Al igual que en el correo postal, los correos electrónicos constan de un sobre y un contenido.
Sin embargo, los clientes de correo electrónico por lo general muestran sólo la información del contenido, ocultando los datos del sobre en opciones avanzadas.
La información presente en el sobre permite a la empresa de correo postal – o al servidor SMTP – entregar el mensaje al destinatario correcto, sin necesidad de abrir el sobre. Además, permite enviar al remitente notificaciones en caso de que la entrega de un correo no sea posible.
Si bien el cliente de correo considera esta información poco relevante para el usuario final – ya que no la muestra por defecto -, el sobre y el contenido de un correo pueden tener escrito un remitente diferente:
Esto abre la puerta a distintos tipos de suplantación de identidad, o Spoofing. Los ciberdelincuentes juegan con distintas cadenas de texto dentro del FROM Header, para engañar a los destinatarios y lograr sus objetivos fraudulentos. Esto es sumamente sencillo de realizar y está 100% permitido por el protocolo SMTP. Basta con definir la cadena deseada al momento de enviar el mensaje ¡y listo!
- Cuenta con protocolos SPF, DKIM y DMARC correctamente configurados.
- Es vulnerable a un ataque BEC.
A la hora de elegir el tipo de Spoofing a realizar, un ciberdelincuente tendrá en cuenta si el dominio a suplantar:
Ambos puntos pueden verificarse utilizando herramientas gratuitas.
Consiste en suplantar el dominio de la organización.
Cuándo se utiliza
Cuando el dominio a suplantar no cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o cuenta con ellos pero es vulnerable a un ataque BEC.
Ventajas para el ciberdelincuente
Es el tipo de Spoofing más difícil de detectar.
Lookalike Domain Spoofing
Consiste en utilizar un dominio similar al de la organización que se desea suplantar.
Cuándo se utiliza
Cuando el dominio a suplantar cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o no es vulnerable a un ataque BEC. Sólo es necesario que se cumpla uno de los dos puntos.
Ventajas para el ciberdelincuente
- Se ahorra posibles dolores de cabeza relacionados con los protocolos de seguridad.
- Los dominios a utilizar pueden ser tan similares al real que a primera vista no se detectan las diferencias. De hecho, existen herramientas gratuitas que ofrecen decenas de alternativas por cada dominio.
Display Name Spoofing
Es el caso más básico de Spoofing y consiste en modificar únicamente el nombre del remitente, manteniendo su dirección de email original:
Cuándo se utiliza
Cuando el dominio a suplantar cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o no es vulnerable a un ataque BEC. Sólo es necesario que se cumpla uno de los dos puntos.
Ventajas para el ciberdelincuente
- Si utiliza un dominio con buena reputación puede mejorar sus chances de llegar a la bandeja de entrada del usuario final.
- Los usuarios finales sin concientizar caen fácilmente incluso en este tipo de engaños, los más sencillos.
Aprovechando el Reply-to
Si un usuario final responde al correo, su cliente de correo enviará la respuesta al email especificado en el FROM Header.
Esto no es deseable en todos los casos para los ciberdelincuentes. Entonces hacen uso del Reply-to Header. El cliente de correo enviará las respuestas del usuario a la dirección de email que figure allí.
Una combinación viable – de muchas – para un ciberdelincuente podría ser la siguiente:
Un usuario correctamente concientizado se convierte en una capa de seguridad indispensable para afrontar aquellos correos de suplantación de identidad que no puedan ser detenidos por medios tecnológicos, los cuales, como analizamos, son posibles, simples de enviar y muy efectivos.
Si un usuario concientizado logra detectar alguno de estos casos de suplantación de identidad, sabrá cómo actuar en consecuencia:
- Marcar el correo como Spam
- Utilizar el botón específico que use la organización para reportar, desde la propia interfaz del correo electrónico
- Reenviar el correo al área de la organización correspondiente para su revisión y tratamiento
- Denunciar el caso en sitios como antiphishing.la para mayor visibilidad.
No hay comentarios.:
Publicar un comentario