O e-mail é conhecidamente o principal meio de comunicação corporativa, sendo utilizado tanto internamente quanto em comunicação com clientes. Com o uso diário, torna-se uma das principais ferramentas da empresa. Com o avanço da tecnologia, os serviços de e-mail podem ser utilizados tanto como SaaS (Software as a Service) quanto através das próprias infraestruturas das empresas, utilizando domínios próprios e servidores dedicados a isso. 

Um dos serviços essenciais para o funcionamento do e-mail é o SMTP (Simple Mail Transfer Protocol), principal protocolo responsável pelo envio dos e-mails a partir de um domínio específico. Apesar de parecer inofensivo para muitos, caso seja configurado inadequadamente, o SMTP pode acabar expondo para a Internet as máquinas que executam estes serviços.

Somente uma pequena parcela dos usuários tem acesso direto ao SMTP, enquanto a maioria dos usuários envia e recebe e-mails via navegador ou por aplicações já amplamente conhecidas e utilizadas. O serviço de SMTP só deve ser acessado por quem é devido, como responsáveis pela infraestrutura da empresa. Contudo, caso este serviço seja acessado por pessoas não autorizadas, a empresa pode ser alvo de atacantes que abusam desse tipo de fragilidade. 

Neste caso, ter um SMTP exposto para a Internet pode aumentar significativamente a superfície de ataque de uma empresa, uma vez que o serviço possui credenciais de acesso, estas muitas vezes acabam recebendo menos atenção do que as credenciais de contas de e-mail. 

Com credenciais fracas, vazadas ou até mesmo padrão, os atores de ameaça irão explorar o serviço para conseguir um acesso não autorizado. O problema principal é, entretanto, o não entendimento da criticidade e do impacto que este comprometimento pode causar. Com o acesso indevido ao SMTP, um ator de ameaças pode enviar e-mails utilizando o domínio da empresa que, por ser legítimo, não será caracterizado como spam, visto que todas as verificações de segurança estão de acordo.

Com base nisso, a venda destas credenciais no mercado underground é amplamente realizada, tanto internacionalmente quanto diretamente de brasileiros. A equipe de Threat Intelligence da Clavis Segurança da Informação acompanha estes atores de ameaça e identificou que tem se tornado mais comum a venda de acessos a servidores SMTP por atacantes brasileiros a fim de facilitar ataques de phishing. 

Estes ataques podem ser realizados para roubar contas bancárias ou contas de e-mail, e com isso acessar informações sensíveis da caixa de entrada do usuário ou arquivos armazenados na nuvem. No Brasil, é muito comum que eles utilizem os e-mails de domínio legítimo para enviar fraudes aos clientes das empresas com SMTP comprometido, ou até mesmo para colaboradores, como por exemplo, solicitando um pagamento a ser depositado na conta do fraudador. 

Estas vendas ocorrem em ambientes diversos, como fóruns e grupos de conversa, por exemplo. A figura abaixo evidencia a venda de acesso a servidores SMTP por estes atores de ameaça.

Além da venda de acessos ao SMTP, os atacantes também vendem a realização de spam utilizando estes servidores SMTP comprometidos. Como são servidores legítimos, os e-mails vão, em maioria, diretamente para a caixa de entrada.

Apesar da venda do serviço ter se tornado comum entre atacantes brasileiros, o comércio de SMTP não é novidade. Há também atores de ameaça de diversos países almejando este serviço e realizando vendas abertamente na Internet, em sites propriamente criados para este fim, como mostra a figura abaixo.

Este é um exemplo de vários mercados underground nos quais os vendedores oferecem seus produtos, que vão desde a venda de acessos a SMTPs comprometidos até acessos a infraestruturas de empresas, contas de e-mail, venda de domínios bem avaliados, entre outros. Estes acessos são fornecidos livremente e por um valor pequeno, como mostra na figura do site de venda e, muitas vezes, para o mesmo fim: enviar phishings através de domínios legítimos.

É importante se atentar ao fato de que os atacantes irão explorar quaisquer vulnerabilidades que encontrem nos servidores SMTP, além de senhas fracas ou até mesmo falta de senha em alguns casos. Com isso, pode-se causar um impacto significativo em toda a organização, que pode ser responsabilizada pela falta de segurança nos próprios ativos.

Tendo isto em vista, recomendamos realizar o mapeamento de ativos recorrentemente para avaliar a superfície de ataque da organização, buscando entender quais serviços estão expostos para a Internet e certificar-se de que sua exposição realmente é necessária. Com base nisso, será possível entender as potenciais fragilidades e dar a devida atenção a todos os pontos, por menores ou mais inofensivos que eles aparentam ser. Além disso, é sempre importante garantir o uso de credenciais fortes e, se possível, ativar o MFA para todos os usuários.