Em 2020, um funcionário de finanças em uma empresa de médio porte recebeu um email do CEO pedindo uma transferência bancária urgente. O email veio do endereço exato de email do CEO. O estilo de escrita batia. O pedido, embora incomum, não era implausível — eles já tinham feito transferências emergenciais antes. O funcionário enviou US$ 200.000 para uma conta que acabou sendo de criminosos no Leste Europeu.
O CEO nunca havia enviado aquele email. Alguém havia feito spoofing.
Spoofing de email é um daqueles ataques que parece que não deveria funcionar em 2024. Certamente já descobrimos como verificar quem enviou um email? Mas a realidade incômoda é que o email foi projetado em uma era de confiança implícita, e esse design ainda nos assombra. Sem contramedidas explícitas, qualquer pessoa pode enviar um email afirmando ser de qualquer outra.
Por que o spoofing é tão fácil
Para entender por que o spoofing funciona, você precisa entender como o email realmente funciona — e como isso é diferente do que a maioria das pessoas supõe.
Quando você envia uma carta física, o endereço de remetente é apenas algo que você escreve no envelope. Os correios não verificam. Você poderia escrever a Casa Branca como seu endereço de remetente e a carta seria entregue sem questionamento. Email funciona da mesma maneira.
O endereço 'From' que você vê na sua caixa de entrada é apenas um cabeçalho na mensagem de email. O servidor de envio o define para o que quiser. Não há verificação embutida de que o servidor está autorizado a enviar para aquele domínio, ou de que a pessoa que está enviando realmente controla aquele endereço.
Isso não foi um descuido — foi uma decisão de design. As primeiras redes de email eram comunidades pequenas e confiáveis. Todo mundo conhecia todo mundo. A ideia de que alguém mentiria sobre sua identidade não era uma grande preocupação. Quando a internet ficou grande o suficiente para isso virar um problema, o protocolo já estava consolidado demais para mudar.
O resultado é que fazer spoofing de um email não exige ferramentas ou habilidades especiais. Você pode fazer com poucas linhas de código, com software disponível gratuitamente, ou até com configurações avançadas de alguns clientes de email. A barreira de entrada é praticamente zero.
A anatomia de um email spoofado
Um email spoofado parece exatamente como um email legítimo porque, estruturalmente, é um email legítimo — apenas com informações falsas nos cabeçalhos.
O atacante define o cabeçalho 'From' para o endereço que deseja impersonar. Ele pode também definir o cabeçalho 'Reply-To' para o próprio endereço, para que as respostas venham para ele em vez do remetente impersonado. O 'envelope from' (usado para mensagens de bounce) pode ser diferente novamente.
Atacantes sofisticados vão além. Eles estudam o estilo de escrita do alvo e o imitam. Pesquisam a organização para tornar os pedidos plausíveis. Cronometram os ataques para quando a pessoa impersonada está viajando ou indisponível, dificultando negar rapidamente que enviou o email.
O email percorre o servidor de email do atacante até o servidor do destinatário. Sem verificações de autenticação, o servidor do destinatário não tem como saber que o email é fraudulento. Ele entrega na caixa de entrada como qualquer outro email.
Do ponto de vista do destinatário, o email parece completamente legítimo. O endereço 'From' está correto. Não há sinal óbvio de falsificação. As únicas pistas podem ser sutis — um tom ligeiramente diferente, um pedido incomum, um endereço reply-to que não bate com o from. É fácil deixar passar, especialmente quando se está ocupado.
O impacto nos negócios
Spoofing habilita diversas categorias de ataque, cada uma com alvos e impactos diferentes.
Business Email Compromise (BEC) mira funcionários com acesso a dinheiro ou dados sensíveis. O atacante impersona um executivo ou parceiro confiável e solicita transferências bancárias, formulários W-2 ou informações confidenciais. O FBI estima que BEC causou perdas de US$ 2,7 bilhões apenas em 2022 — mais do que qualquer outro tipo de crime cibernético.
Campanhas de phishing usam emails spoofados para roubar credenciais em escala. Um email aparentemente vindo da TI pede que funcionários 'verifiquem' suas senhas. Um email de 'RH' aponta para um portal de benefícios falso. O domínio do remetente spoofado torna esses ataques muito mais convincentes do que spam óbvio.
Ataques de reputação usam seu domínio para enviar spam ou malware. Mesmo que os destinatários não caiam no golpe, eles associam o email malicioso à sua marca. Seu domínio acaba em blacklists. A entregabilidade dos seus emails legítimos sofre. Limpar a bagunça leva meses.
Ataques à cadeia de suprimentos miram seus clientes ou parceiros. Atacantes enviam faturas do seu domínio spoofado com detalhes de pagamento modificados. Ou enviam malware disfarçado de documentos que sua empresa plausivelmente compartilharia. Seus relacionamentos sofrem mesmo que você não tenha feito nada de errado.
Parando o spoofing com autenticação
A boa notícia é que o spoofing de email é um problema resolvido — tecnicamente. A solução é a tríade de autenticação: SPF, DKIM e DMARC.
SPF permite publicar uma lista de servidores autorizados a enviar email para seu domínio. Quando um email chega afirmando ser do seu domínio, o servidor de recebimento pode verificar se o servidor de envio está na sua lista. Se não estiver, o email é suspeito.
DKIM adiciona uma assinatura criptográfica aos seus emails. A assinatura prova que o email veio de alguém com sua chave privada e não foi modificado em trânsito. Os atacantes não conseguem forjar essa assinatura sem acesso à sua chave.
DMARC amarra tudo informando aos servidores de recebimento o que fazer quando SPF ou DKIM falham, e exigindo que o domínio autenticado corresponda ao endereço visível 'From'. Com DMARC em política 'reject', emails spoofados são bloqueados antes de chegar à caixa de entrada.
O porém é que os três precisam estar corretamente configurados, e DMARC precisa estar em nível de enforcement (quarantine ou reject). Muitas organizações têm SPF e DKIM mas deixam DMARC em 'none' — o que fornece monitoramento, mas nenhuma proteção. É como ter uma câmera de segurança mas nenhuma fechadura.
Outro porém é que a autenticação protege apenas seu domínio. Ela não impede que atacantes registrem domínios semelhantes (yourcompany-secure.com) ou usem display name spoofing ('Your Company CEO <[email protected]>'). Defesa em profundidade requer educação de usuários junto com controles técnicos.
O que fazer se você estiver sendo alvo de spoofing
Se você descobrir que seu domínio está sendo spoofado, a resposta depende de ter ou não autenticação em vigor.
Se você tem DMARC em enforcement, os emails spoofados já estão sendo bloqueados pela maioria dos provedores de email grandes. Seus relatórios de DMARC vão mostrar o ataque — você verá falhas de autenticação vindas de IPs que não reconhece. Monitore os relatórios, mas a ameaça imediata está contida.
Se você não tem DMARC em enforcement, você está em modo de contenção de danos. Implemente autenticação o mais rápido possível, mas reconheça que partir para enforcement leva tempo se você quiser evitar bloquear emails legítimos. Enquanto isso, comunique-se com seus clientes e parceiros sobre o ataque. Dê orientações específicas sobre como identificar emails legítimos seus.
De qualquer forma, reporte o ataque. Se for uma tentativa de BEC, reporte ao IC3 do FBI. Se for uma campanha de phishing, reporte ao Anti-Phishing Working Group. Se os emails spoofados estão sendo enviados por um provedor específico, reporte para a equipe de abuso deles. Nada disso vai parar o ataque imediato, mas contribui para esforços mais amplos contra essas ameaças.
Por fim, use o incidente para justificar investimento em segurança de email. Ataques de spoofing são viscerais e fáceis de entender. Eles fazem um caso convincente para os recursos necessários para implementar autenticação adequada.
Frequently asked questions
Spoofing pode ser completamente prevenido?
Spoofing de domínio (imitação exata do seu domínio) pode ser prevenido com SPF, DKIM e DMARC corretamente configurados. Domínios semelhantes e display name spoofing exigem medidas adicionais como monitoramento de domínios e treinamento de usuários.
Por que alguns emails spoofados ainda passam?
Ou o domínio alvo não tem DMARC em enforcement, ou o servidor de recebimento não verifica DMARC. Provedores grandes como Gmail e Outlook aplicam DMARC, mas provedores menores podem não aplicar.
Como sei se meu domínio está sendo alvo de spoofing?
Relatórios de DMARC mostram todo email que afirma ser do seu domínio, incluindo mensagens spoofadas. Sem DMARC, você pode só descobrir quando os destinatários reclamarem ou quando acabar em listas de bloqueio.
Spoofing é ilegal?
O spoofing em si existe em uma zona cinzenta legal, mas os ataques que ele viabiliza — fraude, phishing, impersonação — são ilegais na maioria das jurisdições. A persecução é difícil quando os atacantes estão no exterior.