Como podemos minimizar possibilidades de ataque phishing através de Regras de Transporte, sem utilizar DKIM/DMARC?

  • Article

Por: Ramon Rocha, Revisão: Anderson Silva

Primeiramente, é necessário entendermos o propósito desse tópico.

Para configurar DKIM/DMARC você precisa adicionar registros CNAME (exemplo _dmarc.microsoft.com) no seu DNS público, mas o problema é que alguns provedores de registro DNS não permitem que o caractere ‘_’ (underline) seja utilizado.

Com a Regra de Transporte que criaremos, adicionamos mais uma forma de proteção para minimizar os riscos deste tipo de ataque.

 

Alguns usuários costumam receber emails de remetentes externos “se passando” por uma pessoa da empresa. Esses emails, na maioria dos casos, são ataques conhecidos como phishing.

No exemplo abaixo, o usuário Cloudmbx1  recebeu um email solicitando informações confidenciais. Este email veio de alguém externo, mas com aparência de ser alguém de dentro da empresa. O usuário Ramon Rocha, é uma conta inexistente e mesmo assim conseguiu enviar um email para Cloudmbx1.

image

 

Esta mensagem de exemplo foi enviada por simples comandos de Telnet e poderia ser feita por QUALQUER pessoa, possibilitando facilmente meu ambiente a receber emails como esse.

image

Esse comportamento é esperado se você não configurou DKIM/DMARC. O DKIM/DMARC permite a autenticação e identificação da mensagem.

Mais informações sobre DKIM/DMARC em: https://blogs.office.com/2015/01/20/enhanced-email-protection-dkim-dmarc-office-365/).

Antes de criarmos as Regras de Transporte no Exchange Online, vamos analisar o Cabeçalho de uma mensagem comum que é enviada internamente entre dois funcionários. (Para analisar os Cabeçalhos utilizaremos o https://testconnectivity.microsoft.com/).

image
Podemos validar atrav és do Cabeçalho que o campo From mostra o domínio que está enviando a mensagem (ramonrochapro.com). Esse é um comportamento padrão quando você envia um email.

Vamos ver o Cabeçalho da mensagem que foi enviada anteriormente via Telnet, simulando um ataque de phishing:

image
Podem perceber que o Cabeçalho não mostra o domínio remetente da mensagem como no exemplo anterior. Isso acontece porque o campo From, no momento de execução dos comandos Telnet, foi deixado em branco ou não especificado um email, apenas um nome (como é no nosso caso). Essa forma é utilizada pelos Hackers e Spamers para burlar o Cabeçalho dos emails e conseguir infiltrar as mensagens para o seu recebimento.

Vamos às Regras de Transporte.

Uma Regra de Transporte criada no seu Exchange Online pode minimizar esses riscos. A mensagem será filtrada e não será entregue para os usuários internos da sua rede. Vamos previnir, através de Regras de Transporte que mensagens externas e com o campo From vazio sejam bloqueadas?

1)     Acesse o Portal do Office 365 (https://login.microsoftonline.com)

2)     Acesse o portal do Exchange Online;

3)     Clique em Fluxo de Emails;

4)     Na aba Regras, clique em “+” e “Criar uma nova Regra...”                                                          

5)     Adicione as condições como mostrado na imagem abaixo:

 

image

 O valor deve ser exatamente como mostrado na imagem acima (^$). É dessa forma que o Exchange Online consegue ler que se o campo estiver vazio, a condição será validada.

Após aplicar essa regra, se alguém externamente tentar enviar uma mensagem de email da mesma forma que executamos, fingindo ser algum usuário interno da sua empresa, a mensagem será bloqueado por essa Regra de Transporte.

Vamos enviar um novo email via Telnet para testar? Depois que o novo email foi enviado via Telnet, utilizei o Rastreamento de Mensagens do Exchange Online para ver que fim a mensagem teve:

image

 A mensagem foi bloqueada pela Regra de Transporte.

Uma Regra de Transporte bem elaborada pode previnir seu ambiente de receber ameaças via email. Uma boa interpretação na leitura dos Cabeçalhos é fundamental na aplicação dessas regras.

Espero que esse artigo tenha sido informativo para você.