O documento discute investigação de emails, explicando como analisar cabeçalhos de emails para rastrear origem e rota. Ele também aborda ferramentas para investigação em webmails e desktops e como lidar com spam.
3. Motivação
Desconhecendo os rigores por traz da Internet, alguns usuários
(clientes web) tentam utilizar do “anonimato” para cometer alguns
crimes como falsidade ideológica, injúria, calunia e difamação,
ofensa contra a dignidade, envio/recebimento de fotos de pedofilia,
roubo de dados sigilosos de empresas, entre outros nomes mais
técnicos.
4. Processos
Processo de Investigação:
Examina;
Copia;
Imprime;
Visualiza o cabeçalho;
Examina o cabeçalho e faz a análise;
Examina todos os arquivos anexados;
Traça a rota de envio do email;
5. Introdução
Os cabeçalhos ou headers em inglês, fornecem diversos detalhes
técnicos, como por exemplo, o remetente, a hora de envio, por
quais servidores de e-mails ela passou etc.
Os cabeçalhos de emails são utilizados para compor a mensagem
e os servidores de mail utilizados até a mensagem chegar ao
destinatário.
8. Conhecendo o Header
Um cabeçalho de email pode ser composto por
alguns parâmetros:
X-OriginalArrivalTime: Este é um carimbo de data e hora colocado na mensagem
quando ela passa pela primeira vez por um servidor executando o Microsoft Exchange.
Return-Path: Esta a entrada especifica de como chegar ao remetente da mensagem.
X-SenderIP: Este é o número do IP do Remetente
Content-Type: Este é um cabeçalho MIME adicional. Ele informa aos programas de
email compatíveis com MIME o tipo de conteúdo esperado na mensagem.
Mime-Version: Este parâmetro especifica a versão do protocolo MIME que foi usada.
9. Conhecendo o Header
Um cabeçalho de email pode ser composto por
alguns parâmetros:
Message-Id: Conjunto numérico atribuído à mensagem para fins de identificação.
To: Indica para quem a mensagem foi endereçada.
From: Indica quem enviou o email e qual endereço.
Date: Indica a data e a hora em que a mensagem de email foi enviada, com base no
relógio do computador do remetente.
Received: Esta informação diz que a transferência da mensagem ocorreu 'tal' dia.
28. Ferramentas de Apoio
FERRAMENTAS WEB
http://www.iptrackeronline.com/header.php
http://www.ipaddresslocation.org/email-tracking/email-header.php
http://www.ip-adress.com/ip_tracer/
https://toolbox.googleapps.com/apps/messageheader/
30. Ferramentas de Apoio
FERRAMENTAS DESKTOP
EnCase:
Uma solução para a identificação e coleta de dados.
Captura automática pela rede.
Amparo legal.
FTK:
Além de criar imagens forense de disco, podemos realizar dumps de
memória e até mesmo realizar uma pequena análise forense na
imagem criada.
32. Conhecendo o Spam
O que é spam?
•Spam é o termo usado para referir-se aos e-mails não solicitados, que
geralmente são enviados para um grande número de pessoas. Quando o
conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de
UCE (do inglês Unsolicited Commercial E-mail).
O que são spam zombies?
•Spam zombies são computadores de usuários finais que foram
comprometidos por códigos maliciosos em geral, como worms, bots, vírus e
cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que
spammers utilizem a máquina para o envio de spam, sem o conhecimento do
usuário. Enquanto utilizam máquinas comprometidas para executar suas
atividades, dificultam a identificação da origem do spam e dos autores
também. Os spam zombies são muito explorados pelos spammers, por
proporcionar o anonimato que tanto os protege.
33. Conhecendo o Spam
Algumas das formas como você pode ser afetado
pelos problemas causados pelos spams são:
Perda de mensagens importantes: devido ao grande volume
de spam recebido, você corre o risco de não ler mensagens importantes, lê-
las com atraso ou apagá-las por engano.
Conteúdo impróprio ou ofensivo: como grande parte dos spams são
enviados para conjuntos aleatórios de endereços de e-mail, é bastante
provável que você receba mensagens cujo conteúdo considere impróprio ou
ofensivo.
Gasto desnecessário de tempo: para cada spam recebido, é necessário
que você gaste um tempo para lê-lo, identificá-lo e removê-lo da sua caixa
postal, o que pode resultar em gasto desnecessário de tempo e em perda de
produtividade.
34. Conhecendo o Spam
Algumas das formas como você pode ser afetado
pelos problemas causados pelos spams são:
Não recebimento de e-mails: caso o número de spams recebidos seja
grande e você utilize um serviço de e-mail que limite o tamanho de caixa
postal, você corre o risco de lotar a sua área de e-mail e, até que consiga
liberar espaço, ficará impedido de receber novas mensagens.
Classificação errada de mensagens: caso utilize sistemas de filtragem
com regras antispam ineficientes, você corre o risco de ter mensagens
legítimas classificadas comospam e que, de acordo com as suas
configurações, podem ser apagadas, movidas para quarentena ou
redirecionadas para outras pastas de e-mail.
35. Conhecendo o Spam
Prevenção:
Apresentam cabeçalho suspeito: o cabeçalho do e-mail aparece
incompleto, por exemplo, os campos de remetente e/ou destinatário
aparecem vazios ou com apelidos/nomes genéricos, como "amigo@" e
"suporte@".
Apresentam no campo Assunto (Subject) palavras com grafia errada ou
suspeita: a maioria dos filtros antispam utiliza o conteúdo deste campo para
barrar e-mails com assuntos considerados suspeitos. No entanto,
os spammers adaptam-se e tentam enganar os filtros colocando neste campo
conteúdos enganosos, como ``vi@gra'' (em vez de "viagra").
Apresentam no campo Assunto textos alarmantes ou vagos: na
tentativa de confundir os filtros antispam e de atrair a atenção dos usuários,
os spammers costumam colocar textos alarmantes, atraentes ou vagos
demais, como "Sua senha está inválida", "A informação que você pediu" e
"Parabéns".
36. Conhecendo o Spam
Prevenção:
Oferecem opção de remoção da lista de
divulgação: alguns spams tentam justificar o abuso, alegando que é possível
sair da lista de divulgação, clicando no endereço anexo ao e-mail. Este
artifício, porém, além de não retirar o seu endereço de e-mail da lista,
também serve para validar que ele realmente existe e que é lido por alguém.
Prometem que serão enviados "uma única vez": ao alegarem isto,
sugerem que não é necessário que você tome alguma ação para impedir que
a mensagem seja novamente enviada.
Baseiam-se em leis e regulamentações
inexistentes: muitos spams tentam embasar o envio em leis e
regulamentações brasileiras referentes à prática de spam que, até o
momento de escrita desta Cartilha, não existem.
37. Conhecendo o Spam
Prevenção:
Como posso evitar um Spam nocivo?
1. Nunca responda ou clique em links em uma mensagem comprovadamente
de spam.
2. Não baixe anexos de e-mails suspeitos.
3. Leia tantas mensagens de texto quanto você puder, desativando a
capacidade de exibir imagens ou HTML.
4. Mantenha confidenciais todos os endereços pessoais e de negócios.
5. Leia as políticas de privacidade antes de revelar o seu endereço de e-mail.
6. Não reencaminhe e-mails ou participe de correntes de e-mail.
7. Use as configurações de privacidade mais fortes que você encontrar
dentro do seu cliente de e-mail ou aplicativo.
8. Leia as mensagens de e-mail antes de abri-las.
9. Use um bloqueador de spam ou um filtro sempre que possível.