- Josh Hendrickson
@canterrain
- Janeiro 11 de julho de 2019, 8:00h EDT
Você já abriu um e-mail apenas para descobrir que era spam ou chantagem que parecia vir do seu próprio endereço de e-mail? Você não está sozinho. Falsificar endereços de e-mail é chamado de spoofing e, infelizmente, há pouco que você pode fazer sobre isso.
Como os spammers falsificam o seu endereço de e-mail
Spoofing é o ato de forjar um endereço de e-mail, então parece ser de alguém que não foi a pessoa que o enviou. Muitas vezes, a falsificação é usada para enganá-lo a pensar que um e-mail veio de alguém que você conhece, ou de um negócio com o qual você trabalha, como um banco ou outro serviço financeiro.
Infelizmente, a falsificação de e-mails é incrivelmente fácil. Os sistemas de e-mail muitas vezes não têm uma verificação de segurança para garantir que o endereço de e-mail que você digita no campo “De” realmente pertence a você. É muito parecido com um envelope que você coloca no correio. Você pode escrever o que quiser no local do endereço de retorno se não se importar que os correios não possam devolver a carta para você. O correio também não tem como saber se você realmente vive no endereço de retorno que você escreveu no envelope.
Email forging works similarly. Alguns serviços online, como Outlook.com, prestam atenção ao endereço From quando você envia um e-mail e podem impedir que você envie um com endereço falsificado. No entanto, algumas ferramentas permitem-lhe preencher o que quiser. É tão fácil como criar o seu próprio servidor de e-mail (SMTP). Tudo o que um burlão precisa é o seu endereço, que eles provavelmente podem comprar de uma das muitas violações de dados.
Porquê os burlões falsificam o seu endereço?
Os burlões enviam-lhe e-mails que parecem vir do seu endereço por uma de duas razões, geralmente. A primeira é na esperança de que eles contornem a sua protecção contra spam. Se você mesmo envia um e-mail, você provavelmente está tentando se lembrar de algo importante e não quer que essa mensagem seja rotulada como Spam. Então, os golpistas esperam que, usando seu endereço, seus filtros de spam não percebam, e que a mensagem deles seja transmitida. Existem ferramentas para identificar um e-mail enviado de um domínio diferente daquele de onde ele diz ser, mas o seu provedor de e-mail deve implementá-las – e, infelizmente, muitos não o fazem.
O segundo motivo para os golpistas falsificarem o seu endereço de e-mail é para ganhar um senso de legitimidade. Não é raro que um e-mail falsificado reivindique que sua conta está comprometida. Que “você mesmo enviou este e-mail” serve como prova do acesso do “hacker”. Eles também podem incluir uma senha ou número de telefone retirado de uma base de dados violada como prova adicional.
O golpista geralmente alega ter informações comprometedoras sobre você ou fotos tiradas da sua webcam. Ele então ameaça liberar os dados para seus contatos mais próximos, a menos que você pague um resgate. Parece credível no início; afinal de contas, eles parecem ter acesso à sua conta de e-mail. Mas esse é o ponto – o golpista está fingindo evidências.
O que os serviços de e-mail fazem para combater o problema
O fato de que qualquer um pode fingir um endereço de e-mail de retorno tão facilmente não é um problema novo. E os provedores de e-mail não querem incomodá-lo com spam, então ferramentas foram desenvolvidas para combater o problema.
O primeiro foi o Sender Policy Framework (SPF), e ele funciona com alguns princípios básicos. Cada domínio de e-mail vem com um conjunto de registros DNS (Domain Name System), que são usados para direcionar o tráfego para o servidor ou computador de hospedagem correto. Um registro SPF funciona com o registro DNS. Quando você envia um e-mail, o serviço receptor compara o seu endereço de domínio fornecido (@gmail.com) com o seu IP de origem e o registro SPF para garantir que eles coincidam. Se você enviar um e-mail a partir de um endereço Gmail, esse e-mail também deve mostrar que ele se originou de um dispositivo controlado pelo Gmail.
Felizmente, o SPF sozinho não resolve o problema. Alguém precisa manter registros SPF corretamente em cada domínio, o que nem sempre acontece. Também é fácil para os golpistas contornarem este problema. Quando você recebe um e-mail, você pode ver apenas um nome ao invés de um endereço de e-mail. Os scammers preenchem um endereço de e-mail para o nome real e outro para o endereço de envio que corresponde a um registro SPF. Então, você não verá isso como spam e nem SPF.
As empresas também devem decidir o que fazer com os resultados do SPF. Na maioria das vezes, elas se contentam em deixar os e-mails passar em vez de arriscar que o sistema não entregue uma mensagem crítica. SPF não tem um conjunto de regras sobre o que fazer com as informações; ele apenas fornece os resultados de uma verificação.
Para resolver esses problemas, Microsoft, Google e outros introduziram o sistema de validação DMARC (Domain-based Message Authentication, Reporting, and Conformance). Ele funciona com SPF para criar regras para o que fazer com e-mails sinalizados como spam potencial. O DMARC primeiro verifica a verificação do SPF. Se isso falhar, ele impede que a mensagem seja transmitida, a menos que seja configurada de outra forma por um administrador. Mesmo que um SPF passe, o DMARC verifica se o endereço de e-mail mostrado no campo “From:” corresponde ao domínio de onde o e-mail veio (isso é chamado de alinhamento).
Felizmente, mesmo com o apoio da Microsoft, Facebook e Google, o DMARC ainda não é amplamente utilizado. Se você tem um endereço Outlook.com ou Gmail.com, você provavelmente está se beneficiando do DMARC. No entanto, no final de 2017, apenas 39 das 500 empresas da Fortune tinham implementado o serviço de validação.
O que você pode fazer com o Spam auto-endereçado
Felizmente, não há como evitar que os spammers falsifiquem o seu endereço. Esperamos que o sistema de e-mail que você usa implemente tanto SPF quanto DMARC, e você não verá esses e-mails direcionados. Eles devem ir directamente para o spam. Se a sua conta de e-mail lhe dá controlo sobre as suas opções de spam, pode torná-las mais rigorosas. Apenas esteja ciente de que você pode perder algumas mensagens legítimas também, então certifique-se de verificar sua caixa de spam frequentemente.
Se você receber uma mensagem falsificada de você mesmo, ignore. Não clique em nenhum anexo ou link e não pague nenhum resgate exigido. Basta marcá-lo como spam ou phishing, ou apagá-lo. Se você tem medo que suas contas tenham sido comprometidas, feche-as por segurança. Se você reutilizar senhas, redefina-as em cada serviço que compartilhe a senha atual e dê a cada um uma nova e única senha. Se você não confia na sua memória com tantas senhas, recomendamos usar um gerenciador de senhas.
Se você está preocupado em receber e-mails falsos dos seus contatos, também pode valer a pena seu tempo para aprender a ler os cabeçalhos dos e-mails.
