Como identificar um Spoofing?

Izakdavis Sousa · 4 de maio de 2019

Olá boa tarde.

Em minha conta de email do outlook, na caixa de spam, de vez em quando aparece alguns emails que foram enviados para mim mesmo com propaganda.

Mês passado eu troquei minha senha, e achei que tinha resolvido. Mas fui olhar novamente e os emails continuam chegando e caindo no spam.

Tenho suspeita de que seja Spoofing, Mas tambem existe a possibilidade de que a minha senha foi comprometida por algum vírus.

Já verifiquei nas atividades recentes da minha conta. Teve algumas tentativas de login vindas da china, frança e vietnam. Mas todos falharam. Os unicos bem sucedidos são os meus logins. (obs: o email suspeito foi enviado em um dia que meu pc estava desligado, e não existe nenhum registro de login no dia em questão)

Da para identificar um Spoofing com os dados da origem da mensagem? Se sim, poderiam me dizer se isso é um Spoofing:

email suspeito:

Received: from SG2APC01HT165.eop-APC01.prod.protection.outlook.com (2603:10b6:405:4a::20) by BL0PR07MB4980.namprd07.prod.outlook.com with HTTPS via BN6PR1101CA0010.NAMPRD11.PROD.OUTLOOK.COM; Tue, 30 Apr 2019 19:54:07 +0000 Received: from SG2APC01FT020.eop-APC01.prod.protection.outlook.com (10.152.250.53) by SG2APC01HT165.eop-APC01.prod.protection.outlook.com (10.152.251.137) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1835.13; Tue, 30 Apr 2019 19:54:05 +0000 Authentication-Results: spf=softfail (sender IP is 172.105.18.52) smtp.mailfrom=live.com; hotmail.com; dkim=none (message not signed) header.d=none;hotmail.com; dmarc=fail action=none header.from=hotmail.com; Received-SPF: SoftFail (protection.outlook.com: domain of transitioning live.com discourages use of 172.105.18.52 as permitted sender) Received: from ubuntu.members.linode.com (172.105.18.52) by SG2APC01FT020.mail.protection.outlook.com (10.152.250.219) with Microsoft SMTP Server id 15.20.1835.13 via Frontend Transport; Tue, 30 Apr 2019 19:54:05 +0000 X-IncomingTopHeaderMarker: OriginalChecksum:9F446CAE8B7450ED5E69FBA81DE05D88EA29FC901DA4FE98D287EA42200C6974;UpperCasedChecksum:D4460B2B632EA30B1B8AF39D1977F8A1500F81938572D68A66D95D0344549D49;SizeAsReceived:800;Count:16 Received: by ubuntu.members.linode.com (Postfix, from userid 33) id 7A15820BCC; Tue, 30 Apr 2019 03:33:17 +0000 (UTC)

email de minha autoria:

Received: from HE1EUR01HT112.eop-EUR01.prod.protection.outlook.com (2603:10b6:208:e8::33) by BL0PR07MB4980.namprd07.prod.outlook.com with HTTPS via MN2PR20CA0020.NAMPRD20.PROD.OUTLOOK.COM; Sat, 4 May 2019 12:33:37 +0000 Received: from HE1EUR01FT018.eop-EUR01.prod.protection.outlook.com (10.152.0.52) by HE1EUR01HT112.eop-EUR01.prod.protection.outlook.com (10.152.1.40) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1856.11; Sat, 4 May 2019 12:33:36 +0000 Authentication-Results: spf=pass (sender IP is 40.92.4.13) smtp.mailfrom=hotmail.com; hotmail.com; dkim=pass (signature was verified) header.d=hotmail.com;hotmail.com; dmarc=pass action=none header.from=hotmail.com; Received-SPF: Pass (protection.outlook.com: domain of hotmail.com designates 40.92.4.13 as permitted sender) receiver=protection.outlook.com; client-ip=40.92.4.13; helo=NAM02-CY1-obe.outbound.protection.outlook.com; Received: from NAM02-CY1-obe.outbound.protection.outlook.com (40.92.4.13) by HE1EUR01FT018.mail.protection.outlook.com (10.152.0.175) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1856.11 via Frontend Transport; Sat, 4 May 2019 12:33:36 +0000 X-IncomingTopHeaderMarker: OriginalChecksum:958406C3D4B522F1FC57686B3587DF1995A0BFF2356D54B52E7D749A8FB24FB8;UpperCasedChecksum:634C4D01D79518C881B3D74660FC4E9F86C88CDA0A01215C457B771B402A2896;SizeAsReceived:4167;Count:36 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotmail.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=Dyj+dZbn6kzUymweddyPlnF551/9jXb9GOzurt1Pv9k=; b=UvUS/fV2A1iXFTZ4CYQ4Age+TSTNyYftzZuoGgvuxLYrelATZ6taQlYbRKDARQDFx/k9ayt9Vf121/yURB5QJUa1GChtcY6RWpDfCpwAf21ejMMho0x2wGAgZSoJEgWnBZLIbSuxO1iuYrbWwVdDji24lIwdtA6e3qJIRdJ6gt0zZiTvB1L+YyZz2fYAXAmCjDmt0pT0X+8eDoLwC5npSZzy+P8sNf2CLXnpLCjm3g3nQH5h0oxrbCJIAOAzuUZlDoBAdMTlafupoQBfWXIJzSukdYx7CvAX5IMCK0x1uVwMkyRFuPGT3Rjm1uur3TuATQFDoGzsERvvsvqfo0AfRw== Received: from SN1NAM02FT049.eop-nam02.prod.protection.outlook.com (10.152.72.59) by SN1NAM02HT186.eop-nam02.prod.protection.outlook.com (10.152.72.136) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1856.11; Sat, 4 May 2019 12:33:34 +0000 Received: from BL0PR07MB4980.namprd07.prod.outlook.com (10.152.72.58) by SN1NAM02FT049.mail.protection.outlook.com (10.152.72.166) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1856.11 via Frontend Transport; Sat, 4 May 2019 12:33:34 +0000 Received: from BL0PR07MB4980.namprd07.prod.outlook.com ([fe80::7102:9484:cb1d:d45d]) by BL0PR07MB4980.namprd07.prod.outlook.com ([fe80::7102:9484:cb1d:d45d%6]) with mapi id 15.20.1856.008; Sat, 4 May 2019 12:33:34 +0000

A partir disso é possível dizer se meus dados estão comprometidos, ou é só uma tentativa de spoofing?

Elias Pereira · 12 de maio de 2019

@Izakdavis Sousa

A principio parece ser spoofing. O e-mail suspeito tem o IP 172.105.18.52 que parece pertencer a ubuntu.members.linode.com.

Tu tem alguma conta nesse site?

Izakdavis Sousa · 16 de maio de 2019

@Elias Pereira Opa, boa noite. Se eu tenho conta nesse linode.com? Não, não tenho não.

Sendo assim isso é de fato um spoofing? Não ha motivos para preocupação, né?

Henrique - RJ · 16 de maio de 2019

@Izakdavis Sousa

Isso não deve ser spoofing até onde sei pelo que andei lendo faz tempo pois acho ser um tipo de invasão complicada para capturar apenas endereço de email e senha para simples envio de propaganda.

Isso deve ser algum vírus/malware que você tem instalado no teu Windows que está mandando esses emails por meio do teu login. Entra na sala de remoção de malware aqui do fórum e tenta tirar isso a limpo só que já aviso que deve levar dias para resolver pois esse serviço aqui no fórum tem sido lento faz tempo.