Considere isso um anúncio de serviço público: golpistas podem falsificar endereços de e-mail. Seu programa de e-mail pode dizer que uma mensagem é de um determinado endereço de e-mail, mas pode ser de outro endereço totalmente diferente.
Os protocolos de e-mail não verificam se os endereços são legítimos – golpistas, phishers e outros indivíduos mal-intencionados exploram essa fraqueza do sistema. Você pode examinar os cabeçalhos de um e-mail suspeito para ver se seu endereço foi falsificado.
Como funciona o email
Seu software de e-mail exibe de quem é um e-mail no campo “De”. No entanto, nenhuma verificação é realmente realizada – seu software de e-mail não tem como saber se um e-mail é realmente enviado por ele. Cada e-mail inclui um cabeçalho “De”, que pode ser forjado – por exemplo, qualquer golpista pode enviar a você um e-mail que parece ser de bill@microsoft.com. Seu cliente de e-mail diria que este é um e-mail de Bill Gates, mas não tem como verificar de fato.
Os e-mails com endereços falsos podem parecer ser do seu banco ou de outra empresa legítima. Freqüentemente, eles pedem informações confidenciais, como informações de cartão de crédito ou CPF, talvez depois de clicar em um link que leva a um site de phishing projetado para se parecer com um site legítimo.
Pense no campo “De” de um e-mail como o equivalente digital do endereço de retorno impresso nos envelopes que você recebe pelo correio. Geralmente, as pessoas colocam um endereço de retorno correto no correio. No entanto, qualquer pessoa pode escrever o que quiser no campo do endereço do remetente – o serviço postal não verifica se a carta é realmente do endereço do remetente impresso nela.
Quando o SMTP (protocolo de transferência de correio simples) foi projetado na década de 1980 para uso acadêmico e agências governamentais, a verificação dos remetentes não era uma preocupação.
Como investigar os cabeçalhos de um e-mail
Você pode ver mais detalhes sobre um e-mail vasculhando os cabeçalhos do e-mail. Essas informações estão localizadas em áreas diferentes em clientes de e-mail diferentes – podem ser conhecidas como a “fonte” ou “cabeçalhos” do e-mail.
(Obviamente, geralmente é uma boa ideia desconsiderar totalmente os e-mails suspeitos – se você não tiver certeza sobre um e-mail, provavelmente é um golpe.)
No Gmail, você pode examinar essas informações clicando na seta no canto superior direito de um e-mail e selecionando Mostrar original . Isso exibe o conteúdo bruto do e-mail.
Abaixo, você encontrará o conteúdo de um e-mail de spam real com um endereço de e-mail forjado. Explicaremos como decodificar essas informações.
Delivered-To: [MY EMAIL ADDRESS]
Recebido: por 10.182.3.66 com SMTP id a2csp104490oba;
Sáb, 11 de agosto de 2012 15:32:15 -0700 (PDT)
Recebido: por 10.14.212.72 com SMTP id x48mr8232338eeo.40.1344724334578;
Sáb, 11 de agosto de 2012 15:32:14 -0700 (PDT)
Return-Path: <e.vwidxus@yahoo.com>
Recebido: de 72-255-12-30.client.stsn.net (72-255-12 -30.client.stsn.net. [72.255.12.30])
por mx.google.com com ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Sáb, 11 de agosto de 2012 15:32:14 -0700 (PDT)
Recebido-SPF: neutro (google.com: 72.255.12.30 não é permitido nem negado pelo registro de melhor estimativa para o domínio de e.vwidxus@yahoo.com) cliente- ip = 72,255,12,30;
Resultados da autenticação: mx.google.com; spf = neutral (google.com: 72.255.12.30 não é permitido nem negado pelo registro de melhor estimativa para o domínio de e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Recebido: por vwidxus.net id hnt67m0ce87b para <[MEU ENDEREÇO DE E-MAIL]>; Dom, 12 de agosto de 2012 10:01:06 -0500 (envelope-from <e.vwidxus@yahoo.com>)
Recebido: de vwidxus.net por web.vwidxus.net com local (Mailing Server 4.69)
id 34597139-886586- 27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
para root@vwidxus.net; Dom, 12 de agosto de 2012 10:01:06 –0500…
De: “Canadian Pharmacy” e.vwidxus@yahoo.com
Existem mais cabeçalhos, mas estes são os mais importantes – eles aparecem no topo do texto bruto do e-mail. Para entender esses cabeçalhos, comece de baixo – esses cabeçalhos rastreiam a rota do e-mail do remetente até você. Cada servidor que recebe o e-mail adiciona mais cabeçalhos ao topo – os cabeçalhos mais antigos dos servidores onde o e-mail começou estão localizados na parte inferior.
O cabeçalho “De” na parte inferior afirma que o e-mail é de um endereço @ yahoo.com – essa é apenas uma informação incluída no e-mail; pode ser qualquer coisa. No entanto, acima podemos ver que o e-mail foi recebido pela primeira vez por “vwidxus.net” (abaixo) antes de ser recebido pelos servidores de e-mail do Google (acima). Este é um sinalizador vermelho – esperaríamos ver o cabeçalho “Recebido:” mais baixo na lista como um dos servidores de e-mail do Yahoo !.
Os endereços IP envolvidos também podem lhe dar uma pista – se você receber um e-mail suspeito de um banco americano, mas o endereço IP que ele recebeu resolve para a Nigéria ou Rússia, é provável que seja um endereço de e-mail falso.
Neste caso, os spammers têm acesso ao endereço “e.vwidxus@yahoo.com”, onde desejam receber respostas ao seu spam, mas estão forjando o campo “De:” de qualquer maneira. Por quê? Provavelmente porque eles não podem enviar grandes quantidades de spam por meio dos servidores do Yahoo !, eles seriam notados e encerrados. Em vez disso, eles estão enviando spam de seus próprios servidores e forjando seu endereço.
