Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Proteção de e-mail e navegação: filtros, sandboxing e bloqueio de URLs

Capítulo 12

Tempo estimado de leitura: 14 minutos

+ Exercício

Proteger e-mail e navegação significa reduzir ao máximo a chance de que uma mensagem ou um clique leve a execução de código malicioso, roubo de credenciais ou exfiltração de dados. Para isso, organizações combinam camadas técnicas que atuam antes, durante e depois do acesso: filtros (para bloquear ou sinalizar conteúdo suspeito), sandboxing (para executar anexos/links em ambiente isolado e observar comportamento) e bloqueio de URLs (para impedir acesso a destinos perigosos, inclusive recém-criados ou comprometidos). O objetivo não é “pegar o golpe perfeito”, e sim diminuir a superfície de ataque e aumentar o custo do atacante, mantendo a operação do negócio.

1) Filtros de e-mail: o que são e como funcionam na prática

Filtros de e-mail são mecanismos que analisam mensagens antes de chegarem à caixa de entrada (ou no momento da entrega) para classificar, bloquear, colocar em quarentena ou adicionar avisos. Eles podem estar no gateway de e-mail (antes do servidor/serviço de e-mail), no próprio provedor de e-mail, ou em agentes no endpoint. Em geral, um filtro moderno combina várias técnicas:

  • Reputação e inteligência de ameaças: compara IPs, domínios, URLs e hashes de anexos com bases de reputação e feeds de ameaças. Útil para bloquear campanhas já conhecidas.

  • Análise de conteúdo: procura padrões de fraude, engenharia social, linguagem de urgência, pedidos de credenciais, instruções de pagamento, e combina isso com contexto (por exemplo, mensagem externa para um grupo financeiro).

  • Detecção de anomalias: identifica desvios do padrão normal (horário incomum, volume anormal, remetente nunca visto, assunto semelhante a campanhas anteriores, etc.).

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Inspeção de anexos: verifica tipo real do arquivo, macros, scripts, objetos incorporados, e pode bloquear extensões de alto risco ou forçar conversão para formato seguro.

  • Reescrita e proteção de links: substitui URLs por links de redirecionamento que serão verificados no clique (time-of-click), reduzindo risco de URLs que “mudam” depois da entrega.

1.1 Políticas de filtragem: bloqueio, quarentena e sinalização

Uma política eficaz equilibra segurança e continuidade. Três ações são comuns:

  • Bloquear: indicado para itens de alta confiança maliciosa (malware confirmado, domínios em blocklist, anexos proibidos).

  • Quarentenar: indicado para suspeitas com chance de falso positivo (ex.: anexos raros, remetentes novos, links encurtados). Permite revisão por TI ou pelo usuário com orientação.

  • Sinalizar/avisar: adiciona banners como “E-mail externo” ou “Mensagem suspeita”. É útil, mas não deve ser a única barreira, porque depende de atenção humana.

Exemplo prático: mensagens externas para o time financeiro contendo anexos com macros podem ser automaticamente colocadas em quarentena, enquanto mensagens externas com PDF simples podem ser entregues com banner de alerta e verificação de links no clique.

1.2 Controles recomendados em anexos

Anexos continuam sendo um vetor relevante por permitirem execução local ou coleta de credenciais. Controles típicos:

  • Bloqueio por tipo real (MIME) e não só por extensão: impede que um executável renomeado como “.pdf” passe.

  • Bloqueio/limitação de macros: anexos do Office com macros (VBA) podem ser bloqueados, ou permitidos apenas de fontes internas assinadas.

  • Desarme e reconstrução de conteúdo (CDR): remove elementos ativos (scripts, macros, objetos) e entrega uma versão “higienizada”.

  • Proteção contra arquivos compactados: limitar profundidade de ZIP/RAR, tamanho, e detectar “zip bombs”.

Um padrão simples e efetivo é: bloquear executáveis e scripts (por exemplo, .exe, .js, .vbs, .ps1), restringir documentos com macros, e aplicar CDR para PDFs e Office quando possível.

1.3 Passo a passo: desenhando uma política de filtro de e-mail

Este roteiro ajuda a sair do “padrão do fornecedor” para uma política alinhada ao risco:

  • 1) Mapear perfis e fluxos críticos: identifique caixas de alto risco (financeiro, RH, diretoria, suporte) e fluxos externos (fornecedores, clientes, parceiros).

  • 2) Definir categorias de anexos: (a) proibidos, (b) permitidos com quarentena, (c) permitidos com CDR, (d) permitidos livremente. Documente exceções.

  • 3) Definir ações por nível de confiança: alta confiança maliciosa = bloquear; suspeita = quarentena; baixa suspeita = banner + verificação no clique.

  • 4) Ativar proteção de links no clique: habilite reescrita de URLs e inspeção no momento do acesso.

  • 5) Criar regras específicas por grupo: por exemplo, “financeiro: quarentena para anexos com macro vindos de fora” e “RH: bloquear arquivos compactados com executáveis”.

  • 6) Ajustar com base em telemetria: acompanhe falsos positivos, tipos de ameaça mais frequentes, e refine regras semanalmente no início.

  • 7) Definir processo de liberação: quem aprova a liberação de quarentena? Em quanto tempo? Como registrar justificativa?

2) Sandboxing: isolando anexos e links para observar comportamento

Sandboxing é a execução controlada de um arquivo ou a abertura de um link em um ambiente isolado (virtualizado ou em contêiner), com monitoramento de comportamento. Em vez de depender apenas de assinaturas (hash conhecido) ou heurísticas estáticas (como “tem macro”), a sandbox observa ações: criação de processos, tentativas de persistência, conexões de rede, alteração de registro, injeção em memória, download de payloads, e técnicas de evasão.

Existem duas aplicações principais:

  • Sandbox de anexos: o arquivo é detonado (executado/aberto) automaticamente; se apresentar comportamento malicioso, a mensagem é bloqueada ou colocada em quarentena.

  • Sandbox de URLs: o sistema acessa o link em navegador instrumentado, segue redirecionamentos, observa scripts e downloads, e classifica o destino.

2.1 O que a sandbox consegue e o que não consegue

Sandbox é poderosa, mas não é mágica. Ela funciona muito bem para malware que executa ações observáveis rapidamente. Porém, atacantes podem tentar:

  • Delay: esperar minutos/horas para executar o payload.

  • Detecção de ambiente virtual: checar artefatos de VM/sandbox e “se comportar bem”.

  • Gatilhos específicos: executar apenas após interação humana (cliques, rolagem, habilitar conteúdo) ou em condições de idioma/região.

Por isso, sandbox deve ser combinada com bloqueio por política (tipos de arquivo), verificação no clique, e controles no endpoint (EDR/antimalware). A ideia é: se a sandbox não “pegar”, outras camadas ainda reduzem o impacto.

2.2 Passo a passo: implementando sandboxing em e-mail

  • 1) Escolher o ponto de inspeção: gateway de e-mail (antes da entrega) ou pós-entrega (via API no provedor). Gateway tende a bloquear antes do usuário ver; API pode ter melhor integração com caixas e resposta.

  • 2) Definir quais itens vão para sandbox: anexos executáveis, documentos com macros, PDFs com objetos ativos, links encurtados, URLs recém-registradas ou com baixa reputação.

  • 3) Definir tempo máximo de análise: sandbox pode adicionar latência. Uma prática é: entregar com atraso controlado para itens suspeitos (por exemplo, até X minutos) e, se exceder, colocar em quarentena.

  • 4) Configurar ações automáticas: se malicioso = bloquear e remover de todas as caixas; se suspeito = quarentena; se limpo = entregar com registro.

  • 5) Integrar com resposta: ao detectar ameaça, gerar IOC (hash, URL, domínio) para alimentar bloqueio de navegação e regras no endpoint.

  • 6) Testar com amostras controladas: use arquivos de teste e simulações internas para validar fluxo de quarentena, liberação e auditoria.

2.3 Sandboxing de navegação: isolamento do navegador

Além de analisar URLs em sandbox, há o modelo de isolamento do navegador (browser isolation): o usuário navega, mas o conteúdo ativo roda em ambiente remoto/isolado; o endpoint recebe apenas uma renderização segura (por streaming ou DOM sanitizado). Isso reduz risco de exploração de vulnerabilidades do navegador e de scripts maliciosos, especialmente em acessos a sites desconhecidos.

Casos de uso comuns: acesso a webmail pessoal em ambiente corporativo, pesquisa em sites pouco confiáveis, abertura de links recebidos por e-mail externo, e navegação de equipes que precisam acessar muitos domínios novos (por exemplo, compras e prospecção).

3) Bloqueio de URLs: impedindo o clique de virar incidente

Bloqueio de URLs é o conjunto de controles que evita que usuários acessem destinos perigosos. Ele pode ocorrer em diferentes camadas: no próprio e-mail (proteção no clique), no DNS (bloqueio por resolução), no proxy/secure web gateway (inspeção HTTP/HTTPS), no firewall, ou no endpoint (agente que intercepta navegação). A melhor cobertura vem da combinação, porque cada camada enxerga e bloqueia de um jeito.

3.1 Abordagens de bloqueio

  • Blocklist/allowlist: listas explícitas. Útil para domínios corporativos e parceiros (allowlist) e para domínios comprovadamente maliciosos (blocklist). Limitação: atacantes mudam de domínio com facilidade.

  • Categorização por reputação: bloqueia categorias de risco (domínios recém-criados, baixa reputação, hospedagem suspeita, phishing conhecido). Bom para escala.

  • Inspeção de conteúdo: analisa a página e seus scripts para detectar coleta de credenciais, kits de phishing e redirecionamentos. Pode exigir inspeção TLS (decriptação) em ambiente corporativo.

  • Bloqueio por DNS: impede resolução de domínios perigosos. É rápido e simples, mas não vê caminho completo da URL (apenas domínio) e pode ser contornado com DNS alternativo se não houver controle.

  • Time-of-click: reavalia o link no momento do clique, reduzindo risco de “URL limpa na entrega e maliciosa depois”.

3.2 Passo a passo: criando uma política de bloqueio de URLs

  • 1) Definir objetivos e escopo: bloquear phishing e malware, reduzir acesso a domínios recém-criados, controlar categorias (ex.: sites de compartilhamento anônimo) conforme necessidade do negócio.

  • 2) Escolher camadas mínimas: (a) proteção de links no e-mail, (b) DNS seguro corporativo, (c) proxy/SWG ou agente no endpoint para roaming.

  • 3) Estabelecer categorias e exceções: crie categorias “bloqueio total”, “bloqueio com justificativa”, “permitido”. Documente exceções por área.

  • 4) Definir tratamento para domínios recém-registrados: por exemplo, bloquear por 7–30 dias, ou exigir isolamento do navegador para acesso. Ajuste conforme impacto no negócio.

  • 5) Configurar páginas de bloqueio com orientação: a tela deve informar que o acesso foi bloqueado por segurança e como solicitar liberação (sem expor detalhes que ajudem atacantes).

  • 6) Integrar logs: registre usuário, máquina, URL, categoria, ação tomada e origem (e-mail, chat, navegador). Isso acelera investigação.

  • 7) Testar cenários reais: links encurtados, redirecionamentos múltiplos, URLs com parâmetros longos, e acesso fora da rede corporativa.

3.3 Lidando com encurtadores e redirecionamentos

URLs encurtadas e cadeias de redirecionamento dificultam a análise. Boas práticas:

  • Expandir URL antes de permitir: o sistema deve seguir redirecionamentos em ambiente controlado e avaliar o destino final.

  • Bloquear encurtadores não autorizados: permitir apenas os necessários ao negócio, quando possível.

  • Aplicar verificação no clique: reduz risco de redirecionamento dinâmico.

Exemplo prático: um link “bit.ly/…” pode ser expandido para um domínio recém-criado. Mesmo que o encurtador seja legítimo, o destino final pode ser bloqueado por reputação ou por política de “domínios novos”.

4) Integração entre e-mail e navegação: a camada que muitos esquecem

Um erro comum é tratar e-mail e web como silos. Na prática, campanhas maliciosas usam e-mail para levar à web (captura de credenciais, downloads, páginas intermediárias). Quando um filtro de e-mail detecta um URL malicioso, esse indicador deve alimentar automaticamente o bloqueio de navegação. E quando o proxy/DNS detecta um domínio suspeito acessado por muitos usuários, isso deve retroalimentar regras de e-mail (por exemplo, quarentenar mensagens com aquele domínio).

4.1 Passo a passo: fluxo de retroalimentação de indicadores (IOCs)

  • 1) Definir fontes de IOC: gateway de e-mail, sandbox, proxy/SWG, DNS, EDR.

  • 2) Normalizar indicadores: domínios, URLs completas, hashes de anexos, IPs, certificados TLS suspeitos.

  • 3) Automatizar distribuição: publicar IOCs em listas de bloqueio de DNS/proxy e em regras do filtro de e-mail.

  • 4) Definir validade (TTL): alguns IOCs expiram rápido (URLs de campanha), outros podem ser duradouros (hash de malware). Use prazos diferentes.

  • 5) Monitorar impacto: ver quantos bloqueios ocorreram após a publicação e se houve falsos positivos.

5) Controles complementares que fortalecem filtros, sandbox e bloqueio

5.1 Princípio do menor privilégio para navegação

Mesmo com bloqueio de URLs, usuários podem acessar conteúdo arriscado por necessidade. Reduza impacto:

  • Sem privilégios administrativos no endpoint para usuários comuns.

  • Aplicações padrão endurecidas: navegador com políticas corporativas, desativação de plugins desnecessários, atualização automática.

  • Download controlado: exigir que downloads de certos tipos (executáveis, scripts) sejam bloqueados ou passem por verificação adicional.

5.2 TLS inspection (quando aplicável) e privacidade

Para detectar páginas de phishing e downloads maliciosos em HTTPS, muitas organizações usam inspeção TLS no proxy/SWG. Isso aumenta visibilidade, mas exige governança: comunicar política, limitar inspeção a dispositivos corporativos, excluir categorias sensíveis quando necessário (por exemplo, saúde), e proteger logs. Se TLS inspection não for viável, priorize DNS seguro, isolamento do navegador e verificação no clique.

5.3 Banners e avisos: úteis, mas com critérios

Avisos em e-mails externos ajudam a reduzir cliques impulsivos, mas podem gerar fadiga. Boas práticas:

  • Use avisos contextuais: por exemplo, destacar quando há link para login externo, quando o remetente é externo e o assunto envolve ação urgente, ou quando há anexo incomum.

  • Evite avisos genéricos em tudo: se todo e-mail tem alerta, ninguém lê.

  • Combine com bloqueio real: avisos devem acompanhar controles técnicos, não substituí-los.

6) Exercícios práticos e checklists operacionais

6.1 Checklist de endurecimento do filtro de e-mail

  • Bloqueio por tipo real de arquivo (MIME) e não apenas extensão.

  • Política clara para macros: bloquear por padrão, permitir apenas exceções controladas.

  • CDR habilitado para formatos suportados (PDF/Office) quando possível.

  • Quarentena com fluxo de aprovação e auditoria.

  • Proteção de links no clique habilitada e registrada em logs.

  • Regras específicas para grupos de alto risco (financeiro, RH, diretoria).

6.2 Checklist de sandboxing

  • Detonação de anexos e URLs com política de tempo máximo.

  • Ações automáticas: bloquear/quarentenar/remover retroativamente.

  • Geração e exportação de IOCs para outras camadas (DNS/proxy/EDR).

  • Testes periódicos com amostras controladas e simulações internas.

  • Revisão de falsos positivos e ajuste de sensibilidade.

6.3 Checklist de bloqueio de URLs

  • DNS seguro corporativo com bloqueio de domínios maliciosos e recém-criados (conforme política).

  • Proxy/SWG ou agente no endpoint para usuários fora da rede.

  • Política para encurtadores: expandir e avaliar destino final.

  • Página de bloqueio com instruções de solicitação de liberação.

  • Logs centralizados com usuário, dispositivo, URL, categoria e ação.

7) Cenários de aplicação: como as camadas se combinam

7.1 Mensagem com anexo “inofensivo” que tenta baixar payload

Um documento aparentemente comum chega por e-mail. O filtro detecta que é um formato permitido, mas com elementos ativos. A política envia para sandbox. Na detonação, o arquivo tenta abrir um processo e conectar a um domínio recém-criado para baixar um executável. Resultado: a mensagem é bloqueada e o domínio é automaticamente adicionado ao bloqueio de DNS/proxy. Mesmo que alguém receba uma variante do e-mail por outro canal, a navegação ao domínio já estará bloqueada.

7.2 Link que muda depois da entrega

Um e-mail contém um link que, no momento da entrega, aponta para uma página limpa. Horas depois, o mesmo link redireciona para um kit de phishing. Com verificação no clique, o sistema reavalia o destino no momento do acesso e bloqueia. Se o usuário estiver fora da rede, o agente de endpoint/proxy ainda aplica a política.

7.3 Domínio comprometido de parceiro legítimo

Nem todo risco vem de domínios “estranhos”. Um site legítimo pode ser comprometido e hospedar um arquivo malicioso temporariamente. Aqui, reputação pode falhar. A combinação de inspeção de download, sandboxing do arquivo baixado e controle de tipo de arquivo (bloquear executáveis) reduz a chance de execução. Logs do proxy ajudam a identificar quem tentou acessar e se houve download.

Agora responda o exercício sobre o conteúdo:

Qual combinação de controles reduz melhor o risco quando um link parece seguro na entrega, mas pode se tornar malicioso depois?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Verificação no clique reavalia o link no momento do acesso, mitigando URLs que mudam após a entrega. Ao combinar com bloqueio de URLs em DNS/proxy/endpoint, aumenta-se a cobertura e reduz-se a chance de o clique virar incidente.

Próximo capitúlo

Autenticação forte e redução de risco: MFA, chaves FIDO e políticas de acesso

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store