O domínio do e-mail parece certo, mas é phishing!

O primeiro sinal que nos faz desconfiar de um e-mail de phishing é o endereço do qual ele foi enviado, além da classificação como Lixo Eletrônico, é claro. Se o domínio do endereço de e-mail do remetente é igual ao seu site, o e-mail então é verídico, certo? Errado.

Esse é um dos e-mails de phishing que já recebi com essa característica:

Apesar de estar na caixa de lixo eletrônico e possuir um link suspeito em seu corpo, chama a atenção o endereço do remetente, com domínio igual ao original. Também já recebi com o "domínio" dos Correios e do Mercado Livre.

O principal problema aqui é que o cliente de e-mail exibe um endereço no campo "De" que é diferente do endereço que foi usado para enviar a mensagem. A comunicação entre os servidores usa a informação "De/Para" do Envelope do e-mail, mas o cliente exibe o "De/Para" do Header do e-mail. O Envelope é descartado após chegar à caixa de correio, mas o endereço do remetente que estava no Envelope é adicionado ao Header como "Return-Path". No cliente desktop do Outlook pelo menos, até onde sei, só é possível verifica o "Return-Path" após abrir o e-mail e ir em Arquivo >> Propriedades >> Cabeçalhos de Internet. No e-mail do exemplo, encontrei o seguinte (ocultei o final): "Return-Path: root@ubuntu-s-1vcpu-512mb-10gb-..."

No geral, o protocolo SMTP possui problemas de segurança e, por isso, foram criados o SPF, o DKIM e o DMARC. O SPF verifica apenas o endereço do Envelope e ignora o campo "De" do Header (que o usuário realmente vê). O DKIM permite que o e-mail seja assinado digitalmente, mas o e-mail falsificado pode ser enviado sem uma assinatura. O DMARC corrige o mecanismo do DKIM e do SPF, fornecendo uma verificação do campo "De" do Header, mas ainda não foi amplamente adotado.

Ainda nos Headers do exemplo, pude notar o seguinte: "spf=temperror" "dkim=none" "dmarc=none"

A falta de SPF, DKIM e/ou DMARC é inclusive um dos motivos do e-mail ser redirecionado para a caixa de Lixo Eletrônico. Mas também temos a questão de que poucos servidores de e-mail no Brasil possuem essas configurações. Isso também foi citado por NewsletterOficial: Menos de 1% dos servidores de e-mail no Brasil contam com padrões de segurança adequados

Além da falsificação de endereços, também há o tradicional spoofing, em que o atacante utiliza de endereços de e-mail semelhantes ao original para tentar enganar a vítima. Pode até parecer difícil ser enganado, mas olhem esse caso citado no site da Kaspersky, onde o atacante usou caracteres Punycode que, ao serem convertidos para Unicode pelo cliente de e-mail, aparentam ser o domínio da Apple:

Artigo com mais detalhes: Kaspersky alerta para crescimento de e-mail falsos

Muito obrigado por ter lido a minha primeira publicação. Não sou especialista em cyber security, mas sou um desenvolvedor com muito enteresse no assunto. Caso algum especialista leia o post, fique à vontade para opinar.

Para mais informações sobre endereços de e-mail falsificados, deixo esses dois links nos quais me baseei: Faking e-mails: Why it is even possible What is email envelope and email header

Ontem mesmo recebi um e-mail idêntico a esse da receita federal. Havia um link para baixar um relatório, que provavelmente era algo malicioso. A sorte é que havia sido considerado como spam, dessa forma eu entrei no site oficial para verificar se realmente tinha alguma pendência.

Tenho recebido vários emails de bancos que nem tenho conta. E a primeira vista parecem verídicos.

Então fica uma dica, nunca clicar em links ou baixar anexos desses e-mails (mesmo que seja um pdf). Sempre vá verificar no site oficial.

é bem simples enviar email com qualquer remetente, mas sempre vai cair na caixa de Spam mesmo se o anti-spam for dos mais simples. Nada impede de você contratar uma hospedagem de site para um domínio que não é seu, e assim que ativarem o painel você consegue mandar criar e email com o remetende do domínio escolhido, porém o mesmo não vai passar nos testes de SPF (Que verifica se o servidor que envia o email está autorizado pelo domínio), e será barrado e ir direto ao Lixo Eletrônico. Hoje em dia os sistemas AntiSpam são muito bons e é muito muito muito raro cair lá algum falso-positivo, e não vejo motivo pra desconfiar mais (e ir fuçar nessas pasta, nem perco mais meu tempo).

Pra quem usa email corporativo, recomendo fortemente utilizar o GSuite para ter a estrutura do Gmail e ficar despreocupado! Geralmente ele não joga nada que não seja phishing lá.

Sim... Ninguém aqui está dizendo que seria necessário desconfiar do AntiSpam e/ou "fuçar" a pasta de Lixo Eletrônico. A publicação foi de caráter informativo, justamente sobre a simplicidade de enviar esse tipo de e-mail e como os mecanismos de proteção se comportam para identificar esses casos.

Que dica fantástica, vou ficar atento nos emails que chegarem a partir de agora!

Aconteceu comigo com o paypal, tenteou aplicar golpe falando que minha fatura hávia fechado, havia o qrcode, abri o app do paypal e não constava nada, fiz o scan do qrcode para ver e era um qrcode de pamento de comprar de bitcoin. Sempre tive cuidado com o que chega por email sempre vou na fonte verificar antes de fazer qualquer coisa.

Mais um exemplo do tipo de falsificação de endereço de e-mail... Dados do header (troquei o arroba por underline para não criar um link):

From: Mercado Livre <notificacoes_mercadolivre.com.br> Return-Path: notificacoes_mercadolivre.com.br spf=softfail dkim=fail dmarc=fail

Então, como já citado nos outros comentários aqui, a melhor opção é sempre verificar em canais confiáveis.