Vou fazer aqui uma análise de um e-mail suspeito que recebi há pouco e vou mostrar as características que mostram os riscos desta mensagem.
Aqui vai a análise do arquivo download_validar_email.eml sob a ótica da segurança da informação, considerando a origem, conteúdo, destino e confidencialidade da mensagem:
🔍 1. Origem do e-mail da mensagem
– Remetente: `docusinginbox@digital.caobostonterrier.cfd`
– Servidor de origem: `digital.caobostonterrier.cfd` com IP `178.156.184.186`.
– Observação: O domínio `caobostonterrier.cfd` é extremamente suspeito. Domínios `.cfd` são frequentemente utilizados para fins maliciosos, fraudes ou phishing devido ao baixo custo e à fraca fiscalização.
– Assinaturas DKIM e ARC: Existem, mas não garantem legitimidade, pois são relativas ao próprio domínio suspeito.
– Possível falsificação: O nome exibido é “Docusing”, uma provável tentativa de simular a plataforma DocuSign, induzindo o destinatário a acreditar que se trata de um documento legítimo.
📄 2. Conteúdo
– O corpo principal do e-mail é em HTML e contém uma mensagem dizendo:
-
Assunto: “Documento emitido para sua revisão”.
-
Informações falsas sobre um documento digital, simulando uma interface de assinatura eletrônica.
-
Um botão com link mascarado que leva para:
https://185.221.167.72.host.secureserver.net/[…] (endereço IP com domínio sobreposto)
Este endereço é altamente suspeito, pois utiliza um subdomínio de hospedagem associado a ataques de phishing, além de apontar diretamente para um endereço IP, o que não é uma prática padrão de empresas legítimas.
Nenhum documento está anexado; o objetivo é induzir o clique no link.
🎯 3. Destino
-
Destinatário: `jose.coura@geradireito.com.br`
-
O e-mail tem como alvo direto este endereço, personalizado, o que indica que pode ser parte de um ataque de phishing direcionado (spear phishing).
-
Caso o destinatário clique no link, pode ser direcionado a um site falso que provavelmente coleta credenciais, dados pessoais ou executa malware.
🔐 4. Confidencialidade
-
Este e-mail compromete a confidencialidade dos dados do destinatário:
-
Tenta capturar informações sensíveis.
-
Usa engenharia social simulando serviços de confiança (DocuSign).
-
A comunicação não é legítima, nem criptografada além do básico do protocolo SMTP com TLS. O problema maior está na intenção fraudulenta e na criação de um ambiente falso de segurança.
-
Impacto: Caso o usuário interaja, pode ocorrer:
-
Roubo de credenciais.
-
Comprometimento de dados pessoais, bancários ou corporativos.
-
Possível disseminação de malware.
🚨 Conclusão da Análise Técnica
O e-mail possui todas as características de phishing altamente direcionado, com:
– Domínio falsificado.
– Linguagem que induz à urgência (“revisão de documento”).
– Link mascarado apontando para servidor não relacionado à suposta empresa.
– Falta de informações legítimas como CNPJ, telefones ou identificação real da empresa.
🔐 Recomendações para os usuários, funcionários e cidadão.
– Não clicar em links ou baixar quaisquer conteúdos provenientes deste e-mail.
– Bloquear o domínio e IP** nos filtros de e-mail e firewall.
– Reportar como phishing na plataforma de e-mails utilizada.
– Verificar se houve outros e-mails semelhantes enviados a colaboradores da empresa.
– Orientar usuários sobre esse tipo de tentativa de fraude, reforçando práticas de segurança.
Espero ter oferecido algum nível de conhecimento sobre como tratar os e-mails que chegam até você.
