A cibersegurança é um cenário dinâmico no qual ameaças antigas evoluem e novas surgem, como a ameaça de falsificação de SMTP, que é um lembrete contundente da importância de se manter atualizado sobre as ameaças de cibersegurança e métodos de defesa contra ataques cibernéticos. Mas afinal, o que é exatamente a falsificação de SMTP e como funciona?
O que é SMTP?
O Protocolo de Transferência de Correio Simples (SMTP) é um protocolo de rede TCP/IP que facilita a transmissão de e-mails entre diferentes computadores e servidores. O uso desse protocolo é tão difundido que os clientes de e-mail SMTP incluem Gmail, Outlook, Yahoo e Apple.
Então, o que é exatamente o SMTP em e-mail? Depois que um e-mail é escrito em um cliente como o Microsoft Outlook, ele é entregue a um servidor SMTP, que verifica o domínio do destinatário para encontrar o servidor de e-mail apropriado para entregar o e-mail. Se o processo funcionar sem problemas, o servidor SMTP no domínio do destinatário processará o e-mail e entregará a mensagem ou usará SMTP para encaminhá-la por outra rede antes da entrega.
Uma coisa importante a ser observada sobre o SMTP é que sua capacidade de autenticação tem sido historicamente limitada. Assim, a falsificação de e-mail tornou-se uma preocupação séria. Os invasores poderiam simplesmente escolher a ferramenta certa (pode ser outro cliente de e-mail, script ou utilitário) que lhes permitisse escolher o nome do remetente. Em seguida, eles cometem ataques direcionados com e-mails para se passar por um remetente confiável e os convencer a realizar uma ação específica, como clicar em links de phishing ou baixar arquivos infectados com malware.
Várias salvaguardas foram projetadas para corrigir esta vulnerabilidade inerente (CVE-2023-51766), incluindo:
- Sender Policy Framework (SPF): utiliza registros DNS para indicar aos servidores de recebimento de e-mail quais endereços IP têm autorização para enviar e-mails de um domínio específico.
- Correio identificado por chave de domínio (DKIM): Este método usa uma chave privada armazenada no servidor do remetente para assinar digitalmente e-mails enviados, permitindo que os servidores destinatários validem os remetentes com a chave pública do servidor remetente.
- Autenticação, relatório e conformidade de mensagens baseadas em domínio (DMARC): Este protocolo verifica o domínio de envio do e-mail no cabeçalho “De” em relação ao SPF e/ou DKIM – se houver uma incompatibilidade, a verificação DMARC falhará. No entanto, este protocolo não é comumente usado.
O que é um servidor SMTP?
Um servidor SMTP em redes de computadores é um servidor de e-mail que pode enviar e receber e-mails usando o protocolo SMTP. Geralmente, esses servidores usam TCP na porta 25 ou 587 – os números informam ao servidor quais processos específicos empregar com mensagens. Os clientes de email se conectam diretamente ao servidor SMTP do provedor de email para enviar um email. Vários programas de software diferentes são executados em um servidor SMTP:
- Mail Submission Agent (MSA): Recebe mensagens do cliente de email
- Agente de transferência de correio (MTA): transfere e-mails para o próximo servidor conforme apropriado – neste ponto, o servidor pode iniciar uma consulta DNS para o registro DNS de troca de correio (MX) do domínio do destinatário
- Agente de entrega de correio (MDA): insira uma tag (Alt+1): Recebe e-mails para armazenamento na caixa de entrada do destinatário
O que é a falsificação de SMTP?
O contrabando de SMTP refere-se a ataques cibernéticos que falsificam endereços de e-mail para que suas mensagens pareçam ter sido enviadas de fontes legítimas. O objetivo final desses ataques cibernéticos é executar uma forma de phishing e incentivar o alvo a tomar medidas como clicar em links maliciosos, abrir anexos infectados ou até mesmo enviar informações confidenciais ou dinheiro.
Esses ataques aproveitam as diferenças entre como os servidores de e-mail de saída e de entrada processam sequências de código de fim de dados. O objetivo é enganar o servidor do destinatário para uma interpretação diferente do final de uma mensagem usando comandos SMTP “contrabandeados” para que o e-mail apareça como duas mensagens separadas.
Como funciona a falsificação de SMTP?
Para realizar os ataques, os cibercriminosos “contrabandeiam” comandos SMTP ambíguos para comprometer a integridade das comunicações do servidor de e-mail – isso é inspirado na forma como os ataques de a falsificação de solicitações HTTP funcionam. Mais especificamente, os servidores SMTP tradicionalmente indicam o fim dos dados da mensagem com o código <CR><LF>.<CR><LF> ou \r\n.\r\n. Eles significam “Carriage Return” e “Line Feed” respectivamente e são delimitadores de texto padrão.
Ao alterar essa sequência de código, os invasores podem alterar a compreensão do servidor sobre onde terminam os dados da mensagem. Se eles puderem dizer ao servidor de saída que a mensagem termina em um ponto, enquanto dizem ao servidor de entrada que a mensagem termina mais tarde, isso cria um bolso para contrabandear dados extras.
Normalmente, esses e-mails falsificados fazem parte de ataques de phishing direcionados. As empresas são particularmente vulneráveis ao contrabando de SMTP porque pode ser mais fácil falsificar seus domínios e usar engenharia social para criar e-mails de phishing ou ataques de spear-phishing.
Como evitar o contrabando de e-mails SMTP
Embora os fabricantes dos servidores de e-mail mais populares e conhecidos, Postfix, Exim e Sendmail, tenham lançado correções e soluções alternativas para combater o contrabando, várias outras medidas podem ser tomadas para tentar minimizar a ameaça:
- Execute verificações de segurança regulares na infraestrutura da organização para monitorar possíveis vetores de ataque e vulnerabilidades.
- Verifique o software de roteamento de e-mail em uso – se o software for conhecido por ser vulnerável, atualize-o para a versão mais recente e use configurações que rejeitem especificamente o encadeamento não autorizado.
- Os usuários dos produtos de e-mail da Cisco são aconselhados a atualizar manualmente sua configuração padrão para "Manipulação de CR e LF" para "Permitir", em vez de "Limpar", para que o servidor apenas interprete e entregue e-mails com <CR><LF>.<CR><LF> como o código de sequência de fim de dados.
- Não permita <LF> sem <CR> no código.
- Desconectar clientes remotos SMTP que enviam quebras de linha claras.
- Implemente treinamentos regulares de conscientização sobre segurança para os funcionários, que podem incluir, por exemplo, verificar o endereço de e-mail do remetente antes de tomar qualquer outra ação.
Como é um e-mail de falsificação de SMTP?
Estar atento à ameaça de a falsificação de SMTP pode ser útil saber como um e-mail falso pode parecer. Um e-mail falso pode assumir várias formas:
- Falsificação legítima de domínio: Isso simplesmente consiste em falsificar o domínio de uma empresa inserindo-o no cabeçalho "De" dos e-mails. Isso é o que os métodos de autenticação SPF, DKIM e DMARC tentam capturar. As empresas devem configurar sua autenticação de e-mail adequadamente para minimizar a capacidade dos atacantes de falsificar seus domínios.
- Falsificação de Nome de Exibição: Neste caso, o nome do remetente, exibido antes do endereço de e-mail no cabeçalho "De", é falsificado, frequentemente usando o nome real de um funcionário da empresa. A maioria dos clientes de e-mail oculta automaticamente o endereço de e-mail do remetente e simplesmente mostra o nome de exibição, por isso os usuários devem verificar o endereço se o e-mail parecer suspeito. Existem várias formas disso, incluindo Ghost Spoofing e AD Spoofing. O Kaspersky Secure Mail Gateway (KSMG) oferece uma poderosa proteção contra ataques de AD Spoofing, verificando a autenticidade do remetente e garantindo que as mensagens estejam em conformidade com os padrões estabelecidos de autenticação de e-mail.
- Falsificação de Domínio Parecido: Este método mais complicado requer que o atacante registre um domínio semelhante ao da organização alvo e configure e-mails, assinaturas DKIM/SPF e autenticação DMARC. Novamente, existem vários tipos dessa forma de spoofing, incluindo o Lookalike Primário (por exemplo, um erro de digitação em um domínio de empresa legítima) e o Unicode Spoofing (substituindo um caractere ASCII no nome de domínio por um caractere semelhante do Unicode). KSMG pode ajudar organizações a se defenderem contra ataques de spoofing de domínio semelhante, verificando identidades de remetentes e mitigando o risco de e-mails enganosos.
Kaspersky Endpoint Security recebeu o prêmio "Produto do Ano" do Consumidor da AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.
Artigos e links relacionados:
- O que é o Rootkit – Definição e explicação
- O que é spear phishing?
- E-mails de phishing: como reconhecê-los e evitá-los
Produtos e serviços relacionados: