
Acreditamos que o e-mail é como uma carta física, uma vez que caiu, não pode ser alterado, mas não é mais verdade. Aqui você pode ver uma nova técnica chamada ROPEMAKER.
O pesquisador de segurança Francisco Ribeiro, da Mimecast, descobriu um novo padrão de ataque chamado ROPEMAKER, usado pelos invasores para alterar remotamente o conteúdo que você vê no seu email.
ROPEMAKER significa Ataques de manipulação de email pós-entrega remotamente originados, que permitem alterar o conteúdo do email após a entrega, mesmo que eles usem S / MIME ou PGP para assinatura.
Leia também Análise de cabeçalho de email – O email recebido é genuíno ou falsificado
O Ropemaker se origina entre a interseção de email e tecnologias da Web. Tecnologias da Web introduzidas no Email para torná-lo mais dinâmico, o que também leva a esse vetor de ataque.
Como sabemos, o CSS é uma linguagem de marcação para aplicar estilos a uma página da Web e ao ROPEMAKER, aproveitando ao máximo isso, incluindo aspectos como layout, cores e fontes.
Dois tipos de assalto ao ROPEMAKER
O ROPEMAKER atua desde que o cliente de email se conecte automaticamente ao CSS remoto para recuperar o “estilo” desejado para o email. Esse é o ponto principal da exploração do ROPEMAKER.
Switch Explorar
Switch O método code permite que os atacantes alternem a exibição entre as partes da URL boa e ruim no email.

Os invasores podem usar esse método para iniciar um ataque cibernético, vamos considerar que eles poderiam enviar um e-mail com dois links, um bom e um ruim. Inicialmente, eles mostram o link bom para Ignorar as camadas de segurança da organização e depois mudam para o link incorreto.
Exploração matricial
O segundo método é ainda mais sofisticado do que Switch Exploit.Francisco Ribeiro diz com esse método, um script de matriz abrangente incorporado enviado pelo invasor e, em seguida, ele exibe o que quer usando o CSS remoto.
Por exemplo, ele pode exibir um e-mail em branco e, simplesmente, alterando o arquivo, ele pode exibir a mensagem.

O objetivo do invasor, de fato, é evitar os controles de segurança da organização-alvo e entregar um email malicioso que será acionado pela pessoa-alvo.Download do artigo técnico apresentado por Francisco Ribeiro.
Perigo com a fraqueza do ROPEMAKER
É evidente que ele oferece controle remoto aos invasores para direcionar usuários a sites maliciosos e ignorar as camadas de segurança da organização.
PGP, S / MIME ou DKIM não controlam porque essa criptografia manipula apenas o conteúdo do email, mas com o ROPEMAKER não há alteração no conteúdo, apenas para decidir o que exibir para os destinatários.
Defesa
Ribeiro sugere desativar a versão HTML do e-mail e usar apenas texto sem formatação ou você pode alternar entre clientes do Webmail, como o Gmail ou o Outlook.