Boas Práticas para prevenção a ataques de e-mail Spoofing

Picture of Kaique Bonato

Kaique Bonato

Boas Práticas para prevenção a ataques de e-mail Spoofing

O que é Spoofing?

Spoofing é uma técnica cibernética na qual um invasor falsifica a identidade de um remetente legítimo em comunicações digitais, como e-mails, chamadas telefônicas ou sites, tudo isso com o objetivo de enganar o destinatário, levando-o a tomar ações prejudiciais, como compartilhar dados sensíveis ou clicar em links maliciosos.

O que é o Spoofing?

Como funciona o Spoofing?

Os atacantes utilizam ferramentas para modificar cabeçalhos de e-mail, URLs ou IDs de chamada, fazendo com que pareçam originados de fontes confiáveis. A maioria das empresas que divulgam tal conhecimento, utilizam como exemplo comum o phishing, mas ainda que esses tópicos estejam relacionados entre si, é necessário atenção para as diferenças.

Spoofing é o ato de falsificar uma identidade digital, com objetivo principal de estabelecer uma base de confiança com a vítima, permitindo que o invasor passe despercebido, ou seja, visa enganar os sistemas ou destinatários para aceitar a falsa identidade como legítima. Ele é frequentemente o “primeiro passo” de um ataque mais complexo.

Phishing é uma tática que utiliza mensagens fraudulentas (como e-mails, SMS ou sites falsos) para induzir a vítima a fornecer informações sensíveis, como senhas, números de cartão de crédito ou dados bancários.

Aspecto Spoofing Phishing
Natureza Técnica de falsificação de identidade. Método de engenharia social.
Objetivo Principal Enganar sistemas ou destinatários sobre a origem. Roubo de informações ou dinheiro.
Como opera? Manipula cabeçalhos, URLs ou IDs. Usa comunicações fraudulentas para convencer.
Relacionamento Pode ser usado como parte de um ataque de phishing. Muitas vezes depende do spoofing para ser eficaz.

 

Como funciona o Spoofing?

Alguns exemplos práticos de relação entre Spoofing e Phishing:

  • Um atacante realiza spoofing de e-mail, falsificando o endereço de uma empresa legítima.
  • Depois, ele envia um e-mail com um link para um site falso, pedindo que o destinatário atualize suas informações bancárias (phishing).
  • A vítima confia no e-mail por causa do spoofing e acaba caindo no phishing.

Embora frequentemente usados juntos, spoofing é uma técnica subjacente que sustenta ataques como o phishing. No entanto, nem todo ataque de spoofing é phishing (por exemplo, spoofing de IP para mascarar a origem de um ataque DDoS).

Por que então o Spoofing?

Spoofing surgiu ativamente com a popularização da internet nos anos 1990, mas a técnica teve origem ainda antes, no contexto das redes de telefonia.

Com o tempo acompanhado do desenvolvimento da internet, IP e e-mails, começou a ser amplamente utilizado em ataques cibernéticos devido à sua versatilidade e capacidade de enganar sistemas e usuários humanos. Alguns exemplos que podem ser citados:

  1. Roubo de Dados Pessoais e Corporativos

Um atacante pode enviar e-mails falsificados simulando ser um banco ou uma empresa de tecnologia, pedindo dados como senhas ou números de cartão de crédito.

Exemplo: O caso Target em 2013, onde e-mails falsificados foram usados para comprometer credenciais de fornecedores, levando ao roubo de dados de milhões de clientes.

  1. Espionagem Corporativa

Spoofing pode ser usado para obter informações confidenciais de empresas por meio de técnicas de engenharia social, como spear phishing.

Por exemplo, um invasor pode falsificar o e-mail de um CEO solicitando dados financeiros sensíveis.

  1. Disseminação de Malware

Falsificar um e-mail ou site legítimo para enganar vítimas a baixarem arquivos maliciosos.

Exemplo: Campanhas de ransomware, como o WannaCry, muitas vezes envolvem spoofing de e-mails para parecerem mensagens oficiais.

  1. Fraudes Financeiras

Atacantes simulam ser instituições financeiras e convencem vítimas a transferirem dinheiro ou divulgarem informações bancárias.

  1. Manipulação de Sistemas e Redes

No caso de IP Spoofing, falsificar endereços IP permite que invasores escondam suas origens e realizem ataques, como DDoS (Negação de Serviço Distribuída).

Por que o Spoofing é tão efetivo?

Spoofing é altamente eficaz porque explora uma característica fundamental da interação humana: a confiança. Os atacantes aproveitam nossa predisposição em confiar em marcas reconhecidas, autoridades ou até mesmo mensagens que aparentam vir de pessoas próximas. Essa confiança natural, somada à falta de familiaridade com os riscos cibernéticos, torna muitas pessoas vulneráveis.

Além disso, muitos dos protocolos que sustentam a comunicação digital, como o SMTP usado para envio de e-mails ou o DNS que resolve endereços de sites, foram projetados décadas atrás, em um contexto onde a segurança não era prioridade. Essas deficiências estruturais criam brechas que facilitam a falsificação de identidades.

Outro fator que contribui para a popularidade do spoofing entre criminosos é o baixo custo de execução aliado ao potencial de grandes recompensas. Ferramentas de falsificação são amplamente acessíveis e permitem ataques em larga escala, tornando a técnica uma escolha comum para cibercriminosos que buscam maximizar ganhos com o mínimo de esforço.

Vantagens para atacantes:

  1. Simplicidade de implementação com ferramentas acessíveis.
  2. Alto potencial de retorno financeiro.

Desvantagens:

  1. Dependência de vítimas desatentas.
  2. Ferramentas de prevenção, como SPF, DKIM e DMARC, dificultam os ataques.

Como se prevenir:

  1. Implementar protocolos de autenticação como SPF, DKIM e DMARC.
  2. Treinamento de usuários para identificar mensagens suspeitas.
  3. Uso de filtros anti-spam e firewalls.
  4. Evitar cliques em links desconhecidos e verificar remetentes.

Em relação à prevenção, os protocolos SPF, DKIM e DMARC desempenham papéis cruciais na proteção das comunicações por e-mail, atuando como uma defesa contra técnicas maliciosas como spoofing e phishing. Antes de entrar nos detalhes desses protocolos específicos, é importante entender o que são protocolos no contexto tecnológico.

Um protocolo é um conjunto de regras que define como dispositivos ou sistemas devem se comunicar. Ele estabelece padrões para transmitir e receber informações de maneira eficiente e segura. No caso dos e-mails, protocolos como SMTP, POP3 e IMAP governam o envio e recebimento de mensagens, mas foram projetados em uma época em que a segurança não era uma grande preocupação, deixando brechas exploradas por cibercriminosos.

Com o aumento das ameaças digitais, surgiram os protocolos de autenticação de e-mails, cada um com uma função específica:

  • SPF (Sender Policy Framework) verifica quais servidores estão autorizados a enviar e-mails em nome de um domínio.
  • DKIM (DomainKeys Identified Mail) garante que a mensagem não foi alterada durante o trânsito, utilizando assinaturas digitais.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF e DKIM, definindo políticas para lidar com mensagens suspeitas e fornecendo relatórios sobre tentativas de falsificação.

Por que esses protocolos são separados?

Embora complementares, SPF, DKIM e DMARC possuem funções específicas que atendem a necessidades diferentes.

  • O SPF verifica a legitimidade do servidor de envio.
  • O DKIM autentica a integridade do conteúdo.
  • O DMARC gerencia ambos e fornece um sistema robusto de monitoramento e resposta a tentativas de falsificação.

Embora sejam complementares, esses protocolos possuem diferenças em suas implementações e objetivos. Eles trabalham juntos para garantir uma camada de segurança abrangente e serão explicados individualmente nos próximos tópicos, destacando suas características e benefícios.

SPF (Sender Policy Framework)

SPF (Sender Policy Framework)

O Sender Policy Framework (SPF) é um protocolo de autenticação de e-mails que ajuda a combater a falsificação de endereços de remetentes. Ele permite que um domínio especifique quais servidores de e-mail estão autorizados a enviar mensagens em seu nome, minimizando o risco de spoofing e phishing. O termo “Framework” no nome destaca que o SPF é uma estrutura que define regras específicas para validação dos servidores de envio.

  1. O administrador de um domínio publica um registro SPF no DNS (Domain Name System), contendo uma lista de servidores autorizados a enviar e-mails em nome do domínio.
  2. Quando um e-mail é enviado, o servidor de destino verifica o endereço IP do remetente e o compara com a lista autorizada no registro SPF.
  3. Se o IP estiver na lista, o e-mail é considerado autêntico.
  4. Caso contrário, ele pode ser rejeitado, marcado como suspeito ou aceito, dependendo da política configurada.

Exemplo:

Se o domínio “example.com” define no DNS que apenas os servidores com IPs 192.168.1.1 e 192.168.1.2 podem enviar e-mails, qualquer mensagem vinda de outro IP será tratada como suspeita.

Vantagens

  • Reduz o envio de mensagens fraudulentas em nome do domínio.
  • Fácil de implementar e amplamente suportado.

Limitações

  • Não verifica a integridade do conteúdo do e-mail, apenas a origem.
  • Ineficaz contra redirecionamento de e-mails por terceiros (como encaminhamentos).

Configurando o SPF (Sender Policy Framework)

  1. Identifique os servidores de e-mail autorizados, ou seja, liste todos os servidores que estão autorizados a enviar e-mails em nome do seu domínio. Isso inclui servidores de e-mail internos, serviços de e-mail marketing e quaisquer terceiros que enviem e-mails em seu nome.
  2. Crie o registro SPF: Com base na lista de servidores autorizados, crie um registro SPF no formato TXT para adicionar ao seu DNS. O registro deve especificar quais IPs ou domínios têm permissão para enviar e-mails. Por exemplo:

v=spf1 ip4:192.0.2.0/24 include:mail.exemplo.com -all

  • v=spf1 indica a versão do SPF.
  • ip4:192.0.2.0/24 autoriza um bloco de endereços IPv4.
  • include:mail.exemplo.com permite que o domínio mail.exemplo.com envie e-mails em seu nome.
  • -all especifica que apenas os servidores listados estão autorizados; todos os outros não estão.

Adicione o registro SPF ao DNS: Acesse o painel de gerenciamento do seu provedor de DNS e adicione o registro TXT criado ao seu domínio.

Como funciona o teste: Quando um e-mail é enviado, o servidor de e-mail do destinatário consulta o registro DNS do domínio do remetente em busca do registro SPF. Esse registro contém uma lista de servidores autorizados a enviar e-mails em nome do domínio. O servidor receptor compara o IP do remetente com a lista autorizada.

  1. Cenário esperado:

Se o IP do servidor de envio estiver listado no registro SPF, o e-mail será considerado autêntico e passará na verificação.

Caso contrário, será sinalizado como falho.

  1. Como testar manualmente:

Utilize ferramentas como o MXToolbox SPF Record Lookup.

Insira seu domínio na ferramenta para verificar se os registros SPF estão configurados corretamente.

  1. Erro comum identificado:

Caso a configuração esteja incorreta, o teste retornará mensagens como “PermError” (erro permanente de política) ou “Fail” (falha na validação do remetente).

DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail)

O DomainKeys Identified Mail (DKIM) adiciona uma camada de segurança ao e-mail, verificando a integridade do conteúdo da mensagem e garantindo que ela não foi alterada durante o trânsito. O termo “DomainKeys” reflete o uso de chaves criptográficas associadas ao domínio do remetente para autenticação.

  1. O remetente configura o domínio com uma chave privada que será usada para assinar digitalmente o cabeçalho de cada e-mail enviado.
  2. A chave pública correspondente é publicada no DNS do domínio.
  3. Quando o e-mail chega ao destinatário, o servidor utiliza a chave pública para verificar a assinatura.
  4. Se a assinatura corresponder, significa que o e-mail é autêntico e não foi alterado.
  5. Caso contrário, o e-mail é considerado suspeito.

Benefícios e Aplicações

  • Verifica a autenticidade e integridade do conteúdo do e-mail.
  • Reduz significativamente o risco de ataques onde o conteúdo da mensagem é adulterado.

Vantagens

  • Garante que o conteúdo permaneça íntegro durante o envio.
  • Complementa outros métodos de autenticação como o SPF.

Limitações

  • Complexidade de configuração inicial.
  • Não impede falsificação se usados isoladamente, já que não verifica a origem do IP.

Configurando o DKIM

  1. Gere um par de chaves DKIM: Utilize seu servidor de e-mail ou uma ferramenta específica para gerar uma chave pública e uma chave privada. A chave privada será usada para assinar os e-mails, e a chave pública será publicada no DNS.
  2. Publique a chave pública no DNS: Crie um registro TXT no seu DNS com o seletor escolhido e a chave pública. O nome do registro geralmente segue o formato seletor._domainkey.seudominio.com.
  3. Configure o servidor de e-mail: Configure seu servidor de e-mail para assinar as mensagens de saída com a chave privada correspondente.

Como funciona o teste: O teste de DKIM verifica se o e-mail recebido contém uma assinatura válida no cabeçalho, correspondente à chave pública publicada no DNS do domínio do remetente. A chave pública é usada para decodificar a assinatura digital inserida no e-mail e verificar a integridade do conteúdo.

  1. Cenário esperado:

Se a assinatura for validada com sucesso, significa que o conteúdo do e-mail não foi alterado durante o envio.

Caso a validação falhe, o e-mail pode ser sinalizado como suspeito.

  1. Como testar manualmente:

Envie um e-mail para serviços como o DKIM Validator.

O serviço analisará o e-mail, verificando a assinatura digital e confirmando se a chave pública corresponde ao domínio.

  1. Erro comum identificado:

Mensagens como “DKIM signature not found” indicam que o cabeçalho DKIM não está presente ou que o domínio usado no e-mail não corresponde ao DNS configurado.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

O DMARC é um protocolo que combina SPF e DKIM em uma política de autenticação coesa, fornecendo maior controle sobre como mensagens não autenticadas devem ser tratadas. “Conformance” no nome refere-se à padronização de políticas para garantir conformidade e segurança no envio de e-mails.

  1. O administrador do domínio publica uma política DMARC no DNS, especificando o que fazer com mensagens que falham em SPF ou DKIM (rejeitar, colocar na caixa de spam ou nenhuma ação).
  2. Além de especificar ações, o DMARC oferece relatórios detalhados sobre tentativas de envio de e-mails não autorizados.
  3. Ao receber um e-mail, o servidor destinatário verifica se ele passa na autenticação SPF ou DKIM e segue a política definida pelo DMARC.

Vantagens e Benefícios

  • Unificação: Combina os pontos fortes de SPF e DKIM para maior eficácia.
  • Relatórios: Fornece informações valiosas sobre tentativas de ataque contra o domínio.
  • Controle: Permite que os administradores decidam como lidar com mensagens suspeitas.

Limitações

  • A configuração correta de DMARC depende de uma implementação bem-feita de SPF e DKIM.
  • Pode levar tempo para ajustar as políticas sem afetar mensagens legítimas.

Configurando o DMARC

  1. Crie a política DMARC: Decida como deseja que os e-mails que falhem nas verificações SPF e DKIM sejam tratados. Uma política DMARC típica pode ser:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=quarantine; adkim=s; aspf=s

  • p=none define a política principal (nenhuma ação, apenas monitoramento).
  • rua e ruf especificam os endereços de e-mail para onde os relatórios agregados e de falhas serão enviados.
  • sp=quarantine define a política para subdomínios (neste caso, quarentena).
  • adkim=s e aspf=s definem o alinhamento estrito para DKIM e SPF, respectivamente.
  1. Publique o registro DMARC no DNS: Adicione um registro TXT ao seu DNS com o nome _dmarc.seudominio.com e o valor contendo a política DMARC definida.

Como funciona o teste: O DMARC combina os resultados do SPF e DKIM para determinar como o servidor destinatário deve tratar os e-mails que falham na autenticação. Um teste de DMARC avalia se o domínio está publicando uma política adequada no DNS e se os relatórios de monitoramento estão sendo gerados.

  1. Cenário esperado:

O teste verifica a presença de um registro DMARC no DNS e avalia se a política definida (none, quarantine ou reject) está sendo aplicada corretamente.

  1. Como testar manualmente:

Use ferramentas como o DMARC Analyzer.

Insira seu domínio para validar a existência e a configuração do registro DMARC.

  1. Erro comum identificado:

Problemas como “No DMARC record found” indicam que não há registro DMARC configurado ou que o DNS não está acessível.

Exemplo prático

Agora iremos demonstrar na prática como ocorre essa vulnerabilidade.

Primeiramente, devemos fazer a verificação se a aplicação se encontra vulnerável a spoofing, sendo sem a adoção de alguma política ou configurações incorretas.

Para isso irei utilizar a ferramenta email-spoof da Vantico, que pode ser encontrada em spoof.

Um exemplo de ativo que não se encontra vulnerável:

Ferramenta Spoof

Figura: Ferramenta spoof

Agora um que se encontra vulnerável:

Ferramenta Spoof 2

Figura: Ferramenta spoof 2

Tomando o ativo vulnerável como base, iremos prosseguir agora para a falsificação de e-mails, iremos acessar a ferramenta Emkei

Emkei

Figura: Emkei

Iremos preencher os campos e enviar, observe a seguir que o campo From Name e From E-mail será preenchido com os dados do nosso alvo a fim de demonstrar a falsificação de e-mails.

Emkei Mailer

Figura: Dados preenchidos

E-mail

Figura: E-mail

Como é possível visualizar, o e-mail chegou na Caixa de Entrada principal.

E-mail 2

Figura: E-mail

Como podemos ver, o e-mail veio com o remetente Administrador e do endereço de e-mail pudim.com.br. Caso uma organização não tenha configurado corretamente as políticas, é possível enviar e-mails com o endereço da organização, tornando a mesma vulnerável a alguns tipos de ataques como o pishing.

Considerações Finais

A implementação de protocolos como SPF, DKIM e DMARC é essencial para fortalecer a segurança das comunicações por e-mail, protegendo contra ataques de spoofing e aumentando a confiabilidade do domínio. No entanto, a configuração e os testes exigem atenção aos detalhes e, por vezes, a consulta a materiais mais especializados para uma implementação adequada.

Caso você deseje se aprofundar nos métodos, ferramentas e melhores práticas citadas neste artigo, recomendamos consultar algumas fontes confiáveis, como:

  • Cobalt: A Breakdown of E-mail Security – Um guia detalhado sobre segurança de e-mail, cobrindo os principais protocolos e como aplicá-los.
  • Vantico: Práticas para Prevenção de Ataques de E-mail Spoofing – Uma introdução prática à prevenção de ataques de spoofing, com exemplos e dicas úteis.
  • DMARC Analyzer: Artigos e Ferramentas – Um excelente recurso para entender e configurar registros DMARC, com análises e relatórios detalhados.

Além disso, você pode explorar ferramentas como MXToolbox e DKIM Validator para testar as configurações de seu domínio em tempo real. A contínua busca por conhecimento é fundamental para garantir que sua infraestrutura de e-mail permaneça segura e eficaz.

Perguntas frequentes

  1. O que acontece se eu não implementar SPF, DKIM e DMARC?

Seu domínio ficará vulnerável a ataques de spoofing, prejudicando sua reputação e aumentando a probabilidade de fraudes associadas ao seu nome.

  1. Posso usar DMARC sem SPF ou DKIM?

Não. DMARC depende de pelo menos um desses métodos para funcionar corretamente.

  1. SPF protege contra todos os tipos de spoofing?

Não. Ele protege apenas contra falsificação de servidores de envio, mas não verifica o conteúdo do e-mail.

  1. É obrigatório configurar os três protocolos?

Não é obrigatório, mas recomendável para proteção abrangente contra falsificação e phishing.

  1. Como monitorar a eficácia do DMARC?

Use relatórios fornecidos pelo próprio DMARC para avaliar atividades suspeitas e ajustar sua política.

Referências

Email Authentication Mechanisms: DMARC, SPF and DKIM

NIST Technical Note 1945

FBI: como identificar e se proteger de Spoofing

Cobalt: A Breakdown of E-mail Security: SPF, DKIM, and DMARC Explained

Vantico: Práticas para Prevenção de Ataques de E-mail Spoofing

DMARC Analyzer: Understanding and Configuring DMARC Policies

MXToolbox: SPF Record Lookup Tool.

Vantico: e-mail spoof

 

 

 

 

veja também

Outros conteúdos sobre Segurança Cibernética