Cinco maneiras de identificar e-mails de phishing

Um guia atualizado de reconhecimento de golpes baseados em email

Cinco maneiras de identificar e-mails de phishing

Um guia atualizado de reconhecimento de golpes baseados em email

1º de outubro de 2018

Como os e-mails de phishing vêm em formatos e formas diferentes, não há sinal de prata para identificar um e-mail de phishing. No entanto, há uma coleção de bandeiras vermelhas que você deve procurar antes de clicar em uma nova mensagem. Aqui está o nosso guia atualizado para ajudar você a identificar os mais recentes golpes baseados em email.

O que é phishing? Phishing é um ataque cibernético normalmente realizado por email. Em suma, os criminosos cibernéticos pretendem enganar suas vítimas para que cliquem em um link ou anexo, entregando sua senha ou pedindo dinheiro fingindo ser um serviço online legítimo, cliente, amigo ou colega.

Indicadores fortes de que um email pode ser enganoso

Embora outras pistas estejam disponíveis, os indicadores a seguir são os principais métodos para decidir se um email é genuíno ou não:

Violações da Estrutura de Política do Remetente (SPF) .
O nome de exibição do remetente e / ou endereço de e-mail é falsificado.
O endereço IP do servidor SMTP de envio não pertence à organização do remetente.
Os links da web clicáveis não levam a um "domínio confiável".
O email apresenta um anexo de arquivo não solicitado.

# 1. Violações da Política de Estrutura de Remetente (SPF)

Se o nome de domínio do remetente especificar os hosts SMTP permitidos em um registro SPF e o servidor de e-mail de recebimento suportar pesquisas de SPF, seu servidor de e-mail sinalizará os e-mails que violarem a política de SPF. Normalmente, esses e-mails são rejeitados ou movidos automaticamente para sua pasta de spam.

A taxa de adoção dos registros do SPF é de cerca de 50%, de acordo com um relatório de 2016. No entanto, provedores de hospedagem de e-mail mal configurados podem manter esses e-mails na sua Caixa de entrada.

O domínio 'time.kz' não designa 'mail.globalreservation.com' como remetente permitido (Fonte: Iron Bastion)

Para descobrir se um email suspeito violou a política de SPF, visualize os cabeçalhos das mensagens e procure o Received-SPFcabeçalho. Se o status for 'falhar', o e-mail pode ser uma tentativa de phishing.

# 2. Nome do remetente e / ou spoofing de endereço de email

Existem dois métodos comuns de falsificação de remetentes que oscibercriminosos usam. Para fins ilustrativos, digamos que a pessoa que desejamos passar é Peter File, e seu endereço de e-mail é peter.file@brasseye.com:

Email Address Spoofing : endereço de e-mail de Pedro e seu nome são ambos falsificado em um e-mail de entrada para que o remetente parece ser: Peter File <peter.file@brasseye.com>.
Display Name Spoofing : nome Apenas de Pedro é falsificado, mas não o endereço de e-mail: Peter File <chrism1337@gmail.com>.

Para verificar o remetente de um email, basta observar o nome do remetente e o endereço de email no seu cliente de email. Tanto o nome do remetente quanto o endereço de e-mail devem ser exibidos por padrão. Por outro lado, os smartphones podem não exibir o endereço de e-mail do remetente. Nesse caso, você pode revelar o endereço subjacente tocando no nome do remetente.

O spoofing de endereço de email (método 1) tornou-se mais difícil para os cibercriminosos por causa do SFP. Se você vir um e-mail de um nome e endereço de e-mail que sabe acabar no seu spam, você deve deixá-lo lá, é provável que ele tenha falhado a validação do SPF e tenha sido movido para lá de propósito.

# 3. O endereço IP de envio não pertence à organização de envio

Outro indicador de um email de phishing é o endereço IP de envio (ou hostname) do servidor de email SMTP de envio.

Se o e-mail for enviado peter.file@brasseye.com, é seguro assumir que o servidor SMTP de envio está intimamente associado à organização remetente (por exemplo smtp01.brasseye.com) ou a um provedor de hospedagem de e-mail respeitável, como o Office 365 ou o G Suite. Caso o e-mail seja enviado de um endereço IP ou nome de host associado a países e organizações não relacionados, o e-mail pode não ser original.

Esta falsa notificação do PayPal foi enviada através de um servidor SMTP não relacionado e apresenta a técnica de spoofing de nome de exibição (Fonte: Iron Bastion)

Você pode procurar o endereço IP e o nome do host do servidor SMTP de envio (assim como muitas outras propriedades) com a combinação do Analisador de cabeçalho de e- mail do MX Toolbox e um serviço como o ipinfo.io . Se você usa o Microsoft Outlook, existe um utilitário prático chamado Message Header Analyzer, que também pode mostrar essas informações.

# 4. Links clicáveis levam a domínios desconhecidos ou não relacionados

Links da Web incorporados em e-mails podem levar a sites enganosos que hospedam páginas de login falsas ou explorações de navegadores da Web. É crucial inspecionar um link da Web antes de clicar, passando o mouse sobre eles (em um computador desktop) ou tocando nele com um smartphone.

Se o e-mail estiver aparentemente vindo de um provedor confiável como o PayPal, o link da Web deve estar apontando para um nome de domínio associado ao domínio.

Este e-mail deveria vir do Mailgun.com, mas o link da web nos levaria a um domínio não relacionado (Fonte: Iron Bastion)

Infelizmente, as grandes empresas tendem a registrar variantes de domínio confusas de suas marcas. Por exemplo, support @ paypal-techsupport [.] Comé um endereço de e-mail legítimo pertencente à equipe de suporte técnico do comerciante do PayPal. Outros domínios como paypal-knowledge [.] Com e paypal-community [.] Com também são domínios legítimos usados também pelo PayPal.

Também é importante não ser enganado por subdomínios que são usados enganosamente para mascarar o verdadeiro nome de domínio de um link da web. Da direita para a esquerda, o nome de domínio em um URL é entre o último “/” e os primeiros 2 ou 3 pontos completos. Qualquer coisa em ambos os lados é irrelevante, mas muitas vezes usada por criminosos cibernéticos para fazer com que um link pareça mais autêntico.

Um link da web enganoso feito para parecer uma página de login do eBay. O verdadeiro nome de domínio é destacado. (Fonte: bastião de ferro)

# 5. Anexos de arquivo

Trate todos os emails que chegam com um anexo de arquivo não solicitado que chegue como suspeito. Os anexos de arquivos maliciosos costumam ser disfarçados de currículos, faturas e recibos. Ao contrário da crença popular, anexos maliciosos não são arquivos executáveis (“.exe”), mas arquivos de documentos como o Word (“.doc”, “.docx” e “.rtf”) e o Portable Document Format (“.pdf”) arquivos.

Ransomware pode chegar em documentos do Word como este (fonte: Ars Technica)

Se você receber um email com um anexo de arquivo que você não esperava, confirme com o remetente em um canal fora da banda (como uma chamada telefônica) que o anexo de arquivo é original ou abra-o em um ambiente seguro como uma máquina virtual .

Os visualizadores de documentos PDF e Word on-line incorporados no Gmail e no Office 365 também podem neutralizar o conteúdo prejudicial, pois esses visualizadores não suportam conteúdo ativo com abuso freqüente, como macros JavaScript e Office.

Indicadores fracos de que um email pode ser uma tentativa de phishing

Essas dicas geralmente circulam na internet, mas, infelizmente, essas dicas são ineficazes, já que o nível de sofisticação dos cibercriminosos cresceu com o tempo:

E-mails mal escritos - Os cibercriminosos podem confiar nos serviços de revisão, como o Fiverr, para obter a gramática correta ou, no que se tornou uma prática comum em phishing, os invasores simplesmente clonam notificações comuns por e-mail de marcas e empresas conhecidas.
Saudações não personalizadas - "Prezado Senhor" em vez de "Querido Peter". Mesmo os boletins informativos legítimos geralmente não recebem a saudação correta.
Senso de urgência e conseqüências de longo alcance se uma ação específica não for tomada - Por exemplo, você será bloqueado de uma conta ou a conta será excluída se você não fizer login nas próximas 24 horas.

Em resumo, trate todos os e-mails com uma suspeita de um link da Web, um anexo de arquivo ou uma solicitação para executar uma ação. Se você ainda estiver em dúvida, entre em contato com seu amigo ou colegas para confirmação ou deixe o e-mail sem resposta.

Sobre Bastião do Ferro

A Iron Bastion é especialista em phishing e segurança cibernética da Austrália. Fornecemos consultoria em segurança cibernética com soluções especializadas para combater o phishing. Nossa equipe é formada por profissionais qualificados em segurança cibernética e todos os nossos funcionários e operações estão sediados na Austrália.

Entre em contato conosco para uma consulta gratuita sobre segurança cibernética ou inscreva-se hoje em dia em nossos serviços gerenciados .

Originalmente publicado em blog.ironbastion.com.au . Este artigo foi escrito em parceria com Nicholas Kavadias .

Whatsapp

Manual de osint

Ache aqui

Open Source Intelligence Brasil