A análise de cabeçalhos de e-mail é um aspecto crucial das investigações de segurança cibernética, permitindo que profissionais verifiquem a autenticidade de mensagens de e-mail, detectem tentativas de phishing e identifiquem agentes maliciosos. Este guia abrange todo o processo de análise de cabeçalhos e corpos de e-mail, extração de informações valiosas e uso de várias ferramentas OSINT para investigar ameaças potenciais.
Processo passo a passo de análise de e-mail
Etapa 1: Acessando dados do cabeçalho do e-mail
O primeiro passo na análise de e-mail é acessar os dados brutos do cabeçalho, que contêm metadados sobre a jornada do e-mail do remetente ao destinatário. Veja como fazer isso em diferentes clientes de e-mail:
• Gmail :
1. Abra o e-mail e clique nos três pontos (mais opções) no canto superior direito.
2. Selecione “Mostrar original” para visualizar os dados do cabeçalho.
3. Copie o texto inteiro.
• Outlook (versão Web):
1. Abra o e-mail e clique nos três pontos ao lado de “Responder” ou “Encaminhar”.
2. Selecione “Exibir fonte da mensagem” e copie as informações exibidas.
• Correio da Apple:
1. Abra o e-mail, vá em “Exibir” no menu superior, selecione “Mensagem” e depois “Todos os cabeçalhos”.
2. Copie o texto.
• E-mail do Yahoo:
1. Abra o e-mail, clique em “Mais” e selecione “Exibir mensagem bruta”.
2. Copie as informações do cabeçalho.
Etapa 2: Analisando cabeçalhos de e-mail com ferramentas OSINT
Após copiar o cabeçalho do e-mail, você pode usar várias ferramentas para analisar os dados. Essas ferramentas podem ajudar a decodificar o caminho que o e-mail tomou, identificar o endereço IP do remetente e detectar anomalias. Abaixo estão algumas ferramentas OSINT populares para esse propósito:
1. Analisador de Cabeçalho de Mensagem (MHA)
• Site: https://mha.azurewebsites.net/
• Uso: cole o cabeçalho na caixa de texto fornecida e clique em “Analisar cabeçalhos”. O MHA detalhará cada salto de servidor e destacará possíveis problemas, como atrasos suspeitos ou anomalias nos locais do servidor.
2. CyberChef
• Site: https://cyberchef.io/
• Uso: Cole o cabeçalho no CyberChef e use receitas como “Analisar cabeçalhos de e-mail” para decodificar as informações. O CyberChef também pode extrair URLs do corpo do e-mail e dos cabeçalhos usando a receita “Extrair URLs”, facilitando a identificação de links potencialmente maliciosos.
3. Análise de cabeçalho de mensagem com clientes de e-mail integrados
• Ferramentas como o Mozilla Thunderbird têm recursos integrados para analisar cabeçalhos diretamente, o que as torna úteis para usuários que desejam uma análise imediata das informações do cabeçalho.
4. Cabeçalho de correio.org
• Site: https://mailheader.org/
• Esta ferramenta fornece insights sobre o Message Transfer Agent (MTA) do e-mail, que lida com a transferência de e-mails entre servidores. Ela pode ajudar a identificar onde atrasos podem ter ocorrido e qual MTA pode ser responsável.
Etapa 3: Interpretando informações de cabeçalhos de e-mail
Os cabeçalhos de e-mail contêm vários campos importantes que podem revelar informações valiosas sobre o remetente e a rota que o e-mail tomou:
1. Endereços IP e localizações de servidores:
• Uso: Procure endereços IP nos campos “Recebidos”, que podem revelar a localização do servidor de origem. Use ferramentas como IPinfo.io ( https://ipinfo.io/ ) e Talos Reputation Center ( https://talosintelligence.com/reputation ) para verificar a reputação e a geolocalização do IP.
• Aplicação: se um e-mail alega ser de uma empresa nos EUA, mas o IP aponta para um país diferente, isso pode indicar falsificação.
2. Resultados da autenticação (SPF, DKIM, DMARC):
• Uso: Cabeçalhos como Received-SPF e Authentication-Results podem indicar se o domínio do remetente passou ou não nas verificações SPF, DKIM e DMARC.
• Aplicação: Uma verificação SPF ou DKIM com falha geralmente sugere que o e-mail pode ser falsificado, o que é uma tática comum em tentativas de phishing.
3. Discrepâncias de, Resposta para e Caminho de Retorno:
• Uso: Compare esses campos para ver se eles correspondem. Se o endereço “Responder para” diferir significativamente do endereço “De”, pode indicar phishing.
• Aplicação: Isso pode revelar tentativas de redirecionar respostas para um endereço de e-mail diferente controlado por um agente malicioso.
Etapa 4: Extraindo e analisando URLs do corpo do e-mail
O corpo de um e-mail pode conter links incorporados ou URLs ocultos que podem levar a sites de phishing ou downloads de malware. Veja como extraí-los e analisá-los com segurança:
1. Extraindo URLs:
Ferramentas:
• Extrator de URL: https://www.convertcsv.com/url-extractor.htm permite que os usuários colem o corpo do e-mail e extraiam URLs.
• CyberChef: Use a receita “Extrair URLs” para analisar automaticamente todas as URLs no corpo.
• Aplicação: Extrair URLs ajuda a identificar quaisquer links ocultos que podem não estar visíveis no código HTML do e-mail.
2. Analisando URLs e Domínios:
Ferramentas para reputação de URL e domínio:
• URLScan.io: https://urlscan.io/ permite que você analise URLs com segurança, fornecendo capturas de tela e um relatório detalhado do conteúdo de um site sem visitá-lo diretamente.
• Talos Reputation Center: Útil para verificar a segurança e o histórico de uma URL ou domínio.
• Visualização segura: use serviços de arquivamento como Archive.org ou ferramentas como Wannabrowser para visualizar o conteúdo de uma URL sem correr o risco de exposição a códigos maliciosos.
• Aplicação: investigue a reputação e o comportamento passado do domínio raiz de uma URL para determinar se ele está associado a campanhas de phishing ou malware conhecido.
Etapa 5: Referência cruzada de IPs, domínios e hashes
Para uma investigação completa, faça referência cruzada de endereços IP extraídos, URLs e hashes de arquivos com bancos de dados de inteligência de ameaças conhecidos:
• Talos Reputation Center: fornece dados sobre a reputação e o comportamento histórico de endereços IP e domínios.
• URLScan.io: use isso para uma análise detalhada de URLs e domínios, incluindo seus certificados SSL, recursos externos que eles carregam e outras características comportamentais.
• IPinfo.io: Oferece dados de geolocalização para IPs, úteis para verificar a localização do remetente.
Resumo das ferramentas e seus usos
1. Analisador de Cabeçalho de Mensagem (MHA)
• Objetivo: Analisar cabeçalhos de e-mail, identificar caminhos de entrega, atrasos e anomalias.
• Site: https://mha.azurewebsites.net/
2. CyberChef
• Objetivo: Extrair URLs, decodificar Base64, analisar cabeçalhos.
• Site: https://cyberchef.io/
3. Centro de reputação Talos
• Objetivo: Verificar reputações de IP e domínio.
• Site: https://talosintelligence.com/reputation
4. URLScan.io
• Objetivo: Analisar URLs com segurança, visualizar capturas de tela e comportamentos de sites.
• Site: https://urlscan.io/
5. IPinfo.io
• Objetivo: Análise de geolocalização e reputação de endereços IP.
• Site: https://ipinfo.io/
6. Extrator de URL
• Objetivo: Extrair URLs de dados de e-mail brutos.
• Site: https://www.convertcsv.com/url-extractor.htm
Conclusão
Seguindo essas etapas e usando as ferramentas certas, você pode analisar efetivamente os cabeçalhos de e-mail e o conteúdo do corpo para rastrear a origem de um e-mail, identificar URLs potencialmente maliciosas e verificar a autenticidade do remetente. Esses métodos OSINT são essenciais para investigar tentativas de phishing, rastrear a origem do spam e garantir a segurança do e-mail. Armado com esse conhecimento, você pode tomar decisões mais informadas sobre como lidar com e-mails suspeitos e proteger sua organização de ameaças cibernéticas
Deixe um comentário