Você está na página 1de 61

Exames em

mensagens eletrônicas
(e-mails)

Gustavo Pinto Vilar


Perito Criminal Federal
 gustavopintovilar@gmail.com
PRINCIPAIS TÓPICOS
 HISTÓRICO DA INTERNET

 COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

 PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

 WEB, DEEP WEB E DARK WEB

 ANÁLISE DE SÍTIOS DE INTERNET

 ANÁLISE DE E-MAILS

 ANÁLISE DE NAVEGADORES DE INTERNET

 REDES SOCIAIS e ANONIMIZADORES

 MOEDAS DIGITAIS (PLUS)


Roteiro
– E-mails como locais de crime
– Como identificar o autor de e-mail
– Como encontrar os cabeçalhos de internet
– Por onde passam os e-mails
– Preservação dos dados
– Análise de cabeçalhos de internet
– Localização e identificação de autor de email
Crimes com uso de e-mail
– Calúnia (art. 138 do Código Penal);
– Difamação (art. 139 do Código Penal);
– Injúria (art. 140 do Código Penal);
– Ameaça (art. 147 do Código Penal);
– Falsa Identidade (art.307 do Código Penal);
– Pornografia infantil (art. 241 do ECA);
Crimes com uso de e-mail
– Tráfico de drogas;
– Formação de quadrilha;
– Estelionato;
– Organizações criminosas.
Crimes com uso de e-mail
Crimes com uso de e-mail
Componentes da estrutura
• MUA (Mail User Agent)
• Agente do usuário de correio
• Software cliente de correio eletrônico
• Encaminha as mensagens via MTA
• Recebe as mensagens via MDA
Componentes da estrutura
• MSA (Mail Submission Agent)
• Agente de sumissão de correio
• Responsável por receber as mensagens do
MUA
• Na prática, esse papel é feito pelo MTA
Componentes da estrutura
• MTA (Message Transfer Agent)
• Agente de transferência de mensagem
• É o servidor que recebe a mensagem do MUA
• Também pode atuar como cliente de outro MTA
• É identificado por outro MTA por meio da entrada MX
no DNS
• "Responsável pela transferência de e-mails entre
computadores"
Componentes da estrutura
• MDA (Message Delivery Agent)
• Agente de entrega de mensagem
• Responsável pela entrega da mensagem ao usuário
final
MUA > MTA > MTA > MDA > MUA

12
Como identificar o autor
de um e-mail
– Os remetentes das mensagens criminosas fazem uso
de ardis para permanecerem incógnitos
– Muitas vezes se torna muito difícil a identificação dos
remetentes
– O caminho é por meio dos cabeçalhos completos de
internet das mensagens eletrônicas.
Como encontrar os cabeçalhos
de um e-mail
– Cada provedor de e-mail coloca os cabeçalhos das
mensagens em locais diferentes
– No Microsoft Outlook:
• Clicar na mensagem com o botão direito
• Clicar no botão “opções de mensagem”
• No final da tela há a janela “cabeçalhos de internet”
• Copiar esses dados e colar em um arquivo.
Como encontrar os cabeçalhos
de um e-mail
– No Google:
• Abrir a mensagem
• Nas opções da mensagem, escolher “Mostrar Original”

– No Yahoo
• Clique no ícone “Mais” sobre a mensagem
• Selecione a opção “Visualizar mensagem raw” do menu.
Como encontrar os cabeçalhos
de um e-mail
– A identificação do remetente da mensagem pode ser
facilmente adulterada
– Os cabeçalhos completos de internet contêm as informações
mais confiáveis
• Lista de servidores por onde a mensagem trafegou
• Cabeçalho “Received:”

– Por todos os servidores que a mensagem de e-mail passa,


ela recebe um carimbo com data e hora (timestamp)
Por onde um e-mail passou
– No cabeçalho completo pode-se observar o caminho
percorrido pelo e-mail pelos servidores por onde passou
– O mais antigo registro é o mais próximo da origem do e-
mail e é o mais provável de estar forjado
– À medida que a mensagem se aproxima do destinatário,
ela trafega por servidores comerciais que possuem
maior credibilidade.
Por onde um e-mail passou
– Com base nessas informações, o deve-se consultar o
serviço WHOIS para levantar os dados cadastrais das
empresas responsáveis pelos domínios e endereços IP
envolvidos
– Quando um e-mail é encaminhado para outro endereço,
os cabeçalhos se perdem, criando-se outros novos
Preservação dos dados
– Não há lei que obrigue os provedores a preservarem os
dados por tempo certo
– Necessidade de celeridade nas investigações, para se
evitar a perda dos dados
– Necessidade de preservação dos dados, enquanto não
se conseguem as Ordens Judiciais
Informações presentes nos
e-mails
Quem
Endereço de e-
enviou o e- mail
Endereço IP Contexto
mail?

Quando foi Registros dos


Data e horário
servidores de
enviado? do cabeçalho
e-mail

De onde ele Endereço IP Geolocalização


Domínio do e- Identificação
foi enviado? mail da mensagem

Possui
Corpo da Lista de Registros no
conteúdo mensagem
Anexos
contatos calendário
relevante?
Estrutura dos e-mails
– Os e-mails possuem estrutura muito simples. São
divididos em três partes:
• Cabeçalho
• Corpo da mensagem
• Anexos
Informações presentes nos
e-mails
Cabeçalho

Corpo da Mensagem

Anexos
Cabeçalho
– Componente essencial pois fornece o envelope que
uma mensagem utiliza para chegar ao destino
correto
– Funciona como um registro de viagem, pois informa:
• de onde saiu
• qual o momento
• as rotas por onde passou
• quando chegou
Cabeçalho
– Existe uma grande quantidade de campos, mas o perito
deve se concentrar nos dados que podem ligar uma
mensagem a um computador
– Deve-se ter muito cuidado pois grande parte do
cabeçalho pode ser forjado
Cabeçalho
– Além dos campos “De”, “Para”, “CC”, “CCO”, “Assunto”
e “Data”, existem 4 cabeçalhos adicionais que devem
ser investigados:
• Message-ID
• Received
• X-Originatin-IP (ou X-IP)
• X-Mailer
Cabeçalho
– Message-ID – informado pelo servidor de e-mail de origem e
consiste em um identificador único adicionado no nome do
servidor com um símbolo de “@”
– É semelhante a um número de rastreamento da mensagem
e é registrado (logado) pelos servidores que recebem a
mensagem
– Pesquisas nos logs dos servidores por esse campo fornecem
evidências da passagem da mensagem
Cabeçalho
– Message-ID – são utilizados para agrupar mensagens
formando uma “conversa”
– Existem dois outros campos opcionais (“References” e “In-
Reply-To”) que ajudam no agrupamento das mensagens
através de seu ID
– Como o identificador é único, ele é um ótimo termo de
pesquisa para auxiliar na identificação de mensagens
relevantes
Cabeçalho
– Received – você pode rastrear por onde a mensagem
passou olhando os registros de “Received” começando
pelo registro mais próximo ao corpo da mensagem indo
para o mais distante (esse é o caminho da mensagem)
– Cada servidor no caminho adiciona uma entrada
“Received” contendo o IP, nome do servidor, data,
horário e fuso
Cabeçalho
– É possível que sejam forjadas alguns desses registros,
entretanto aqueles criados pelos servidores devem ser
confiáveis
– Exemplo:
Received: from NAM01-BY2-obe.outbound.protection.outlook.com
(mail-by2nam01on0096.outbound.protection.outlook.com.
[104.47.34.96])
by mx.google.com with ESMTPS id
v74si12815843pfd.77.2017.11.06.12.25.15
for <rodrigolange@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Mon, 06 Nov 2017 12:25:18 -0800 (PST)
Cabeçalho
– X-Originating-IP (ou X-IP) – um campo opcional que
identifica o computador utilizado para o envio da
mensagem. Pode ser forjado, mas necessita controle
sobre o servidor de e-mails de origem
– Recentemente está sendo retirado pelos servidores em
virtude de problemas relacionados à privacidade
Cabeçalho
– X-Originating-IP (ou X-IP) – exemplo
Accept-Language: pt-BR, en-US
Content-Language: pt-BR
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [186.248.103.118]
x-ms-publictraffictype: Email
x-microsoft-exchange-diagnostics:
1;RO1PR80MB0089;6:DH3V4lVADIvP+JB+/EBysEbpkWbUao/Xnc9SHiFvwIo8DnnAXyUAddFwFJ
hZ
Cabeçalho
– X-Mailer – identifica o cliente de e-mail utilizado para
criação da mensagem
– Sua inclusão é opcional e pode ser um bom indicador se
o aplicativo utilizado era local ou baseado na web (ex:
webmail)
– Deve ser incluído pelo servidor de e-mails de origem da
mensagem
Cabeçalho
– X-Mailer – exemplo
X-Mailer: YahoomailWebService/0.8.116.338427
Cabeçalho
– Se a investigação estiver ocorrendo em ambientes
Windows, uma funcionalidade que possivelmente está
sendo utilizada é a Microsoft Messaging Application
Programming Interface (MAPI)
– São cabeçalhos adicionais que podem fornecer
informações muito importantes sobre a mensagem
Cabeçalho
– Os principais campos de interesse são:
• Mapi-Client-Submit-Time – momento em que o cliente
enviou a mensagem
• Mapi-Conversation-Index – registra cada mensagem que
faz parte de uma conversa, inclusive com informações
sobre cada mensagem da conversa
Cabeçalho
– Os principais campos de interesse são:
• Mapi-EntryID – é um registro único que identifica o local
onde a mensagem está armazenada (ex: um arquivo PST).
Isso auxilia identificar o local caso o criminoso utilize mais
de um local de armazenamento
• Mapi-Message-Flags e Pr_Last_Verb_Executed –
possuem várias informações sobre o estado da mensagem
(ex: lida, não lida, não enviada, é resposta, foi
reencaminhada, etc)
Cabeçalho - exemplos
Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com
with Microsoft SMTPSVC (6.0.3790.0);
Wed, 12 Dec 20016 13:39:22 -0800

Esta informação diz que a transferência da mensagem


ocorreu na quarta-feira, 12 de dezembro de 2016, às
13:39:22 (1:39:22 da tarde) Hora Oficial do Pacífico (8
horas atrás da Hora de Greenwich); por isso o "–0800")
Cabeçalho - exemplos
Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with
Microsoft SMTPSVC(6.0.3790.0);
Wed, 12 Dec 2016 13:38:49 -0800

Esta transferência de mensagem ocorreu na quarta-feira,


12 de dezembro de 2016, às 13:38:49 (1:38:49 da tarde)
Hora Oficial do Pacífico (8 horas atrás da Hora de
Greenwich); por isso o "–0800")
Cabeçalho - exemplos
From: "Kelly J. Weadock" <kelly@litware.com>

Essa mensagem foi enviada por Kelly J. Weadock a partir


do endereço de email kelly@litware.com.
Cabeçalho - exemplos
To: <anton@proseware.com>

Esta é a pessoa para a qual a mensagem está endereçada.


Cabeçalho - exemplos
Cc: <tim@cpandl.com>

Estas são as pessoas que recebem cópias da mensagem.


Observação Os destinatários que recebem cópias ocultas
(Cco) não aparecem no cabeçalho.
Cabeçalho - exemplos
Subject: Review of staff assignments

Este é o assunto do e-mail.


Cabeçalho - exemplos
Date: Wed, 12 Dec 2015 13:38:31 -0800

Isto indica a data e a hora em que a mensagem de e-mail


foi enviada, com base no relógio do computador do
remetente.
Cabeçalho - exemplos
MIME-Version: 1.0

Este parâmetro especifica a versão do protocolo MIME que foi usada pelo remetente.
Extensões Multi função para Mensagens de Internet (sigla MIME do inglês
Multipurpose Internet Mail Extensions) é uma norma da internet para o formato das
mensagens de correio eletrônico.
O protocolo básico de transmissão de e-mail pela Internet, SMTP, suporta apenas 7-
bit de caracteres ASCII. Isto limita as mensagens de e-mails, incluindo somente os
caracteres usados na língua inglesa.
Cabeçalho - exemplos
MIME-Version: 1.0

O MIME provê mecanismos para o envio de outros tipos de informações por e-mail,
incluindo caracteres não utilizados no idioma inglês, usando codificações diferentes
do ASCII, assim como formatos binários contendo imagens, sons, filmes, e programas
de computador. MIME é também um componente fundamental de comunicação de
protocolos como o HTTP, que requer que os dados sejam transmitidos em contextos
semelhantes a mensagens de email, mesmo que o dado a ser transmitido não seja
realmente um e-mail.
Cabeçalho - exemplos
Content-Type: multipart/mixed

Este é um cabeçalho MIME adicional. Ele informa aos


programas de e-mail compatíveis com MIME o tipo de
conteúdo esperado na mensagem.
Cabeçalho - exemplos
X-Mailer: Microsoft Office Outlook, Build 12.0.4210

Esta informação indica que a mensagem foi enviada pelo


Microsoft Office Outlook com uma versão de compilação
12.0.4210
Cabeçalho - exemplos
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165

Esta entrada indica o software de e-mail (software MIME


OLE) usado pelo remetente.
Cabeçalho - exemplos
Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA==

Este cabeçalho é usado para associar várias mensagens a


um segmento semelhante. No Outlook, por exemplo, o
modo de exibição de conversação usa essas informações
para localizar mensagens em um segmento de
conversação.
Cabeçalho - exemplos
Return-Path: kelly@litware.com

Esta entrada especifica como chegar ao remetente da


mensagem.
Cabeçalho - exemplos
Message-ID: MAILbbnewS5TqCRL00000013@mail.litware.com

Este número foi atribuído à essa mensagem (pelo


mail.litware.com) para fins de identificação. Esta ID estará
sempre associada à mensagem.
Cabeçalho - exemplos
X-OriginalArrivalTime: 12 Dec 2016 21:38:50.0145 (UTC)

Este é um carimbo de data e hora colocado na mensagem


quando ela passa pela primeira vez por um servidor
executando o Microsoft Exchange.
Estrutura do e-mail
• E quanto aos webmails?
Não incluem o IP do usuário no cabeçalho, mas sim o
IP do servidor web
Vestígios de sua utilização nem sempre estão
presentes no computador
E-mail - confirmações
• Serviços de confirmação de leitura
• Seu objetivo original era identificar se uma mensagem havia sido lida
pelo destinatário

• Mas permitem identificar informações sobre o remetente da


mensagem, como seu IP, através da inclusão de uma figura
na mensagem original, que será carregada a partir de um
servidor web
• A figura deve ser a mais discreta possível
• Geralmente sua resolução é de apenas 1 pixel
• Ex: Get Notify (http://www.getnotify.com)
Serviços de e-mail anônimo
• Focam em pessoas preocupadas com sua privacidade
• Procuram ser hospedados em países onde a obtenção de dados sobre
os usuários é mais difícil
• Quando fornecem clientes de e-mail próprios, o carregamento de
images costuma ser desativado por padrão, para não identificar a
localização do usuário
• Não mantêm logs de acesso
• Método Trust No One: as mensagens são criptografadas, de modo o
provedor não tem acesso ao conteúdo das mesmas
Listas de Discussão
• Gerenciam a troca de e-mail para vários usuários diferentes
• Agrupam pessoas com interesse em comum
• Precedeu as redes sociais
• É um serviço oferecido pelos grandes provedores
• Possuem uma interface web, que permite ler as mensagens
endereçadas ao grupo
• A identificação do remetente também é feita por meio do cabeçalho
MUA “EXEMPLO”- Outlook
• Formato de armazenamento padrão:
– PST (Personal Storage Table)
– OST for offline storage of email
• Informações do formato:
– msdn.microsoft.com/en-us/library/ff385210.aspx
• Local de armazenamento:
– PST (Personal Storage Table)
Outlook
• Local de armazenamento:
PST (Personal Storage Table)
– Windows XP
\Documents and Settings\user\Local
Settings\Application Data\Microsoft\Outlook
– Windows Vista, 7, 8 e 10
\Users\user\AppData\Local\Microsoft\Outlook
Outlook
• Local de armazenamento:
OST (Offline Storage Table)
– Windows XP
\Documents and Settings\user\Local
Settings\Application Data\Microsoft\Outlook
– Windows Vista, 7, 8 e 10
\Users\user\AppData\Local\Microsoft\Outlook
Exercício 3
Perguntas

Você também pode gostar