Ataques de replay DKIM revelados: como os cibercriminosos se aproveitam dos e-mails de fatura da Apple e do PayPal

Fevereiro 6, 2026
Kaseya
Faturamento, Segurança cibernética

Os cibercriminosos já não dependem de truques óbvios de phishing ou de e-mails mal falsificados. Em vez disso, eles abusam cada vez mais de plataformas confiáveis, fluxos de trabalho legítimos e pequenas falhas em controles de segurança amplamente utilizados. Ao manipular processos empresariais cotidianos nos quais os usuários já confiam, os autores das ameaças transformam infraestruturas de boa reputação em um mecanismo involuntário de disseminação de golpes, tornando as mensagens maliciosas muito mais difíceis de detectar e muito mais propensas a ter sucesso.

O Kaseya INKY detectou ataques nos quais criminosos se aproveitam de faturas legítimas e notificações de contestação de fornecedores conhecidos, como PayPal, Apple, DocuSign e HelloSign.

Proteja-se contra e-mails maliciosos com o Kaseya Inky

Bloqueie ameaças avançadas de phishing e por e-mail antes que elas cheguem aos usuários com INKY

Começar a usar

Essas plataformas geralmente permitem que os usuários insiram um “nome do vendedor” ou adicionem uma nota personalizada ao criar uma fatura ou notificação. Os invasores se aproveitam dessa funcionalidade para inserir instruções fraudulentas e um número de telefone nesses campos controlados pelo usuário. Em seguida, eles enviam a fatura ou a notificação de contestação resultante para um endereço de e-mail sob seu controle, garantindo que o conteúdo malicioso seja incorporado a uma mensagem legítima gerada pelo fornecedor.

Como a mensagem é enviada diretamente pelo provedor, como o PayPal, e é assinada criptograficamente, ela passa facilmente pelas verificações do DomainKeys Identified Mail (DKIM) e do Domain-based Message Authentication, Reporting & Conformance (DMARC). Após receber o e-mail legítimo, o invasor simplesmente o encaminha para os alvos pretendidos. O resultado é uma mensagem que parece autêntica, passa pela autenticação de e-mail e chega às caixas de entrada com pouca ou nenhuma suspeita.

Essa técnica, conhecida como ataque de repetição DKIM, está sendo cada vez mais utilizada por invasores para enganar os usuários finais e contornar os controles tradicionais de segurança de e-mail.

Como funcionam os ataques de reenvio DKIM — e por que são tão eficazes

Um ataque de reenvio DKIM ocorre quando um invasor captura um e-mail legítimo assinado por DKIM e, em seguida, “reenvia” essa mesma mensagem para outros destinatários. Como os cabeçalhos originais e o corpo da mensagem permanecem inalterados, a assinatura DKIM continua válida. Como resultado, o e-mail passa pela autenticação DMARC, mesmo sendo redistribuído por um invasor em vez de ser entregue pelo remetente original. Para evitar comprometer o DKIM, os invasores intencionalmente não modificam a mensagem após ela ter sido assinada.

Para entender por que isso funciona, é útil examinar como funciona a autenticação de e-mail:

  • O DKIM anexa uma assinatura criptográfica aos cabeçalhos e ao corpo de um e-mail. O servidor de e-mail destinatário utiliza a chave pública do domínio remetente para confirmar que o conteúdo assinado não foi alterado durante o trânsito. O DKIM verifica a integridade da mensagem, mas não confirma quem realmente enviou o e-mail.
  • O DMARC se baseia no DKIM ou no Sender Policy Framework (SPF), verificando a correspondência entre o domínio autenticado e o endereço visível no campo “De: ”. Se o DKIM for aprovado e corresponder ao domínio do campo “De:”, o DMARC também será aprovado.

Os invasores exploram esse comportamento para enviar conteúdo de phishing ou golpes a partir de domínios de alta reputação nos quais os destinatários já confiam. Mesmo que as verificações SPF falhem durante o encaminhamento, uma assinatura DKIM válida e alinhada geralmente permite que o DMARC seja aprovado. Isso torna os ataques de reenvio DKIM particularmente difíceis de serem detectados pelas ferramentas tradicionais de segurança de e-mail e cada vez mais atraentes para os agentes maliciosos que têm como alvo os usuários finais.

Ataques de repetição DKIM em ação: abuso de faturas da Apple e do PayPal

O Kaseya INKY observou que agentes mal-intencionados estão abusando ativamente de e-mails legítimos da Apple e do PayPal para realizar golpes que passam pelas verificações de autenticação e parecem confiáveis aos destinatários.

Fatura da Apple App Store é alvo de ataques de repetição DKIM

Fig. 1: Fatura da App Store alvo de um ataque de repetição DKIM

Campo de cabeçalhoValor
De[email protected]
Para[email protected] (caixa de correio do invasor)
AssuntoConfirmação da assinatura
DKIMAssinaturad=email.apple.com
Fig. 2: Metadados de e-mail

Aqui está uma descrição detalhada, passo a passo, do ataque:

  1. Obter um e-mail legítimo assinado por DKIM: O invasor cria um ID Apple e assina o aplicativo Surfshark VPN (neste caso) na App Store da Apple. Durante o processo de cadastro, ele insere um conteúdo malicioso — Para cancelar, ligue para +1 (803) 745-3821 — no campo do nome da conta. O sistema automatizado da Apple gera então um e-mail de confirmação de assinatura contendo esse valor e o assina usando a chave DKIM do domínio.
  2. Assinatura DKIM válida: o cabeçalho DKIM do e-mail indica que a Apple assinou os principais cabeçalhos e todo o corpo da mensagem. Os servidores de e-mail receptores verificam essa assinatura usando a chave DKIM pública da Apple e, portanto, marcam a mensagem como dkim=pass e dmarc=pass.
  3. Replay: Após receber o e-mail legítimo, o invasor o encaminha para uma lista de vítimas, por exemplo, usando o Outlook ou outro cliente SMTP (Simple Mail Transfer Protocol). O encaminhamento não altera os cabeçalhos assinados nem o corpo da mensagem, de modo que a assinatura DKIM permanece válida. Embora os endereços de destinatário do envelope sejam alterados, o DMARC avalia o domínio do cabeçalho “From:” e a assinatura DKIM, e não o valor “RCPT TO” do envelope.
  4. Entrega às vítimas: Como a mensagem tem origem em um domínio confiável (email.apple.com) e todas as verificações de autenticação (DKIM e DMARC) são aprovadas, muitos filtros de e-mail a tratam como legítima. A saudação incomum — Prezado(a), Para cancelar, ligue para +1 (803) 745-3821 — pode ser o único sinal de alerta óbvio. Destinatários desavisados podem ligar para o número de telefone indicado, permitindo que os criminosos coletem detalhes de pagamento ou informações de identificação pessoal (PII). Eles também podem instruir as vítimas a visitar sites maliciosos para instalar malware ou software de acesso remoto, ou enviar informações por meio de formulários fraudulentos.

Fatura contestada pelo PayPal é alvo de ataques de reenvio DKIM

Fig. 3: Fatura contestada no PayPal alvo de ataques de repetição DKIM

Campo de cabeçalhoValor
De[email protected]
ParaKenji Smith [email protected] (caixa de correio do agressor)
AssuntoRecebemos sua reclamação no PayPal
DKIMAssinaturad=paypal.com
Fig. 4: Metadados de e-mail

Aqui está uma descrição detalhada, passo a passo, do ataque:

  1. Criar uma contestação ou fatura no PayPal com conteúdo malicioso: o invasor usa sua conta do PayPal para abrir uma contestação ou emitir uma fatura e define o “nome do vendedor” como uma mensagem fraudulenta que inclui um número de telefone. O sistema do PayPal armazena esse valor fornecido pelo usuário sem validação.
  2. Envie o e-mail para uma caixa de correio controlada pelo invasor: o invasor envia a fatura ou a notificação do caso para um endereço de e-mail sob seu controle. O PayPal gera um e-mail de confirmação a partir de [email protected] e o assina usando a chave DKIM do domínio. A mensagem inclui o “nome do vendedor” malicioso.
  3. Assinatura DKIM válida: o cabeçalho DKIM do e-mail indica que o PayPal assinou os principais cabeçalhos e todo o corpo da mensagem. Os servidores de e-mail destinatários verificam essa assinatura usando a chave DKIM pública do PayPal e, portanto, marcam a mensagem como dkim=pass e dmarc=pass.
  4. Reenvio às vítimas: o invasor reenvia o e-mail intacto às vítimas pretendidas usando seu próprio serviço SMTP. Embora o destinatário do envelope mude, o campo “Para:” do cabeçalho continua sendo o endereço do invasor, de modo que a assinatura DKIM permanece válida. Como o e-mail se origina de um domínio legítimo do PayPal e passa pelas verificações de autenticação, a maioria dos filtros de spam e antiphishing o entrega na caixa de entrada da vítima.
  5. A vítima liga para o número fraudulento: após ver uma notificação convincente do PayPal e uma mensagem urgente sobre uma transação contestada, é provável que a vítima ligue para o número de telefone indicado. Durante a ligação, os golpistas geralmente tentam obter informações financeiras ou dados pessoais identificáveis (PII) ou persuadir a vítima a instalar um software de acesso remoto.

Por que a segurança tradicional de e-mail muitas vezes não consegue impedir ataques de repetição DKIM

Os controles tradicionais de segurança de e-mail são projetados para detectar remetentes falsificados e mensagens alteradas. Nos ataques de repetição DKIM, no entanto, os invasores utilizam e-mails totalmente legítimos e autenticados, o que permite que essas mensagens contornem as defesas que dependem fortemente de sinais de autenticação.

Os pontos de falha mais comuns incluem:

  • DKIM e DMARC válidos: a mensagem é originária da Apple ou do PayPal e foi assinada com as chaves DKIM legítimas da organização. Consequentemente, a assinatura é verificada com sucesso e o DMARC é aprovado, mesmo que o e-mail tenha sido encaminhado por um invasor.
  • Desalinhamento do SPF: o servidor de reencaminhamento do invasor não está autorizado pelos registros SPF da Apple ou do PayPal, fazendo com que o SPF falhe. No entanto, o DMARC ainda é aprovado, pois a autenticação DKIM alinhada por si só é suficiente para a conformidade com o DMARC.
  • Conteúdo fornecido pelo usuário: a Apple e o PayPal permitem que os usuários insiram texto livre nos campos de nome do vendedor ou de observações. Esse conteúdo é incluído no corpo da mensagem assinada por DKIM, permitindo que invasores insiram instruções fraudulentas ou números de telefone durante o cadastro sem invalidar a assinatura.

O Kaseya INKY ameaças como ataques de repetição DKIM com a GenAI

Fig. 5: INKY o texto destacado como malicioso

Melhores práticas: orientações e recomendações

Os ataques de reenvio DKIM se aproveitam da confiança depositada em marcas conhecidas e em e-mails autenticados, tornando a conscientização e a vigilância essenciais tanto para os usuários quanto para as equipes de segurança.

  • Verifique o cabeçalho “Para”: Confirme se o endereço “Para” no cabeçalho da mensagem corresponde ao destinatário pretendido. Uma discrepância entre os cabeçalhos visíveis e o destinatário do envelope pode indicar que o e-mail foi encaminhado ou falsificado por um invasor.
  • Desconfie de números de telefone: as notificações legítimas da Apple e do PayPal orientam os usuários a acessarem seus sites oficiais, e não a ligarem para números de telefone não solicitados. Os usuários devem evitar ligar para quaisquer números incluídos em e-mails inesperados, especialmente aqueles que alegam problemas urgentes com contas ou pagamentos.

Ao combinar a verificação de cabeçalhos com a conscientização dos usuários sobre táticas comuns de fraude, as organizações podem reduzir o risco de ataques de repetição DKIM atingirem e enganarem os usuários finais.

Saiba mais sobre o Kaseya Inky

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

O que é SecOps? Uma explicação sobre operações de segurança

A maioria das organizações conta com duas equipes que deveriam trabalhar em conjunto, mas que muitas vezes atuam em mundos à parte: as operações de TI,

Leia a postagem do blog

Transformando sinais em ação com a Kaseya

Transforme o excesso de informações de segurança cibernética em inteligência útil com a Kaseya. Aumente a visibilidade, reduza o número de alertas e responda mais rapidamente a ameaças relacionadas a SaaS e identidade.

Leia a postagem do blog

IA na segurança cibernética: riscos de segurança do SaaS que você não pode ignorar

A IA está transformando as ameaças à segurança cibernética. Saiba como a sobrecarga de sinais, a proliferação de SaaS e os ataques baseados em identidade estão impulsionando a necessidade de detecção e resposta integradas na nuvem.

Leia a postagem do blog