM aplicada à mensagem, incluindo o domínio usado para assinar e o identificador da chave pública. A verificação do DKIM ajuda a garantir que a mensagem não tenha sido modificada durante a transmissão e que o remetente seja autêntico.
A análise cuidadosa dos cabeçalhos e de seus campos ajuda a compreender o histórico, a autenticidade e o trajeto das mensagens. Sabendo ler as informações fornecidas pelo cabeçalho, é possível confirmar o remetente, identificar ameaças de segurança e rastrear a mensagem até sua origem para evitar possíveis fraudes e ataques de Phishing e proteger as informações pessoais e empresariais.
Thiago Barbosa, consultor de segurança em nuvem
