Curso de Forense Computacional - Aula 5.2 - Parte 2 - Análise Forense em caixas de e-mail

a gerência o pessoal vamos lá para segunda parte da nossa aula de análise caixa de e-mail tá você tem assistido a primeira tem a coisa tira vai ver um pouco algumas ferramentas tá a localização como encontrar a localização e análise aplicativos a gente não vai esgotar de forma alguma atrás de possibilidade de ferramentas de análise aqui é na verdade vai ser mais overview tá na visão macro do negócio aí vocês ficam à vontade para explorar e analisar mais informações tá com conhecimento aqui vocês conseguem andar sozinho então a gente fez aquela observação do cabeçalho né então principal fonte de informação que a gente tem 6 nós a cabeça né então ela pode ser útil sempre que você percebeu analisar mensagem suspeita lá inclusive como forma de divulgação disso para a empresa interna né até comunicar e fazer uma campanha de conscientização mas é daqui não exclui e-mail né ou quando forem repassar o e-mail para que dê resposta esse dente que coloca em o cabeçalho de meio junto tá então não vai passar então alguns sinais que a mensagem suspeita né então solicitar informações pessoais ou confidenciais só que sua mercadorias falsa né eu só isso algum tipo de medicamento até que a mensagem agora que eu uso o história né bem bonita estar laborado para pedir sua conta bancária né suas informações de cartão de crédito ou dizendo que você é ganhador na região eu dei um prêmio ou alguém no num país distante aí né que deixou uma herança que você foi contemplado com a esperança com parente antigo mas enfim várias histórias ali que se caracteriza como spam né como uma vez de para roubar informações um ficha tá então só você tá nome de usuário e senha tá isso aí é clássica então ou não sabe se diretamente mas abre uma página né pra ver de meio só isso bom então pessoal da do pescador por exemplo tem divulgou essa cartilha aí cê infográfico sobre igual que difícil declaração de imposto de renda tá como vai ter que estar né que meio falso vem da receita né te enganar né me mostra mensagem bonitinha e aí faz um download de uma hora e o mal pode capturar informações que ele serve usuário tá então aqui tem um exemplo de mesmo receita federal gov arroba receita. co né então veja que vai pegar o e-mail falso então preste atenção ao e-mail domingo do remetente tá bom lá em cima receita. com tá os atacar os interesses similares para confundir as vítimas a eu tenho aqui a logo lá eles usam a se inscrevendo nunca envie e-mail se atualização do contribuinte natureza terceiros a fazer em seu nome mas logo irei não faz isso então comunicando a cara contribuindo atrás de aviso às vezes acontece que eu aviso com z né então eu de português são comuns então pode ser que não tenha mais comum que esses erros tá e e deve ser iguais também programa receitanet para centro do coração então em 2017 não será necessário baixar o receitanet para declaração de imposto de renda tá então tem sido excluído dentro do próprio aplicativo lado irpf você já conseguiu fazer isso e aí balão do programa né tem que prestar atenção se o link né que ele vai transmitir né vai para fazer o download daquele programa se é do caso da receita federal tá então você vai sair da fazenda assim não for então não é é de lá não é original tá não tem mais aí isso é a fonte tranquilo e vamos interessante também para avisar interno a então como a gente pode analisar os cabeçalhos tá da nossa 19.

000 suspeito do que for então tem o mensagem reta tá é uma ferramenta vendo muito box sai do g-switch eu qual você cola aqui o cabeça a gente aprendeu é como é que a gente captura esses cabeçalhos então a gente cola o cabeça aqui e posso fazer essa larissa tá então nessa página aqui a ml hif38 aí ou não é do mete ali ele mostra aqui inclusive para fazer uma análise da cabeça de e-mail para e-mail fishing tá muito bom né detalhado vale a pena que a gente não exercício inclusive aqui olha a pena dar uma olhada então ele fala aqui né quando tiver a dupla né você gripada não tem que de 6 o like no e-mail né suspeito tá um posto de rede social uma de ver tais nenhum propaganda tá se você vai terminar e vai informações pessoais tá então mesmo que pareça naquele origem confiável tá então tem uns spoof ele de origem para o filho de nome é que você consegue alterar o nome do seu e-mail parabéns parecido tá então mas só essas informações já já não é tá então fique bem e o ex não é bem assim acho que agir né se concentrar de comunicação o que é que vai você vai fazer melhor também tá novamente de quem esse senso de urgência né beleza para que você possa ficar logo vou ficar sem pensar direito tá então aqui tem um shampoo um de um de um cabeçalho tá perto lado do clube deixa mas não é meio raro acontecer depois cabeçalho dele tá e jogou aqui dentro do messenger da né do jesuíta autobox mostrava messenger de ir tá loja quando foi criado que meia hora brt tá tá bom 17 2013 from de quem foi que enviou esse aqui foi o josé ficará vieira a arroba hall tá bom a para quem né a esposa né então foi isso vai pagar é um com assunto na espanha e-mail é esse o cidadão deve ser bloqueado total beleza e aqui tem informações a respeito é o usa tá beleza menos 12 para quem foi do usuário para o meio ponto shake. it w né que é o bichinho tá depois ele veio aqui ó tem 45 depois para esse endereço para esse aqui depois eu peguei no é fechar com cuidado com pontas tw para que ele vai fazendo todo o tracker é todo o rastreamento tá para saber onde é que tem horário de cada um recebeu né isso é a mensagem daqui do uso foi para isso aqui e recebeu a gente 3338 de 17 janeiro 2013 sabe aqui ó quase alguns segundos depois na 8412 foi preso servidor depois aí aqui dele e para outro servidor big fish aqui quase um minuto um pouco mais de um minuto tá e aí até chegar o bichinho tá bom então ele faz tudo esse rastreamento se consegue ver qual é a origem aqui consegue pegar no caso aqui do mês vai ver se eu consigo vai ficar aqui atrás de ruins tá então você usar o ferramenta na minha comando mesmas coisas ele é o online ruins e consegui ficar aqui com o ip que o dns tá aqui quer que corresponde por essa parte aqui tá eu outra ferramenta aqui é o e-mail é de análise nós com ferramentas online tá então eu consigo vai ficar aqui cola o cabeçalho tem uma colher mesmo cabeçalho tá lá do eu queria que te ranger então até que informações ó eu subject do e-mail assunto do e-mail tá ele mostra algumas informações de entrega para foi recebido em 3 segundos e ninguém vai escrever se fossem tava ver né o uso de origem até o endereço de e-mail tarde felipe aqui tá então ele manda aqui para o para esse mês já que ele a bosta endereço de ip aqui então você nem precisa se preocupar não fazer os nada eu achei qual foi o protocolo smtp qual foi a data tá bem a de recebe ele mostra que esse esse usa aqui esse x aqui no final do blacklist mostra que ele tá dentro de um abraço a gente tá tem uma uma lista aqui que é esse aqui é um possível e-mail fraudulento não é o meu e-mail tá baseado para fazer que a gente só de mal eu diferente tá então eu tenho que o espaço no meu hope um dois três é o dele é um minuto depois ele chega nesse aqui para esse p tá manda para esse aqui daí 99 outra vez aqui já o tem que ter bebê quando ele é se é morte o horário também esse ip tá dentro de uma betty lista então roupa e 42 segundos depois manda para cá e aí vai seguindo os caminhos né taxa o que é o destino tabém natural aqui no finalzinho por vsmp via ts tranquilo pessoal passar canais aí não dá para saber se tem algum biquíni já né que veio tá então tem o spfc com a ir en formation né que são formas autenticação e verificação da origem de shingon eu tenho que dizer que veio a rua ponta gari meu tio tá informações do demarchi tem que o stf tá o ip esse peixão ok aí forma só seguir em forma de texto tá tentando na consulta de dns a formação de um filtro de queixo feio né tá dentro do stf aqui aí você pode clicar assim mais informações é o dns hoje para é um yahoo tá aí quando foi a rua a consulta né você em julho 2020 o tempo e o terceiro tá quando foi isso aqui beleza somente para para mim na casa da consulta que foi para ti foi isso aqui beleza pessoal então aí que você canalizac verificar alguns peso eu tenho aqui o cabeça ali encontrado né aqui de forma de tabela bem organizado a gente pega aquele baralhado de informações que consegue modificar olha eu acho que eu a origem né tá se falando antes pano importa na verdade o x big fish esses tipos mais comuns um comentário tá dentro do seu leitor lado de e-mail mas traz informações importantes de cabeçalho também o tempo que a gente vai no baile desligação só foi quando for responder responda aparece aqui ó tá 444 ouvir a rua tá aqui a obesidade né para fazer aquele track a ir a uma praia de única também o e-mail com fé a data beleza pessoal deu para entender que todo esse emaranhado de informações na interessante observar sempre aqui tá a partir do from e fazer essa análise dá um toque né de baixo para cima tá tá mais aqui o som ele vai responder tal messenger messenger de ir à authentication o oni formação entre o lado aquele passo a passo vai chegando tá beleza essa mensagem ó fosse parece um só tá e aqui eu tenho score dele ah tá ei mais informações o som embaixo do tipo do conteúdo tá então texto dubai então o meio da microsoft outlook express me retorne pré-show vieira arroba ol o'mine veste aqui embaixo 1. 0 aqui é tem outra ferramenta né que é o e-mail tracker pro é uma ferramenta e é paga tá então tá aqui o link do vídeo se a casa tem um tempo trial e aqui tá carregando então aqui ele vai explicando como utilizar essa ferramenta tá se você baixa coloca suas informações de conta aqui e depois a gente informações de conta por causa dele aqui é do outlook o cd com as credenciais eu abri o e-mail tá e vai na opções para poder fazer primeiro track né tá aceito né parece transferência entre o seu webmail tá e ao e-mail tracker pro tá bem então você pode utilizar um pop ou imap para poder fazer para você baixar esses e-mails para dentro do o e-mail tracker pro tá eles fazem e-mail e coloca aqui tá fez agradeci ao tudo bem você fez aquele deixar você clica em recife e-mail tá chegando de mesa aqui o nome dele né aquele bar oi e aí tá quando a gente vai receber tá então recebe os e-mails e dentro desses e-mails aqui ele consegue fazer a fazer uma análise do cabeçalho análise mais precisa tá inclusive verificar que a trackear e verificar aqui qual foi o endereço e pera outlook para o e-mail tal é que ele mostra informações do cabeçalho né isso aqui facilita a todos os traços que eu passo a passo que ele fez a gente usou aqui o outras ferramentas né para eu ficar o e-mail né e aí a gente aqui tá fazendo do e-mail tracker pro ele mostra dentro dele mesmo tá todos os caminhos e p e a localização né de onde que esse p sair tá mas foi os passos que ele que ele seguiu tranquilo e v a gente viu que tá dentro da do meio header analyzer e viu dentro do box né do e-mail regra também do gmail tá beleza bom então localização geográfica entre vi alina dentro do meu tracker pro é mostra aí para o padrão na como vai fazer análise tão corrente não usa o seu e-mail realiza a gente pode verificar e pena inclusive b que tá lá e aí perceber qual ip e procurar fonte online não tá para poder localizar onde está esse p claro que nós sempre tem certeza né que pode ter vpn sally por baixo pode ter proxy mas é é um indicativo tá pode ser uma fonte aqui o e-mail utilizado lá dentro daquele e-mail daquele cabeçalho que a gente coletou tá fiz analisar atrás das coisas novas e 25 113 emoji que aqui é um local e em taipei tá eu tô hides lá o provedor então ele mostra que o mapa se consegue o cachorro map ele mostra lá no local dentro de taipei tá outra página é o ip geolocation ponto aí o o que você coloca também eu ir aqui é o ip do facebook mas é vamos roletar aí e meia né tá vendendo esse look up who his ou um pra outro pincel semana o pinguim para o domínio ele vai mostrar o ip então você pega esse p ele mostra que ela tentou longitude e aqueles você quer você pode pegar para ir pode ver aqui online também no facebook a moeda dólar total dia de beleza eu tenho vi more que vai mostrar mais informações a respeito aí desse pende localização pensa site perverso trotinetes que ele mostra quais são os alguns domínios que tem na lado do bloco ele aqui dá o país que mandam span vai tá isso aqui pode ser importante fazer a regra de faro ou coisa do tipo entender se o seu ip aí tá dentro daqueles corpo algo seu ip dentro de uma bronca e neste claro na base lixo ou se você aquele que recebeu naquele domingo recebeu tá aqui poder tá aqui por dentro tá tá com escola baixo certo então me mostra aqui um exemplo abrir aqui do e esse zone quero bahamas é que ele mostra a quantidade de peixes né e aí gente que tá bloqueado então tem um 19 box tá aqui ó barra 20/19 doido desse jeito aqui estão bloqueadas tá bom hoje nesse país tá estranho quer ver analisar qual o ip né o carro responsável daniele responsável por aquele alternador meninas só recebendo a menina um pouco fn.

br mas o que descobri só que a jussara para você ligar ponto ufrn. br eu acho que isso é boa mas desocultar aqui falta aniversário tá jogando ódio documento cnpj tá te contar titular é que às vezes dns daquele mesmo recebendo e-mail só doença o dns do domínio vai ser muito bem cozido embaixo tem em contato lá do núcleo de resposta acidente da ufrn tá então se você receber alguém mesmo só doente ufrn condomínio fn. br você pode entrar em contato com o pessoal lá e comunicado da mesma forma com outras tá a organização está outra aqui então ainda que o iptu location no ponto com uma forma de me aqui também só coloque pelada dns do frn domínio ufrn.

br ele mostrar que duas informações tá bebê país a região do norte cidade natal a escola de nada da cidade tá só na geográfica dos aquele p tá qual é o i s p u para os rn a local time foi feita consulta na do minha tá uma companhia dvd que eu zip code tá acordado essa mensagem continente país a twitter moldes é que você quiser ferramentas exclusivas aqui da repetir location tá fazer bolt e aí mostra também um enviar né uma pe porque consegue enxergar essas informações você querer consumir e fazer bora lá no seu se eu quiser fazer um dashboard bacana aí tá bem bom então outra ferramenta aqui é consegue eu consigo verificar aqui é outro pega aí pra gente falou ele mostra que o score deve tá aqui a limpeza essa aqui é o get ip intel tá então ele mostra baseado em heurísticas alien detecção de ip e etc né várias fontes você querer é alto ou baixo então a gente ver aquele outro mais alta né então pior é quando mais provável de ser um ip malicioso tal e perco origem maliciosa tá indo botou aquele pq foi visualizar anterior ali mostrar aqui hoje qual você bota em pé aqui do denise ferreira mostra escola bem baixinho tá então como fazer um narizinho webmail tá então um exemplo a gente viu anteriormente nosso e-mail tracker pro fazendo isso com o outlook outra forma fazer para gmail através do google tem que altos né eu vou ter caldo que você consegue fazer isso mesmo forma você baixa e faz essa sincronia através do pop do imepi tá então essa imagem que é do vídeo da luz de deus a segurança então você faz o login dentro do gmail né e aí a vai fazer a fazer download do navegador tem calça né aquele causa com gmail.