fbpx

Proteção de E-mails: um guia para manter sua caixa de e-mails segura.

Blog B2B Host | Segurança da Informação: Proteção de E-mails: um guia para manter sua caixa de e-mails segura.
Blog B2B Host | Segurança da Informação: Proteção de E-mails: um guia para manter sua caixa de e-mails segura.

Proteção de E-mails: um guia para manter sua caixa de e-mails segura.

Proteção de E-mails – Como uma forma de comunicação confiável na qual as informações pessoais são compartilhadas com frequência, o e-mail é o principal alvo dos hackers. Empresas de todos os tamanhos, bancos, sites de mídias sociais, entre outros, se comunicam por e-mail, e filtrar o que é legítimo e o que é uma fraude pode ser difícil. Neste artigo vamos abordar dicas para segurança dos seus e-mails.

Neste post, falaremos sobre os golpes ocultos em sua caixa de entrada, bem como as possíveis vulnerabilidades durante o envio de arquivos. Também abordaremos os diferentes tipos de criptografia que você pode usar em seus e-mails e algumas dicas adicionais sobre como ficar protegido.

A boa notícia é que a maioria dos clientes de e-mail baseados na Web, criptografa suas mensagens e também faz um bom trabalho de filtragem por meio de spam. No entanto, ainda não é o método mais seguro de comunicação, o que pode significar que você terá que mudar para outro aplicativo se a segurança for o seu foco.

Antes de fazermos sugestões, vamos analisar alguns tipos de ameaças para os seus e-mails.

Netranet Networking | Segurança da Informação – Sophos Central Endpoint
Netranet Networking | Segurança da Informação – Sophos Central Endpoint

Tipos de ameaças de e-mails

Existem duas categorias principais de segurança de e-mail: proteção contra ataques e proteção contra interceptação. Primeiro, vamos falar sobre as ameaças à sua caixa de entrada e como você pode evitar ser vítima de fraudes e fraudes. Em seguida, veremos como proteger suas mensagens em trânsito para que nenhuma informação sensível caia nas mãos erradas.

Ameaças na caixa de entrada

O primeiro lote de ameaças segmenta a sua caixa de entrada. Estes não são específicos para o e-mail; pois um invasor pode usar qualquer meio de comunicação. Mesmo assim, o e-mail é um grande alvo para esquemas de phishing, fraudes e muito mais.

A maioria dos aplicativos de e-mail modernos, como o Gmail, protege você desses ataques. É importante respeitar a pasta de spam do seu aplicativo de e-mail, pois as regras aplicadas ao spam estão cada vez mais fortes.

Os e-mails de phishing formam uma grande parte dos e-mails filtrados em spam. Phishing é uma espécie de comunicação fraudulenta – neste caso, e-mail – solicitando que você forneça informações pessoais, como o número da sua conta bancária, dos dados do seu cartão de crédito e informações de roteamento.

A maioria dessas ameaças é fácil de detectar e a maioria dos filtro de spam são capazes de eliminá-los. No entanto, existem técnicas de ataques mais eficientes e complexas que podem burlar as regras do seu filtro de spam e podem fazer com que você seja mais uma vítima.

As ameaças baseadas na caixa de entrada são mecanismos de entrega para outras atividades fraudulentas, como a instalação de malwares em sua máquina ou o roubo de credenciais de conta. Por isso é muito importante que você tenha uma boa solução Endpoint instalado na sua máquina ou na sua infraestrutura de redes, que irá lhe proteger conta malwares, phishing e outros.

Ameaças de trânsito

Um ataque “man-in-the-middle” (MitM) é uma forma de espionagem em que um terceiro espiona informações que passam entre duas partes. O nome explica tudo; há alguém no meio da sua comunicação, roubando informações que estão passando durante a troca de e-mails.

Os ataques de MitM podem levar ao spear phishing, que é uma forma direcionada do esquema descrito acima. Um invasor pode espionar uma comunicação e usar contas falsas para aparecer como se fosse um contato do usuário visado.

Por exemplo, um invasor pode espionar o tráfego de rede de um CEO. O atacante poderia, então, fingir que um e-mail parecia semelhante ao que o CEO estava esperando, o que, é claro, seria fraudulento. O CEO clica, as credenciais são roubadas e o invasor elimina alguns dados importantes.

Existem duas formas de ataques MitM. O tradicional “man in the middle” é onde um invasor configura sua máquina como um proxy entre sua conexão. Se você estiver enviando um e-mail para alguém, primeiro ele passará pela máquina do invasor.

Esse tipo de ataque requer proximidade com a vítima. Alguém do outro lado do mundo não conseguiu pegar sua conexão com a Internet e monitorar o que está passando por ela. Isso ocorre porque os ataques MitM dependem de segurança fraca nos roteadores para espionar uma rede. Esta é uma das razões pelas quais há muito perigo em usar o WiFi público .

Os invasores examinam o roteador em busca de quaisquer vulnerabilidades que possam ter e, em seguida, usam as ferramentas para interceptar e ler os dados transmitidos. Em alguns casos, isso significa ignorar os e-mails que estão sendo enviados e, em outros, redirecionar a vítima para sites maliciosos.

Há um segundo formulário chamado “man in the browser” (MitB), que usa malware carregado no computador do usuário para comprometer as informações contábeis ou financeiras.

Tipos de criptografia de e-mail

Uma maneira de proteger e-mails é através da criptografia. Vamos dar uma olhada nos tipos mais importantes.

Criptografia de camada de transporte

O protocolo de criptografia de e-mail mais comum é o STARTTLS, que, como os três últimos caracteres indicam, é a criptografia que acontece na camada de transporte. Se tanto o remetente quanto o destinatário estiverem usando aplicativos que suportam comunicação criptografada, um intruso não poderá usar um sniffer – uma ferramenta usada para espionagem do MitM – para espionar a comunicação.

STARTTLS é o protocolo de criptografia mais comum usado para e-mail. Em outubro de 2018, 92% de todos os e – mails recebidos para o Gmail foram criptografados usando-os.

Infelizmente, o suporte para um protocolo específico não significa uma conexão criptografada. Em alguns casos, as duas partes não podem verificar os certificados uns dos outros, o que faria com que a conexão criptografada falhasse. No entanto, a maioria dos e-mails entregues por TLS usa criptografia oportunista, o que significa que ela será revertida para texto plano em vez de falhar.

A verificação obrigatória de certificados também não é ideal para o e-mail, pois é provável que a verificação falhe e, assim, o e-mail não seja enviado. Isso significaria que alguns e-mails seriam enviados sem problemas, outros realizariam várias tentativas e alguns simplesmente não enviariam nada.

Esse tipo de criptografia ocorre na camada de transporte, o que significa que os usuários não precisam fazer nada para criptografar ou descriptografar a comunicação.

É o mesmo tipo de criptografia que acontece quando você acessa um site com certificação SSL / TLS.

Isso também significa que o destinatário pode verificar ou filtrar a mensagem antes de ser entregue.

Existem algumas consequências para essa forma de criptografia. Como a criptografia acontece entre os relés SMTP individuais, a mensagem pode ser visualizada e alterada durante o trânsito. Qualquer pessoa que tenha acesso, por exemplo, ao sistema de e-mail de uma empresa pode ler e modificar o e-mail antes de ser entregue, aumentando a necessidade de criptografia de ponta a ponta.

Criptografia de ponta a ponta

Enquanto a criptografia TLS acontece na camada de transporte, a criptografia de ponta a ponta acontece apenas nas extremidades de uma comunicação. A mensagem do remetente é criptografada antes de ser enviada e é descriptografada somente depois de ser entregue. Criptografia de ponta a ponta significa que a mensagem não pode ser lida ou modificada por ninguém enquanto estiver em trânsito.

O OpenPGP é um padrão de criptografia de dados que fornece aos usuários finais a capacidade de criptografar conteúdo de e-mail. Ele usa pares de chaves pública / privada, o que significa que o remetente criptografa a mensagem usando a chave pública do destinatário antes de enviá-la. Você pode aprender mais sobre esse tipo de criptografia em nossa descrição do guia de criptografia.

Como acontece com qualquer método de trânsito mais seguro, há problemas com a criptografia de ponta a ponta. No caso do OpenPGP, é o par de chaves pública / privada. Embora isso seja considerado uma forma mais segura de criptografia, significa que qualquer pessoa que deseje enviar um e-mail precisará conhecer sua chave pública.

Você precisa estabelecer os pares de chaves públicas / privadas com antecedência e compartilhá-los com qualquer pessoa que queira enviar um e-mail para você. Para a maioria dos usuários domésticos, é um processo desnecessário e irritante que terá benefícios de segurança insignificantes.

A criptografia de ponta a ponta é um método de segurança focado nos negócios. Ao estabelecer os pares de chaves com os principais clientes, uma empresa pode garantir que toda a comunicação seja garantida. As comunicações B2B também se beneficiam desde que o servidor de recebimento tenha acesso às chaves de descriptografia.

Protegendo seu e-mail

A criptografia é amplamente baseada em qual provedor de e-mail você está usando. A maioria dos clientes baseados em navegador, como o Gmail, está usando TLS para enviar mensagens, o que deve ser suficiente para um indivíduo. As empresas podem querer considerar a criptografia de ponta a ponta, mas a segurança com o TLS é um começo.

Você pode testar se o seu serviço de e-mail está usando o TLS usando uma ferramenta como o CheckTLS.

Filtros Personalizados

Você também pode definir filtros personalizados na maioria dos aplicativos de e-mail que funcionarão junto com seus filtros de spam. Da mesma forma que vários servidores, permitem em seus painéis de controle a criação e configuração de filtros antispam e regras de e-mails. A B2B HOST oferece várias possibilidades de gerenciamento dos seus e-mails.

Outras proteções de e-mail

Você pode configurar diferentes formas de criptografia para aumentar sua segurança. Se você é proprietário de uma empresa, a criptografia de ponta a ponta provavelmente é sua melhor opção, especialmente se você transmitir informações confidenciais. Para usuários domésticos, há algumas coisas que você pode fazer além de simplesmente esvaziar sua pasta de spam.

Use um gerenciador de senhas

Os clientes de e-mail online são os principais alvos de violações de dados. Em 2017 mais de três bilhões de contas de e-mails foram comprometidas em todo o mundo.

Muitas senhas usando o algoritmo de hash MD5 desatualizado foram roubadas. Se os hackers usassem um ataque de dicionário, ou alguma outra forma de força bruta (brute force), esses hashes poderiam ser traduzidos em senhas de texto simples.

Basicamente, um ataque de força bruta depende de senhas fracas para o seu sucesso. Ao adivinhar senhas, um invasor pode usar o software para corresponder a um determinado hash a essas senhas vulneráveis, expondo os seus dados.

Jeremi Gosney, CEO da Sagitta HPC, disse à Ars Technica que “quaisquer [senhas] com um toque de complexidade são bastante seguras”, no entanto, desde que os usuários tenham definido uma senha forte em sua conta, é improvável que um ataque de força bruta aos hashes funcione.

Um gerenciador de senhas ajuda você a fazer isso. Ao gerar senhas fortes e exclusivas para cada uma das suas contas, você pode aumentar exponencialmente sua segurança.

Como os ataques de força bruta dependem da geração de senhas candidatas, é improvável que um pacote aleatório de letras, números e caracteres especiais apareça.

Ele também supera o problema de usar a mesma senha nas suas contas. Provedores como o Dashlane fornecem um painel de segurança onde você pode monitorar senhas fracas ou redundantes. Ele também irá notificá-lo de quaisquer violações de dados.

Os gerenciadores de senhas são uma das formas mais práticas de se proteger dos perigos do cibercrime.

Instalar um antivírus

Agora que sua conta foi protegida contra violações de dados, você precisa proteger contra esquemas de phishing. Para coisas que estão fora do senso comum e do filtro de spam do seu cliente, um antimalware pode protegê-lo.

Antimalware atacam ameaças de e-mail de alguns ângulos. O primeiro é a proteção contra phishing. O Endpoint da Sophos, proporciona proteções avançadas contra este tipo de ataque como também proteções contra ataques MitM e de Ransomware.

Use um aplicativo de mensagens criptografadas

O problema com a criptografia de e-mail é que você é forçado a escolher. Para a maioria dos usuários, a configuração da criptografia de ponta a ponta não é viável, já que exigiria que todos os seus contatos também configurassem a criptografia.

Se você não estiver satisfeito usando a criptografia TLS, convém cortar a comunicação via e-mail e usar um aplicativo de mensagens seguro.

Os aplicativos de mensagens privadas lidam com a dor de cabeça da criptografia de ponta a ponta, fornecendo a você um serviço tão fácil quanto enviar uma mensagem de texto ou e-mail.

Muitos aplicativos também vêm com chamadas de voz criptografadas, temporizadores de autodestruição e galerias de mídia privadas.

Embora não seja uma solução perfeita, os aplicativos de mensagens criptografadas são sua melhor opção para obter informações altamente confidenciais até que a criptografia de ponta a ponta se torne mais amplamente usada. O problema inerente de ponta a ponta é que ambas as extremidades precisam ter isso. Aplicativos de mensagens criptografadas lidam com esse problema e fornecem uma maneira segura de enviar informações.

Considerações Finais

A maioria dos clientes baseados na Web usa o TLS para criptografar mensagens, o que, infelizmente, vem com algumas desvantagens. A criptografia de ponta a ponta é um método de comunicação muito mais seguro, mas também é difícil de configurar para um único usuário.

As empresas, por outro lado, podem ser capazes de utilizar criptografia de ponta a ponta de uma maneira significativa. Se você está simplesmente olhando para proteger sua caixa de entrada pessoal, é bom instalar um bom antimalware, usar um gerenciador de senhas e inscrever-se em um serviço de e-mail anônimo, como o TorGuard.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.

Leia também:
Aprenda como inserir o CAPTCHA no seu site.
Tipos de Certificado SSL – Que tipo de certificado SSL o seu site precisa?
3 dicas de segurança digital para sua pequena empresa.