Baseado na técnica de falsificar e-mails de remetentes legítimos, os casos de spoofing vêm crescendo acentuadamente nos últimos meses. O golpe é formado a partir da adulteração do cabeçalho “De” das mensagens – ou seja, a forma como o nome e o endereço do remetente aparecem. O SMTP, principal protocolo de transmissão de e-mail, não oferece proteção contra esta ameaça, tornando o uso bastante fácil para os cibercriminosos. Segundo dados da Kaspersky, entre abril e maio deste ano, o número total de casos detectados de ataques deste tipo quase dobrou, passando de 4.440 para 8.204.
Spoofing de e-mail
O spoofing de e-mail, como é conhecido, consiste na criação de mensagens falsas, mas que parecem legítimas, com o objetivo de induzir os usuários a tomarem uma ação que beneficie o fraudador, como: download de malware, acesso a sistemas ou dados de terceiros, envio de dados pessoais ou mesmo a transferência de dinheiro. Muitas vezes esses e-mails parecem vir de organizações respeitáveis, pondo em risco não só as vítimas, mas também a boa reputação das empresas, cujo domínio tem sido usado para praticar fraudes. Além disso, e-mails falsificados podem fazer parte de ataques maiores e em várias etapas, como os que visam difamar as empresas.
Esses ataques podem ser realizados de várias maneiras, a mais comum é a que se chama “spoofing de domínio legítimo”. Neste caso, o domínio da organização que está sendo falsificado é inserido no cabeçalho “De”, o que torna realmente difícil distinguir um e-mail falso de um que seja verdadeiro. Entretanto, se a empresa-alvo tiver implementado um dos novos métodos de autenticação de correio, os cibercriminosos devem recorrer a outra estratégia. É aí que entra o chamado display name spoofing, na qual fraudadores assumem outra identidade ao enviar um e-mail – ou seja, fazendo parecer que foi enviado por um funcionário real da empresa.
Os ataques de spoofing mais sofisticados envolvem domínios semelhantes, utilizando endereços específicos e que estejam registrados para se assemelhar aos de organizações legítimas, muitas vezes com apenas uma letra alterada. Também há situações em que ter atenção não é mais suficiente: como no caso do Unicode Spoofing, um tipo de ataque no qual um dos caracteres ASCII em um nome de domínio é substituído por uma letra similar da faixa Unicode.
Neste caso, o domínio “apple.com” acabou caindo na regra de codificação de elementos Unicode em ASCII: os três primeiros caracteres são cirílicos “a” e “p”. Mas o programa de e-mail que abriu a mensagem converteu, para conveniência do usuário, a combinação Punycode para Unicode e o e-mail foi exibido como “apple.com“.
“O spoofing pode parecer primitivo em comparação com outras técnicas utilizadas pelos cibercriminosos, mas pode ser muito eficaz. Também pode ser apenas a primeira etapa de um ataque mais complexo do Business Email Compromise (BEC), que pode levar ao roubo de identidade e paralisar o negócio, bem como perdas monetárias significativas. A boa notícia é que há uma variedade de soluções contra a falsificação de identidades e novos padrões de autenticação que podem manter seu e-mail comercial seguro”, comenta Roman Dedenok, especialista em segurança de Kaspersky.
Você também deve ler!
Cibercriminosos voltaram a minerar criptomoedas, aponta relatório da Kaspersky
Dell corrige falha grave de segurança que estava ativa há 12 anos