A investigação forense de e-mails refere-se a estudar profundamente a fonte e o conteúdo dos e-mails. O estudo envolve a identificação do remetente e destinatário reais dos e-mails em questão, data e hora da transmissão do e-mail, intenção da correspondência, registro da transação completa do e-mail. A investigação de e-mails prova ser útil em incidentes como abuso de e-mail, phishing de e-mail, golpes de e-mail e outros casos em que o uso do e-mail é difamado. Partes da investigação de e-mail incluem pesquisa de palavra-chave, investigação de metadados, varredura de porta, etc.
Técnicas para investigação de e-mail
As várias técnicas que são implantadas para realizar uma investigação eficaz e perfeita por e-mail são fornecidas abaixo:
1) Análise do cabeçalho do email
Análise de cabeçalho é feito para extrair as informações do remetente do e-mail e também o caminho pelo qual o e-mail foi transmitido. Normalmente, os metadados dos emails são armazenados nos cabeçalhos. Às vezes, esses cabeçalhos podem ser adulterados para ocultar a verdadeira identidade do remetente.
2) Táticas de isca
É o processo de rastrear o endereço IP do remetente de um determinado e-mail sob investigação. Nessa técnica, um e-mail contendo uma tag http: “$ lt; img src>” é enviado ao endereço de onde o e-mail foi recebido. O destinatário, neste caso, é o culpado. Quando o e-mail é aberto, um log contendo o endereço IP do destinatário é capturado pelo servidor de e-mail que hospeda a imagem e o destinatário é rastreado. Caso o destinatário esteja usando um servidor proxy, o endereço do servidor proxy é registrado.
3) Extração do servidor
A investigação do servidor é útil quando os e-mails que residem nas extremidades do remetente e do destinatário foram eliminados permanentemente. Uma vez que os servidores mantêm um registro dos emails enviados e recebidos, a investigação do registro irá gerar todos os emails excluídos. Além disso, os logs podem fornecer as informações da fonte de onde os emails foram gerados. A investigação do servidor não significa que todos os e-mails eliminados possam ser extraídos. Isso ocorre porque após um determinado período de retenção, os e-mails são excluídos permanentemente de um servidor.
4) Investigação de fontes de rede
Esta investigação é escolhida, quando os logs do servidor falham ao gerar as informações necessárias. Além disso, se os provedores de serviços de Internet não concederem acesso ao servidor, opta-se pela investigação das fontes de rede. Os logs gerados por hubs de rede, roteadores, firewalls, etc. fornecem informações sobre a origem da mensagem de e-mail.
Ferramentas populares implantadas para investigação de e-mail
Existem várias ferramentas de investigação de e-mail disponíveis, que auxiliam no processo completo de investigação. Essas ferramentas geram relatórios automatizados da investigação, identifica a origem e o destino dos emails e muito mais. Algumas das ferramentas que fazem parte deste domínio são:
1) Encaixe
EnCase permite que os investigadores façam imagens da unidade e preservem-na no formato E01, que pode ser investigado judicialmente e também pode ser apresentado em juízo como prova.
2) FTK
Forensic Toolkit é uma ferramenta de investigação abrangente conhecida pela investigação forense de e-mails por meio da descriptografia em e-mails.
3) MailXaminer
MailXaminer é uma ferramenta avançada de investigação de e-mail que suporta mais de 20 formatos de e-mail e cerca de 750 formatos MIME. A ferramenta está equipada com ótimos recursos como:
- Pesquisa avançada por palavras-chave
- Análise de link de e-mails
- Análise de tom de pele
- Análise de caixa de correio do Live Exchange e muito mais.
A ferramenta coleta evidências da maneira mais eficaz e gera um relatório de evidências completo.
Conclusão
As técnicas e ferramentas corretas, se usadas na investigação forense de e-mails, coletam evidências potenciais em um período de tempo muito curto. Portanto, para realizar uma investigação avançada de e-mail, é necessária a implantação da ferramenta certa.
Vicky
Post informativo, acho que desconheço um pouco desse assunto e devo dizer que aprendi ótimas informações com esse post.
Obrigado por compartilhar.
Niraj
Excelente artigo. É sempre bom aprender mais sobre como lidar com ofensas relacionadas a e-mail.
Obrigado!
Niraj
Mansoorvalli
Isso é muito informativo. Obrigado por compartilhar.
profundo
Caso o remetente envie um e-mail de phishing para a vítima e o remetente use VPN e envie um e-mail para um site de terceiros para enviar ao remetente autorizado como a investigação é feita.