Já aconteceu de você abrir um e-mail e se deparar com spam ou uma tentativa de chantagem que parecia ter sido enviada do seu próprio endereço de e-mail? Saiba que você não é o único. A prática de falsificar endereços de e-mail é conhecida como *spoofing* e, infelizmente, há pouco que se possa fazer para impedir que isso aconteça.
Como os Spammers Falsificam Seu Endereço de E-mail
O *spoofing* é a ação de mascarar um endereço de e-mail, fazendo com que ele pareça ter sido enviado por outra pessoa. Frequentemente, essa técnica é utilizada para enganar o receptor, levando-o a acreditar que a mensagem veio de um conhecido ou de uma empresa com a qual ele interage, como um banco ou outra instituição financeira.
Infelizmente, o *spoofing* de e-mail é extremamente simples de realizar. Os sistemas de e-mail geralmente não possuem mecanismos de segurança para verificar se o endereço inserido no campo “De” realmente pertence ao remetente. É como um envelope que você coloca no correio: você pode escrever o que quiser no campo do endereço de retorno, sem se importar se a correspondência não poderá ser devolvida. Da mesma forma, os correios não têm como saber se o endereço de remetente que você escreveu no envelope é, de fato, o seu.
A falsificação de e-mails funciona de maneira semelhante. Alguns serviços online, como o Outlook.com, verificam o endereço “De” ao enviar um e-mail e podem impedir o envio de mensagens com endereços falsos. No entanto, existem diversas ferramentas que permitem que você insira qualquer informação nesse campo. É tão fácil quanto configurar seu próprio servidor de e-mail (SMTP). Um golpista precisa apenas do seu endereço, que ele provavelmente pode adquirir em alguma das inúmeras violações de dados.
Por Que os Golpistas Falsificam Seu Endereço?
Os golpistas enviam e-mails que parecem ter sido enviados do seu próprio endereço por dois motivos principais. O primeiro deles é a esperança de que isso burle a sua proteção contra spam. Se você envia um e-mail para si mesmo, provavelmente está tentando se lembrar de algo importante e não gostaria que essa mensagem fosse marcada como spam. Assim, os golpistas esperam que, ao usar seu endereço, seus filtros de spam não identifiquem a mensagem como indesejada, permitindo que ela seja entregue. Existem ferramentas que identificam e-mails enviados de um domínio diferente daquele que alega ser, mas é preciso que o seu provedor de e-mail as implemente — o que, infelizmente, nem sempre acontece.
A segunda razão pela qual os golpistas falsificam seu endereço de e-mail é para ganhar um senso de legitimidade. Não é raro que um e-mail falsificado afirme que sua conta foi comprometida. A alegação de que “você mesmo enviou este e-mail” serve como prova do acesso do “hacker”. Além disso, eles podem incluir uma senha ou número de telefone obtido de um banco de dados violado como evidência adicional.
Geralmente, o golpista afirma possuir informações comprometedoras sobre você ou fotos obtidas da sua webcam. Em seguida, ele ameaça divulgar esses dados para seus contatos mais próximos, a menos que você pague um resgate. À primeira vista, parece plausível, afinal, eles aparentam ter acesso à sua conta de e-mail. Mas esse é o truque — o golpista está falsificando as evidências.
O Que Os Serviços De E-mail Fazem Para Combater O Problema
O fato de qualquer pessoa poder falsificar um endereço de e-mail de resposta com tanta facilidade não é um problema novo. Os provedores de e-mail não querem que você seja incomodado por spam, por isso, desenvolveram ferramentas para combater o problema.
A primeira delas foi a Estrutura de Política do Remetente (SPF), que funciona com base em alguns princípios básicos. Cada domínio de e-mail possui um conjunto de registros DNS (Domain Name System), que são usados para direcionar o tráfego para o servidor ou computador de hospedagem correto. Um registro SPF atua em conjunto com o registro DNS. Quando você envia um e-mail, o serviço de recebimento compara o endereço de domínio fornecido (@gmail.com, por exemplo) com o IP de origem e o registro SPF para verificar se eles correspondem. Se você enviar um e-mail de um endereço do Gmail, essa mensagem também deve indicar que teve origem em um dispositivo controlado pelo Gmail.
Infelizmente, o SPF sozinho não resolve o problema. É preciso manter os registros SPF de maneira adequada em cada domínio, o que nem sempre acontece. Além disso, os golpistas conseguem contornar esse problema com certa facilidade. Ao receber um e-mail, você verá apenas um nome em vez de um endereço de e-mail. Os spammers preenchem um endereço de e-mail no lugar do nome verdadeiro e outro no endereço de envio, que corresponda a um registro SPF. Dessa forma, você não o identificará como spam, nem o SPF o detectará.
As empresas também precisam decidir o que fazer com os resultados do SPF. Na maioria das vezes, elas preferem deixar os e-mails passarem, em vez de correr o risco de o sistema não entregar uma mensagem importante. O SPF não possui um conjunto de regras sobre como lidar com as informações; ele apenas fornece os resultados de uma verificação.
Para solucionar esses problemas, a Microsoft, o Google e outras empresas introduziram o sistema de validação Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC). Ele opera em conjunto com o SPF, criando regras sobre o que fazer com e-mails sinalizados como spam em potencial. O DMARC primeiro verifica a varredura SPF. Se ela falhar, o envio da mensagem é interrompido, a menos que um administrador tenha definido uma configuração diferente. Mesmo se o SPF for aprovado, o DMARC verifica se o endereço de e-mail exibido no campo “De:” corresponde ao domínio de onde o e-mail foi enviado (isso é chamado de alinhamento).
Infelizmente, mesmo com o apoio da Microsoft, Facebook e Google, o DMARC ainda não é amplamente utilizado. Se você tem um endereço Outlook.com ou Gmail.com, provavelmente já se beneficia do DMARC. No entanto, no final de 2017, apenas 39 das empresas da lista Fortune 500 haviam implementado esse serviço de validação.
O Que Você Pode Fazer Sobre Spam Auto-Endereçado
Infelizmente, não há como impedir que spammers falsifiquem seu endereço. A boa notícia é que, se o seu sistema de e-mail implementar SPF e DMARC, você não verá esses e-mails na sua caixa de entrada, pois eles devem ser direcionados diretamente para o spam. Se sua conta de e-mail permitir que você controle as opções de spam, você pode torná-las mais restritivas. Esteja ciente de que isso pode levar à perda de algumas mensagens legítimas, então lembre-se de verificar sua caixa de spam com frequência.
Se você receber uma mensagem falsificada de si mesmo, ignore-a. Não clique em nenhum anexo ou link e não pague o resgate exigido. Simplesmente marque-a como spam ou *phishing* ou exclua-a. Se você teme que suas contas tenham sido comprometidas, bloqueie-as por segurança. Se você reutiliza senhas, redefina-as em todos os serviços que compartilham a atual e forneça a cada um deles uma senha nova e exclusiva. Se você não confia na sua memória para tantas senhas, recomendamos o uso de um gerenciador de senhas.
Se você está preocupado em receber e-mails falsificados de seus contatos, também pode ser útil aprender a ler os cabeçalhos de e-mail.