Tech by VICE

Sabe com quem você tá falando? Pesquisadores descobriram que é possível falsificar remetentes do Gmail

Estudo de brasileiros diz que não é tão difícil se passar por outra pessoa com foto e endereço.

por Brunno Marchetti
15 Fevereiro 2017, 2:14pm

O dia está no início, você abre sua caixa de entrada, passa por uma mensagem, lê outra, olha dois links enviados, fecha a aba e segue com a vida. Tudo corre como sempre, nada parece estar fora do lugar. A manhã só começou.

A cena parece ser apenas a rotina em seu estado mais puro e sonolento, mas também pode ser a forma como alguém coletou seus dados ou infectou seu computador. Se você se perguntou como, aqui vai uma resposta bastante simples e de consequências paranoicas: o remetente de algum dos e-mails que você recebeu foi falsificado.

O estudo publicado no início do mês pelo pesquisador em segurança da informação Renato Marinho, da Morphus Lab, testou os três principais serviços gratuitos (Yahoo, Gmail e Outlook) e notou que apenas a plataforma do Google não se comportou de maneira satisfatória. O motivo: permitia que remetentes falsos chegassem à caixa de entrada do usuário com endereço e fotos que pareciam verídicos. "Me deixou bastante surpreso porque, como a mensagem não vinha de um servidor do Gmail, o esperado seria ela receber alguma tag, caísse na caixa de spam ou fosse bloqueada antes disso, tal qual aconteceu nos outros serviços", disse Marinho ao Motherboard.

E-mail fraudado exibe a foto vinculada à conta original. Crédito: Renato Marinho

Para o pesquisador, o mais preocupante fica pelo fato do serviço de e-mails da Google, que possui mais de um bilhão de usuários, reconhecer a conta automaticamente, chegando a adicionar a foto do perfil vinculada ao verdadeiro e-mail. "Este é o tipo de coisa que aumenta a sensação de legitimidade e facilita a vida de quem está tentando aplicar algum golpe", comentou.

Segundo ele, a única forma de aviso que aparece para o usuário é um pequeno texto ao lado do remetente informando que a mensagem foi enviada por meio daquele e-mail — em tentativas de golpes mais gerais, costumam ser endereços cheios de números. "Isto só aparece de primeira na versão Desktop, em celulares Android é preciso verificar as informações de segurança da mensagem e no iOs o usuário não tem nem mesmo esta opção", completou.

A técnica de fraudar o remetente de e-mail não é novidade. O "mail spoofing", como é conhecida, é possível graças às vulnerabilidades que existem no protocolo utilizado para a troca de mensagens, o SMTP (Simple Mail Transfer Protocol), que começou a ser utilizado no início dos anos 1980 e teve poucas atualizações na parte de segurança desde então. Na tentativa de melhorar este quadro, foi desenvolvido o SPF (Sender Policy Framework), que não permite um remetente se passe por outro. Para isso o servidor que recebe um e-mail verifica no se o remetente possui autorização de usar aquele endereço.

O método de pesquisa. Crédito: Renato Marinho

No caso do e-mail utilizado na pesquisa, para que passasse pelos filtros de segurança do Gmail, foi criado um servidor para ele, validado via um servidor DNS (que vincula os endereços IPs ao nome das páginas da web), ambos configurados para o teste. A alteração do remetente foi feita no corpo da mensagem. Dessa forma o Gmail entende que a mensagem enviada no teste é válida, e o usuário que abre a mensagem vê o endereço falso.

Consultada a respeito dos resultados da pesquisa, o Google declarou que "ajuda a proteger os usuários de ataques de engenharia social como 'spoofing' (falsificação) de diversas formas, e melhoramos essas proteções constantemente". Entre as medidas de segurança adotadas está a de exibir o e-mail original do remetente ao lado do falsificado.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD.
Siga o Motherboard Brasil no Facebook e no Twitter.
Siga a VICE Brasil no Facebook , Twitter e Instagram .