Para investigar casos relacionados a crimes cibernéticos nos quais os e-mails estão sendo usados, os especialistas forenses digitais examinam os e-mails relevantes em busca de evidências. Como os criminosos frequentemente forjam mensagens para evitar a detecção, os especialistas forenses de email precisam analisar os campos do cabeçalho do email para extrair e coletar evidências cruciais.

Campos comuns de cabeçalho de email

Os cabeçalhos de email contêm informações vitais do caminho que a mensagem percorreu antes de chegar ao seu destino final. Essas informações incluem nomes de destinatários e remetentes, hora do envio / recebimento de mensagem de email, cliente de email, provedor de serviços de Internet (ISP), endereço IP do remetente etc. Essas informações e outros campos de cabeçalho de email podem ajudar a determinar a legitimidade de um suspeito. ou email malicioso. Para entender os campos do cabeçalho do email, tomamos como exemplo o cabeçalho de uma mensagem de um remetente na plataforma do Gmail. [Veja imagem 1]

Imagem 1: Campos de cabeçalho de email no Gmail

1. Entregue a

Entregue para: [email protected]

Este campo de cabeçalho de email contém o endereço de email do destinatário pretendido. Pode ser verificado para atividades de phishing. Se o endereço de email nesse campo não for igual ao endereço de email real do destinatário, pode ser um sinal de violação da mensagem que justifique uma investigação. Vale a pena notar que a adulteração e falsificação de cabeçalhos de e-mail é bastante fácil para os cibercriminosos hoje em dia – tudo o que eles precisam é de um servidor SMTP e um software de correspondência para iniciar um ataque de phishing.

2. Recebido por

Recebido: por 10.12.174.216 com identificação SMTP n34csp2326299qvd ;
Quarta-feira, 1 de fevereiro de 2017 00:39:09 -0800 (PST)

Este campo contém os detalhes do último servidor SMTP visitado do email. As seguintes informações são divulgadas:

a) Endereço IP do servidor

b) ID SMTP do servidor visitado

c) Dados e horário em que o email foi recebido pelo servidor SMTP

3. X-Recebido

X-Received: by 10.28.27.14 with SMTP id b14mr1702258wmb.82.1485938349292; Qua, 01 Fev 2017 00:39:09 -0800 (PST)
       

Alguns parâmetros de email não são definidos nos Padrões oficiais de protocolo da Internet e são chamados de cabeçalhos fora do padrão. Eles são criados por agentes de transferência de mensagens, como o servidor SMTP do Google Mail, que pode usar o campo X-Received para compartilhar informações não padrão. O campo compartilha os seguintes detalhes:

a) Endereço IP dos servidores de recebimento de mensagens

b) ID SMTP do servidor

c) Dados e horário em que o email foi recebido

4. Caminho de Retorno

Caminho de retorno:<[email protected]>[email protected]</[email protected]>

Este campo contém o endereço de email para o qual a mensagem é retornada, caso ela não atinja o destinatário pretendido. Isso pode acontecer facilmente se o remetente tiver usado um endereço de email errado para o destinatário. 

5. Recebido de

Recebido: de i2.a01.ms18.atmailsvr.net (i2.a01.ms18.atmailsvr.net. [ 91.199.29.18 ])

        por mx.google.com com o ID 5si23398790wrr.176.2017.02.01.00.39.08         do ESMTPS
para<[email protected]>[email protected] )</[email protected]>
        ( versão = cifra TLS1_2 = bits ECDHE-RSA-AES128-GCM-SHA256 = 128/128 ); Qua, 01 Fev 2017 00:39:09 -0800 (PST )
       

Este campo contém as informações do primeiro servidor SMTP ao qual o email chegou. Os seguintes detalhes podem ser encontrados aqui:

a) Endereço IP relacionado ao servidor

b) Endereço de email do destinatário

c) Informações de criptografia

d) Dados e hora em que a mensagem foi recebida

Recebido de é um dos campos mais importantes em um cabeçalho de email, pois você pode encontrar o endereço IP do remetente, além de outros detalhes, como o nome do host.

6. SPF recebido

SPF recebido: passe (google.com: domínio de [email protected] designa 91.199.29.18 como remetente permitido) client-ip = 91.199.29.18;

O Sender Policy Framework (SPF) é um protocolo de segurança de email usado para verificar o remetente. O sistema encaminha a mensagem somente depois que a identidade do remetente é autenticada. A técnica usa o endereço de domínio para autenticação e adiciona o status de verificação no campo do cabeçalho. Os seguintes códigos são usados:

a) Aprovação: a fonte de email é válida

b) Softfail: fonte falsa possível

c) Falha: a fonte é inválida

d) Neutro: validade da fonte difícil de determinar

e) Nenhum: registro SPF não encontrado

f) Desconhecido: a verificação do SPF não pode ser executada

g) Erro: um erro que ocorre durante a verificação do SPF

7. Resultados da autenticação

Resultados da autenticação: mx.google.com; dkim = passa cabeç[email protected]; spf = pass (google.com: domínio de [email protected] designa 91.199.29.18 como remetente permitido) [email protected]; dmarc = falha (p = NENHUM sp = NENHUM dis = NENHUM) header.from = gingersoftware.com
       
       
       

Os Agentes de Transferência de Correio (MTAs) aplicam várias técnicas de autenticação nas mensagens de email antes de processá-las. Os resultados dessas técnicas são adicionados ao campo de cabeçalho das mensagens e separados por ponto e vírgula. 

O campo Resultados da autenticação é de grande importância na investigação de email, pois compartilha o ID do servidor que executa a autenticação. Ele também compartilha as técnicas de autenticação, juntamente com seus resultados. 

8. Assinatura DKIM

Assinatura DKIM: v = 1; a = rsa-sha256; c = relaxado / relaxado; q = dns / txt; d = activetrail.com; s = em; h = X-BBounce: X-IADB-URL: Remetente: X-Feedback-ID: De: Para: Data: Assunto: MIME-Version: Content-type: Content-Transfer-Encoding; bh = GytDyTyaDleCfGk0d7bL4F2bXbTuWsb / xtpIVyVaCRw =; b = sgh6nUFjt5FC7rBC2BwXFulNuG + k14R7bBsstb4erjtZfTn4z / NPHNhVb4Ax1yXoOgX + Il6n5SCcXTCkwQdmaxpxt / BzPjWVziBdzU1WichHhPabVFeKctyp6pCjv4 + d2FVIiEuxqi v5dBTcJjXBVpOwU0mqgRceh3pqcvd5Rj4 =

O campo de cabeçalho da assinatura DKIM é inserido em uma mensagem de email para compartilhar detalhes do remetente, da mensagem e da chave pública necessária para executar a autenticação da mensagem. Muitas plataformas de email, como o Gmail e o Outlook.com, oferecem suporte a este campo para confirmar a autenticidade do email.  

A seguir, vários atributos DKIM e seus significados:

  • v : versão do aplicativo. Somente a versão 1 existe hoje, portanto esse campo deve sempre ser definido como 1.
  • a : algoritmos usados ​​para criptografia. Deve ser rsa-sha256 na maioria dos casos. Alguns remetentes podem usar rsa-sha1, mas isso não é recomendado devido a riscos de segurança. 
  • c : algoritmos usados ​​para canonização  
  • s : nome do registro do seletor usado com o domínio  
  • h : campos de cabeçalho assinado que são usados ​​no algoritmo de assinatura para criar o hash na tag b =
  • bh : hash do corpo da mensagem
  • b : dados de hash dos cabeçalhos listados na tag h =. Também é chamado de assinatura DKIM 
  • d : domínio usado com o registro seletor

Nota : Todas as tags acima são necessárias para o mecanismo DKIM funcionar. Se alguma tag estiver faltando, a verificação poderá encontrar um erro. Embora existam outras tags opcionais que podem ou não ser usadas como t = (que é o carimbo de data / hora do DKIM) ec = (que é o algoritmo de canonização usado). 

Outros cabeçalhos importantes de email 

X-BBounce: 227254537|1486804|[email protected]|47|0|3605|4
URL da JID-X: http://www.isipp.com/iadb.php
Remetente: Ginger
Submitter: reply @ activetrail .com
X-Feedback-ID: 3605: 3605.1346802.0: G1: atgfbl
Desinscrição da lista:,
Responder para : [email protected]
De : Ginger
Para : “[email protected]
ID da mensagem : ([email protected])
Data : quarta-feira, 01 fev 2017 10:39:06 +200
assunto : Obrigado por se registrar no Ginger!
Versão MIME : 1.0
Tipo de conteúdo: multipart / alternativo; limite = “—- 7308DF8A8DBB43098928C652849D6409”

—— 7308DF8A8DBB43098928C902849D6409
Tipo de conteúdo: texto / sem formatação; charset = utf-8
Codificação de transferência de conteúdo: quoted-printable

a) Responder para: O endereço de e-mail no qual a resposta à mensagem é recebida. Geralmente, é o endereço de e-mail do remetente, mas também pode ser alterado manualmente.

b) De : endereço de email do remetente.

c) Para : Endereço de e-mail do destinatário.

d) ID da mensagem: ID exclusivo do e-mail que o diferencia. Dois emails não podem compartilhar o mesmo ID de mensagem.

e) Data : data e hora em que o email foi recebido no destino.

f) Assunto : seção de assunto do e-mail que contém o objetivo principal da mensagem.

g) Versão MIME: Mostra que a mensagem está no formato MIME (Multipurpose Internet Mail Extension) e pode suportar formatos como arquivos de texto sem formatação, vídeo, áudio etc.

Significado dos parâmetros do cabeçalho do email

Analisando os parâmetros principais em um cabeçalho de email, você pode ter uma idéia de como a mensagem viajou da origem ao destino. Por exemplo, você pode usar o IP de origem para encontrar o remetente original. Para isso, é necessário examinar o primeiro parâmetro Recebido no cabeçalho do email. O primeiro endereço IP aqui é o IP de origem, que também é apresentado às vezes nos campos X-Originating-IP ou Original-IP. Emprestando o mesmo exemplo de cabeçalho:

Recebido: por 10.12.174.216 com identificação SMTP n34csp2326299qvd;
        Quarta-feira, 1 de fevereiro de 2017 00:39:09 -0800 (PST)

A parte destacada é o remetente original da mensagem. Você pode usar um serviço de reputação gratuito como o SenderBase da Cisco para obter a classificação de reputação do IP. Isso pode ajudar a verificar se o email é um spam ou um ataque de phishing. Embora, lembre-se de que, se o endereço IP for particular, ele não poderá obter nenhum resultado. 

O ID da mensagem é outro campo importante que pode ser verificado quanto à falsificação. Você pode vê-lo abaixo na região destacada.

Responder para: [email protected]
De: Ginger
Para: “[email protected]
ID da mensagem: ([email protected])
Data: quarta-feira, 01 fev 2017 10:39:06 +200
assunto: Obrigado por se registrar no Ginger!
Versão MIME: 1.0

Como o ID da mensagem é adicionado pelo servidor de email que processa o email, ele não pode ser alterado com tanta facilidade. Além disso, os sistemas de mensagens geralmente usam um carimbo de data / hora junto com o nome de domínio do remetente. Portanto, se o nome do domínio no ID da mensagem não corresponder ao nome do domínio mencionado no campo De:, poderá sugerir uma possibilidade de falsificação. No exemplo acima, o campo De: mostra o nome de domínio gingersoftware.com que é igual ao ID da mensagem. Portanto, é seguro assumir que nenhuma falsificação ocorreu aqui. 

Cabeçalhos de email são úteis, mas raramente são suficientes

Os cabeçalhos de email estão repletos de detalhes úteis, como endereço IP de origem e ID da mensagem, que podem ser fundamentais para investigar e rastrear o email suspeito. No entanto, para identificar detalhes críticos que possam indicar a direção certa, você deve ter um bom entendimento da arquitetura do email. Na maioria dos casos, mesmo se você tiver o conhecimento necessário, use ferramentas forenses de email especializadas para reunir e preservar evidências na forma de relatórios e arquivos de email. Ferramentas como o Stellar Email Forensic fornecem recursos avançados, como filtros de pesquisa personalizados, várias visualizações de mensagens, recuperação de emails excluídos etc. que contribuem para uma investigação rápida e precisa. 

Você pode começar com a avaliação do software Stellar Email Forensic, atualmente disponível para avaliação gratuita de 60 dias . Oferece facilidade de gerenciamento de casos e permite realizar uma pesquisa granular por e-mails.

 

Referências

Traduzido e adaptado livremente de: https://www.stellarinfo.com/article/email-header-structure-forensic-analysis.php

 

 

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Profiler e Perito em Forense Digital, Investigação de Fraudes | Especialista em Perfilação Criminal e Análise Comportamental | Cybercrime Profiling | OSINT, HUMINT | SI, Arquitetura Segura e Software Developer 

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em E-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise da Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Criminal Profiling - Perfilação Criminal

Análise de casos reais

Curso - Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo

Assine nossa Newsletter

Informe seu e-mail para receber nosso conteúdo em primeira mão.

 

Registrado com sucesso!!!