Executando verificação de segurança...
12

O domínio do e-mail parece certo, mas é phishing!

O primeiro sinal que nos faz desconfiar de um e-mail de phishing é o endereço do qual ele foi enviado, além da classificação como Lixo Eletrônico, é claro. Se o domínio do endereço de e-mail do remetente é igual ao seu site, o e-mail então é verídico, certo? Errado.

Esse é um dos e-mails de phishing que já recebi com essa característica:


Apesar de estar na caixa de lixo eletrônico e possuir um link suspeito em seu corpo, chama a atenção o endereço do remetente, com domínio igual ao original.
Também já recebi com o "domínio" dos Correios e do Mercado Livre.

O principal problema aqui é que o cliente de e-mail exibe um endereço no campo "De" que é diferente do endereço que foi usado para enviar a mensagem.
A comunicação entre os servidores usa a informação "De/Para" do Envelope do e-mail, mas o cliente exibe o "De/Para" do Header do e-mail.
O Envelope é descartado após chegar à caixa de correio, mas o endereço do remetente que estava no Envelope é adicionado ao Header como "Return-Path".
No cliente desktop do Outlook pelo menos, até onde sei, só é possível verifica o "Return-Path" após abrir o e-mail e ir em Arquivo >> Propriedades >> Cabeçalhos de Internet.
No e-mail do exemplo, encontrei o seguinte (ocultei o final):
"Return-Path: root@ubuntu-s-1vcpu-512mb-10gb-..."

No geral, o protocolo SMTP possui problemas de segurança e, por isso, foram criados o SPF, o DKIM e o DMARC.
O SPF verifica apenas o endereço do Envelope e ignora o campo "De" do Header (que o usuário realmente vê).
O DKIM permite que o e-mail seja assinado digitalmente, mas o e-mail falsificado pode ser enviado sem uma assinatura.
O DMARC corrige o mecanismo do DKIM e do SPF, fornecendo uma verificação do campo "De" do Header, mas ainda não foi amplamente adotado.

Ainda nos Headers do exemplo, pude notar o seguinte:
"spf=temperror"
"dkim=none"
"dmarc=none"

A falta de SPF, DKIM e/ou DMARC é inclusive um dos motivos do e-mail ser redirecionado para a caixa de Lixo Eletrônico. Mas também temos a questão de que poucos servidores de e-mail no Brasil possuem essas configurações.
Isso também foi citado por NewsletterOficial:
Menos de 1% dos servidores de e-mail no Brasil contam com padrões de segurança adequados

Além da falsificação de endereços, também há o tradicional spoofing, em que o atacante utiliza de endereços de e-mail semelhantes ao original para tentar enganar a vítima.
Pode até parecer difícil ser enganado, mas olhem esse caso citado no site da Kaspersky, onde o atacante usou caracteres Punycode que, ao serem convertidos para Unicode pelo cliente de e-mail, aparentam ser o domínio da Apple:


Artigo com mais detalhes:
Kaspersky alerta para crescimento de e-mail falsos

Muito obrigado por ter lido a minha primeira publicação. Não sou especialista em cyber security, mas sou um desenvolvedor com muito enteresse no assunto. Caso algum especialista leia o post, fique à vontade para opinar.

Para mais informações sobre endereços de e-mail falsificados, deixo esses dois links nos quais me baseei:
Faking e-mails: Why it is even possible
What is email envelope and email header

Carregando publicação patrocinada...
1

Ontem mesmo recebi um e-mail idêntico a esse da receita federal. Havia um link para baixar um relatório, que provavelmente era algo malicioso. A sorte é que havia sido considerado como spam, dessa forma eu entrei no site oficial para verificar se realmente tinha alguma pendência.

Tenho recebido vários emails de bancos que nem tenho conta. E a primeira vista parecem verídicos.

Então fica uma dica, nunca clicar em links ou baixar anexos desses e-mails (mesmo que seja um pdf). Sempre vá verificar no site oficial.

1

é bem simples enviar email com qualquer remetente, mas sempre vai cair na caixa de Spam mesmo se o anti-spam for dos mais simples. Nada impede de você contratar uma hospedagem de site para um domínio que não é seu, e assim que ativarem o painel você consegue mandar criar e email com o remetende do domínio escolhido, porém o mesmo não vai passar nos testes de SPF (Que verifica se o servidor que envia o email está autorizado pelo domínio), e será barrado e ir direto ao Lixo Eletrônico. Hoje em dia os sistemas AntiSpam são muito bons e é muito muito muito raro cair lá algum falso-positivo, e não vejo motivo pra desconfiar mais (e ir fuçar nessas pasta, nem perco mais meu tempo).

Pra quem usa email corporativo, recomendo fortemente utilizar o GSuite para ter a estrutura do Gmail e ficar despreocupado! Geralmente ele não joga nada que não seja phishing lá.

1

Sim... Ninguém aqui está dizendo que seria necessário desconfiar do AntiSpam e/ou "fuçar" a pasta de Lixo Eletrônico. A publicação foi de caráter informativo, justamente sobre a simplicidade de enviar esse tipo de e-mail e como os mecanismos de proteção se comportam para identificar esses casos.

1
1

Aconteceu comigo com o paypal, tenteou aplicar golpe falando que minha fatura hávia fechado, havia o qrcode, abri o app do paypal e não constava nada, fiz o scan do qrcode para ver e era um qrcode de pamento de comprar de bitcoin. Sempre tive cuidado com o que chega por email sempre vou na fonte verificar antes de fazer qualquer coisa.

0

Mais um exemplo do tipo de falsificação de endereço de e-mail...
Dados do header (troquei o arroba por underline para não criar um link):

From: Mercado Livre <notificacoes_mercadolivre.com.br>
Return-Path: notificacoes_mercadolivre.com.br
spf=softfail
dkim=fail
dmarc=fail

Então, como já citado nos outros comentários aqui, a melhor opção é sempre verificar em canais confiáveis.