search
A mídia que reinventa a empresa
Registrar un software

Como você pode evitar que sua identidade de e-mail seja roubada?

Como você pode evitar que sua identidade de e-mail seja roubada?

Por Michael Carletto

Em 9 de maio de 2025

Hoje em dia, o e-mail ainda é nosso meio de comunicação preferido, seja profissional ou pessoal, e também representa nossa identidade digital para criar contas de aplicativos, entre outras coisas. Ele está disponível em nosso smartphone ou computador e, às vezes, leva apenas alguns segundos para ser escrito.

55% do tráfego global de e-mails consiste em ataques de spam e phishing em centenas de bilhões de e-mails todos os dias. Esses ataques aumentaram drasticamente desde a pandemia de Covid-19 em 2020 e estão cada vez mais direcionados.

No topo da lista estão :

  • BEC (Business Email Compromise),
  • e EAC (Email Account Compromise, comprometimento de conta de e-mail).

O primeiro é um e-mail enviado por alguém que se faz passar por você sem ter acesso à sua caixa de correio, e o segundo é um e-mail enviado por alguém que roubou o acesso à sua caixa de correio para ter acesso a ela. Esses ataques são extremamente caros para as vítimas (perda em 2020 de +1,8 bilhão de dólares) e muito fáceis de explorar no ambiente excessivamente aberto de hoje.

Por que e como isso pode acontecer? Com o e-mail, achamos que nossa correspondência está protegida, especialmente com o software antispam. Para se conectar à sua caixa de entrada, você precisa de uma senha. Isso lhe parece mais seguro do que a correspondência em papel, em que basta alterar o endereço do remetente para usurpar sua identidade. Mas e se fosse tão fácil quanto isso com seus e-mails?

Proteja o acesso aos seus e-mails

Uma senha não é suficiente, pois ela pode ter vazado ou ter sido adivinhada. Para proteger o acesso aos seus e-mails, é altamente recomendável que você configure a autenticação dupla ou MFA (Multi-Factor Authentication, autenticação multifator).

O que é MFA?

A autenticação multifatorial é um método de identificação mais seguro, pois, em vez de apenas digitar sua senha para acessar sua caixa de entrada de e-mail, você terá que inserir um segundo fator de autenticação: um código recebido por SMS, notificação por push ou até mesmo uma impressão digital. Dois fatores de diferentes categorias, incluindo os famosos "o que eu sei", "o que eu tenho" ou "o que eu sou".

Com esse método, se um hacker conseguir roubar a senha da sua caixa de entrada de e-mail, ele normalmente será bloqueado pelo segundo fator de autenticação e não conseguirá acessar sua caixa de entrada.

A MFA impede 99% dos acessos comprometidos às caixas de e-mail.

Proteja sua identidade

Agora que o acesso à sua caixa de entrada está protegido, é essencial proteger sua identidade, seu domínio de e-mail.

Isso é possível graças a protocolos de computador com acrônimos bárbaros: SPF, DKIM, DMARC e BIMI. Por isso, vamos nos deter em algumas linhas para detalhá-los e torná-los mais fáceis de entender.

Os protocolos SPF, DKIM e DMARC

Para simplificar nosso entendimento, vamos usar a analogia da correspondência postal. Quando você envia uma carta comercial, como o assistente executivo que recebe e filtra a carta pode ter certeza de que ela é realmente sua?

É uma terça-feira de manhã e você tem a correspondência do dia em sua mesa, aberta e retirada do envelope. Como você pode garantir a autenticidade do remetente?

Em primeiro lugar, o carimbo dos correios no envelope indica um escritório em Marselha, o que é a primeira pista de sua origem. Esse remetente costuma enviar correspondências dessa cidade? No caso de e-mail, esse selo corresponde ao SPF (Sender Policy Framework), uma lista pública de endereços IP de remetentes autorizados a enviar e-mails em nome do remetente. O remetente deve ter declarado isso.

Em seguida, para verificar a autenticidade do remetente desse e-mail, você verifica a assinatura. Pense nos baldes de cera usados na Idade Média: cada pessoa tinha um balde diferente que selava a correspondência e comprovava a identidade do remetente, bem como a integridade da mensagem, se fosse você quem estivesse abrindo a correspondência. No caso do e-mail, esse selo ou assinatura corresponde ao DKIM (Domain Keys Identified Mail), que é uma assinatura eletrônica invisível para o destinatário, mas visível para a ferramenta de mensagens, cujo objetivo não é garantir que o remetente seja quem ele afirma ser no e-mail. Essa assinatura é técnica.

O assistente executivo verificou o envelope com a assinatura indicada e a origem para garantir que o e-mail pareça legítimo. Ele o abre e lhe fornece apenas o conteúdo. Se ele se der ao trabalho de verificar se as informações do remetente no envelope são as mesmas da carta em si, é isso que o protocolo DMARC (Domain Messaging Authentication Reporting and Conformance) faz para o e-mail.

Esses três protocolos são patches de segurança que trabalham juntos e devem ser adicionados aos seus domínios e não são configurados por padrão. Sem eles, você pode ter problemas de capacidade de entrega e nenhuma segurança para combater a falsificação de seus próprios e-mails. Desde a invenção do e-mail, em 1971, por Ray Tomlison, nenhum desses protocolos existia. Foi preciso esperar até 2004 e 2012 para que o DMARC os visse aparecer. Esses protocolos são, portanto, regras verificadas pelo software antispam para julgar a legitimidade dos e-mails enviados em seu nome.

Você precisa urgentemente assumir a responsabilidade de configurá-los para proteger a si mesmo e ao resto do mundo ao usar seu domínio.

Como você protege sua identidade com o DMARC?

O DMARC permite verificar se os testes SPF e DKIM foram respeitados e se as informações no envelope, conforme vistas pela caixa postal, correspondem ao remetente listado no conteúdo do e-mail.

Tudo bem, mas o que você faz quando tem essas informações? Como configurá-las?

Ao implementar uma política DMARC em seu domínio de e-mail, você pode se proteger contra o roubo de identidade. Na verdade, ela contém uma política de processamento, indicada aos destinatários antispam do e-mail, para categorizar um e-mail em caso de não conformidade com um dos protocolos anteriores (SPF e DKIM).

Se seu destinatário receber um e-mail :

  • Cujo endereço IP não esteja listado entre os IPs autorizados a enviar e-mails para você (SPF)
  • Cuja assinatura digital está ausente ou não corresponde à sua (DKIM)

Então, você pode decidir (no DMARC) informar à caixa de entrada desse destinatário para :

  • Não fazer nada
  • Ou colocar o e-mail em quarentena/spam
  • Ou rejeitar/excluir o e-mail que não está em conformidade.

Para usar novamente a analogia do correio postal, uma carta com o logotipo do governo francês postada de uma agência dos correios na Suíça, com uma assinatura válida de Monsieur Dupont, cuja carta diz êVocê sabe como julgar a legitimidade ou não dessa correspondência e se deve ou não recusá-la ou jogá-la fora imediatamente. Bem, SPF, DKIM e DMARC precisam ser implementados para ajudá-lo a fazer esses julgamentos sobre e-mails.

Como você sabe se sua identidade foi roubada?

Portanto, é uma boa ideia ajudar seus destinatários quando eles receberem um e-mail potencialmente fraudulento, fornecendo-lhes as informações necessárias para julgar sua autenticidade. Mas como você pode saber se sua identidade foi roubada?

Um segundo efeito da implementação do DMARC em seu domínio de e-mail é a capacidade de solicitar ao software antispam dos destinatários que o informe quando um e-mail em seu nome for recebido, com indicações de testes SPF e DKIM bem-sucedidos ou não, na forma de relatórios. Eles lhe dão visibilidade para agir rapidamente em caso de roubo de identidade e para verificar se tudo está em conformidade com o tráfego autorizado. Portanto, é importante coletar, salvar e consultar seus relatórios DMARC.

Há produtos disponíveis para recuperar esses relatórios DMARC em vez de rastreá-los manualmente, pois você receberá muitos deles e são arquivos XML difíceis de analisar.

O que fazer em caso de roubo de identidade por e-mail?

No caso de um ataque de EAC, o acesso à sua conta de e-mail foi comprometido para o envio de e-mails em seu nome :

  • Altere sua senha
  • Ative a autenticação dupla (MFA)
  • Descubra como isso foi feito
  • Envie uma mensagem para as possíveis vítimas: "Estamos trabalhando para solucionar o problema e melhorar a segurança de nossos domínios e acessos para proteger nossa identidade".

Por meio de um ataque de BEC, sua identidade foi usurpada, alguém enviou um e-mail em nome de seu domínio sem ter acesso à sua caixa de correio, reaja rapidamente com algumas boas práticas:

  • Implante os 3 protocolos SPF/DKIM/DMARC no DNS de seus domínios
  • Descubra como isso está sendo feito
  • Envie uma mensagem para as possíveis vítimas: "Observe que você recebeu recentemente e-mails com nossa identidade. Estamos trabalhando para remediar a situação e melhorar a segurança de nossos domínios para proteger nossa identidade".
  • Dependendo do caso, denuncie os IPs usados para que possam ser considerados maliciosos por todos.

Em conclusão

Em resumo, existem salvaguardas, mas cabe a você, como proprietário de um domínio, colocá-las em prática o mais rápido possível para garantir a proteção e a reputação de sua identidade.

Se uma reputação é perdida, leva tempo para reconstruí-la. Portanto, não existe uma cura milagrosa instantânea para um comprometimento. Você precisa trabalhar de forma antecipada e se preparar para combater qualquer tentativa.

Artigo traduzido do francês