Investigando Email’s

Arthur PaixãoJaboatão dos Guararapes, 19 de maio de 2014

Investigação de Emails ?(O que motiva? Por onde começar?)

Motivação

Desconhecendo os rigores por traz da Internet, alguns usuários (clientes web) tentam utilizar do “anonimato” para cometer alguns crimes como falsidade ideológica, injúria, calunia e difamação, ofensa contra a dignidade, envio/recebimento de fotos de pedofilia, roubo de dados sigilosos de empresas, entre outros nomes mais técnicos.

Processos

Processo de Investigação: Examina; Copia; Imprime; Visualiza o cabeçalho; Examina o cabeçalho e faz a análise; Examina todos os arquivos anexados; Traça a rota de envio do email;

Introdução

Os cabeçalhos ou headers em inglês, fornecem diversos detalhes técnicos, como por exemplo, o remetente, a hora de envio, por quais servidores de e-mails ela passou etc.

Os cabeçalhos de emails são utilizados para compor a mensagem e os servidores de mail utilizados até a mensagem chegar ao destinatário.

Cabeçalhos de Emails(Como é? Como faz a leitura?)

Conhecendo o Header

Conhecendo o Header

Um cabeçalho de email pode ser composto por alguns parâmetros:

X-OriginalArrivalTime: Este é um carimbo de data e hora colocado na mensagem quando ela passa pela primeira vez por um servidor executando o Microsoft Exchange.

Return-Path: Esta a entrada especifica de como chegar ao remetente da mensagem.

X-SenderIP: Este é o número do IP do Remetente

Content-Type: Este é um cabeçalho MIME adicional. Ele informa aos programas de email compatíveis com MIME o tipo de conteúdo esperado na mensagem.

Mime-Version: Este parâmetro especifica a versão do protocolo MIME que foi usada.

Conhecendo o Header

Um cabeçalho de email pode ser composto por alguns parâmetros:

Message-Id: Conjunto numérico atribuído à mensagem para fins de identificação.

To: Indica para quem a mensagem foi endereçada.

From: Indica quem enviou o email e qual endereço.

Date: Indica a data e a hora em que a mensagem de email foi enviada, com base no relógio do computador do remetente.

Received: Esta informação diz que a transferência da mensagem ocorreu 'tal' dia.

Cabeçalhos de Emails(Webmail)

Investigando Webmails

GMAIL

Investigando Webmails

HOTMAIL (Alternativa 1)

Investigando Webmails

HOTMAIL (Alternativa 2)

Investigando Webmails

YAHOO MAIL | Ymail (Alternativa 1)

Investigando Webmails

YAHOO MAIL | Ymail (Alternativa 2)

Investigando Webmails

YAHOO MAIL | Ymail (Alternativa 3)

Investigando Webmails

BOL

Investigando Webmails

UOL

Cabeçalhos de Emails(Desktop Mails)

Investigando Desktopmails

OUTLOOK 2007

Investigando Desktopmails

OUTLOOK 2010

Investigando Desktopmails

THUNDERBIRD

Investigando Desktopmails

LOTUS NOTES

Investigando Desktopmails

MAIL 2.0.1 (MacOS X 10)

Investigando Desktopmails

OPERA 11.01

Ferramentas de Apoio(Vamos Facilitar)

Ferramentas de Apoio

FERRAMENTAS WEBhttp://www.iptrackeronline.com/header.php

http://www.ipaddresslocation.org/email-tracking/email-header.php

http://www.ip-adress.com/ip_tracer/

https://toolbox.googleapps.com/apps/messageheader/

Ferramentas de Apoio

FERRAMENTAS DESKTOPEnCase

FTK

FINALeMAIL

Sawmill-GroupWise

Audimation for Logging

Ferramentas de Apoio

FERRAMENTAS DESKTOPEnCase:Uma solução para a identificação e coleta de dados.Captura automática pela rede.Amparo legal.

FTK:

Além de criar imagens forense de disco, podemos realizar dumps de memória e até mesmo realizar uma pequena análise forense na imagem criada. 

Spam(De onde vem? Para onde vai?)

Conhecendo o Spam

O que é spam?•Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).

O que são spam zombies?•Spam zombies são computadores de usuários finais que foram comprometidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que spammers utilizem a máquina para o envio de spam, sem o conhecimento do usuário. Enquanto utilizam máquinas comprometidas para executar suas atividades, dificultam a identificação da origem do spam e dos autores também. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege.

Conhecendo o Spam

Algumas das formas como você pode ser afetado pelos problemas causados pelos spams são:

Perda de mensagens importantes: devido ao grande volume de spam recebido, você corre o risco de não ler mensagens importantes, lê-las com atraso ou apagá-las por engano.

Conteúdo impróprio ou ofensivo: como grande parte dos spams são enviados para conjuntos aleatórios de endereços de e-mail, é bastante provável que você receba mensagens cujo conteúdo considere impróprio ou ofensivo.

Gasto desnecessário de tempo: para cada spam recebido, é necessário que você gaste um tempo para lê-lo, identificá-lo e removê-lo da sua caixa postal, o que pode resultar em gasto desnecessário de tempo e em perda de produtividade.

Conhecendo o Spam

Algumas das formas como você pode ser afetado pelos problemas causados pelos spams são:

Não recebimento de e-mails: caso o número de spams recebidos seja grande e você utilize um serviço de e-mail que limite o tamanho de caixa postal, você corre o risco de lotar a sua área de e-mail e, até que consiga liberar espaço, ficará impedido de receber novas mensagens.

Classificação errada de mensagens: caso utilize sistemas de filtragem com regras antispam ineficientes, você corre o risco de ter mensagens legítimas classificadas comospam e que, de acordo com as suas configurações, podem ser apagadas, movidas para quarentena ou redirecionadas para outras pastas de e-mail.

Conhecendo o Spam

Prevenção:

Apresentam cabeçalho suspeito: o cabeçalho do e-mail aparece incompleto, por exemplo, os campos de remetente e/ou destinatário aparecem vazios ou com apelidos/nomes genéricos, como "amigo@" e "suporte@".

Apresentam no campo Assunto (Subject) palavras com grafia errada ou suspeita: a maioria dos filtros antispam utiliza o conteúdo deste campo para barrar e-mails com assuntos considerados suspeitos. No entanto, os spammers adaptam-se e tentam enganar os filtros colocando neste campo conteúdos enganosos, como ``vi@gra'' (em vez de "viagra").

Apresentam no campo Assunto textos alarmantes ou vagos: na tentativa de confundir os filtros antispam e de atrair a atenção dos usuários, os spammers costumam colocar textos alarmantes, atraentes ou vagos demais, como "Sua senha está inválida", "A informação que você pediu" e "Parabéns".

Conhecendo o Spam

Prevenção:

Oferecem opção de remoção da lista de divulgação: alguns spams tentam justificar o abuso, alegando que é possível sair da lista de divulgação, clicando no endereço anexo ao e-mail. Este artifício, porém, além de não retirar o seu endereço de e-mail da lista, também serve para validar que ele realmente existe e que é lido por alguém.

Prometem que serão enviados "uma única vez": ao alegarem isto, sugerem que não é necessário que você tome alguma ação para impedir que a mensagem seja novamente enviada.

Baseiam-se em leis e regulamentações inexistentes: muitos spams tentam embasar o envio em leis e regulamentações brasileiras referentes à prática de spam que, até o momento de escrita desta Cartilha, não existem.

Conhecendo o Spam

Prevenção:

Como posso evitar um Spam nocivo?

1. Nunca responda ou clique em links em uma mensagem comprovadamente de spam.2. Não baixe anexos de e-mails suspeitos.3. Leia tantas mensagens de texto quanto você puder, desativando a capacidade de exibir imagens ou HTML.4. Mantenha confidenciais todos os endereços pessoais e de negócios.5. Leia as políticas de privacidade antes de revelar o seu endereço de e-mail.6. Não reencaminhe e-mails ou participe de correntes de e-mail.7. Use as configurações de privacidade mais fortes que você encontrar dentro do seu cliente de e-mail ou aplicativo.8. Leia as mensagens de e-mail antes de abri-las.9. Use um bloqueador de spam ou um filtro sempre que possível.

OBRIGADO!