Como analisar um e-mail suspeito

Se você receber um e-mail de autenticidade duvidosa, faça uma análise você mesmo. Saiba como na nossa publicação.

Os sinais de phishing podem ser óbvios – uma incompatibilidade entre o endereço do remetente e o de sua suposta empresa, inconsistências lógicas, notificações que parecem vir de serviços online – mas detectar uma falsificação nem sempre é tão fácil.  Uma maneira de fazer uma falsificação parecer mais convincente é adulterar o campo visível que contém o endereço de e-mail.

A técnica é bastante incomum em casos de phishing em massa, como também em mensagens direcionadas.  Se um e-mail parece real, mas você duvida da autenticidade do remetente, tente se aprofundar um pouco mais e verificar o cabeçalho Received.  Nesta publicação você descobre como.

Razões para duvidar

Qualquer pedido estranho é uma bandeira vermelha clara.  Por exemplo, um e-mail que solicita que você faça algo fora das suas atribuições do trabalho ou executar qualquer ação fora do padrão merece um olhar mais atento, especialmente se alegar ser importante (como “é uma demanda pessoal do CEO!”) ou urgente (como o “deve ser pago em duas  horas!”).  Esses são truques padrão de phishing . Você também deve ter cuidado se for solicitado a:

  • Clicar em um link no e-mail para um site externo que solicita suas credenciais ou informações de pagamento;
  • Fazer um download e abrir um arquivo (particularmente um arquivo executável);
  • Realizar ações relacionadas a transferências monetárias ou acessar sistemas ou serviços.

Como encontrar cabeçalhos de e-mail

Infelizmente, o campo De visível é fácil de falsificar.  O cabeçalho “Received”, no entanto, deve mostrar o domínio real do remetente.  Você pode encontrar esse cabeçalho independente do serviço de e-mail que utiliza.  Aqui, estamos usando o Microsoft Outlook como exemplo devido ao seu amplo uso nos negócios modernos.  O processo não deve ser radicalmente diferente em outro cliente; se você usa um diferente, poderá consultar a documentação de ajuda ou tentar encontrar os cabeçalhos você mesmo.

No Microsoft Outlook:

  1. Abra o e-mail que você quer checar;
  2. Na aba Arquivo, selecione Propriedades;
  3. Na janela de Propriedades, encontre o campo “Re

Antes de chegar ao destinatário, um e-mail pode passar por mais de um nó intermediário, então poderá ter vários campos Received.  Você está procurando o que fica mais no final, que contém informações sobre o remetente original.  Deve ser parecido com isto:

Destaque do cabeçalho Received

Destaque do cabeçalho Received.

Como verificar o domínio a partir do cabeçalho Received

A maneira mais fácil de usar o cabeçalho Received é usar o nosso Portal de Threat Intelligence. Alguns dos recursos são gratuitos, o que significa que você pode usá-los sem se inscrever.

Para verificar o endereço, copie-o, vá para Threat Intelligence Portal, cole-o na caixa de pesquisa na guia “Lookup” e clique em Pesquisar.  O portal retornará todas as informações disponíveis sobre o domínio, sua reputação e detalhes de WHOIS.  A saída deve ser semelhante a esta:

Informações do Portal de Threat Intelligence da Kaspersky.

Informações do Portal de Threat Intelligence da Kaspersky.

A primeira linha provavelmente exibirá um veredicto “Bom” ou um sinal de “Não categorizado”. Isso significa apenas que nossos sistemas ainda não encontraram nada sobre este domínio sendo usado para fins criminosos. Ao preparar um ataque direcionado, os invasores podem registrar um novo domínio ou usar um legítimo violado com uma boa reputação. Verifique cuidadosamente a organização na qual o domínio está registrado para ver se ele corresponde àquela que o remetente supostamente representa. É improvável que um funcionário de uma empresa parceira na Suíça, por exemplo, envie um e-mail por meio de um domínio desconhecido registrado na Malásia.

A propósito, é uma boa ideia usar nosso portal para verificar links no e-mail também, se eles parecerem duvidosos, e usar a guia Análise de Arquivo para verificar qualquer anexo de mensagem.

O Portal de Threat Intelligence da Kaspersky possui muitos outros recursos úteis, mas a maioria está disponível apenas para usuários inscritos. Para obter mais informações sobre o serviço, consulte a guia Sobre o Portal.

Proteção contra phishing e e-mails maliciosos

Embora verificar e-mails suspeitos seja uma boa ideia, é melhor evitar que os e-mails de phishing cheguem aos usuários finais. Portanto, sempre recomendamos instalar soluções antiphishing no nível do servidor de correio corporativo.

Além disso, uma solução com proteção antiphishing em execução nas estações de trabalho bloqueará os redirecionamentos por meio de links de phishing, caso os criadores do e-mail enganem o destinatário.

Dicas