MODULE 11 - Investigating Email Crimes

Machine Translated by Google
MT
CE-Conselho
D FE
Digital Princípios Forenses
Fundamentos de Perícia Forense Digital Exame 112-53

Investigando crimes por e-mail
Objetivos do módulo Ideia criativa
1 Compreendendo o sistema de e-mail
Compreendendo os componentes envolvidos em

2 Comunicação por e-mail
3 Compreendendo as partes de uma mensagem de e-mail
4 Visão geral da investigação de crimes por e-mail e suas etapas
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do Módulo
Nas últimas décadas, os serviços de e-mail têm sido amplamente utilizados para comunicação em todo o mundo para
troca de textos e mensagens multimídia. No entanto, isso também tornou o e-mail uma ferramenta poderosa para os
cibercriminosos espalharem mensagens maliciosas e realizarem atividades ilegais. O módulo atual pretende familiarizá-lo
com o assunto de crimes de e-mail e como eles ocorrem.
Ele se concentra principalmente nas etapas que um investigador precisa seguir em uma investigação de crime por e-mail.
Ao final deste módulo, você será capaz de:
ÿ Compreender o sistema de e-mail
ÿ Compreender os componentes envolvidos na comunicação por e-mail
ÿ Compreender as partes de uma mensagem de e-mail
ÿ Compreender a investigação do crime de e-mail e suas etapas
Módulo 11 Página 588 Digital Forensics Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Entenda os fundamentos do e-mail
Um número crescente de empresas está usando o e-mail como seu principal meio de comunicação.
A crescente dependência de e-mails também deu origem a crimes de e-mail. Portanto, os investigadores
forenses precisam ter um entendimento completo de um sistema de e-mail e sua arquitetura interna,
juntamente com os componentes que trabalham juntos para entregar um e-mail de um remetente aos
destinatários. Esta seção discute os fundamentos de um sistema de e-mail.


Introdução a um sistema de e-mail
Um sistema de e-mail engloba servidores que enviam e

recebem e-mails na rede, juntamente com os clientes de
e-mail que permitem aos usuários visualizar e compor mensagens
Os sistemas de e-mail são baseados em uma arquitetura

cliente-servidor
O e-mail é enviado do cliente para um servidor central,

que redireciona o e-mail para o destino pretendido
Introdução a um sistema de e-mail
E-mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em
sistemas de comunicação eletrônica. Com a crescente dependência da tecnologia, o e-mail se tornou um dos
modos de comunicação mais populares.
Um sistema de e-mail funciona na arquitetura básica cliente-servidor. Ele permite que os clientes enviem/
recebam e-mails por meio de servidores de e-mail que se comunicam entre si. A maioria dos sistemas de e-
mail possui editores de texto com opções básicas de formatação que permitem aos clientes redigir mensagens
de texto e enviá-las a um ou mais destinatários. Depois de enviada, a mensagem passa por vários servidores
e fica guardada na caixa de correio do destinatário até que este a recupere.


Componentes envolvidos na comunicação por e-mail
Agente de usuário de correio (MUA) Agente de Transferência de Correio (MTA) Agente de entrega de correspondência (MDA)
ÿ Também conhecido como cliente de e-mail, ÿ O MTA também é conhecido como ÿ MDA é um aplicativo
MUA é um aplicativo que servidor de correio que responsável por receber uma
permite aos usuários ler, redigir aceita as mensagens de e- mensagem de e-mail do MTA e
e enviar e-mails de seus mail do remetente e as armazená -la na caixa postal do
endereços de e-mail configurados encaminha para o seu destino destinatário
ÿ Existem dois clientes de e-mail ÿ Exemplos incluem Sendmail, ÿ Exemplo inclui pombal
comumente usados: Exim e Postfix
ÿ Autônomo: Microsoft Outlook e Mozilla

Thunderbird
ÿ Baseado na Web: Gmail, Yahoo!

correio, correio AOL, etc.
Componentes envolvidos na comunicação por e-mail (continuação)
Servidor SMTP Servidor POP3 Servidor IMAP
ÿ SMTP (Simple Mail Transfer ÿ POP3 (Protocolo Post Office ÿ Protocolo de Acesso a Mensagens da Internet
Protocol) é um servidor de e-mail de versão 3) é um protocolo de Internet (IMAP) é um protocolo de internet
saída que permite ao usuário enviar e usado para recuperar e-mails de um projetado para acessar e-mail em um
-mails para um endereço de e-mail válido servidor de correio servidor de e-mail
ÿ Por padrão, o servidor IMAP escuta na porta

ÿ Quando um usuário envia um e-mail, o ÿ Ele lida com e-mails recebidos e escuta
143 e o IMAPS
o servidor SMTP do host do na porta 110
(IMAP sobre SSL) escuta na porta
remetente interage com o host do destinatário
993
servidor SMTP
ÿ POP3 baixa automaticamente
os e-mails para o disco rígido do usuário e ÿ Este protocolo mantém os e-mails no servidor
ÿ Os servidores SMTP escutam no os remove do e-mail mesmo depois que o usuário
porta 25 servidor já os baixou, permitindo assim que o

usuário use vários dispositivos para
verificar o e-mail
Componentes envolvidos na comunicação por e-mail
Existem vários componentes da comunicação por e-mail que desempenham funções específicas quando uma
mensagem de e-mail é transmitida de um remetente para um destinatário.
ÿ Agente do usuário de correio: Também conhecido como cliente de e-mail, o agente do usuário de e-mail (MUA)
é um aplicativo de desktop para leitura, envio e organização de e-mails. Ele fornece uma interface para os
usuários receberem, redigirem ou enviarem emails de seus endereços de email configurados.


Um usuário precisa definir e configurar seu endereço de e-mail antes de usar o cliente de e-mail.
A configuração inclui a emissão de IDs de e-mail, senhas, endereço Post Office Protocol versão 3 (POP3)/Internet
Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), um número de porta e outras
preferências relacionadas. Existem muitos clientes de e-mail autônomos e baseados na Web, como Claws Mail,
Thunderbird, Mailbird, Zimbra Desktop, Gmail e Outlook.com. O cliente de e-mail se torna ativo somente quando o
usuário o executa.
ÿ Agente de transferência de correio: O agente de transferência de correio (MTA) é um componente importante do

processo de transmissão de e-mail. É principalmente um tipo de servidor de email que recebe a mensagem de
email do agente de envio de email e descriptografa as informações do cabeçalho para ver para onde a mensagem
está indo. Uma vez determinado, ele passa a mensagem para o próximo servidor MTA.
Todos os servidores MTA conversam entre si através do protocolo SMTP. Alguns exemplos de MTA incluem
Sendmail, Exim e Postflix.
ÿ Agente de entrega de correspondência: O agente de entrega de correspondência (MDA) é o servidor que recebe a
mensagem de e-mail do último MTA e a mantém na caixa de correio do destinatário. Dovecot é um exemplo de
MDA.
ÿ Servidor SMTP: O SMTP é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um endereço
de e-mail válido. Os usuários não podem usar o servidor SMTP para receber e-mails; no entanto, em conjunto com
o Post Office Protocol (POP) ou IMAP, eles podem usar o SMTP para receber e-mails com configuração adequada.
Qualquer servidor SMTP recebe um endereço do cliente de e-mail do usuário no seguinte formato:
smtp.serveraddress.com (por exemplo, o endereço do servidor SMTP do Gmail seria smtp.gmail.com).
Quando um usuário envia um e-mail para um destinatário específico, ele primeiro chega ao servidor SMTP que
processa a mensagem para determinar o endereço do destinatário e, em seguida, o retransmite para o servidor
específico. Todos os servidores SMTP geralmente escutam a porta 25. No entanto, os servidores SMTP de saída
usam a porta 587 para conexões de segurança da camada de transporte e a porta 465 para conexões SSL (Secure
Sockets Layer).
ÿ Servidor POP3: POP3 é um protocolo simples para recuperar e-mails de um servidor de e-mail. Quando o servidor
POP recebe e-mails, eles são armazenados no servidor até e a menos que o usuário solicite.
O servidor POP3 não permite o conceito de pastas; ele considera a caixa de correio no servidor como seu único
repositório. Uma vez que o usuário se conecta ao servidor de correio para recuperar seus e-mails usando o cliente
de e-mail, os e-mails são baixados automaticamente do servidor de e-mail para o disco rígido do usuário e não são
mais armazenados no servidor, a menos que o usuário especifique para manter uma cópia dele.
O servidor POP3 pode entender comandos simples como os seguintes:
o USUÁRIO – insira seu ID de usuário
o SENHA – digite sua senha


o QUIT – sai do servidor POP3
o LIST – lista as mensagens e seu tamanho
o RETR – recupera uma mensagem, de acordo com o número da mensagem
o DELETE – exclui uma mensagem, de acordo com um número de mensagem
Como os clientes de e-mail implementados em POP3 baixam e-mails no sistema, um usuário pode ler e-mails
mesmo quando não há conectividade com a Internet. No entanto, como os e-mails são armazenados no disco
rígido, os usuários não podem acessá-los de máquinas remotas.
ÿ Servidor IMAP: Os servidores IMAP são semelhantes aos servidores POP3. Como o POP3, o IMAP lida com o e-
mail recebido. Por padrão, o servidor IMAP escuta na porta 143 e o IMAPS (IMAP sobre SSL) escuta na porta 993.
O IMAP armazena e-mails no servidor de e-mail e permite que os usuários visualizem e trabalhem em seus e-
mails, como se os e-mails estivessem armazenados em seus sistemas locais. Isso permite que os usuários
organizem todos os e-mails, dependendo de suas necessidades. Ao contrário do POP3, o IMAP não move o
servidor de correio para a caixa de correio do usuário.
Ele atua como um servidor remoto que armazena todos os e-mails do usuário no servidor de e-mail. IMAP permite
clientes de e-mail para recuperar partes de extensões de correio da Internet multiuso (MIME) na forma de uma
mensagem inteira ou em vários bits, permitindo que os clientes recuperem apenas a parte de texto do e-mail sem
baixar o anexo. Este protocolo armazena uma cópia de todos os e-mails no servidor, mesmo que o usuário os
baixe em seu sistema. Como resultado, os usuários podem acessá-los de qualquer sistema ou dispositivo de
computação.


Como funciona a comunicação por e-

mail?
Fluxo Típico de um
E-mail
Bob usando o Mail Alice usando o Mail

Agente do usuário (MUA)
Agente do usuário (MUA)
SMTP
POP3/
IMAP
SMTP SMTP
Agente de Transferência de Correio Agente de Transferência de Correio Agente de entrega de correspondência
(MTA) (MTA) (MDA)
Como funciona a comunicação por e-mail
Quando um usuário envia uma mensagem de e-mail para qualquer destinatário, ela passa por vários estágios antes
de chegar ao seu destino. Um cenário é apresentado a seguir para elaborar essas etapas:
ÿ Considere que um usuário de e-mail chamado Bob deseja enviar uma mensagem de e-mail para outro usuário
de e-mail chamado Alice. Ele compõe uma mensagem usando seu cliente de e-mail ou MUA ou um e-mail
baseado na web como o Yahoo!, especifica o endereço de e-mail de Alice e pressiona o botão enviar.
ÿ A mensagem de e-mail é recebida por um servidor MTA via SMTP que descriptografa as informações do
cabeçalho e procura o nome de domínio no endereço de e-mail de Alice. Este método
permite que o servidor MTA determine o servidor de e-mail de destino e passe a mensagem para o MTA
correspondente.
ÿ Cada vez que um servidor MTA recebe uma mensagem durante o processo de entrega de correspondência, ele
modifica suas informações de cabeçalho. Quando chega ao último MTA, é transferido para o MDA, que
guarda a mensagem na caixa postal de Alice.
ÿ O MUA de Alice então recupera a mensagem usando POP3 ou IMAP, e Alice finalmente consegue ler a
mensagem.


Figura 11.1: Como funciona a comunicação por e-mail


Compreendendo as partes de
uma mensagem de e-mail
De: Maria Wilson <mary79@abc.edu> Data: 02 de Cabeçalho
abril de 2020 19:52 Para: ford90hen@outlook.com Os cabeçalhos de e-mail contêm informações sobre
Assunto: Quando podemos nos encontrar a origem do e-mail , como o endereço de onde veio,
novamente? o roteamento, a hora da mensagem e a linha de
assunto
Olá Henry,
Os exemplos incluem Para, Cc, Bcc, De, Mensagem
Quando podemos nos reunir para trabalhar em
nosso projeto? Estou disponível a qualquer hora
Id, Responder a, Remetente, Assunto, Versão MIME
esta semana após as 17:00. Mas eu tenho alguns e Prioridade
outros compromissos na próxima semana. Eu
gostaria de me encontrar antes de nossa próxima
Corpo
aula, então envie-me um e-mail e deixe-me saber o
Esta parte contém a mensagem real enviada por
que funcionaria para você.
e-mail em HTML ou texto sem formatação
Obrigado!
Pode incluir imagens e hiperlinks
Cumprimentos,
maria wilson Assinatura

Professor Assistente, Departamento de Línguas
Isso fornece informações aos destinatários sobre
Colégio ABC
a identidade ou designação do remetente
Compreendendo as partes de uma mensagem de e-mail
A mensagem de e-mail é um texto breve e informal enviado ou recebido através de uma rede. As mensagens de e-mail são
mensagens de texto simples que também podem incluir anexos, como arquivos de imagem e planilhas.
Vários destinatários podem receber mensagens de e-mail ao mesmo tempo.
No momento, o RFC 5322 define o formato de mensagem de e-mail da Internet e o RFC 2045 até o RFC 2049 define os anexos de
conteúdo multimídia — juntos, eles são chamados de extensões de correio da Internet multiuso (MIME).
As mensagens de e-mail compreendem três seções principais:
1. Cabeçalho da mensagem
O cabeçalho da mensagem inclui os seguintes campos:
o Para especifica a quem a mensagem é endereçada. Observe que o cabeçalho “Para” nem sempre contém o endereço
do destinatário.
o Cc significa “cópia carbono”. Este cabeçalho especifica destinatários adicionais além daqueles listados no cabeçalho
“Para”. A diferença entre “To” e “Cc” é essencialmente conotativa; alguns remetentes também lidam com eles de
maneira diferente ao gerar respostas.
o Cco significa “cópia oculta”. Este cabeçalho envia cópias de e-mails para pessoas que podem não querer receber
respostas ou aparecer nos cabeçalhos. As cópias ocultas são populares entre os spammers porque confundem
muitos usuários inexperientes que recebem um e-mail que não tem seu endereço ou não parece ser para eles.
o De especifica o remetente da mensagem


o Reply-To especifica um endereço para enviar respostas. Embora esse cabeçalho tenha muitos usos legítimos,
também é amplamente usado por spammers para desviar críticas. Ocasionalmente, um spammer nativo
solicitará respostas por e-mail e usará o cabeçalho "Responder para" para coletá-las, mas, com mais
frequência, o endereço especificado no lixo eletrônico é inválido ou é de uma vítima inocente.
o Remetente é incomum em e-mail (“X-Sender” é geralmente usado em seu lugar), mas aparece ocasionalmente,
especialmente em cópias de postagens da Usenet. Deve identificar o remetente; no caso de postagens da
Usenet, é um identificador mais confiável do que a linha “De”.
o Assunto é um campo totalmente livre especificado pelo remetente para descrever o assunto
da mensagem
o Data especifica a data de criação e envio do e-mail. Se o computador do remetente omitir esse cabeçalho, um
servidor de correio ou alguma outra máquina pode adicioná-lo, mesmo ao longo da rota.
o MIME-Version é outro cabeçalho MIME que reflete a versão do protocolo MIME
o Prioridade é um cabeçalho essencialmente de formato livre que atribui uma prioridade ao e-mail. A maioria
dos softwares o ignora. Os spammers costumam usá-lo na tentativa de fazer com que suas mensagens
sejam lidas.
2. Corpo da mensagem
O corpo do e-mail transmite a mensagem e às vezes inclui um bloco de assinatura no final. Uma linha em branco
separa o cabeçalho e o corpo. Em um e-mail, o corpo ou texto sempre vem após as linhas do cabeçalho.
O corpo do e-mail é a mensagem principal do e-mail que contém texto, imagens, hiperlinks e outros dados (como
anexos). O corpo do e-mail exibe anexos separados que aparecem alinhados com o texto. O padrão de e-mail
da Internet não estabeleceu nenhuma limitação no tamanho do corpo de um e-mail. No entanto, servidores de
correio individuais têm limites de tamanho de mensagem.
3. Assinatura
Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final da mensagem
de e-mail que consiste no nome e detalhes de contato do remetente do e-mail. Pode conter texto simples ou
imagens.


Figura 11.2: Partes de uma mensagem de e-mail


Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Entenda a investigação de crimes por e-mail e suas etapas

A investigação de crimes por e-mail é conduzida principalmente para examinar o conteúdo, bem como a
origem de qualquer mensagem de e-mail considerada ofensiva ou suspeita de falsificação. Esta seção
define a investigação de crimes por e-mail e detalha as etapas que os investigadores precisam seguir
ao investigar crimes por e-mail.


Introdução à investigação criminal por e-mail
A investigação de crimes por e-mail envolve o exame da origem e do conteúdo das mensagens de e-mail como prova
Isso permite que os investigadores identifiquem o tipo de fraude por e-mail realizada, o criminoso e sua intenção maliciosa
O crime por e-mail pode ser categorizado de duas maneiras
Crimes cometidos por envio de e-mail Crimes apoiados por e-mails
Spamming bombardeio de correio Fraude de Identidade
Phishing Tempestades de Correio Cyberstalking rapto de criança
Introdução à investigação criminal por e-mail
A investigação de crimes por e-mail envolve a extração, aquisição, análise e recuperação de mensagens de e-mail
relacionadas a qualquer cibercrime. A análise detalhada das mensagens de e-mail ajuda os investigadores a reunir
evidências úteis, como a data e a hora em que a mensagem de e-mail foi enviada, o endereço IP real do remetente
e do destinatário e qual mecanismo de falsificação foi usado. Os investigadores precisam usar muitas ferramentas
forenses para extrair metadados de cabeçalhos de e-mail. Isso os ajuda a localizar o criminoso por trás do crime e
relatar as descobertas para processá-los no tribunal.
As investigações de atividades criminosas ou violações de políticas relacionadas a e-mails são semelhantes a

outros tipos de investigações de crimes de computador. Os crimes de e-mail podem ser categorizados de duas
maneiras: uma cometida por meio do envio de e-mails e outra apoiada por e-mail. Quando os criminosos usam
spam, e-mail falso, bombardeio de e-mail ou tempestades de e-mail para vender narcóticos, perseguir, cometer
fraudes ou sequestrar crianças, pode-se dizer que esses e-mails apóiam o crime cibernético.
Vamos discutir em detalhes os crimes cometidos pelo envio de e-mails.
ÿ Spamming de E-mail
O spam não é solicitado por e-mail comercial ou lixo eletrônico. O correio de spam envolve o envio do
mesmo conteúdo para um grande número de endereços ao mesmo tempo. O spam ou lixo eletrônico
preenche as caixas de correio e impede que os usuários acessem seus emails regulares. Esses e-mails
regulares começam a ser devolvidos porque o servidor excedeu seu limite de capacidade. Spammers
escondem suas identidades falsificando o cabeçalho do e-mail. Para evitar a obtenção de respostas de
destinatários irritados, os spammers fornecem informações enganosas nos campos FROM e REPLY-TO e
as publicam em uma lista de discussão ou grupo de notícias.


Figura 11.3: Cabeçalhos de assunto de e-mails de spam
ÿ Phishing
O phishing surgiu como um método eficaz para roubar dados pessoais e confidenciais dos usuários. É um golpe
da Internet que engana os usuários para que divulguem suas informações pessoais e confidenciais, fazendo
declarações e ofertas interessantes. Os phishers podem atacar os usuários enviando mensagens em massa para
milhões de endereços de e-mail em todo o mundo.
O ataque de phishing engana e convence o usuário com conteúdo técnico falso junto com práticas de engenharia
social. A principal tarefa dos phishers é fazer com que as vítimas acreditem que os sites de phishing são legítimos.
As fontes que podem ser personificadas incluem páginas da web, mensagens instantâneas, e-mails e Internet
Relay Chat. A maioria dos ataques de phishing é feita por e-mail, onde o usuário recebe um e-mail que o engana
para seguir o link fornecido, levando-o a um site de phishing. O e-mail pode conter uma mensagem informando
que uma determinada transação ocorreu na conta do usuário e pode ter um link para verificar seu saldo ou pode
conter um link para realizar uma verificação de segurança da conta do usuário.
A seguir, são apresentados alguns tipos de ataques de phishing:
o Spear Phishing ocorre quando, em vez de enviar milhares de e-mails, alguns invasores usam conteúdo
especializado de engenharia social direcionado a um funcionário específico ou a um pequeno grupo de
funcionários de uma organização específica para roubar dados confidenciais, como informações financeiras e
segredos comerciais. As mensagens de spear phishing parecem ser de uma fonte confiável com um site de
aparência oficial. O e-mail também parece ser de um indivíduo da empresa do destinatário, geralmente alguém
em posição de autoridade.
No entanto, a mensagem é realmente enviada por um invasor que tenta obter informações críticas sobre um
destinatário específico e sua organização, como credenciais de login, detalhes de cartão de crédito, números
de contas bancárias, senhas, documentos confidenciais, informações financeiras e segredos comerciais.
Spear phishing gera uma taxa de resposta mais alta em comparação com um ataque de phishing normal, pois
parece ser de um confiável
fonte da empresa.


o Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs, políticos e celebridades
que têm acesso total a informações confidenciais e altamente valiosas. É um truque de engenharia social no qual o
invasor engana a vítima para revelar informações corporativas e pessoais críticas (como detalhes de contas bancárias,
detalhes de funcionários, informações de clientes e detalhes de cartão de crédito), geralmente por e-mail ou falsificação
de site. Whaling é diferente de um ataque de phishing; nesse caso, o e-mail ou site usado para o ataque é
cuidadosamente projetado para atingir alguém da liderança executiva em particular.
o Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou
servidor da vítima. Quando a vítima insere qualquer URL ou nome de domínio, ela redireciona automaticamente o
tráfego da vítima para um site controlado pelo invasor. Esse ataque também é conhecido como “Phishing sem isca”: o
invasor rouba informações confidenciais, como credenciais, dados bancários e outras informações relacionadas a
serviços baseados na web. Os ataques de pharming podem ser executados de duas maneiras, ou seja, envenenamento
de cache do Sistema de Nomes de Domínio (DNS) e modificação do arquivo do host.
o Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa
mensagens instantâneas como uma ferramenta para espalhar spam. Uma pessoa que gera spam por meio de
mensagens instantâneas é chamada de spimmer. Um spimmer geralmente usa bots (um aplicativo que executa tarefas
automatizadas pela rede) para coletar IDs de mensagens instantâneas e encaminhar a mensagem de spam para eles.
As mensagens SPIM, semelhantes aos spams de e-mail, geralmente incluem anúncios e malware como anexo ou
hiperlink incorporado. Um usuário que clica no anexo é redirecionado para um site malicioso, que coleta informações
financeiras e pessoais, como credenciais, contas bancárias e detalhes de cartão de crédito.
ÿ Bombardeio de Correio
O bombardeio por e-mail refere-se ao processo de envio repetido de uma mensagem de e-mail para um endereço específico
no site de uma vítima específica. Em muitos casos, as mensagens serão preenchidas com dados inúteis destinados a
consumir mais capacidade do sistema e da rede.
Várias contas no site de destino podem sofrer abuso, aumentando o impacto da negação de serviço. Mail bombing é um ato
intencional de enviar várias cópias de conteúdo idêntico para o mesmo destinatário. O principal objetivo por trás disso é
sobrecarregar o servidor de e-mail e degradar o sistema de comunicação, tornando-o inutilizável. Normalmente, um homem-
bomba e a vítima se conhecem. Postagens em grupos de notícias que não concordam com a opinião do destinatário também
resultam em bombardeio de e-mail. O alvo em tais casos pode ser uma máquina específica ou uma pessoa em particular. O
bombardeio de e-mails é mais abusivo do que o spam porque não apenas envia e-mails em quantidades excessivas para
um indivíduo, mas também impede que outros usuários acessem seus e-mails usando o mesmo servidor.
ÿ Tempestades de Correio
Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
A enxurrada de correspondências indesejadas enviadas por acidente é uma tempestade de correspondências. Uso de listas
de e-mail, encaminhamento automático de e-mails, resposta automática e presença de mais de um e-mail


endereço são as várias causas de uma tempestade de correio. O código de software malicioso também é escrito
para criar tempestades de e-mail, como a mensagem “Melissa, I-Care-For-U”. As tempestades de correio
atrapalham os sistemas de comunicação e os tornam inoperáveis.
Foquemo-nos agora nos crimes sustentados por e-mails.
ÿ Fraude de Identidade
Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de outras pessoas para ganhos maliciosos
e monetários. O roubo de identidade é um crime que está rapidamente ganhando popularidade. É o ato intencional
de roubar a identidade de alguém para obter benefícios monetários. Os criminosos obtêm informações pessoais
sobre uma pessoa e as usam indevidamente, causando grandes perdas financeiras à vítima.
Sites de compras on-line com representações falsas e e-mails de spam com ofertas irresistíveis são os meios mais
comuns usados para obter os números do cartão de crédito da vítima.
Depois que o usuário faz um pedido online, os criminosos podem interceptar a mensagem de e-mail e usá-la. Os
criminosos não apenas retiram grandes quantias de dinheiro das contas das vítimas, mas também podem levá-las
à falência.
ÿ Ciberperseguição
Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização usando e-
mails ou mensagens instantâneas. Os invasores tentam ameaçar, fazer acusações falsas, difamar, caluniar,
caluniar ou roubar a identidade da(s) vítima(s) como parte do cyberstalking. O perseguidor pode ser alguém
associado a uma vítima ou a um estranho.
ÿ Rapto de Criança
O sequestro de crianças é o crime de remover ou reter, deter ou ocultar indevidamente uma criança ou bebê. O
rapto é definido como tirar uma pessoa por persuasão, fraude ou força aberta ou violência. Existem dois tipos de
rapto de crianças: o rapto parental e o rapto por um estranho. Os sequestros de crianças pelos pais são o tipo mais
comum, enquanto o sequestro por um estranho será classificado como sequestro.


Etapas para investigar crimes por e-mail
1 Apreendendo o computador e as contas de e-mail
2 Adquirindo os dados do e-mail
3 Examinando mensagens de e-mail
4 Recuperando cabeçalhos de e-mail
5 Analisando cabeçalhos de e-mail
6 Recuperando mensagens de e-mail excluídas
Etapas para investigar crimes por e-mail
Para encontrar, extrair e analisar evidências relacionadas a e-mails, um investigador deve seguir uma série de etapas definidas
e praticadas. Isso não apenas facilitará o processo de coleta de evidências, mas também ajudará o investigador a manter a
conformidade e a integridade.
Algumas das etapas vitais a serem seguidas durante a condução de uma investigação de crime por e-mail são as seguintes:
1. Apreendendo o computador e as contas de e-mail
2. Obtendo os dados do e-mail
3. Examinando mensagens de e-mail
4. Recuperando cabeçalhos de e-mail
5. Analisando cabeçalhos de e-mail
6. Recuperando mensagens de e-mail excluídas


Etapa 1: Apreender o computador e as contas de e-mail
ÿ Obtenha um mandado de busca que deve incluir permissão para atuar em

exame do site do computador do suspeito e do servidor de e-mail usado para enviar os e-
mails sob investigação
ÿ Apreender todos os computadores e contas de e-mail suspeitos de estarem envolvidos no

crime
ÿ Você pode apreender as contas de e-mail alterando a senha existente da conta de e-

mail, seja perguntando ao suspeito sua senha ou obtendo-a do servidor de e-mail
Etapa 1: Apreender o computador e as contas de e-mail

Para realizar o exame no local do computador e servidor de e-mail, um investigador deve obter
um pedido de mandado de busca no idioma apropriado. Em seguida, devem realizar perícia nos
equipamentos permitidos, conforme mencionado no mandado. Todos os computadores e contas
de e-mail suspeitos de envolvimento no crime devem ser apreendidos. O investigador pode
apreender as contas de e-mail alterando sua senha existente – seja solicitando a senha da vítima
ou obtendo-a do servidor de e-mail.
Se a vítima for uma organização corporativa, o investigador deve obter permissão das autoridades
envolvidas e colaborar com a rede interna e os administradores do sistema para entender suas
políticas e cumprir seus regulamentos de segurança de dados.


Passo 2: Adquirindo os dados de e-mail
ÿ A próxima etapa em uma investigação de crime por e-mail é adquirir o

dados de e-mail para análise forense
ÿ Antes de adquirir dados de e-mail, o investigador deve considerar os seguintes

cenários: ÿ O suspeito acessa seus e-mails por meio de qualquer cliente de
e-mail baseado em desktop
ÿ O suspeito tem uma conta de e-mail baseada na web na qual o crime foi
ocorreu
ÿ Os métodos de aquisição de dados de e-mail seriam diferentes para cada

cenário
Passo 2: Adquirindo os dados de e-mail
Uma vez que o computador e as contas de e-mail foram apreendidos, o próximo passo é adquirir os dados de e-mail para
análise forense. A aquisição de dados de e-mail depende dos seguintes cenários:
ÿ O suspeito tem acedido a e-mails através de clientes de e-mail baseados no ambiente de trabalho, como o Outlook
e Mozilla Thunderbird
ÿ O suspeito tem uma conta de e-mail baseada na web a que acedeu através do navegador
O investigador precisa escolher o processo de aquisição de acordo com a situação na cena do crime.


Adquirindo dados de e-mail de clientes de e-mail baseados em desktop
Quando um crime de e-mail é suspeito de ter ocorrido na máquina de um usuário usando clientes de e-mail, as
principais fontes de evidência são as pastas locais e arquivos arquivados armazenados por esses programas que
contêm informações sobre todas as atividades de e-mail.
Os investigadores forenses precisam localizar as pastas locais e

recuperar as mensagens de e-mail usando as ferramentas forenses certas
para um exame mais aprofundado
Ao adquirir dados de e-mail dos arquivos locais, os investigadores devem ter o

cuidado de reunir todos os arquivos, pois os arquivos locais podem ser divididos
em vários arquivos que armazenam dados separadamente
Adquirindo dados de e-mail de clientes de e-mail baseados em desktop
Muitos usuários preferem clientes de e-mail baseados em desktop, como Microsoft Outlook, Mozilla Thunderbird
e Apple Mail, para enviar/receber e-mails. Quando um crime de e-mail é suspeito de ter ocorrido na máquina de
um usuário usando clientes de e-mail, as principais fontes de evidência são as pastas locais e arquivos
armazenados por esses programas que contêm informações sobre todas as atividades de e-mail. O trabalho do
investigador forense é localizar as pastas locais e extrair todas as mensagens de e-mail usando a ferramenta
forense correta e armazenar as cópias em um local seguro.
Arquivos/bancos de dados de e-mail locais criados por clientes de e-mail podem ser salvos em vários locais no
computador do suspeito. O investigador precisa identificar cuidadosamente todos os arquivos de e-mail locais e
adquirir as mensagens de e-mail relevantes relacionadas ao crime.


Arquivos de e-mail locais no Microsoft Outlook
ÿ Quando os usuários configuram suas contas de e-mail no Outlook, ele cria uma cópia local
de todas as informações de e-mail em dois tipos de formatos de arquivo:
Tabela de armazenamento pessoal (.pst)
ÿ Certos tipos de contas POP usam o arquivo .pst para salvar as informações da
caixa de correio no computador local
ÿ Por padrão, os arquivos .pst são armazenados em

C:\Users\%USERNAME%\Documentos\Arquivos do Outlook
Tabela de armazenamento off-line (.ost)
ÿ Tipos de conta, como Microsoft Exchange,

As contas do Office 365 e IMAP armazenam uma cópia dos
componentes da caixa de correio em um arquivo .ost
ÿ Por padrão, os arquivos .ost estão localizados em

C:\Users\%USERNAME%\AppData\Local\Mi crosoft\Outlook
Arquivos de e-mail locais no Microsoft Outlook (continuação)
Artefatos de e-mail também podem ser encontrados na pasta

Arquivo, que é uma pasta padrão criada pelo Outlook junto com
pastas como Caixa de entrada, Rascunhos e Itens enviados
Outlook 2010, 2013 e 2016 têm um Outlook Auto

Recurso de arquivo que permite aos usuários mover
mensagens de e-mail e outros itens importantes para uma pasta de arquivo
Para saber a localização dos dados do Outlook 2016 Auto Archive na máquina
do suspeito, navegue até Arquivo > Opções > Avançado >
Configurações de arquivamento automático
O Outlook salva os dados arquivados no formato de arquivo .pst
Arquivos de e-mail locais no Microsoft Outlook
Quando uma conta de e-mail é sincronizada com o aplicativo da área de trabalho do Microsoft Outlook, ela cria uma cópia
local de todas as pastas de e-mail nos dois formatos a seguir:
ÿ Tabela de armazenamento pessoal (.pst)
Geralmente, as contas pop armazenam todas as informações de e-mail em um formato de arquivo .pst no Outlook.
As mensagens de e-mail, contato, calendário e outros dados de tarefas são baixados automaticamente


do servidor de correio e salvo localmente no disco rígido. No Outlook 2013 e versões anteriores, os arquivos .pst
eram usados por contas IMAP. No entanto, no Outlook 2016, as mensagens de email de todas as contas IMAP são
salvas no formato de arquivo .ost . A localização padrão dos arquivos .pst no Outlook 2016 é C:\Users\%USERNAME%
\Documents\Outlook Files
ÿ Tabela de armazenamento offline (.ost)
Tipos de conta como Outlook.com, Outlook para Office 365, Microsoft Exchange e IMAP copiam todos os componentes
da caixa de correio no formato de arquivo .ost . Como e-mails, contatos, calendário e outros dados não são retirados
do servidor, como contas pop, os usuários podem acessar seus e-mails mesmo quando não possuem conexão com
a Internet. Todas as informações da caixa de correio são atualizadas quando a conexão é reativada. Por padrão, o
arquivo .ost no Outlook 2016 é salvo no seguinte local: C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook.
Figura 11.4: Arquivo .ost e sua localização conforme criado pelo Microsoft Outlook
O investigador também pode extrair artefatos relacionados a e-mail de arquivos, uma pasta padrão criada pelo aplicativo
Outlook que permite aos usuários salvar e-mails antigos. Os recursos de AutoArquivar estão disponíveis nas versões do
Outlook 2013, 2016 e 2019 e permitem que os usuários arquivem emails automaticamente em intervalos regulares. Esses
arquivos compactados são armazenados no formato .pst .
Para determinar a localização do arquivo do Outlook, o investigador precisa obter as credenciais do suspeito, abrir o aplicativo
Outlook e navegar até Arquivo ÿ Opções ÿ Avançado ÿ Configurações de autoarquivamento.


Figura 11.5: Navegando para configurações de autoarquivamento no Microsoft Outlook
Figura 11.6: Encontrando o local da pasta Archive no Outlook


Adquirindo arquivos de e-mail local do Thunderbird via

SysTools MailPro+
Use ferramentas como SysTools Mailpro+

para examinar arquivos e pastas de e-mail
locais e coletá-los como evidência
Você pode selecionar um ou mais arquivos

mbox ou pastas de e-mail locais específicas
para aquisição e análise forense
Mailpro+ oferece seis visualizações

diferentes para ver as mensagens extraídas do
Pastas locais do Thunderbird
https:// www.systoolsgroup.com
Adquirindo e-mail local do Thunderbird

Arquivos via SysTools MailPro+ (continuação)
ÿ Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para
adquiri-los
ÿ Você pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de
e-mail selecionadas na pasta de destino escolhida
https:// www.systoolsgroup.com
Adquirindo arquivos de e-mail local do Thunderbird via SysTools MailPro+
Como investigador forense, você pode usar ferramentas como SysTools MailPro+ para adquirir dados de
arquivos de e-mail locais armazenados pelo Thunderbird. Eles podem selecionar um ou mais arquivos mbox ou
pastas de e-mail locais específicas para aquisição e análise forense. As figuras abaixo mostram a aquisição da
pasta Lixeira de uma conta de e-mail suspeita usando o SysTools MailPro+


Figura 11.7: Analisando e-mails recuperados da pasta Lixeira de uma conta de e-mail suspeita
Figura 11.8: Examinando a visualização HTML de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Figura 11.9: Recuperando o anexo de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para adquiri-las. Você
pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de e-mail selecionadas
na pasta de destino escolhida.


Figura 11.10: Selecionando formato de saída, destino e convenção de nomenclatura ao exportar mensagens de e-mail recuperadas
SysTools Mailpro+
Fonte: https:// www.systoolsgroup.com
É um utilitário versátil e completo para visualizar, pesquisar e exportar e-mails de vários clientes de e-mail.
Características
ÿ Suporta mais de 12 formatos de arquivo de e-mail
ÿ Leia a caixa de correio de qualquer tipo de arquivo de e-mail
ÿ Pesquise e-mails nos arquivos de e-mail de origem com apenas alguns cliques
ÿ Crie e salve coleções para facilitar o gerenciamento da caixa de correio
ÿ Pesquise e extraia e-mails do disco rígido ou armazenamento externo
ÿ Adicione arquivos em três modos ao painel do software
ÿ Exporte e-mails para os tipos de arquivo .pst, .pdf, .msg, .html, .eml, .tiff e .csv
ÿ Visualize tipos de anexos como JPG, GIF, PNG, DOC e PDF
Visualizando e-mails
Esta ferramenta fornece uma visualização de e-mails em vários modos, como mostrado abaixo:
ÿ Visualização Hexadecimal Normal
Ele mostra e-mails junto com atributos como Para, CC, BCC, Assunto, Data e Hora


ÿ Visão Hexadecimal
Ele mostra e-mails em código hexadecimal de maneira bit a bit
ÿ Visualização de Propriedades
Ele exibe propriedades associadas a e-mails, como sinalizadores de mensagem, destinatários e remetentes
ÿ Visualização do cabeçalho da mensagem
Ele fornece detalhes de visualização, como X-Priority, ID da mensagem, Thread-Index, Content-Type e outras informações
ÿ Visualização MIME
Mostra e-mails em formato MIME com vários detalhes
ÿ Visualização HTML
Exibe e-mails em HTML com todas as tags e corpo
ÿ Visualização RTF
ÿ Isso fornece uma visualização de e-mails em formato de texto simples
ÿ Visualização de Anexos
Isso permite que os usuários visualizem os anexos em e-mails
ÿ Visão Hierárquica
Isso mostra a visão hierárquica da pasta que contém o arquivo de origem


Etapa 3: Examinando mensagens de e-mail

Ao olhar para as mensagens de e-mail adquiridas, você precisa examinar de perto as seguintes áreas:
Assunto
1 Este campo é importante porque resume a mensagem
contida naquele e-mail; a maioria dos assuntos de e-mail de spam
cria um senso de urgência, levando os usuários a abrir o e-mail
Endereço de e-mail do remetente

Os invasores geralmente falsificam esse endereço para torná-lo
2 legítimo para o usuário. Você pode ver aqui que a equipe de suporte
ao cliente do abc bank está usando uma conta do Gmail em vez do
respectivo domínio do banco, o que é suspeito.
Corpo do e-mail
3 Um corpo de e-mail falsificado pode conter links/hiperlinks diretos
projetados para induzir os usuários a fornecer detalhes confidenciais
Anexo do email
Os invasores podem incorporar arquivos javascript, VBScript
4 ou .exe maliciosos nos documentos e arquivos PDF enviados como
anexos. Você precisa examinar esses anexos
dentro de um ambiente forense controlado.
Etapa 3: Examinando mensagens de e-mail
Figura 11.11: Examinando mensagens de e-mail


Os investigadores forenses devem examinar de perto as seguintes áreas ao inspecionar as mensagens de e-mail
adquiridas:
1. Assunto
Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende transmitir. A
maioria dos e-mails falsificados é projetada para criar uma sensação de pânico/urgência que induz a vítima
a abrir o e-mail e examinar seu conteúdo.
2. Endereço de e-mail do remetente
Os invasores enganam os usuários-alvo fazendo com que os e-mails suspeitos pareçam autênticos. Por
exemplo, um e-mail que aparece em nome de um banco, mas que usa uma conta do Gmail em vez do
domínio do respectivo banco, é um forte indicador de falsificação.
3. Corpo do e-mail
O corpo do e-mail contém a mensagem principal do e-mail. Um corpo de e-mail falsificado pode incluir links/
hiperlinks diretos que induzem os usuários a fornecer detalhes confidenciais. O corpo de um e-mail falsificado
geralmente tem linguagem/frases mal estruturadas que não parecem profissionais.
4. Anexo de e-mail
Os invasores geralmente enviam documentos ou cópias em PDF com extensões como .exe, .vbs, .js, .wsf
e .zip como anexos em e-mails. Esses anexos são projetados para executar programas ocultos, como
spyware e malware, no sistema de computação do usuário, que podem comprometer dados confidenciais.


Etapa 4: Recuperando cabeçalhos de e-mail
Se um e-mail ofensivo for identificado ou houver suspeita de falsificação, os

investigadores devem examinar as informações do cabeçalho 1
O cabeçalho do e-mail desempenha um papel vital na investigação forense, pois contém
informações detalhadas sobre a origem do e-mail, o que pode ajudar os investigadores a reunir
evidências de apoio e identificar o culpado por trás do crime.
2
3
As informações do cabeçalho do e-mail podem ser recuperadas após a aquisição
das mensagens de e-mail
Se o investigador estiver acessando fisicamente o computador do suspeito, ele poderá visualizar o

cabeçalho do e-mail usando o mesmo programa de e-mail usado pelo suspeito. Este processo é
diferente para diferentes programas de e-mail.
4
Etapa 4: Recuperando cabeçalhos de e-mail
Os cabeçalhos de e-mail são um componente vital de um e-mail que pode ajudar os investigadores a rastrear
a origem de um e-mail. Esses cabeçalhos fornecem informações sobre o remetente e o destinatário do e-
mail. Esses detalhes sobre a fonte e o(s) destinatário(s) são fornecidos usando os cabeçalhos “De” e “Para”,
respectivamente.
Os cabeçalhos também contêm informações sobre o caminho percorrido por um e-mail durante o trânsito.
Cada MTA que recebe a mensagem de e-mail, à medida que ela viaja de sua origem para o destino, altera a
seção do cabeçalho do e-mail. Portanto, os investigadores devem examinar a seção do cabeçalho do e-mail
e, assim, obter dados cruciais de valor probatório e rastrear o perpetrador.
Os investigadores podem recuperar informações de cabeçalho de qualquer mensagem de e-mail após sua
aquisição. Caso tenham acesso físico ao sistema do suspeito, podem usar o mesmo programa de e-mail
usado pelo suspeito para visualizar os e-mails. O procedimento para recuperar cabeçalhos de e-mail difere
em cada programa de e-mail.


Recuperando cabeçalhos de e-mail no Microsoft Outlook
As etapas abaixo referem-se ao aplicativo de desktop

Microsoft Outlook 2016:
Inicie o Microsoft Outlook e clique duas vezes na mensagem de e-mail
Clique no botão Arquivo localizado no canto superior esquerdo e, em seguida, no botão
ícone de propriedades
Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da

mensagem na caixa Cabeçalhos da Internet , copie e cole o texto em qualquer editor
de texto e salve o arquivo
Recuperando cabeçalhos de e-mail no Microsoft Outlook
As etapas abaixo referem-se ao aplicativo de desktop Microsoft Outlook 2016:
1. Inicie o aplicativo da área de trabalho do Microsoft Outlook
2. Revise todas as mensagens de e-mail da conta de e-mail do suspeito e clique duas vezes no e-mail
mensagem que deseja salvar
3. Clique no botão Arquivo localizado no canto superior esquerdo e depois no ícone Propriedades.
4. Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da mensagem da Internet
caixa de cabeçalhos
5. Copie e cole o texto em qualquer editor de texto e salve o arquivo
Assim, você pode salvar o texto dos cabeçalhos de todas as mensagens de e-mail necessárias para conduzir uma
investigação mais aprofundada sobre elas.


Figura 11.12: O ícone de arquivo no aplicativo de desktop do Microsoft Outlook
Figura 11.13: Guia Propriedades mostrando o texto do cabeçalho da mensagem


Recuperando
cabeçalhos de e-mail
no Microsoft Outlook.com
ÿ Faça logon no Microsoft Outlook.com e selecione o e-mail recebido

para o qual você gostaria de ver os cabeçalhos
ÿ Clique no botão suspenso Mais ações e navegue até a

opção Exibir detalhes da mensagem
ÿ Selecione o texto do cabeçalho da mensagem na caixa Detalhes da
mensagem , copie e cole o texto em qualquer editor de texto e salve
o arquivo
Recuperando cabeçalhos de e-mail no Microsoft Outlook.com
As etapas demonstradas abaixo referem-se ao aplicativo da Web do Microsoft Outlook:
1. Faça logon no Microsoft Outlook.com
2. Clique no e-mail para o qual você gostaria de ver os cabeçalhos
3. Clique no botão suspenso Mais ações, navegue até a opção Exibir detalhes da mensagem
e clique nele
4. Selecione o texto do cabeçalho da mensagem na caixa Detalhes da mensagem, copie e cole o texto em
qualquer editor de texto e salve o arquivo


Figura 11.14: Navegando para Mais ações ÿ Exibir detalhes da mensagem
Figura 11.15: Texto do cabeçalho da mensagem conforme encontrado na caixa Detalhes da mensagem


Recuperando
Cabeçalhos de e-
mail no Gmail
Faça login no Gmail e selecione o e-mail recebido para o qual você

gostaria de ver os cabeçalhos
Clique no botão suspenso mais e navegue até o

Mostrar opção original
Selecione o texto do cabeçalho da mensagem, copie e cole o texto

em qualquer editor de texto e salve o arquivo
Recuperando cabeçalhos de e-mail no Gmail
1. Faça login no Gmail
2. Selecione o e-mail recebido para o qual você gostaria de ver os cabeçalhos
3. Clique no botão suspenso Mais e navegue até a opção Mostrar original
4. Selecione o texto do cabeçalho da mensagem, copie e cole o texto em qualquer editor de texto e salve o
arquivo


Figura 11.16: Navegando para Mais ÿ Mostrar original no Gmail
Figura 11.17: Texto do cabeçalho da mensagem


Etapa 5: analisando cabeçalhos de e-mail

Timestamp: Mostra a data e hora em que o e-mail foi
01 enviado
De: mostra o ID do e-mail do remetente , visível para o

02 destinatário; isso pode ser forjado em caso de e-mails de spam
03 Para: Mostra o ID de e-mail do destinatário
ID da mensagem: de acordo com RFC 2822, uma mensagem de e-mail específica

deve ter um identificador de mensagem globalmente exclusivo A primeira parte
da ID da mensagem antes de '@' contém o carimbo de data/hora do e-mail
04 (1587617857 no formato de época Unix converte para quinta-feira, 23 de abril de

2020 04 :57:37 am em UTC)
A parte do ID da mensagem após '@' contém o nome de domínio totalmente
qualificado (aqui, o nome de domínio é mail.yahoo.com)
05 Subject: Mostra o assunto conforme informado pelo remetente
Versão MIME: Extensões de correio da Internet multifuncionais são
06 usadas para oferecer suporte a anexos que não sejam de texto, como
vídeo, imagens e áudio, e a versão padrão é 1.0
Analisando cabeçalhos de e-mail (continuação)

07 Cabeçalho Recebido
ÿ As entradas nos cabeçalhos recebidos são de valor forense significativo, pois não podem ser falsificadas , ao contrário de outros elementos de cabeçalho de e-mail
ÿ O número de cabeçalhos recebidos encontrados em uma mensagem de e-mail depende dos servidores de e-mail que processaram a mensagem conforme ela foi
viajou da origem ao destino
ÿ Os investigadores devem começar com o cabeçalho recebido mais abaixo (B), pois é o mais próximo da fonte e, em seguida, mover-se em direção ao topo
cabeçalhos (A)
ÿ Aqui, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou (sonic302-
19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora em PDT


08 Return-Path
ÿ É o endereço de devolução para e-mails enviados, mas não entregues ao destinatário ÿ Se o
endereço de e-mail do remetente e o endereço do caminho de retorno forem diferentes, isso geralmente indica falsificação de e-mail
09 Recebido-SPF
ÿ Sender Policy Framework ou SPF refere-se ao processo que permite às organizações mencionar servidores que podem
enviar e-mails em nome de seus domínios
ÿ Um cabeçalho de e-mail mostrando uma falha na verificação de SPF pode ajudar a detectar mensagens de spam

10 Assinatura DomainKeys Identified Mail (DKIM)
ÿ Oferece uma forma criptográfica de verificar se um e-mail recebido realmente se originou do

domínio de envio
Diferentes elementos da assinatura DKIM

O campo "v=" representa a versão da assinatura DKIM, que deve sempre ser definida como 1
O campo "a=" mostra o algoritmo (sha256) usado para gerar a assinatura O campo "c=" indica
o algoritmo de canonização usado. Mostra se há alguma modificação no e-mail em termos de
espaço em branco ou quebra de linha; o primeiro valor antes de "/" é para o cabeçalho e o restante é
para o corpo "d=" campo refere-se ao domínio do remetente
O campo "s=" refere-se ao seletor para identificar a chave pública do

DNS O campo "t=" denota o carimbo de data/hora da assinatura no horário da época Unix e deve
sempre corresponder ou estar próximo ao horário refletido nos campos Cabeçalho recebido e ID da
mensagem " bh=" campo é o hash para o corpo de acordo com o algoritmo de hash em uso e, em
seguida, codificado em Base64
O campo "b=" inclui a assinatura DKIM que deve ser calculada de acordo com o campo de cabeçalho
mencionado no campo "h="
Etapa 5: analisando cabeçalhos de e-mail
A análise de cabeçalhos de e-mail é um aspecto crucial das investigações de crimes por e-mail, pois eles armazenam
metadados de e-mail e outras informações. Os seguintes detalhes estão contidos nos cabeçalhos do e-mail:
1. Carimbo de data/hora
Isso reflete a data e a hora em que um e-mail foi enviado


2. De
Este cabeçalho exibe o ID de e-mail do remetente conforme visto no final do destinatário. O cabeçalho “De” pode
ser falsificado no caso de e-mails de spam.
3. Para
Este cabeçalho exibe o ID de e-mail do destinatário
4. ID da mensagem
Cada mensagem de e-mail tem um ID exclusivo associado a ela. Dois e-mails, mesmo na mesma cadeia de e-
mail, não podem ter o mesmo ID de mensagem. Esses IDs de mensagem são gerados pelo servidor MTA/mail
globalmente exclusivo do sistema de envio de email. O ID de mensagem exclusivo globalmente de uma mensagem
de e-mail é um indicador de sua autenticidade. A parte antes do “@” em um ID de mensagem denota o carimbo
de data/hora associado a essa mensagem de e-mail específica. A parte do ID da mensagem após “@” denota o
nome de domínio totalmente qualificado (FQDN), que mostra o nome de domínio completo de um host/servidor na
Internet.
5. Assunto
Este cabeçalho exibe o assunto conforme fornecido pelo remetente
6. MIME
O Multi-Purpose Internet Mail Extension (MIME) permite que os usuários de e-mail enviem arquivos de mídia como
áudio, vídeo e imagens como parte da mensagem de e-mail
Exemplos de Cabeçalhos MIME
o MIME-Version: Este cabeçalho mostra que a mensagem está no formato MIME. Por padrão,
este cabeçalho é definido com um valor de 1,0.
o Content-Type: Este cabeçalho especifica o tipo de conteúdo e subtipo em uma mensagem como
como o seguinte:
• Text/plain mostra o tipo de mensagem
• Áudio/mp3, imagem/jpeg, vídeo/mp4, respectivamente, representam mensagens de e-mail

contendo arquivos de áudio, arquivos de imagem e arquivos de vídeo
• Multiparte/assinatura mostra que uma mensagem de e-mail tem uma assinatura
• Multipart/mixed indica que um e-mail tem texto junto com anexos
o Disposição de Conteúdo: Este cabeçalho especifica como uma mensagem, ou parte de seu corpo, deve ser
apresentado
o Codificação de transferência de conteúdo: Este cabeçalho representa a codificação contida no

mensagem
o Descrição do conteúdo: Este é um cabeçalho MIME opcional usado para fornecer

informações pertencentes ao conteúdo de uma mensagem de e-mail


Figura 11.18: Analisando cabeçalhos de e-mail
7. Cabeçalho Recebido
O cabeçalho recebido contém detalhes de todos os servidores de correio através dos quais uma mensagem de
e-mail passa enquanto está em trânsito. Esses cabeçalhos são gerados sempre que um e-mail é transmitido
por meio de um servidor de e-mail/MTA em sua rota para o destinatário.
Sempre que qualquer servidor SMTP recebe uma mensagem de e-mail, um cabeçalho recebido é adicionado
ao e-mail. No cabeçalho do e-mail, os cabeçalhos recebidos são colocados na ordem inversa, de modo que o
cabeçalho recebido mais recente ou o último gerado apareça primeiro (no topo marcado por A na figura abaixo)
e o cabeçalho recebido que foi gerado primeiro apareça por último (no fundo marcado por B na figura abaixo).
Portanto, os investigadores precisam começar a examinar o cabeçalho recebido mais abaixo, pois ele reflete
informações sobre o servidor de correio do remetente. Em seguida, eles podem prosseguir para o topo, que
fornecerá dados sobre o servidor de correio e o endereço IP associado ao destinatário.


Na figura abaixo, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou
(sonic302-19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora no
PDT.
Figura 11.19: Analisando cabeçalhos recebidos
8. Caminho de Retorno
Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviada/devolvida se não chegar ao destinatário pretendido. Quando um e-mail não chega ao destinatário
pretendido, ele é devolvido. Ou seja, ele é devolvido ao remetente do e-mail, a menos que o remetente
especifique um endereço de e-mail diferente para onde os e-mails devolvidos devem ser enviados. Se o
endereço do caminho de retorno e o endereço de e-mail do remetente forem diferentes, isso é um indicador
de spam/spoofing.
9. Recebido-SPF
O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. O SPF permite que as
organizações designem servidores que podem enviar e-mails em nome de seus domínios. A estrutura
implementa um registro SPF, que se refere a um registro DNS adicionado à zona DNS do domínio de uma
organização. Dentro do registro SPF, uma organização pode definir os nomes de host e/ou endereços IP
autorizados a enviar e-mails de seu domínio.
Por meio da implementação do SPF, os resultados das trocas de e-mail podem ser os seguintes.
o Received-SPF: None: significa que nenhum registro SPF foi encontrado para o domínio.
o Received-SPF: Neutro: significa que o endereço IP do remetente não está autorizado nem restrito a enviar
e-mails em nome do domínio da organização. Um resultado neutro é tratado da mesma maneira que um
resultado “Nenhum”.
o Received-SPF: Pass: Isso significa que o endereço IP do remetente está autorizado a enviar e-mails do
domínio.
o Received-SPF - fail, or hard fail: Isso significa que o e-mail foi rejeitado pelo trocador de e-mails do
destinatário porque o endereço IP do remetente não está autorizado a enviar e-mails do domínio. A falha
grave do SPF é executada adicionando um mecanismo “-all” a um registro SPF.


Exemplo: v=spf1 ip4: 207.84.200.37 -all
No exemplo acima, “-all' significa que os remetentes que não estão listados no registro DNS mencionado
(ou seja, 207.84.200.37) devem ser tratados como não autorizados e os e-mails deles devem ser rejeitados.
Apenas o endereço IP 207.84.200.37 está autorizado a enviar e-mails.
o Received-SPF: Softfail: Isso significa que existe a possibilidade de que os endereços IP possam ou não ter
autorização para enviar e-mails em nome do domínio mencionado.
Exemplo: v=spf1 include:modprod.outlook.com ~all
No exemplo acima, o símbolo “~” indica que os e-mails provenientes de qualquer servidor não mencionado
aqui serão entregues, mas tratados como um softfail. Nesse caso, o provedor de caixa de correio marca a
mensagem como spam ou lixo eletrônico. Somente emails provenientes do Microsoft Office 365 serão
marcados como SPF PASS.
Figura 11.20: Analisando os campos Return-Path e Received-SPF
10. Assinatura de e-mail identificado por DomainKeys:
DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail que ajuda a proteger os
remetentes e destinatários de e-mails contra phishing, spoofing e spam.
A técnica verifica se a mensagem de e-mail recebida pelo destinatário foi enviada de um servidor de e-mail
legítimo. Esse método de autenticação de e-mail usa criptografia de chave pública para detectar e impedir a
entrega de e-mails maliciosos. Essa assinatura digital/DKIM é protegida por criptografia. O DKIM também
garante que os e-mails e seus conteúdos não sejam alterados durante o trânsito entre os servidores do
remetente e do destinatário. A maioria dos provedores de serviços de e-mail procura assinaturas DKIM em e-
mails.
O servidor de correio que recebe o e-mail pode validar a assinatura DKIM do remetente com a ajuda da chave
criptográfica pública registrada no DNS. O servidor de entrada usa essa chave pública para descriptografar a
assinatura (um valor de hash) e verificá-la com um valor de hash recém-calculado. Se os valores de dois hash
corresponderem, a mensagem será considerada autêntica e inalterada.


Exemplo de cabeçalho de assinatura DKIM
Assinatura DKIM: v=1; a=rsa-sha256; c=relaxado/ relaxado;
d=gmail.com; s=20161025pm;
h=mime-version:from:date:message-id:assunto:para;
bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=;
b=BYQQZk7S77sJJef1WEXGyTmfb8sUF6S7W8wi93lhh7WthcGjc2lk/ NfpgqVpeXrhHP
Ujuv36G1DVe6TBzdHsjdDLzs4b3sATMSAZNZAEdA44Tm5ooGJbhBQ8iNjRgD7eYWeEPL
cF0U/ eBBU1Nteh9MOqxIBJYJ1ZHGB+dz9zyfsyQAiHik3Db1GLhXCvfYdkEWydjGN2CH
7/ IdO3IJccF5z5sVwPYDz69dCKmyl3IWckXU/ KU+xRVX4NjffZoWHBoxOK47H7YcJZye
aFoeirs/ UJVZH2xKZcjSMhBS9Q/ 4GAuACp5ehT2GtM7BoQB/ H4wVV7gdQrrHjBUEwJGX
lDIQ=
A análise de diferentes partes do cabeçalho da assinatura DKIM é fornecida abaixo:
o DKIM-Signature: Mostra o cabeçalho das mensagens assinadas por DKIM.
o v=1: Mostra a versão DKIM utilizada pelo servidor de envio, cujo valor é 1
o a=rsa-sha256: O campo “a=” indica o algoritmo hash utilizado para a geração da chave privada ou
pública. rsa-sha1 e rsa-sha256 são os dois algoritmos de assinatura oficialmente suportados para
gerar valores de hash para a chave privada/pública
o c=relaxado/relaxado: O campo “c=” indica o algoritmo de canonização utilizado. Ele mostra se há

alguma modificação no e-mail em termos de espaço em branco ou quebra de linha. O primeiro valor
antes de "/" é para o cabeçalho e o restante é para o corpo.
o d=gmail.com: O campo “d=” representa o domínio do e-mail do remetente
o s=20161025pm: O campo “s=” refere-se ao seletor para identificar a chave DKIM pública
o bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=: Isso representa o valor de hash para

o corpo de acordo com o algoritmo de hash em uso e depois codificado em
Base64
o b=: Contém a assinatura DKIM que deve ser calculada de acordo com o cabeçalho
campo fornecido no campo “h=”


Figura 11.21: Analisando a assinatura DKIM


Analisando cabeçalhos de e-mail: verificando a autenticidade do e-mail
ÿ Uma vez identificado o endereço de e-mail do remetente, os

investigadores devem verificar se é válido
ÿ Use o Email Dossier, uma ferramenta de verificação incluída no

conjunto CentralOps.net de utilitários de rede online
ÿ Esta ferramenta fornece informações sobre endereço de e-mail, incluindo os

registros de troca de correspondência
ÿ Inicia sessões SMTP para verificar a aceitação do endereço, mas na verdade

nunca envia e-mail
o Verificador de endereço de e-mail
https:// tools.verifyemailaddress.io
Outras ferramentas para verificar o Verificador de e-mail
validade do e-mail: https:// email-checker.net

o Verificador de e-mail do software G-Lock
https:// www.glocksoft.com
https:// centralops.net
Analisando cabeçalhos de e-mail: verificando a autenticidade do e-mail
Um endereço de e-mail válido é aquele para o qual os e-mails podem ser enviados com sucesso. Pode autenticar a identidade
de uma pessoa ou entidade/organização. Se os investigadores forenses encontrarem um endereço de e-mail suspeito durante
a investigação do cabeçalho do e-mail, eles devem usar ferramentas online como “Dossiê de e-mail” para verificar a autenticidade
do endereço de e-mail.
ÿ Pasta de E-mail
Fonte: https:// centralops.net
Esta ferramenta fornece um campo para inserir um endereço de e-mail para que sua legitimidade possa ser verificada.
A ferramenta fornece informações sobre endereços de e-mail, que incluem registros de troca de correspondência. O
Dossiê de e-mail inicia sessões SMTP para verificar a aceitação de um endereço de e-mail, mas na verdade não envia
um e-mail. Quando um endereço de e-mail é válido/autêntico, a ferramenta fornece o resultado “3 – SMTP” no campo
“taxa de confiança”.


Figura 11.22: Resultados da validação na página da Web do Dossiê de e-mail
Algumas outras ferramentas para verificar a autenticidade dos endereços de e-mail são as seguintes:
ÿ Verificador de endereço de e-mail (https:// tools.verifyemailaddress.io)
ÿ Verificador de e-mail (https:// email-checker.net)
ÿ Verificador de e-mail do software G-Lock (https:// www.glocksoft.com)


Investigando um e-mail suspeito

01 Examinando a mensagem de e-mail 02 Verificando o link
ÿ Esta mensagem invoca um senso de urgência solicitando ao ÿ Execute o link fornecido na mensagem de e-mail em uma estação
destinatário que faça login em sua conta do Twitter de trabalho forense em um ambiente controlado
ÿ Inspecione o corpo da mensagem minuciosamente para procurar

ÿ Aqui, você pode ver que o link redireciona para uma página
link/anexo suspeito
10.0.0.32/explore em vez do URL da página de login do
ÿ A captura de tela abaixo mostra um link para a página de login do Twitter, o que indica fraude por e-mail
Twitter, que está vinculada ao endereço IP privado 10.0.0.32
Investigando um e-mail suspeito (continuação)

03 Analisar as entradas de cabeçalho recebidas 04 Examine o endereço IP de origem
ÿ Comece a partir da entrada de cabeçalho recebida mais abaixo e, em seguida, ÿ Procure os detalhes do endereço IP coletados do
prossiga para o topo para localizar o ID de e-mail e o endereço IP do cabeçalho no site whatismyipaddress
invasor
ÿ Você pode ver que o endereço IP está registrado sob o nome de
ÿ Aqui, a entrada de cabeçalho recebida destacada mostra a mensagem
host emkei.cz para uma organização chamada Liberty Global,
originada de um site chamado emkei.cz com o endereço IP 93.99.104.210,
localizada na República Tcheca, Europa
que indica fortemente falsificação de e-mail



05 Examine o campo SPF recebido
ÿ Analise o cabeçalho Received-SPF para ver se há alguma validação SPF

falha
ÿ Você pode ver que o campo SPF recebido abaixo está mostrando um softfail
que indica que o domínio de jose.regan@gmail.com ou o remetente não
permite que o IP do servidor 93.99.104.210 envie e-mails em seu nome
ÿ Esta falha de validação é um sinal de que a mensagem pode ter sido falsificada

06 07
Verifique a validade do e-mail do remetente Examine o ID da mensagem ÿ
ÿ Use o site do Dossiê de e-mail para ver se o endereço de e-mail do Você pode ver aqui que a parte destacada do ID da mensagem
remetente mostrado na mensagem de e-mail é legítimo ÿ Você pode mostra o nome de domínio totalmente qualificado (FQDN)
ver que o Dossiê de e-mail mostra que o endereço de e-mail é válido como o host local em vez de mail.gmail.com, o que indica
claramente que esta é uma mensagem de e-mail falsificada
ÿ Isso indica que o invasor pode ter comprometido a conta de e-mail do
usuário chamado Jose Regan ou obtido o endereço de e-mail por meio
de técnicas de engenharia social
Investigando um e-mail suspeito
Se um e-mail for identificado como suspeito, suas partes principais, incluindo o campo de assunto, o
corpo do e-mail, os cabeçalhos de e-mail, como os cabeçalhos recebidos, o Received-SPF e a ID da
mensagem, devem ser examinados minuciosamente para investigar e determinar se o e-mail for
malicioso ou forjado/falsificado.


Abaixo são apresentados alguns dos componentes que os investigadores devem examinar para entender
se uma mensagem de e-mail é genuína ou falsificada:
1. Examinando a mensagem de e-mail
Ao examinar uma mensagem de e-mail suspeita, os investigadores devem seguir de perto o assunto,
o conteúdo do corpo e o anexo do e-mail para extrair dados de valor probatório. A captura de tela
abaixo mostra uma mensagem de e-mail cuja linha de assunto é escrita de maneira a criar um senso
de urgência no destinatário e, assim, manipular o leitor a clicar no e-mail para ler a mensagem.
Além disso, o corpo do e-mail contém um link para a página de login do Twitter. No entanto, passar
o ponteiro do mouse sobre o link fornecido revela um endereço IP (10.0.0.32) na parte inferior
esquerda da janela do e-mail que parece suspeito porque parece um endereço IP privado.
Figura 11.23: Examinando uma mensagem de e-mail suspeita


2. Verificando o link
Se algum link suspeito for encontrado no corpo do e-mail, o investigador pode examinar o link
abrindo-o em um ambiente forense controlado. A captura de tela abaixo mostra que o link,
uma vez clicado, redireciona para uma página da Web onde o navegador mostra “10.0.0.32/
explore” no espaço da URL, em vez da URL da página de login do Twitter.
Figura 11.24: A página do Twitter abrindo com URL suspeito
A página aberta, no entanto, contém campos para nomes de usuário e senhas do Twitter. Se
o usuário de destino fornecer suas credenciais por engano, o invasor obterá uma impressão
em sua máquina de ataque.
Figura 11.25: Nome de usuário e senha refletidos na máquina do invasor


3. Analisando as entradas de cabeçalho recebidas
Para encontrar informações sobre o servidor de correio, o endereço IP e o nome do host usado pelo
invasor/remetente, o investigador precisa examinar as entradas de cabeçalho recebidas no cabeçalho
do email. Detalhes sobre o nome do host, servidor de e-mail e endereço IP usados pelo invasor são
revelados no cabeçalho recebido na parte inferior.
Figura 11.26: Examinando os cabeçalhos recebidos na mensagem suspeita
A captura de tela acima reflete o conteúdo do cabeçalho recebido na parte inferior, que revela que a
mensagem de e-mail se originou de um site chamado emkei.cz com um endereço IP de 93.99.104.210.
O nome do site e o endereço IP mostrados devem levantar suspeitas, pois essas descobertas são fortes
indicadores de falsificação de e-mail.
4. Examinando o endereço IP de origem
Os investigadores podem estudar ainda mais o endereço IP obtido da entrada do cabeçalho recebido
no site whatismyipaddress.com. A captura de tela abaixo reconfirma que o endereço IP pertence ao
nome do host emkei.cz. Está associado a uma organização chamada Liberty Global, localizada na
República Tcheca, na Europa. Essas descobertas apontam ainda para falsificação de e-mail.


Figura 11.27: detalhes de IP para 93.99.104.210 em whatismyipaddress.com
5. Examinando o campo SPF recebido
Os investigadores também devem examinar o campo de cabeçalho Received-SPF para verificar qualquer
falha de autenticação SPF.
A captura de tela abaixo mostra que o campo Received-SPF está exibindo um resultado “softfail”, o que
significa que o domínio de jose.regan@gmail.com (ID de e-mail do remetente conforme mostrado no e-
mail) não autorizou o endereço IP 93.99 .104.210 para enviar e-mails em seu nome.
Essa falha de autenticação é outro indicador de falsificação de uma mensagem de e-mail.
Figura 11.28: Recebido-SPF mostrando softfail
6. Verificando a validade do e-mail do remetente
Assim que o ID do e-mail do remetente for obtido, o investigador deve usar o Dossiê de e-mail para verificar
se o endereço de e-mail do remetente mostrado na mensagem é autêntico.
A captura de tela abaixo foi tirada do Dossiê de e-mail, que mostra o endereço de e-mail válido. Com essa
descoberta, o investigador pode determinar que a conta de e-mail do usuário chamado Jose Regan pode
ter sido comprometida pelo invasor ou o ID foi obtido por meio de técnicas de engenharia social.


Figura 11.29: Resultados da validação de ID de e-mail no Dossiê de e-mail
7. Examinando o ID da mensagem
Examinar o ID da mensagem também é uma parte importante da investigação, pois ajuda a

determinar a autenticidade da mensagem de e-mail.
A captura de tela abaixo destacando o ID da mensagem mostra que o nome de domínio totalmente
qualificado (FQDN) é refletido como "localhost" em vez de mail.gmail.com (que é o FQDN do Gmail).
Esta descoberta confirma a possibilidade de uma mensagem de e-mail ter sido falsificada/falsificada.
Figura 11.30: Examinando o ID da mensagem


Etapa 6: Recuperar mensagens de e-mail excluídas
A recuperação de mensagens de e-mail excluídas depende do cliente de e-mail usado para enviar o e-mail
Thunderbird PST do Outlook
ÿ As mensagens excluídas da caixa de correio residem na ÿ Quando as mensagens de e-mail são excluídas no Outlook, elas
pasta Lixeira, até que a pasta Lixeira seja limpa são movidas para a pasta 'Itens Excluídos'
ÿ Algumas ferramentas forenses podem recuperar essas ÿ Se os e-mails forem excluídos dos Itens Excluídos
mensagens excluídas, dependendo de quanto tempo a pasta, eles irão para o espaço não alocado da unidade
recuperação é tentada
ÿ As mensagens de e-mail excluídas da seção Lixeira das ÿ As mensagens de e-mail excluídas podem ser recuperadas
Pastas locais podem ser completamente recuperadas se esse espaço não alocado não for substituído por
novos dados
Use a ferramenta Electronic Evidence Examiner da Paraben para recuperar e coletar mensagens de e-mail excluídas do Outlook e
Clientes de e-mail Thunderbird
Etapa 6: Recuperar mensagens de e-mail excluídas
O processo de recuperação de uma mensagem de e-mail excluída difere com base no cliente de e-mail usado para
enviar o e-mail:
ÿ Recuperando mensagens de e-mail excluídas do Outlook PST
No Outlook, as mensagens de e-mail, uma vez excluídas, são movidas para a pasta “Itens Excluídos”. Os e-
mails excluídos são armazenados na pasta “Itens Excluídos” por 14 dias (um período de retenção padrão que
pode ser modificado), após o qual as mensagens são excluídas automaticamente dessa pasta. Caso esses e-
mails excluídos também sejam removidos desta pasta, eles se tornam invisíveis para o usuário. No entanto,
eles não são totalmente excluídos, mas movidos para o espaço não alocado da unidade. As mensagens de e-
mail excluídas podem ser recuperadas se esse espaço não alocado não for substituído por novos dados.
Esses e-mails podem ser recuperados com ferramentas forenses, como o Electronic Evidence Examiner (E3)
da Paraben, caso ainda não tenham sido substituídos.
ÿ Recuperando e-mail excluído do Thunderbird
O Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”. A pasta “Lixeira”
armazena as mensagens de e-mail excluídas até que sejam limpas. Ferramentas forenses, como o Electronic
Evidence Examiner (E3) da Paraben, podem recuperar essas mensagens de e-mail excluídas, dependendo
de quanto tempo a recuperação é tentada. Se qualquer mensagem de e-mail armazenada na pasta Lixeira
local do Thunderbird for excluída, sua recuperação completa é possível.
Investigadores forenses podem recuperar dados de e-mail excluídos permanentemente de arquivos .pst do Outlook e
Thunderbird usando ferramentas como o Electronic Evidence Examiner da Paraben. Aqui, dados de e-mail excluídos
permanentemente referem-se a mensagens de e-mail excluídas que foram excluídas ou perdidas do


Pasta “Itens Excluídos” no contexto do Outlook e para aqueles que foram excluídos ou perdidos da pasta “Lixeira”,
bem como da pasta “Lixeira Local” do Thunderbird.
ÿ Examinador de Provas Eletrônicos da Paraben
Fonte: https:// paraben.com
O E3 é uma ferramenta abrangente de análise forense digital projetada para lidar com dados com mais
eficiência, ao mesmo tempo em que adere ao paradigma P2 da Paraben de foco especializado de todo o
processo de exame forense. A plataforma E3 usa a arquitetura de plug-in avançada da Paraben para criar
mecanismos especializados que examinam elementos como e-mail, e-mail de rede, logs de bate-papo, dados
móveis, sistemas de arquivos e análise de arquivos da Internet - ao mesmo tempo em que aumenta a
quantidade de dados que podem ser processados e utilizando recursos através de multi-threading e
agendamento de tarefas. O Electronic Evidence Examiner não é apenas acessível, mas também funciona de
forma eficaz com requisitos de hardware mais baixos.


Recuperando mensagens de e-mail excluídas de arquivos .pst

do Outlook usando o examinador de evidências eletrônicas da Paraben
Aqui, a captura de tela mostra a recuperação de duas mensagens de e-mail pelo examinador de e-mail
eletrônico da Paraben que foram excluídas dos arquivos .pst locais do Outlook
Você pode ver o corpo do e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise
posterior
Recuperando mensagens de e-mail excluídas de arquivos .pst do Outlook usando o examinador de

evidências eletrônicas da Paraben
A captura de tela abaixo mostra a recuperação de duas mensagens de e-mail pelo Electronic Email
Examiner da Paraben que foram excluídas dos arquivos .pst locais do Outlook. Você pode ver o corpo do
e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise posterior.
Figura 11.31: Recuperação de mensagens de e-mail excluídas de arquivos .pst do Outlook no E3 da Paraben


Resumo do módulo
Este módulo discutiu o sistema de e-mail
Ele discutiu os componentes envolvidos na comunicação por e-mail
Ele também discutiu em detalhes as partes de uma mensagem de e-mail
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação de
crimes por e-mail e suas etapas
No próximo módulo, discutiremos em detalhes a análise forense de malware
Resumo do módulo
Este módulo discutiu o sistema de e-mail e os componentes envolvidos na comunicação por e-mail.
Além disso, discutiu em detalhes as partes de uma mensagem de e-mail. Por fim, este módulo apresentou uma discussão
detalhada sobre a investigação de crimes por e-mail e suas etapas.
No próximo módulo, discutiremos detalhadamente a análise forense de malware.


MODULE 11 - Investigating Email Crimes

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MODULE 11 - Investigating Email Crimes

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Fundamentos de Perícia Forense Digital Exame 112-53

Objetivos do módulo Ideia criativa

1 Compreendendo o sistema de e-mail

Compreendendo os componentes envolvidos em

3 Compreendendo as partes de uma mensagem de e-mail

4 Visão geral da investigação de crimes por e-mail e suas etapas

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Ao final deste módulo, você será capaz de:

ÿ Compreender o sistema de e-mail

ÿ Compreender os componentes envolvidos na comunicação por e-mail

ÿ Compreender as partes de uma mensagem de e-mail

ÿ Compreender a investigação do crime de e-mail e suas etapas

Módulo 11 Página 588 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Entenda os fundamentos do e-mail

Módulo 11 Página 589 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Introdução a um sistema de e-mail

Um sistema de e-mail engloba servidores que enviam e

Os sistemas de e-mail são baseados em uma arquitetura

O e-mail é enviado do cliente para um servidor central,

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Introdução a um sistema de e-mail

Módulo 11 Página 590 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Componentes envolvidos na comunicação por e-mail

ÿ Autônomo: Microsoft Outlook e Mozilla

ÿ Baseado na Web: Gmail, Yahoo!

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Componentes envolvidos na comunicação por e-mail (continuação)

Servidor SMTP Servidor POP3 Servidor IMAP

ÿ Por padrão, o servidor IMAP escuta na porta

porta 25 servidor já os baixou, permitindo assim que o

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Componentes envolvidos na comunicação por e-mail

Módulo 11 Página 591 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

ÿ Agente de transferência de correio: O agente de transferência de correio (MTA) é um componente importante do

O servidor POP3 pode entender comandos simples como os seguintes:

o USUÁRIO – insira seu ID de usuário

o SENHA – digite sua senha

Módulo 11 Página 592 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

o QUIT – sai do servidor POP3

o LIST – lista as mensagens e seu tamanho

o RETR – recupera uma mensagem, de acordo com o número da mensagem

o DELETE – exclui uma mensagem, de acordo com um número de mensagem

Módulo 11 Página 593 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Como funciona a comunicação por e-

Bob usando o Mail Alice usando o Mail

Agente de Transferência de Correio Agente de Transferência de Correio Agente de entrega de correspondência

(MTA) (MTA) (MDA)

Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.

Como funciona a comunicação por e-mail

Módulo 11 Página 594 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

Figura 11.1: Como funciona a comunicação por e-mail

Módulo 11 Página 595 Digital Forensics Essentials Copyright © por EC-Council

Fundamentos de Perícia Forense Digital Exame 112-53

De: Maria Wilson <mary79@abc.edu> Data: 02 de Cabeçalho

maria wilson Assinatura