# T1672 - Email Spoofing
> [!abstract] Resumo Técnico
> Adversários falsificam o endereço de remetente de e-mails modificando cabeçalhos como `From:`, `Reply-To:` e `Sender:` para se fazer passar por entidades confiáveis. A técnica é eficaz quando as proteções SPF, DKIM e DMARC estão ausentes, mal configuradas ou definidas com políticas permissivas (`p=none`).
## Descrição
**T1672 - Email Spoofing** é uma técnica classificada na tática de [[_defense-evasion|Evasão de Defesa]] pelo MITRE ATT&CK. Adversários manipulam cabeçalhos de e-mail para fazer mensagens maliciosas aparecerem como enviadas por remetentes legítimos e confiáveis - parceiros comerciais, órgãos governamentais, bancos ou colegas de trabalho.
O spoofing de e-mail é frequentemente o vetor inicial de ataques de [[t1566-phishing|Phishing]] e é amplamente utilizado para [[t1656-impersonation|Impersonação]] em ataques de Business Email Compromise (BEC), distribuição de [[t1204-user-execution|malware via anexos]] e campanhas de engenharia social direcionadas. Ao contrário do phishing com domínios homoglífico (typosquatting), o spoofing permite que o adversário use *exatamente* o domínio legítimo da organização alvo - desde que os controles de autenticação de e-mail estejam ausentes ou mal configurados.
A prevalência da técnica é ampliada pelo fato de que muitas organizações no Brasil e na América Latina ainda não implementaram DMARC, ou o implementaram com política `p=none` - que registra falhas mas não bloqueia e-mails não autenticados. Segundo o relatório DMARC Analyzer de 2024, apenas cerca de 30% dos domínios brasileiros de grandes empresas possuem DMARC com política de rejeição (`p=reject`).
### Cabeçalhos de E-mail Explorados
| Cabeçalho | Função | Impacto do Spoofing |
|-----------|--------|---------------------|
| `From:` | Exibido ao destinatário como remetente | Alto - é o que o usuário vê |
| `Reply-To:` | Endereço de resposta | Médio - respostas vão para o atacante |
| `Sender:` | Remetente técnico da mensagem | Baixo - raramente exibido |
| `Return-Path:` | Endereço de bounce | Baixo - técnico, invisível ao usuário |
| `X-Originating-IP:` | IP de origem | Técnico - pode ser forjado |
## Como Funciona
### Cenário 1 - Domínio sem SPF/DKIM/DMARC
O caso mais simples: o domínio alvo (`empresa.com.br`) não possui nenhuma configuração de autenticação de e-mail. O adversário usa qualquer servidor SMTP capaz de enviar e-mails com cabeçalho `From:
[email protected]`. A maioria dos servidores de e-mail receptores aceita a mensagem sem questionamentos.
```
EHLO mail.atacante.com
MAIL FROM: <
[email protected]>
RCPT TO: <
[email protected]>
DATA
From:
[email protected]
Subject: Ação urgente requerida - conta bloqueada
...
```
### Cenário 2 - DMARC com política `p=none`
Quando o domínio tem `v=DMARC1; p=none; rua=mailto:
[email protected]`, os servidores receptores enviam relatórios de falha mas *não bloqueiam* a mensagem. O adversário pode enviar e-mails spoofados livremente, com a mensagem chegando normalmente à caixa de entrada da vítima.
### Cenário 3 - Microsoft 365 Direct Send Abuse
Em ambientes Microsoft 365, a funcionalidade **Direct Send** permite que dispositivos internos (impressoras, scanners, sistemas legados) enviem e-mails diretamente para caixas Exchange Online sem autenticação. Adversários que comprometeram a rede interna podem abusar desse canal para enviar e-mails de qualquer endereço `@empresa.com.br` sem precisar de credenciais válidas, contornando inclusive filtros externos que confiam no IP interno.
### Cenário 4 - Open Relay Servers
Servidores SMTP mal configurados como "open relays" aceitam e encaminham e-mails de qualquer origem para qualquer destino sem autenticação. Adversários identificam esses servidores via Shodan ou ferramentas de scanning, usando-os para enviar e-mails spoofados com origem em IPs de reputação limpa.
### Cenário 5 - Spoofing de Subdomínios Esquecidos
Organizações que configuram DMARC apenas para o domínio raiz frequentemente esquecem subdomínios (ex: `newsletter.empresa.com.br`, `legacy.empresa.com.br`). Adversários registram ou exploram esses subdomínios sem proteção para enviar e-mails que passam em verificações parciais de autenticidade.
## Attack Flow
```mermaid
graph TB
A["🔍 Reconhecimento<br/>T1598 - Phishing for Info<br/>Verificar SPF/DKIM/DMARC via dig/nslookup"] --> B{"Política DMARC?"}
B --> |"Ausente ou p=none"| C["✉️ Spoofing Direto<br/>Modificar cabeçalho From:<br/>Usando servidor SMTP próprio"]
B --> |"p=quarantine/reject"| D["🔄 Técnicas Alternativas<br/>Subdomínio sem proteção<br/>Open Relay<br/>M365 Direct Send"]
C --> E["📧 E-mail Spoofado Enviado<br/>Remetente:
[email protected]<br/>Conteúdo: Urgente / BEC / Malware"]
D --> E
E --> F{"Objetivo do Ataque?"}
F --> |"Engenharia Social"| G["💸 BEC - Business Email Compromise<br/>T1656 - Impersonation<br/>Transferência bancária fraudulenta"]
F --> |"Entrega de Malware"| H["📎 Phishing com Anexo<br/>T1566.001 - Spearphishing Attachment<br/>Distribuição de RAT / Ransomware"]
F --> |"Coleta de Credenciais"| I["🔗 Phishing de Credenciais<br/>T1566.002 - Spearphishing Link<br/>Página falsa de login"]
G --> J["💰 Impacto Financeiro"]
H --> K["🦠 Comprometimento de Endpoint<br/>T1204 - User Execution"]
I --> L["🔑 Credenciais Comprometidas<br/>T1078 - Valid Accounts"]
style A fill:#2980b9,color:#fff
style E fill:#e67e22,color:#fff
style G fill:#c0392b,color:#fff
style H fill:#c0392b,color:#fff
style I fill:#c0392b,color:#fff
style J fill:#2c3e50,color:#fff
style K fill:#2c3e50,color:#fff
style L fill:#2c3e50,color:#fff
```
## Exemplos de Uso
### Grupos APT - Campanha de Espionagem via BEC
Grupos de espionagem patrocinados por Estados frequentemente combinam spoofing de e-mail com impersonação de jornalistas, acadêmicos e funcionários de think tanks. Em campanhas documentadas pelo Google TAG e pela Recorded Future, atores norte-coreanos (incluindo subgrupos do [[g0032-lazarus-group|Lazarus Group]]) enviaram e-mails spoofados aparentando ser de pesquisadores de universidades renomadas para alvos em governos e laboratórios de pesquisa. O spoofing era possível porque as universidades-alvo não tinham DMARC configurado ou usavam `p=none`.
### TA453 (Charming Kitten - Irã)
O grupo iraniano TA453, também conhecido como Charming Kitten ou APT42, é um usuário prolífico de e-mail spoofing em campanhas de espionagem direcionadas a diplomatas, jornalistas e ativistas. O grupo falsifica endereços de remetentes de veículos de imprensa conhecidos (Reuters, BBC, Der Spiegel) e organizações acadêmicas para entregar links de phishing de coleta de credenciais.
### BEC - Brasil (Grupos Locais)
O Brasil é um dos países com maior número de ataques de BEC do mundo, segundo o FBI IC3. Grupos de cibercrime brasileiro como **Golfinho** e **Gold Galleon** (focado no setor marítimo) utilizam e-mail spoofing como vetor primário para se passar por fornecedores, advogados e executivos, solicitando transferências via TED/PIX para contas mulas. O ataque típico:
1. Comprometer ou monitorar troca de e-mails entre duas empresas (via [[t1566-phishing|phishing]] prévio)
2. No momento de uma transação real, enviar e-mail spoofado do fornecedor legítimo com dados bancários alterados
3. A vítima realiza a transferência para a conta do atacante sem suspeitar
### Distribuição de Ransomware - LockBit e Grupos Afiliados
Afiliados do [[lockbit|LockBit]] e outros grupos de ransomware utilizam e-mail spoofing para distribuir loaders maliciosos disfarçados de faturas, boletos e comúnicações bancárias. E-mails spoofados de bancos brasileiros (Bradesco, Itaú, Santander) com anexos `.xlsm` ou links para páginas falsas são veículos comuns de distribuição inicial no Brasil.
## Detecção
### Estrategias de Detecção
> [!tip] Priorizar Análise de Cabeçalhos
> A detecção mais eficaz analisa os cabeçalhos completos dos e-mails recebidos, comparando o domínio do `From:` com os resultados das verificações SPF, DKIM e DMARC. Discrepâncias indicam spoofing potencial.
**Indicadores em cabeçalhos de e-mail:**
| Indicador | O que verificar |
|-----------|----------------|
| SPF: FAIL | O IP de envio não está autorizado no registro SPF do domínio |
| DKIM: FAIL | Assinatura DKIM ausente ou inválida |
| DMARC: FAIL | E-mail falhou na verificação DMARC |
| `Reply-To` diferente do `From` | Resposta vai para endereço diferente do remetente exibido |
| `Received` path suspeito | O e-mail passou por servidores inesperados para o domínio |
### Regra Sigma - SPF/DKIM/DMARC Failure
```yaml
title: Inbound Email with Authentication Failures (Spoofing Indicator)
id: c5d0e3f4-a6b7-8901-cdef-012345678901
status: experimental
description: Detects inbound emails that failed SPF, DKIM, or DMARC checks,
which may indicaté email spoofing attempts using a legitimate domain.
references:
- https://attack.mitre.org/techniques/T1672/
- https://dmarc.org/overview/
author: RunkIntel
daté: 2026/03/25
tags:
- attack.defense_evasion
- attack.t1672
- attack.initial_access
- attack.t1566
logsource:
product: m365
service: exchange
category: email
detection:
selection_spf_fail:
EventID: 'MailReceived'
SPFResult: 'fail'
selection_dmarc_fail:
EventID: 'MailReceived'
DMARCResult: 'fail'
condition: selection_spf_fail or selection_dmarc_fail
falsepositives:
- Ferramentas de marketing que enviam em nome do domínio sem estarem no SPF
- Sistemas legados de envio de e-mail não configurados no SPF
- Listas de e-mail e encaminhamentos legítimos
level: medium
```
### Regra Sigma - Reply-To Mismatch
```yaml
title: Email From-Reply-To Domain Mismatch
id: d6e1f4a5-b7c8-9012-defa-123456789012
status: experimental
description: Detects emails where the From domain and Reply-To domain differ,
a common indicator of business email compromise and phishing attempts.
references:
- https://attack.mitre.org/techniques/T1672/
author: RunkIntel
daté: 2026/03/25
tags:
- attack.defense_evasion
- attack.t1672
logsource:
product: m365
service: exchange
category: email
detection:
selection:
EventID: 'MailReceived'
FromDomain|contains: '.com.br'
filter_legit:
ReplyToDomain|equalsfield: FromDomain
condition: selection and not filter_legit
falsepositives:
- Plataformas de e-mail marketing legítimas (Mailchimp, RD Station)
- Sistemas de helpdesk que redirecionam respostas
level: low
```
## Mitigação
| ID | Mitigação | Implementação | Prioridade |
|----|-----------|---------------|------------|
| [[m1054-software-configuration\|M1054]] | Software Configuration | Implementar SPF, DKIM e DMARC com política `p=reject` para todos os domínios corporativos e subdomínios | Crítica |
| - | DMARC com Reporting | Configurar `rua=` e `ruf=` no registro DMARC para receber relatórios de falhas de autenticação | Alta |
| - | Bloquear Open Relays Internos | Auditar configuração de servidores SMTP internos; desabilitar Direct Send não autorizado no M365 | Alta |
| - | Gateway de E-mail Seguro | Implementar soluções como Proofpoint, Mimecast ou Microsoft Defender for Office 365 com análise de cabeçalhos | Alta |
| - | Treinamento de Usuários | Treinar funcionários para verificar endereços completos de remetentes, não apenas o nome de exibição | Média |
| - | BIMI | Implementar Brand Indicators for Message Identification para exibir logo verificado em clientes de e-mail modernos | Baixa |
### Verificação Rápida de Configuração DNS
```bash
# Verificar registro SPF
dig TXT empresa.com.br | grep spf
# Verificar registro DMARC
dig TXT _dmarc.empresa.com.br
# Verificar seletor DKIM (exemplo: google._domainkey)
dig TXT google._domainkey.empresa.com.br
```
## Contexto Brasil/LATAM
> [!warning] Brasil - Alta Exposição ao BEC e Spoofing
> O Brasil ocupa posição de destaque global em ataques de BEC e fraude por e-mail, impulsionada pela baixa adoção de DMARC entre organizações brasileiras e pela alta digitalização de transações financeiras via PIX.
**Panorama Brasileiro:**
O Brasil é um dos mercados mais ativos para ataques de BEC e fraude por e-mail da América Latina, segundo relatórios do [[sources|CERT.br]] e do FBI IC3. Fatores que amplificam o risco no contexto brasileiro:
1. **Baixa adoção de DMARC**: Pesquisas de 2024-2025 indicam que menos de 35% das empresas do Ibovespa possuem DMARC com política `p=quarantine` ou `p=reject`.
2. **PIX como vetor de monetização**: A imediatez do PIX torna ataques de BEC mais lucrativos no Brasil - uma transferência fraudulenta bem-sucedida é irreversível em segundos, diferente de TED que pode ser cancelado.
3. **Impersonação de bancos**: E-mails spoofados imitando comúnicações do Banco do Brasil, Caixa Econômica Federal, Bradesco e Itaú são vetores primários de [[t1566-phishing|phishing]] no Brasil, distribuindo malware como [[astaroth-malware|Astaroth]], [[s0531-grandoreiro|Grandoreiro]] e [[s1122-mispadu|Mispadu]] - trojans bancários com forte foco no Brasil.
4. **Setor público vulnerável**: Órgãos federais e estaduais brasileiros frequentemente operam domínios `.gov.br` sem DMARC configurado, facilitando spoofing de comúnicações oficiais para ataques de engenharia social direcionados a servidores públicos.
**Incidentes notáveis no Brasil:**
- Campanhas de BEC contra empresas exportadoras brasileiras (agronegócio) com prejuízos estimados em dezenas de milhões de reais por ano
- E-mails spoofados da Receita Federal distribuindo [[t1059-001-powershell|payloads PowerShell]] em períodos de declaração do Imposto de Renda
- Impersonação de procuradores e juízes em e-mails para empresas, exigindo pagamentos urgentes
## Referências
- [MITRE ATT&CK - T1672](https://attack.mitre.org/techniques/T1672/)
- [CERT.br - Cartilha de Segurança: E-mail](https://cartilha.cert.br/spam/)
- [RFC 7489 - DMARC Specification](https://tools.ietf.org/html/rfc7489)
- [RFC 7208 - Sender Policy Framework (SPF)](https://tools.ietf.org/html/rfc7208)
- [RFC 6376 - DomainKeys Identified Mail (DKIM)](https://tools.ietf.org/html/rfc6376)
- [FBI IC3 - BEC Annual Report 2024](https://www.ic3.gov/Media/Y2024/PSA240417)
- [Google TAG - TA453 Email Spoofing Campaigns](https://blog.google/threat-analysis-group/)
- [Microsoft - Direct Send Configuration Security](https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365)
**Técnicas relacionadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] · [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] · [[t1656-impersonation|T1656 - Impersonation]] · [[t1204-user-execution|T1204 - User Execution]] · [[t1078-valid-accounts|T1078 - Valid Accounts]]