O que é Spoofing e como se proteger?

Há anos o spoofing tem se tornado uma das práticas mais comuns da Internet e inclui muitos métodos usados por hackers – na verdade crackers - e outros criminosos da Internet para obter acesso a um PC, uma rede ou obter dados específicos. Exatamente o que é spoofing e como você pode se protege dele, é o que vamos tratar aqui.

O que é spoofing?

O spoofing vem do inglês, especificamente do termo “spoof” e originalmente significava apenas "fingir" ou “imitar” e não tinha uma conotação negativa, mas no jargão tecnológico, assumiu o significado de fazer falsificação.

Este tipo de ação ocorre há muito tempo na área de TI, mas vem se manifestando sob diferentes métodos e para diferentes finalidades, sendo que o mais comum são os spoofings de e-mails, de IP e de DNS, mas já há outras “aplicações” para o golpe, como por exemplo, o spoofing telefônico.

No chamado spoofing de IP, os pacotes de dados que trafegam usando os protocolos TCP/IP ou UDP/IP, são enviados com um endereço de remetente falso. O cracker utiliza-se de um endereço de um sistema autorizado e confiável, mas que tem alguma falha de segurança e com isso, ele é capaz de injetar seus próprios pacotes no sistema de computador externo que, de outra forma, seria bloqueado por algum mecanismo de filtragem, como por exemplo, um firewall.

Já no caso de spoofing de DNS, a questão normalmente está associada às técnicas que são conhecidas como “cache poisoning”, que é em tradução direta “envenenamento de cache” ou realizando um ataque DDoS contra os servidores de DNS usando um botnet.

Entre as variações existentes, a única que é possível identificar ao usuário final, é o spoofing de e-mail, visto que nos demais casos, um bom conhecimento técnico é necessário e algumas vezes até mesmo os profissionais da área têm dificuldades para reconhecer a ação maliciosa e, sobretudo, para aplicar ações para cessar o ataque e por isso concentraremos nossa abordagem ao spoofing de e-mail.

O que é o spoofing de e-mail?

Spoofing de e-mail ou e-mail spoofing é uma variação de phishing, que é o ato de criar diferentes tipos de iscas com a intenção de obter informações que possam ser usadas e/ou que rendam algum retorno financeiro, como por exemplo, dados bancários e/ou dados pessoais, contas de e-mail e respectivas senhas, dados de acesso a sistemas ou sites, entre outros.

Na falsificação (spoofing) de e-mail, o destinatário do e-mail é levado a crer que o remetente é uma empresa conhecida ou um contato de confiança e por esta razão, a falsificação muitas vezes usa nomes de empresas populares. Assim, é comum receber mensagens de correio eletrônico que supostamente são do seu banco ou da operadora de cartão de crédito, pedindo que confirme a senha do seu cartão.

Entre as mais comuns possibilidades, há a modalidade na qual o cracker utiliza domínios com grafias muito semelhantes ao domínio original e que muitos destinatários acabam não distinguindo a diferença. Quer um exemplo? apple.com e app1e.com. Colocados desta maneira, um ao lado do outro e sabendo-se que um é o legítimo e o outro é o falso, é mais fácil ver o “erro”, mas muitos usuários recebem uma mensagem de support@app1e.com solicitando a senha do iTunes e respondem ao mesmo.

Outro exemplo de método utiliza o que se chama de nome de exibição e é um recurso familiar a quem configura uma conta no Microsoft Outlook. Por ele, o usuário coloca normalmente seu nome completo e assim quando o destinatário recebe uma mensagem, o que ele vê é um nome e não um endereço de e-mail e desta forma pode-se ver “Bill Gates” em uma mensagem cujo endereço do remetente é xyz12345@outlook.com.

Com as ferramentas certas, um cracker pode até mesmo usar de fato um domínio real para enviar mensagens fazendo-se passar pelo real detentor do domínio, porém o spoofing de domínio se tornou mais difícil devido à adoção cada vez maior do Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM), que evitam o uso não autorizado de nomes de domínio para ataques de falsificação.

O que fazer para me proteger de e-mail spoofing?

Previnir-se contra o e-mail spoofing é importante e é possível. O melhor a se fazer, é combinar treinamento, procedimentos e tecnologias. O treinamento ou a informação dos usuários, é sua primeira linha de defesa. Alguns ataques de spoofing são extremamente difíceis de identificar, mas a maioria contém padrões facilmente reconhecíveis.

A seguir medidas que minimizam os riscos de ser vítima de e-mail spoofing:

  • Certifique-se que o domínio associado ao endereço de e-mail está correto. Uma maneira de fazer esta checagem, é usando sites de whois, como o do registro.br para o caso de domínios nacionais. Copie e cole o domínio no campo de pesquisa de whois, para certificar-se de sua exatidão e da empresa associada ao domínio;

  • Para verificar se o endereço de e-mail corresponde ao nome de exibição, verifique o cabeçalho da mensagem. O procedimento para exibição do cabeçalho, varia de acordo com a ferramenta que você usa para gerenciar os seus e-mails e assim deve-se consultar o suporte, a ajuda ou documentação do programa usado;

  • Se não tiver segurança sobre a procedência do e-mail, não o abra. A maior parte dos programas de e-mail permitem selecionar a mensagem e exibir o seu código-fonte e desta forma é possível visualizar o conteúdo do e-mail sem que se execute eventuais conteúdos maliciosos nele existentes. Não sabendo interpretar o conteúdo, peça ajuda a um especialista;

  • Desconfie de mensagens que solicitam dados pessoais e especialmente senhas. Não é comum que as empresas realizem solicitações desta natureza por e-mail;

  • Campos assunto podem também dar pistas sobre o conteúdo. Avalie se o contato de fato utilizaria aquele assunto para lhe endereçar uma mensagem;

  • Evite clicar em links contidos no corpo da mensagem. A maior parte dos programas de e-mail exibe o real endereço associado aos links no rodapé do programa ou em caixa de texto sobre o corpo da mensagem apenas posicionando o cursor do mouse sobre o link. Se não for possível a visualização, clique com o botão direito do mouse sobre o link e utilize a opção “copiar endereço do link”. Cole-o no bloco de notas para avaliação;

  • Existem ferramentas de segurança que fazem a verificação de e-mails quanto a vários aspectos de segurança. Se puder contar com uma ferramenta como esta, não hesite;

  • Verifique se o serviço de e-mail onde está hospedada a sua conta, faz a verificação de SPF e DKIM para recebimento e envio de mensagens e se não o faz, se é possível habilitar estes recursos;

  • Em caso de dúvida quanto à procedência de uma determinada mensagem e sendo possível, contate o remetente e confirme que o envio partiu dele;

  • A educação usuários é uma ótima medida de prevenção e, portanto, circular artigos entre os usuários como este entre eles, bem como realizar pequenos treinamentos, minimiza bastante a ocorrência de problemas relacionados ao recebimento de phishing e e-mail spoofing;

Conclusão

E-mail spoofing, é um tipo de prática maliciosa que tem como objetivo falsificar a identidade do emissor do e-mail e assim enganar o destinatário com o objetivo de obter informações que deem algum tipo de vantagem ao invasor. Com informação, procedimentos adequados e ferramentas, é possível identificar e prevenir-se deste tipo de ação.