Cinco maneiras de identificar e-mails de phishing

Um guia atualizado sobre o reconhecimento de golpes baseados em email

1 de outubro de 2018 · 6 min de leitura

Como os e-mails de phishing vêm em diferentes formas e formatos, não existe uma bala de prata para identificar um e-mail de phishing. No entanto, há uma coleção de bandeiras vermelhas que você deve procurar antes de clicar em uma nova mensagem. Aqui está o nosso guia atualizado, ajudando você a identificar os mais recentes golpes baseados em email.

O que é phishing? Phishing é um ataque cibernético normalmente realizado por email. Em suma, os cibercriminosos pretendem induzir suas vítimas a clicar em um link ou anexo, dar sua senha ou pedir dinheiro, fingindo ser um serviço online legítimo, cliente, amigo ou colega.

Indicadores fortes de que um email pode ser enganoso

Embora outras pistas estejam disponíveis, os seguintes indicadores são os principais métodos para decidir se um email é genuíno ou não:

Violações do Sender Policy Framework (SPF) .
O nome de exibição e / ou endereço de e-mail do remetente são falsificados.
O endereço IP do servidor SMTP de envio não pertence à organização do remetente.
Os links clicáveis da Web não levam a um "domínio confiável".
O email apresenta um anexo de arquivo não solicitado.

# 1 Violações da Sender Framework Policy (SPF)

Se o nome de domínio do remetente especificar os hosts SMTP permitidos em um registro SPF e o servidor de email de recebimento suportar pesquisas de SPF, o servidor de email sinalizará os emails que violam a política do SPF. Normalmente, esses e-mails são rejeitados ou movidos automaticamente para sua pasta de spam.

A taxa de adoção de registros SPF é de cerca de 50%, de acordo com um relatório de 2016. No entanto, os provedores de hospedagem de e-mail mal configurados podem manter esses e-mails na sua Caixa de entrada.

O domínio 'time.kz' não designa 'mail.globalreservation.com' como remetente permitido (Fonte: Iron Bastion)

Para descobrir se um email suspeito violou a política do SPF, visualize os cabeçalhos da mensagem e procure o Received-SPFcabeçalho. Se o status for 'falhar', o email poderá ser uma tentativa de phishing.

# 2 Nome do remetente e / ou endereço de e-mail falsificado

Existem dois métodos comuns de falsificação de remetentes que os cibercriminosos usam. Para fins ilustrativos, digamos que a pessoa que queremos representar é Peter Filee seu endereço de email é peter.file@brasseye.com:

Email Address Spoofing : endereço de e-mail de Pedro e seu nome são ambos falsificado em um e-mail de entrada para que o remetente parece ser: Peter File <peter.file@brasseye.com>.
Display Name Spoofing : nome Apenas de Pedro é falsificado, mas não o endereço de e-mail: Peter File <chrism1337@gmail.com>.

Para verificar o remetente de um email, basta observar o nome e o endereço de email do remetente no seu cliente de email. O nome do remetente e o endereço de email devem ser exibidos por padrão. Por outro lado, os smartphones podem não exibir o endereço de e-mail do remetente. Nesse caso, você pode revelar o endereço subjacente mantendo pressionado o nome do remetente.

A falsificação de endereço de email (método 1) tornou-se mais difícil para os cibercriminosos por causa do SFP. Se você vir um e-mail de um nome e endereço de e-mail que você sabe que acaba no spam, deixe-o lá, é provável que ele tenha falhado na validação do SPF e tenha sido movido para lá de propósito.

# 3 O endereço IP de envio não pertence à organização remetente

Outro indicador de um email de phishing é o endereço IP de envio (ou nome do host) do servidor de email SMTP de envio.

Se o email for enviado peter.file@brasseye.com, é seguro presumir que o servidor SMTP remetente esteja intimamente associado à organização remetente (por exemplo smtp01.brasseye.com) ou a um provedor de hospedagem de email respeitável, como o Office 365 ou o G Suite. Caso o email seja enviado de um endereço IP ou nome de host associado a países e organizações não relacionados, o email poderá não ser genuíno.

Essa notificação falsa do PayPal foi enviada através de um servidor SMTP não relacionado e apresenta a técnica de falsificação de nome para exibição (Fonte: Iron Bastion)

Você pode procurar o endereço IP e o nome do host do servidor SMTP de envio (assim como muitas outras propriedades) com a combinação do MX Toolbox Email Header Analyzer e um serviço como o ipinfo.io . Se você usa o Microsoft Outlook, existe um utilitário útil chamado Message Header Analyzer que também pode mostrar essas informações.

# 4 Links clicáveis levam a domínios desconhecidos ou não relacionados

Links da Web incorporados em e-mails podem levar a sites enganosos que hospedam páginas de login falsas ou explorações de navegadores da Web. É crucial inspecionar um link da Web antes de clicar passando o mouse sobre eles (em um computador desktop) ou pressionando-o com um smartphone.

Se o email aparentemente vier de um provedor confiável como o PayPal, o link da web deve estar apontando para um nome de domínio associado ao domínio.

Este e-mail deveria vir do Mailgun.com, mas o link da Web nos levaria a um domínio não relacionado (Fonte: Iron Bastion)

Infelizmente, as grandes empresas tendem a registrar variantes de domínio confusas de suas marcas. Por exemplo, support @ paypal-techsupport [.] Com é um endereço de email legítimo pertencente à equipe de suporte técnico do comerciante do PayPal. Outros domínios como paypal-knowledge [.] Com e paypal-community [.] Com também são domínios legítimos também usados pelo PayPal.

Também é importante não se deixar enganar por subdomínios que são usados enganosamente para mascarar o verdadeiro nome de domínio de um link da web. Da direita para a esquerda, o nome de domínio em um URL está entre os últimos “/” e os primeiros 2 ou 3 pontos completos. Qualquer coisa de ambos os lados é irrelevante, mas geralmente é usada por criminosos cibernéticos para fazer um link parecer mais autêntico.

Um link da web enganoso feito para parecer uma página de login do eBay. O nome do domínio verdadeiro é destacado. (Fonte: Bastião de Ferro)

# 5 Anexos de arquivo

Trate todos os emails que chegam com um anexo de arquivo não solicitado que chegue como suspeito. Anexos de arquivo maliciosos geralmente são disfarçados de currículos, faturas e recibos. Ao contrário do que se pensa, os anexos maliciosos não são arquivos executáveis (".exe"), mas documentos como Word (".doc", ".docx" e ".rtf") e Portable Document Format (".pdf") arquivos.

O ransomware pode chegar em documentos do Word como este (Fonte: Ars Technica)

Se você receber um email com um anexo de arquivo que não esperava, confirme com o remetente em um canal fora de banda (como uma ligação telefônica) que o anexo de arquivo é genuíno ou abra-o em um ambiente sandbox como uma máquina virtual .

Os visualizadores de documentos on-line em PDF e Word incorporados no Gmail e no Office 365 também podem neutralizar conteúdo prejudicial, pois esses visualizadores não oferecem suporte a conteúdo ativo com abuso frequente, como macros JavaScript e Office.

Indicadores fracos de que um email pode ser uma tentativa de phishing

Essas dicas costumam circular na internet, mas, infelizmente, são ineficazes, pois o nível de sofisticação dos cibercriminosos aumentou com o tempo:

E-mails mal escritos - Os cibercriminosos podem contar com serviços de revisão como o Fiverr para obter a gramática correta ou, no que se tornou uma prática comum em phishing, os invasores simplesmente clonam notificações por e-mail comuns de marcas e empresas conhecidas.
Saudações não personalizadas - 'Caro senhor' em vez de 'Caro Peter'. Mesmo boletins legítimos muitas vezes não recebem a saudação corretamente.
Sensação de urgência e consequências de longo alcance se uma ação específica não for tomada - Por exemplo, você será bloqueado de uma conta ou a conta será excluída se você não efetuar o login nas próximas 24 horas.

Em resumo, trate todos os emails com uma suspeita que vem com um link da Web, anexo de arquivo ou uma solicitação para executar uma ação. Se você ainda estiver em dúvida, entre em contato com seu amigo ou colegas para confirmação ou deixe o email sem resposta.

Sobre o Bastião de Ferro

O Iron Bastion é o especialista em phishing e segurança cibernética da Austrália. Fornecemos consultoria em segurança cibernética com soluções especializadas para combater o phishing. Nossa equipe é formada por profissionais qualificados em segurança cibernética, e todos os nossos funcionários e operações estão sediados na Austrália.

Entre em contato conosco para uma consulta gratuita sobre segurança cibernética ou inscreva-se hoje em nossos serviços gerenciados .

Publicado originalmente em blog.ironbastion.com.au . Este artigo foi co-escrito com Nicholas Kavadias .

Bastião de ferro

Somos especialistas em phishing e segurança cibernética da Austrália

Alguns direitos reservados

ESCRITO POR

Whatsapp

Manual de osint

Ache aqui

Open Source Intelligence Brasil