Índice
As campanhas de falsos avisos de entrega DHL têm se multiplicado nos últimos anos, visando tanto indivíduos quanto profissionais. Por trás desses e-mails enganosos, esconde-se uma técnica cada vez mais sofisticada: a manipulação do DKIM (DomainKeys Identified Mail), que serve para autenticar o remetente e garantir a integridade da mensagem. Certas variantes DKIM são sistematicamente utilizadas nessas campanhas, o que permite detectar e antecipar as tentativas de fraude antes que os usuários cliquem em links maliciosos.
Nas análises de várias campanhas recentes, uma variante DKIM particular aparece sistematicamente. Trata-se frequentemente de uma assinatura DKIM ligeiramente alterada, utilizando chaves públicas ou seletores não ligados aos servidores oficiais da DHL. Enquanto os e-mails legítimos são assinados através de um seletor oficial, os falsos avisos exibem um seletor como “dhl-notify” ou “track-info” associado a um domínio falsificado, muitas vezes próximo do original, mas com modificações sutis na ortografia.
Essa modificação permite que os atacantes passem por alguns filtros anti-spam, ao mesmo tempo que permite que os especialistas em segurança identifiquem rapidamente a mensagem como suspeita. Os logs de análise DKIM mostram que mais de 85% dos e-mails identificados como falsos utilizam essa mesma estrutura de seletor, o que o torna um indicador confiável para a detecção automatizada.
O DKIM serve para validar que o e-mail realmente provém do domínio indicado e não foi modificado durante o transporte. Os fraudadores exploram variantes de DKIM para enganar os sistemas de mensagens e evitar serem bloqueados pelos filtros SPF ou DMARC. Ao modificar ligeiramente a assinatura ou o seletor, eles criam uma aparência de autenticidade, suficientemente credível para que alguns usuários abram a mensagem.
Essa estratégia é particularmente eficaz nas campanhas de falsos avisos DHL, pois a confiança na marca é alta e a urgência da mensagem incentiva o clique. As análises mostram que cerca de 70% dos destinatários que abrem esses e-mails suspeitos o fazem antes que um alerta anti-spam os avise, destacando a importância de reconhecer a variante DKIM utilizada.
O DKIM não é o único elemento que permite detectar essas campanhas. Os fraudadores frequentemente combinam a assinatura DKIM alterada com domínios ligeiramente diferentes, links encurtados ou mensagens simulando atualizações de entrega reais. No entanto, a variante DKIM continua sendo o elemento técnico mais confiável para automatizar a detecção, especialmente nos fluxos massivos de e-mails.
Os sistemas de segurança modernos agora integram a análise dos seletores DKIM, o SPF e o DMARC para determinar a legitimidade de uma mensagem. Quando um seletor desconhecido ou alterado é detectado, a mensagem é marcada como potencialmente perigosa. Essa combinação reduz o risco para os usuários finais e permite filtrar as campanhas de falsos avisos antes que elas cheguem à caixa de entrada.
Para limitar os riscos, é aconselhável que os usuários e as empresas verifiquem a assinatura DKIM dos e-mails provenientes da DHL ou de outros serviços de entrega. As ferramentas de mensagens avançadas e alguns plugins permitem exibir o seletor e o domínio utilizados. Uma assinatura DKIM não conforme ao padrão oficial é um forte sinal de tentativa de fraude.
As equipes de segurança também podem configurar regras automáticas para bloquear ou colocar em quarentena os e-mails cujo seletor DKIM não corresponde ao domínio oficial DHL. Associado à vigilância sobre os links contidos na mensagem, isso constitui um método eficaz para reduzir o risco de phishing e malware nas campanhas de falsos avisos.