Correios

Ataques de personificação como phishing e spoofing podem ter um impacto dramático na saúde do seu domínio e levar a falhas de autenticação, compromisso de e-mail, e muito mais! É por isso que precisa de melhorar as suas defesas contra eles, a partir de hoje. Existem vários métodos que pode utilizar para assegurar que os seus emails sejam adequadamente protegidos contra ataques de phishing e de falsificação. Vamos discutir quais são eles!

Protocolos de autenticação de e-mail para prevenir ataques de personificação

  1. Quadro da Política de Remetentes (SPF)
    Uma boa maneira de começar é através da implementação do SPF. O Sender Policy Framework, que se baseia no DNS do seu nome de domínio, pode certificar que o IP utilizado para o envio de um e-mail tem o direito de o fazer. Impede a utilização fraudulenta do seu nome de domínio e impede que terceiros finjam ser você. O protocolo SPF é particularmente eficaz contra ataques de phishing e de spoofing, pois muitas vezes aproveitam-se de tais erros. Se um servidor de correio afirma que foi enviado por um servidor de correio cujo endereço IP pode ser atribuído ao seu domínio, então, em geral, os sistemas operativos verificarão duas vezes antes de entregar um correio electrónico. Desta forma, os servidores de correio que não respeitam o SPF são ignorados com sucesso. Em termos simples, o "Protocolo SPF" permite ao proprietário de um domínio (por exemplo [email protected]) enviar uma autorização à sua autoridade DNS.

  2. DomainKeys Identified Mail (DKIM)
    DomainKeys Identified Mail, ou DKIM, é um sistema de autenticação de correio electrónico que utiliza assinaturas digitais para verificar a fonte e o conteúdo de uma mensagem. É um conjunto de técnicas criptográficas para verificar a fonte e o conteúdo de mensagens de correio electrónico, a fim de reduzir o spam, phishing, e outras formas de correio electrónico malicioso. Especificamente, utiliza chaves de encriptação privadas partilhadas para autenticar o remetente de uma determinada mensagem (o aspecto chave aqui é que apenas o destinatário pretendido deve estar na posse desta chave privada), assegurando que o correio electrónico não possa ser "falsificado", ou falsamente representado por impostores. Também permite a um destinatário autorizado detectar quaisquer alterações feitas a uma mensagem após o seu envio; se a organização responsável pela validação destas assinaturas detectar corrupção de dados num e-mail, pode simplesmente rejeitá-la como falsa e notificar o seu remetente como tal.

  3. Autenticação de mensagens com base no domínio, relatórios e conformidade (DMARC)
    O DMARC existe por várias razões. Primeiro, o DMARC fornece-lhe uma forma de dizer aos servidores de correio que mensagens são legítimas, e quais as que não o são. Em segundo lugar, DMARC fornece-lhe relatórios sobre o quão bem protegido o seu domínio está dos ataques. Terceiro, DMARC ajuda-o a proteger a sua marca de ser associado a mensagens que possam prejudicar a sua reputação. DMARC fornece mais protecção contra phishing e spoofing, verificando se uma mensagem de correio electrónico teve realmente origem no domínio de onde afirma ter vindo. O DMARC também permite à sua organização solicitar relatórios sobre as mensagens que recebe. Estes relatórios podem ajudá-lo a investigar possíveis problemas de segurança e identificar possíveis ameaças, tais como infecção por malware ou ataques de phishing visando a sua organização.

Como pode o PowerDMARC ajudá-lo a proteger o seu domínio contra ataques de phishing e de spoofing?

O conjunto de autenticação de segurança de correio electrónico do PowerDMARC não só o ajuda com a integração sem falhas dos seus protocolos SPF, DKIM, e DMARC, mas também fornece muitos mais benefícios adicionais, incluindo

  • Aplainamento SPF para assegurar que o seu registo SPF permanece válido e sob o limite rígido do SPF de 10 consultas
  • BIMI para identificação visual dos seus e-mails comerciais. BIMI garante que os e-mails que chegam aos seus clientes contêm o logótipo da sua marca que pode ser detectado por eles mesmo antes de abrirem a mensagem.
  • MTA-STS para encriptar os seus e-mails em trânsito

Para desfrutar DMARC grátisSó precisa de se inscrever e criar uma conta PowerDMARC sem quaisquer custos adicionais. Comece a sua viagem de autenticação de e-mail connosco para uma experiência de e-mail mais segura!

O spoofing é um dos tipos de ataques mais universais da actualidade. Os autores de fraudes adoram assumir nomes e endereços de e-mail numa rede de correio electrónico (por exemplo, Hotmail, Gmail) para enviar milhares de e-mails falsos que aparecem como se tivessem sido enviados por alguém que conhece - como o CEO ou um executivo de outra empresa da sua indústria.

Não deixe os ladrões de identidade falsificarem o seu endereço electrónico. Aprenda a proteger-se da falsificação de endereços de correio electrónico e porque se deve preocupar com esta grave ameaça à segurança da informação. Vamos a isso!

E-mails falsificados: O que são eles?

O e-mail falsificado não é uma coisa nova, mas também não parece desaparecer tão cedo. Em alguns casos, o avanço da tecnologia ajuda de facto os autores das fraudes a fazer batota. Há muitas razões pelas quais um e-mail pode ser considerado como falsificado. O cenário mais comum é quando um atacante sequestra um servidor genuíno e o utiliza para enviar e-mails falsificados. O método mais comum para enviar emails é através da exploração de um servidor SMTP vulnerável. Uma vez que tenham comprometido o servidor SMTP, podem enviar emails falsos a qualquer pessoa.

A falsificação é um problema grave e que só está a piorar. As implicações da falsificação podem ser de grande alcance e prejudiciais para as grandes marcas, mas a recente inundação de phishing já tinha causado pânico entre os utilizadores. Ao fornecer um guia sobre como evitar a falsificação de emails, está a ajudar os seus utilizadores (e a si próprio) a livrarem-se desta ameaça, e a estabelecer as melhores práticas para aqueles que constam da sua lista de suporte técnico.

Como podem as mensagens de correio electrónico falsificadas prejudicá-lo?

Lembra-se da última vez que clicou num link de um e-mail que dizia ser de uma empresa em que confiava? Provavelmente encontrou-se num website que nunca tinha visitado antes, porque o remetente lhe deu instruções para clicar num link. Como soube que este novo endereço não era uma tentativa nefasta de espionagem dos seus dados pessoais? A resposta é simples: As empresas legítimas nunca irão pedir informações privadas como nomes de utilizador, palavras-passe e números de cartão de crédito através de correio electrónico.

No entanto, se uma fonte fraudulenta falsificar o seu endereço para enviar tais mensagens maliciosas aos seus clientes, fique descansado de que isso prejudicará o seu negócio. A credibilidade e reputação que tanto trabalhou para construir sofrerá os golpes de tais ataques, e os seus clientes hesitariam antes de abrir as suas mensagens legítimas de marketing.

Como impedir o envio contínuo de e-mails falsos a partir do meu endereço electrónico?

Faça dos protocolos de autenticação de correio electrónico uma parte do seu conjunto de correio electrónico!

  1. SPF: Uma das bases da autenticação de correio electrónico que o ajudará a evitar a falsificação de correio electrónico é o SPF. Embora a sua configuração seja sem esforço, a sua manutenção é um desafio. Existe frequentemente o risco de exceder o limite de 10 consultas DNS, o que resulta na falha da autenticação dos emails apesar da autenticidade comprovada. Oferecemos-lhe uma solução rápida para contornar este problema com a nossa ferramenta dinâmica de aplanamento de SPF.Crie hoje um registo SPF gratuitamente, com o nosso Gerador de registos SPF.
  2. DKIM: DKIM é um método para assinar todas as mensagens enviadas para ajudar a prevenir a falsificação de correio electrónico. A falsificação é uma utilização comum não autorizada de correio electrónico, pelo que alguns servidores de correio electrónico requerem DKIM para prevenir a falsificação de correio electrónico. Com a sua utilização, todo o seu correio de saída será autenticado com uma assinatura digital que permite que os servidores de correio saibam que veio realmente de si.
  3. DMARC: DMARC é uma norma de autenticação de correio electrónico para organizações, para ajudar a protegê-las de ataques de spoofing e phishing que utilizam o correio electrónico para enganar o destinatário, levando-o a tomar algumas medidas. DMARC funciona como uma camada sobre o SPF e DKIM para ajudar os destinatários de correio electrónico a reconhecer quando um correio electrónico não vem dos domínios aprovados de uma empresa, e fornecer instruções sobre como eliminar com segurança correio electrónico não autorizado.

Se quiser começar a construir as suas defesas contra a falsificação, recomendamos-lhe que faça um julgamento para o nosso Analisador de relatórios DMARC. Ajudar-lhe-á a entrar nos protocolos à velocidade mais rápida do mercado, a manter-se a par dos erros, e a monitorizar facilmente os seus domínios num painel de instrumentos DMARC polivalente.

Como prestador de serviços DMARC, é-nos feita esta pergunta muitas vezes: "Se o DMARC apenas usa autenticação SPF e DKIM, porque nos devemos preocupar com o DMARC? Não será isso simplesmente desnecessário?"

Na superfície pode parecer que faz pouca diferença, mas a realidade é muito diferente. O DMARC não é apenas uma combinação de tecnologias SPF e DKIM, é um protocolo inteiramente novo por si só. Tem várias características que o tornam um dos mais avançados padrões de autenticação de correio electrónico do mundo, e uma necessidade absoluta para as empresas.

Mas espere um minuto. Ainda não respondemos exactamente porque precisa de DMARC. O que é que oferece que o SPF e o DKIM não oferecem? Bem, essa é uma resposta bastante longa; demasiado longa para apenas um post no blogue. Portanto, vamos dividi-lo e falar primeiro sobre SPF. Caso não esteja familiarizado com ele, aqui vai uma introdução rápida.

O que é SPF?

SPF, ou Sender Policy Framework, é um protocolo de autenticação de correio electrónico que protege o receptor de correio electrónico de e-mails falsificados. É essencialmente uma lista de todos os endereços IP autorizados a enviar correio electrónico através dos seus canais (o proprietário do domínio). Quando o servidor receptor vê uma mensagem do seu domínio, verifica o seu registo SPF que é publicado no seu DNS. Se o IP do remetente constar desta 'lista', o correio electrónico é entregue. Caso contrário, o servidor rejeita a mensagem de correio electrónico.

Como pode ver, o SPF faz um bom trabalho mantendo de fora muitos e-mails não solicitados que podem danificar o seu dispositivo ou comprometer os sistemas de segurança da sua organização. Mas SPF não é quase tão bom como algumas pessoas possam pensar. Isso é porque tem alguns inconvenientes muito importantes. Vamos falar de alguns destes problemas.

Limitações do FPS

Os registos SPF não se aplicam ao endereço From

Os e-mails têm múltiplos endereços para identificar o seu remetente: o endereço From que normalmente vê, e o endereço Return Path que está oculto e requer um ou dois cliques para ser visualizado. Com o SPF activado, o servidor de correio electrónico receptor analisa o Caminho de Retorno e verifica os registos SPF do domínio a partir desse endereço.

O problema aqui é que os atacantes podem explorar isto utilizando um domínio falso no seu endereço do Caminho de Retorno e um endereço de correio electrónico legítimo (ou com aspecto legítimo) na secção De. Mesmo que o receptor verificasse o endereço de correio electrónico do remetente, veria primeiro o endereço De, e normalmente não se preocupa em verificar o Caminho de Regresso. De facto, a maioria das pessoas nem sequer tem conhecimento de que existe uma coisa como o endereço do Caminho de Regresso.

SPF pode ser facilmente contornado usando este truque simples, e deixa até domínios seguros com SPF em grande parte vulneráveis.

Os registos SPF têm um limite de pesquisa DNS

Os registos SPF contêm uma lista de todos os endereços IP autorizados pelo proprietário do domínio para o envio de e-mails. No entanto, têm uma desvantagem crucial. O servidor receptor precisa de verificar o registo para ver se o remetente está autorizado, e para reduzir a carga no servidor, os registos SPF têm um limite de 10 consultas DNS.

Isto significa que se a sua organização utiliza múltiplos vendedores terceiros que enviam e-mails através do seu domínio, o registo SPF pode acabar por ultrapassar esse limite. A menos que seja devidamente optimizado (o que não é fácil de fazer por si próprio), os registos SPF terão um limite muito restritivo. Quando ultrapassa este limite, a implementação do SPF é considerada inválida e o seu correio electrónico falha o SPF. Isto pode potencialmente prejudicar as taxas de entrega do seu correio electrónico.

 

SPF nem sempre funciona quando o e-mail é reencaminhado

O SPF tem outro ponto crítico de falha que pode prejudicar a sua entregabilidade de correio electrónico. Quando tiver implementado o SPF no seu domínio e alguém encaminhar o seu correio electrónico, o correio electrónico encaminhado pode ser rejeitado devido à sua política SPF.

Isto porque a mensagem reencaminhada mudou o destinatário do e-mail, mas o endereço do remetente do e-mail permanece o mesmo. Isto torna-se um problema porque a mensagem contém o endereço original do remetente De mas o servidor receptor está a ver um IP diferente. O endereço IP do servidor de reencaminhamento de correio electrónico não está incluído no registo SPF do domínio do remetente original. Isto poderia resultar na rejeição da mensagem de correio electrónico pelo servidor receptor.

Como é que o DMARC resolve estas questões?

DMARC utiliza uma combinação de SPF e DKIM para autenticar o correio electrónico. Um e-mail precisa de passar por SPF ou DKIM para passar por DMARC e ser entregue com sucesso. E também acrescenta uma característica chave que o torna muito mais eficaz do que apenas o SPF ou o DKIM: Relatórios.

Com os relatórios DMARC, recebe diariamente feedback sobre o estado dos seus canais de correio electrónico. Isto inclui informação sobre o seu alinhamento DMARC, dados sobre emails que falharam a autenticação, e detalhes sobre potenciais tentativas de falsificação.

Se estiver a pensar no que pode fazer para não ser falsificado, consulte o nosso guia prático sobre as 5 principais formas de evitar a falsificação de e-mails.

Quebrando os Mitos DMARC

Para muitas pessoas, não é imediatamente claro o que o DMARC faz ou como evita a falsificação, personificação e fraude de domínios. Isto pode levar a sérios equívocos sobre o DMARC, como funciona a autenticação de emails, e porque é bom para si. Mas como sabe o que está certo e o que está errado? E como se pode ter a certeza de que está a implementá-lo correctamente? 

PowerDMARC está aqui para o salvamento! Para o ajudar a compreender melhor o DMARC, compilámos esta lista dos 6 conceitos errados mais comuns sobre DMARC.

Conceitos errados sobre DMARC

1. O DMARC é o mesmo que um filtro de spam

Esta é uma das coisas mais comuns que as pessoas se enganam sobre o DMARC. Os filtros de spam bloqueiam a recepção de e-mails que são entregues na sua caixa de entrada. Estes podem ser e-mails suspeitos enviados a partir do domínio de qualquer pessoa, e não apenas do seu. O DMARC, por outro lado, diz aos servidores de recepção de emails como lidar com os emails enviados a partir do seu domínio. Filtros de spam como o Microsoft Office 365 ATP não protegem contra tais ciberataques. Se o seu domínio é reforçado com DMARC e o e-mail falhar a autenticação, o servidor receptor rejeita-o.

2. Uma vez criado o DMARC, o seu e-mail está seguro para sempre

O DMARC é um dos protocolos de autenticação de correio electrónico mais avançados por aí, mas isso não significa que seja completamente auto-suficiente. É necessário monitorizar regularmente os seus relatórios DMARC para se certificar de que os emails de fontes autorizadas não estão a ser rejeitados. Ainda mais importante, precisa de verificar se os remetentes não autorizados abusam do seu domínio. Quando vê um endereço IP a fazer repetidas tentativas de falsificar o seu e-mail, precisa de tomar medidas imediatas e de os ter na lista negra ou retirados da lista.

3. DMARC irá reduzir a minha capacidade de entrega de correio electrónico

Quando se cria o DMARC, é importante definir primeiro a sua política para p=ninguém. Isto significa que todos os seus e-mails ainda são entregues, mas receberá relatórios DMARC sobre a sua aprovação ou não autenticação. Se durante este período de monitorização vir as suas próprias mensagens de correio electrónico a falhar o DMARC, pode tomar medidas para resolver os problemas. Uma vez que todas as suas mensagens de correio electrónico autorizadas estejam a ser validadas correctamente, pode aplicar o DMARC com uma política de p=quarantena ou p=rejeição.

4. Não preciso de aplicar o DMARC (p=nenhuma é suficiente)

Quando se estabelece o DMARC sem o fazer cumprir (política de p=nenhuma), todos os e-mails do seu domínio - incluindo os que falham o DMARC - são entregues. Receberá relatórios DMARC mas não protegerá o seu domínio de quaisquer tentativas de falsificação. Após o período de monitorização inicial (explicado acima), é absolutamente necessário definir a sua política para p=quarantina ou p=rejeitar e aplicar o DMARC.

5. Só as grandes marcas precisam de DMARC

Muitas organizações mais pequenas acreditam que só as maiores e mais reconhecíveis marcas necessitam de protecção DMARC. Na realidade, os cibercriminosos utilizarão qualquer domínio comercial para lançar um ataque de falsificação. Muitas empresas mais pequenas normalmente não têm equipas dedicadas à segurança cibernética, o que torna ainda mais fácil para os atacantes atacar organizações de pequena e média dimensão. Lembre-se, cada organização que tem um nome de domínio precisa de protecção DMARC!

6. Os relatórios DMARC são fáceis de ler

Vemos muitas organizações a implementar o DMARC e a ter os relatórios enviados para as suas próprias caixas de correio electrónico. O problema com isto é que os relatórios DMARC vêm num formato de ficheiro XML, o que pode ser muito difícil de ler se não se estiver familiarizado com ele. Usando uma plataforma DMARC dedicada pode não só tornar o seu processo de configuração muito mais fácil, mas o PowerDMARC pode converter os seus complexos ficheiros XML em relatórios de fácil leitura com gráficos, gráficos, e estatísticas detalhadas.

O e-mail é muitas vezes a primeira escolha para um cibercriminoso, quando estão a lançar, porque é muito fácil de explorar. Ao contrário dos ataques de força bruta, que são pesados no poder de processamento, ou métodos mais sofisticados que requerem um alto nível de habilidade, a falsificação de domínios pode ser tão fácil como escrever um e-mail fingindo ser outra pessoa. Em muitos casos, essa "outra pessoa" é uma importante plataforma de serviço de software em que as pessoas dependem para fazer o seu trabalho.

Foi o que aconteceu entre 15 e 30 de Abril de 2020, quando os nossos analistas de segurança no PowerDMARC descobriram uma nova onda de e-mails de phishing que visavam as principais companhias de seguros do Médio Oriente. Este ataque tem sido apenas um entre muitos outros no recente aumento de casos de phishing e falsificação durante a crise do Covid-19. Já em Fevereiro de 2020, outro grande esquema de phishing chegou ao ponto de se fazer passar pela Organização Mundial de Saúde, enviando e-mails a milhares de pessoas pedindo doações para o alívio do coronavírus.

Nesta recente série de incidentes, os utilizadores do serviço Office 365 da Microsoft receberam o que parecia ser e-mails de actualização de rotina sobre o estado das suas contas de utilizador. Estes e-mails provinham dos domínios das suas próprias organizações, solicitando aos utilizadores que redefinissem as suas palavras-passe ou que clicassem em ligações para ver notificações pendentes.

Compilámos uma lista de alguns dos títulos de correio electrónico que observámos estarem a ser utilizados:

  • Conta Microsoft actividade de início de sessão invulgar
  • Tem (3) Mensagens Pendentes de Entrega no seu e-Mail [email protected]* Portal!
  • [email protected] Tem Mensagens Pendentes do Microsoft Office UNSYNC
  • Reativação Notificação sumária para [email protected]

*detalhes da conta alterados para privacidade dos utilizadores

Também pode ver uma amostra de um cabeçalho de correio utilizado num e-mail falso enviado a uma companhia de seguros:

Recebido: de [malicioso_ip] (helo= malicioso_domínio)

id 1jK7RC-000uju-6x

para [email protected]; Qui, 02 Abr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recebido: de [xxxx] (porto=58502 helo=xxxxx)

por malicioso_domínio com esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipa de conta Microsoft" 

Para: [email protected]

Assunto: Notificação do Microsoft Office para [email protected] em 4/1/2020 23:46

Data: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Versão: 1.0

Content-Type: text/html;

charset="utf-8″

Codificação de conteúdo-transferência-codificação: citação-printável

X-AntiAbuse: Este cabeçalho foi adicionado para rastrear abusos, por favor inclua-o com qualquer relatório de abuso

X-AntiAbuse: Nome do Anfitrião Primário - malicioso_domínio

X-AntiAbuse: Domínio original - domain.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Endereço do remetente Domínio - domain.com

X-Get-Message-Sender-Via: malicioso_domínioauthenticated_id: [email protected]_domain

Emissor X-Autenticado: malicious_domain: [email protected]_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Recebido-SPF: falha ( domínio de domínio.com não designa malicioso_ip_address como remetente permitido) client-ip= malicioso_ip_address ; envelope-from=[email protected]; helo=malicioso_domínio;

X-SPF-Result: domínio de domain.com não designa malicioso_ip_address como remetente permitido

Aviso ao Remetente-X: A pesquisa DNS inversa falhou para malicioso_ip_address (falhado)

X-DKIM-Status: nenhum / / domain.com / / /

X-DKIM-Status: passe / / malicioso_domínio / malicioso_domínio / / por defeito

 

O nosso Centro de Operações de Segurança rastreou os links de correio electrónico para URLs de phishing que visavam os utilizadores do Microsoft Office 365. Os URLs foram redireccionados para sítios comprometidos em diferentes locais do mundo.

Olhando simplesmente para esses títulos de correio electrónico, seria impossível dizer que foram enviados por alguém que falsificou o domínio da sua organização. Estamos habituados a um fluxo constante de trabalho ou emails relacionados com contas, o que nos leva a entrar em vários serviços online, tal como o Office 365. A falsificação de domínios tira partido disso, tornando os seus e-mails falsos e maliciosos indistinguíveis dos e-mails genuínos. Não há praticamente forma de saber, sem uma análise minuciosa do e-mail, se este provém de uma fonte de confiança. E com dezenas de e-mails que chegam todos os dias, ninguém tem tempo para escrutinar cuidadosamente cada um deles. A única solução seria utilizar um mecanismo de autenticação que verificasse todos os e-mails enviados a partir do seu domínio, e bloquear apenas aqueles que foram enviados por alguém que o enviou sem autorização.

Esse mecanismo de autenticação é chamado DMARC. E como um dos principais fornecedores de soluções de segurança de correio electrónico no mundo, nós no PowerDMARC fizemos questão de o fazer compreender a importância de proteger o domínio da sua organização. Não apenas para si, mas para todos os que confiam e dependem de si para entregar e-mails seguros e fiáveis na sua caixa de entrada, de cada vez.

Pode ler sobre os riscos de falsificação aqui: https://powerdmarc.com/stop-email-spoofing/

Descubra como pode proteger o seu domínio contra a falsificação e impulsionar a sua marca aqui: https://powerdmarc.com/what-is-dmarc/