Nesse artigo fique sabendo o que é Spoofing e porque é tão importante você proteger sua empresa dessa prática.
No Brasil o Spoofing foi notícia em 2019, depois de quatro pessoas terem sido presas por terem invadido os celulares do ministro da Justiça e Segurança Pública, Sérgio Moro, e demais autoridades, sendo uma delas o próprio presidente da República, Jair Bolsonaro.
Segundo os nossos amigos do Canaltech: “O termo tem origem na palavra em inglês “spoof”, que significa “enganar”, “fingir” ou “imitar”. Essa ação é um tipo de falsificação tecnológica que procura burlar uma rede ou uma pessoa, fazendo com que o indivíduo que está no controle possa enviar um e-mail, mensagens e até ligações utilizando o número de outra, como foi o caso do Ministro e outros que tiveram seus aparelhos invadidos.
Além disso, os hackers podem usurpar o IP e DNS para assumir o controle das máquinas e fazer com que o usuário “acesse” sites fraudulentos e distribua mensagens em aplicativos como Telegram e WhatsApp.”
Contents
O Caso Ubisoft
Os Youtubers vêm sendo alvo de golpes de um grupo russo que entram em contato fingindo ser anunciantes ou procurando parcerias.
Dessa vez a vítima foi a Ubisoft, uma empresa desenvolvedora e publicadora francesa de jogos eletrônicos.
Usando um fornecedor para envio de email, no caso, a Sendgrid, conseguiram fazer se passar pela Ubisoft e roubar os dados de acesso de vários Youtubers. A grande sacada é que eles conseguiram usar o remetente da Ubisoft.
Saiba tudo nesse vídeo:
Resumindo:
- Os golpistas passaram na validação de SPF, conseguindo enviar email de uma origem aprovada pela Ubisoft. Essa validação verifica e testa um domínio que está informado em um outro header chamado Return Path e nesse consta um domínio que foi enviado automaticamente a partir do domínio da sendgrid.
- O DKIM também passou na validação e foi aprovado pelo domínio sendgrid.net. O DKIM insere uma assinatura criptográfica no email mas especifica em um parâmetro chamado “d” qual é o domínio que está assinando esta mensagem. A validação é especificada por esse parâmetro e não pelo domínio que estão usando como remetente.
- O DMARC avalia os mesmos testes que o SPF e o DKIM. É aqui que é testado o email que está sendo usado como remetente, no caso, o da Ubisoft e não da Sendgrid como aconteceu nas verificações anteriores. Mas se na verificação do DMARC falhou porque os Youtubers acabaram recebendo o email do golpe?
No DMARC o proprietário pode definir as políticas do que deve acontecer quando o email falha nestes testes.
Vamos dar uma olhada nas configurações do DMARC da Ubisoft:
Consultando o DNS do domínio da Ubisoft através de uma entrada do tipo TXT, verificamos a existência de um parâmetro “p=none”. E o que significa isso?
Significa que a política que a Ubisoft adotou a ser realizada quando os emails falham nos testes é de não fazer nada com eles e o usuário acaba recebendo o email normalmente.
Nesse caso, apesar de a Ubisoft receber um aviso nos relatórios de DMARC deles avisando que falhou nesses testes saiba que usar a configuração de DMARC do jeito que a Ubisoft usa não é nada incomum.
Uma pesquisa de 2019 apontou que 80% das caixas de email pelo mundo já usam DMARC, porém apenas 17% usa as configurações corretas que ajudariam a evitar golpes de Spoofing como esse.
O que eu posso fazer para proteger a minha empresa desses golpes e como a E-goi pode me ajudar?
Queremos muito entregar resultados aos nossos clientes. Levamos isso muito a sério e a questão da segurança é um dos pontos fundamentais que impactam nesses resultados.
Num ápice uma situação como esta pode provocar uma visibilidade e notoriedade negativa na marca com proporções gigantes e muito difíceis de reverter no curto prazo.
Essa é uma das razões pelas quais nos preocupamos tanto em que os nossos clientes realizem todas as configurações de SPF e DKIM necessárias.
As realizar as validações do SPF e do DKIM na E-goi estará protegendo o seu domínio com essas validações.
Na E-goi, incentivamos os nossos clientes a fazê-lo e nós próprios podemos ajudá-lo gratuitamente a realizar essas configurações: https://helpdesk.e-goi.com/750565-Autenticar-remetentes-de-email.
Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes que o DMARC seja ativado.
Então e o DMARC?
No caso da Ubisoft e da maioria das empresas já existe uma configuração de DMARC no domínio. Se ainda não tem uma, a Google explica como fazer isso aqui: https://support.google.com/a/answer/2466563?hl=pt-BR&ref_topic=2759254
O problema é que na generalidade dos casos, incluindo a Ubisoft essa configuração é permissiva.
Mas eu devo configurar logo de cara uma configuração mais restritiva?
Não!
A própria Google recomenda começar com uma política de DMARC não rigorosa, analisar e só depois progressivamente ir atualizando o grau de proteção do registro DMARC conforme informado nesse tutorial: https://support.google.com/a/answer/10032473?hl=pt-BR&ref_topic=2759254
Lembrando que a tag “p” informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação.
Conclusão:
Se a sua empresa ainda não tem as configurações de SPF, DKIM e DMARC necessárias nos domínios que a sua empresa usa para comunicar então CORRA para fazer isso!
A boa notícia é que na E-goi estamos do seu lado e não vamos deixar você na mão.
Então, se precisar de ajuda para essas configurações fale connosco!