O e-mail (electronic mail ou mensagem eletrônica) é utilizado há quase 50 anos e continua sendo um dos principais, se não o principal, meio de comunicação no mundo empresarial. Por esse motivo é também uma das principais formas de propagação de ameaças utilizadas pelos atacantes.

Uma breve – e recente – história

O e-mail foi criado por Ray Tomlinson em 1971, quando ele utilizou a ARPANET (a rede de computadores gerida pelo governo americano que deu origem à Internet como conhecemos hoje) para fazer envio e leitura de mensagens simples. Foi ele também que utilizou o @ (arroba) para definir como endereçar as caixas de e-mails ao criar o primeiro endereço de e-mails, o tomlinson@bbn-tenexa.

O objetivo do e-mail era mais simples, apenas trocar mensagens entre usuários da ARPANET, como se fosse uma SMS. Porém conforme a necessidade de comunicação foi aumentando, o sistema foi evoluindo e ganhando mais usuários e, assim, o e-mail passou a ser visto de fato como um correio eletrônico.

Atualmente, o propósito do e-mail é facilitar a comunicação entre as pessoas em várias partes do mundo e do forma rápida. Porém, atualmente, o e-mail não é utilizado só pra isso pois existem também as mensagens indesejadas e as maliciosas.

O e-mail indesejado e a propagação de ameaças

Em 3 de maio de 1978, 7 anos após a criação do e-mail, Gary Thuerk enviou para cerca de 400 usuários da antiga ARPANET um e-mail tentando vender o DECsystem-20, um novo computador, ou seja, ele criou o primeiro SPAM. E hoje, dia 03/05/2019 o SPAM está fazendo 41 anos de criação!

A estratégia de Thuerk não desapareceu. Atualmente, cerca de 14.5 bilhões de spams são enviados diariamente. Segundo estudos de empresas de pesquisas diferentes, os spam representam entre 45 e 73% de todo tráfego de e-mail, atualmente. 

O tipo de spam prevalente é o e-mail relacionado à publicidade, com aproximadamente 36% do total de mensagens de spam. Em segundo lugar está a categoria de spam de conteúdo adulto com 31,7%.

Significado de spam e suas categorias

Ainda não existe consenso sobre a origem da nomenclatura SPAM, sendo ela muitas vezes associada ao presunto SPAM, fabricado pela empresa Hormel Foods Corporation ou sendo uma sigla para “Sending and Posting Advertisement in Mass”, traduzido em português para “Enviar e Postar Publicidade em Massa” porém o que ele significa está bem definido: e-mails indesejados e não solicitados enviados em massa, ou seja, em grande quantidade.

Existem diversos tipos de spam, atualmente, entre maliciosos e legítimos.


Categorias de SPAM

Boatos (hoaxes) e correntes

São e-mails que normalmente solicitam que o destinatário (aquele que recebeu o e-mail) repasse a mensagem para um número de pessoas específico ou até para “todos os amigos que puder”. Os textos contém normalmente contêm assuntos falsos sobre filantropia, difamação ou até orações e lendas.

Propagandas

Os spams de propagandas também são conhecidos como UCE (Unsolicited Comercial E-mail) traduzido livremente para o português como E-mail Comercial Não Solicitado. São e-mail para publicidade de produtos, serviços, sites, etc.

Propagandas Enganosas

São aqueles spam de publicidade que oferecem produtos e serviços que não existem ou nunca serão entregues como  os e-mails de pílulas milagrosas para emagrecer enquanto dorme ou para melhorar o desempenho sexual. Outro exemplo são os que oferecem prêmios que são bons demais pra ser verdade como um carro zero quilômetro ou um ano de mercado.

Alguns tipos de propagandas falsas também contem, normalmente ao final do corpo do e-mail, um link para que o usuário faça o descadastramento e pare de receber e-mails. Nesses casos, esses links são falsos! O objetivo desse tipo de link é confirmar que o e-mail é válido pois ele passa a ter um valor mais alto no mercado ilegal e tem mais probabilidade de o usuário cair em um golpe.

Outra forma que validar um e-mail é quando o usuário abre a imagem que contem no corpo do e-mail, pois o fato da mensagem ser acessada pode servir para confirmar que o e-mail foi lido.

Pornografia: é o envio de material pornográfico por mensagens que não foram solicitadas.

Ameaças: são mensagens que tem o objetivo de ameaças ou difamar alguém.

Spit e spim: são spams enviados por meios diferentes do e-mail. SPIM significa “spam sent over Instant Messaging”, em português spam enviado por mensagens instantâneas e  SPIT significa spam sent over Internet Telephony, em português spam enviado por telefonia via internet.

Fraudes: essa é a categoria mais complexa pois dentro dela existe mais de um tipo, porém ela é considerada um tipo de SPAM pois na grande maioria das vezes, os e-mails são enviados em massa e isso já categoriza um spam. E-mails fraudulentos são aqueles em que os atacantes normalmente tentam se passar por outra pessoa ou por uma instituição específica para enganar o usuário e persuadi-lo a fazer o que se pede. Isso é um tipo de ataque chamado Engenharia Social. Para que o e-mail pareça verdadeiro e convença o usuário a fazer o que se pede no e-mail, os atacantes costumam utilizar a técnica de spoofing, uma técnica que faz com que o remetente do e-mail seja o e-mail legítimo de uma instituição ou até o e-mail legítimo do próprio destinatário.

Tipos de Fraudes:

Golpes (scam)

Scams são golpes enviados por e-mail, utilizando a técnica de engenharia social, com o objetivo de enganar o usuário e convence-lo a fazer algum tipo de pagamento. Um tipo de scam que teve seu auge entre o final de 2018 e o início de 2019 foi o sextortion, um e-mail em que o atacante, que havia coletado e-mails e senhas válidos através de vazamentos de dados de diversas empresas (2017 e 2018), utilizou dessas informações para mentir para o destinatário informando que ele tinha a senha dele e havia sequestrado o e-mail dele e, além disso, havia entrado no computador e filmado o usuário enquanto ele acessava sites de conteúdo adulto. Ele exigia um resgate em bitcoin para não enviar as supostas filmagens do usuário para todos os contatos de e-mails dele.

Esse e-mail é falso pois não existia nenhuma prova ou indício de que os atacantes realmente tinham invadido o computador do usuário, porém muitas pessoas cairam nesse golpe e pagaram o resgate aos atacantes.

Phishing

Phishing foi um terno originalmente criado para categorizar e-mails fraudulentos que se passavam por uma instituição conhecida, como um banco por exemplo, para induzir o usuário a acessar páginas falsificadas do banco, que eram projetadas para roubar os dados pessoais e financeiros do usuário. Ou até mesmo enviavam um formulário e solicitavam que a vítima respondesse com as informações bancárias, inclusive contendo senha e código de segurança.

Existem tipos de phishing como o spear phishing que é um ataque direcionado para uma empresa específica.

  • Atualmente, esse termo vem sendo utilizado também para se referir aos e-mails que induzem os usuários a baixar códigos maliciosos ou acessar URLs que baixam códigos maliciosos, que também tem o objetivo de roubar informações bancárias e pessoais.
  • E-mails com códigos maliciosos: são e-mails que contem arquivos anexados (que são maliciosos) ou que tem algum link no corpo do e-mail que leva ao download de um arquivo malicioso.

Como identificar spams e phishings?

Identificar esses e-mails maliciosos e indesejados pode ser uma tarefa difícil porque os atacantes estão sempre melhorando suas táticas para enganar suas vítimas. Listamos abaixo algumas dicas:

  • Muitas vezes, essas mensagens vão conter erros gramaticais e ortográficos;
  • E-mails que não tem personalização, não tratam o destinatário pelo nome e contem saudações genéricas;
  • E-mails que indicam um alto senso urgência, assuntos alarmantes ou ameaça como “pague seu boleto até amanhã”, “se você não pagar até hoje, poderá ser preso”, dentre outros;
  • Arquivos com extensões .exe, .zip, .rar, .scr, .dll, .msi e .bat são os mais utilizados para propagar malwares;
  • Mensagens com endereços estranhos, falsos ou que utilizam Ips;
  • E-mails que foram enviados de desconhecidos ou empresas em que o destinatário não se cadastrou ou ainda remetente com e-mail diferente do nome da empresa;
  • E-mails que solicitam informações pessoais;
  • Mensagens que solicitam a instalação ou execução de algum arquivo ou programa.

Spam vs Phishing

A diferença na prática:

Exemplo de Phishing

No exemplo acima, é possível identificar diversos pontos que indicam que trata-se de um phishing (o e-mail do destinatário foi preservado):

  • O emissor parece ter vindo realmente da empresa porém o domínio de e-mail não faz sentido. Empresas grandes como bancos tem seus domínios muito bem criados e corretos.
  • Existem diversos hyperlinks no corpo do e-mail. Ao passar o mouse por cima, foi possível identificar que eram link diferentes do que estavam descritos (o link era malicioso e não foi mostrado na imagem como procedimento de segurança);
  • O assunto contém uma mensagem alarmante [ALERTA];
  • No final do e-mail, existe a ameaça o usuário perderá os benefícios caso a “validação do token” não seja feita no mesmo dia;
  • No próprio corpo do e-mail já diz que é preciso que o destinatário confirme informações e o link que está no botão vermelho do corpo, quando aberto, solicita dados bancários confidenciais;
  • O rodapé da mensagem deve ter sido retirada do rodapé de uma mensagem legítima do banco.

Exemplo de Spam

No exemplo acima, é possível identificar alguns pontos que indicam que trata-se de uma fraude (o e-mail do destinatário foi preservado pois trata-se de um caso real):

  • O e-mail do emissor não veio de nenhuma fonte confiável;
  • Existem diversos hyperlinks e botões no corpo do e-mail. Ao passar o mouse por cima, foi possível identificar que eram link diferentes do que estavam descritos (o link era malicioso e não foi mostrado na imagem como procedimento de segurança);
  • O assunto faz apelos de venda mencionando famosos;
  • No final, ele mostra um link que teoricamente deveria cancelar a inscrição porém era um link falso (não foi mostrado na imagem como procedimento de segurança).

OBS.: É importante explicar que nem sempre as propagandas enganosas vem de empresas falsas. Pode realmente existir a empresa, porém os fraudadores utilizaram o nome dela para fazer ações maliciosas, como enganar o usuário.

Como se proteger?

  • Seja cético! Não acredite em tudo o que recebe e sempre desconfie de prêmios que são bons demais para serem verdadeiros, pois na maioria das vezes, eles são mesmo falsos.
  • Se tiver qualquer dúvida, entre em contato com a instituição financeira para garantir que aquele e-mail é realmente verídico.
  • Não passe informações pessoais e sensíveis para qualquer um que solicitar, desconfie.
  • Seja cuidadoso com seu endereço de e-mail. Nem sempre é necessário fornecer seu e-mail;
  • Crie contas de e-mails secundárias, por exemplo, uma para receber publicidade e outra para tratar assuntos pessoais.
  • Não responda aos spams e não clique nos links de “descadastramento”.
  • Desabilite a  abertura de imagens em e-mails HTML.
  • Procure utilizar um bom filtro de e-mails porque essa ferramenta já irá reduzir drasticamente o número de e-mails indesejados e maliciosos recebidos.
  • Além do antispam, existem outras ferramentas importantes como o antivírus e o firewall.

Conclusão

A grande diferença entre phishing e spam é o objetivo da ameaça. O spam visa fazer com que a maior quantidade possível de usuários receba um e-mail. Ele pode ser malicioso ou apenas uma propaganda enviada em massa. Já o phishing, tem como objetivo roubar informações pessoais e dados bancários das vítimas, seja por uma URL que imita o banco, um anexo contendo um malware bancário (normalmente um trojan) ou pela solicitação do preenchimento de um formulário no próprio corpo do e-mail. O phishing é sempre malicioso.

Por Natasha Mendes Cunha – Líder da Equipe de Resposta a Incidentes da Real Protect