Aula 11 - Estudo de Caso

class: center, middle, title-slide

.title[
# Aula 11 - Estudo de Caso
]
.author[
### Leonardo Mancini
]
.date[
### 2023
]

---

class: inverse, middle, center

# Estudo de Caso

---

# Caso Ivanka e Jared

.center[
<img src=".\imagens\politico.png" width=600>
]

???
- Relembrar Hilary

-  Presidential Records Act (PRA) obriga o registro de qquer comunicação do senior staff

- Segurança e manutenção de registro histórico.

- Conflito de interesses privados x públicos

- https://arstechnica.com/tech-policy/2017/10/jared-kushners-private-e-mail-account-now-hosted-at-trump-organization/

- https://www.politico.com/story/2017/10/02/jared-kushner-email-account-white-house-243389

---
# Domínio ijkfamily.com

Lembrem-se, a estrutura é sempre **usuário** @ **servidor**

1. Como descobrir os donos?

- https://www.whois.com/whois/ijkfamily.com

1. Quando foi registrado?

1. Tem um site?

1. Já teve um site?

1. Estamos investigando e-mails...

--
.center[
### Vamos dar uma olhada no Mail Exchange Record (MX) 
]

---
# DNS

.center[
![:scale 80%](./imagens/dns_tabela.png)
]

---
# Mail Exchange Record (MX)

- É um registro no DNS que aponta para que servidor um e-mail endereçado àquele domínio deve ser enviado.

- Quando há múltiplos servidores, pode-se estabelecer uma ordem de prioridade.

.center[
![MX Gmail](./imagens/mxgoogle.png)
]

---

# ijkfamily.com

- Abrir o terminal de comando.

- Qual o IP associado a esse domínio? (usando o nslookup).

--
.center[
 nslookup ijkfamily.com 
]

- Qual o servidor de e-mail associado ao domínio? 
.center[
 nslookup -type=mx ijkfamily.com 
]

- Qual o IP associado a esse domínio?

.center[
 nslookup mx0b-003f0101.pphosted.com 
]

- De quem será esse novo ip? 
--
(reverse lookup)
--

.center[
 nslookup 205.220.173.186 
]

---
# Quem é o dono (com o servidor antigo)?

.center[
<img src="./imagens/mxtrump.png" width="600px" />
]

--
Para garantir--> nslookup -type=mx trumporg.com

.center[
<img src="./imagens/mxtrumporg.png" width="600px" />
]

---
class: center, middle, inverse

# Analisando e-mails

---

# Analisando e-mails

E-mails contêm mais informações do que somente o nome, endereço, assunto e data de quem os enviou.

.center[
<img src="./imagens/emailfrompresident.png" width="400px" />
]

Como saber se um e-mail é verdadeiro ou não?

???
fonte: https://mlhale.github.io/nebraska-gencyber-modules/phishing/email-headeranalysis/

---

# E-mail header

Para achar a mensagem completa, é preciso dar uma procurada...

.center[
<img src="./imagens/gmail.png" width="300px" />
]

---
# E-mail header

Para achar a mensagem completa, é preciso dar uma procurada...
 
.center[
<img src="./imagens/applemail.png" width="400px" />
]

---
# E-mail header

```r
Received: from BL2PRD0711HT001.namprd07.prod.outlook.com (10.255.104.164) by
 BY2PRD0711HT003.namprd07.prod.outlook.com (10.255.88.166) with Microsoft SMTP
 Server (TLS) id 14.16.257.4; Thu, 17 Jan 2013 23:35:35 +0000
Received: from BL2PRD0711HT002.namprd07.prod.outlook.com (10.255.104.165) by
 BL2PRD0711HT001.namprd07.prod.outlook.com (10.255.104.164) with Microsoft
 SMTP Server (TLS) id 14.16.257.4; Thu, 17 Jan 2013 23:35:34 +0000
Received: from mail240-tx2-R.bigfish.com (65.55.88.116) by
 BL2PRD0711HT002.namprd07.prod.outlook.com (10.255.104.165) with Microsoft
 SMTP Server (TLS) id 14.16.257.4; Thu, 17 Jan 2013 23:35:34 +0000
Received: from mail240-tx2 (localhost [127.0.0.1]) by mail240-tx2-R.bigfish.com (Postfix) with ESMTP id A05C032025F for <jerryp@mail.unomaha.edu>; Thu, 17 Jan 2013 23:35:33 +0000 (UTC)
X-Forefront-Antispam-Report: CIP:59.125.100.113;KIP:(null);UIP:(null);IPV:NLI;H:bf.shako.com.tw;RD:59-125-100-113.HINET-IP.hinet.net;EFVD:NLI
X-BigFish: ps73(zz7f52hd926hzz1ee6h1de0h1ce5h1202h1e76h1d1ah1d2ahz58hz8275bhz2ei2a8h668h839h940h10d2h1177h1288h12a5h12a9h12bdh137ah139eh13b6h13eah1441h1537h162dh1631h1758h17f1h184fh1898h300k503k953iwa7jk)
X-FOSE-spam: This message appears to be spam.
X-SpamScore: 73
Received-SPF: neutral (mail240-tx2: 59.125.100.113 is neither permitted nor denied by domain of aol.com) client-ip=59.125.100.113; envelope-from=vieria@aol.com; helo=bf.shako.com.tw ;shako.com.tw ;
Received: from mail240-tx2 (localhost.localdomain [127.0.0.1]) by mail240-tx2
 (MessageSwitch) id 1358465731454940_30539; Thu, 17 Jan 2013 23:35:31 +0000
 (UTC)
Received: from TX2EHSMHS007.bigfish.com (unknown [10.9.14.242]) by mail240-tx2.bigfish.com (Postfix) with ESMTP id 675424200E7 for <jerryp@mail.unomaha.edu>; Thu, 17 Jan 2013 23:35:31 +0000 (UTC)
Received: from bf.shako.com.tw (59.125.100.113) by TX2EHSMHS007.bigfish.com
 (10.9.99.107) with Microsoft SMTP Server (TLS) id 14.1.225.23; Thu, 17 Jan
 2013 23:35:28 +0000
Received: from mail.shako.com.tw (59-125-100-112.HINET-IP.hinet.net
 [59.125.100.112]) by bf.shako.com.tw (8.14.3/8.14.3) with ESMTP id
 r0HNYCgA013928; Fri, 18 Jan 2013 07:34:12 +0800
X-Authentication-Warning: bf.shako.com.tw: Host 59-125-100-112.HINET-IP.hinet.net [59.125.100.112] claimed to be mail.shako.com.tw
Authenticated-By: nobody
X-SpamFilter-By: BOX Solutions SpamTrap 3.5 with qID r0HNXZSI028539, This message is passed by code: ctdos35128
Received: from User (85-250-54-29.bb.netvision.net.il[85.250.54.29])
(authenticated bits=0)
by mail.shako.com.tw (8.14.3/8.14.3/4.90) with ESMTP
 id r0HNXZSI028539; Fri, 18 Jan 2013 07:33:38 +0800
X-BOX-Message-Id: r0HNXZSI028539
Message-ID: <201301172333.r0HNXZSI028539@mail.shako.com.tw>
X-Authentication-Warning: mail.shako.com.tw: Host 85-250-54-29.bb.netvision.net.il[85.250.54.29] claimed to be User
Reply-To: <carrr444@yahoo.com>
```

---

# E-mail header

Vamos tentar definir se um e-mail é autêntico ou não.

1. [Baixem este arquivo](./fontes/email-header1.txt)

1. Abram no Notepad ou qualquer outro leitor.

1. O que diz a mensagem?

```r
Dear Sir/Madam,
my name is Joseph Camarah Vieira, i  am from Guinea Bissau, 
my late father was the former minister of mines in my country Guinea
Bissau, he was short dead by the rebels in my country, before his
death he deposited $60 million Dollars with Global Trust Security
Company Accra Ghana, i want you to help me receive this money 
in your country for investment in your country i will give you 30% 
of the totalsum when the funds arrive your country.

Regards.
Mr Joseph Camarah Vieira
00233 244 617 863
my email:carrr444@yahoo.com
```

---

# E-mail header

Cabeçalhos são como passaportes, registram cada lugar por onde a mensagem passa.

Cada servidor por onde passa uma mensagem deixa um registro.

```r
Passenger-Received: from India by China     # Chinese Authority

Passenger-Received: from Germany by India   # Indian Authority

Passenger-Received: from U.S. by Germany    # German Authority
```

Os registros mais recentes estão acima, os mais antigos, embaixo.

Quanto mais distantes, ou seja, quanto mais servidoes o e-mail encontra pelo caminho, maiores são os cabeçalhos

---

# Analisando o e-mail

Qual é a origem deste e-mail ? Procure pelo primeiro Received .

--

```r
Received: from User (85-250-54-29.bb.netvision.net.il[85.250.54.29])
(authenticated bits=0)
by mail.shako.com.tw (8.14.3/8.14.3/4.90) with ESMTP
 id r0HNXZSI028539; Fri, 18 Jan 2013 07:33:38 +0800
```

Cada informação nos dá uma pista:

- from indica um usuário (85-250-54-29.bb.netvision.net.il) e um IP (85.250.54.29)

- by identifica o primeiro servidor que recebeu a mensagem após seu envio (mail.shako.com.tw). Dele, tira-se um domínio: (shako.com.tw)

Se for Spam (e é), esse servidor é controlado pelo usuário, logo, não confiamos muito nele

---

# Analisando o e-mail

De onde vem esse IP? 
--

Reverse DNS lookup / IP WHOIS Lookup

(usei https://dnschecker.org/ip-whois-lookup.php desta vez)

Checando o IP (85.250.54.29)

```r
role: CELLCOM NOC team
address: Omega Building
address: MATAM industrial park
address: Haifa 31905
**address: Israel
phone: +972 4 8560 600
fax-no: +972 4 8551 132
abuse-mailbox: nvabuse@cellcom.co.il
```

---

# Analisando o e-mail

Checando o domínio (shako.com.tw)

```r
nslookup mail.shako.com.tw

Nome:    mail.shako.com.tw
***Address:  61.218.179.156
```

Whois no https://dnschecker.org/ip-whois-lookup.php

```r
person: HINET Network-Adm
address: CHTD, Chunghwa Telecom Co., Ltd.
address: No. 21, Sec. 21, Hsin-Yi Rd.,
***address: Taipei Taiwan 100
country: TW
```

---

# O que isso significa?

- Um computador em Israel utilizou um servidor de Taiwan para envir um e-mail aos Estados Unidos, sendo que o remetente se diz da Guiné Bissau...

.center[
<img src="./imagens/spam.gif" width="400px" />
]
---

# Onde podemos encontrar outras pistas?

- Return-Path: é utilizado para indicar para qual endereço o e-mail deve ser devolvido em caso de erro. Em e-mails falsos, ele não é igual ao endereço que enviou o e-mail. Spammers não gostam de receber Spam.

- Reply-To: é o endereço que será preenchido no campo endereço de destino do cliente de e-mail. Se for diferente do campo From e do campo Return-path, é bem provável que seja fraudulento.

- X-Mailer: indica o cliente de e-mail utilizado para escrever a mensagem. Fique alerta se os nomes forem esquisitos.

- Bcc: geralmente, não está incluido nos e-mails. Sinal de que o e-mail foi escrito de forma automática

- X-Spam score, X-Spam flag, X-FOSE-spam, X-Spam status são indicadores dos servidores para a possibilidade de que esse e-mail é um spam. Entretanto, não são padronizados e devem ser analizados caso a caso.

---
class: inverse, middle, center

# Exercícios!

---

# Análise do cabeçalho 2

1. [Baixe esse arquivo](./fontes/email-header2.txt)

1. Responda (no Canvas)

- Qual o IP de origem da mensagem?

- De que país a mensagem vem?

- É o mesmo daquele indicado no corpo do e-mail?

- Qual é o Reply-to? É diferente do e-mail do remetente?

- É spam?

???

The X-Originating-IP is a email header field for identifying the originating IP address of a client connecting to a mail service's HTTP frontend