Criado em 2012 por grandes operadores de correio eletrónico, o DMARC («Domain-based Message Authentication, Reporting and Conformance») é um protocolo que impede os hackers de se fazerem passar por outra pessoa através do e-mail. Atua, mais especificamente, sobre o nome de domínio de uma organização.
O sistema DMARC identifica e-mails de phishing ou mensagens enviadas por alguém que utilize o nome de domínio de uma organização de forma ilegal. Ele autentica os e-mails. Com o DMARC, o remetente proprietário do nome de domínio é notificado sobre o sucesso ou o fracasso da autenticação de um e-mail. Assim informado, pode agir caso o seu nome de domínio seja usurpado por um terceiro não autorizado a utilizá-lo.
Este protocolo permite, assim, reduzir o uso indevido de spam e de e-mails de phishing. Essencialmente, quando se trata de um tipo de fraude por phishing: a usurpação do nome de domínio. Ao adotar a solução DMARC, qualquer remetente protege, assim, os seus funcionários, clientes e parceiros contra os cibercriminosos que enviam e-mails em seu nome.
O que é um nome de domínio?
Um endereço de Internet é o equivalente ao endereço postal de uma organização na Internet. Permite que os contactos e clientes encontrem um site na Web. Um nome de domínio faz parte integrante do endereço de Internet, denominado «URL» (Uniform Resource Locator, em português «localizador uniforme de recursos»). É composto por uma sequência de caracteres e por uma extensão (.fr, .com, .org). Em França, a AFNIC é a entidade gestora histórica do domínio .fr.
Por exemplo, no endereço de Internet “www.avantdecliquer.com”, hucency.com/ é o nome de domínio.
A compra e o registo de um nome de domínio são efetuados junto de um registador.
Para maior profissionalismo, quando uma organização possui um nome de domínio, pode criar endereços de e-mail no formato «prenom.nom@nom-de-domaine.com». No nosso exemplo: prenom.nom@avantdecliquer.com.
O que é o phishing?
O phishing é uma técnica de fraude por e-mail muito comum. Utilizada por hackers para se infiltrarem no sistema informático de uma organização, o objetivo é obter dados pessoais e/ou profissionais.
O phishing e o spear phishing continuam a liderar a lista dos ciberataques mais comuns (fontes: CESIN e Cybermalveillance.gouv.fr):
- 1 em cada 3 utilizadores abre um e-mail de phishing.
- 79% das organizações francesas afirmaram ter sido vítimas de phishing.
Em todo o mundo, este tipo de fraude constitui a principal ameaça. Os prejuízos financeiros, organizacionais e de reputação podem revelar-se dramáticos.
As consequências de clicar num link malicioso ou num anexo fraudulento são diversas: roubo de dados, malware (vírus, ransomware, etc.).
O spear phishing, por sua vez, consiste em realizar o mesmo tipo de fraude, mas identificando um alvo específico.
Phishing e usurpação de nomes de domínio
O envio de e-mails fraudulentos, fazendo-se passar por terceiros, está a tornar-se um ato de cibercriminalidade comum. Para um hacker experiente, falsificar o campo «De» («from») de um e-mail é «canja». Esta fraude é designada por «cybersquatting». Consiste em registar nomes de domínio idênticos ou semelhantes aos nomes de domínio oficiais das organizações remetentes dos e-mails.
O objetivo do pirata informático é violar os direitos do titular para se aproveitar da sua identidade ou para lhe causar prejuízo.
A título de exemplo:
Em junho de 2020, por exemplo, a FNAC foi alvo de uma campanha de phishing destinada a usurpar a sua identidade. A marca alertou os seus clientes para o risco de phishing. A marca esclarece que «esses e-mails apresentam confirmações de encomendas fictícias, utilizando a identidade visual e o logótipo da nossa marca».
Em abril de 2020, uma falha grave detetada no Gmail permitiu que os piratas informáticos se fizessem passar por qualquer utilizador.
Ou ainda, em 2016, o caso da Vinci, vítima de uma usurpação de identidade por e-mail, o que provocou a queda do preço das suas ações na bolsa.
Como é que o DMARC combate o phishing?
O DMARC melhora a capacidade de entrega dos e-mails dos remetentes. Com efeito, o remetente, proprietário do nome de domínio, pode solicitar que as mensagens não legítimas sejam automaticamente encaminhadas para a pasta «lixo eletrónico» (ou «spam») do serviço de e-mail do destinatário. Pode também solicitar a rejeição direta pelo servidor de receção (eliminação direta a partir do servidor de e-mail).
Consequentemente, os spams e, sobretudo, os e-mails de phishing são automaticamente excluídos da caixa de entrada dos utilizadores.
Como funciona o DMARC?
O DMARC funciona combinando dois outros protocolos:
- SPF (Sender Policy Framework): este protocolo permite que uma organização transmita aos seus fornecedores digitais a lista de servidores autorizados a enviar e-mails com o seu nome de domínio.
- DKIM (Domain Keys Identified Mail): este protocolo adiciona sistematicamente uma assinatura digital aos e-mails enviados por uma organização. A presença desta assinatura DKIM garante a integridade do e-mail durante o seu transporte.
Estes dois protocolos complementam-se e, caso um deles não seja cumprido, o DMARC sugere uma ação a tomar em caso de suspeita de ataque.
Três protocolos (SPF, DKIM e DMARC) autenticam, portanto, a origem de um e-mail.
Será que o DMARC é a solução para o phishing?
O DMARC oferece uma proteção eficaz contra a falsificação de e-mails, também conhecida como «business email compromise».
Embora seja muito eficaz, a sua implementação continua a ser bastante complexa para a maioria das organizações.
Além disso, não é a única solução para o problema do phishing, uma vez que combate apenas um tipo de phishing: a usurpação de nomes de domínio.
Tal como acontece com qualquer solução de cibersegurança, é a sua combinação com outras soluções técnicas (filtro antispam, firewall, etc.) e organizacionais (sensibilização para a cibersegurança, formação dos utilizadores para contornar as armadilhas do phishing) que a tornam um trunfo adicional na luta contra o phishing.
