O domínio do e-mail parece certo, mas é phishing!
O primeiro sinal que nos faz desconfiar de um e-mail de phishing é o endereço do qual ele foi enviado, além da classificação como Lixo Eletrônico, é claro. Se o domínio do endereço de e-mail do remetente é igual ao seu site, o e-mail então é verídico, certo? Errado.
Esse é um dos e-mails de phishing que já recebi com essa característica:
Apesar de estar na caixa de lixo eletrônico e possuir um link suspeito em seu corpo, chama a atenção o endereço do remetente, com domínio igual ao original. Também já recebi com o "domínio" dos Correios e do Mercado Livre.
O principal problema aqui é que o cliente de e-mail exibe um endereço no campo "De" que é diferente do endereço que foi usado para enviar a mensagem. A comunicação entre os servidores usa a informação "De/Para" do Envelope do e-mail, mas o cliente exibe o "De/Para" do Header do e-mail. O Envelope é descartado após chegar à caixa de correio, mas o endereço do remetente que estava no Envelope é adicionado ao Header como "Return-Path". No cliente desktop do Outlook pelo menos, até onde sei, só é possível verifica o "Return-Path" após abrir o e-mail e ir em Arquivo >> Propriedades >> Cabeçalhos de Internet. No e-mail do exemplo, encontrei o seguinte (ocultei o final): "Return-Path: root@ubuntu-s-1vcpu-512mb-10gb-..."
No geral, o protocolo SMTP possui problemas de segurança e, por isso, foram criados o SPF, o DKIM e o DMARC. O SPF verifica apenas o endereço do Envelope e ignora o campo "De" do Header (que o usuário realmente vê). O DKIM permite que o e-mail seja assinado digitalmente, mas o e-mail falsificado pode ser enviado sem uma assinatura. O DMARC corrige o mecanismo do DKIM e do SPF, fornecendo uma verificação do campo "De" do Header, mas ainda não foi amplamente adotado.
Ainda nos Headers do exemplo, pude notar o seguinte: "spf=temperror" "dkim=none" "dmarc=none"
A falta de SPF, DKIM e/ou DMARC é inclusive um dos motivos do e-mail ser redirecionado para a caixa de Lixo Eletrônico. Mas também temos a questão de que poucos servidores de e-mail no Brasil possuem essas configurações. Isso também foi citado por NewsletterOficial: Menos de 1% dos servidores de e-mail no Brasil contam com padrões de segurança adequados
Além da falsificação de endereços, também há o tradicional spoofing, em que o atacante utiliza de endereços de e-mail semelhantes ao original para tentar enganar a vítima. Pode até parecer difícil ser enganado, mas olhem esse caso citado no site da Kaspersky, onde o atacante usou caracteres Punycode que, ao serem convertidos para Unicode pelo cliente de e-mail, aparentam ser o domínio da Apple:
Artigo com mais detalhes: Kaspersky alerta para crescimento de e-mail falsos
Muito obrigado por ter lido a minha primeira publicação. Não sou especialista em cyber security, mas sou um desenvolvedor com muito enteresse no assunto. Caso algum especialista leia o post, fique à vontade para opinar.
Para mais informações sobre endereços de e-mail falsificados, deixo esses dois links nos quais me baseei: Faking e-mails: Why it is even possible What is email envelope and email header
Ontem mesmo recebi um e-mail idêntico a esse da receita federal. Havia um link para baixar um relatório, que provavelmente era algo malicioso. A sorte é que havia sido considerado como spam, dessa forma eu entrei no site oficial para verificar se realmente tinha alguma pendência.
Tenho recebido vários emails de bancos que nem tenho conta. E a primeira vista parecem verídicos.
Então fica uma dica, nunca clicar em links ou baixar anexos desses e-mails (mesmo que seja um pdf). Sempre vá verificar no site oficial.
é bem simples enviar email com qualquer remetente, mas sempre vai cair na caixa de Spam mesmo se o anti-spam for dos mais simples. Nada impede de você contratar uma hospedagem de site para um domínio que não é seu, e assim que ativarem o painel você consegue mandar criar e email com o remetende do domínio escolhido, porém o mesmo não vai passar nos testes de SPF (Que verifica se o servidor que envia o email está autorizado pelo domínio), e será barrado e ir direto ao Lixo Eletrônico. Hoje em dia os sistemas AntiSpam são muito bons e é muito muito muito raro cair lá algum falso-positivo, e não vejo motivo pra desconfiar mais (e ir fuçar nessas pasta, nem perco mais meu tempo).
Pra quem usa email corporativo, recomendo fortemente utilizar o GSuite para ter a estrutura do Gmail e ficar despreocupado! Geralmente ele não joga nada que não seja phishing lá.
Que dica fantástica, vou ficar atento nos emails que chegarem a partir de agora!
Aconteceu comigo com o paypal, tenteou aplicar golpe falando que minha fatura hávia fechado, havia o qrcode, abri o app do paypal e não constava nada, fiz o scan do qrcode para ver e era um qrcode de pamento de comprar de bitcoin. Sempre tive cuidado com o que chega por email sempre vou na fonte verificar antes de fazer qualquer coisa.
Mais um exemplo do tipo de falsificação de endereço de e-mail... Dados do header (troquei o arroba por underline para não criar um link):
From: Mercado Livre <notificacoes_mercadolivre.com.br> Return-Path: notificacoes_mercadolivre.com.br spf=softfail dkim=fail dmarc=fail
Então, como já citado nos outros comentários aqui, a melhor opção é sempre verificar em canais confiáveis.